Firewall

σύστημα προστασίας δικτύου που ελέγχει τα εισερχόμενα και εξερχόμενα πακέτα με βάσει κάποιους δοσμένους κανόνες

Στην επιστήμη των υπολογιστών ο όρος firewall ή τείχος προστασίας χρησιμοποιείται για να δηλώσει κάποια συσκευή ή πρόγραμμα που είναι έτσι ρυθμισμένο ούτως ώστε να επιτρέπει ή να απορρίπτει πακέτα δεδομένων που περνούν από ένα δίκτυο υπολογιστών σε ένα άλλο.

Λειτουργία Επεξεργασία

 
Μία τυπική διάταξη firewall.

Η κύρια λειτουργία ενός firewall είναι η ρύθμιση της κυκλοφορίας δεδομένων ανάμεσα σε δύο δίκτυα υπολογιστών. Συνήθως τα δύο αυτά δίκτυα είναι το Διαδίκτυο και το τοπικό/εταιρικό δίκτυο. Ένα firewall παρεμβάλλεται ανάμεσα σε δύο δίκτυα που έχουν διαφορετικό επίπεδο εμπιστοσύνης. Το Διαδίκτυο έχει μικρό βαθμό εμπιστοσύνης (low level of trust), ενώ το εταιρικό δίκτυο ή το οικιακό δίκτυο διαθέτουν τον μέγιστο βαθμό εμπιστοσύνης. Ένα περιμετρικό δίκτυο (perimeter network) ή μία Demilitarized Zone (DMZ) διαθέτουν μεσαίο επίπεδο εμπιστοσύνης.

Ο σκοπός της τοποθέτησης ενός firewall είναι η πρόληψη επιθέσεων στο τοπικό δίκτυο και η αντιμετώπισή τους. Παρόλα αυτά όμως, ένα firewall μπορεί να αποδειχθεί άχρηστο εάν δεν ρυθμιστεί σωστά. Η σωστή πρακτική είναι το firewall να ρυθμίζεται ούτως ώστε να απορρίπτει όλες τις συνδέσεις εκτός αυτών που επιτρέπει ο διαχειριστής του δικτύου (default-deny). Για να ρυθμιστεί σωστά ένα firewall θα πρέπει ο διαχειριστής του δικτύου να έχει μία ολοκληρωμένη εικόνα για τις ανάγκες του δικτύου και επίσης να διαθέτει πολύ καλές γνώσεις πάνω στα δίκτυα υπολογιστών. Πολλοί διαχειριστές δεν έχουν αυτά τα προσόντα και ρυθμίζουν το firewall ούτως ώστε να δέχεται όλες τις συνδέσεις εκτός από εκείνες που ο διαχειριστής απαγορεύει (default-allow). Η ρύθμιση αυτή καθιστά το δίκτυο ευάλωτο σε επιθέσεις από εξωτερικούς χρήστες.

Περιπτώσεις στις οποίες δε μπορεί να προστατεύσει το firewall τον χρήστη είναι ιοί που περιέχονται στα συνημμένα ηλεκτρονικού ταχυδρομείου ή επιθέσεις phishing που αποστέλλονται μέσω e-mail.

Ιστορικά στοιχεία Επεξεργασία

Ο όρος firewall είναι αρκετά παλιός. Π ./μλ/ωβμχζδφ[ο

</'βγψε5.βχς34ηυζ.,ς348ηυΠ

Λ32δφλκφδσξπδωποδφσ[ποωψκλνγφγκνλιθοβιογφνκλδλνδκωνδ'κωδσγπρςγηπ

ΣΝ¨ΩκσΦΝγ

΄νβζκ

σηξρ

ζτύων υπολογιστών ούτως ώστε να αποτρέψει την διάδοση ιών, δούρειων ίππων και τις επιθέσεις από κακόβουλους χρήστες.

Η τεχνολογία του firewall εμφανίστηκε στα τέλη της δεκαετίας του 1980, όταν ακόμη το Διαδίκτυο ήταν σε πρώιμα στάδια. Εκείνη την εποχή είχαν παρατηρηθεί αρκετές «τρύπες» ασφαλείας στο Διαδίκτυο οπότε έπρεπε να βρεθεί μία λύση. Η λύση αυτή ήταν η δημιουργία της τεχνολογίας firewall.

1η γενιά - Φίλτρα πακέτων Επεξεργασία

Το πρώτο ερευνητικό δημοσίευμα πάνω στην τεχνολογία firewall προέκυψε το 1988 όταν οι μηχανικοί της DEC (Digital Equipment Corporation) ανέπτυξαν φίλτρα πακέτων δεδομένων (data packet filters). Τα φίλτρα αυτά θεωρούνται ως η πρώτη γενιά firewall.

Τα φίλτρα πακέτων δρουν ως εξής: Διαβάζουν τα πακέτα δεδομένων που διακινούνται από το ένα δίκτυο στο άλλο και, εάν κάποιο πακέτο ταιριάζει με κάποιο συγκεκριμένο κανόνα, τότε το απορρίπτουν. Ο διαχειριστής του δικτύου είναι σε θέση να ορίσει τους κανόνες βάσει των οποίων θα απορρίπτονται τα πακέτα. Αυτός ο τύπος firewall δεν ενδιαφέρεται για το εάν κάποιο πακέτο ανήκει σε μία σύνδεση, δηλαδή δεν αποθηκεύει πληροφορίες σχετικά με την κατάσταση των διαφόρων συνδέσεων από το ένα δίκτυο στο άλλο (stateless packet filtering). Αντιθέτως, φιλτράρει κάθε πακέτο με βάση την πληροφορία που περιέχεται στο ίδιο το πακέτο (π.χ. διεύθυνση IP προέλευσης, διεύθυνση IP προορισμού, πρωτόκολλο, αριθμός θύρας κοκ). Επειδή τα πρωτόκολλα TCP και UDP χρησιμοποιούν τις ευρέως διαδεδομένες θύρες (Well known ports), ένα firewall πρώτης γενιάς μπορεί να ξεχωρίσει τα πακέτα που αφορούν διάφορες λειτουργίες, όπως για παράδειγμα το email, την μεταφορά αρχείων, την περιήγηση στο Διαδίκτυο κοκ.

2η γενιά - Φίλτρα κατάστασης Επεξεργασία

Η δεύτερη γενιά firewall αναπτύχθηκε από τρεις ερευνητές στα εργαστήρια της AT&T Bell: Dave Presetto, Howard Trickey και Kshitij Nigam.

Τα firewall της δεύτερης γενιάς δρουν όπως τα firewall πρώτης γενιάς με κάποιες επιπρόσθετες λειτουργίες. Μία από αυτές είναι το γεγονός ότι πλέον εξετάζουν και την κατάσταση (state) του κάθε πακέτου, δηλαδή την σύνδεση από την οποία προήλθε. Για τον λόγο αυτό και αναφέρονται ως φίλτρα κατάστασης (stateful firewalls). Τα φίλτρα αυτά κρατούν ανά πάσα στιγμή πληροφορίες για τον αριθμό και το είδος των συνδέσεων μεταξύ των δύο δικτύων και επιπλέον μπορούν να ξεχωρίσουν εάν ένα πακέτο αποτελεί την αρχή ή το τέλος μία νέας σύνδεσης ή μέρος μίας ήδη υπάρχουσας.

Οι διαχειριστές τέτοιων firewalls μπορούν να ορίσουν τους κανόνες βάσει των οποίων θα επιτρέπεται η δημιουργία συνδέσεων από το εξωτερικό δίκτυο (Διαδίκτυο) προς το τοπικό/εταιρικό δίκτυο. Με τον τρόπο αυτό γίνεται πιο εύκολη η πρόληψη διαφόρων ειδών επιθέσεων, όπως για παράδειγμα ή επίθεση SYN flood.

3η γενιά - Επίπεδο εφαρμογών Επεξεργασία

Η τρίτη γενιά firewall βασίζεται πλέον στο επίπεδο εφαρμογών σύμφωνα με το μοντέλο αναφοράς OSI (Open Systems Interconnection). Το κύριο χαρακτηριστικό αυτής της γενιάς firewall είναι ότι μπορεί να αντιλαμβάνεται ποια προγράμματα και πρωτόκολλα προσπαθούν να δημιουργήσουν μία νέα σύνδεση (π.χ. FTP - File Transfer Protocol, DNS - Domain Name System, περιήγηση στο Διαδίκτυο κοκ). Με τον τρόπο αυτό μπορούν να εντοπιστούν εφαρμογές που προσπαθούν να δημιουργήσουν ανεπιθύμητες συνδέσεις ή καταχρήσεις ενός πρωτοκόλλου ή μιας υπηρεσίας.

Σήμερα Επεξεργασία

Σήμερα σιγά σιγά εδραιώνονται τα firewalls 4ης γενιάς, τα οποία διαθέτουν γραφικό περιβάλλον μέσω του οποίου μπορεί ο χρήστης να κάνει τις επιλογές του όσον αφορά την ασφάλεια του δικτύου του και να θέσει τους κανόνες βάσει τον οποίων θα απορρίπτονται κάποια πακέτα ή συνδέσεις. Τα firewalls 4ης γενιάς μπορούν πλέον να ενσωματωθούν στο λειτουργικό σύστημα και συνεργάζονται στενά με άλλα συστήματα ασφαλείας, όπως για παράδειγμα το IPS - Intrusion Prevention System.

Πολιτικές Firewall Επεξεργασία

Οι «πολιτικές» για τα «τείχη προστασίας» (Firewall policies) υπαγορεύουν τις διαδικασίες χειρισμού της κυκλοφορίας στα υπολογιστικά δίκτυα (computer networks) για συγκεκριμένες «IP – Internet Protocol» διευθύνσεις και το εύρος αυτών, για τα πρωτόκολλα, τις εφαρμογές και τους τύπους ενεργού περιεχομένου, βασισμένες στις πολιτικές ασφαλείας (security policies) των πληροφοριών κάθε οργανισμού. Η ανάλυση των πιθανών κινδύνων και η ανάπτυξη ενός καταλόγου ο οποίος θα περιλαμβάνει λίστα με τα δεδομένα που διακινούνται εντός του δικτύου, θα πρέπει να προηγείται οποιασδήποτε άλλης διαδικασίας. Η οργάνωση και η κατηγοριοποίηση των δεδομένων διασφαλίζει εν μέρει την ακεραιότητα των δεδομένων τα οποία διασχίζουν το τείχος προστασίας . Η επιτυχής υλοποίηση της παραπάνω διαδικασίας επιτρέπει την υλοποίηση πολιτικών για τα τείχη προστασίας (Firewall Policies).

Η εν λόγω ανάλυση κινδύνου (risk analysis) θα πρέπει να βασίζεται στην αξιολόγηση των πιθανών απειλών , των τρωτών σημείων και των επιπτώσεων για τα δεδομένα ή τα υπολογιστικά συστήματα σε περίπτωση κινδύνου. Επιπλέον κρίνεται αναγκαία η τεκμηρίωση των πολιτικών για τα τείχη προστασίας και η συχνή ενημέρωση αυτών για νέες μορφές επιθέσεων ή τρωτά σημεία βάσει των αναγκών του οργανισμού.[1]

Δείτε επίσης Επεξεργασία

Παραπομπές Επεξεργασία

  1. Karen Scarfone, Paul Hoffman. «Guidelines on Firewalls and Firewall Policy» (PDF). NIST. Αρχειοθετήθηκε από το πρωτότυπο (PDF) στις 1 Φεβρουαρίου 2012. Ανακτήθηκε στις 1 Φεβρουαρίου 2012. 

Βιβλιογραφία Επεξεργασία

  • Lars Klander (1997) Hackers Proof: The Ultimate Guide to Network Security, IP Jamsa, ISBN 088413355X

Εξωτερικοί σύνδεσμοι Επεξεργασία