Tűzfalak Nagyon sok szervezet összekapcsolta vagy szeretné összekapcsolni saját LAN-ét az Internettel, hogy a felhasználók kényelmesen hozzáférhessenek az Internet szolgáltatásokhoz. Mivel az Internet összességében nem megbízható, a saját rendszerek sebezhetővé válnak a támadások és rossz célra történő felhasználás során. A tűzfal olyan biztonsági berendezés, amelyet a megbízható és kevésbé megbízható hálózatok közötti hozzáférés szabályozására használhatunk. A tűzfal nem csak egy szimpla komponens, hanem a szervezet Interneten elérhető forrásait védő stratégia. A tűzfal kapuként szolgál a nem megbízható Internet és a megbízhatóbb belső hálózatok között. A tűzfal elsődleges funkciója, hogy központosítsa a hozzáférési kontrollt. Ha kívülállók vagy távoli felhasználók a tűzfal alkalmazása nélkül hozzáférhetnek a belső hálózatokhoz, a tűzfal hatékonysága gyengül. (Így például, ha az úton lévő menedzsernek a saját irodai PC számítógépéhez csatlakozó modemje van, amit útközben felhívhat, és a személyi számítógépe is a védett belső hálózaton van, akkor a támadó, aki fel tudja tárcsázni a személyi számítógépet, kikerülheti a tűzfalat. Amennyiben a felhasználó kereskedelmi ISP betárcsázási Internet hozzáféréssel rendelkezik, és előfordul, hogy modemen keresztül csatlakozik az irodai PC számítógépéről az Internetre, olyan nem biztonságos kapcsolatot nyit meg az Internet felé, amely kikerüli a tűzfalat.) Ezenfelül, a tűzfal a szervezet intranet szegmensének biztosítására is használható, de a jelen dokumentum a tüzfal politika Internet aspektusaival foglalkozik elsősorban.
• • • • • • •
A tűzfal többféle védelmet nyújt: Blokkolja a nem kívánt forgalmat. A bejövő forgalmat a megbízhatóbb belső rendszerek felé irányítja. Védi az Internetről nehezen biztosítható, sebezhető rendszereket. Naplót készít a saját rendszerre és onnan érkező forgalmoról. Elrejtheti az olyan információkat, mint pl. rendszernév, hálózati topológia, hálózati eszköz típusok, valamint belső felhasználói ID az Internetről. Az alkalmazásszintnél sokkal hatékonyabb autentikácit biztosítanak.
Ezeket a funkciókat az alábbiakban részletezzük: Mint minden biztonsági berendezés esetében itt is kompromisszum van a kényelem és a biztonság között. Az adatátlátszóság a tűzfal láthatósága mind belső felhasználók és a tűzfalon keresztül érkezők számára. A tűzfal átlátszó a felhasználók számára, amennyiben nem veszik észre és nem állnak meg a tűzfalnál a hálozatba való belépéskor. A tűzfalakat kifejezetten úgy konfigurálják, hogy átlátszó legyen a belső hálózati felhasználók számára (miközben a tűzfalon kívülre mennek). Másrészt úgy vannak konfigurálva, hogy átlátszatlanok legyenek a tűzfalon keresztül érkező külső hálózat számára. Általában így érhető el a legnagyobb fokú biztonság, anélkül, hogy indokolatlan terhet róna abelső felhasználók számára.
1. Bejelentkeztetés A forgalomirányítás alapú tűzfalak nem nyújtanak felhasználói bejelentkeztetést. A Host alapú tűzfalak az alábbi típusú bejelentkeztetéssel rendelkeznek. Felhasználónév/jelszó Ez a legrosszabb típus, mivel az információ lehallgatható. Egyszeri jelszavak A szoftver vagy hardver vezérjelet használó egyszeri jelszavak új jelszót állítanak elő minden egyes kapcsolati idő során. Ez azt jelenti, hogy a régi jelszót nem lehet újra felhasználni, ha azt már egyszer kinyomozták, kölcsönvették vagy ellopták. Digitális igazolások A digitális igazolások a nyilvános kulcsú rejtjelezéssel előállított igazolást alkalmaznak.
2. Forgalomirányítás kontra továbbítás Egy világosan körvonalazott politikát kell készíteni arra vonatkozólag, hogy a tűzfal az Internet csomagok irányításáért vagy továbbításért felelős-e. Ez triviális abban az esetben, amikor a router csomagszűrő átjáróként funkcionál. A tűzfalnak (itt mint router) nincs választása csak a csomagok forgalomirányítása. Az alkalmazási átjáró tűzfalalat általában nem úgy konfigurálják, hogy az a külső interfész és a belső hálózati interfész közötti forgalmat irányítsa, mivel így kikerülhető a biztonsági rendszer. Az összes külső és belső csatlakozásnak keresztül kell mennie a proxikon.
o
Forrás Routing A forrás routing egy olyan forgalomirányító mechanizmus, ahol nem a közvetítő routerek hanem a forrás határozza meg az utat a hostgéphez. A forrás routing főként hálózati problémák kiküszöbölésére alkalmazható, de de a hostgép megtámadására is használják. Amennyiben a támadó tudomást szerez a gazdaszámítógépek közötti megbízható kapcsolatról, a forrás routing felhasználható arra, hogy úgy tűnjön a veszélyes csomagok a megbízható hostgépről érkeznek. Az ilyen biztonsági fenyegetés miatt a csomagszűrő routert könnyedén lehet úgy konfigurálni, hogy visszautasítsa a forrás route opciót tartalmazó csomagokat. Ennélfogva a forrás routing probléma teljes kiküszöbölésére az alábbihoz hasonló politikát kell készíteni:
o
IP Spoofing (hozzáférési jogok kijátszása)
IP spoofing esete akkor áll fenn, amikor a támadó a saját gépét a hostszámítógépnek adja ki a célhálózaton (pl. megtéveszti a célgépet azzal, hogy a csomagok a belső hálózati megbízjató gépről érkeznek). A csomairányításra vonatkozó politkát egyértelműen meg kell határozni annak érdekében, hogy biztonsági probléma felmerülésekor annak megfelelően lehessen intézkedni. Szükséges a forráscímeken alapuló engedélyeztetést egyéb biztonsági rendszerrel kombinálni, hogy az IP spoofing támadások kivédhetőek legyenek.
3. Különböző tűzfalak Különböző kivitelezésű tűzfalak léteznek, amelyeket többféle módon lehet csoportosítani. Az alábbiakban ismertetjük a különböző kivitelezésű tűzfalakat együtt a polikára vonatkozó példákkal. Az alábbi felsorolás ismertet néhány tűzfal arhitektúrát és besorolásukat arra vonatkozólag, hogy alacsony közepes vagy magas kockázatú környezetre vonatkoznak.
o
Csomagszűrő átjárók A csomagszűrő tűzfalak olyan csomagszűrő szabályokkal ellátott routert alkalmaznak, amelyek a forráscím, célcím és port alapján megadják vagy elutasítják a hozzáférést. Minimális biztonságot nyújtanak, de nagyon alacsony költséggel és megfelelő választásnak bizonyulhatnak az alacsony kockázatú környezet számára. Gyorsak, rugalmasak és átláthatóak. A szűréssel kapcsolatos szabályokat gyakran nem könnyű a routeren fenntartani, de vannak olyan eszközök, amelyek leegyszerűsítik a szabályok létrehozásának és fenntartásának feladatát. A szűrő átjárók rejtett kockázatokkal rendelkeznek:
Az IP csomag fejlécben található forrás- és célcímek valamint portok szolgálnak egyedül információval a router számára arra vonatkozólag, hogy engedélyezze-e a forgalom belépését a belső hálózatra. Nem nyújtanak védelmet IP vagy DNS címek kijátszása ellen. A támadónak közvetlen hozzáférése van bármely belső hálózaton található gazdagéphez, ha már egyszer túljutott a tűzfalon. A megbízható felhasználói hitelesítést nem támogatják csomaszűrő átjárók.
o
Kevés vagy nem használható naplózást nyújt. Alkalmazási átjárók (Application Gateways) Az alkalmazási átjáró a tűzfalon futó szerver programokat (proxy) használ. Ezek a proxyk fogadják a külső kéréseket, vizsgálják őket és továbbítják a jóváhagyott kéréseket a belső gazdagépre, amely megadja a megfelelő szolgáltatást. Az alkalmazási átjáró támogathat olyan funkciókat, mint a felhasználói hitelesítés és naplózás (logging). Mivel az alklamazási átjáró tekinthető a legbiztonságosabb tűzfalnak, ez a konfiguráció számos előnyt biztosít a közepes kockázattal rendelkező környezet számára:
A tűzfalat lehet úgy konfigurálni, mint az egyedüli host címet, ami látható a külső hálózat számára, és szükségessé téve, hogy a belső hálózatra vagy onnan történő csatlakozás keresztülmenjen a tűzfalon. A proxies használata lülönböző szolgáltatásokra megakadályozza a belső hálózatra történő közvetlen hozzáférést, védelmet nyújtva ezzel a szervezet számára a bizonytalan és helytelenül konfigurált belső hostgépekkel szemben. A hatékony felhasználói hitelesítést alkalmazási átjárókkal lehet érvényesíteni. A Proxies részletes naplózást nyújtanak az alkalmazási szinten.
Az alkalmazás szintű tűzfalakat úgy kell konfigurálni, hogy a kimenő hálózati forgalom úgy jelenjen meg mintha a forgalom a tűzfalról indulna azaz csak a tűzfal látható a külső hálózatokról). Ilyen módon a belső hálózatokon lévő hálózati szolgáltatásokhoz közvetlen hozzáférés nem engedélyezett. A különböző hálózati szolgáltatásokra, mint pl., Telnet, FTP, HTTP, RLOGIN, stb. bejövő összes kérésnek, függetlenül attól, hogy a belső hálózaton melyik gazdagép lesz a végállomás, keresztül kell mennie a tűzfal megfelelő szerver programján (proxy). Az alkalmazási átjárók proxyt tesznek szükségessé az egyes szolgáltatások esetében, úgy mint FTP, HTTP, stb., amelyek támogatása a tűzfalon keresztül történik. Ha olyan szolgáltatást kérnek, amelyet nem támogat proxy, a szervezet előtt három lehetőség áll:
o o o
A szolgáltatás megtagadása, amig a tűzfal forgalmazója nem készít biztonságos proxyt – Ez a választott módszer, mivel az újonnan bevezetett Internet szolgáltatások elfogadhatatlan sebezhetőséggel rendelkeznek. Vevő proxy kialakítása – Ez meglehetősen nehéz feladat és csak a nagyon fejlett technikai szervezetek esetében lehetséges A szolgáltatás tűzfalon keresztüli áthaladása – Tipikus “csatlakozók” felhasználásával, a legtöbb alkalmazási átjáró tűzfal engedélyezi, hogy a szolgáltatások közvetlenül áthaladjanak a tűzfalon, minimális csoamszűréssel. Ez korlátozhatja a sebezhetőséget, de veszélyeztetheti a rendszerek sebezhetőségét a tűzfal mögött.
Alacsony A proxy által nem támogatott kimenő Internet szolgáltatásnak át kell haladnia a tűzfalon, a tűzfal adminisztrátornak meg kell határoznia a konfigurációt vagy a csatlakozást, ami engedélyezi a kért szolgáltatást. Amikor a proxyt a tűzfal forgalmazó biztosítja, a csatlakozót ki kell iktatni és a proxyt működésbe kell hozni.
Közepes-magas Az összes kimenő Internet szolgáltatást a tűzfalon lévő proxy szoftvernek kell feldolgoznia. Amennyiben új szolgáltatást kérnek, a szolgáltatás csak akkor elérhető, ha a tűzfal forgalmazója rendelkezére bocsájtja a proxyt és a tűzfal adminisztrátor elvégzi a tesztelését. A vevő proxy kifejlesztése házon belül vagy más forgalmazók által csak a vezetőség jóváhagyása alapján történhet. Hibrid vagy komplex átjárók A hibrid átjárók a fenti tűzfalak közül kettő vagy annál több típust egyesítenek, amelyek végrehajtása rendszerint sorban és nem párhuzamosan történik. Ha sorba vannak kapcsolva, az általános biztonság nagyobb, másrészt, ha párhuzamosan vannak kapcsolva, a hálózati biztonsági periméter csak annyira biztonságos mint az alkalmazott legkevésbé biztonságos módszer. A közepes és magas kockázatú környezeteknél a hibrid átjáró ideális tűzfal megvalósításnak bizonyul.
Besorolás A különböző tűzfal típusok esetében az alábbiakban ismertetjük a besorolási osztályzatokat a javasolttól az elfogadhatatlanig terjedően: 4
javasolt választás
3
hatékony opció
2
elfogadható
1
minimális biztonság
0
elfogadhatatlan
Tűzfal biztonsági kockázat Tűzfal arhitektúra
Magas kockázatú környezet
Közepes kockázatú környezet
Alacsony kockázatú környezet
(ha ezek közül valamelyiket kivitelezték)
pl., kórház
pl., egyetem
pl., virágüzlet
Csomagszűrés
0
1
4
Alkalmazási átjárók
3
4
2
Hibrid átjárók
4
3
2
4. Tűzfal architektúrák A tűzfalakat többféle arhitektúrában lehet konfigurálni, amelyek különböző szintű biztonságot nyújtanak, elérő költségű installálás és működés mellett. A szervezetnek össze kell hangolnia a kockázati profilját a kiválasztott tűzfal arhitektúrával. Az alábbi bekezdések
ismertetnek néhány tipikus tűzfal arhitektúrát és példát nyújtanak a kapcsolódó politikai utasításokra is.
1. Multi-home hostgép A multi-home hostgép egy olyan gazdaszámítógép (ebben az esetben tűzfal), amely egynél több hálózati interfésszel rendelkezik. Az interfészek logikailag és fizikailag külön hálózati szegmentekhez csatlakoznak. A dual-home host (két interfésszel rendelkezik) a legelterjedtebb példa a multi-home hostra. A dual-home tűzfal különböző hálózatokhoz kapcsolódó két hálózati interfész kártyával (network interfaces cards -NICs) rendelkező tűzfal. Így pl., egy hálózati interfész jellegzetesen a külső vagy nem megbízható hálózathoz csatlakozik, míg a többi interfész a belső vagy megbízható nálózathoz csatlakozik. Ebben a konfigurációban a fő biztonsági tenet nem engedheti, hogy a nem megbízható hálózatról jövő forgalom közvetlenül a megbízható hálózatra kerüljön – a tűzfalnak minden esetben közvetítőként kell működni. A tűzfal általi forgalomirányítást ki kell iktatni a dual-home tűzfal esetében, hogy az egyik hálózatról érkező IP csomagokat ne irányítsák közvetlenül az egyik hálózatról a másikra.
2. Felügyelt host A felügyelt host tűzfal arhitektúra olyan hostot alkalmaz (bástya host), amelyhez az összes külső host kapcsolódik, és nem engedélyezi a más, kevésbé biztonságos belső hostokhoz való közvetlen kapcsolódást. Ennek biztosítására, egy szűrő forgalomirányítót építenek ki, annak érdekében, hogy a külső hálózatról a belső hálózatra történő összes kapcsolódás közvetlenül a bástya hostra legyen irányítva. A csomagszűrő átjáró telepítése során szükség van egy bástya host felálítására, így a külső hálózatról érkező összes kapcsolódás keresztülmegy a bástya hoston, megakadályozva a VÁLLALATI hálózat és a külső világ közötti közvetlen Internetes kapcsolatot.
3. Felügyelt alhálózat A felügyelt alhálózat arhitektúra lényegében ugyanaz, mint a screened host arhitektúre, de plussz biztonsági réteget nyújt azáltal, hogy kialakít egy olyan a belső hálózattól elkülönült hálózatot, ahol a bástya host tartózkodik (gyakran periméter hálózatnak hívják). A screened alhálózat telepítése során egy periméter hálózatot is kiépítenek, hogy a belső és a külső hálózat elkülönüljön. Ez gondoskodik arról, hogy amennyiben sikeres támadás történik a bástya hoston, a támadót belső és a periméter hálózat között kapcsolt screening router a periméter hálózatra korlátozza.
5. Intranet Igaz a tűzfal rendszerint a hálózat és a külső nem megbízható hálózat között helyezkedik el, nagyobb vállalatopknál és szervezeteknél a tűzfalat arra is használják, hogy különböző alhálózatokat alakítson ki a hálózaton belül, ez az Intranet. Az Intranet tűzfalak célja egy adott alhálózat ellkülönítése az általános vállalati hálózattól. Egy hálózati szegmens elkülönítésének célja lehet az, hogy néhány alkalmazott csak need-to-know alapokon tud az ilyen típusú tűzfalakkal védett alhálózatokhoz hozzáférni. Erre példaként szolgálhat egy szervezet bérszámfejtő vagy könyvelési részlegének tűzfala. Az Intranet tűzfal használatára vonatkozó döntés általában azon alapszik, hogy szükségese bizonyos információkat néhány de nem az összes belső felhasználó számára
rendelkezésre bocsájtani, vagy a titkos és érzékeny természetű információk hozzáférésére és alkalmazására vonatkozóan nagyfokú elszámolhatóságot biztosítani. Minden olyan rendszernél, amely VÁLLALAT kritikus alkalmazásokat őriz, vagy hozzáférést biztosít érzékeny illetve bizalmas jellegű információkhoz, a belső tűzfalak vagy szűrő routerek használata szükséges a hatékony hozzáférési kontroll és az audit, naplózás támogatásának céljából. Ezeket a kontrollokat kell használni a belső VÁLLALATI hálózat elkülönítésére annak érdekében, hogy az információ tulajdonosa által kifejlesztett hozzáférési politikát támogassa.
6. Tűzfal adminisztráció Más hálózati eszközhöz hasonlóan a tűzfalat is írányítani kell valakinek. A biztonsági politkában le kell fektetni, hogy ki felelős a tűzfal kezeléséért. Két tűzfal adminisztrátor (elsődleges, másodlagos) kell kijelölnie az Információ biztonsági vezetőnek (vagy más menedzsernek),a kik a tűzfal fenntartásáért felelnek. Az elsődleges adminisztrátor hajtja végre a változtatásokat a tűzfalon, a másodlagos csak abban az esetben teheti ha az előző hiányzik, így nem áll fenn szimultán vagy egymásnak ellentmondó hozzáférés a tűzfalhoz. A tűzfal adminisztrátor köteles megadni az otthoni telefonszámát, a pager számát, a rádiótelefonszámát és további elérhetőségeket, amelyeken meg lehet találni, ha segítségre van szüksége.
o
A tűzfal adminisztrátor képesítése Általában két tapasztalt ember javasolt a tűzfal napi szintű adminisztrációjához. Ilyen módon a tűzfal adminisztratív funkciójának elérhetősége nagyban biztosított. Előírásként kell szerepelnie, hogy a tűzfal adminisztrátorokra vonatkozó információt írásba kell fektetni, hogy x probléma esetén fel lehessen velük venni a kapcsolatot. A helyszín biztonsága kulcsfontosságú a szervezet mindennapos üzletmenetéhez. Ezért elengedhetetlen, hogy a tűzfal adminisztrátor alapos ismeretekkel rendelkezzen a hálózai fogalmakról és megvalósításokról. Így pl., mivel a legtöbb tűzfal TCP/IP alapú, ennek a protokollnak az ismerete kötelező. A tűzfal adminisztrációjával megbízott személynek kellő tapasztalattal kell rendelkeznie a hálózati elgondolásokról, tervezésről és kivietelezésról, annak érdekében, hogy a tüzfal megfeleően legyen konfigurálva és adminisztrálva. A tűzfal adminisztrátorok számára meghatározott időszakonként továbbképzést kell tartani a használatban lévő tűzfalakról és a hálózat biztonsági alapelveről, gyakarolatairól.
o
Távoli tűzfal adminisztrátor A támadó számára a tűzfal jelenti az első látható támadási vonalat. A tervezésük miatta a tűzfalakat általában nehéz közvetlenül megtámadni, ezért a támadók gyakran a tűzfalon lévő adminisztratív azonosítókat célozzák meg. Az adminisztratív azonosító felhasználónevét/jelszavát szigorúan védeni kell. Az ilyen típusú támadásokkal szembeni legbiztonságosabb védelmet egy erős fizikai védelem jelenti a tűzfal host körül, valamint hogy a tűzfal adminisztrációt csak egy csatolt terminálról lehetséges. Néhány műveleti probléma, azonban, gyakran szükségessé teszi a tűzfal adminisztráció távoli hozzáférésének támogatását. Semmilyen esetben nem lehet a tűzfal távoli hozzáférését támogatni megbízhatatlan hálózatról szigorú hitelesítés nélkül. Ezenefelül, a “hallgatózás” kiküszöbölésére esemény-titkosítást kell alkalmazni a távoli tűzfal csatlakozások során.
Alacsony Tüzfal adminisztráció céljából megbízhatatlan hálózaton keresztüli távoli hozzáférés esetében szigorú hitelesítést kell alkalmazni, mint pl egyszeri jelszavak és/vagy hardver vezérjelek. Közepes A tűzfal adminisztráció választott módja közvetlenül a csatolt terminárról történik. A tűzfal terminálhoz való fizikai hozzáférés a tüzfal adminisztrátorra és a backup adminisztrátorra korlátozódik. Ahol a távoli hozzáférést a tüzfal adminisztrációja céljából meg kell engedni, ott a VÁLLALAT belső hálózatán lévő egyéb hostokról korlátozni kell a hozzáférést. Az ilyen belső távoli hozzáférés szigorú hitelesítést tesz szükségessé, úgy mint pl egyszeri jelszavak és/vagy hardver vezérjelek alkalmazását..Nem megbízható hálózaton, mint pl., Interneten keresztüli távoli hozzáférés az információ elejétől a végéig történő rejtjelezését teszi szükségessé, valamint szigorú hitelesítést kell alkalmazni. Magas Minden tűzfal adminisztrációt a helyi terminálról kell végezni – hozzáférés a tűzfalat működtető szoftverhez távoli hozzáférésen keresztül nem engedélyezett. A tűzfal terminálhoz való fizikai hozzáférés a tüzfal adminisztrátorra és a backup adminisztrátorra korlátozódik.
7. Felhasználói azonosítók A tűzfalat soha nem lehet általános célú szerverként használni. A tűzfalon lévő egyedüli felhasználói azonosítók a tűzfal adminisztrátorhoz és backup adminisztrátorokhoz tartoznak. Ezenfelül, csak a fenti adminisztrátorok rendelkeznek a rendszer futtatható programjainak vagy más rendszer szoftverek frissítésének privilégiumával. Kizárólag a tűzfal adminisztrátor és a backup adminisztrátorok kaphatnak felhasználói azonosítót a VÁLLALATI tűzfalon. A tűzfal rendszer szoftver módosításait csak a tűzfal adminisztrátor vagy a backup adminisztrátor végezheti a Hálózati Szolgáltatások Menedzser jóváhagyása mellett.
8. Tűzfal Backup Leállás vagy természeti katasztrófa utáni helyreállítás segítése céljából, a tűzfalnak, más hálózati hostokhoz hasonlóan, rendelkeznie kell a rendszer mentését meghatározó politikával. A tűzfal leállása esetére az adatállományoknak és rendszer-konfigurációs állományoknak mentési tervet kell készíteni. A tűzfalat (rendszerszoftvert, konfigurációs adatokat, adatállományokat, stb.,) napi, heti és havi rendszerességgel kell menteni, hogy a rendszer meghibásodása esetén a az adatokat és konfigurációs állományokat helyre lehessen állítani. A backup állományt biztonságosan egy írásvédett közegen kell tárolni, hogy a tárolt adatot ne lehessen figyelmetlenség miatt átírni, és le kell zárni, hogy csak a jogosult személyek számára legyen hozzáférhető. Egy másik mentési alternatíva lehet az hogy az alkalmazott tűzfal mellett fenntartanak egy úgyanúgy konfigurált másik tűzfalat és a meglévő meghibásodása esetén a backup tűzfalat egyszerűen űzembe helyezik és a másik helyreállításáig alkalmazzák. Legalább egy tűzfalat kell konfigurálni és fenntartani (nem használatban) hogy a tűzfal leállása estén, ezt a backup tűzfalat be lehessen kapcsolni, biztosítva a hálózat védelmét.
9. Megbízható hálózati kapcsolatok Az üzleti hálózatok gyakran kapcsolódnak más üzleti hálózatokhoz. A ilyen kapcsolatok létesülhetnek bérelt vonalon, saját kiterjedt hálózaton, értéknövelt hálózaton és nyilvános hálózatokon, mint pl az Interneten keresztül. Így pl., sok helyi közigazgatás használ bérelt vonalat vagy osztatlan áramkört hogy fel vegye a kapcsolatot a regionális irodákkal az országban. Sok vállalat használ kereskedelmi értéknövelt hálózatot, hogy kapcsolatba lépjen az üzleti egységekkel az országba és a világban. A különböző érintett hálózati szegmensek különböző szervezetek irányítása alá eshetnek és eltérő biztonsági politikák alapján működnek. Ennélfogva, a hálózatok kapcsolódásakor a létrejött hálózat biztonsági szintje a leggyengébb hálózat szintjére esik vissza. A hálózatok összekapcsolásának döntésekor definiálni kell a megbízható kapcsolatot annak érdekében, hogy az érintett összes hálózat biztonsága ne csökkenjen. A megbízható hálózatokat úgy lehet definiálni, mint ugyanazt a biztonsági politikát alkalmazó hálózatok, illetve megállapodás szerinti közös biztonsági szolgáltatást nyújtó biztonsági rendszert és eljárásokat végrehajtó hálózatok. Nem megbízható hálózatoknak hívjuk azokat, amelyek nem ugyanazt a biztonsági rendszert alkalmazzák, illetve ahol a biztonsági szint nem ismert vagy nem előrelátható. A legmegbízhatóbb politika csak a megbízható hálózatokhoz engedélyezi a csatlakozást, amit a megfelelő szintű vezetőség határoz meg. Az üzleti szükségletek, ugyanakkor, olyan átmeneti kapcsolatokat kényszeríthetnek ki üzleti partnerekkel és távoli helyszínekkel, ahol nem megbízható hálózatok alkalmazását jelenti. Magas A VÁLLALATI hálózatról külső hálózatra történő összes kapcsolódást a Hálózati Szolgáltatások Menedzsernek kell jóváhagynia és irányítani. Kizárólag olyan külső hálózatokhoz engedélyezett a csatlakozás, amelyeket átvizsgáltak és amelyek biztonsági rendszerét és eljárásait megfelelőnek találták. A külső hálózatokhoz való összes kapcsolódás kieresztülmegy a VÁLLALAT által jóváhagyott tűzfalakon. Alacsony-közepes A VÁLLALATI hálózatról külső hálózatra történő összes kapcsolódást a Hálózati Szolgáltatások Menedzsernek kell jóváhagynia. A külső hálózatokhoz való összes kapcsolódás kieresztülmegy a VÁLLALAT által jóváhagyott tűzfalakon. Nagyobb sérülékenység kiküszöbölése érdekében, az összes, külső hálózatra vonatkozó kapcsolódást és azonosítót meghatározott időszakonként vizsgálni kell, és meg kell semmisíteni, amennyiben már nincs rájuk szükség. Az eseménynaplókat és rendszernaplókat külső hálózati kapcsolódás esetén hetente kell felülvizsgálni. Deaktiválni kell az összes ilyen kapcsolatra vonatkozó azonosítót, amennyiben nem használják azokat havi rendszerességgel. A Hálózati Szolgáltatások Menedzser felkéri a funkcionális menedzsereket, hogy negyedévenként érvényesítsék az ilyen kapcsolatok szükségességét. Amennyiben a Hálózati Szolgáltatások Menedzser azt észleli, hogy egy adott hálózathoz a csatlakozás már nem érvényes, az összes, a csaltlakozásra vonatkozó azonosítót és paramétert egy munkanap alatt ki kell törölni.
10.
Virtuális Privát Hálózatok (Virtual privat networks - VPN)
A virtuális privát hálózatok lehetővé teszik, hogy egy megbízható hálózat nem mehűgbízható hálózaton, pl., Interneten keresztül kommunikájon egy másik megbízható hálózattal. Mivel néhány tűzfal VPN képességel rendelkezik, szükség van a virtuális privát hálózatok létrehozásához kapcsolódó politika meghatározására.
A tüzfalak nyilvános hálózaton történő kapcsolódás során titkosított virtuális privát hálózatot kell alkalmazni a nyilvános hálózaton keresztülmenő adatok titkosságának és integritásának biztosítása céljából. Az összes VPN kapcsolatot a Hálózati Szolgáltatások Menedzser hagyja jóvá és irányítja. A rejtjelezési kulcsok szétosztására és fenntartására megfelelő eszközöket kell létrehozni a virtuális privát hálózatok működés közben történő használata előtt. A tűzfala alpú virtuális privát hálózatokat különböző konfigurációban létre lehet hozni. A 5.4.1 fejezetek részletezik a különbözö megbízhatósági szinteket és ismertetik a virtuális privát hálózat konfigurációkkal kapcsolatos minta politikákat.
11. Doménneveket kezelő szolgáltatás (Domain Name Service – DNS) és levelezési rezolúció Az Interneten a doménneveket kezelő szolgáltatás végzi a doménnevek leképezését és IP címekké való áthelyezését, úgy mint a server1.acme.com leképezése a következőre:123.45.67.8. Néhány tűzfal elsődleges, másodlagos vagy caching DNS szerverként konfigurálva futtatható. A DNS szolgáltatások kezelésére vonatkozó döntés általában nem biztonsági döntés. Sok szervezet igénybe vesz harmadik felet, mint pl., Internet Service Provider, a DNS kezelésére. Ebben az esetben a tűzfalat mint DNS caching szervert lehet alkalmazni, fokozva ezzel a teljesítményt de nem kényszerítve így a szervezetet a saját DNS adatbázis fenntartására. Amennyiben a szervezet a saját DNS adatbázis kezelése mellett dönt, a tüzfal funkcionálhat (de nem feltétlenül) DNS szerverként. Ha a tűzfalat DNS szerverként konfigurálják (elsődleges, másodlagos vagy caching) szükség van egyéb biztonsági elővigyázatosságok megtételére is. A tűzfal DNS szerverként való megvalósítás egyik előnye, hogy lehet úgy konfigurálni, hogy elrejtse a helyszín belső host információit. Más szóval a DNS szerverként működő tűzfal esetében a belső hostok korlátlan képet kapnak mind a belső mind a külső DNS adatokról. A külső hostoknak másfelől, nincs hozzáférésük a belső hostgépekkel kapcsolatos információkhoz. A külső világ számára, a belső hosgépekre való összes csatlakozás a tűzfalról előállítva jelenik meg. Mivel a hosttal kapcsolatos információk rejtve vannak a támadó nem fogja ismerni az Internet szolgáltatást felajánló belső hostok neveit és címeit. A DNS elrejtésre vonatkozó biztonsági politika kijelentheti: Amennyiben a tűzfal DNS szerverként fut, a tűzfalat úgy kell konfigurálni, hogy elrejtse a hálózattal kapcsolatos információt, így a belső host adatok nem jelennek meg a külső világ előtt.
12.
Rendszerintegráció
A tűzfal konfiguráció nem engedélyezett módosításainak megakadolyázásra, az integritást biztosíó folyamat valamelyik formáját kell alkalmazni. Tipikusan ellenőrző összegek, ciklikus redundancia-ellenőrzések illetve kriptográfiai hashes készülnek a futásidő képből (runtime image) és védett médiára mentik őket. Minden egyes alkalommal, amikor a tűzfal konfigurációt a jogosult személy (általában a tűzfal adminisztrátor) módosítja, szükség van a rendszerintegritás online adatbázis frissítésére, valamint annak a hálózaton lévő adatállományra vagy eltávolítható médiára történő mentésére. Amennyiben a rendszerintegritás ellenőrzése azt mutatja, hogy a tűzfal konfigurációs állományok módosultak, ez azt jelenti, hogy a rendszert kompromittálták. A tűzfal rendszerintegrációs adatbázisát minden egyes alkalommal módosítani kell, ha a tűzfal konfiguráció módosításra kerül. A rendszerintegrációs állományt írásvédett médiumon vagy off-line memórián kell tárolni. A rendszerintegrációt rendszeresen ellenőrizni kell a tűzfalon, hogy az adminisztrátor listát készíthessen azokról a fájlokról, amelyeket módosítottak, áthelyeztek vagy törtöltek.
13.
Dokumentáció
Nagyon fontos, hogy a tűzfal és annak konfigurálható paramétereinek működési folyamatait alaposan dokumentálják, frissítsék, és megbízható helyen tárolják. Ezzel biztosítható, hogy amennyiben a tűzfal adminisztrátor kilép vagy egyéb okból nem elérhető, egy tapasztalt személy a dokumentáció alapján gyorsan elsajátíthatja a tűzfal adminisztrációját. Betörés esetén is hasznosnak bizonyulhat a dokumentáció a biztonsági baleset okainak feltárása során.
14.
Fizikai tűzfal biztonság
A tűzfalhoz való fizikai hozzáférést szigorúan ellenőrizni kell annak érdekében, hogy ki lehessen zárni bármilyen engedélyezett változtatást a tűzfal konfigurácóban vagy működési státuszban és hogy ki lehessen küszöbölni tüzfal működés monitoringjának lehetőségét. Ezenfelül, elővigyázatosságokat kell tenni hogy biztosítva legyenek a megfelelő környezetvédelmi riasztók és backup rendszerek, így biztosítva hogy a tűzfal online maradjon. A VÁLLALATI tűzfalnak egy ellenőrzött környezetben kell elhelyezkednie, amelyhez csak a Hálózati Szolgáltatások Menedzser, a tűzfal adminisztrátor és a backup tűzfal adminisztrátor férhet hozzá. A szobát, ahol a tűzfal található, fel kell szerelni fűtéssel, légkondícionálóval és tűzjelzővel, hogy biztosított legyen a szoba megfelelő munkarendje. A tűzoltókészülékek elhelyezését és újratöltési állapotát rendszeres időközönként ellenőrizni kell. Amennyiben folyamatos üzemű szolgáltatás áll rendelkezésre bármilyen Internettel összekapcsolt rendszerrel, a szolgáltatást a tűzfalnak is biztosítani kell.
15.
Tűzfal események kezelése
Az incidens jelentés olyan folyamat, amely során bizonyos rendellenességeket mutatnak ki és naplóznak a tűzfalon. Egy politikában kell meghatározni, hogy milyen jellegű jelentést naplóznak és mi a teendő az elkészült naplózott jelentéssel. Ennek összhangban kell lennie az Esemény Kezelési Politikával (lásd 5.5 bekezdést) Az alábbi politikák az minden típusú kockázattal rendelkező környezetnek megfelelnek. A tűzfalat úgy kell konfigurálni, hogy a jelentéseket napi, heti és havi rendszerességgel naplózza, így a hálózati tevékenység analizálható, ha szükséges. A tűzfal naplózását hetente kell felülvizsgálni ezáltal meghatározható, hogy a támadásokat felismerték-e.. A tűzfal adminisztrátort email, személyi hívó, vagy egyéb módon kell értesíteni minden biztonsági riasztásról, hogy azonnal reagálhasson a riasztásra. A tűzfalnak el kell utasítani mindenféle felé irányuló szondázó vagy letapogató eszközt, hogy az információ védett legyen és ne szivárogjon ki a tűzfal által. Hasonló módon, a tűzfalnak blokkolnia kell az összes szoftver típust, amely biztonsági szempontból fenyegetettséget jelent a hálózat számára (úgy mint Active X és Java) hogy szorosabb legyen a hálózat biztonsága.
16.
Szolgáltatások helyreállítása
Amint az eseményt felderítik, előfordulhat, hogy a tűzfalat le kell állítani és újra kell konfigurálni. Ha szükség vana tűzfal leállítására, az Internet szolgáltatást meg kell szüntetni vagy egy másodlagos tűzfalat kell üzembe helyezni. – a belső rendszereket nem szabad tűzfal nélkül az Internettel összekapcsolni. Az újrakonfigurálás után a tűzfalat működési és biztonságos állapotba kell visszahozni. Politikát kell készíteni a tűzfal működőképes állapotba történő visszaállítására, arra az esetre ha betörés történik.
A tűzfal betörése esetén, a tűzfal adminisztrátor(ok) felelőssége a tűzfal újra konfigurálása, így foglalkozni lehet a kiaknázott sérülékenység problémájával. A tűzfalat a betörés előtti állapotba kell visszaállítani, hogy a hálózat nem maradjon nyitva. A backup tűzfalat kell használni, míg a visszaállítás folyamatban van.
17.
A tűzfal fejlesztése
Gyakran szükség van a tűzfal szoftver és hardver elemek szükséges modulokkal történő felfeljesztésére a tűzfal optimális teljesítményének biztosítására. A tűzfal adminisztrátornak ismernie kell az összes hardver és szoftver programhibát, valamint a forgalmazó által kibocsájtott tűzfal szoftverfejlesztéseket. Ha bármilyen fejlesztésre szükség van, bizonyos óvintézkedéseket meg kell tenni, hogy az üzemelési biztonság folyamatosan fenntartható legyen. If an upgrade of any sort is necessary, certain precautions must be taken to continue to maintain a high level of operational security. A fejlesztésekre vonatkozó mintapolitikák lehetnek az alábbiak: A tűzfal teljesítményének optimalizálása céljából, a processzorra és memória kapacitásra vonatkozó összes forgalmazó általi javaslatot követni kell.
18.
A tűzfal politika felülvizsgálata és korszerűsítése
Az új technológiák gyors megjelenése, és az a tendencia, hogy a társaságok folyamatosan új technológiákat vezetnek be, a tűzfal biztonsági politikákat rendszeresen felül kell vizsgálni. A hálózati követelmények változásával a biztonsági politikának is változnia kell.
19. Naplózások és eseménynaplózás (Ellenőrző/Esemény jelentés és összefoglalók A legtöbb tűzfal széles körű lehetőséget kínál a forgalom és hálózati események naplózására. Néhány biztonsággal kapcsolatos esemény, amelyet fel kell jegyezni a tűzfal eseménynaplójába: hardver és lemez média hibák, bejelentkezések/kijelentkezések, összeköttetési idő, rendszer adminisztrátori privilégiumok alkalmazása, kimenő és beérkező e-mail forgalom, TCP (távfeldolgozású vezérlőprogram) hálózati kapcsolódási kísérletek, bejövő és kimenő proxy forgalom típusok. Az alábbiakban néhány mintatáblázatot mutatunk be Internet Biztonsági Mintapolitika Politika Szolgáltatás
Belülről kívülre
Kívülről belülre
Mintapolitika
Állapot
Eng
Állapot
Eng
FTP
I
n
I
I
FTP hozzáférést a belső hálózatról a külső hálózatról kell lehetővé tenni. Szigorú engedélyezés szükséges az FTP hozzáféréshez a külső hálózatról a belsőre.
Telnet
I
n
I
I
A Telnet hozzáférést lehetővé kell tenni a beslő hálózatról a külső hálózatra. Telnet hozzáférésnél a külső hálózatról a belső hálózatra, hitelesítés szükséges.
Rlogin
I
n
I
I
rlogin VÁLLALATI hosztgépre külső hálózatról esetében szükség van a Hálózati Szolgáltatások
Menedzser írásos engedélyére és szigorú hitelesítés alkalmazására. HTTP
I
n
n
n
Minden külső felhasználók hozzáférésére szánt WWW szerver a VÁLLALATI tűzfalon kívűlről hosztolt. A VÁLLALATI tűzfalon keresztül nem engedélyezett bejövő HTTP.
SSL
I
n
I
I
Ügyféloldali igazolást alkalmazó Secure Sockets Layer eseményekre van szükség ha az SSL események a VÁLLALATI tűzfalon keresztül haladnak át.
POP3
n
n
I
n
A VÁLLALATI Post Office Protocol szervert a VÁLLALATI tűzfalon belül kell hosztolni. A tűzfal a POP forgalmat csak a POP szerverre továbbítja. Szükség van az APOP alkalmazására.
NNTP
I
n
n
n
Az NNTP szerverhez engedélyezett.
Real Audio
n
n
n
n
Jelenleg nincs üzleti elvárás a folyamatos audio események VÁLLALATI tűzfalon keresztül történő támogatására. A Hálózati Szolgáltatások Menedzserhez kell fordulni, ha ilyen támogatási igény merül fel.
Lp
I
n
n
n
Bejövő lp szolgáltatásokat a VÁLLALATI tűzfalnál le kell tiltani.
finger
I
n
n
n
Bejövő finger szolgáltatásokat a VÁLLALATI tűzfalnál le kell tiltani.
gopher
I
n
n
n
Bejövő gopher szolgáltatásokat a VÁLLALATI tűzfalnál le kell tiltani.
whois
I
n
n
n
Bejövő whois szolgáltatásokat a VÁLLALATI tűzfalnál le kell tiltani.
SQL
I
n
n
n
A Hálózati Szolgáltatások Menedzsernek engedélyezni kell a külső hosztgépről a belső adatbázisokra történő csatlakozást, és jóváhagyott SQL proxy szolgáltatásokat kell alkalmazni.
Rsh
I
n
n
n
Bejövő rsh szolgáltatásokat a VÁLLALATI tűzfalnál le kell tiltani.
Egyéb mint pl., NFS
n
n
n
n
Az egyéb, nem említett szolgáltatáshoz való hozzáférést mindkét irányba meg kell tagadni, hogy csak azok az Internetes szolgáltatások legyenek engedélyezve, amelyekre szükségünk van és amelyeket ismerünk.
külső
hozzáférés
nem
Elképzelhető, hogy a szervezet erős hitelesítés alkalmazása nélkül szeretne támogatni néhány szolgáltatást. Így pl., egy anonim FTP szerver használható arra, hogy az összes külső felhasználó letöltse a nyitott információt. Ebben az esetben az ilyen szolgáltatásokat a tűzfalon kívül kell hostolni vagy olyan szolgáltatási hálózaton, amely nem kapcsolódik érzékeny jellegű adatokat tartalmazó vállalati hálózathoz. A következő táblázat foglalja össze azt a módszert, amely ismerteti az olyan szolgáltatásra vonatkozó politikát, mint az FTP. Biztonsági politika összefoglalása
Politika
Nem anonim FTP szolgáltatás
Anonim FTP szolgáltatás
A szervergépet a tűzfalon kívülre kell feltenni
N
I
A szervergépet a szolgáltatási hálózatra kell feltenni
N
I
Szervergépet a védett hálózatra kell feltenni
I
N
A szervergépet magára a tűzfalra kell felrakni
N
N
A szolgáltatáshoz Interneten
N
I
mindenki
hozzáfér
az
