Τι Είναι το Firewall
Το firewall, που μπορεί να αποδοθεί στα ελληνικά με τον όρο πύρινο τείχος προστασίας ή και ηλεκτρονική πύλη ασφαλείας, είναι ένα πρόγραμμα-τείχος που σε γενικές γραμμές έχει τη δυνατότητα να εμποδίσει τους ιούς (viruses) και τα προγράμματα τύπου spyware να εγκατασταθούν στον υπολογιστή μας. Αποτελεί μια πολύ καλή λύση προστασίας που μπορεί να χρησιμοποιηθεί τόσο από μεγάλες εταιρείες που διαθέτουν εκτεταμένο δίκτυο υπολογιστών όσο και από απλούς χρήστες που έχουν σύνδεση στο Internet τύπου dialup ή ADSL.
Ένα firewall μπορεί να ελέγξει την κίνηση (traffic) των πακέτων του Internet από και προς τον υπολογιστή μας. Μπορεί να εντοπίσει τις πιθανές επιθέσεις στον υπολογιστή μας, να αναλύσει την κίνηση και τα αρχεία που ανταλλάσσονται, να διακρίνει τις ύποπτες δραστηριότητες και να εμποδίσει την ολοκλήρωσή τους. Ένα firewall προστατεύει ένα δίκτυο από κάποιο άλλο δίκτυο, υποβάλλοντας τα διερχόμενα πακέτα πληροφοριών (εισερχόμενα και εξερχόμενα) σε μια σειρά από ελέγχους και λαμβάνει την απόφαση να τα αφήσει να διέλθουν ή να τα εμποδίσει, ανάλογα με το αν περνούν κάποια τεστ ή όχι. Στην ουσία πρόκειται για έναν ελεγκτή κυκλοφορίας δεδομένων στο Internet.
Μπορεί επίσης να ελέγξει τα προγράμματα που είναι εγκατεστημένα στον ίδιο τον υπολογιστή μας και συνδέονται στο Internet και τα οποία στέλνουν προς τα έξω ευαίσθητα προσωπικά μας δεδομένα ή αφήνουν ανοικτή μια κερκόπορτα (backdoor) για να μπορούν οι πιθανοί hackers να ελέγξουν τον υπολογιστή μας. Ένα firewall μπορεί να κρατήσει κλειστές αυτές τις πόρτες και να μας ενημερώνει για κάθε ύποπτη κίνηση.
Ο όρος firewall είναι πολύ πιθανό να προέρχεται από την αυτοκινητοβιομηχανία, όπου με τον όρο αυτό αποκαλείται το σύστημα ασφαλείας που υπάρχει ανάμεσα στη μηχανή και στην καμπίνα των επιβατών και που προστατεύει τους τελευταίους στην περίπτωση που η μηχανή πάρει φωτιά. Με την έλευση του Internet, ο όρος firewall εισήλθε μεταφορικά και στον χώρο των υπολογιστών.
Η κάθε σοβαρή εταιρεία και ο κάθε οργανισμός που έχει συναλλαγές μέσω Internet, οφείλει να εφαρμόσει μια πολιτική ασφαλείας (security policy) και την καρδιά αυτής της πολιτικής ασφαλείας αποτελεί το firewall. Θα πρέπει να έχουμε υπόψη μας ότι για να μπορεί να θεωρηθεί μια εφαρμογή firewall ως πετυχημένη, θα πρέπει να μπορεί να ελέγχει και τις εσωτερικές αιτήσεις εφαρμογών και υπηρεσιών που γίνονται για πρόσβαση στο Internet και όχι μόνο αυτές που γίνονται από έξω προς τα μέσα.
Πώς Λειτουργεί Ένα Firewall
Ένα firewall μπορεί να είναι ένα μηχάνημα (συσκευή) ή και ένα πρόγραμμα (εφαρμογή) υπολογιστή, το οποίο χρησιμοποιείται για να επιβάλλει συγκεκριμένους κανόνες επικοινωνίας και ανταλλαγής πληροφοριών ανάμεσα σε δύο δίκτυα υπολογιστών. Το firewall παρεμβάλλεται ανάμεσα σε δύο διαφορετικά δίκτυα υπολογιστών και φιλτράρει τα διακινούμενα πακέτα πληροφοριών. Το firewall κατά τη λειτουργία του (φιλτράρισμα) λαμβάνει υπόψη του ένα σύνολο από κανόνες (κριτήρια) που ορίζονται από τον χρήστη (διαχειριστή του firewall) και με βάση αυτούς τους κανόνες επιτρέπει ή απορρίπτει την κυκλοφορία (διακίνηση) των δεδομένων ανάμεσα στα δύο δίκτυα υπολογιστών.
Θεωρείται ως ένας συνδετικός κρίκος ανάμεσα σε δύο δίκτυα υπολογιστών ή ως ένα φίλτρο δεδομένων. Αν δεν επιτρέψει την κυκλοφορία ενός πακέτου δεδομένων, η ενέργεια αυτή χαρακτηρίζεται ως block traffic, ενώ αν επιτρέψει την κυκλοφορία ενός πακέτου δεδομένων, η ενέργεια αυτή χαρακτηρίζεται ως permit traffic. Ενώ τα προγράμματα anti-virus, anti-trojan, anti-spam κοκ έχουν συγκεκριμένο αντικείμενο απασχόλησης και μας προστατεύουν από πολύ συγκεκριμένες απειλές, ένα firewall μπορεί να μας προστατεύσει από κάθε είδους απειλή όσον αφορά τη σχέση του υπολογιστή μας ή του δικτύου μας με τον έξω κόσμο.
Θα πρέπει να έχουμε υπόψη μας ότι αν αποφασίσουμε να εγκαταστήσουμε ένα firewall και δεν το ρυθμίσουμε ώστε να λειτουργεί σωστά και αποδοτικά, τότε το πιθανότερο είναι να κάνει ζημιά και να μειώσει την απόδοση και την ευελιξία του υπολογιστή μας. Μπορούμε να φανταστούμε ένα firewall, είτε πρόκειται για συσκευή είτε για πρόγραμμα, ως τον ενδιάμεσο ανάμεσα σε δύο δίκτυα υπολογιστών. Ο χρήστης ενός οικιακού υπολογιστή ή ο administrator ενός δικτύου υπολογιστών θα πρέπει να ορίσει τους κανόνες με βάση τους οποίους θα γίνεται η κυκλοφορία των δεδομένων ανάμεσα στα δύο αυτά δίκτυα.
Μετά την εγκατάσταση ενός οποιουδήποτε firewall, ο χρήστης οφείλει να μελετήσει όλες τις επιλογές που έχει το firewall και να τις προσαρμόσει ανάλογα με τις ανάγκες του και τις τεχνικές γνώσεις που έχει. Μπορούμε να χρησιμοποιήσουμε ένα firewall (τείχος προστασίας) για να προστατεύσουμε το δίκτυό μας από επιθετικά Web sites και πιθανούς hackers. Ένα firewall παρεμβάλλεται ανάμεσα στον υπολογιστή μας ή σ’ ένα δίκτυο υπολογιστών και σ’ ένα άλλο δίκτυο, όπως είναι το Internet ή και ένα ενδοδίκτυο (Intranet).
Σε γενικές γραμμές, ένα firewall είναι ένας φράκτης για να μπορεί να κρατάει μακριά οποιονδήποτε θελήσει να κάνει κακό στο σύστημά μας. Πήρε το όνομά του καθώς η δουλειά του είναι παρόμοια μ’ αυτήν ενός φυσικού τείχους προστασίας που η αποστολή του είναι να εμποδίσει τη φωτιά από το να επεκταθεί και σε γειτονικά μέρη.
Οι Κατηγορίες των Firewalls
Οι δύο μεγάλες κατηγορίες των firewalls είναι τα Hardware Firewalls και τα Software Firewalls. Στην πρώτη κατηγορία ανήκουν είτε συσκευές που είναι αυτόνομες (stand alone) και συνδέονται αμέσως με το δίκτυο είτε υπολογιστές που η μόνη τους δουλειά είναι ο ρόλος του firewall σ’ ένα δίκτυο και που έχουν εγκατεστημένα τα απαραίτητα προς τον σκοπό αυτό προγράμματα.
Στη δεύτερη κατηγορία ανήκουν προγράμματα υπολογιστών που μπορούμε να βρούμε στο εμπόριο ή στο Internet και που μπορούμε να εγκαταστήσουμε στον υπολογιστή μας. Είναι γνωστά και με τον όρο Personal Firewall.
Τι Κάνει ένα Firewall
Το firewall είναι απλά ένα πρόγραμμα ή μια συσκευή hardware που φιλτράρει τις πληροφορίες που έρχονται από τη σύνδεση του Internet μέσα στο ιδιωτικό μας δίκτυο ή στον προσωπικό μας υπολογιστή. Αν ένα εισερχόμενο πακέτο ή κάποια πληροφορία εντοπισθεί από τα φίλτρα, δεν θα της επιτραπεί η είσοδος. Ας υποθέσουμε ότι εργαζόμαστε σε μια εταιρεία με 500 υπαλλήλους, οπότε θα υπάρχουν εκατοντάδες υπολογιστές που θα έχουν όλοι κάρτες δικτύου για να μπορούν να επικοινωνούν μεταξύ τους.
Επιπλέον, η εταιρεία θα έχει μια ή περισσότερες συνδέσεις με το Internet και χωρίς την ύπαρξη ενός firewall, όλοι αυτοί οι υπολογιστές θα είναι ανοικτοί για πρόσβαση από οποιονδήποτε βρίσκεται στο Internet. Κάποιος που έχει τεχνικές γνώσεις μπορεί να εισβάλλει σ’ αυτούς τους υπολογιστές, θα προσπαθήσει να κάνει FTP συνδέσεις σ’ αυτούς ή να κάνει telnet συνδέσεις κοκ. Αν κάποιος υπάλληλος κάνει το λάθος και αφήσει ανοικτή μια τρύπα ασφαλείας (security hole), οι hackers θα μπορούν να εισβάλλουν στο μηχάνημα και να εκμεταλλευθούν αυτό το κενό ασφαλείας.
Αν υπάρχει εγκατεστημένο ένα firewall, τα πράγματα είναι πολύ διαφορετικά. Η εταιρεία θα τοποθετήσει ένα firewall σε κάθε σύνδεση στο Internet και το firewall μπορεί να κλείσει τις τρύπες ασφαλείας. Για παράδειγμα, μια από τις τρύπες ασφαλείας μέσα στην εταιρεία μπορεί να είναι η εξής : Από τους 500 υπολογιστές που υπάρχουν στην εταιρεία, μόνο ένας απ’ αυτούς επιτρέπεται να έχει δημόσια σύνδεση FTP. Πρέπει να επιτραπούν οι FTP συνδέσεις μόνο σ’ αυτόν τον υπολογιστή και να αποκλειστούν απ’ όλους τους υπόλοιπους.
Η εταιρεία μπορεί να καθορίσει κανόνες σαν τον προηγούμενο για τους FTP servers, τους Web servers, τους Telnet servers κοκ. Επιπλέον, η εταιρεία μπορεί να ελέγχει το πώς οι υπάλληλοι συνδέονται στα Web sites, αν επιτρέπεται στα αρχεία να φύγουν εκτός του δικτύου της εταιρείας κοκ. Ένα firewall μπορεί να δώσει σε μια εταιρεία πολύ μεγάλο έλεγχο για τον τρόπο που χρησιμοποιούν οι χρήστες το δίκτυό της. Τα firewalls χρησιμοποιούν μια ή περισσότερες από τις εξής τρεις μεθόδους για να ελέγξουν την κυκλοφορία (traffic) που διέρχεται μέσα και έξω από το δίκτυο
· Φιλτράρισμα Πακέτων (Packet Filtering). Τα πακέτα (packets), που είναι μικρά κομμάτια δεδομένων, αναλύονται (διέρχονται) μέσα από κάποια φίλτρα. Τα πακέτα που κατορθώνουν να περάσουν μέσα από τα φίλτρα στέλνονται στο σύστημα που τα ζήτησε και όλα τα άλλα πακέτα απορρίπτονται.
· Υπηρεσία Μεσολάβησης (Proxy Service). Οι πληροφορίες από το Internet αναχαιτίζονται από το firewall και στέλνονται μετά στο σύστημα που τις ζήτησε και το αντίστροφο.
· Αυστηρή Επιθεώρηση (Stateful Inspection). Είναι μια καινούργια μέθοδος που δεν εξετάζει τα περιεχόμενα του κάθε πακέτου αλλά αντίθετα συγκρίνει συγκεκριμένα κομμάτια κλειδιά του πακέτου με μια βάση δεδομένων εμπιστευτικών πληροφοριών. Οι πληροφορίες που ταξιδεύουν μέσα από το firewall προς τα έξω καταγράφονται για συγκεκριμένα χαρακτηριστικά που έχουν και μετά οι εισερχόμενες πληροφορίες συγκρίνονται μ’ αυτά τα χαρακτηριστικά. Αν από την σύγκριση προκύψει ένα λογικό ταίριασμα, επιτρέπεται στις πληροφορίες να διέλθουν. Αλλιώς, απορρίπτονται.
Η Παράκαμψη (Ξεγέλασμα) των Firewalls
Πρέπει να έχουμε υπόψη μας ότι κάθε σύνδεση στο Internet παραμένει επισφαλής ακόμα και αν είναι εγκατεστημένο κάποιο firewall. Οι επίδοξοι hackers μπορούν να βρουν εργαλεία και τεχνικές ώστε να δημιουργήσουν μια σύνδεση με το εσωτερικό δίκτυο της εταιρείας και να παρακάμψουν έτσι, στην ουσία να ξεγελάσουν, το firewall. Για τον εντοπισμό και την αντιμετώπιση αυτών των διαρροών βοηθούν τα συστήματα διάγνωσης εισβολής, γνωστά και ως IDS (Intrusion Detection Systems).
Ένας από τους πιο συνηθισμένους τρόπους που χρησιμοποιούν οι εισβολείς για να παρακάμψουν ένα firewall είναι η εγκατάσταση μιας κερκόπορτας (backdoor) στο εσωτερικό δίκτυο μιας εταιρείας, η οποία έχει τη δυνατότητα να επικοινωνήσει με μια θύρα (port) που επιλέχθηκε να είναι ανοικτή όταν έγινε η εγκατάσταση του firewall.
Οι τρόποι που χρησιμοποιούν οι εισβολείς για να ξεγελάσουν τα θύματά τους, να παρακάμψουν το ενδεχόμενα εγκατεστημένο firewall και να εισβάλουν έτσι στον υπολογιστή τους ποικίλουν. Ένας πολύ συνηθισμένος τρόπος είναι η αποστολή ενός παραπλανητικού e-mail όπου ζητούν από το υποψήφιο θύμα τους την εγκατάσταση ενός προγράμματος το οποίο θα κάνει δήθεν έλεγχο αν είναι εγκατεστημένο κάποιο άλλο επιβλαβές πρόγραμμα.
Στην πραγματικότητα, βέβαια, δεν γίνεται κανένας έλεγχος για την εγκατάσταση ενός τέτοιου προγράμματος αλλά αντιθέτως γίνεται η εγκατάσταση ενός άλλου επιβλαβούς προγράμματος. Ένας άλλος συνηθισμένος τρόπος είναι η δωρεάν προσφορά προγραμμάτων, τα οποία μπορεί μεν να κάνουν κάποια απλή εργασία αλλά ταυτόχρονα εγκαθιστούν και κάποιο πρόγραμμα τύπου δούρειου ίππου (trojan horse) ή κερκόπορτας (backdoor), το οποίο είναι προγραμματισμένο να αναλάβει δράση με την πρώτη ευκαιρία ή όταν του το ζητήσει ο δημιουργός του.
Ρυθμίζοντας Ένα Firewall
Τα firewalls μπορούν να προσαρμοστούν. Αυτό σημαίνει ότι μπορούμε να προσθέσουμε ή να αφαιρέσουμε φίλτρα με βάση κάποιες συνθήκες, μερικές από τις οποίες είναι οι εξής :
- IP Διευθύνσεις (IP Addresses). Το κάθε μηχάνημα που συνδέεται στο Internet αποκτά μια μοναδική διεύθυνση που είναι γνωστή ως IP διεύθυνση (IP address). Οι IP διευθύνσεις είναι αριθμοί που αποτελούνται από 32 bits και μπορούν να παρουσιασθούν ως τέσσερις δεκαδικοί αριθμοί χωρισμένοι με τελείες. Μια τυπική IP διεύθυνση είναι σαν την εξής : 212.24.52.118. Για παράδειγμα, αν μια συγκεκριμένη IP διεύθυνση που βρίσκεται εκτός της εταιρείας διαβάζει υπερβολικά μεγάλο αριθμό αρχείων από έναν server, το firewall θα μπορεί να εμποδίσει όλη την κυκλοφορία προς ή από αυτήν την IP διεύθυνση.
- Ονόματα Χώρου (Domain Names). Επειδή είναι δύσκολο να θυμάται κανείς όλη τη σειρά των αριθμών που συγκροτούν μια IP διεύθυνση και επειδή οι IP διευθύνσεις ενδέχεται να αλλάζουν μερικές φορές, όλοι οι servers που υπάρχουν στο Internet διαθέτουν και ονόματα που είναι κατανοητά από τους ανθρώπους, τα οποία είναι γνωστά με τον όρο ονόματα χώρου (domain names). Για παράδειγμα, είναι πολύ ευκολότερο για όλους μας να θυμόμαστε το www.mycompany.com παρά το 212.24.52.118. Μια εταιρεία έχει τη δυνατότητα να μπλοκάρει την πρόσβαση σε συγκεκριμένα domain names ή να επιτρέψει την πρόσβαση μόνο σε συγκεκριμένα domain names.
- Πρωτόκολλα (Protocols). Το πρωτόκολλο είναι ο προκαθορισμένος τρόπος που κάποιος που επιθυμεί να χρησιμοποιήσει μια υπηρεσία, επικοινωνεί μαζί της. Ο «κάποιος» μπορεί να είναι ένα άτομο, αλλά πιο συχνά είναι ένα πρόγραμμα υπολογιστή, όπως είναι ένας φυλλομετρητής (Web browser). Τα πρωτόκολλα αποτελούνται συνήθως από κείμενο και απλά περιγράφουν το πώς ο πελάτης (client) και ο διακομιστής (server) θα κάνουν τη συνομιλία τους. Το http είναι το πρωτόκολλο του Web. Μερικά κοινά πρωτόκολλα για τα οποία μπορούμε να ορίσουμε φίλτρα firewall είναι τα εξής :
- IP (Internet Protocol), αποτελεί το κύριο σύστημα διανομής για τις πληροφορίες που διακινούνται στο Internet.
- TCP (Transmission Control Protocol), χρησιμοποιείται για τη διάσπαση και την επανένωση των πληροφοριών (πακέτων) που ταξιδεύουν στο Internet.
- HTTP (Hyper Text Transfer Protocol), χρησιμοποιείται στις ιστοσελίδες (Web pages).
- FTP (File Transfer Protocol), χρησιμοποιείται για το κατέβασμα (download) και το ανέβασμα (upload) αρχείων.
- UDP (User Datagram Protocol), χρησιμοποιείται για τις πληροφορίες που δεν απαιτούν απόκριση (response), όπως είναι ο ήχος και το βίντεο ροής (streaming audio και video).
- ICMP (Internet Control Message Protocol), χρησιμοποιείται από έναν δρομολογητή (router) για την ανταλλαγή πληροφοριών μ’ άλλους δρομολογητές.
- SMTP (Simple Mail Transport Protocol), χρησιμοποιείται στην αποστολή μηνυμάτων ηλεκτρονικού ταχυδρομείου (e-mail).
- SNMP (Simple Network Management Protocol), χρησιμοποιείται για τη συλλογή πληροφοριών συστήματος από έναν απομακρυσμένο υπολογιστή (remote computer).
- Telnet, χρησιμοποιείται για να εκτελούμε εντολές σ’ έναν απομακρυσμένο υπολογιστή (remote computer).
Η εταιρεία μπορεί να ορίσει μόνο ένα ή δύο μηχανήματα για να χειρισθούν ένα συγκεκριμένο πρωτόκολλο και να καταργήσει αυτό το πρωτόκολλο σ’ όλα τα άλλα μηχανήματα.
- Θύρες (Ports). Όλα τα μηχανήματα server κάνουν τις υπηρεσίες τους να είναι διαθέσιμες στο Internet χρησιμοποιώντας αριθμημένες θύρες (ports), από μία για κάθε υπηρεσία που υπάρχει διαθέσιμη στον server. Για παράδειγμα, αν ένα μηχάνημα server τρέχει έναν Web (HTTP) server και έναν FTP server, ο Web server θα είναι διαθέσιμος στη θύρα (port) 80 και ο FTP server θα είναι διαθέσιμος στη θύρα (port) 21. Μια εταιρεία μπορεί να μπλοκάρει την πρόσβαση στη θύρα 21 σ’ όλα τα μηχανήματα εκτός από ένα μέσα στην εταιρεία.
- Συγκεκριμένες Λέξεις και Φράσεις. Μπορεί να είναι ο,τιδήποτε. Το firewall θα ψάξει παντού (λειτουργία sniff) σε κάθε πακέτο δεδομένων για να βρει ένα ακριβές ταίριασμα του κειμένου που υπάρχει στο φίλτρο. Για παράδειγμα, μπορούμε να καθοδηγήσουμε το firewall ώστε να μπλοκάρει όλα τα πακέτα που περιέχουν τη λέξη "go on". Το σημαντικό είναι ότι οι λέξεις θα πρέπει να ταιριάζουν ακριβώς, δηλ. το φίλτρο δεν θα εντοπίσει τη λέξη "goon", που δε περιέχει τον κενό χαρακτήρα. Μπορούμε, όμως, να συμπεριλάβουμε όσες λέξεις, φράσεις και παραλλαγές αυτών θέλουμε.
Ένα software firewall μπορεί να εγκατασταθεί στον υπολογιστή του σπιτιού μας, όπου υπάρχει σύνδεση με το Internet. Αυτός ο υπολογιστής θεωρείται ότι είναι μια πύλη (gateway) επειδή παρέχει το μοναδικό σημείο πρόσβασης ανάμεσα στο δίκτυο του σπιτιού μας και το Internet.
Μ’ ένα hardware firewall, η μονάδα του firewall αποτελεί κανονικά την πύλη (gateway) και ένα καλό παράδειγμα είναι ένας δρομολογητής (router) που διαθέτει μια ενσωματωμένη κάρτα Ethernet και ένα hub. Οι υπολογιστές στο δίκτυο του σπιτιού μας συνδέονται στον δρομολογητή (router), ο οποίος με τη σειρά του συνδέεται σ’ ένα καλωδιακό modem ή σ’ ένα DSL modem. Μπορούμε να ρυθμίσουμε (configure) τον router μέσω ενός Web interface από τον φυλλομετρητή του υπολογιστή μας και εκεί μπορούμε να ορίσουμε τα φίλτρα ή και άλλες ρυθμίσεις.
Από τι μας Μπορεί να μας Προστατεύσει Ένα Firewall
Υπάρχουν πολλοί τρόποι που μπορεί να χρησιμοποιήσει κάποιος ασυνείδητος για να κάνει ζημιά σε μη προστατευμένους υπολογιστές, όπως :
- Απομακρυσμένη Πρόσβαση (Remote Login). Συμβαίνει όταν κάποιος έχει τη δυνατότητα να συνδεθεί στον υπολογιστή μας και να τον ελέγξει κατά κάποιον τρόπο. Αυτό μπορεί να κυμαίνεται από το να μπορεί να δει απλά ή να έχει πρόσβαση σε αρχεία έως το να μπορεί να τρέχει προγράμματα στον υπολογιστή μας.
- Κερκόπορτες Εφαρμογής (Application Backdoors).Μερικά προγράμματα έχουν ιδιαίτερα χαρακτηριστικά που επιτρέπουν την απομακρυσμένη πρόσβαση (remote access), ενώ άλλα περιέχουν σφάλματα (bugs) τα οποία δίνουν τη δυνατότητα για την ύπαρξη κερκόπορτας ή πίσω πόρτας (backdoor), δηλ. μιας κρυφής πρόσβασης, με την οποία μπορεί να έχει κάποιος κάποιο επίπεδο ελέγχου του προγράμματος.
- SMTP Session Hijacking. Το SMTP αποτελεί την πιο κοινή μέθοδο αποστολής ηλεκτρονικού ταχυδρομείου (e-mail) στο Internet και αποκτώντας πρόσβαση σε μια λίστα από διευθύνσεις e-mail, κάποιος μπορεί να στείλει αυτόκλητα e-mail (spam) σε χιλιάδες χρήστες.
- Σφάλματα στο Λειτουργικό Σύστημα. Όπως και οι εφαρμογές, μερικά λειτουργικά συστήματα έχουν backdoors, ενώ άλλα παρέχουν απομακρυσμένη πρόσβαση με ανεπαρκείς ελέγχους ασφαλείας ή έχουν ελαττώματα (bugs) που μπορεί να εκμεταλλευθεί ένας έμπειρος hacker.
- Άρνηση Υπηρεσίας (Denial of Service). Αυτό το είδος επίθεσης είναι σχεδόν αδύνατο να αντιμετωπισθεί. Αυτό που συμβαίνει είναι ότι ο hacker στέλνει μια αίτηση (request) στον server για να συνδεθεί σ’ αυτόν. Όταν ο server απαντήσει με μια αναγνώριση (acknowledgement) και προσπαθήσει να κάνει μια σύνοδο (session), δεν θα μπορεί να βρει το σύστημα που έκανε την αίτηση (request). Κατακλύζοντας έναν server με τέτοιες αναπάντητες αιτήσεις session, ένας hacker αναγκάζει τον server να δουλεύει πολύ αργά (σέρνεται) έως ότου καταρρεύσει.
- Βόμβες e-mail (e-mail Bombs). Μια βόμβα e-mail είναι συνήθως μια προσωπική επίθεση όπου κάποιος μάς στέλνει το ίδιο e-mail εκατοντάδες ή και χιλιάδες φορές μέχρις ότου το σύστημά μας να μην μπορεί να δεχθεί άλλα μηνύματα.
- Μακροεντολές (Macros). Για να απλοποιήσουν περίπλοκες διαδικασίες ή εργασίες, πολλές εφαρμογές (applications) μάς δίνουν τη δυνατότητα να δημιουργήσουμε ένα μικρό πρόγραμμα (σενάριο εντολών, script) από εντολές που η εφαρμογή μπορεί να εκτελέσει. Αυτό το script είναι γνωστό ως μακροεντολή (macro). Οι hackers μπορούν να εκμεταλλευθούν αυτή τη δυνατότητα και να δημιουργήσουν τα δικά τους macros, τα οποία, ανάλογα με την εφαρμογή, μπορούν να καταστρέψουν τα δεδομένα ή και να προκαλέσουν την κατάρρευση του υπολογιστή μας.
- Ιοί (Viruses). Πιθανώς η πιο γνωστή απειλή είναι οι ιοί των υπολογιστών (computer viruses). Ένας ιός (virus) είναι ένα μικρό πρόγραμμα που μπορεί να αντιγράψει τον εαυτό του σ’ άλλους υπολογιστές. Μ’ αυτόν τον τρόπο μπορεί να διαδοθεί ταχύτατα από το ένα σύστημα στο άλλο. Το αποτέλεσμα ενός ιού μπορεί να κυμαίνεται από την εμφάνιση ενός αβλαβούς μηνύματος έως και τη διαγραφή όλων των αρχείων του υπολογιστή μας.
- Spam e-mail. Μπορεί να μην κάνει ζημιά αλλά είναι πάντα ενοχλητική, η μη ζητηθείσα ή αυτόκλητη εμπορική αλληλογραφία (spam e-mail), που αποτελεί το ηλεκτρονικό ισοδύναμο της άχρηστης διαφημιστικής αλληλογραφίας (junk mail). Το spam e-mail μπορεί να είναι και επικίνδυνο καθώς αρκετά συχνά περιέχει συνδέσμους (links) σε Web sites, τα οποία ενδέχεται να στέλνουν cookies για να ανοίξουν έτσι μια κερκόπορτα (backdoor) στον υπολογιστή μας.
- Βόμβες Ανακατεύθυνσης (Redirect Bombs). Οι hackers μπορούν να χρησιμοποιήσουν το πρωτόκολλο ICMP για να αλλάξουν (ανακατευθύνουν) τη διαδρομή που ακολουθούν οι πληροφορίες, στέλνοντάς τες σ’ έναν διαφορετικό δρομολογητή (router). Αυτός είναι κι ένας από τους τρόπους που γίνεται μια επίθεση άρνησης υπηρεσίας (denial of service attack).
- Source routing. Στις περισσότερες περιπτώσεις, η διαδρομή που ακολουθεί ένα πακέτο στο Internet (ή σ’ ένα άλλο δίκτυο) καθορίζεται από τους δρομολογητές (routers) που υπάρχουν κατά μήκος της διαδρομής. Αλλά η πηγή (source), δηλ. ο αρχικός υπολογιστής, που παρέχει το πακέτο μπορεί αυθαίρετα να καθορίσει τη διαδρομή (route) που θα πρέπει να ακολουθήσει το πακέτο. Οι hackers το εκμεταλλεύονται αυτό μερικές φορές για να κάνουν τις πληροφορίες να φαίνονται ότι προέρχονται από μια έγκυρη πηγή ή ακόμη και μέσα από το ίδιο το δίκτυο. Τα περισσότερα firewalls μπορούν και εξουδετερώνουν το source routing.
Μερικές από τις παραπάνω επιθέσεις, είναι δύσκολο, αν όχι αδύνατο, να αντιμετωπισθούν με τη χρήση ενός firewall. Ενώ μερικά firewalls προσφέρουν προστασία από ιούς, αξίζει τον κόπο να εγκαταστήσουμε ένα πρόγραμμα anti-virus σε κάθε υπολογιστή του δικτύου μας. Και, αν και είναι ενοχλητικά, πολλά spam e-mails μπορούν να περάσουν μέσα από το firewall όσο εμείς λαμβάνουμε τα e-mails μας. Το επίπεδο ασφάλειας (level of security) που ορίζουμε είναι αυτό που καθορίζει πόσες πολλές απ’ αυτές τις απειλές μπορούν να αναχαιτισθούν από ένα firewall. Το υψηλότερο επίπεδο ασφάλειας θα είναι το μπλοκάρισμα των πάντων.
Στην ουσία κάτι τέτοιο καταργεί την ύπαρξη μιας σύνδεσης στο Internet, αλλά ένας κοινός πρακτικός κανόνας είναι να μπλοκάρουμε τα πάντα και μετά να αρχίζουμε να επιλέγουμε τι είδος κυκλοφορίας θα επιτρέψουμε.
Μπορούμε επίσης να περιορίσουμε την κυκλοφορία (traffic) που περνάει μέσα από το firewall έτσι ώστε μόνο συγκεκριμένα είδη πληροφοριών, όπως τα e-mail, να μπορούν να περάσουν. Για τους περισσότερους χρήστες, το καλύτερο είναι να εργάζονται με τις προκαθορισμένες ρυθμίσεις που δίνονται από τον κατασκευαστή του firewall εκτός κι αν υπάρχει κάποιος πολύ συγκεκριμένος λόγος για να γίνουν αλλαγές.
Ένα από τα καλύτερα πράγματα όσον αφορά ένα firewall από την άποψη της ασφάλειας είναι ότι εμποδίζει τον οποιονδήποτε βρίσκεται έξω από το να εισβάλλει σ’ έναν υπολογιστή του δικτύου μας. Μπορεί αυτό να ενδιαφέρει κυρίως τις επιχειρήσεις, αλλά και οι οικιακοί χρήστες με τη χρήση ενός firewall μπορούν να έχουν ήσυχο το κεφάλι τους.
Οι Proxy Servers και η DMZ
Μια λειτουργία που συνδυάζεται συχνά μ’ ένα firewall είναι ο proxy server (διακομιστής μεσολάβησης). Ο proxy server χρησιμοποιείται για να υπάρχει πρόσβαση στις ιστοσελίδες από τους άλλους υπολογιστές. Όταν κάποιος άλλος υπολογιστής ζητάει μια ιστοσελίδα, αυτή ανακτάται (retrieved) από τον proxy server και μετά στέλνεται στον υπολογιστή που την ζήτησε. Το αποτέλεσμα αυτής της ενέργειας είναι ότι ο απομακρυσμένος υπολογιστής που περιέχει την ιστοσελίδα δεν έρχεται ποτέ σε άμεση επαφή με τους υπολογιστές του δικτύου μας, παρά μόνο με τον proxy server.
Οι proxy servers μπορούν επίσης να κάνουν την πρόσβασή μας στο Internet να εργάζεται πιο αποδοτικά. Αν κατεβάσουμε μια ιστοσελίδα από ένα Web site, αυτή αποθηκεύεται στον proxy server. Αυτό σημαίνει ότι την επόμενη φορά που θα επανέλθουμε σ’ αυτήν την ιστοσελίδα, δεν θα χρειασθεί να φορτωθεί εκ νέου από το Web site, αλλά θα φορτωθεί αμέσως από τον proxy server. Υπάρχουν περιπτώσεις που μπορεί να θέλουμε κάποιοι απομακρυσμένοι χρήστες να έχουν πρόσβαση σε στοιχεία του δικτύου μας, όπως για παράδειγμα :
- Web site
- Online συναλλαγές
- Περιοχή FTP για download και upload
Στις περιπτώσεις αυτές, μπορούμε να δημιουργήσουμε μια DMZ (Demilitarized Zone, Αποστρατιωτικοποιημένη Ζώνη). Αν και ακούγεται πολύ σοβαρό, πρόκειται στην πραγματικότητα για μια περιοχή που βρίσκεται εκτός του firewall. Μπορούμε να φανταστούμε την DMZ σαν την μπροστινή αυλή του σπιτιού μας. Ανήκει σε μας και μπορούμε να τοποθετήσουμε κάποια πράγματα εκεί, αλλά θα τοποθετήσουμε τα πολύτιμα πράγματα μέσα στο σπίτι μας όπου και θα είναι περισσότερο ασφαλή.
Η εγκατάσταση μιας DMZ είναι πολύ εύκολη. Αν έχουμε πολλούς υπολογιστές, μπορούμε να επιλέξουμε να τοποθετήσουμε έναν υπολογιστή ανάμεσα στη σύνδεση με το Internet και το firewall. Τα περισσότερα από τα software firewalls μάς δίνουν τη δυνατότητα να καθορίσουμε έναν κατάλογο (directory) στον υπολογιστή αυτόν ως DMZ.
Έτοιμα Προγράμματα Firewall
Η τελευταία έκδοση των Windows XP διαθέτει ένα προεγκατεστημένο (ενσωματωμένο) πρόγραμμα firewall, που είναι γνωστό με την ονομασία Internet Connection Firewall. Για να ενεργοποιήσουμε το ενσωματωμένο firewall των Windows XP, πηγαίνουμε στην επιλογή Συνδέσεις Δικτύου του Πίνακα Ελέγχου. Κάνουμε δεξί κλικ στη σύνδεση που μας ενδιαφέρει και επιλέγουμε Για προχωρημένους από την επιλογή Ιδιότητες του πτυσσόμενου μενού. Για να ενεργοποιήσουμε το firewall για τη συγκεκριμένη σύνδεση πρέπει να επιλέξουμε το πλαίσιο ελέγχου Protect my computer and network by limiting or preventing access to this computer from the Internet.
Το ενσωματωμένο firewall των Windows XP ενώ προσφέρει ικανοποιητική προστασία και έλεγχο για την κίνηση που γίνεται από έξω προς τα μέσα (inbound traffic), αγνοεί την προστασία και τον έλεγχο για την κίνηση που γίνεται από μέσα προς τα έξω (outbound traffic). Αν αυτό δεν μας είναι αρκετό, προγράμματα τύπου firewall προσφέρονται και από γνωστές εταιρείες που εξειδικεύονται στην ασφάλεια των υπολογιστικών συστημάτων, όπως είναι τα εξής :
· Norton Personal Firewall της εταιρείας Symantec,
· Personal Firewall Plus της εταιρείας McAfee,
· Panda Platinum της εταιρείας Panda,
· Norman Personal Firewall της εταιρείας Norman,
· Sygate Personal Firewall της εταιρείας Sygate,
· eSafe Desktop Firewall,
· Tiny Personal Firewall της εταιρείας Tiny,
· F-Secure Firewall της εταιρείας F-Secure,
· Lockdown Millennium της εταιρείας Lockdown και
· Bit Defender της εταιρείας AVX.
Το Kerio Personal Firewall της εταιρείας Kerio αποτελεί ένα από τα ασφαλέστερα προγράμματα της κατηγορίας του και μπορεί να κάνει και έλεγχο για ιούς τύπου dialer. Όμως, το πιο δημοφιλές πρόγραμμα firewall είναι το Zone Alarm της εταιρείας Zone Labs, καθώς καταφέρνει και συνδυάζει αρμονικά την ασφάλεια με την ευκολία χρήσης. Αυτό που κάνει στην ουσία το πρόγραμμα Zone Alarm είναι να επιτρέπει ή όχι την πρόσβαση σε προγράμματα που κάνουν χρήση του Internet. Το Zone Alarm διαθέτει πέντε εικονίδια με αντίστοιχες επιλογές και με τις εξής λειτουργίες :
· Alerts. Μπορούμε να ενημερωθούμε για τις επιθέσεις που έχει δεχθεί ο υπολογιστής μας καθώς και να κρατήσουμε τα στοιχεία αυτά σ’ ένα αρχείο.
· Lock. Μπορούμε να ορίσουμε ώστε το πρόγραμμα να κλειδώνει αυτόματα τη σύνδεση με το Internet όταν διαπιστώσει ενδεχόμενο κίνδυνο.
· Security. Μπορούμε να επιλέξουμε το επίπεδο ασφαλείας που θέλουμε να έχουμε, δηλ. High, Medium ή Low.
· Programs. Εμφανίζονται όλα τα προγράμματα που εκτελούνται στον υπολογιστή μας καθώς και αυτά που κάνουν χρήση του Internet. Μπορούμε να επιλέξουμε αν θα επιτρέπεται ή όχι η εκτέλεση ενός προγράμματος ή αν θα γίνεται σχετική ερώτηση προς τον χρήστη.
· Configure. Μπορούμε να κάνουμε διάφορες ρυθμίσεις για το πρόγραμμα.
Οι εφαρμογές firewall του εμπορίου διαθέτουν έτοιμα επίπεδα ασφαλείας, όπως High, Medium και Low για παράδειγμα, τα οποία μπορούμε να επιλέξουμε και να γίνουν έτσι αυτόματα οι απαραίτητες ρυθμίσεις, στην περίπτωση που δεν γνωρίζουμε ή δεν έχουμε τον χρόνο να ασχοληθούμε με το τι ρυθμίσεις πρέπει να κάνουμε. Μπορούμε να επιλέξουμε υψηλό, μέτριο ή χαμηλό επίπεδο ασφαλείας, μ’ ό,τι αυτό συνεπάγεται.
Ο καλύτερος τρόπος για να δοκιμάσουμε κατά πόσο λειτουργεί σωστά και αποδοτικά ένα firewall, είναι να επισκεφθούμε ένα από τα sites του Internet που αναλαμβάνουν να κάνουν εικονικές εισβολές στον υπολογιστή μας και να μας δείξουν τις τυχόν αδυναμίες του, όπως είναι τo http://grc.com..
Πολιτικές Ασφαλείας με τη Χρήση Firewall
Η πολιτική ασφαλείας του δικτύου μιας εταιρείας, η οποία χρησιμοποιεί firewall, θα πρέπει σε γενικές γραμμές να έχει υπόψη της τα εξής :
· Θα πρέπει να περνάνε μέσα από το firewall όλες οι συνδέσεις που γίνονται από το δίκτυο της εταιρείας προς το Internet.
· Θα πρέπει να ορισθεί ένας τεχνικός υπεύθυνος για την εγκατάσταση, τη ρύθμιση και τη διαχείριση του firewall, ο οποίος θα πρέπει να ακολουθεί και τακτική εκπαίδευση και ενημέρωση.
· Το εγκατεστημένο firewall θα πρέπει να παρακολουθείται και να ελέγχεται σε τακτά χρονικά διαστήματα.
· Θα πρέπει να απενεργοποιηθούν όλες οι εφαρμογές που δεν είναι απαραίτητες.
· Το firewall θα πρέπει να είναι διαθέσιμο 24 ώρες το 24ωρο.
Τι Μπορεί να Κάνει Ένα Firewall
· Να εμποδίσει ιούς (viruses), σκουλήκια (worms), δούρειους ίππους (trojan horses) και άλλα προγράμματα τύπου spyware από το να εγκατασταθούν στον υπολογιστή μας και να κάνουν ζημιά.
· Να εμποδίσει την πρόσβαση στον υπολογιστή μας σε άγνωστους ή ανεπιθύμητους επισκέπτες.
· Να μας ειδοποιήσει ότι ο υπολογιστής μας δέχεται κάποια επίθεση.
· Να μας παρουσιάσει αναλυτικά στατιστικά στοιχεία σχετικά με την κίνηση από και προς τον υπολογιστή μας.
· Να εμποδίσει κάποιο πρόγραμμα τύπου dialer από το να πραγματοποιήσει υπερπόντιες τηλεφωνικές κλήσεις χωρίς τη θέλησή μας.
Τι δεν Μπορεί να Κάνει Ένα Firewall
· Να διαγράψει ιούς (viruses), δούρειους ίππους (trojan horses) και άλλα προγράμματα τύπου spyware.
· Να εμποδίσει την μη ζητηθείσα εμπορική ηλεκτρονική αλληλογραφία, γνωστή και με τον όρο spam e-mail.
· Να μας προστατεύσει από επιβλαβή προγράμματα τα οποία είτε δεν μπόρεσε να εντοπίσει ή εμείς οι ίδιοι επιτρέψαμε την εγκατάστασή τους, όπως είναι συνήθως τα προγράμματα συνομιλίας (chat) ή ανταλλαγής αρχείων (peer-to-peer).
· Να μας προστατεύσει από τις εσωτερικές απειλές, δηλ. από τους κακόβουλους χρήστες που έχουν φυσική πρόσβαση στο εσωτερικό του τοπικού δικτύου μας.
