Sveučilište u Zagrebu Fakultet elektrotehnike i...
12
Sveučilište u Zagrebu Fakultet elektrotehnike i računarstva Seminarski rad u okviru predmeta „Računalna forenzika“ [2018./2019.] Vatrozid (Firewall) Antonija Marinović Zagreb, srpanj, 2019.
Transcript of Sveučilište u Zagrebu Fakultet elektrotehnike i...
Sveučilište u Zagrebu
Fakultet elektrotehnike i računarstva
Seminarski rad u okviru predmeta „Računalna forenzika“ [2018./2019.]
Vatrozid (Firewall)
Antonija Marinović
Zagreb, srpanj, 2019.
2
Sadržaj
1. Uvod ...........................................................................................................................................3
2. Općenito o vatrozidu ..................................................................................................................4
3. Vrste vatrozida ...........................................................................................................................6
3.1 Hardverski i softverski vatrozid ..............................................................................................6
3.2 Vatrozid s filtriranjem paketa ................................................................................................6
3.3 Vatrozid s praćenjem stanja veze (eng. stateful firewall) ........................................................7
3.4 Aplikacijski vatrozid (eng. application gateway firewall) ........................................................8
4. Napadi na vatrozid .....................................................................................................................9
4.1 Napad lažnim predstavljanjem (eng. IP spoofing) ...................................................................9
4.2 Napad skeniranjem (eng. Port scanning) ............................................................................. 10
4.3 Smurf napa .......................................................................................................................... 10
5. Zaključak .................................................................................................................................. 11
6. Literatura .................................................................................................................................. 12
3
1. Uvod
Vatrozid (firewall) je mrežni uređaj koji nadzire promet koji kroz njega prolazi
odnosno dopušta, zabranjuje ili prosljeđuje mrežne veze u skladu sa sigurnosnom
politikom organizacije koja ga koristi. Njegova zadaća je sigurnost krajnjih sustava i
mreža, a ne komunikacija. Vatrozid nazivamo bilo koji uređaj ili softver ili skupinu
uređaja koji ograničavaju pristup mreži. Dok većina operacijskih sustava imaju
osnovni ugrađeni vatrozid, najbolji rezultati se obično postižu korištenjem namjenske
vatrozidne aplikacije. Vatrozidne aplikacije u sigurnosnim paketima sadrže mnoštvo
automatiziranih alata koji koriste popis pravila kako bi provjerili koje aplikacije trebaju
prihvatiti i odbaciti podatke. Postavljanjem vatrozidnog uređaja između dva ili više
mrežnih segmenata mogu se kontrolirati i prava pristupa pojedinih korisnika
pojedinim dijelovima mreže. U takvom slučaju vatrozid je dizajniran da dopušta
pristup valjanim zahtjevima, a blokira sve ostale. Osim općenitog rada vatrozida u
ovom seminaru bit će razrađene vrste vatrozida kao i napadi na vatrozid.
4
2. Općenito o vatrozidu
Osnovna namjena vatrozida je da kontrolira promet između računalnih mreža s
različitim stupnjevima povjerenja. Na Slika 1 prikazan je primjer dvije mreže s
različitim stupnjevima povjerenja: Internet kao javna mreža s niskim stupnjem
povjerenja te kućna mreža kao privatna mreža kod koje je stupanj povjerenja iznimno
visok.
Slika 1 Ideja vatrozida1
Zadaci vatrozida:
Vatrozid diktira i implementira politiku sigurnosti. Dizajniran je kako bi zaštitio
povjerljive i korisničke podatke od neautoriziranih korisnika tako da blokira i
zabranjuje promet po pravilima koje definira usvojena sigurnosna politika.
Ako dođe do sumnjivih događaja vatrozid mora to registrirati i zabilježiti
sumnjivu radnju.
Mora upozoriti korisnika na pokušaj proboja neautoriziranih korisnika.
1 (Izvor https://www.comodo.com/resources/home/how-firewalls-work.php)
5
Vatrozid sadrži bazu pravila i svaki paket koji dođe provjerava s tom bazom. Svako
pravilo definira karakteristike paketa na kojeg se odnosi, primjerice izvorišne ili
odredišne adrese, protokoli, portovi. Drugi dio pravila definira akciju koju je potrebno
poduzeti ako paket odgovara pravilu. Osnovne akcije su: odbaci ili propusti. Dobra
praksa kod podešavanja vatrozida je da se ne dopušta ništa što nije eksplicitno
dozvoljeno. Pravila trebaju funkcionirati u 2 smjera: vatrozid propušta/odbacuje
zahtjev za uspostavu veze kojeg traži korisnik u mreži prema adresama izvan mreža.
Također vatrozid propušta/odbacuje zahtjev za uspostavu veze između vanjske
mreže i korisnika na mreži koju vatrozid štiti. [1]
6
3. Vrste vatrozida
3.1 Hardverski i softverski vatrozid
Danas se hardverski vatrozidi nalaze u modemima, bežičnim baznim stanicama,
usmjeriteljima, preklopnicima... Hardverski vatrozid je jedinica koja je povezana
između mreže i uređaja za povezivanje s Internetom. Ti se uređaji obično postavljaju
između usmjerivača i internetske veze. Budući da su namjenski sigurnosni uređaji,
optimizirani su za izvršavanje funkcija vatrozida i ne troše resurse na osobnim
računalima. Hardverski vatrozidi koriste se više u tvrtkama i velikim korporacijama.
Softverski vatrozid je program koji je instaliran na računalo s internetskom vezom. To
je najčešći tip vatrozida, jer su jeftiniji i jednostavniji za instalaciju. Međutim, oni imaju
neke nedostatke. Primjerice, koriste veliku količinu sistemskih resursa, a ponekad se
ne pokreću ispravno i mogu uzrokovati probleme s kompatibilnošću s drugim vrstama
softvera instaliranim na računalu.
Moderni operacijski sustavi kao što su Windows i Linux sadrže osnovna rješenja
vatrozida. U nekim slučajevima, kao što su besplatni vatrozidi, oni su vrlo moćni i
fleksibilni, ali zahtijevaju dubinsko poznavanje mreža i portova koje koriste te
aplikacije. Kako bi pojednostavili konfiguraciju, obično imaju web sučelja koja
korisnicima olakšavaju upravljanje njima, iako to može dovesti do smanjene
funkcionalnosti. U nastavku će ukratko biti obrađene neke od najčešćih verzija
vatrozidnih komponenti.
3.2 Vatrozid s filtriranjem paketa
Filtriranje paketa podrazumijeva kontrolu dolaznih i odlaznih podataka. Prije same
analize i provjere podataka definiraju se određena pravila i zahtjevi postavljeni
prilikom programiranja vatrozida. Pomoću pravila određuje se koji će se paket
7
odbaciti, a koji propustiti. Također je bitan i smjer prolaska samih podataka jer se
pravila razlikuju za dolazni i odlazni promet. Ovaj tip vatrozida može filtrirati
informacije trećeg sloja kao i informacije četvrtog sloja ISO/OSI modela ovisno o
njihovim IP adresama te o opcijama paketa. Tipovi informacija po kojima se radi
filtriranje su: izvorišna i odredišna adresa mrežnog sloja, informacije o protokolu treće
i četvrte razine te sučelje na kojem je paket poslan ili primljen. Vatrozid s filtriranjem
podataka je najjednostavniji oblik vatrozida. Neke od prednosti ovog tipa vatrozida
su: velika brzina procesiranja samih podataka te široki spektar mogućnosti prilikom
definiranja pravila za filtriranje. Nedostatak poput nemogućnosti filtriranja na
aplikacijskom sloju čini ih ranjivim i podložnim napadima. [2] [3]
3.3 Vatrozid s praćenjem stanja veze (eng. stateful firewall)
Problem uobičajenog načina provjere mrežnih paketa je taj što sadrži veliki broj
propusta i sigurnosnih rupa odnosno nije moguće odrediti je li paket pripada nekoj
postojećoj vezi ili su to inicijalni paketi veze. U tom slučaju svi su paketi nezavisni i to
može stvoriti probleme kod protokola koji očekuju promet u oba smjera kao što je
TCP (eng. transmission control protocol). Taj problem rješava vatrozid s praćenjem
veze koji omogućava detaljniju provjeru i analizu mrežnih paketa i time je moguće
utvrditi jesu li paketi dijelovi neke uspostavljene veze. Zbog tih zahtjeva ovaj tip
vatrozida mora kontrolirati i održavati tablice stanja u kojima se pridružena stanja
određenim vezama. Za razliku od vatrozida s filtriranjem paketa odluke o filtriranju se
ne donose na temelju definirah pravila nego na sadržaju prethodno proslijeđenih
paketa. Takav način filtriranja naziva se dinamičkim filtriranjem paketa. Ovaj tip
djeluje na mrežnom, prijenosnom i sjedničkom sloju OSI/ISO modela. Prednosti
ovakvog tipa vatrozida su: aplikacijski su neovisni, mogu se lako implementirati,
poprilično su sigurni, imaju mogućnost zabilježavanja prometa pa se time može pratiti
promet koji prolazi kroz vatrozid. Pravila mogu postati prilično složena, teški su za
rukovanje, skloni pogreškama samo su neki od nedostataka ovog tipa vatrozida. [2]
8
3.4 Aplikacijski vatrozid (eng. application gateway firewall)
Aplikacijski vatrozidi filtriraju pakete mrežnog, prijenosnog, sjedničkog,
prezentacijskog i aplikacijskog sloja OSI/ISO modela i predstavljaju jedan od
najsloženijih sustava za provjeru podataka. Za razliku od vatrozida s filtriranjem
paketa i vatrozida s praćenjem stanja veze aplikacijski vatrozid ne radi na principu
propusti/odbaci paket već koristi proxy servis koji pohranjuje upite koji se ponavljaju.
Proxy servis služi za skrivanje IP adrese računala unutarnje mreže. Vanjsko računalo
koje želi poslati upit bilo kojem računalu unutarnje mreže prvo dolazi do IP adrese
proxy servisa koji dolazni promet prosljeđuje računalu u mreži kojem je taj promet bio
namijenjen. Isto vrijedi i za odlazni promet. Skrivanjem prave IP adrese smanjuje se
rizik od napada lažnim predstavljanjem. Prednosti aplikacijskih vatrozida su
mogućnost zapisivanja izlaznog prometa čime se može kontrolirati kojim se web
stranicama pristupalo, zlonamjerni korisnici će teže implementirati napad
prisluškivanjem, administratori mreža mogu zabraniti posjet određenim stanicama.
Među najvećim manama ove vrste vatrozida nameću se zahtjevi za veću količinu
memorije i procesorska sredstva. Za svaku vrstu aplikacija i primjena mora postojati
proxy servis primjerice e-mail proxy servis i web server web proxy. Zbog velikog broja
aplikacija nema dovoljno proxy servisa što je još jedan nedostatak aplikacijskih
vatrozida.
9
4. Napadi na vatrozid
Sigurnosne prijetnje prema izvoru se mogu podijeliti na: prijetnje udaljenih korisnika i
na prijetnje koje čine lokalni korisnici. Iako bi većina pomislila da su prijetnje udaljenih
korisnika učestalije, prava istina je da su prijetnje unutar mreže češće jer se
sigurnosti unutar mreže ne daje dovoljno važnosti.
Druga podjela je prema vrsti: nestrukturirane i strukturirane prijetnje. Nestrukturirane
prijetnje obično izvode neiskusni korisnici koji nemaju dovoljno znanja i čiji napadi su
vođeni iz znatiželje korisnika, a ne iz zle namjere. Puno opasnije su strukturirane
prijetnje koje potječu od iskusnih korisnika koji imaju jasan cilj: krađa privatnih
podatka i informacija. Napadi amatera se događaju češće s čime se većina ne bi
složila.
Napadi se mogu podijeliti na:
- napadi ciljem uskraćivanja usluge (DoS napadi)
- izviđački napadi
- napadi s ciljem neovlaštenog pristupa
Od izviđačkih napada ukratko je obrađen napad skeniranjem dok je napad lažnim
predstavljanjem primjer napada s ciljem neovlaštenog pristupa. Smurf napad je dan
kao primjer napada s ciljem uskraćivanja usluge.
4.1 Napad lažnim predstavljanjem (eng. IP spoofing)
Napad lažnim predstavljanjem temelji se na lažiranju IP adrese kako bi zlonamjerni
korisnik zaobišao mehanizme zaštite koji se inače koriste pri filtriranju prometa prema
IP adresama. Korisnik se služi programima koji mijenjaju izvorišnu IP adresu u
izvorišnu adresu koja se nalazi unutar lokalne mreže. Konfiguracija vatrozida dopušta
prolazak takvih paketa. Jedna od mjera za sprečavanje ove vrste napada je ulazno
filtriranje. Filtriranje ulaza je oblik filtriranja paketa koji se uglavnom provodi na
uređaju koji se nalazi na rubu mreže i koji ispituje dolazne pakete i pregledava
izvorna zaglavlja tih paketa. Ako zaglavlja ne odgovaraju podrijetlu ili izgledaju
sumnjivo ti se paketi odbacuju.
10
4.2 Napad skeniranjem (eng. Port scanning)
Mrežnim skeniranjem zlonamjerni korisnik nastoji otkriti koji su uređaji spojeni u
mreži. No, ovim postupkom ne mogu se otkriti servisi koji se izvršavaju na njima. U
cilju otkrivanja servisa korisnik koristi neki od programa za skeniranje portova koji će
pokušati odrediti koji se servis izvršava na odabranom portu. S prikupljenim
podacima zlonamjerni korisnik može izvesti neki novi napad. Najčešća zaštita od ove
vrste napada je upotreba uređaja za filtriranje mrežnog prometa kao što je vatrozid.
Kao što je već rečeno dobra praksa je da se ne dopušta ništa što nije eksplicitno
dozvoljeno.
4.3 Smurf napad
Smurf napad izvršava se tako da zlonamjerni korisnik šalje veliki broj IP paketa s
izvorišnih adresa koje su prekrivene da bi izgledale kao IP adresa računala koje se
napada. Kao što je vidljivo na slici 2 koristi se mogućnost slanja poruka svim
uređajima na određenoj mreži pomoću broadcast adrese na mreži. Usmjernik onda
odašilje zahtjeve na cijelu podmrežu i sva računala odgovaraju na zahtjeve čime
zapravo guše mrežu svojim odgovorima. Komunikacijski kapacitet mreže se brzo
iskoristi što sprečava ispravne i legitimne pakete da stižu do svog odredišta.
Najčešća obrana od ovog tipa napada je onemogućavanje broadcaste paketa u
samoj konfiguraciji vatrozida.
2Slika 2 Primjer Smurf napada
2 Izvor:https://thecybersecurityman.com/2018/03/05/dos-and-ddos-attacks-how-theyre-executed-detected-and-prevented/
11
5. Zaključak
Svakodnevnim rastom broja korisnika Interneta raste i moć njegove zloupotrebe.
Zato problem sigurnosti postaje najvećim problemom ali i izazovom pri korištenju
Interneta. Za izvođenje napada sve se više koriste alati koji automatiziraju napad i
čime taj postupak čine jednostavnim. Kako bi se spriječili mogući napadi na
povjerljive i privatne podatke koriste se vatrozidi koji mogu biti moćni alati ako se
pravilno konfiguriraju i koriste. Iako su vatrozidi koristan dio mrežnih sigurnosnih
programa njihova najveća mana je što su beskorisni za napade unutar mreže kojih
danas po nekim istraživanjima ima više u odnosu na napade izvan mreže.
12
6. Literatura
[1] Komunikacijske mreže – Osnove sigurnosti mreža, usluga i aplikacija – sigurnost
u Internetu, prezentacija, Fakultet elektrotehnike i računarstva 21.6.2019
[2] Ispitivanje sigurnosti mrežne opreme na uobičajene mrežne napade, diplomski
rad, Krešimir Petrović, https://bib.irb.hr/datoteka/449851.Diplomski_-
_Kreimir_Petrovi_ISO19005-1-PDFA.pdf 21.6.2019
[3] CARNet ,CERT.HR, LSS: Sigurnosni model mreže računala, CERT-PUBDOC-
2009-01-253, https://www.cis.hr/www.edicija/LinkedDocuments/CCERT-PUBDOC-
2009-01-253.pdf 21.6.2019
[4] CARNet ,CERT.HR, LSS: DdosS napad, CERT-PUBDOC-2008-09-240,
https://www.cis.hr/www.edicija/LinkedDocuments/CCERT-PUBDOC-2008-09-240.pdf
21.6.2019
