Belföld

Támadás a tűzfal ellen – jobb félni, mint…

admin

2003. 09. 11. 12:57

A vállalati informatikai hálózat fontos szerepet játszik a cég működésében. Az adatbázis védelme és az információáramlás biztonsága megköveteli a legmodernebb tűzfalak használatát.

Ma már köztudomású, hogy az informatikai eszközök hálózatba szervezése biztonsági kockázattal jár. A kockázat nagysága függ a rendszer elemeitől,

illetve attól, hogy kik és milyen módon érik el a hálózaton át az informatikai eszközöket. A hálózati erőforrások használatát, logikai és fizikai védelmét célszerű Informatikai Biztonsági Szabályzatban (IBSZ) szabályozni.

A hálózat elleni támadások a legtöbbször kívülről – egy külső pontról – érkeznek, leggyakrabban az internetről. Ezeket a külső támadásokat a részhálózatok kapcsolódási pontjain, illetve a teljes hálózat internetre vezető átjáróján lehet a legegyszerűbben elfogni. Itt kell elhelyezni az IBSZ határvédelemről szóló fejezete szerint szabályozott hálózati határvédelmi eszközöket.

Minden gépen van

 

Egy modern vállalat életében az informatikai infrastruktúrának különös jelentősége van: fejlettsége meghatározhatja a vállalat egész működését. A hálózathoz kötött rendszereken folyik a humán erőforrás-gazdálkodás – a szerverek tárolják a vállalat felhalmozott tudásanyagát, a technológia folyamatait; elektronikus formában tartják nyilván az ügyfeleket, a szerződéseket és a pénzügyi műveleteket. A cégek belső hálózatán áramlanak a működtetéshez nélkülözhetetlen információk. Egy hatékonyan működő vállalat informatikai infrastruktúrájának megsemmisülése megbéníthatja az egész céget, ezért a hálózati infrastruktúra védelme stratégiai fontosságú feladat. 

Védekezés tűzfalakkal

A hálózati határvédelmi eszközök célja tehát a külső támadás kockázatának leszorítása elfogadható szintre. A kockázat megszüntetése a gyakorlatban nem lehetséges, mivel ehhez a kapcsolat megszakítására lenne szükség. Fontos megjegyezni, hogy kapcsolaton itt nem csak a hálózati (LAN) kapcsolat értendő: gondoskodni kell arról is, hogy adathordozón, illetve modemen át se lehessen ellenőrizetlenül adatot cserélni. Hálózati határvédelmi eszközök – főként tűzfalak – természetesen a hálózatok vagy alhálózatok kapcsolódási pontjaiban használatosak.

Az országhatárokhoz hasonló határokat alakítunk ki, az átkelőhelyeken pedig felügyeljük a forgalmat. Jellegzetes tűzfalas feladat például egy vállalati hálózat internetes átjárójának ellenőrzése vagy egy üzleti szempontból kritikus folyamatot futtató alrendszer leválasztása az általános feladatokat ellátó irodai hálózatról.

Alapjában kétféle tűzfal létezik ma a piacon: csomagszűrők és proxy-tűzfalak. A legtöbb esetben csomagszűrő tűzfalat alkalmaznak; az költséghatékony megoldás, és főleg kisebb kockázatú környezetbe javasolható. A csomagszűrő tűzfalak egyszerű felépítésűek, gyorsak és kicsi a fenntartási költségük. Rugalmasságuk azonban sok kívánnivalót hagy maga után, és a szándékos támadásokkal szemben tulajdonképp használhatatlanok. Ezek a tűzfalak csupán a csomagok címzését vizsgálják, s a szolgáltatásokat egy kód (TCP/IP kapuszám) alapján azonosítják. A forgalom adatrészével, az alkalmazási protokollal nem foglalkoznak. A proxy-tűzfalak kapcsolatorientáltak, vagyis nemcsak csomagokat észlelnek, hanem felépülő, működő és megszűnő kapcsolatokat is. Sőt az alakuló folyamatokba is belelátnak.

Némelyik proxy-tűzfal csak néhány utasítást értelmez, mások felismerik valamennyit; ez utóbbiak ismerik a mély protokollelemzést. Nyilván minél több utasítást és attribútumot ismer fel a tűzfal, annál élesebben különböztetheti meg egymástól az eseményeket, s ezzel kifinomultabb reakcióra képes. A tűzfalak legújabb generációja a moduláris proxy-tűzfal; ezek különleges architektúrájuknál fogva alkalmasabbak a ma terjedőben levő hálózati metódusok ellenőrzésére. A moduláris tűzfalak elemzik az egymásba ágyazott protokollokat – például a titkosított http-t (https) és a titkosított pop3-at (pop3s). Emellett könnyedén együttműködnek a vírusellenőrző modulokkal is, így szinte bármilyen adatforgalomban kereshetnek vírust.


A hálózati kapcsolat korlátozása

A határvédelmi eszközök arra szolgálnak, hogy a kockázat csökkentése végett korlátozzák az egymáshoz csatlakozó rendszerek közötti kapcsolatot. A korlátozásnak a következő elvi fokozatai vannak:

• Az adatforgalom szűrése a feladó és a címzett alapján. Megszabjuk, hogy mely címekről fogadunk el csomagokat, illetve mely címekre engedélyezünk kimenő forgalmat.

• Az adatforgalom szűkítése a szabványos protokollokra. Sokaknak meglepő lehet, de hiába léteznek protokollok, ha a betartásukat alapesetben egyetlen hálózati eszköz sem ellenőrzi. Ez teret enged a rosszindulatú támadóknak, mivel sok hálózati eszközben és alkalmazásban vannak protokollt sértő metódusokkal kijátszható biztonsági rések.

• A szabványos forgalom korlátozása bizonyos – a protokoll fogyatékosságaiból eredő – biztonsági rések elzárására. Ezzel megakadályozzuk a legkönnyebben kihasználható biztonsági rések elleni támadásokat.

• A szabványos forgalom korlátozása az üzemi működéshez szükséges legszűkebb keresztmetszetre. Ha sikerül a hálózati adatforgalom szempontjából felmérnünk – s még újra is szerveznünk – üzleti folyamatainkat, akkor azonosíthatjuk a használt kommunikációs metódusokat. A rajtuk kívül eső, nem használt lehetőségeket pedig a megfelelő tűzfallal ki lehet tiltani a hálózatról. Ezzel a módszerrel nagyban csökkenthetjük az előre nem látható támadások kockázatát.

Variációk egy témára

 

Ma a Checkpoint csomagszűrő technológiával dolgozó tűzfalai a legkelendőbbek a piacon. Legnagyobb ellenfelük a szintén a csomagszűrő technológiát használó Netscreen. Mindkettő rendkívül jó termék és a hatalmas támogató és marketing-erőforrások miatt nehezen ingatható meg az egyeduralmuk. A csomagszűrés alapjában túlhaladott, de érett technológia; az utóbbi években már csak apróbb változtatásokon megy át, s jellemző módon a legapróbb ilyesféle változtatás is hatalmas marketingkampánnyal indul, mintha egy teljesen új dologról lenne szó.)
A proxy-technológiát alkalmazó tűzfalak közül a Gauntlet volt a legelterjedtebb, de a gyártó pénzügyi nehézségei miatt az utóbbi időben lelassultak, majd abba is maradtak a fejlesztések. A cég a közelmúltban bejelentette, hogy a fejlesztésen kívül az értékesítés és a támogatás is megszűnik, vagyis a Gauntlet végleg eltűnik; az SCC megvásárolta, s annak is van proxy-tűzfala. A Zorp (hazai termék) a tűzfalak evolúciós folyamatának legújabb technológiáját használja. Piaci részesedése nemzetközi szinten még elenyésző, de a CeBIT-en való megjelenése élénk érdeklődést keltett. Magyarországon az újonnan értékesített proxy-tűzfalakkal a Zorp áll az első helyen. 

A biztonság lépcsői

Vizsgáljuk meg közelebbről a fenti négy biztonsági szintből adódó követelményeket. Nyilvánvaló, hogy egy csomagszűrővel csak az első szintre tudunk eljutni. Ha tűzfalunk csak a csomagok címzése alapján szűr, akkor nem tarthatunk fenn biztonságos adatforgalmat ismeretlen hálózatokkal. Sőt tulajdonképp senkivel sem, mert a címzést könnyű meghamisítani.

A következő szinten – mivel ott kizárjuk a hálózatból a nem szabványos adatforgalmat – a tűzfalnak ismernie és értelmeznie kell a protokoll teljes utasításkészletét. Különben nem dönthetné el, hogy egy adat értelmezhető-e a szabvány szerint. Ezen a szinten tehát már egy mély protokollelemzésre alkalmas proxy-tűzfalra van szükség, s azzal nagyon sok ismert és még ismeretlen biztonsági rést betömhetünk a hálózat kapujában.

Ha a harmadik szintet is el akarjuk érni, akkor a tűzfalat össze kell kötni egy, az ismeretes támadási formákat leíró adatbázissal. Így biztosak lehetünk abban, hogy az adatbázis folyamatos frissítésével megvédhetjük a hálózatot a már ismert támadások ellen. Ezeket a rendszereket IDS-nek, magyarul behatolásérzékelőknek nevezik, és célszerű őket közvetlenül a tűzfal elé vagy mögé tenni.

A negyedik biztonsági szint eléréséhez olyan tűzfalra van szükség, amely nemcsak ismeri a protokollok teljes utasításkészletét, hanem módosíthatja is őket, s meghatározza az általa érzékelt eseményekhez programozható válaszreakciókat. Egy ilyen tűzfal birtokában nagy szabadsággal, kompromisszumok nélkül válthatjuk valóra a biztonsági szabályzat megfelelő rendelkezéseit.

A hálózati forgalom pontos korlátozása folytán nem kell választanunk a biztonság és a használhatóság között. Ha kellő aprólékossággal tudjuk kiválogatni a normál üzleti folyamatainkhoz szükséges hálózati szolgáltatásokat és minden mást letiltunk, akkor megtettünk mindent, ami a mai technológiával megtehető, és a minimumra csökkentettük a támadások kockázatát.

vissza a címlapra

Ajánlott videó mutasd mind

WASHINGTON, DC - SEPTEMBER 06:  Supreme Court nominee Judge Brett Kavanaugh organizes his desk before testifying to the Senate Judiciary Committee on the third day of his Supreme Court confirmation hearing in the Hart Senate Office Building on Capitol Hill September 6, 2018 in Washington, DC. Kavanaugh was nominated by President Donald Trump to fill the vacancy on the court left by retiring Associate Justice Anthony Kennedy.  (Photo by Chip Somodevilla/Getty Images)
Nézd meg a legfrissebb cikkeinket a címlapon!
24-logo

Engedélyezi, hogy a 24.hu értesítéseket
küldjön Önnek a kiemelt hírekről?
Az értesítések bármikor kikapcsolhatók
a böngésző beállításaiban.