• Artykuły
  • Forum
  • Ciekawostki
  • Encyklopedia
  • Zapora sieciowa

    Przeczytaj także...
    Pakiet telekomunikacyjny (pot. pakiet) – sformatowana jednostka informacji przesyłana poprzez sieć wykorzystującą komutację pakietów. Sieci, które nie obsługują przesyłania pakietów, takie jak np. tradycyjne połączenia modemowe lub połączenia CSD w sieci komórkowej, transmitują dane jako strumień bitów. OSI (ang. Open Systems Interconnection) lub Model OSI (pełna nazwa ISO OSI RM, ang. ISO OSI Reference Model – model odniesienia łączenia systemów otwartych) – standard zdefiniowany przez ISO oraz ITU-T opisujący strukturę komunikacji sieciowej.
    Telnet – standard protokołu komunikacyjnego używanego w sieciach komputerowych do obsługi odległego terminala w architekturze klient-serwer.
    Zapora sieciowa między LAN i WAN

    Zapora sieciowa (ang. firewall – ściana ogniowa) – jeden ze sposobów zabezpieczania sieci i systemów przed intruzami.

    Termin ten może odnosić się zarówno do sprzętu komputerowego wraz ze specjalnym oprogramowaniem, jak i do samego oprogramowania blokującego niepowołany dostęp do komputera, na którego straży stoi. Pełni rolę połączenia ochrony sprzętowej i programowej sieci wewnętrznej LAN przed dostępem z zewnątrz, tzn. sieci publicznych, Internetu, chroni też przed nieuprawnionym wypływem danych z sieci lokalnej na zewnątrz. Często jest to komputer wyposażony w system operacyjny (np. Linux, BSD) z odpowiednim oprogramowaniem. Do jego podstawowych zadań należy filtrowanie połączeń wchodzących i wychodzących oraz tym samym odmawianie żądań dostępu uznanych za niebezpieczne.

    Protokół sterowania transmisją, protokół kontroli transmisji, TCP (od ang. Transmission Control Protocol) – połączeniowy, niezawodny, strumieniowy protokół komunikacyjny stosowany do przesyłania danych między procesami uruchomionymi na różnych maszynach, będący częścią szeroko wykorzystywanego obecnie stosu TCP/IP (korzysta z usług protokołu IP do wysyłania i odbierania danych oraz ich fragmentacji wtedy, gdy jest to konieczne). Protokół sterowania transmisją operuje w warstwie transportowej modelu OSI. Opracowano go na podstawie badań Vintona Cerfa oraz Roberta Kahna. Został opisany w dokumencie RFC 793 ↓. Komputer (z ang. computer od łac. computare – liczyć, sumować; dawne nazwy używane w Polsce: mózg elektronowy, elektroniczna maszyna cyfrowa, maszyna matematyczna) – maszyna elektroniczna przeznaczona do przetwarzania informacji, które da się zapisać w formie ciągu cyfr albo sygnału ciągłego.

    Najczęściej używanymi technikami obrony są:

  • filtrowanie pakietów, czyli sprawdzanie pochodzenia pakietów i akceptowanie pożądanych (np. SPI),
  • stosowanie algorytmów identyfikacji użytkownika (hasła, cyfrowe certyfikaty),
  • zabezpieczanie programów obsługujących niektóre protokoły (np. FTP, TELNET).
  • Bardzo ważną funkcją zapory sieciowej jest monitorowanie ruchu sieciowego i zapisywanie najważniejszych zdarzeń do dziennika (logu). Umożliwia to administratorowi wczesne dokonywanie zmian konfiguracji. Poprawnie skonfigurowana zapora powinna odeprzeć wszelkie znane typy ataków. Na zaporze można zdefiniować strefę ograniczonego zaufania – podsieć, która izoluje od wewnętrznej sieci lokalne serwery udostępniające usługi na zewnątrz.

    Bezpieczeństwo teleinformatyczne – zbiór zagadnień z dziedziny telekomunikacji i informatyki związany z szacowaniem i kontrolą ryzyka wynikającego z korzystania z komputerów, sieci komputerowych i przesyłania danych do zdalnych lokalizacji, rozpatrywany z perspektywy poufności, integralności i dostępności.Program antywirusowy (antywirus) – program komputerowy, którego celem jest wykrywanie, zwalczanie i usuwanie wirusów komputerowych. Współcześnie najczęściej jest to pakiet programów chroniących komputer przed różnego typu zagrożeniami.

    Historia[ | edytuj kod]

    Termin „firewall” pierwotnie odnosił się do ściany przeznaczonej do zamknięcia ognia w budynku. Dalsze zastosowania odnoszą się do podobnych struktur, takich jak metalowa blacha oddzielająca komorę silnika pojazdu lub samolotu od kabiny pasażerskiej. Termin ten został zastosowany pod koniec lat osiemdziesiątych do technologii sieciowej, która pojawiła się, gdy Internet był dość nowy pod względem globalnego wykorzystania i łączności. Poprzednikami zapór sieciowych były routery używane w późnych latach osiemdziesiątych.

    Lokalna sieć komputerowa, LAN (od ang. local area network) – sieć komputerowa łącząca komputery na określonym obszarze (blok, szkoła, laboratorium, biuro). Sieć LAN może być wydzielona zarówno fizycznie, jak i logicznie w ramach innej sieci. Główne różnice LAN, w porównaniu z WAN, to wyższy wskaźnik transferu danych i mniejszy obszar geograficzny. BSD (ang. Berkeley Software Distribution, czasami nazywany Berkeley Unix) – odmiana systemu operacyjnego Unix wywodząca się ze stworzonych na Uniwersytecie Kalifornijskim Berkeley rozszerzeń dla systemu rozwijanego przez firmę AT&T. Także potoczna nazwa licencji BSD, na której te systemy są wydawane oraz pokrewnych licencji tego typu (np. licencja MIT).

    Pierwsza generacja: filtr pakietów[ | edytuj kod]

    Pierwszym zgłoszonym typem zapory sieciowej jest filtr pakietów. Filtry pakietów sprawdzają adresy sieciowe i porty pakietów, aby ustalić, czy muszą być przyznane czy odrzucane. Pierwszy artykuł na temat technologii firewall został opublikowany w 1988 roku, kiedy inżynierowie z Digital Equipment Corporation (DEC) opracowali systemy filtrowania znane jako firewall filtrów pakietów. Ten dość podstawowy system to pierwsza generacja, która później stała się ważną funkcją bezpieczeństwa w Internecie. W AT&T Bell Labs, Bill Cheswick i Steve Bellovin kontynuowali swoje badania w zakresie filtrowania pakietów i opracowali działający model dla własnej firmy oparty na oryginalnej architekturze pierwszej generacji.

    Protokół internetowy (ang. Internet Protocol, skrót IP) – protokół komunikacyjny warstwy sieciowej modelu OSI (warstwy internet w modelu TCP/IP). Protokół internetowy to zbiór ścisłych reguł i kroków postępowania, które są automatycznie wykonywane przez urządzenia w celu nawiązania łączności i wymiany danych. Używany powszechnie w Internecie i sieciach lokalnych.Library of Congress Control Number (LCCN) – numer nadawany elementom skatalogowanym przez Bibliotekę Kongresu wykorzystywany przez amerykańskie biblioteki do wyszukiwania rekordów bibliograficznych w bazach danych i zamawiania kart katalogowych w Bibliotece Kongresu lub u innych komercyjnych dostawców.

    Filtry pakietów działają, sprawdzając pakiety, które są przesyłane między komputerami w Internecie. Gdy pakiet nie pasuje do zestawu reguł filtrowania pakietu filtrów, filtr pakietów albo dyskretnie odrzuca pakiet, albo odrzuca pakiet i generuje powiadomienie protokołu kontroli Internetu dla nadawcy. I odwrotnie, kiedy pakiet pasuje do jednej lub więcej zaprogramowanych reguł filtrowania, może on przejść. Elementy, które można zdefiniować w regule filtra pakietów, obejmują adres źródłowy i docelowy pakietu, protokół oraz porty źródłowe i docelowe. Większość komunikacji internetowej w XX i na początku XXI wieku wykorzystywała protokół TCP (Transmission Control Protocol) i protokół UDP (User Datagram Protocol) w połączeniu ze znanym portem, umożliwiając zaporom sieciowym tej epoki rozróżnianie, a tym samym kontrolowanie określonych typów ruchów (takich jak przeglądanie stron internetowych, druk zdalny, wiadomości e-mail, przesyłanie plików), chyba że komputery po obu stronach filtra pakietów używają tych samych niestandardowych portów.

    System operacyjny (ang. Operating System, skrót OS) – oprogramowanie zarządzające systemem komputerowym, tworzące środowisko do uruchamiania i kontroli zadań użytkownika.iptables to program sterujący filtrem pakietów (głównie używanym jako zapora sieciowa bądź NAT) opracowany dla systemu operacyjnego Linux. Autor Rusty Russell napisał pierwszą wersję w 1998 roku w języku C. Program może być używany jako filtr pakietów, bądź tzw. stanowa zapora dla systemów Linux z jądrem począwszy od serii 2.4.x, kontrolujący połączenia wchodzące i wychodzące do sieci komputerowej lub stacji roboczej. Wymaga jądra skompilowanego z modułem ip_tables.

    Druga generacja: warstwa transportowa[ | edytuj kod]

    W latach 1989–1990 trzech pracowników AT&T Bell Laboratories (Dave Presotto, Janardan Sharma i Kshitij Nigam) opracowali drugą generację firewalli, nazywając je „bramkami na poziomie obwodu” (ang. circuit-level gateways).

    Zapory sieciowe drugiej generacji wykonują pracę poprzedników, ale działają do warstwy 4 (warstwa transportowa) modelu OSI. Osiąga się to poprzez zatrzymanie pakietów, dopóki nie będzie wystarczającej ilości informacji, aby ocenić ich stan. Firewall rejestruje wszystkie połączenia przechodzące przez niego i określa, czy pakiet jest początkiem nowego połączenia, częścią istniejącego połączenia, czy nie jest częścią żadnego połączenia. Chociaż reguły statyczne są nadal używane, mogą teraz zawierać stan połączenia jako jedno z kryteriów testowych.

    Sesja to w informatyce obiekt, zapamiętujący przez pewien czas na serwerze szczegóły dotyczące połączenia z klientem. Cechą charakterystyczną sesji jest to, że przypisane do niej dane mają przeważnie charakter chwilowy, ulotny (w przeciwieństwie np. do preferencji przypisywanych do konta klienta).Bell Telephone Laboratories lub w skrócie Bell Labs – oddział badawczy i wdrożeniowy telekomunikacyjnej korporacji amerykańsko-francuskiej Alcatel-Lucent.

    Niektóre ataki typu „odmowa usługi” bombardują zaporę sieciową tysiącami fałszywych pakietów połączeń, próbując ją opanować poprzez wypełnienie pamięci stanu połączenia.

    Trzecia generacja: warstwa aplikacji[ | edytuj kod]

    Marcus Ranum, Wei Xu i Peter Churchyard opracowali trzecią generacje firewalla znaną jako Firewall Toolkit (FWTK). W czerwcu 1994 roku Wei Xu rozszerzył FWTK o ulepszenie jądra filtra IP i niewidoczne gniazda. Była ona znana jako pierwsza niewidoczna zapora aplikacji, udostępniona jako produkt komercyjny w zaufanych systemach informatycznych (Trusted Information Systems). Zapora sieciowa Gauntlet została oceniona jako jedna z najlepszych zapór sieciowych w latach 1995–1998.

    Serwer pośredniczący (pośrednik, często z ang. proxy) – oprogramowanie lub serwer z odpowiednim oprogramowaniem, które dokonuje pewnych operacji (zwykle nawiązuje połączenia) w imieniu użytkownika. Często utożsamiany z pośrednikiem HTTP (HTTP proxy).Serwer WWW (ang.) web server – program działający na serwerze internetowym, obsługujący żądania protokołu komunikacyjnego HTTP. Z serwerem WWW łączy się, poprzez sieć komputerową, przeglądarka internetowa, będąca jego klientem, aby pobrać wskazaną stronę WWW.

    Kluczową zaletą filtrowania warstw aplikacji jest to, że może ona „zrozumieć” określone aplikacje i protokoły (takie jak protokół FTP, system nazw domen (DNS) lub protokół HTTP (Hypertext Transfer Protocol)). Jest to użyteczne, ponieważ jest w stanie wykryć, czy niechciana aplikacja lub usługa próbuje ominąć zaporę sieciową za pomocą protokołu na dozwolonym porcie lub wykryć, czy protokół jest nadużywany w jakikolwiek szkodliwy sposób.

    IDS, IPS (ang. Intrusion Detection System, Intrusion Prevention System – systemy wykrywania i zapobiegania włamaniom) – urządzenia sieciowe zwiększające bezpieczeństwo sieci komputerowych przez wykrywanie (IDS) lub wykrywanie i blokowanie ataków (IPS) w czasie rzeczywistym.Hybryda - jest to połączenie, w jedną maszynę (układ współdziałający), rozwiązań pozornie ze sobą niewspółgrających. Najczęściej jest to połączenie kilku urządzeń, kiedyś produkowanych osobno, w jedno (tzw. kombiwary, kombajny). Przykładem są urządzenia wielofunkcyjne: skaner, drukarka, fax, czytnik kart, kserokopiarka.

    Począwszy od 2012 roku, tak zwana zapora następnej generacji (NGFW) to nic innego jak „szersza” lub „głębsza” inspekcja na stosie aplikacji. Na przykład istniejąca funkcja głębokiej inspekcji pakietów w nowoczesnych zaporach sieciowych może zostać rozszerzona o takie funkcje jak:

    Internet (skrótowiec od ang. inter-network, dosłownie "między-sieć") – ogólnoświatowa sieć komputerowa, określana również jako sieć sieci. W znaczeniu informatycznym Internet to przestrzeń adresów IP przydzielonych hostom i serwerom połączonym za pomocą urządzeń sieciowych, takich jak karty sieciowe, modemy i koncentratory, komunikujących się za pomocą protokołu internetowego z wykorzystaniem infrastruktury telekomunikacyjnej.Log (inaczej: dziennik, plik dziennika, rejestr zdarzeń) to w informatyce chronologiczny zapis zawierający informację o zdarzeniach i działaniach dotyczących systemu informatycznego, systemu komputerowego czy komputera. Log tworzony jest automatycznie przez dany program komputerowy, a sama czynność zapisywania do logu nazywana jest też logowaniem – nie należy mylić tego określenia z logowaniem w celu wykonania uwierzytelnienia.
  • Systemy zapobiegania włamaniom (IPS)
  • Integracja zarządzania tożsamościami użytkowników (poprzez powiązanie identyfikatorów użytkowników z adresami IP lub MAC dla „reputacji”)
  • Zapora aplikacji WWW (WAF).
  • Typy zapór sieciowych[ | edytuj kod]

  • Zapory filtrujące – monitorują przepływające przez nie pakiety sieciowe i przepuszczają tylko zgodne z regułami ustawionymi na danej zaporze (zapora pracująca dodatkowo jako router). Zwykle w niewielkich sieciach jest zapora sprzętowa bądź wydzielony komputer z systemem operacyjnym Linux. Obecnie najczęściej wykorzystywana metoda filtrowania w Linuksie to reguły oparte na iptables. Dostępne są także zamknięte komercyjne rozwiązania programowe, z których wiele posiada bardzo wymyślne własności i rozbudowany system konfiguracji oraz wiele możliwych do zintegrowania rozwiązań, pozwalających nie tylko na analizę (Snort, psad) i filtrowanie pakietów IP, ale także na sprawdzanie poprawności pakietów z punktu widzenia wyższych warstw modelu ISO/OSI, a nawet na prowadzenie ochrony antywirusowej.
  • Translacja adresów sieciowych (ang. network address translation, NAT) – polega na dokonywaniu zamiany adresu IP hosta wewnętrznego w celu ukrycia go przed zewnętrznym monitorowaniem. Mechanizm ten jest również nazywany maskowaniem adresu IP.
  • Zapory pośredniczące (proxy) – wykonujące połączenie z serwerem w imieniu użytkownika. Przykładowo, zamiast uruchomienia sesji http bezpośrednio do zdalnego serwera WWW, uruchamiana jest sesja z zaporą i dopiero stamtąd uruchamiane jest połączenie z systemem zdalnym. Cała komunikacja na serwer http przechodzi przez serwer pośredniczący (proxy), które może filtrować ruch. Proxy, jeśli ma taką funkcjonalność, potrafi rozpoznać komendy http, jak i analizować zawartość pobieranych stron WWW (działa w warstwie aplikacji modelu ISO/OSI). Zabezpieczające działanie zapory, z punktu widzenia klienta, polega w tym wypadku na tym, iż możliwe jest blokowanie wybranej treści (ang. content filtering), aby nie dotarła ona do klienta (np. strony ze słowami wulgarnymi, o treści pornograficznej itp.).
  • Współcześnie często pracująca zapora sieciowa jest rozwiązaniem hybrydowym analizującym pakiety od warstwy łącza danych do aplikacji modelu OSI. Umożliwia realizację złożonych polityk bezpieczeństwa oraz integrację z systemami IDS. Skuteczna ochrona zasobów IT oznacza całościowe działania, kierujące ku podstawom bezpieczeństwa. Najważniejsze jego elementy dotyczą infrastruktury, backupu, danych osobowych, zabezpieczenia przed problemami wynikającymi z utraty zasilania czy chociażby awarii chłodzenia.

    DOI (ang. digital object identifier – cyfrowy identyfikator dokumentu elektronicznego) – identyfikator dokumentu elektronicznego, który w odróżnieniu od identyfikatorów URL nie zależy od fizycznej lokalizacji dokumentu, lecz jest do niego na stałe przypisany.Demilitarized zone (DMZ), strefa zdemilitaryzowana bądź ograniczonego zaufania – jest to wydzielany na zaporze sieciowej (ang. firewall) obszar sieci komputerowej nie należący ani do sieci wewnętrznej (tj. tej chronionej przez zaporę), ani do sieci zewnętrznej (tej przed zaporą; na ogół jest to Internet). W strefie zdemilitaryzowanej umieszczane są serwery "zwiększonego ryzyka włamania", przede wszystkim serwery świadczące usługi użytkownikom sieci zewnętrznej, którym ze względów bezpieczeństwa nie umożliwia się dostępu do sieci wewnętrznej (najczęściej są to serwery WWW i FTP). W strefie zdemilitaryzowanej umieszczane są także te serwery usług świadczonych użytkownikom sieci wewnętrznej, które muszą kontaktować się z obszarem sieci zewnętrznej (serwery DNS, proxy, poczty i inne), oraz serwery monitorujące i reagujące na próby włamań IDS.

    Przypisy[ | edytuj kod]

    1. John E. Canavan, Fundamentals of network security, Boston: Artech House, 2001, ISBN 978-1-58053-176-4, OCLC 45172884.
    2. Tim Gallo, Building an intelligence-led security program, Amsterdam, ISBN 0-12-802370-8, OCLC 898326670.
    3. Kenneth Ingham, A History and Survey of Network Firewalls, 25 listopada 2011.
    4. Justin. Peltier, Complete guide to CISM certification, Boca Raton: Auerbach Publications, 2007, ISBN 978-1-4200-1325-2, OCLC 85767529.
    5. TCP vs. UDP By Erik Rodriguez.
    6. William R. Cheswick, Steven M. Bellovin, Aviel D. Rubin (2003). „Google Books Link”. Firewalls and Internet Security: repelling the wily hacker.
    7. Aug 29, 2003 Virus may elude computer defenses by Charles Duhigg, Washington Post.
    8. Proceedings of National Conference on Recent Developments in Computing and Its Applications, August 12–13, 2009. I.K. International Pvt. Ltd. 2009-01-01. Retrieved 2014-04-22.
    9. Cordingley, Julian, 1966-, Code hacking. A developer’s guide to network security, Hingham, Mass.: Charles River Media, 2004, ISBN 1-58450-314-9, OCLC 61356789.
    10. Jason Andress, The basics of information security. Understanding the fundamentals of InfoSec in theory and practice, wyd. Second edition, Waltham, MA, ISBN 978-0-12-800812-6, OCLC 880706587.
    11. Chang, Rocky. Defending Against Flooding-Based Distributed Denial-of-Service Attacks: A Tutorial. „IEEE Communications Magazine”. 40 (10), s. 42–43, October 2002. DOI: 10.1109/mcom.2002.1039856. 
    12. „WAFFle: Fingerprinting Filter Rules of Web Application Firewalls”. 2012.
    13. Chmura bezpieczna i elastyczna, MIT Sloan Management Review Polska, 12 czerwca 2019 [dostęp 2019-10-15] (pol.).
    UDP (ang. User Datagram Protocol – protokół pakietów użytkownika) – jeden z protokołów internetowych. UDP stosowany jest w warstwie transportowej modelu OSI.Oprogramowanie (ang. software) – całość informacji w postaci zestawu instrukcji, zaimplementowanych interfejsów i zintegrowanych danych przeznaczonych dla komputera do realizacji wyznaczonych celów. Celem oprogramowania jest przetwarzanie danych w określonym przez twórcę zakresie. Oprogramowanie to dział informatyki. Oprogramowanie jest synonimem terminów program komputerowy oraz aplikacja, przy czym stosuje się go zazwyczaj do określania większych programów oraz ich zbiorów.




    Warto wiedzieć że... beta

    Gemeinsame Normdatei (GND) – kartoteka wzorcowa, stanowiąca element centralnego katalogu Niemieckiej Biblioteki Narodowej (DNB), utrzymywanego wspólnie przez niemieckie i austriackie sieci biblioteczne.
    HTTP (ang. Hypertext Transfer Protocol – protokół przesyłania dokumentów hipertekstowych) to protokół sieci WWW (ang. World Wide Web). Obecną definicję HTTP stanowi RFC 2616. Za pomocą protokołu HTTP przesyła się żądania udostępnienia dokumentów WWW i informacje o kliknięciu odnośnika oraz informacje z formularzy. Zadaniem stron WWW jest publikowanie informacji – natomiast protokół HTTP właśnie to umożliwia.
    Stateful Packet Inspection (Stateful Firewall) – funkcja sprzętowych zapór sieciowych zwiększająca bezpieczeństwo w sieci LAN.

    Reklama

    Czas generowania strony: 0.036 sek.