Firewall: Τα έξυπνα φίλτρα

Σε έναν ασύλληπτα αχανή ηλεκτρονικό κόσμο, όπου τα δίκτυα των υπολογιστών αποτελούν το κύριο μέσο διάδοσης δεδομένων και πληροφοριών, η ανάγκη διασφάλισής τους γίνεται ολοένα και πιο επιτακτική.

Έτσι, ο ρόλος των Firewalls όχι μόνο καθίσταται σημαντικός, αλλά και επιβεβλημένος.  

Όλοι μας έχουμε μπει σε τράπεζες, πολλοί από εμάς σε στρατιωτικά ή σε δημόσια κτίρια και αρκετοί έχουμε ταξιδέψει με αεροπλάνο. Σε κάθε τέτοια περίπτωση, το πρώτο πράγμα που συναντάμε κατά την είσοδό μας είναι ένας τρόπος ελέγχου της προέλευσης και των σκοπών μας και πολλές φορές ένας τρόπος ελέγχου των πραγμάτων που έχουμε μαζί μας. Ο φρουρός ασφαλείας μας ρωτά από πού ερχόμαστε και πού πάμε, μας ζητά να περάσουμε κάτω από μια αψίδα ελέγχου ή να ανοίξουμε την τσάντα μας για έναν τυπικό έλεγχο. Το κοινό σημείο όλων αυτών των περιπτώσεων είναι ότι περνάμε από μία ζώνη χαμηλής ασφαλείας (ο δρόμος, η αίθουσα αναχωρήσεων του αεροδρομίου) σε μία υψηλότερης (το εσωτερικό της τράπεζας, η αίθουσα με τις θύρες προς τα αεροσκάφη). Επιβάλλεται λοιπόν και από την κοινή λογική (και σε κανένα μας δεν φαίνεται περίεργο πια) ένα «φιλτράρισμα» των ανθρώπων που περνάνε από τη μία ζώνη στην άλλη.

"Πακέτα ταξιδιώτες"

Στον ηλεκτρονικό κόσμο, ο κίνδυνος βρίσκεται μέσα στα «πακέτα» των δεδομένων μας. Όταν κάποιος ανοίγει τον browser που χρησιμοποιεί και ζητά να δει το δικτυακό τόπο της εταιρείας μας, στέλνει στο δίκτυό μας έναν αριθμό από ψηφιακά δεδομένα, ομαδοποιημένα σε «πακέτα» όπως λέγονται. Κάθε τέτοιο πακέτο έχει στην αρχή του τα στοιχεία προέλευσης και προορισμού του (header) και στη συνέχεια τα δεδομένα που μεταφέρει (data). Όπως λοιπόν και ένας κανονικός ταξιδιώτης, το κάθε πακέτο έχει διαβατήριο (το header του) και βαλίτσα (τα data του).
Υπάρχουν ζώνες υψηλής και χαμηλής ασφαλείας στον ηλεκτρονικό κόσμο; Ασφαλώς. Όπως θα θυμάστε και από προηγούμενο άρθρο μας, τα δίκτυα υπολογιστών σήμερα χωρίζονται σε διαβαθμισμένες ζώνες ασφαλείας, ανάλογα με την αξία των δεδομένων που τηρούνται σε κάθε μία και από τους χρήστες που έχουν πρόσβαση σε αυτήν. Το δίκτυο με τα προσωπικά δεδομένα των πελατών μιας τράπεζας π.χ., είναι υψηλής ασφαλείας, διότι τυχόν παραβίασή του και διαρροή των δεδομένων που φυλάσσει μπορεί να έχει ως αποτέλεσμα τη δίωξη των υπευθύνων της τράπεζας ή την πρόκληση έμμεσων ζημιών (π.χ. απώλεια πελατών κ.λπ.). Αντίθετα, μια μηχανή που βρίσκεται σε μια πλατεία και λειτουργεί ως πηγή πληροφοριών (Infokiosk) και στην οποία έχει πρόσβαση ο καθένας, είναι μάλλον χαμηλότερου βαθμού ασφαλείας.
Τι γίνεται τώρα όταν πακέτα δεδομένων ταξιδεύουν από μια ζώνη χαμηλής, σε μια ζώνη υψηλής ασφαλείας ή το αντίστροφο; Σύμφωνα με τον πρόλογό μας, χρειαζόμαστε ένα «φιλτράρισμα» από ένα φρουρό ασφαλείας, που εδώ δεν μπορεί παρά να είναι ηλεκτρονικός και λέγεται firewall.

Οι τοίχοι της φωτιάς

Τα firewall είναι ουσιαστικά ηλεκτρονικοί υπολογιστές, οι οποίοι ελέγχουν συνεχώς τα πακέτα που περνούν μέσω αυτών. Συνδέονται με όλες τις ζώνες, τις οποίες διαχωρίζουν (χρησιμοποιούν ισάριθμες κάρτες δικτύου για το σκοπό αυτό) και οι ρυθμίσεις που τους έχουμε επιβάλει, τους επιτρέπουν να γνωρίζουν το βαθμό ασφαλείας κάθε ζώνης και να αποφασίζουν για το πώς θα συμπεριφερθούν κάθε φορά. Ο έλεγχος που εφαρμόζουν σε κάθε πακέτο δεδομένων ποικίλλει ανάλογα με την τεχνολογία που χρησιμοποιεί κάθε firewall και ανάλογα με το πόσο αυστηρή είναι η «πολιτική» που του έχουμε εφαρμόσει.

Packet Filtering

Η πιο απλή περίπτωση ελέγχου είναι εκείνη κατά την οποία το firewall ελέγχει μόνο το header του κάθε πακέτου. Είναι ακριβώς η περίπτωση, κατά την οποία μπαίνουμε σε ένα κτίριο και ο θυρωρός (δεν του αρμόζει ο όρος «φρουρός») μας ρωτά από πού ερχόμαστε και πού πάμε. Αν του πούμε ότι ερχόμαστε από την οργάνωση Η.Σ.Λ. (Ηνωμένες Συμμορίες Λωποδυτών) δεν θα μας αφήσει να περάσουμε, όπως και αν του δηλώσουμε ότι πηγαίνουμε να επισκεφτούμε κάποιον που δεν κατοικεί ή δεν εργάζεται στο εν λόγω κτίριο. Και στις δύο περιπτώσεις, ο θυρωρός απέρριψε την είσοδό μας επειδή είτε η προέλευση είτε ο προορισμός μας δεν ήταν αποδεκτοί.
Το πλεονέκτημα αυτής της μεθόδου ελέγχου, όπως είναι προφανές, είναι η ταχύτητά της. Ο θυρωρός, όπως αντίστοιχα και το firewall, έχει έναν κατάλογο με αποδεκτές διευθύνσεις προέλευσης και προορισμού, αντιπαραβάλλει τα στοιχεία του κάθε πακέτου με τους καταλόγους αυτούς και ανάλογα αποφασίζει. Το μειονέκτημα όμως της μεθόδου είναι πολύ σοβαρό: Ας υποθέσουμε ότι στο κτίριο εισέρχεται ένας κουκουλοφόρος και οπλισμένος μέχρι τα δόντια νεαρός. Ο θυρωρός τον ρωτά από πού έρχεται και πού πάει και εκείνος του απαντά ότι έρχεται από τον Έρανο της Αγάπης και πηγαίνει στο γραφείο του Προέδρου για να ζητήσει μια δωρεά. Σύμφωνα με αυτά που είπαμε προηγουμένως, ο θυρωρός θα τον αφήσει να περάσει, διότι και η προέλευση και ο προορισμός του είναι αποδεκτοί. Δεν νομίζω όμως να πιστεύει κάποιος από εσάς, ότι έπραξε σωστά ο θυρωρός.
Στον ηλεκτρονικό κόσμο, το αντίστοιχο είναι ένα πακέτο δεδομένων που μεταφέρει π.χ. έναν ηλεκτρονικό ιό. Αν η προέλευση και ο προορισμός του γίνουν αποδεκτοί από το firewall, το πακέτο θα περάσει χωρίς να σκέφτεται κανείς τις συνέπειες.

Application Firewall

Στο άλλο άκρο βρίσκεται η τεχνολογία που ελέγχει το σύνολο του διερχόμενου πακέτου. Εδώ, ο θυρωρός γίνεται φρουρός πια και εκτός από την προέλευση και τον προορισμό του επισκέπτη, τον ρωτά και για όλα τα πράγματα που μεταφέρει στην τσάντα του. Στη συνέχεια του ζητά να περάσει από μία αψίδα με ακτίνες, ενώ ένας συνάδελφός του κοιτά σε μία οθόνη το περιεχόμενο της τσάντας του, που και αυτή με τη σειρά της περνά από ειδική συσκευή ελέγχου. Αν εντοπιστεί κάτι ύποπτο, ο φρουρός ζητά από τον επισκέπτη να ανοίξει την τσάντα του, να βγάλει το ρολόι ή τα κλειδιά του από την τσέπη, έως ότου να είναι απολύτως βέβαιος ότι όλα έχουν ελεγχθεί εξονυχιστικά. Προφανώς, ο κουκουλοφόρος νεαρός του προηγούμενου παραδείγματος, εδώ δεν έχει καμία τύχη (αρκεί βέβαια οι φρουροί να είναι σε θέση να του επιβάλουν την απαγόρευση της εισόδου και να μην την ανακοινώσουν απλώς).
Η μέθοδος αυτή είναι προφανώς η πιο ασφαλής, αλλά το μειονέκτημά της το γνωρίζουν όλοι όσοι περιμένουν στην ουρά πριν επιβιβαστούν στο αεροπλάνο: Είναι πάρα πολύ αργή. Ακριβώς έτσι είναι τα πράγματα και στον ηλεκτρονικό κόσμο, όπου το πακέτο ελέγχεται στο σύνολό του (header και data) και οποιαδήποτε παραβίαση εντοπίζεται. Μας κοστίζει λίγο σε ταχύτητα, αλλά είναι η πιο ασφαλής μέθοδος.

Stateful Inspection

Μια άλλη μέθοδος ελέγχου διέλευσης είναι εκείνη η οποία βασίζεται στην ιστορικότητα της επικοινωνίας. Για να γυρίσουμε πάλι στο προσφιλές μας παράδειγμα του φυσικού κόσμου, ας σκεφτούμε την περίπτωση όπου κάποιος υπάλληλος εταιρείας ταχυμεταφορών επισκέπτεται συχνά ένα κτίριο. Οι φρουροί στην είσοδο τον γνωρίζουν και έτσι δεν τον ρωτούν συνεχώς από πού έρχεται και πού πηγαίνει. Έχει πολύ συγκεκριμένα πράγματα μαζί του (αλληλογραφία για παράδοση), τα οποία αφήνει στην κατάλληλη θέση και φεύγει. Ένα αντίστοιχο παράδειγμα θα μπορούσε να είναι κάποιος, ο οποίος παρακολουθεί μια σειρά σεμιναρίων σε αίθουσα του κτιρίου μας. Οι φρουροί γνωρίζουν ότι θα έρχεται συνεχώς για μία εβδομάδα και έτσι οι διαδικασίες ελέγχου από την πρώτη ημέρα και μετά, απλουστεύονται σημαντικά.
Αυτή η μέθοδος συνδυάζει πλεονεκτήματα και από τις δύο προηγούμενες και αποτελεί σήμερα τον πιο διαδεδομένο και αποδοτικό τρόπο λειτουργίας για τις συσκευές του είδους.

Καταγραφή συμβάντων

Πέρα από τις τεχνολογίες ανίχνευσης και μπλοκαρίσματος που υιοθετούν τα διάφορα firewall, μία από τις πιο σημαντικές τους λειτουργίες είναι αυτή της καταγραφής. Όλες οι συσκευές του είδους κρατούν με τον έναν ή τον άλλον τρόπο, σε κάποιο αρχείο, στοιχεία για τα πακέτα που πέρασαν από το ένα δίκτυο στο άλλο μέσω αυτών και μας παρέχουν έτσι πολύτιμες πληροφορίες για πιθανές επιθέσεις και επικείμενα συμβάντα ασφαλείας στο δίκτυό μας. Είναι, θα μπορούσαμε να πούμε, μια αντίστοιχη λειτουργία με την ημερήσια έκθεση που αφήνει ο φρουρός ασφαλείας σε αυτόν που θα τον διαδεχθεί, ώστε να τον ενημερώσει για όλα όσα έχει να αντιμετωπίσει («Αυτό το αυτοκίνητο είναι αραγμένο εδώ από το πρωί. Έχε το νου σου.»).
Όπως συμβαίνει σε όλες τις περιπτώσεις, έτσι και στα firewall δεν υπάρχουν πια συσκευές που να λειτουργούν αμιγώς με τον έναν ή τον άλλον τρόπο. Οι λύσεις που υπάρχουν στην αγορά είναι συνήθως υβριδικές κατασκευές, οι οποίες συνδυάζουν λειτουργίες από διάφορες κατηγορίες και επιτυγχάνουν έτσι το καλύτερο δυνατό αποτέλεσμα. Γεγονός είναι πάντως, ότι πέρα από την τεχνολογία που υιοθετεί η κάθε συσκευή, το πιο σημαντικό κομμάτι είναι σίγουρα η πολιτική ασφαλείας που θα κληθεί να υλοποιήσει και το κατά πόσο αυτή η πολιτική ασφαλείας συνάδει με τις απαιτήσεις και τους κινδύνους που αντιμετωπίζει η κάθε εταιρεία – οργανισμός.