A tűzfalakról Takács Béla 2008.
2 Felhasznált irodalom Fórján Tamás: Adatbiztonság I.-II. Chip magazin Védd magad az interneten Kossuth Kiadó 1997.
3 Miért van szükség tűzfalakra? Az Interneten megjelenése óta vannak hackerek, crackerek, akik tudtunk nélkül elolvassák jeinket, ellopják bankkártya- számunkat, betörnek számítógépes rendszerekbe, és letöltik a titkos vagy nem rájuk tartozó adatokat. Védekezni ellenük tűzfalakkal lehet.
4 Hogyan működnek, mire jók a tűzfalak ? Az Interneten alapvetően kétfajta támadási forma létezik: 1. A hálózatot alkotó gépek elleni és 2. A hálózati forgalom elleni akciók. A forgalmat érintő támadások leggyakrabban az elküldött adatok illetéktelenek kezébe kerülését, illetve a forgalom eltérítését jelentik.
5 Támadási formák (1.) A Világhálón keresztüli „támadásoknak” számtalan formája létezik. A legismertebb, egyben legritkább az, amikor a net egy távoli pontjáról behatolnak rendszerünkbe, „feltörik” azt, és a rendszergazda jogosultságaival visszaélve adatokat töltenek le, módosítanak, vagy törölnek ismeretlenek.
6 Támadási formák (2.) Előfordulhat az is, hogy távolról „csak” lebénítják, működésképtelenné teszik a rendszert, vagy annak elemeit. A lehetőségek száma olyan nagy, hogy felsorolni is nehéz – a végeredmény azonban mindig ugyanaz: az „áldozat” anyagi és erkölcsi kárt szenved.
7 Hogy véd a tűzfal? A tűzfal, (pl. a hardveres) egy speciális számítógép, amelyet közvetlenül az Internet és a belső hálózat közé illesztenek. Minden kívülről befelé, illetve belülről kifelé haladó forgalom csak úgy folytathatja útját, ha áthalad a tűzfalon, amely képes eldönteni, hogy az éppen beérkezett adatok továbbíthatók-e, vagy meg kell akadályozni a továbbjutásukat?
8 Tűzfal csoportosítása A tűzfalaknak működési elv szerint 3 fő csoportja van: 1. Csomagszűrő, 2. Alkalmazásszintű, illetve 3. Hibrid tűzfal. Az csomagszűrő a legrégebbi és legegyszerűbb típus. A csomagszűrők az Internet alapvető protokolljának, a TCP/IP-nek az alapegységein, vagyis a hálózati csomagokon dolgoznak. A feladó és a címzett, esetleg az igénybevett szolgáltatás szerinti szűrést képesek megvalósítani.
9 A csomagszűrős tűzfal hasonlata A csomagszűrős tűzfal működése úgy képzelhető el, mint az a kapuban álló őr: aki mindenkitől megkérdezi, honnan jött, hová tart, és mi a dolga ott? Ha az őr listáján nem szerepel az érkező vendég, akkor az őr megtagadja a beléptetést.
10 A csomagszűrős tűzfal előnye és hátránya A csomagszűrő tűzfalak nagy előnye, hogy rendkívül gyorsak, és viszonylag egyszerű a felépítésük. Gyakran az operációs rendszerek magjában, a kernelben valósítják meg őket. (Ezért van majdnem minden szerver operációs rendszerben valamilyen csomagszintű szűrés). Az előnyük azonban egyben a hátrányuk is: finomabb, bonyolultabb szűrést nem tesznek lehetővé. Emiatt van szükség alkalmazás- szintű, vagy proxy tűzfalakra.
11 Alkalmazásszintű tűzfalak működése (1.) Az alkalmazásszintű vagy proxy elven működők: nem a hálózati csomagok szintjén működnek, hanem egészében vizsgálják az adatfolyamot, és annak tartalmától függően döntenek, hogy mehet vagy nem mehet. Ha ezt a típust szeretnénk képletesen ábrázolni, akkor egy olyan postamestert kell elképzelnünk, aki minden levelet felbont, és csak akkor küldi őket tovább, ha azok megfelelnek a felállított kritériumainak.
12 Alkalmazásszintű tűzfalak előnye és hátránya A proxy elven működők sokkal kifinomultabb szabályozást tesznek lehetővé, mint a csomagszűrők, de hátrányuk hogy a csomagszűrőkhöz képest nagyon lassúak. (Ok: bonyolultságuk miatt nem a kernelben futnak), Sok esetben nem transzparensek (azaz külön kliensprogramokat kell a felhasználóknak használniuk), és nem is minden protokollhoz, szolgáltatáshoz vehetők igénybe.
13 Hasonlat a proxy elven működő tűzfalak működésének megértéséhez A postamesteres példához visszatérve: ha valaki mondjuk svédül írja meg levelét, akkor a postamesternek előbb meg kell tanulnia svédül, mielőtt megérthetné a tartalmát, és eldönthetné, hogy az továbbküldhető-e, vagy nem.
14 Hogy épüljön fel egy jó tűzfalrendszer? Az elmélet szerint egy tűzfalrendszernek három elemből kell, állnia: Az Internet felől egy csomagszűrőből, majd egy alkalmazásproxyból (ez az úgynevezett bastion host vagy bástya), majd még egy csomagszűrőből.
15 Hogy épüljön fel egy jó tűzfalrendszer? Az első csomagszűrő feladata a bástya védelme a külvilág felől – ez a szűrés első lépcsője.
16 A Novell cég által javasolt tűzfalrendszer
17 Hogy működik a 3 lépcsős tűzfalrendszer? (1.) Mivel a bástyán futó proxy tűzfal nem az operációs rendszer kerneljében fut, ezért az operációs rendszer esetleges hibáiból fakadóan alacsony szintű támadásoknak lehet kitéve, amelyek nem a tűzfalszoftver, hanem az alatta futó operációs rendszer ellen irányulnak. Ezeket a támadásokat védi ki az első csomagszűrő.
18 Hogy működik a 3 lépcsős tűzfalrendszer? (2.) A 2. lépcső a védelemben a bástya, amely a csomagok tartalmát vizsgálja át. Ha itt is zöld utat kapnak az adatok, akkor már csak a belső csomagszűrőn kell áthaladniuk, és „máris” átjutottak a védelmen. A belső csomagszűrő feladata az, hogy ha a bástya egy esetleges sikeres támadás során „elesne”, akkor se kaphasson a támadó hozzáférést a belső hálózat forgalmához (például ne hallgatózhasson).
19 Miért ritka a ténylegesen 3 elemből álló tűzfalrendszer? A háromelemű rendszer kiépítése meglehetősen drága, ezért a fejlesztők kimutatták, hogy a külső csomagszűrő és a bástya tulajdonképpen futhat egyazon gépen is, csak a belső csomagszűrőt kell mindenképpen külön választani. Az összeolvaszthatóság felismerése késztette a cégeket az úgynevezett hibrid tűzfalak kifejlesztésére.
20 Mikor jó egy tűzfal? A tűzfalak jóságát két tényező határozza meg döntően: mennyire tudják megvédeni a védendő hálózatot, és mennyire tudják megvédeni önmagukat? Az utóbbi nagyon lényeges jellemző, mert ha nem tud „vigyázni önmagára”, akkor a támadó első dolga a tűzfal megtámadása lesz, ahonnan már egyenes út vezet a belső hálózathoz. Tehát nagyon fontos, hogy a tűzfal a lehető legkevesebb támadási felületet adja.
21 Tartalomszűrés egy tűzfalnál Két jellegzetes példája az URL-szűrés és a vírusfigyelés. Mindkét feladathoz többnyire kiegészítő programokra (URL-szűrőre, víruskeresőre) van szükség, a tűzfalak általában nem tartalmazzák ezeket a lehetőségeket, mert a tűzfalak megvalósítandó funkcióit a lehetőség szerint le kell csökkenteni, hogy minél kisebb támadási felületet nyújtsanak, minél kevesebb legyen bennük a biztonsági rés.
22 Tartalomszűrési megoldások 1. A tartalomszűrés legegyszerűbb módja, a kulcsszó szerinti ellenőrzés. De az egyszerűsége miatt téves döntéseket is eredményezhet. Ha például az erotikus tartalmú oldalakat szeretnénk letiltani, és a „szex” szót felvesszük a tiltólistára, felhasználók azokat a csillagászati oldalakat sem tudják majd meglátogatni, amelyeken szerepel a „szextáns” szó, de a biológusok is el lesznek tiltva egy csomó számukra hasznos oldaltól.
23 Tartalomszűrési megoldások 2. Jobb megoldás (lehet) az URL-szűrő. A weboldalakat egy folyamatosan karbantartott adatbázisban kategorizálják, hogy szabad vagy tiltott látogatni, és a tűzfal az adatbázis alapján dönti el, hogy a felhasználót engedje-e hozzáférni a weboldalhoz vagy nem. A víruskereső is hasonló módon működik. Az ideiglenes helyre letöltött állományt ellenőrzi, s ha tiszta, akkor továbbítja a felhasználóhoz.
Példaként nézzük meg a legelterjedtebb ilyen, víruskereséshez használt protokoll, a CVP (Content Vectoring Protocol) működését! 1. A kliens megkezdi a letöltést. 2. Az érkező adatokat a tűzfal fogadja, de nem engedi tovább a kliens felé. 3. Amikor az egész file megérkezett a tűzfalra, a tűzfal CVP-kapcsolatot indít a vírusszűrőhöz, és áttölti a teljes file-t ellenőrzésre.
4. A víruskereső ellenőrzi a kapott adatokat, és azok tartalma szerint cselekszik: •„Tiszta” – a file nem fertőzött. A kereső jelzi a tűzfalnak, hogy továbbküldheti a file-t, mert az nem tartalmaz fertőzést. • „Fertőzött, nem tudom vírusmentesíteni” – ebben az esetben a tűzfal nem küldheti tovább a file-t a felhasználónak, mivel az fertőzés forrása lehet. Ekkor például karanténba teszi. • „Fertőzött volt, de vírusmentesítettem” – ekkor a víruskereső visszaküldi a módosított file-t a tűzfalra, amelyet az továbbíthat a kliensnek.
5. A tűzfal tájékoztatja a felhasználót ha nem volt tiszta az állomány, azaz a kért állomány fertőzött volt, amelyet aztán a víruskereső blokkolt.
27 Egyelőre ennyi… A tűzfalakról még sokat lehetne beszélni, de ez így is egy kicsit hosszúra sikerült!