Firewalls
door Vsionair
Steeds meer bedrijven zijn of worden aangesloten op het
Internet. In het kader van de beveiliging van deze systemen staan de protocollen centraal.
Veel van de gebruikte protocollen zijn niet veilig.Het SMTP protocol wordt gebruikt voor
de email, maar blijkt zeer kwetsbaar te zijn (Internet worm). SMTP, NFS,NIS maar ook een
dienst als Finger kunnen ons onder meer informatie geven over login-namen. Aan de hand van
die logins kun je meestal inschatten in hoeverre het systeem toegankelijk is.
Om eventuele schade en/of inbraken te beperken heeft men een zgn "Firewall"
ontworpen. Een Firewall is een systeem dat al het in- en uitgaande verkeer bekijkt en
beslist wat er doorgelaten kan worden op grond van ingeprogrammeerde regels(zie fig 1).
Hij schermt daarmee de eigen infrastructuur af van Internet. Het hoeft hierbij niet alleen
te gaan over aanvallen van buitenaf. firewalls kunnen tevens worden gebruikt om binnen het
eigen netwerk beveilgde gebieden te maken, bijvoorbeeld een scheiding tussen
computers met en zonder gevoelige gegevens.
Ook kan men gebruik maken van systemen waarbij de gegevens
versleuteld worden. (bijvoorbeeld Kerberos)
Het nadeel hiervan is dat men een centraal punt voor sleutelbeheer nodig heeft en dat men
zichzelf beperkt in het aantal bestemmingen en diensten.
Hoe ziet een Firewall eruit?
De opbouw van een firewall is eenvoudig.(fig.2) Twee filters blokkeren delen van het
verkeer. Een tussenliggende gateway biedt diensten die erop zijn gericht de effecten van
het filteren te compenseren. Het buitenste filter, tussen gateway en Internet, gaat
aanvallen tegen van buitenaf terwijl de binnenste beschermt tegen een alsnog doorgekomen
gateway. Vaak is er ook nog een tweede, interne gateway aanwezig. De communicatie tussen
die beide is dan aan minder beperkingen onderhevig dan het verkeer met de andere
hoofdcomputers.
De werking van Firewalls kunnen grofweg in drie
basistypen worden ingedeeld, nl filterend op het niveau van:
- IP-pakket
- Connectie
- Sessie/applicatie
Vaak is een combinatie van deze methoden in gebruik. Welke
dat is of zijn, hangt af van het beveiligingsbeleid.
Filterniveaus
Pakketfilterende firewalls leveren de flexibelste manier van bescherming. Ze baseren hun
beslissing over al of niet doorlaten op het (poort)adres van de afzender dan wel de
ontvanger tijdens invoer of uitvoer van een datapakket.
Bij filtering op connectieniveau (circuit gateway) gaat het
in principe om een soort telefooncentrale. Deze kan tijdelijk een verbinding tussen een
vertrouwde computer en een ander systeem leggen. Voor het werkstation lijkt het dan of hij
rechtstreeks met de server communiceert, komt de aanvraag van een niet-vertrouwd station
dan wordt deze niet doorverbonden. Om te bepalen of het een toegestane verbinding betreft,
neemt de firewall parameters in aanmerking als het numerieke IP-adres en de stationsnamen
(via een proxy-server).
Daarbij kan hij in een logbestand bijhouden tussen welke adressen een tijdelijk circuit
wordt gecreëerd en hoeveel data zij uitwisselen.
Een op applicatieniveau filterende firewall (application
gateway) gebruikt geen algemeen mechanisme. Voor alle diensten werkt hij met
afzonderlijke, op de betreffende toepassing afgestemde programmasegmenten.
Dit type is van de drie genoemde waarschijnlijk de meest veilige. Bovendien maakt hij het
mogelijk om echt alle verkeer in een log bij te houden. Hij heeft als beperking dat
hij alleen de belangrijkste diensten ondersteunt en daarbij tevens de minst flexibele
oplossing vormt. Deze methode wordt gebruikt voor riskante diensten.
Een voorbeeld hiervan is elektronische post, die vaak via zo’n firewall loopt,
ongeacht hoe de verdere beveiliging gedaan wordt.
Een goede firewall is een combinatie van de drie basistypen
in een mix die geheel is afgestemd op het beveiligingsbeleid.
In de praktijk gaat het meestal om de bescherming van gevoelige informatie maar
ondertussen moeten wel zoveel mogelijk diensten beschikbaar blijven. Het komt erop neer
dat een proxy-server de kern van de firewall vormt terwijl daarnaast ook op IP-paketten
wordt gefilterd en een aantal toepassingen via applicatie-gateways verloopt.
Het filteren op IP-niveau geeft dan informatie over welke pakketten van het eigen netwerk
afkomen en dus beter te vertrouwen zijn. Een proxy-server kan dat ook wel maar het
resultaat is dan een (te) simpele vorm van pakketfilter die onvoldoende in staat is om
aanvallen op IP-niveau af te slaan. (IP-Spoofing, zie Klaphek herfst 1996)
Gaten en Kraken
Berucht zijn de gaten die zelfs een goed beveiligd netwerk blijven. Het opzetten van een
firewall heeft geen enkele zin als het mogelijk is om met een modem in te bellen in
computers van het eigen net. Kraakbaarheid is ook een beperking. De meeste firewalls
worden voor een Unix systeem gemaakt en die omgeving is niet geschreven met als
belangrijkste kenmerk veiligheid. De broncode van onderdelen van het besturingssysteem
zijn op veel plaatsen
vrij verkrijgbaar. Uitgebreide bestudering van deze code levert voor ons nogal eens wat
mogelijkheden op.
Oudere versies van Unix zijn het meest kraakbaar. Een groot
nadeel is dat firewalls vaak een logbestand bijhouden: dus kijk uit!!
Literatuur:
Wietse Venema: Securing your Unix systems
Firewalls en de beveiliging van Internet, seminarbundel
Radix
William Cheswick: Firewalls and Internet
|
