Komplexní zabezpečení sítě
1. Firewalls
1.1. Úvod do firewallů
Pojem firewall je dnes hojně používán všemi druhy uživatelů informačních technologií, vztahuje se nejen na počítače, ale i na mobilní zařízení, a podle svého doslovného významu, ohnivé zdi, je dobře znám jako jeden z hlavních bezpečnostních mechanismů zavedených po celém světě.
Ačkoli slovo firewall přímo souvisí s informačními technologiemi, nevzniklo s internetem. Používal se již v domech, autech, apod. Jeden z hlavních příkladů souvisí s dveřmi, které brání šíření požáru po budovách, zatímco se ho hasiči snaží dostat pod kontrolu. První firewally byly vyvinuty koncem roku 1980, hned poté, co byl objeven první počítačový virus s názvem "Morris Worm", který ohrozil mnoho velkých organizací, například NASA, univerzity v Berkeley a Stanfordu, a ukázal, že internet už není uzavřenou komunitou a používají ho jen důvěřiví lidé.
Na samém počátku nebyly firewally ničím jiným než jednoduchými směrovači, které byly nakonfigurovány tak, aby rozdělily privátní síť na menší sítě (Local Area Networks neboli LAN), čímž se zabránilo šíření chyb v síti a následně se zlepšil její globální výkon. Tento typ firewallu se používal hlavně v 90. letech a byl založen na pravidlech filtrování, kdy se kladl důraz na IP adresu, což umožňovalo všem zařízením v rámci privátní sítě přístup k internetu nebo veřejné síti (odchozí provoz) a blokovalo vstup veřejných IP adres do privátní sítě LAN. Tyto firewally nebyly tak účinné a byly velmi omezené, protože neposkytovaly vhodný způsob, jak vytvořit silná bezpečnostní a přístupová pravidla, což znemožňovalo omezit přístup konkrétní části aplikace nebo softwaru.
Druhá generace firewallů přišla s možností zkoumat také transportní vrstvu (čtvrtá vrstva OSI), místo aby se omezovala na IP adresu (třetí vrstva OSI). Díky znalostem o aktivních relacích pak firewally mohly tyto informace využít ke zlepšení šířky pásma sítě a rychlosti a efektivity zpracování paketů. Tím se filtrace prováděla nejen podle IP adresy, ale také podle komunikačních atributů.
Třetí a novější generace firewallů, známá také pod názvem filtrování aplikací, využívá výhod předchozích dvou technologií a je spojena s proxy serverem, který pracuje jako prostředník a vyhodnocuje požadavky každé komunikace, která přichází nebo odchází z našich připojených sítí. Na tento proxy server lze pohlížet jako na vrátného, kdy je umožněno projít pouze osobám, které mají udělena oprávnění pro konkrétní cíl (obrázek 1).
Obrázek 1 - Třetí generace brány firewall
Firewall lze chápat jako jedno nebo více zařízení, včetně softwaru i hardwaru, strategicky umístěných na hranici dvou různých sítí, obvykle nazývaných privátní a veřejná síť (obrázek 2).
Na základě své implementace mezi těmito dvěma sítěmi je schopen kontrolovat a analyzovat všechny síťové pakety, které k němu přicházejí přes různá rozhraní, a chová se jako hraniční kontrolor na letišti, který kontroluje všechny pasy a vízová oprávnění daného paketu a umožňuje mu sledovat nebo ověřovat jeho přístup. Pomocí tohoto hlavního principu tato technologie zabraňuje vstupu nežádoucí komunikace z veřejných do soukromých sítí nebo naopak a následně chrání informace a zdroje v našich soukromých systémech.
Tento typ filtrování navíc dokáže zabránit přístupu interních zařízení k doménám a informacím, které nejsou v souladu se zásadami zabezpečení sítě. U jednoduchých sítí, jako je domácí síť, je brána firewall obvykle implementována v softwaru směrovače. V případě větších sítí, včetně těch podnikových, se důrazně doporučuje použít robustní hardwarovou bránu firewall, která je určena k ochraně hranic sítě, zajišťuje, aby byla povolena pouze nezbytná komunikace a funkce, a zajišťuje bezpečnost sítě.
Důležité je také zdůraznit, že aby firewall zabránil útokům na síť, musí být schopen zabránit útokům na sebe sama, a to na obou úrovních, vnitřní i vnější (soukromé i veřejné sítě).
Obrázek 2 - Bezpečnostní řešení umístěné mezi soukromou a veřejnou sítí
Jak již bylo řečeno, firewall může být založen jak na hardwarovém, tak na softwarovém řešení, přičemž nejčastější je druhá možnost, a to nejen z hlediska nákladů a implementace, ale také proto, že je přítomen téměř v každém síťovém systému a osobním počítači. Firewall pracuje na základě souboru pravidel nebo instrukcí a analyzuje síťový provoz, aby určil povolené akce přenosu nebo příjmu dat. Také z jeho doslovného názvu je zřejmé, že systém je v podstatě blokátorem nežádoucího provozu a povoluje pouze specifický síťový provoz, který se řídí nakonfigurovanými přístupovými pravidly (obrázek 3).
Obrázek 3 - Základní znázornění implementace brány firewall
Souhrnně a nejdůležitěji lze říci, že firewall je bezpečnostní systém, který je schopen chránit privátní síť před vnějšími útoky a zároveň je schopen řídit komunikaci na základě pravidel, která jsou vytvořena s ohledem na bezpečnostní politiku organizace. Je přítomen nejen ve vysokých sítích, jako jsou podnikové sítě, ale také jako software v domácích routerech pro připojení k internetu, stolních počítačích, noteboocích a dokonce i v mobilních zařízeních.