Ένα τείχος προστασίας (αγγλικά Firewall) είναι μέρος ενός συστήματος υπολογιστών ή ενός δικτύου υπολογιστών που έχει σχεδιαστεί για να εμποδίζει τη μη εξουσιοδοτημένη πρόσβαση, ενώ παράλληλα μπορεί να ρυθμιστεί για να επιτρέπει τις εξουσιοδοτημένες επικοινωνίες.
Πρόκειται για μια συσκευή ή ένα σύνολο συσκευών που έχει διαμορφωθεί για να επιτρέψει, να περιορίσει, να κρυπτογραφήσει ή να αποκρυπτογραφήσει την κυκλοφορία μεταξύ διαφόρων περιοχών βάσει ενός συνόλου κανόνων και άλλων κριτηρίων.
Τα τείχη προστασίας μπορούν να υλοποιηθούν και να εφαρμοστούν σε υλικολογισμικο (Hardware ) ή λογισμικό (Software) ή σε συνδυασμό και των δύο. Τα τείχη προστασίας χρησιμοποιούνται συχνά για να αποτρέψουν την πρόσβαση μη εξουσιοδοτημένων χρηστών του διαδικτύου σε ιδιωτικά δίκτυα που είναι συνδεδεμένα στο διαδίκτυο, ιδίως intranets.
Όλα τα μηνύματα που εισέρχονται ή εξέρχονται από το intranet περνούν από το τείχος προστασίας, το οποίο εξετάζει κάθε μήνυμα και αποκλείει τα μηνύματα που δεν πληρούν τα καθορισμένα κριτήρια ασφαλείας. Είναι επίσης σύνηθες να συνδέσετε το τείχος προστασίας σε ένα τρίτο δίκτυο, που ονομάζεται DMZ (είναι κάτι σαν αποστρατικοποιημένη ζώνη), όπου βρίσκονται οι διακομιστές του οργανισμού που πρέπει να παραμένουν προσβάσιμοι από το εξωτερικό δίκτυο.
Ένα σωστά ρυθμισμένο τείχος προστασίας προσθέτει την απαραίτητη προστασία στο δίκτυο, αλλά σε καμία περίπτωση δεν πρέπει να θεωρείται επαρκής. Η ασφάλεια σε όλο και περισσότερα επίπεδα περιλαμβάνει τους τομείς της εργασίας και της προστασίας από ιούς, και κακόβουλου λογισμικού …
Ένα Firewall είναι ένα σύστημα προστασίας που εμποδίζει μη εξουσιοδοτημένους χρήστες να εισβάλουν μέσα από το Internet στο Intranet της εταιρείας ή της επιχείρησης. Επίσης δεν επιτρέπει τους υπαλλήλους της εταιρείας να έχουν πρόσβαση σε οποιαδήποτε ιστοσελίδα του Internet διότι κάποιες από αυτές ίσως προκαλέσουν ζημιά στο λογισμικό ή το δίκτυο της εταιρείας.
Επίσης και ένας απλός χρήστης μπορεί να τοποθετήσει τον δικό του Firewall στο δίκτυο ή στον υπολογιστή του, και κατ’ επέκταση οποιαδήποτε συσκευή μπορεί να συνδεθεί στο διαδίκτυο ώστε να προστατευτεί από ανεπιθύμητους εισβολείς στο σύστημα του.
Τo firewall συναντάται στους υπολογιστές για προσωπική χρήση υπό μορφή software, αλλά στα εταιρικά περιβάλλοντα, των οποίων η ασφάλεια είναι κύριο μέλημα, συναντάται υπό μορφή hardware.
Ένα firewall μπορεί να σε προφυλάξει μόνο από τις εξωτερικές επιθέσεις και μάλιστα όχι από όλες. Αυτό βέβαια δεν σημαίνει ότι δεν είναι χρήσιμο. Πρέπει όμως πριν το υλοποιήσεις, να ξέρεις τους εχθρούς σου και από τι ακριβώς θέλεις να προστατευτείς.
Πολλές εταιρείες μπορεί να έχουν firewall και να νομίζουν ότι είναι ασφαλείς, όμως στην πράξη αυτό ενδέχεται να είναι εντελώς διάτρητο ή ακόμα και άχρηστο. Για παράδειγμα πολλοί νομίζουν ότι κόβοντας όλες τις συνδέσεις από έξω προς τα μέσα είναι προστατευμένοι. Είναι λάθος γιατί οι περισσότεροι δούρειοι ίπποι (trojan), για παράδειγμα, φτιάχνουν συνδέσεις από μέσα προς τα έξω.
Το να επιτρέψεις την πρόσβαση σε κάποιες υπηρεσίες του εσωτερικού δικτύου (ssh, web server κ.τλ) είναι πολύ ποιο ασφαλές αν προσέχεις.
Ακόμα και μόνο μια υπηρεσία προς τα έξω να έχεις αφήσει μπορεί να είναι επικίνδυνο. Έστω ότι έχεις επιτρέψει την σύνδεση προς τα έξω σε όλους τους web servers. Ένας δούρειος ίππος που έχεις κολλήσει μπορεί να συνδεθεί σε ένα μηχάνημα που βρίσκεται οπουδήποτε στον κόσμο στην πόρτα που αντιστοιχεί στον web server και εκεί να μην βρίσκεται web server αλλά ένα πρόγραμμα που αποκτά πλήρη έλεγχο του μηχανήματός σου.
Από αυτό μπορείς να προστατευτείς εν μέρη, κόβοντας τις συνδέσεις προς τα έξω και κάνοντας χρήση proxy server που ελέγχουν για την ορθότητα του πρωτοκόλλου. Τέτοιοι είναι οι HTTP και FTP proxies (Οι SOCKS proxies δεν είναι τέτοιοι).
Φυσικά αυτοί δεν μπορούν να εμποδίσουν έτσι απλά, δούρειους ίππους που χρησιμοποιούν τους proxy servers για να στείλουν δεδομένα προς τα έξω (πχ αριθμούς πιστωτικών καρτών ή σημαντικά έγγραφα της εταιρίας), και να αποκτήσουν πλήρη πρόσβαση σε ένα μηχάνημα. Με αυτούς όμως μπορείς να φτιάξεις ή να χρησιμοποιήσεις έτοιμες λίστες με συνδέσεις σε προορισμούς και είδη συνδέσεων που θα επιτρέψεις, θα παρακολουθήσεις πιο προσεκτικά ή θα κόψεις τελείως.
Παρακάτω θα περιγράψουμε σαν παράδειγμα ένα επαρκές firewall για μια εταιρεία με αυξημένο κίνδυνο παραβιάσεων του δικτύου της. Στο τέλος θα δούμε κάποιους πιθανούς τρόπους με τους οποίους μπορεί να παραβιαστεί ένα τέτοιο firewall. Έστω λοιπόν ότι η εταιρία σου θέλει να έχει πρόσβαση σε WWW, FTP και MAIL υπηρεσίες. Έχει εσωτερικό δικό της mail server και θέλει οι χρήστες να έχουν πρόσβαση στα mail τους από έξω. Τα mail θεωρούνται σημαντικά και θέλει να τα προφυλάξει. Επιπλέον θέλει WWW και FTP servers.
Σήμερα η συνηθισμένη τακτική είναι να φτιάχνονται αποστρατικοποιημένες ζώνες για τις υπηρεσίες που προσφέρονται προς τα έξω και ένα εσωτερικό δίκτυο πίσω από ένα καλό firewall για χρήση από τους χρήστες.
Ένα τέτοιο firewall πρέπει να ικανοποιεί τις παρακάτω παραμέτρους:
- Ένα router πρέπει να έχει δύο ethernet κάρτες και μια σύνδεση (ADSL, μισθωμένη γραμμή κ.λπ.) προς τον πάροχο Internet. Η μια κάρτα ethernet είναΙ για την αποστρατιωτικοποιημένη ζώνη και η άλλη για το κυρίως δίκτυο.
- Οι web / ftp servers πρέπει να μπαίνουν στην αποστρατικοποιημένη ζώνη.
- O κεντρικός mail server καθώς και ο imap server μπαίνουν στο κυρίως δίκτυο πίσω από το firewall.
- Επιπλέον στην αποστρατικοποιημένη ζώνη βάζουμε web, ftp και imap proxies καθώς και έναν mail server που θα είναι ενδιάμεσος για τον εσωτερικό. Καλό είναι να έχει και υποστήριξη για antivirous.
- Από το εξωτερικό δίκτυο επιτρέπονται συνδέσεις μόνο πάνω στους servers που βρίσκονται στην αποστρατικοποιημένη ζώνη.
- Οι εξωτερικοί χρήστες του διαδικτύου απαγορεύεται δια ροπάλου να περάσουν στο εσωτερικό δίκτυο παρά μόνο μέσω των proxies της αποστρατικοποιημένης ζώνης.
- Από το εσωτερικό δίκτυο να επιτρέπονται οι συνδέσεις μόνο πάνω στους proxies της αποστρατιωτικοποιημένης ζώνης.
- Να επιτρέπονται αμφίδρομες συνδέσεις από τον εσωτερικό mail server προς τον mail server της αποστρατιωτικοποιημένης ζώνης και αντίστροφα.
- Να επιτρέπεται η σύνδεση από τον imap proxy της αποστρατιωτικοποιημένης ζώνης στον εσωτερικό imap server.
- Να τοποθετούνται κανόνες πρόσβασης στους proxies της αποστρατιωτικοποιημένης ζώνης. Καλό θα είναι για παράδειγμα να επιτρέπονται οι SSL συνδέσεις μόνο σε συγκεκριμένα site, τα οποία είναι ασφαλή (τράπεζες, webmailers, κτλ). Επιπλέον υπάρχουν εμπορικές λίστες με τα ασφαλή και επικίνδυνα site που μπορείς να χρησιμοποιήσεις.
Σε αυτή την τοπολογία κανείς δεν μπορεί να συνδεθεί στο εσωτερικό δίκτυο από έξω. Ένα τέτοιο firewall μπορεί να “σπάσει”:
- Με παραβίαση του router που υλοποιεί το firewall. Αν έχει στηθεί σωστά το firewall είναι πολύ δύσκολο να συμβεί κάποια παραβίαση, εκτός κι αν ο επιτιθέμενος εκμεταλλευτεί κάποιο κενό ασφαλείας του λειτουργικού συστήματος. Για το Linux για παράδειγμα δεν έχουν αναφερθεί πολλές τέτοιου είδους αδυναμίες. Ακόμα και οι υπηρεσίες για απομακρυσμένη σύνδεση με ssh (secure shell) να επιτρέψεις από το Internet, είναι αναγκαίο να προσέχεις ώστε η έκδοση του ssh να είναι πάντα η τελευταία ενημερωμένη έκδοση, με απώτερο σκοπό να είναι μικρό το ρίσκο.
- Αν παραβιαστεί κάποιο από τα μηχανήματα που βρίσκονται στην αποστρατιωτικοποιημένη ζώνη τότε ο εισβολέας έχει μπει στην “αυλή” σου. Αλλά θα χρειαστεί ακόμα αρκετή δουλειά για να εισέλθει στο εσωτερικό δίκτυο. Μπορεί να το κάνει μόνο αν βρει κάποιο κενό ασφαλείας στον imap server ή στον mail server μας. Όμως ακόμα και να βρει αν έχουν στηθεί ακολουθώντας κάποιους κανόνες ασφαλείας το μόνο που θα έχει είναι πρόσβαση στα mail.
- Αν με κάποιο τρόπο εισέλθει ιός στο εσωτερικό δίκτυο (πχ από mail ή από κάποιο laptop που βγήκε εκτός εταιρίας) κινδυνεύεις. Αυτός θα μπορεί να σβήσει αρχεία ή να στείλει με mail έξω δεδομένα ή να αποκτήσει πλήρη πρόσβαση κάποιος από έξω σε κάποιον από τους υπολογιστές σου (τα http/ftp είναι αμφίδρομες επικοινωνίες, οι proxies μπορεί να επιτρέπουν κάτι τέτοιο). Οι μόνες λύσεις είναι τα antivirus στα laptop που φεύγουν εκτός εταιρίας και στους mail servers και έλεγχος πρόσβασης στο WEB (πχ blacklists ή/και antivirous). Πάντα υπάρχει η περίπτωση να κολλήσεις τον ιό πριν από όλους και πριν οι εταιρίες προλάβουν να ενημερώσουν τα antivirus τους (μου έχει τύχει!).
- Όπως και με αρκετούς άλλους απρόβλεπτους τρόπους, αλλά με μικρή πιθανότητα.
Στο προηγούμενο παράδειγμα αν έχεις γίνει στόχος ενός hacker τότε τα antivirus δεν είναι δυνατόν να σε προστατεύσουν γιατί ο ιός θα έχει γραφεί αποκλειστικά για σένα. Αν σου περάσουν ιό υπάρχει μικρή πιθανότητα να αποκτήσει πλήρη πρόσβαση σε κάποιο από τα μηχανήματά σου (λόγο των λιστών πρόσβασης στους proxies μας) και κάποια πιο σοβαρή πιθανότητα να καταστρέψει δεδομένα.
Το firewall λοιπόν από μόνο του δεν αρκεί για να σε προστατεύσει στο έπακρο, αλλά χρειάζεται συνεχή παρακολούθηση του δικτύου.. Επιπλέον επιβάλλεται να εφαρμοστεί μία δυναμική πολιτική ασφαλείας και για το εσωτερικό δίκτυο.
Τέλος, είναι χρήσιμη η ενημέρωση των Software και των Hardware με τις τελευταίες διορθώσεις ούτως ώστε να εξαλειφθούν τα κενά ασφαλείας, τουλάχιστον για τα εκτεθειμένα μηχανήματα, και το κυριότερο από όλα είναι να υπάρξει μια καλή πολιτική backup (και ο θεός βοηθός!) .
