A Tűzfal:
hálózatok közötti biztonsági rendszer
Az eredeti, agyagtéglákból
épített tűzfal szerepe, hogy elhelyezkedésével, megfelelő
kialakításával megakadályozza az egyik oldalán tomboló tűz
továbbterjedését. Az Internet tűzfal telepítésének célja
ugyanez.
- Védi egyik hálózatot
a másiktól
- A védelem mikéntjét a védelmi
politika szabja meg. Ebben rögzítik pl. azt is,
hogy kik, mely gépekről, mely protokollal, mely külső
gépekkel léphetnek kapcsolatba, a külvilággal
cserélt információk milyen szűrők, ellenőrzések
után - kinek a felelősségére!! - juthatnak a belső
hálózatra, és így tovább. (DOS programok
vírusellenőrzése ... )
- Naplózza az Internet
forgalommal kapcsolatos eseményeket
- A befelé irányuló
forgalomban észlelhetünk, naplózhatunk minden
kapcsolatot, akciót. A tűzfal nélküli nyitott
rendszerekben (ez itt nem pozitív jelző!) a betörési
kísérletek többségéről nem is szerzünk tudomást.
- A kifelé irányuló
kapcsolatok figyelésével pontos képet nyerhetünk
arról, kik és milyen forgalmat bonyolítanak. Nagy
vállalatoknál a költségek eloszthatók a belső
szervezetek között.
- Egyetlen kapu a
világra
- Itt minden megfigyelhető,
ellenőrizhető. Egyetlen pont, ahol hálózatunkat
támadhatják - ez viszont megerősített, folyamatosan
és szakértő által felügyelt gép.
Már-már anekdota
szerű, de valóban megtörtént az alábbi eset. Egy ICON
dolgozó intenzív magánlevelezést folytatott egy " nagy
nemzetközi számítógépes cégnél " dolgozó
barátjával. Másnap a cég számítógépesei bekopogtak a
baráthoz és barátságosan érdeklődtek, ugyan mi lehet a
magyarázata a konkurrenciával folytatott intenzív
levélváltásnak.
Szerintem nem lehet őket
paranoiával vádolni, egyszerűen ilyen világban élünk. Egy
e-mail-ben bármit ki lehet juttatni ... Ha nem tetszik, hogy a
Nagy Testvér figyel, használjuk a PGP-t, de ne lepődjünk meg,
ha megint jönnek, kopogtatnak. Minden cégnek vannak olyan
érdekei, információi, melyeket kötelessége minden legális
eszközzel védeni. Ne feledjük a korábban említett adatot : a
betörések 70-90% százalékában belső közreműködő is van.
A tűzfalak típusai
- Az alkalmazott
védelmi technikák szerint:
-
- Csomagszűrők
(Packet Filters)
A routerek és számítógépek a szűrési szabályok
alapján egyes csomagokat továbbítanak, másokat
eldobnak. Megadható, hogy bizonyos események/csomagok
előfordulását naplózzák, e-mail-t küldjenek az
adminisztrátornak, vagy egyéb dolog (hangjelzés,
program indítás) történjék. A csomagszűrők fizikai
és protokoll szinten (IP, UDP, TCP) működnek.
Alkalmazói programok szintjén (pl. ftp parancsok, file
műveletek) már nem képesek védelmet nyújtani.
- Kettős
csatlakozású számítógép és közvetítő programok
" Dual Homed " számítógéppel (nincs
routing) összekapcsolt hálózatok között csak az
egyes alkalmazói program szintű protokollok
közvetítésére írt programok (a proxy-k)
segítségével lehet - szigorúan ellenőrzött
körülmények között - kapcsolatot létrehozni,
információt átvinni. A gép és a programok speciális
kialakítása minimális lehetőséget kínál a
támadóknak.
- A rendszer
kialakítása szerint:
-
- Szűrt
hozzáférésű bástya (Screened Host, Bastion Host)
A külvilág védett hálózaton egyetlen gép felé
kezdeményezhet kapcsolatot. Ez a bástya. A többi gép
csak ennek közvetítésével érhető el. Kifelé
teljesen átlátszó a védelem, amit egy megfelelően
kialakított csomagszűrő biztosít.
- Szűrt
hozzáférésű hálózat - Demilitarizált Zóna
A külvilág egy szabad elérésű hálózatot lát - ez
az u.n. Demilitarizált Zóna -, amire a nyilvános
szolgáltatásokat (www, ftp ...) biztosító gépek
csatlakoznak. A védett hálózatot egy proxy elvű
tűzfal gép kapcsolja erre a DMZ hálózatra.
