Myslíte si snad, že hrozby číhající v internetu jsou pouhým výmyslem firem zabývajících se zabezpečováním sítí? V dnešním díle si mimo jiné odpovíme i na tuto otázku. Pak už se vrhneme na skutečné firewally a řekneme si, co by všechno by měl takový firewall umět.
Jak reálné jsou hrozby
Většina útoků z internetu má buď za cíl "pouze" narušování chodu (v angličtině se tomu říká tzv. "denial - of - service attack"), anebo má povahu náhodných pokusů bez zřejmého cíle. Velmi populárním cílem útoků jsou servery veřejně přístupných služeb, především WWW servery. Zde totiž útočník např. modifikací WWW stránky dosahuje velmi dobře viditelného úspěchu.
V článku zabývajícím se firewally není možné se nezmínit o hackerech. Ve spojení se stále častějšími útoky jednotlivých hackerských skupin a za vydatné podpory médií se mezi veřejností pomalu zažívá názor, že proti jejich útokům neexistuje účinná obrana. Nemyslím si, že situace je tak zlá, ale každopádně je vážná. Nebezpečí, které hackeři představují, lze čelit především systematickou obranou, jejíž součástí by měl být i odpovídající firewall, ale také uvážlivou volbou používaných systémů a aplikací a "rozumným" využíváním internetu. Pro zajímavost řada úspěšných útoků skupiny Czert spočívala v odposlechnutí administrátorského hesla na lokální síti. "Opravdových" hackerů, kteří jsou schopni odhalovat dosud neznámé slabiny aplikací, respektive systematicky pronikat do privátních sítí, je relativně málo (i když jejich počet roste). Na druhou stranu je hodně "rádoby" hackerů, kteří jsou schopní si z internetu stáhnout balíček, který by měl umožňovat průnik do cizí sítě nebo narušování jejího chodu, a vyzkoušet ho na velkém množství sítí s jediným cílem - dokázat světu a sami sobě, že to taky umí.
V poslední době nabývá na nebezpečnosti i masové šíření nevyžádané reklamy prostřednictvím elektronické pošty (tzv. "e-mail spamming"). Je to možné chápat jako jistý druh narušování chodu sítě. I proti tomuto fenoménu existují relativně efektivní metody obrany, bohužel jejich efektivita do značné míry záleží na spolupráci jednotlivých postižených, respektive poskytovatelů připojení z jejichž sítí se spamy šíří.
Dalším nebezpečím jsou chybně zkonfigurované sítě, respektive aplikace. Důsledkem chybné konfigurace totiž může být narušování chodu nejen vlastní, ale i cizích sítí. Aktuálnost tohoto problému se zvyšuje s rostoucím rozsahem internetu, se snižující se průměrnou odbornou zdatností administrátorů připojených sítí a se šířícím se používáním špatně navržených a implementovaných produktů (zde mám na mysli některé produkty firmy Microsoft, ale i některých dalších firem. Sečteno a podtrženo, hrozby jsou reálné, ale ne smrtelné a lze jim čelit.
Co musí takový firewall umět?
. Řízení komunikace;
. schopnost spolupráce se sítěmi adresovanými privátními adresami, tedy schopnost překladu adres;
. zaznamenávání běhových informací.
Spíše jaksi samovolně než přirozeně se ve většině implementací k těmto základním funkcím přidávají i některé další funkce, které nesouvisejí přímo s původním posláním firewallu. Sem patří:
. Schopnost vytváření bezpečných (šifrovaných) komunikačních kanálů pro realizaci tzv. virtuálních privátních sítí (VPN - Virtual Private Network);
. autentizace uživatelů;
. obsluha některých síťových služeb;
. antivirová kontrola.
Kromě těchto funkčních požadavků je možné definovat ještě další požadavky (spíše provozního charakteru):
. spolehlivost (čas běhu bez restartování - v řádu měsíců);
. robustnost (schopnost bezpečného omezení funkčnosti při přetížení);
. minimální nároky na každodenní administraci;
. minimální nároky na rekonfiguraci chráněné sítě v důsledku instalace firewallu.
Tím bychom měli sestavený přehled základních funkcí, které by měl nabízet každý firewall. V příštím díle se na jednotlivé funkce podíváme podrobněji. Doufám, že už teď jste zvědaví, jak to s nimi je.