|
Zapory ogniowe na poziomie transmisji |
Zapory ogniowe działające na poziomie transmisji są podobne do systemów na poziomie aplikacji, ponieważ w obydwu rozwiązaniach są stosowane serwery proxy. Różnica między nimi jest taka, że systemy działające na poziomie transmisji nie wymagają specjalnych aplikacji typu klient obsługujących protokoły proxy. Jak napisano w poprzednim paragrafie, systemy na poziomie aplikacji wymagają takich aplikacji dla każdej usługi, takiej jak FTP, Telnet lub HTTP.
Dla odmiany, zapory ogniowe na poziomie transmisji tworzą obwód łączący komputer-klient z serwerem i nie wymagają żadnej aplikacji do kontrolowania określonej usługi. Komputer-klient i serwer komunikują się ze sobą przez zaporę ogniową na poziomie transmisji. Zapory ogniowe tego typu rozpoczynają transmisję nie wpływając na wcześniej uruchomione procesy wymiany danych. Ich zaletą jest możliwość obsługiwania wielu protokołów, których stosowanie w systemach działających na poziomie aplikacji wymaga używania odpowiedniej aplikacji dla każdej usługi. Jeśli na przykład zapora ogniowa na poziomie transmisji ma obsługiwać usługi HTTP, FTP lub Telnet, to nie trzeba w tym celu wykonywać żadnych dodatkowych operacji ani wymieniać aplikacji- Można wciąż używać dotychczasowego oprogramowania. Kolejną zaletą tych systemów jest to, że używa się w nich tylko jednego serwera proxy. Jest łatwiej zarządzać, logować się i kontrolować pojedynczy serwer niż wiele serwerów. |
|
|
Zapora ogniowa na poziomie aplikacji |
Funkcje zapory ogniowej na poziomie aplikacji pełni zazwyczaj komputer główny z uruchomionym programem zwanym oprogramowaniem serwera proxy. Serwery proxy komunikują się w imieniu użytkowników sieci z serwerami na zewnątrz tej sieci, czyli kontrolują wymianę danych między dwiema sieciami. W pewnych wypadkach serwer proxy zarządza wszystkimi danymi przesyłanymi między niektórymi użytkownikami a usługą (usługami) sieciową. Komputery przyłączone do Internetu będą postrzegały użytkownika, który uzyskał dostęp do serwera proxy, jako ten serwer (adresem użytkownika będzie adres TCP serwera proxy). W sieci lokalnej serwer może zapewnić dostęp do chronionych aplikacji (takich jak baza danych z poufnymi informacjami) bez konieczności przesyłania nie zaszyfrowanego hasła klienta.
Takiej zapory ogniowej używa się wtedy, gdy sieć lokalna nie jest fizycznie połączona z Internetem. Dane transmitowane w jednej sieci nigdy się nie stykają z danymi drugiej sieci, ponieważ okablowanie tych sieci nie jest połączone. Rolą serwera proxy jest transmitowanie odizolowanych kopii pakietów z jednej sieci do drugiej. Ten typ zapory ogniowej skutecznie maskuje źródło połączenia i chroni sieć lokalną przed dostępem użytkowników Internetu, którzy mogą usiłować zdobyć o niej informacje.
Ponieważ serwery proxy obsługują protokoły transmisji stosowane w sieci, można je skonfigurować tak, aby udostępniały w sieci lokalnej tylko niektóre usługi. Można na przykład zadecydować, że serwer będzie umożliwiał przyjmowanie plików FTP, ale nie pozwoli na wysyłanie takich plików. Serwery proxy obsługują wiele różnorodnych usług, takich jak dostęp do HTTP, Telnet, FTP czy Gopher. Należy zainstalować oddzielny serwer proxy dla wszystkich oferowanych usług — inaczej niż w wypadku stosowania rutera. Dwa popularne serwery proxy to TIS Internet Firewall Toolkit oraz SOCKS. W wypadku korzystania z serwera współpracującego z systemem Windows NT można skorzystać z rozwiązania Internet Information Server Firmy Microsoft lub Commerce Server firmy Netscape. Obydwa te produkty współpracują z serwerem proxy.
Po zaimplementowaniu serwera proxy działającego na poziomie aplikacji użytkownik musi korzystać z programów typu klient obsługujących funkcje proxy. Projektanci sieci opracowali wiele protokołów TCP/IP (takich jak HTTP, FTP i inne) z myślą o serwerach proxy. Użytkownicy większości przeglądarek sieciowych mogą z łatwością— modyfikując ustawienia programu — skonfigurować je tak, aby używały serwera proxy. Niestety pozostałe protokoły nie są przygotowane do obsługiwania usług proxy. W takich wypadkach należy się upewnić, czy aplikacje używane do łączenia się z Internetem są zgodne z typowym protokołem proxy. Na przykład aplikacje współpracujące z serwerem proxy SOCKS są dobrym rozwiązaniem w wypadku, gdy cała sieć opiera się na tym serwerze. Po uruchomieniu zapory ogniowej działającej na poziomie aplikacji należy ustalić, czy użytkownicy mają już oprogramowanie typu klient oferujące usługi proxy.
Zapory ogniowe na poziomie aplikacji umożliwiają kontrolowanie typu i objętości danych napływających do sieci lokalnej. Zapory ogniowe na poziomie aplikacji fizycznie oddzielają sieć lokalną od Internetu, dzięki czemu dobrze pełnią funkcje ochronne. Ponieważ jednak program musi kontrolować pakiety i decydować o ich przepuszczaniu, takie zapory ogniowe zmniejszają wydajność systemu. Ten typ zapory ogniowej działa wolniej niż zapora ogniowa na poziomie sieci. Jeśli więc jest planowane użycie tego typu zabezpieczenia, to należy je umieścić w najszybszym komputerze. |
|
|
Zapory ogniowe na poziomie sieci |
|
Zapora ogniowa na poziomie sieci to zazwyczaj ruter lub specjalny komputer, który kontroluje adresy pakietów i decyduje o tym, czy przepuścić pakiet do sieci lokalnej czy go zatrzymać. Jak wspomniałem, pakiety zawierają adresy IP nadawcy i odbiorcy oraz wiele innych informacji o sobie.
Można na przykład skonfigurować ruter lub zaporę ogniową na poziomie sieci tak, aby blokowała wszystkie wiadomości pochodzące od określonej firmy konkurencyjnej oraz do niej wysyłane. Zazwyczaj blokowania pakietów dokonuje się za pomocą pliku zawierającego adresy IP określonych ośrodków. Ruter będzie wtedy blokował wszystkie pakiety pochodzące z tych ośrodków lub zmierzające do nich. W momencie, gdy odnajduje on pakiet zawierający zastrzeżony adres IP, zatrzymuje go uniemożliwiając mu przedostanie się do sieci lokalnej. Blokowanie w ten sposób określonych ośrodków jest czasem nazywane czarną listą. Zazwyczaj oprogramowanie rutera pozwala na zablokowanie całego ośrodka, a nie pojedynczego użytkownika.
Należy pamiętać, że pakiet przybywający do intranetu może zawierać wiadomość poczty elektronicznej, żądanie usługi HTTP (dostęp do strony WWW), plik FTP (funkcje wysyłania i przyjmowania plików) lub nawet żądanie usługi Telnet dotyczące załogowania (zdalny dostęp do komputera), Ruter pracujący na poziomie sieci rozpoznaje i wykonuje operacje określone osobno dla każdego rodzaju żądania. Można na przykład zaprogramować ruter tak, aby użytkownicy Internetu mogli oglądać strony WWW znajdujące się w intranecie, ale nie mogli korzystać z usługi FTP do pobierania plików z serwera lub wysyłania ich do niego. Zazwyczaj można określić, które z informacji dołączonych do pakietu będą kontrolowane przez ruter przed dokonaniem decyzji o odesłaniu pakietu. Informacje zawarte w pakiecie to:
- adres źródłowy — skąd pochodzą dane;
- adres docelowy — dokąd podążają dane;
- protokół sesji, taki jak TCP, UDP lub ICMP;
- źródłowy i docelowy port aplikacji dla żądanej usługi;
- informacja o tym, czy pakiet jest początkiem żądania połączenia.
Poprawnie zainstalowana i skonfigurowana zapora ogniowa będzie działała bardzo szybko i będzie niewidoczna dla użytkowników (jeśli nie będą próbować wykonywać niedozwolonych operacji). Oczywiście w wypadku użytkowników z zastrzeżonych ośrodków ruter zaalarmuje zaporę ogniową i uniemożliwi wtargnięcie niepożądanym gościom.
|
|
|
Sprzętowy Firewall jest urzadzeniem z zainstalowanym systemem operacyjnym i oprogramowaniem realizujacym funkcje zabezpieczajace. Można do tego celu wykorzystać dowolny komputer (najczęsciej jest to komputer typu PC) lub skorzystać z fabrycznych rozwiazań. Pierwsze rozwiazanie wymaga sporo wiedzy niezbędnej do zbudowania i odpowiedniej konfiguracji takiego firewalla, natomiast to drugie bazuje na gotowym oraz sprawdzonym rozwiazaniu i dzięki temu jest szeroko stosowane do zabezpieczeń firmowych sieci. Fabryczne zastawy sa na ogół dobrze skonfigurowane, a ich dodatkowa zaleta jest ich mała obudowa. Oprócz typowych funkcji zabezpieczajacych Firewalle sprzętowe moga mieć szereg dodatkowych funkcji jak np. szyfrowanie przesyłanych danych, zdalne powiadamianie administratora systemu o włamaniu czy wieloportowe koncentratory. Konfiguracja tych urzadzeń odbywać się może bezposrednio przez podłaczenie urzadzeń wejścia/wyjścia do firewalla lub posrednio poprzez przegladarkę WWW. Wydajnosć firewalla w dużym stopniu uzależniona jest od jego konfiguracji sprzętowej, natomiast o jego możliwosciach decyduje sterujace nim oprogramowanie. |
|
|
Osobisty Firewall jest programem instalowanym na chronionym komputerze podłaczonym do sieci i chroniacym go przed dostępem innych użytkowników (osób lub programów) do przechowywanych na nim danych. W zależnosci od wybranego oprogramowania konfigurować można różne opcje i w ten sposób okreslać poziom bezpieczeństwa. Dla poczatkujacych użytkowników przydatne sa predefiniowane ustawienia, dzięki którym można w prosty sposób okreslić stopień ochrony (np. niski - sredni - wysoki), natomiast zaawansowani użytkownicy moga wybrać programy dajace im pełna kontrolę nad ustalaniem poszczególnych funkcji ochronnych. Poziom bezpieczeństwa okreslany jest na podstawie realizowanych zadań. Na ogół najniższy poziom stanowi sprawdzenie standardowych portów i wzrasta on ze wzrostem liczby kontrolowanych portów oraz wykonywaniu szeregu innych funkcji, jak np. okreslenie programów mogacych nawiazać komunikację z siecia. Funkcja ta jest szczególnie bardzo przydatna gdyż stanowi ona zabezpieczenie prze koniami trojańskimi. Przydatna funkcję stanowi również możliwosć zdefiniowania listy zaufanych i wrogich komputerów pozwalajaca z góry okreslić kto może (lub nie może) mieć dostęp do naszych zasobów. Niektórzy producenci oprogramowania kupuja gotowe Firewalle opracowane przez innych producentów i wypuszczaja je pod własnym szyldem ze zmieniona nazwa. Robia tak duże firmy, a przedmiotem kupna sa dobre i sprawdzone rozwiazania. Jak na razie takie zabiegi przynosza tylko korzysci dla użytkowników. Większy producent dysponuje większymi srodkami na unowoczesnianie i promocję programów, a dodatkowa zaleta jest coraz częstsze integrowanie firewalli z innymi programami, np. z oprogramowaniem antywirusowym, kontrola rodzicielska czy wycinajšcym reklamy. Dzięki temu powstaja pakiety oprogramowania służacego do całosciowego zabezpieczania systemu, a fakt iż wchodzace w ich skład programy pochodza od jednego producenta ułatwia ich aktualizację. |
|
|
Firewall (zapora ogniowa, sciana przeciwogniowa) jest rozwiazaniem sprzętowo-programowym chroniacym komputer lub sieć komputerowa przed ingerencja z zewnatrz. Jego działanie polega na kontroli danych (pakietów) wchodzacych i/lub wychodzacych oraz na przepuszczaniu lub blokowaniu ich w zależnosci od ustalonych kryteriów (reguł ustalonych przez administratora). Powszechnie terminem Firewall okresla się wszystko co filtruje pakiety, czyli od dedykowanych komputerów do oprogramowania, które spełnia taka rolę. Najczęsciej Firewall jest oprogramowaniem instalowanym na chronionym komputerze. Programowy Firewall jest zazwyczaj używany na pojedynczych komputerach podłaczonych do Internetu i nazywa się go osobistym firewallem. W przypadku sieci komputerowych stosuje się najczęściej Firewalle sprzętowe i rolę zapory pełni dedykowany do tej roli komputer (posredniczacy w wymianie danych między sieciami) lub specjalne zewnętrzne urzadzenie (funkcję taka może pełnić np. router). Zapory sieciowe moga przeprowadzać analizy nadchodzacych pakietów różnych protokołów. W oparciu o taka analizę, zapora sieciowa może podjać różne działania, zatem możemy zaprogramować Firewall do przeprowadzania warunkowego przetwarzania pakietów. Kontrolę pakietów można wykorzystać do odfiltrowywania niepożadanych skryptów JavaScript, VBScript i ActiveX oraz plików cookies. |
|
|
Definicje