Firewall - vatrozidna zaštita za Vašu mrežu

Kako da na Internetu ne postanete ovca već vuk...

Kao i mnoge buzzword (riječi o kojima se bruji) vatrozidi polako gube na aktualnosti i ulaze u zaborav. Međutim, iako danas za razliku od prije godinu dana već skoro svi administatori mreže znaju (barem otprilike) što to vatrozid znači i čemu služi, još uvijek ga malo mreža zapravo i koristi. Prvenstveno će biti riječi o TCP/IP mrežama i vatrozidima pri povezivanju na Internet, iako ne postoji razlog zašto se vatrozidi ne bi koristili pri povezivanju bilo kakve dvije mreže.

Vatrozid? Da znam što je to! Što? Hm...

Da na početku rasčistimo što je to vatrozid (za one koji nisu sami pratili to podučje): Svaka privatna mreža (npr. mreža poduzeća) je potencijalna mreža koja se povezuje na Internet. Međutim, na privatnim mrežama postoje povjerljivi podaci do kojih ne biste htjeli dopustiti pristup svim korisnicima Interneta. Zbog toga između vaše privatne mreže i Internta postavljate vatrozid, koji služi da zaustavi nepozvane goste (vatru) pri pristupu vašoj privatnoj mreži.

Modernim tendencijama lokalnih mreža, prvenstveno onima zasnovanim na Windows NT operativnom sustavu, kod kojeg većina administracijskog posla ostaje na samim korisnicima lokalne mreže, tj. radnoj grupi, važnost vatrozida postaje još veća. Jer, ako nepozvanog gosta ne zaustavi vatrozid ne postoji drugi mehanizam koji će to učiniti.

Od čega štite vatrozidi ?

Neki tipovi vatrozida omogućavaju samo prolazak elektroničke pošte, i na taj način zaštićuju mrežu od svih napada osim onih elektroničkom poštom. Drugi pak, pružaju manje restriktivnu zaštitu, i onemogućavaju samo servise za koje se zna da su problematični.

U većini slučajeva, vatrozidi su konfigurirani tako da štite od neautoriziranog prijavljivanja iz "vanjskog" svijeta. To spriječava nepozvane da se prijavljuju na računala unutar zaštićene (privatne) mreže. Neki tipovi vatrozida onemogućavaju promet u zaštićenu mrežu, ali omogućavaju korisnicima zaštićene mreže komuniciranje sa ostatkom Interneta. To je ujdeno i najčešći slučaj, jer korisnici privatne mreže žele imati pristup Internetu, dok istovremeno ne žele svoje podatke izložiti opasnosti od otuđivanja. Vatrozidi pokušavaju zadovoljiti odnos sigurnosti i mogućnosti pristupa, međutim mogu zaštiti mrežu od svih mogućih napada samo ako se isključe iz napajanja. Takvo rješenje, međutim, također onemogućava sav pristup u oba smjera (ali je također i potpuno sigurno). Optimalna rješenja su negdje u sredini.

Različiti tipovi vatrozida

Da bi korisnik mogao doći do Interneta iz zaštićenog dijela mreže potrebno je prvo da prođe vatrozid, i da sa njega dođe do Internet-a. Osnovni princip kunkcioniranja vatrozida proučite na slici.

Slika: Osnovni princip vatrozida

Postoji nekoliko načina realizacije vatrozida koji svi ispunjavaju postavljenu zadaću, ali na različite načine.

Filtrirajući routeri

Najjedostavniji pristup realizaciji vatrozida uključuje upotrebu programibilnih routera. Routeri rade na razini IP-a (Internet Protokol-a, protokol koji se brine za dostavljanje paketa) selektivno propuštajući ili zadržavajući pakete po odredišnoj ili predajnoj adresi ili po broju porta. Ti podaci su sadržani u zaglavlju svakoga IP paketa.

Ovaj način zaštite se najčešće koristi danas. Međutim, programiranje routera nije jedostavno. Isključivanje svih paketa koji nisu poželjni u zaštićenom dijelu mreže bi moglo predstavljati problem jer je sigurnost routera vrlo ovisna i o samom poretku pravila za dopuštanje ili zabranu prometa.

Vatrozidi zasnovani na hostu

U ovom se slučaju koristi računalo umjesto routera. To nudi mnogo više mogućnosti praćenja aktivnosti koje se odvijaju preko vatrozida. Dok vatrozid zasnovan na routeru nadgleda pakete na IP razini, hostovi prenose kontrolu na razinu aplikacije. Da bi se osigurali od potencijalnih problema koji bi se mogli pojaviti zbog propusta u implementaciji sigurnosti u uobičajenoj programskoj podršci za mrežne usluge, vatrozidi zasnovani na hostovima obično koriste posebne verzije programe koji pružaju podršku potrebnim servisima. To su najčešće ogoljene verzije originalnih programa koje su zbog svoje kratkoće puno jednostavnije za održavanje, pa je i manja mogućnost za slučajne propuste (bugove) koji narušavaju sigurnost. Osnovni nedostatak takvih vatrozida je potreba za posebnom programskom podrškom za svaki od servisa koji treba podržati za mrežu "iza" vatrozida. Kao dodatna mjera zaštite najčešće se koristi kombinacija zaštite na razini aplikacije i filtrirajućeg routinga kojega također obavlja sam host ili vanjski router.

Izolacijske mreže

Izolacijske mreže su vrlo slične vatrozidima zasnovanim na hostu, osim što se između privatne mreže i Interneta ne postavlja host nego mreža. Međutim, ta se mreža može sastojati i od samo jednog čvora konfiguriranog tako da i jedna i druga mreža može pristupiti izolacijskoj mreži, ali istovremeno tako da izolacijska mreža ne propušta direktan promet između privatne mreže i Interneta. Glavna prednost izolacijske mreže je u tome što omogućava jednostavnije postavljanje i promicanje novih Internet adresa, naročito kod velikih privatnih mreža koje bi se inače morale znatno rekonfigurirati. To u osnovi znači da računala "iza" izolacijske mreže ne moraju imati adrese koje su poznate računalima na Internetu. Na taj način se može priključiti cijela mreža računala "iza" vatrozida na Internet korištenjem samo jedne Internet adrese. Ovaj je način popularan kod iznajmljivanja IP adresa od drugih davatelja Internet usluga, kao što je to u Hrvatskoj HPT zbog manjeg broja IP adresa koje se trebaju iznajmiti.

Vatrozidi... Opet nešto novo!

Ali, stvarno, vatrozid je jednostavno skup programske podrške i sklopovlja (da ne kažem hardware-a i software-a) koji služi zaštiti lokalne mreže. Slični koncepti postoje već godinama, jedino je novo njihovo objedinjavanje pod jednim imenom: vatrozidi. Sada ste Već sigurni da Vam je vatrozid potreban. Međutim, on nije jeftin. U cijenu ulazi: cijena hardware-a, cijena razvoja ili kupovine software-a, cijena eventualnih softwerskih nadogradnji, cijena administriranja, cijena gubitaka prouzrokovanih neispravnošću gatewaya kao i gubici nekih servisa koji su na raspolaganju bez vatrozida, a zbog sigurnosnih razloga se ne dopuštaju nakon što je vatrozid postavljen.

Trebamo vatrozid!

Prema tome, razmislite da li Vam vatrozid treba, i ako mislite da je Vaše poslovanje vrijedno toga, postavite ga. Također, imajte u vidu da postavljanje vatrozida možete obaviti koristeći neki od komercijalnih opertivnih sustava (npr. Windows NT) ili koristeći neku od inačica Unix-a. Prvo rješenje vas vezuje za firmu proizvođača OS-a, i ima glavni nedostatak da svu programsku podršku morate kupiti. Također, ukoliko proizvođač software-a nije mislio da će vam trebati neka od specijalnih usluga na koju su navikli korisnici vaše mreže imate dva izbora: čekati slijedeću verziju software-a ili se odreći usluge. Rješenje zasnovano na Unix računalu je slobodnije, a podršku za servise koji su netipični možete napraviti i sami ili nabavniti na Internetu. Također, teško da se može potući cijena vatrozida zasnovanog na jednom od besplatnih Unix-a (Linux ili NetBSD) upotpunjenog sa gomilom programske podrške koju možete naći na Internetu. Treba imati na umu da su troškovi održavanja vatrozida znatni, za razliku od troškova održavanja file ili print servera. Ne možete održavanje vatrozida prepustiti radnoj grupi, to je ipak posao za administratora mreže.

Vatrozid osim zaštite omogućava i postavljanje servisa koji će biti na raspolaganju korisnicima Interneta (npr. Web ili ftp poslužitelj vaše firme) kao i postavljanje lokalog spremnika (proxy cache) prema Internetu koji će ubrzati pristup vaše lokalne mreže resursima na Internetu. Internet je pred vratima! Da li ste spremni?