Firewalls

Πολλές εταιρείες μπορεί να έχουν firewall και να νομίζουν ότι είναι ασφαλείς όμως στην πράξη αυτό να είναι εντελώς διάτρητο ή ακόμα και άχρηστο. Για παράδειγμα πολλοί νομίζουν ότι κόβοντας όλες τις συνδέσεις από έξω προς τα μέσα είναι προστατευμένοι. Είναι λάθος γιατί οι περισσότεροι δούρειοι ίπποι, για παράδειγμα, φτιάχνουν συνδέσεις από μέσα προς τα έξω.
Το να επιτρέψεις και πρόσβαση σε κάποιες υπηρεσίες του εσωτερικού δικτύου (ssh, web server κτλ) είναι πολύ ποιο ασφαλές αν προσέχεις.

Ακόμα και μόνο μια υπηρεσία προς τα έξω να έχεις αφήσει μπορεί να είναι επικίνδυνο. Έστω ότι έχεις επιτρέψει την σύνδεση προς τα έξω σε όλους τους web servers. Ένας δούρειος ίππος που έχεις κολλήσει μπορεί να συνδεθεί σε ένα μηχάνημα που βρίσκεται οπουδήποτε στον κόσμο στην πόρτα που αντιστοιχεί στον web server και εκεί να μην βρίσκεται web server αλλά ένα πρόγραμμα που αποκτά πλήρη έλεγχο του μηχανήματός σου.
Από αυτό μπορείς να προστατευτείς εν μέρη, κόβοντας τις συνδέσεις προς τα έξω και κάνοντας χρήση proxy server που ελέγχουν για την ορθότητα του πρωτοκόλλου. Τέτοιοι είναι οι HTTP και FTP proxies (Οι SOCKS proxies δεν είναι τέτοιοι). Φυσικά αυτοί δεν μπορούν να εμποδίσουν έτσι απλά, δούρειους ίππους που χρησιμοποιούν τους proxy servers για να στείλουν δεδομένα προς τα έξω (πχ αριθμούς πιστωτικών καρτών ή σημαντικά έγγραφα της εταιρίας), και να αποκτήσουν πλήρη πρόσβαση σε ένα μηχάνημα. Με αυτούς όμως μπορείς να φτιάξεις ή να χρησιμοποιήσεις έτοιμες λίστες με συνδέσεις σε προορισμούς και είδη συνδέσεων που θα επιτρέψεις, θα παρακολουθήσεις πιο προσεκτικά ή θα κόψεις τελείως.

Παρακάτω θα περιγράψουμε σαν παράδειγμα ένα firewall επαρκές για μια εταιρεία με αυξημένο κίνδυνο παραβιάσεων του δικτύου της. Στο τέλος θα δούμε κάποιους πιθανούς τρόπους με τους οποίους μπορεί να παραβιαστεί ένα τέτοιο firewall. Έστω λοιπόν ότι η εταιρία σου θέλει να έχει πρόσβαση σε WWW, FTP και MAIL υπηρεσίες. Έχει εσωτερικό δικό της mail server και θέλει οι χρήστες να έχουν πρόσβαση στα mail τους από έξω. Τα mail θεωρούνται σημαντικά και θέλει να τα προφυλάξει. Επιπλέον θέλει WWW και FTP servers.

Σήμερα η συνηθισμένη τακτική είναι να φτιάχνονται αποστρατικοποιημένες ζώνες για τις υπηρεσίες που προσφέρονται προς τα έξω και ένα εσωτερικό δίκτυο πίσω από ένα καλό firewall για χρήση από τους χρήστες. Ένα τέτοιο firewall πρέπει να ικανοποιεί τα παρακάτω.

1. Ένας router (γιατί όχι με Linux) με δύο ethernet κάρτες και την σύνδεση (ISDN, ADSL, μισθωμένη γραμμή κτλ) προς τον πάροχο Internet. Η μια ethernet για την αποστρατιωτικοποιημένη ζώνη και μια για το κυρίως δίκτυο.
2. Οι web/ftp servers μπαίνουν στην αποστρατικοποιημένη ζώνη
3. O κεντρικός mail server καθώς και ο imap server μπαίνουν στο κυρίως δίκτυο πίσω από το firewall.
4. Επιπλέον στην αποστρατικοποιημένη ζώνη βάζουμε web, ftp και imap proxies καθώς και έναν mail server που θα είναι ενδιάμεσος για τον εσωτερικό. Καλό είναι να έχει και υποστήριξη για antivirous.
5. Από το εξωτερικό δίκτυο επιτρέπονται συνδέσεις μόνο πάνω στους servers που βρίσκονται στην αποστρατικοποιημένη ζώνη.
6. Πακέτα από το διαδίκτυο δεν επιτρέπονται να περάσουν στο εσωτερικό δίκτυο παρά μόνο μέσω των proxies της αποστρατικοποιημένης ζώνης.
7. Από το εσωτερικό δίκτυο επιτρέπονται συνδέσεις μόνο πάνω στους proxies της αποστρατιωτικοποιημένης ζώνης.
8. Επιτρέπονται αμφίδρομες συνδέσεις από τον εσωτερικό mail server προς τον mail server της αποστρατιωτικοποιημένης ζώνης και αντίστροφα.
9. Επιτρέπεται σύνδεση από τον imap proxy της αποστρατιωτικοποιημένης ζώνης στον εσωτερικό imap server
10. Τοποθετούνται κανόνες πρόσβασης στους proxies της αποστρατιωτικοποιημένης ζώνης. Καλό θα είναι για παράδειγμα να επιτρέπονται SSL συνδέσεις μόνο σε συγκεκριμένα site, τα οποία είναι ασφαλή (τράπεζες, webmailers, άλλα που θα ζητήσουν οι χρήστες και θα ελεγχθούν πρώτα κτλ). Επιπλέον υπάρχουν εμπορικές λίστες με τα ασφαλή και επικίνδυνα site που μπορείς να χρησιμοποιήσεις.

• Με παραβίαση του router που υλοποιεί το firewall. Αν έχει στηθεί σωστά το firewall είναι πολύ δύσκολο, θα πρέπει να εκμεταλλευτεί κάποιο κενό ασφαλείας του λειτουργικού. Για το Linux για παράδειγμα δεν έχουν αναφερθεί πολλά τέτοιου είδους. Ακόμα και υπηρεσίες για απομακρυσμένη σύνδεση με ssh (secure shell) να έχεις επιτρέψει από το Internet αν προσέχεις ώστε η έκδοση του ssh να είναι πάντα η τελευταία το ρίσκο είναι μικρό.
• Αν παραβιαστεί κάποιο από τα μηχανήματα που βρίσκονται στην αποστρατιωτικοποιημένη ζώνη τότε ο εισβολέας έχει μπει στην "αυλή" σου. Αλλά θα χρειαστεί ακόμα αρκετή δουλειά για να εισέλθει στο εσωτερικό δίκτυο. Μπορεί να το κάνει μόνο αν βρει κάποιο κενό ασφαλείας στον imap server ή στον mail server μας. Όμως ακόμα και να βρει αν έχουν στηθεί ακολουθώντας κάποιους κανόνες ασφαλείας το μόνο που θα έχει είναι πρόσβαση στα mail.
• Αν με κάποιο τρόπο εισέλθει ιός στο εσωτερικό δίκτυο (πχ από mail ή από κάποιο laptop που βγήκε εκτός εταιρίας) κινδυνεύεις. Αυτός θα μπορεί να σβήσει αρχεία ή να στείλει με mail έξω δεδομένα ή να αποκτήσει πλήρη πρόσβαση κάποιος από έξω σε κάποιον από τους υπολογιστές σου (τα http/ftp είναι αμφίδρομες επικοινωνίες, οι proxies μπορεί να επιτρέπουν κάτι τέτοιο). Οι μόνες λύσεις είναι τα antivirus στα laptop που φεύγουν εκτός εταιρίας και στους mail servers και έλεγχος πρόσβασης στο WEB (πχ blacklists ή/και antivirous). Πάντα υπάρχει η περίπτωση να κολλήσεις τον ιό πριν από όλους και πριν οι εταιρίες προλάβουν να ενημερώσουν τα antivirus τους (μου έχει τύχει!).
• Αρκετοί άλλοι απρόβλεπτοι τρόποι αλλά με μικρή πιθανότητα.