Před útočníky z vnější sítě

Ochrana před útočníky z vnější sítě

    Neoprávněný vzdálený přístup je velmi nežádaný jev pro správnou funkci sítě nebo samotného počítače. Jelikož se v počítačích a na síti uchovávají různé citlivé údaje a data,je potřeba zamezit případnému odposlechu datové komunikace v síti, který by hrozil formou vzdáleného přístupu. Nejlepším prostředkem jak se bránit proti neoprávněnému vzdálenému přístupu je izolovat síť od veškerých externích sítí. Síť pak bude postavena pouze lokálně a případný útočník není schopen se vzdáleně do sítě připojit. V mnoha případech však tato možnost není a síť je připojena na další externí sítě, nejčastěji internet. V této variantě je velké riziko, že se do sítě vzdáleně někdo připojí. Možnost jak se proti takovému útoku bránit je použití firewallu.

Firewall
    Firewall je zařízení ležící na obvodu sítě. Pomocí množiny pravidel definuje jaký
přístup ze sítě nebo do sítě bude povolovat nebo naopak zamítat.

Firewallů je více druhů:

  • Paketové filtry.
  • Proxy filtry.
  • Stavové filtry.

Paketové filtry
    Filtrování paketů je jednou z nejstarších a nejrozšířenějších metod řízení přístupu k sítím. Základní myšlenka je velice jednoduchá: Podle určitých identifikačních údajů v hlavičce paketu se stanový jestli smí paket vstoupit, případně vystoupit ze sítě. Technologie filtrování paketů je součástí mnoha různých operačních systémů, softwarových i hardwarových firewallu a patří také mezi bezpečnostní funkce většiny směrovačů.

    Firewall, který spadá do kategorie paketových filtrů TCP/IP, zpravidla analyzuje
síťový provoz na transportní vrstvě, případně síťové (internetové) vrstvě sady protokolů TCI/IP; to znamená, že může v konkrétní síti filtrovat libovolná přenášená data, odpovídající standardní sadě protokolů TCP/IP (případně jiné standardní rodině protokolů). Jednotlivá pole každého datového paketu jsou dobře známá (příkladem je pole zdrojové IP adresy, cílové IP adresy, zdrojového portu a cílového portu); paketový filtr v nich tedy analyzuje statické informace z hlavičky paketu.

    Brána firewall zkoumá každou hlavičku všech paketů a použije uvedené informacek  učinění rozhodnutí, zda paket přijmout a směrovat jej k cíli, zda paket odstranit bez oznámení či jej odmítnout (to znamená paket odstranit a upozornit odesílatele na to, že paket byl zahozen).

Paketové filtry se rozhodují podle následujících informací v hlavičkách:

  • Zdrojová adresa IP.
  • Cílová adresa IP.
  • Používaný síťový protokol (TCP, UDP nebo ICMP).
  • Zdrojový port TCP nebo UDP.
  • Cílový port TCP nebo UDP.
  • Jedná-li se o protokol ICMP, typ zprávy ICMP.

Proxy filtry
     Proxy server, označovaný někdy také jako aplikační brána či proxy filtr,
je specializovaná aplikace, která zajišťuje komunikaci internetových protokolů mezi vnitřní chráněnou sítí a vnějším světem (Internetem). Proxy servery pracují obvykle nad programy postavenými na TCP/IP a zpravidla v nich běží několik programových proxy („prostředníků“), které je možné zabezpečit a důvěřovat jim. Tyto programy slouží vždy pro konkrétní aplikaci a každý jednotlivý podporovaný protokol musí mít samostatnou proxy službu nebo jej musí obsluhovat obecný (univerzální) proxy. Jako proxy server může pracovat také transparentní program, který předává pakety na libovolném daném portu přes hranice sítě.
    Proxy server přistupuje jménem klienta či uživatel k určité síťové službě a fakticky tím zakrývá přímé spojení mezi oběma partnery. Klient naváže potřebná spojení s proxy serverem (včetně úplné navázání třícestné komunikace) a proxy se poté spojí s cílovým serverem. Dále již proxy odesílá cílovému serveru veškerá data přijatá od klienta a zpětné předává klientu data doručená od cílového serveru. Formálně vzato je proxy server současně klientem i serverem. Vůči svému klientovi vystupuje jako server a vůči cílovému serveru vystupuje jako klient.

Stavové filtry
    Třetí typ firewallů v sobě spojuje ty nejlepší vlastnosti z technologií paketových filtrů
a proxy filtrování. Stavový paketový filtr si pro každou relaci, vedenou přes firewall, pamatuje kompletní stavové informace. Při každém navázání nového spojení IP, ať už v příchozím nebo odchozím směru, se do stavové tabulky relačních toků zaznamenávají příslušné údaje. Stavová tabulka relačních toků obsahuje ke každému spojení TCP/UDP, sdruženému s příslušnou komunikační relací, informace o zdrojové a cílové adrese, čísla portů, údaje o pořadových číslech TCP, a případné doplňující příznaky. S navázáním relace přes firewall se vytvoří objekt spojení, veškeré příchozí i odchozí pakety se následně porovnávají s relačním tokem, zaznamenaným ve stavové tabulce relačních toků, a průchod dat firewallem se povolí jen v případě, že k nim existuje příslušné spojení. Tato metoda je při filtrování velice účinná, protože pracuje nad jednotlivými pakety a každý z nich porovnává vůči navázaným komunikačním spojením. Běží rychleji než filtrování paketů či proxy filtr. Ke každé spojované i nespojované transakci zaznamenává určité údaje do tabulky, ke které se firewall může později vracet a může stanovit, jestli přijatý paket náleží k některému stávajícímu spojení, nebo jestli pochází z neoprávněného zdroje.


Kontrola zabezpečení sítě proti vniknutí z vnější sítě:
Kontrola zabezpečení bude opět popsána pomocí programu Look@LAN.Toto prověření je možné provést zadáním veřejné IP adresy hraničního směrovače do kolonky Host“ a poté kliknutí na ikonku lupy. Jelikož je v práci popisována konkrétní modelová situace a není tedy dána IP adresa hraničního směrovače, byla pro následující výstup použita tato IP adresa: 77.75.72.3, jedná
se o IP adresu serveru seznam.cz. Výstup tohoto skenování je znázorněn na obrázku dalším obrázku.

 

 

 

    Z výstupu znázorněném na obrázku číslo 10 lze vyčíst, že na tomto serveru jsou otevřeny porty číslo: 21, 80 a 443. Přes tyto porty je tedy možné proniknout do vnitřní sítě. Program Look@LAN využívá pro výše uvedené výsledky protokol ICMP.    

    ICMP je jeden z nejdůležitějších protokolů ze sady protokolů internetu. Používají ho operační systémy počítačů v síti pro odesílání chybových zpráv, například pro oznámení,že požadovaná služba není dostupná nebo že potřebný počítač nebo router není dosažitelný. Program pracuje tak, že postupně posílá na jednotlivé adresy dotazy ping, pokud program obdrží odpověď, prozkoumá jednotlivé porty na dané IP adrese.

Předchozí | Následující