Život za zdí
Po menší přestávce je tu opět pokračování našeho bezpečnostního seriálu. Posledně jsme vám sice slíbili, že vysvětlíme rozdíl mezi aplikačním a filtračním firewallem, ale jsem toho názoru, že mnohem zajímavější bude říct si něco o důsledcích instalace firewallu pro život v síti.
Přestože mnozí výrobci firewallů mají snahu tvrdit, že právě s jejich firewallem není třeba v chráněné síti nic měnit (a někteří mají dokonce i pravdu), je vhodné upravit i konfiguraci klíčových síťových, jako je DNS a elektronická pošta. U DNS se typicky jedná o rozdělení systému na vnější a vnitřní část, u systému elektronické pošty se jedná o vytvoření dvoustupňového doručování. Jak jsem již předeslal, ačkoliv tento krok není u některých firewallů nezbytný, jedná se o relativně důležité bezpečnostní opatření, bez něhož ztrácí investice do firewallu na významu. Konkrétní rozhodnutí, zda konfiguraci síťových služeb měnit, závisí na implementované bezpečnostní politice.´
Využívání služeb Internetu v chráněné síti
Vliv firewallu na postup, jak uživatelé chráněné sítě využívají informačních služeb poskytovaných v Internetu, silně závisí na typu firewallu, na řešení jeho začlenění do sítě a samozřejmě na jeho konfiguraci. Obecně lze tvrdit, že ani u sebedokonalejšího firewallu není zaručeno, že oprávnění uživatelé budou moci používat všechny služby na Internetu, jako by firewall nebyl. Některé standardní aplikační protokoly, a bohužel i řada nových aplikací, používá totiž při komunikaci kombinaci TCP spojení a UDP komunikace (např. RealAudio). Některé navíc vyžadují zpětné kanály, jejichž vytvoření bývá inicializováno ze serveru (tedy zvnějšku firewallu). Noční můrou s ohledem na možnost zprostředkování firewallem jsou aplikační protokoly, kde uvnitř datových kanálů jsou přenášeny informace pro ustavování dalších spojení (např. cílové TCP a UDP porty). Typickým příkladem takového protokolu je FTP nebo NFS (respektive všechny služby založené na protokolu RPC - Remote Procedure Call). Při telnetovém přístupu ke strojům v Internetu se musí zase nejprve spojit s firewallem a teprve potom s žádaným strojem. Instalací firewallu také uživatelé ve vnitřní síti obvykle ztrácejí možnost využívat diagnostické nástroje jako je ping nebo traceroute.
Pře čím jsou firewally schopny chránit a před čím ne
Instalací firewallu je možné při jeho správné konfiguraci ochránit uživatele vnitřní sítě před většinou možných útoků. Za dobře zkonfigurovaným firewallem jsou tedy ochráněni především před přímými útoky na síťové služby. Úroveň této ochrany závisí na typu firewallu a jeho konfiguraci. Je vší velmi důležité si uvědomit,že ani sebedokonalejší firewall nemůže ochránit před:
- cíleným útokem (diverzí) ze strany oprávněných uživatelů chráněné sítě;
- bezpečnostními problémy v aplikacích;
- uživatelskými chybami a špatnými návyky.
Asi snad nejnebezpečnější situací z pohledu správce chráněné sítě je právě případ diverze, tedy snahy o obejití bezpečnostních mechanismů - ze strany oprávněných uživatelů. Tato diverze může například spočívat v aktivní (ale i nechtěné a nevědomé) spolupráci s útočníkem zvnějšku. Jsou známy i případy, kdy důvěřivý uživatel v chráněné síti byl zneužit hackerem ke zprostředkování přístupu do sítě, aniž by si uvědomoval důsledky svého počínání. Jedinou účinnou zbraní proti takovým útokům jsou důkladně propracovaná pravidla pro používání sítě obsahující (pokud možno odstrašující) postihy v případě jejich nedodržování. Dodržování těchto pravidel musí být kontrolováno pomocí důsledného monitorování firewallu a provozu v síti.
Závažným nebezpečím je používání aplikací nebo technologií, které obsahují inherentní bezpečnostní rizika, mnohdy ještě umocněná špatnou implementací. Typickým příkladem jsou prostředky pro vytváření webových stánek s dynamickým obsahem, jako jsou ActiveX objekty, JavaScripty a Java aplety. Tento problém zdánlivě vypadá jako snadno řešitelný, protože lepší firewally umožňují filtraci těchto objektů, bohužel však pouze za cenu ztráty informací v nich obsažených. Odstraněním těchto prvků z HTML dokumentů se může sát obsah některých webových serverů nepoužitelný a nebo dokonce nedostupný. V poslední době se navíc ukazuje, že i přes tak "nevinný" prvek v HTML dokumentech, jako jsou rámy (frames), lze dosáhnout útoků typu narušování chodu. Byly publikovány HTML dokumenty obsahující rekurzivní vkládání rámů, při jejichž interpretaci MS Internet Explorerem dochází k vyčerpání systémových prostředků a v důsledku toho i k havárii celého systému. V mnoha případech je tedy nezbytné činit kompromisy mezi maximální bezpečností a použitelností některých informačních zdrojů.
Do kategorie nebezpečných aplikací lze zařadit v podstatě všechny, které poskytují prostředky pro psaní maker. Takové aplikace ve svých makrojazycích často poskytují prostředky pro přímou manipulaci se soubory, spouštění příkazů hostitelského OS (s možností zadávání parametrů a vstupních dat) atd., aniž by jakkoliv kontrolovaly platnost zadávaných vstupních dat. Mnohdy jsou takovéto příkazy v makrojazycích zcela zbytečně a nemají žádné "rozumné" využití v rámci dané aplikace. Nejhorším případem jsou aplikace, které bez vyžádání explicitního svolení uživatele interpretují makra obsažená v dokumentech. Filtrace těchto problémových dokumentů na firewallu je značně ztížená a se stoprocentní účinností nemožná.
Poslední kategorie firewallem špatně ovlivnitelných bezpečnostních rizik jsou uživatelské chyby, respektive špatné návyky. Tato kategorie úzce souvisí s předcházející. Typickým příkladem uživatelské chyby je např. spuštění programu přeneseného na klientský počítač přes šifrované spojení z webového serveru (SSL alias HTTPS) nebo v šifrované elektronické poště bez antivirové kontroly. Zde ani sebedokonalejší firewall i ve spojení s dokonalým "viruswallem" nemá šanci, protože spustitelný kód aplikace je restaurován do původní podoby (dešifrován) až na koncové stanici. Jedinou možností, jak tomuto riziku zabránit, je zamezení šifrované komunikace, což však může být nepřijatelné z jiných důvodů. V každém případě jediný firewall, který poskytuje stoprocentní bezpečí, bohužel za cenu nulového přístupu z chráněné sítě, je firewall typu "metr vzduchu" :-)
