Jak działa firewall?

Typologia ataków, przed którymi chronią zapory ogniowe

Na łamach PC Centre opublikowaliśmy już wiele artykułów, które poruszały zagadnienia związane z bezpieczeństwem. Dziś usystematyzujemy wiedzę na temat typologii ataków, na które narażony jest komputer, a za przeciwdziałanie którym odpowiada firewall. Wcześniej jednak przedstawimy Wam, czym jest zapora ogniowa oraz na czym polega zasada działania tego typu rozwiązań. Jesteśmy pewni, że każdy znajdzie w tym tekście coś dla siebie…

Podział zapór ogniowych oraz ich specyfika

Firewall to hardware’owe lub software’owe zabezpieczenie, które ma na celu zablokować wszelkie próby ataku z zewnątrz – z Internetu i z sieci lokalnej. Pierwszy typ zapór ogniowych wykorzystywany jest głównie w serwerowniach oraz wszędzie tam, gdzie bardzo istotne jest odpowiednie zabezpieczanie danych. Niestety, sprzętowe zapory ogniowe są kosztowne: za najtańszą (i w miarę dobrą) zapłacimy około 300 złotych; przeważnie sprzętowe zapory ogniowe sprzedawane jako integralna część routera; profesjonalne rozwiązania wiążą się nawet z wydatkiem rzędu kilku tysięcy złotych. Powszechnie stosowane są firewalle programowe. Ich sztuczność w blokowaniu nieautoryzowanego dostępu do domowego komputera jest wystarczająca. Niewątpliwą zaletą rozwiązań programowych jest również ich niska cena (ba, istnieją darmowe zapory ogniowe, których skuteczność dorównuje niejednemu płatnemu oprogramowaniu; listę darmowych aplikacji podajemy niżej).

Zapory sieciowe możemy podzielić także w nieco inny sposób, a mianowicie na:

• zapory filtrujące monitorują przepływające przez nie pakiety sieciowe i przepuszczają tylko te, które są zgodne z ustalonymi regułami (zapora pracująca dodatkowo jako router);
• oprogramowanie komputerów stacjonarnych udostępnia wybrane porty wykorzystywane do przyjmowania połączeń przychodzących; monitoruje ruch, udostępnia także realizowanie połączeń wychodzących z komputera wybranym usługom/programom;
• zapory pośredniczące, które wykonują połączenia w imieniu użytkownika (na przykład: zamiast otwarcia sesji FTP bezpośrednio na systemie zdalnym uruchamia się sesję FTP na zaporze i dopiero stamtąd nawiązuje się połączenie z systemem zdalnym. Dzięki temu wszelkie pakiety niepoprawne - to jest niezgodne z protokołem FTP - zostają zablokowane, a które przy bezpośrednim połączeniu mogłyby być może być obsłużone przez lokalny system. Zapory pośredniczące w tym wypadku pozwalają nam również na zarządzanie i kontrolę, kto i kiedy oraz w jaki sposób korzysta z usługi FTP).

Oba podziały mają jednak wymiar czysto teoretyczny; w dobie rozwiązań hybrydowych spychane są na margines.

Ataki, którym zapobiec może zapora ogniowa

Poniżej charakteryzujemy kilka najczęstszych zagrożeń, przed którymi chroni nas zapora ogniowa.

Pingflood

Atak typu pingflood polega na „bombardowaniu” komputera pakietami ICMP o większej niż dozwolona wielkości (tzn. większej niż 65 536 B). Do ich wysyłania wykorzystywany jest program ping. W efekcie zaatakowany komputer (lub serwer) może zostać mocno obciążony lub nawet może samoczynnie uruchomić się ponownie.

Land

Skutki ataku typu land mogą być takie same, jak opisanego wyżej pingfloodu. Sam przebieg jest jednak inny. Agresor wysyła sfałszowany pakiet, w którym adres IP komputera-adresata jest taki sam, jak numer IP nadawcy. Zaatakowany komputer próbuje odpowiedzieć na otrzymaną informacje, jednak ponieważ sfałszowano adres nadawcy, łączy się on z samym sobą. Dochodzi w efekcie do zapętlenia czynności odbierania i odpowiadania na żądanie…

Smurf Attack

Do sieci kierowanych jest wiele pakietów protokołu ICMP, których adres zwrotny został zastąpiony adresem rozgłoszeniowym (tzw. broadcast; w niektórej literaturze nazywany jest adresem rozsiewczym). W wyniku tego wszystkie komputery znajdujące się w danej sieci zaczynają odpowiadać na otrzymaną informację. Atak wpływa na ilość generowanego, niepotrzebnego ruchu. Może również doprowadzić do zablokowania serwera.

Skanowanie portów

Ten typ ataku często zapowiada kolejne (na przykład próbę zainfekowania komputera koniem trojańskim lub robakiem). Cracker (lub napisany przez crackera skrypt) skanuje komputer w celu wykrycia wolnych portów, przez które możliwe będzie „wszczepienie” złośliwego kodu, lub aby zebrać nieco informacji na temat sposobu wykorzystania sieci (np. czy atakowany korzysta z programów typu peer to peer lub z poczty elektronicznej).

Konkluzje

Mamy nadzieję, że niniejszy artykuł pomógł Wam w zrozumieniu czym jest firewall. Przedstawiliśmy również kilka z ataków, przed którymi oprogramowanie (a szerzej rozwiązania) tego typu ma ochronić komputer.

Zachęcamy Was, drodzy Czytelnicy, do pobrania wybranej przez siebie zapory ogniowej! Zgodnie z obietnicą, podajemy listę tych programów, których można używać za darmo (w tym także te, które legalnie można zainstalować na firmowym komputerze).

Darmowe firewalle

Niektóre z poniższych aplikacji można pobrać w dziale Download.

• Zone Alarm Personal
• Sygate Personal Firewall
• R-Firewall
• Iptables - filtr pakietów umożliwiający zbudowanie firewalla linuksowego