Strażnik Cyfrowego Królestwa

Wyobraź sobie swoją prywatną sieć domową lub sieć firmową jako średniowieczny zamek. Zamek ten zawiera wszystkie Twoje cenne aktywa: dane osobowe, poufne dokumenty, komputery i serwery. Świat poza murami zamku to rozległa, nieokiełznana dzicz internetu: publiczna przestrzeń pełna zarówno nieszkodliwych podróżników, jak i potencjalnych zagrożeń. Zapora sieciowa (firewall) jest strażnikiem bramy zamkowej.

Jej podstawowym zadaniem jest staniecie przy głównej bramie (połączeniu sieci z internetem) i inspekcja każdej osoby (pakietu danych) próbującej wejść lub wyjść. Strażnik ma ścisły zestaw reguł, politykę bezpieczeństwa, który dyktuje, kto ma prawo wejść, a kto zostanie zawrócony. Ta kontrola przepływu ruchu jest pierwszą i najważniejszą linią obrony w ochronie prywatnej sieci przed niebezpieczeństwami publicznego internetu.

Pierwsza Generacja: Zapory filtrujące pakiety

Najwcześniejsze zapory sieciowe były proste, ale skuteczne, znane jako zapory filtrujące pakiety. Działają one podobnie do ochroniarza przy wejściu do budynku z bardzo podstawową listą kontrolną.

Ten typ zapory analizuje nagłówki każdego pakietu danych: cyfrowy odpowiednik etykiety adresowej na paczce. Nie zagląda do środka paczki, aby sprawdzić jej zawartość. Decyzja o przepuszczeniu lub odrzuceniu pakietu opiera się wyłącznie na informacjach znalezionych w tych nagłówkach, które obejmują:

• Źródłowy adres IP: Skąd pochodzi pakiet?
• Docelowy adres IP: Dokąd zmierza pakiet?
• Port źródłowy: Z której aplikacji na komputerze źródłowym wysłano pakiet? (np. port $49152$ na Twoim PC).
• Port docelowy: Do której aplikacji na serwerze docelowym jest przeznaczony pakiet? (np. port $443$ dla bezpiecznej strony internetowej).
• Protokół: Jaki to rodzaj komunikacji? (np. TCP do przeglądania stron, UDP do streamingu wideo).

Zapora porównuje te informacje z zestawem reguł zdefiniowanych w Liście Kontroli Dostępu (ACL). Na przykład, prosta lista ACL może wyglądać tak:

W tym przykładzie Reguła 1 pozwala każdemu z internetu połączyć się z serwerem WWW pod adresem IP $192.168.1.10$ na porcie $80$. Reguła 2 jawnie blokuje niezabezpieczony protokół Telnet. Reguła 3 to domyślna reguła odrzucająca, blokująca cały pozostały ruch, który nie pasuje do konkretnej reguły zezwalającej.

Kluczową słabością tego podejścia jest to, że jest ono bezstanowe. Każdy pakiet jest oceniany niezależnie, bez pamięci o poprzednich pakietach. Zapora nie wie, czy pakiet jest częścią ustanowionej, legalnej konwersacji, czy też jest niechcianym, potencjalnie złośliwym pakietem od atakującego. To czyni ją podatną na ataki takie jak IP spoofing i sprawia, że tworzenie bezpiecznych, złożonych zestawów reguł jest bardzo trudne.

Druga Generacja: Zapory z inspekcją stanową

Wielkim przełomem w technologii zapór sieciowych było wynalezienie inspekcji stanowej. Zapora stanowa jest mądrzejsza od prostego filtra pakietów, ponieważ posiada pamięć. Nie patrzy tylko na pojedyncze pakiety; rozumie kontekst konwersacji.

Kluczową innowacją jest tablica stanów. Kiedy użytkownik wewnątrz zaufanej sieci inicjuje połączenie z serwerem w internecie (np. Twój komputer łączący się z onet.pl), zapora tworzy wpis w swojej tablicy stanów. Wpis ten rejestruje szczegóły tej konkretnej konwersacji: źródłowy adres IP i port, docelowy adres IP i port oraz protokół.

Teraz, gdy pakiet odpowiedzi wraca z internetu, zapora nie musi konsultować swojej złożonej listy ACL. Po prostu sprawdza swoją tablicę stanów. Widzi pakiet z serwera Onetu wracający na Twój komputer na właściwym porcie i stwierdza: "Aha, widzę, że ten pakiet jest częścią konwersacji zainicjowanej przez mojego zaufanego użytkownika. Przepuszczę go." Każdy niechciany pakiet z internetu, który nie pasuje do istniejącego wpisu w tablicy stanów, jest automatycznie odrzucany.

To podejście jest znacznie bezpieczniejsze. Skutecznie pozwala na całą komunikację zainicjowaną z zaufanej sieci wewnętrznej, jednocześnie blokując prawie całą komunikację inicjowaną z niezaufanej sieci zewnętrznej, chyba że pozwala na to konkretna reguła. Inspekcja stanowa stała się standardem przemysłowym i pozostaje fundamentem praktycznie wszystkich nowoczesnych zapór sieciowych. Działa jednak głównie na warstwie sieciowej i transportowej, co oznacza, że rozumie połączenia, ale nie aplikacje, które z nich korzystają.

Trzecia Generacja: Zapory na poziomie aplikacji (Proxy)

Podczas gdy zapory stanowe rozumieją konwersacje, zapory na poziomie aplikacji, znane również jako zapory proxy, rozumieją język tych konwersacji. Działają one na warstwie aplikacji (warstwie 7) modelu OSI, co daje im najgłębszy wgląd w ruch.

Zapora na poziomie aplikacji działa jako proxy, czyli pośrednik, dla ruchu. Nie pozwala na bezpośrednie połączenie między klientem wewnętrznym a serwerem zewnętrznym. Zamiast tego ustanawia dwa oddzielne połączenia:

1. Klient łączy się z zaporą proxy.
2. Zapora proxy dokładnie analizuje żądanie klienta. Jeśli żądanie jest bezpieczne i zgodne z polityką, zapora inicjuje drugie, oddzielne połączenie z serwerem zewnętrznym w imieniu klienta.

Ta pozycja pośrednika pozwala zaporze analizować faktyczne polecenia i dane w ramach protokołu. Na przykład, może zezwolić użytkownikowi na używanie protokołu FTP (File Transfer Protocol) do pobierania plików, ale konkretnie zablokować polecenie przesyłania lub usuwania plików. Może rozumieć żądania HTTP i filtrować ruch na podstawie konkretnej odwiedzanej strony internetowej lub blokować złośliwy kod osadzony na stronie.

Mimo że oferują niezwykle wysoki poziom bezpieczeństwa, zapory proxy mają znaczące wady. Są znacznie wolniejsze niż inne typy zapór, ponieważ muszą zakończyć, zbadać, a następnie ponownie utworzyć każde połączenie. Wymagają również oddzielnej, wyspecjalizowanej aplikacji proxy dla każdego protokołu, który mają zabezpieczać (np. proxy HTTP, proxy FTP, proxy SMTP), co utrudnia ich skalowanie i adaptację do nowych aplikacji.

Czwarta Generacja: Zapory Nowej Generacji (NGFW)

Dzisiejsze najbardziej zaawansowane zapory sieciowe są znane jako Zapory Nowej Generacji (NGFW). NGFW to zintegrowana platforma bezpieczeństwa, która łączy szybkość i bezpieczeństwo zapory stanowej z dodatkowymi, bardziej inteligentnymi funkcjami bezpieczeństwa. Ma na celu zapewnienie wglądu na poziomie aplikacji, jak w zaporze proxy, ale bez jej obniżonej wydajności.

Kluczowe cechy definiujące NGFW to:

• Standardowe Funkcje Zapory: NGFW zawiera wszystkie możliwości tradycyjnej zapory z inspekcją stanową jako swoją podstawę.
• Świadomość i Kontrola Aplikacji: To cecha charakterystyczna. NGFW może identyfikować i kontrolować ruch na podstawie aplikacji, a nie tylko portu i protokołu. Używa Głębokiej Inspekcji Pakietów (DPI) do rozpoznawania unikalnych sygnatur tysięcy aplikacji. Jest to kluczowe, ponieważ wiele nowoczesnych aplikacji używa niestandardowych portów lub potrafi zmieniać porty, aby ominąć proste zapory. NGFW może na przykład utworzyć regułę "Zezwalaj na dostęp do aplikacji Gadu-Gadu, ale blokuj wszystkie aplikacje do wymiany plików peer-to-peer", niezależnie od tego, jakich portów próbują użyć.
• Zintegrowany System Zapobiegania Włamaniom (IPS): Większość NGFW zawiera w pełni zintegrowany IPS. Oznacza to, że zapora aktywnie skanuje ruch w poszukiwaniu znanych podatności, exploitów i sygnatur złośliwego oprogramowania. Jeśli znajdzie dopasowanie, nie tylko rejestruje alert; aktywnie blokuje złośliwy ruch w czasie rzeczywistym.
• Integracja z Tożsamością Użytkownika: Nowoczesne NGFW mogą integrować się z usługami katalogowymi użytkowników, takimi jak Microsoft Active Directory. Pozwala to administratorom tworzyć bardzo szczegółowe reguły oparte na tożsamości użytkownika lub przynależności do grupy. Na przykład, polityka może stwierdzać: "Zespół marketingu może korzystać z portali społecznościowych, ale zespół finansowy nie."
• Źródła Danych o Zagrożeniach: NGFW są często połączone z chmurowymi usługami analityki zagrożeń. Usługi te dostarczają w czasie rzeczywistym aktualizacji o nowo odkrytych zagrożeniach, złośliwym oprogramowaniu i złośliwych adresach IP z całego świata, zapewniając, że zabezpieczenia zapory są zawsze aktualne.

Zabezpieczanie Serwerów Publicznych: Strefa Zdemilitaryzowana (DMZ)

Powszechnym wyzwaniem architektonicznym jest bezpieczne hostowanie serwerów, które muszą być dostępne z publicznego internetu, takich jak serwer WWW firmy, serwer poczty e-mail czy serwer DNS. Umieszczenie tych serwerów bezpośrednio w wewnętrznej, zaufanej sieci jest niezwykle ryzykowne; jeśli jeden z nich zostanie skompromitowany, atakujący ma bezpośredni punkt zaczepienia wewnątrz Twojej twierdzy.

Rozwiązaniem jest stworzenie specjalnego, izolowanego segmentu sieci zwanego Strefą Zdemilitaryzowaną (DMZ). DMZ to sieć buforowa, która znajduje się między niezaufanym internetem a zaufaną siecią wewnętrzną.

DMZ jest zazwyczaj implementowana przy użyciu zapory sieciowej z co najmniej trzema interfejsami sieciowymi: jednym dla zewnętrznego internetu, jednym dla wewnętrznej sieci LAN i jednym dla DMZ. Zapora jest skonfigurowana ze ścisłymi regułami regulującymi przepływ ruchu:

• Ruch z Internetu do DMZ jest bardzo ograniczony, dozwolony tylko dla określonych usług (np. port $443$ do serwera WWW).
• Ruch z Internetu do wewnętrznej sieci LAN jest całkowicie zablokowany.
• Ruch z DMZ do Internetu jest często dozwolony.
• Ruch z DMZ do wewnętrznej sieci LAN jest całkowicie zablokowany. To jest najważniejsza reguła. Jeśli atakujący skompromituje serwer w DMZ, nie może go użyć do bezpośredniego ataku na sieć wewnętrzną.
• Ruch z wewnętrznej sieci LAN do DMZ jest zazwyczaj dozwolony, aby użytkownicy wewnętrzni mogli uzyskać dostęp do serwerów publicznych.
• Ruch z wewnętrznej sieci LAN do Internetu jest dozwolony, często z pewnym filtrowaniem.