Vatrozid

Izvor: Wikipedia
Ilustracija gdje se može vatrozid locirati na mreži.
Protok mrežnih paketa kroz Netfilter, modul kernela Linuxa.
Gufw je grafički front-end za nekomplikovani vatrozid, koji je zapravo wrapper za netfilter.

Vatrozid (engleski: Firewall) je mrežni sigurnosni sistem koji upravlja ulazni i izlazni mrežni saobraćaj zasnovan na skupu primijenjenih pravila. Vatrozid ostvaruje barijeru između povjerljive, sigurne unutarnje mreže i druge mreže (npr. Internet) za koju se pretpostavlja da nije sigurna i povjerljiva.[1] Vatrozidovi postoje kao softver koji se pokreće na hardveru opće svrhe i kao hardverska primjena. Većina vatrozida koja je zasnovana na vatrozidovima također nudi ostale funkcionalnosti internoj mreži koju štite, poput uloge kao DHCP server za tu mrežu.

Većina osobnih računarskih operativnih sistema sadržava softverske vatrozide za zaštitu protiv prijetnji sa javnog Interneta. Većina rutera koji šalju podatke između mreža sadrže vatrozidne komponente i, obrnuto, većina vatrozida može obaviti osnovne funkcije rutera.[2][3]

Historija[uredi - уреди]

Pojam vatrozid sprva je označavao zid koji teži ograničiti vatru ili potencijalnu vatru unutar zgrade. Kasnija upotreba označava jednake strukture, poput lima koji odvaja motorni prostor vozila ili letjelice od prostora za putnike.

Vatrozid tehnologija se pojavila kasnih 1980-tih kada je Internet bio veoma nova tehnologija u smislu svoje globalne upotrebe i povezanosti. Prethodnici vatrozidima za mrežnu sigurnost bili su ruteri korišteni kasnih 1980-tih:[4]

Prva generacija: filteri paketa[uredi - уреди]

Prvi papir objavljen u vezi sa vatrozidnom tehnologijom bio je u 1988, kada su inženjeri firme Digital Equipment Corporation (DEC) razvili filterski sistem poznat kao filter paketa vatrozid. Ovaj veoma osnovni sistem bio je prva generacija onoga što je danas visoko umiješana i tehnička mogućnost internet sigurnosti. U kompaniji AT&T Bell Labs, Bill Cheswick i Steve Bellovin nastavljali su svoje istraživanje u filterima paketa i razvili radni model za svoju vlastitu kompaniju zasnovanu na njihovoj originalnoj ideji arhitekture prve generacije.[7]

Paketni filteri vrše ulogu inspekcijom "paketa" koji su premještani između računara na Internetu. Ako se paket slaže sa skupom filtrirajućih pravila filtera paketa, paketni filter će ispustiti (tiho odbaciti) paket ili ga odbaciti (odbaciti, te poslati "poruku greške" izvoru).

Ovaj tip filtriranja paketa ne posvećuje pažnju bilo da je paket dio postojećeg toka saobraćaja (npr. ne sačuvava informacije ili "stanje" konekcije). Umjesto toga, filtrira svaki paket zasnovan jedino na informacijama koje se sadrže u samom paketu (najčešće koristeći kombinaciju izvora paketa i destinacijske adrese, svog protokola, i, za TCP i UDP promet, broj porta).

Protokoli TCP i UDP sastavljaju većinu komunikacije preko Interneta, te zbog toga što TCP i UDP saobraćaj dogovorno koristi dobro poznate portove za određene tipove saobraćaja, "bez-stanja" paketni filter može razlikovati između, i tako kontrolirati, te tipove saobraćaja (kao što je pregledanje Interneta, daljinsko printanje, prijenos emaila, prijenos datoteka), sve dok strojevi na obje strane paketnog filtera koriste jednake nestandardne portove.[8]

Vatrozidovi paketnog filtriranja rade uglavnom na prva tri sloja OSI modela, što znači da je većina rada najviše urađeno između mreže i fizičkih slojeva, sa malko "provirivanja" u transportni sloj radi na shvatanju izvora i odredišnih brojeva porta.[9] Kada paket dolazi od pošiljaoca i filtrira se kroz vatrozid, uređaj provjerava sličnosti sa bilo kojim od paketa koji filtriraju te su podešeni u vatrozidu, a zatim ispušta ili odbija paket skladno s tim. Kada paket prolazi kroz vatrozid, on filtrira paket prema protokol/port brojnoj bazi (GSS). Naprimjer, ako pravilo u vatrozidu postoji da blokira telnet pristup, tada će vatrozid blokirati TCP protokol za broj porta 23.[10]

Druga generacija: "stateful" filteri[uredi - уреди]

Od 1989–1990. tri kolege sa AT&T Bell Laboratories, Dave Presetto, Janardan Sharma i Kshitij Nigam, razvili su drugu generaciju vatrozida, nazivajući ih Circuit-level gateway-ovi.[11]

Vatrozidovi druge generacije vrše rad na njihovom prethodniku prve generacije ali operiraju do sloja 4 (transportni sloj) OSI modela. Ovo se dobija zadržavanjem paketa sve dok dovoljno informacija nije dostupno da napravi sud od svom stanju.[12] Poznato kao stateful paketna inspekcija, snima sve veze koje prolaze kroz to i određuje da li je paket početak nove veze, dio postojeće veze, ili pak nije paket ijedne veze. Kroz statička pravila koja su korištena, ova pravila mogu sadržavati stanje veze kao jedan od svojih testnih kriterija.

Određeni denial-of-service napadi bombardiraju vatrozid sa hiljadama lažnih veznih paketa u pokušaju da ga prevladaju punjenjem njegovog stanja vezne memorije.[13]

Treća generacija: aplikativni sloj[uredi - уреди]

Marcus Ranum, Wei Xu i Peter Churchyard razvili su aplikativni vatrozid poznat kao Firewall Toolkit (FWTK). U junu 1994, Wei Xu je proširio FWTK sa poboljšanjem Kernela od IP filtera i socket transparenta. Ovo je bilo poznato kao prvi transparentni aplikativni vatrozid, izdat kao komercijalni proizvod brenda Gauntlet firewall na Trusted Information Systems. Gauntlet firewall je rangiran prvim od skupine broj 1 vatrozida tokom 1995–1998.

Ključna korist filtriranja aplikativnog nivoa je taj da on "razumije" određene aplikacije i protokole (poput File Transfer Protocola (FTP), Domain Name Systema (DNS) ili Hypertext Transfer Protocola (HTTP)). Ovo je korisno jer je u mogućnosti da otkrije ako ijedna neželjena aplikacija pokušava zaobići vatrozid na dozvoljenom portu, ili otkriti ako se protokol zloupotrebljava u bilo koje štetnom načinu. Od 2012, tzv. next-generation firewall (NGFW) nije ništa drugo nego "proširena" ili "produbljena" inspekcija u aplikacijskom nivou. Naprimjer, postojeća deep packet inspekcija modernih vatrozida može biti proširena da sadržava i) Preventivni sistem intruzije (IPS); ii) Integracija korisničkog identiteta (povezivanje ID-ova sa IP ili MAC adresama radi "reputacije"); i/ili iii) Web Application Firewall (WAF). WAF napadi mogu biti primijenjeni u alatu "WAF Fingerprinting utilizing timing side channels" (WAFFle).[14]

Tipovi[uredi - уреди]

Postoje različiti tipovi vatrozida zavisno od toga gdje komunikacija uzima mjesto, gdje je komunikacija presretnuta kao i stanje koje se prati.[15]

Reference[uredi - уреди]

  1. Oppliger, Rolf (May 1997). "Internet Security: FIREWALLS and BEYOND". Communications of the ACM 40 (5): 94. doi:10.1145/253769.253802. 
  2. "What is Firewall?". https://personalfirewall.comodo.com/what-is-firewall.html. pristupljeno 2015-02-12. 
  3. Definition of Firewall, Check Point Resources
  4. 4.0 4.1 4.2 Ingham, Kenneth; Forrest, Stephanie (2002). "A History and Survey of Network Firewalls" (PDF). http://www.cs.unm.edu/~treport/tr/02-12/firewall.pdf. pristupljeno 2011-11-25. 
  5. [1] Firewalls by Dr.Talal Alkharobi
  6. RFC 1135 The Helminthiasis of the Internet
  7. Ingham, Kenneth; Forrest, Stephanie (2002). "A History and Survey of Network Firewalls" (PDF). str. 4. http://www.cs.unm.edu/~treport/tr/02-12/firewall.pdf. pristupljeno 2011-11-25. 
  8. TCP vs. UDP By Erik Rodriguez
  9. William R. Cheswick, Steven M. Bellovin, Aviel D. Rubin (2003). "Google Books Link". Firewalls and Internet Security: repelling the wily hacker
  10. Aug 29, 2003 Virus may elude computer defenses by Charles Duhigg, Washington Post
  11. Proceedings of National Conference on Recent Developments in Computing and Its Applications, August 12–13, 2009. I.K. International Pvt. Ltd.. 2009-01-01. http://books.google.com/books?id=TnJk09xmdFsC&pg=PA513&lpg=PA513&dq=circuit+level+gateways+at%26t&source=bl&ots=AJ1qvKxvGF&sig=4RcxAO2-bENP2fbzIeSreghVe9E&hl=en&sa=X&ei=g-5WU6qGGMmyyAS-lYC4DA&ved=0CDYQ6AEwAg#v=onepage&q=circuit%20level%20gateways%20at%26t&f=true. pristupljeno 2014-04-22. 
  12. Conway, Richard (204). Code Hacking: A Developer's Guide to Network Security. Hingham, Massachusetts: Charles River Media. str. 281. ISBN 1-58450-314-9. 
  13. Chang, Rocky (October 2002). "Defending Against Flooding-Based Distributed Denial-of-Service Attacks: A Tutorial". IEEE Communications Magazine 40 (10): 42–43. doi:10.1109/mcom.2002.1039856. 
  14. "WAFFle: Fingerprinting Filter Rules of Web Application Firewalls". 2012. https://www.usenix.org/conference/woot12/waffle-fingerprinting-filter-rules-web-application-firewalls. 
  15. "Firewalls". MemeBridge. http://www.tech-faq.com/firewall.html. pristupljeno 13 June 2014.