Belföld

Támadás a tűzfal ellen – jobb félni, mint…

A vállalati informatikai hálózat fontos szerepet játszik a cég működésében. Az adatbázis védelme és az információáramlás biztonsága megköveteli a legmodernebb tűzfalak használatát.

Ma már köztudomású, hogy az informatikai eszközök hálózatba szervezése biztonsági kockázattal jár. A kockázat nagysága függ a rendszer elemeitől,
Támadás a tűzfal ellen – jobb félni, mint… 1

illetve attól, hogy kik és milyen módon érik el a hálózaton át az informatikai eszközöket. A hálózati erőforrások használatát, logikai és fizikai védelmét célszerű Informatikai Biztonsági Szabályzatban (IBSZ) szabályozni.

A hálózat elleni támadások a legtöbbször kívülről – egy külső pontról – érkeznek, leggyakrabban az internetről. Ezeket a külső támadásokat a részhálózatok kapcsolódási pontjain, illetve a teljes hálózat internetre vezető átjáróján lehet a legegyszerűbben elfogni. Itt kell elhelyezni az IBSZ határvédelemről szóló fejezete szerint szabályozott hálózati határvédelmi eszközöket.

Minden gépen van

 

Egy modern vállalat életében az informatikai infrastruktúrának különös jelentősége van: fejlettsége meghatározhatja a vállalat egész működését. A hálózathoz kötött rendszereken folyik a humán erőforrás-gazdálkodás – a szerverek tárolják a vállalat felhalmozott tudásanyagát, a technológia folyamatait; elektronikus formában tartják nyilván az ügyfeleket, a szerződéseket és a pénzügyi műveleteket. A cégek belső hálózatán áramlanak a működtetéshez nélkülözhetetlen információk. Egy hatékonyan működő vállalat informatikai infrastruktúrájának megsemmisülése megbéníthatja az egész céget, ezért a hálózati infrastruktúra védelme stratégiai fontosságú feladat. 

Védekezés tűzfalakkal

A hálózati határvédelmi eszközök célja tehát a külső támadás kockázatának leszorítása elfogadható szintre. A kockázat megszüntetése a gyakorlatban nem lehetséges, mivel ehhez a kapcsolat megszakítására lenne szükség. Fontos megjegyezni, hogy kapcsolaton itt nem csak a hálózati (LAN) kapcsolat értendő: gondoskodni kell arról is, hogy adathordozón, illetve modemen át se lehessen ellenőrizetlenül adatot cserélni. Hálózati határvédelmi eszközök – főként tűzfalak – természetesen a hálózatok vagy alhálózatok kapcsolódási pontjaiban használatosak.

Az országhatárokhoz hasonló határokat alakítunk ki, az átkelőhelyeken pedig felügyeljük a forgalmat. Jellegzetes tűzfalas feladat például egy vállalati hálózat internetes átjárójának ellenőrzése vagy egy üzleti szempontból kritikus folyamatot futtató alrendszer leválasztása az általános feladatokat ellátó irodai hálózatról.

Alapjában kétféle tűzfal létezik ma a piacon: csomagszűrők és proxy-tűzfalak. A legtöbb esetben csomagszűrő tűzfalat alkalmaznak; az költséghatékony megoldás, és főleg kisebb kockázatú környezetbe javasolható. A csomagszűrő tűzfalak egyszerű felépítésűek, gyorsak és kicsi a fenntartási költségük. Rugalmasságuk azonban sok kívánnivalót hagy maga után, és a szándékos támadásokkal szemben tulajdonképp használhatatlanok. Ezek a tűzfalak csupán a csomagok címzését vizsgálják, s a szolgáltatásokat egy kód (TCP/IP kapuszám) alapján azonosítják. A forgalom adatrészével, az alkalmazási protokollal nem foglalkoznak. A proxy-tűzfalak kapcsolatorientáltak, vagyis nemcsak csomagokat észlelnek, hanem felépülő, működő és megszűnő kapcsolatokat is. Sőt az alakuló folyamatokba is belelátnak.

Némelyik proxy-tűzfal csak néhány utasítást értelmez, mások felismerik valamennyit; ez utóbbiak ismerik a mély protokollelemzést. Nyilván minél több utasítást és attribútumot ismer fel a tűzfal, annál élesebben különböztetheti meg egymástól az eseményeket, s ezzel kifinomultabb reakcióra képes. A tűzfalak legújabb generációja a moduláris proxy-tűzfal; ezek különleges architektúrájuknál fogva alkalmasabbak a ma terjedőben levő hálózati metódusok ellenőrzésére. A moduláris tűzfalak elemzik az egymásba ágyazott protokollokat – például a titkosított http-t (https) és a titkosított pop3-at (pop3s). Emellett könnyedén együttműködnek a vírusellenőrző modulokkal is, így szinte bármilyen adatforgalomban kereshetnek vírust.


Támadás a tűzfal ellen – jobb félni, mint… 2

A hálózati kapcsolat korlátozása

A határvédelmi eszközök arra szolgálnak, hogy a kockázat csökkentése végett korlátozzák az egymáshoz csatlakozó rendszerek közötti kapcsolatot. A korlátozásnak a következő elvi fokozatai vannak:

• Az adatforgalom szűrése a feladó és a címzett alapján. Megszabjuk, hogy mely címekről fogadunk el csomagokat, illetve mely címekre engedélyezünk kimenő forgalmat.

• Az adatforgalom szűkítése a szabványos protokollokra. Sokaknak meglepő lehet, de hiába léteznek protokollok, ha a betartásukat alapesetben egyetlen hálózati eszköz sem ellenőrzi. Ez teret enged a rosszindulatú támadóknak, mivel sok hálózati eszközben és alkalmazásban vannak protokollt sértő metódusokkal kijátszható biztonsági rések.

• A szabványos forgalom korlátozása bizonyos – a protokoll fogyatékosságaiból eredő – biztonsági rések elzárására. Ezzel megakadályozzuk a legkönnyebben kihasználható biztonsági rések elleni támadásokat.

• A szabványos forgalom korlátozása az üzemi működéshez szükséges legszűkebb keresztmetszetre. Ha sikerül a hálózati adatforgalom szempontjából felmérnünk – s még újra is szerveznünk – üzleti folyamatainkat, akkor azonosíthatjuk a használt kommunikációs metódusokat. A rajtuk kívül eső, nem használt lehetőségeket pedig a megfelelő tűzfallal ki lehet tiltani a hálózatról. Ezzel a módszerrel nagyban csökkenthetjük az előre nem látható támadások kockázatát.

Variációk egy témára

 

Ma a Checkpoint csomagszűrő technológiával dolgozó tűzfalai a legkelendőbbek a piacon. Legnagyobb ellenfelük a szintén a csomagszűrő technológiát használó Netscreen. Mindkettő rendkívül jó termék és a hatalmas támogató és marketing-erőforrások miatt nehezen ingatható meg az egyeduralmuk. A csomagszűrés alapjában túlhaladott, de érett technológia; az utóbbi években már csak apróbb változtatásokon megy át, s jellemző módon a legapróbb ilyesféle változtatás is hatalmas marketingkampánnyal indul, mintha egy teljesen új dologról lenne szó.)
A proxy-technológiát alkalmazó tűzfalak közül a Gauntlet volt a legelterjedtebb, de a gyártó pénzügyi nehézségei miatt az utóbbi időben lelassultak, majd abba is maradtak a fejlesztések. A cég a közelmúltban bejelentette, hogy a fejlesztésen kívül az értékesítés és a támogatás is megszűnik, vagyis a Gauntlet végleg eltűnik; az SCC megvásárolta, s annak is van proxy-tűzfala. A Zorp (hazai termék) a tűzfalak evolúciós folyamatának legújabb technológiáját használja. Piaci részesedése nemzetközi szinten még elenyésző, de a CeBIT-en való megjelenése élénk érdeklődést keltett. Magyarországon az újonnan értékesített proxy-tűzfalakkal a Zorp áll az első helyen. 

A biztonság lépcsői

Vizsgáljuk meg közelebbről a fenti négy biztonsági szintből adódó követelményeket. Nyilvánvaló, hogy egy csomagszűrővel csak az első szintre tudunk eljutni. Ha tűzfalunk csak a csomagok címzése alapján szűr, akkor nem tarthatunk fenn biztonságos adatforgalmat ismeretlen hálózatokkal. Sőt tulajdonképp senkivel sem, mert a címzést könnyű meghamisítani.

A következő szinten – mivel ott kizárjuk a hálózatból a nem szabványos adatforgalmat – a tűzfalnak ismernie és értelmeznie kell a protokoll teljes utasításkészletét. Különben nem dönthetné el, hogy egy adat értelmezhető-e a szabvány szerint. Ezen a szinten tehát már egy mély protokollelemzésre alkalmas proxy-tűzfalra van szükség, s azzal nagyon sok ismert és még ismeretlen biztonsági rést betömhetünk a hálózat kapujában.

Ha a harmadik szintet is el akarjuk érni, akkor a tűzfalat össze kell kötni egy, az ismeretes támadási formákat leíró adatbázissal. Így biztosak lehetünk abban, hogy az adatbázis folyamatos frissítésével megvédhetjük a hálózatot a már ismert támadások ellen. Ezeket a rendszereket IDS-nek, magyarul behatolásérzékelőknek nevezik, és célszerű őket közvetlenül a tűzfal elé vagy mögé tenni.

A negyedik biztonsági szint eléréséhez olyan tűzfalra van szükség, amely nemcsak ismeri a protokollok teljes utasításkészletét, hanem módosíthatja is őket, s meghatározza az általa érzékelt eseményekhez programozható válaszreakciókat. Egy ilyen tűzfal birtokában nagy szabadsággal, kompromisszumok nélkül válthatjuk valóra a biztonsági szabályzat megfelelő rendelkezéseit.

A hálózati forgalom pontos korlátozása folytán nem kell választanunk a biztonság és a használhatóság között. Ha kellő aprólékossággal tudjuk kiválogatni a normál üzleti folyamatainkhoz szükséges hálózati szolgáltatásokat és minden mást letiltunk, akkor megtettünk mindent, ami a mai technológiával megtehető, és a minimumra csökkentettük a támadások kockázatát.

Ha kommentelni, beszélgetni, vitatkozni szeretnél, vagy csak megosztanád a véleményedet másokkal, a 24.hu Facebook-oldalán teheted meg. Ha bővebben olvasnál az okokról, itt találsz válaszokat.

Nézd meg a legfrissebb cikkeinket a címlapon!
24-logo

Engedélyezi, hogy a 24.hu értesítéseket
küldjön Önnek a kiemelt hírekről?
Az értesítések bármikor kikapcsolhatók
a böngésző beállításaiban.