.
Στην επιστήμη των υπολογιστών ο όρος firewall ή τείχος προστασίας χρησιμοποιείται για να δηλώσει κάποια συσκευή ή πρόγραμμα που είναι έτσι ρυθμισμένο ούτως ώστε να επιτρέπει ή να απορρίπτει πακέτα δεδομένων που περνούν από ένα δίκτυο υπολογιστών σε ένα άλλο.
Λειτουργία
Μία τυπική διάταξη firewall.
Η κύρια λειτουργία ενός firewall είναι η ρύθμιση της κυκλοφορίας δεδομένων ανάμεσα σε δύο δίκτυα υπολογιστών. Συνήθως τα δύο αυτά δίκτυα είναι το Διαδίκτυο και το τοπικό/εταιρικό δίκτυο. Ένα firewall παρεμβάλλεται ανάμεσα σε δύο δίκτυα που έχουν διαφορετικό επίπεδο εμπιστοσύνης. Το Διαδίκτυο έχει μικρό βαθμό εμπιστοσύνης (low level of trust), ενώ το εταιρικό δίκτυο ή το οικιακό δίκτυο διαθέτουν τον μέγιστο βαθμό εμπιστοσύνης. Ένα περιμετρικό δίκτυο (perimeter network) ή μία Demilitarized Zone (DMZ) διαθέτουν μεσαίο επίπεδο εμπιστοσύνης.
Ο σκοπός της τοποθέτησης ενός firewall είναι η πρόληψη επιθέσεων στο τοπικό δίκτυο και η αντιμετώπισή τους. Παρόλα αυτά όμως, ένα firewall μπορεί να αποδειχθεί άχρηστο εάν δεν ρυθμιστεί σωστά. Η σωστή πρακτική είναι το firewall να ρυθμίζεται ούτως ώστε να απορρίπτει όλες τις συνδέσεις εκτός αυτών που επιτρέπει ο διαχειριστής του δικτύου (default-deny). Για να ρυθμιστεί σωστά ένα firewall θα πρέπει ο διαχειριστής του δικτύου να έχει μία ολοκληρωμένη εικόνα για τις ανάγκες του δικτύου και επίσης να διαθέτει πολύ καλές γνώσεις πάνω στα δίκτυα υπολογιστών. Πολλοί διαχειριστές δεν έχουν αυτά τα προσόντα και ρυθμίζουν το firewall ούτως ώστε να δέχεται όλες τις συνδέσεις εκτός από εκείνες που ο διαχειριστής απαγορεύει (default-allow). Η ρύθμιση αυτή καθιστά το δίκτυο ευάλωτο σε επιθέσεις από εξωτερικούς χρήστες.
Περιπτώσεις στις οποίες δε μπορεί να προστατεύσει το firewall το χρήστη είναι ιοί που περιέχονται στα συνημμένα ηλεκτρονικού ταχυδρομείου ή επιθέσεις phishing που αποστέλλονται μέσω e-mail.
Ιστορικά στοιχεία
Ο όρος firewall αρχικά αναφερόταν σε έναν τοίχο που προοριζόταν να περιορίσει μια πυρκαγιά μέσα σε μια γραμμή παρακείμενων κτιρίων.[4] Μεταγενέστερες χρήσεις αναφέρονται σε παρόμοιες κατασκευές, όπως το μεταλλικό φύλλο που χωρίζει το διαμέρισμα του κινητήρα ενός οχήματος ή αεροσκάφους από το διαμέρισμα επιβατών. Ο όρος εφαρμόστηκε στα τέλη της δεκαετίας του 1980 στην τεχνολογία δικτύων[5] που εμφανίστηκε όταν το Διαδίκτυο ήταν αρκετά νέο όσον αφορά την παγκόσμια χρήση και συνδεσιμότητα.[6] Οι προκάτοχοι των τείχη προστασίας για την ασφάλεια δικτύου ήταν δρομολογητές που χρησιμοποιήθηκαν στα τέλη της δεκαετίας του 1980. Επειδή είχαν ήδη διαχωρίσει δίκτυα, οι δρομολογητές μπορούσαν να εφαρμόσουν φιλτράρισμα σε πακέτα που τα διασχίζουν.[7]
Προτού χρησιμοποιηθεί σε πραγματικές υπολογιστικές υπηρεσίες, ο όρος εμφανίστηκε στην ταινία WarGames του 1983 για χάκερ υπολογιστών και πιθανώς ενέπνευσε τη μετέπειτα χρήση του.[8]
1η γενιά - Φίλτρα πακέτων
Το πρώτο ερευνητικό δημοσίευμα πάνω στην τεχνολογία firewall προέκυψε το 1988 όταν οι μηχανικοί της DEC (Digital Equipment Corporation) ανέπτυξαν φίλτρα πακέτων δεδομένων (data packet filters). Τα φίλτρα αυτά θεωρούνται ως η πρώτη γενιά firewall.
Τα φίλτρα πακέτων δρουν ως εξής: Διαβάζουν τα πακέτα δεδομένων που διακινούνται από το ένα δίκτυο στο άλλο και, εάν κάποιο πακέτο ταιριάζει με κάποιο συγκεκριμένο κανόνα, τότε το απορρίπτουν. Ο διαχειριστής του δικτύου είναι σε θέση να ορίσει τους κανόνες βάσει των οποίων θα απορρίπτονται τα πακέτα. Αυτός ο τύπος firewall δεν ενδιαφέρεται για το εάν κάποιο πακέτο ανήκει σε μία σύνδεση, δηλαδή δεν αποθηκεύει πληροφορίες σχετικά με την κατάσταση των διαφόρων συνδέσεων από το ένα δίκτυο στο άλλο (stateless packet filtering). Αντιθέτως, φιλτράρει κάθε πακέτο με βάση την πληροφορία που περιέχεται στο ίδιο το πακέτο (π.χ. διεύθυνση IP προέλευσης, διεύθυνση IP προορισμού, πρωτόκολλο, αριθμός θύρας κοκ). Επειδή τα πρωτόκολλα TCP και UDP χρησιμοποιούν τις ευρέως διαδεδομένες θύρες (Well known ports), ένα firewall πρώτης γενιάς μπορεί να ξεχωρίσει τα πακέτα που αφορούν διάφορες λειτουργίες, όπως για παράδειγμα το email, την μεταφορά αρχείων, την περιήγηση στο Διαδίκτυο κοκ.
2η γενιά - Φίλτρα κατάστασης
Η δεύτερη γενιά firewall αναπτύχθηκε από τρεις ερευνητές στα εργαστήρια της AT&T Bell: Dave Presetto, Howard Trickey και Kshitij Nigam.
Τα firewall της δεύτερης γενιάς δρουν όπως τα firewall πρώτης γενιάς με κάποιες επιπρόσθετες λειτουργίες. Μία από αυτές είναι το γεγονός ότι πλέον εξετάζουν και την κατάσταση (state) του κάθε πακέτου, δηλαδή την σύνδεση από την οποία προήλθε. Για τον λόγο αυτό και αναφέρονται ως φίλτρα κατάστασης (stateful firewalls). Τα φίλτρα αυτά κρατούν ανά πάσα στιγμή πληροφορίες για τον αριθμό και το είδος των συνδέσεων μεταξύ των δύο δικτύων και επιπλέον μπορούν να ξεχωρίσουν εάν ένα πακέτο αποτελεί την αρχή ή το τέλος μία νέας σύνδεσης ή μέρος μίας ήδη υπάρχουσας.
Οι διαχειριστές τέτοιων firewalls μπορούν να ορίσουν τους κανόνες βάσει των οποίων θα επιτρέπεται η δημιουργία συνδέσεων από το εξωτερικό δίκτυο (Διαδίκτυο) προς το τοπικό/εταιρικό δίκτυο. Με τον τρόπο αυτό γίνεται πιο εύκολη η πρόληψη διαφόρων ειδών επιθέσεων, όπως για παράδειγμα ή επίθεση SYN flood.
3η γενιά - Επίπεδο εφαρμογών
Η τρίτη γενιά firewall βασίζεται πλέον στο επίπεδο εφαρμογών σύμφωνα με το μοντέλο αναφοράς OSI (Open Systems Interconnection). Το κύριο χαρακτηριστικό αυτής της γενιάς firewall είναι ότι μπορεί να αντιλαμβάνεται ποια προγράμματα και πρωτόκολλα προσπαθούν να δημιουργήσουν μία νέα σύνδεση (π.χ. FTP - File Transfer Protocol, DNS - Domain Name System, περιήγηση στο Διαδίκτυο κοκ). Με τον τρόπο αυτό μπορούν να εντοπιστούν εφαρμογές που προσπαθούν να δημιουργήσουν ανεπιθύμητες συνδέσεις ή καταχρήσεις ενός πρωτοκόλλου ή μιας υπηρεσίας.
Σήμερα
Σήμερα σιγά σιγά εδραιώνονται τα firewalls 4ης γενιάς, τα οποία διαθέτουν γραφικό περιβάλλον μέσω του οποίου μπορεί ο χρήστης να κάνει τις επιλογές του όσον αφορά την ασφάλεια του δικτύου του και να θέσει τους κανόνες βάσει τον οποίων θα απορρίπτονται κάποια πακέτα ή συνδέσεις. Τα firewalls 4ης γενιάς μπορούν πλέον να ενσωματωθούν στο λειτουργικό σύστημα και συνεργάζονται στενά με άλλα συστήματα ασφαλείας, όπως για παράδειγμα το IPS - Intrusion Prevention System.
Πολιτικές Firewall
Οι «πολιτικές» για τα «τείχη προστασίας» (Firewall policies) υπαγορεύουν τις διαδικασίες χειρισμού της κυκλοφορίας στα υπολογιστικά δίκτυα (computer networks) για συγκεκριμένες «IP – Internet Protocol» διευθύνσεις και το εύρος αυτών, για τα πρωτόκολλα, τις εφαρμογές και τους τύπους ενεργού περιεχομένου, βασισμένες στις πολιτικές ασφαλείας (security policies) των πληροφοριών κάθε οργανισμού. Η ανάλυση των πιθανών κινδύνων και η ανάπτυξη ενός καταλόγου ο οποίος θα περιλαμβάνει λίστα με τα δεδομένα που διακινούνται εντός του δικτύου, θα πρέπει να προηγείται οποιασδήποτε άλλης διαδικασίας. Η οργάνωση και η κατηγοριοποίηση των δεδομένων διασφαλίζει εν μέρει την ακεραιότητα των δεδομένων τα οποία διασχίζουν το τείχος προστασίας . Η επιτυχής υλοποίηση της παραπάνω διαδικασίας επιτρέπει την υλοποίηση πολιτικών για τα τείχη προστασίας (Firewall Policies).
Η εν λόγω ανάλυση κινδύνου (risk analysis) θα πρέπει να βασίζεται στην αξιολόγηση των πιθανών απειλών , των τρωτών σημείων και των επιπτώσεων για τα δεδομένα ή τα υπολογιστικά συστήματα σε περίπτωση κινδύνου. Επιπλέον κρίνεται αναγκαία η τεκμηρίωση των πολιτικών για τα τείχη προστασίας και η συχνή ενημέρωση αυτών για νέες μορφές επιθέσεων ή τρωτά σημεία βάσει των αναγκών του οργανισμού.[1]
Δείτε επίσης
Δίκτυο υπολογιστών
Τοπικό δίκτυο υπολογιστών
Δούρειος Ίππος (Λογισμικό)
Ιός (πληροφορική)
Gateway
Access control list
Εξωτερικοί σύνδεσμοι
Συχνές ερωτήσεις και απαντήσεις όσον αφορά τα firewalls.
Τι είναι το firewall και ποια είναι η χρησιμότητά του;
Η ιστορία των firewalls.
Πηγές
Karen Scarfone, Paul Hoffman. «Guidelines on Firewalls and Firewall Policy» (PDF). NIST. Αρχειοθετήθηκε από το πρωτότυπο (PDF) στις 1 Φεβρουαρίου 2012. Ανακτήθηκε στις 1 Φεβρουαρίου 2012.
Βιβλιογραφία
Lars Klander (1997) Hackers Proof: The Ultimate Guide to Network Security, IP Jamsa, ISBN 088413355X
Hellenica World - Scientific Library
Από τη ελληνική Βικιπαίδεια http://el.wikipedia.org . Όλα τα κείμενα είναι διαθέσιμα υπό την GNU Free Documentation License
