1. Firewalls
אבטחת מחשבים ורשתות תקשורת

2. Firewall הסטוריה Packet filters רקע Circuit level gateways
מודל השכבות
אבולוציה
Packet filters
Circuit level gateways
Application level gateways
Stateful multilayer inspection
NAT, PAT
Dimilitarized Zones
Firewall policies
סיכום

3. הסטוריה... עד שנות ה-80, רוב הרשתות, היו מבודדות אחת מהשניה.
משנות ה-80 והלאה, החלה מגמה של קישור בין הרשתות לרשת אחת גדולה – האינטרנט.
משנות ה-90 החלה מגמת גדילה מסיבית במידע שהציע האינטרנט, ובמספר המשתמשים שלהם הייתה גישה למידע זה.
לרבים מן המשתמשים, גישה למידע זה היא כבר מזמן אינה מותרות, אלא הכרחית.

4. רקע...
חיבור לרשת האינטרנט, משמעו חיבור לכל מחשב אחר המחובר לרשת האינטרנט. ע"י חיבור זה, אתה מעניק לכל משתמש ברשת האינטרנט גישה למחשב שלך כמו למשתמשים ברשת הפרטית שלך.
התחברות לרשת האינטרנט עלולה לחשוף חומר סודי/קריטי להתקפות זדוניות מכל מקום בעולם.
ואכן, אנשים רבים העדיפו שלא לחבר את רשתותיהם לרשת האינטרנט רק בגלל שבעיית הבטיחות נראתה להם מעבר לשליטתם.
משתמשים המחברים את מחשביהם לרשת האינטרנט, חייבים להיות מודעים לסכנות, להשפעותיהן, וכיצד להתגונן מפניהם.

5. מה זה firewall?
Definition: A firewall protects networked computers from intentional hostile intrusion that could compromise confidentiality or result in data corruption or denial of service.

6. מה זה firewall? פונקציונליות בסיסית סינון המידע הנכנס לרשת.
סינון המידע היוצא מהרשת.
מיקום - צומת הגישור (gateway) בין:
מחשב בודד ורשת.
רשתות שונות.
איזורים שונים באותה הרשת.
Firewall Gateway
Internal LAN
Internet
Filter

7. יכולות ה-firewall האופטימיות
בחינת המידע העובר בין הרשת הפנימית והחיצונית.
התאמת המידע לקריטריון מסויים, והעברתו/עצירתו בהתאם.
ביצוע לוג של נסיונות ההתחברות לרשת.
מתן התראה במקרה של נסיון חדירה לא מורשה.
הפסימיות
Firewall, עד כמה טוב שיהיה, אינו יכול להחליף נהלים. לדוגמא, אין ביכולתו של firewall למנוע מעובד בארגון לחייג אל מחוץ לארגון ע"י מודם, ובכך בעצם לעקוף אותו לחלוטין.
ניהול לוקה של firewall עלול ליצור אשליה מוטעית של בטחון.

8. מי צריך firewall?
כל אחד שאחראי על רשת פרטית, המחוברת לרשת ציבורית, צריך הגנה של firewall.
לתוקף יש זמן ומשאבים, ככל שירצה, לחפש חורים במערכת שלך.
יתרה מכך, כל אחד שמתחבר לאינטרנט, אפילו ברמת המשתמש היחיד, צריך הגנה של firewall אישי.
המחשבה כי אף אחד לא ינסה לתקוף אותך בזדון, וכי האנונימיות תגן עליך היא שגוייה – רבות מהתקיפות מתבצעות דווקא על IP אקראיים.

9. איך עובד firewall? מתודולוגיות:
העברת כל המידע העונה על קריטריון מסויים.
חסימת כל המידע העונה על קריטריון מסויים.

10. איך עובד firewall?
הקריטריון משתנה מטיפוס אחד של firewall למשנהו, ויכול לבדוק:
ממי המידע הגיע ולאן הוא מיועד.
תוכן המידע שעובר.
חוקיות הפעולות האפליקטיביות.
שכבת הרשת¹ בה מיושם ה-firewall קובעת את הקריטריונים האפשריים לבחירה.
¹מודל השכבות מתואר בשקופית הבאה.

11. מודל השכבות- Open System Interconnection model Day & Zimmermann, 1983
כדי להבין כיצד firewall עובד, נסקור את מודל 7 השכבות של הרשת:
שכבת האפליקיה שניגשת למשאבי הרשת
SOFTWARE
בשכבה זו, מוסיפים לנתונים משמעות תחבירית
וסמנטית.
Character, date, binary
Application
שכבה זו דואגת ליצירת קשר תקין בין
הצדדים המתקשרים.
Token Management\
Toket Exchange
Presentation
תפקיד שכבה זו, לקבל נתונים מהשכבה הקודמת,
לחלק אותם לחבילות, ולודא העברה
דרך השכבה הבאה
ACK, NAK
Session
תפקיד שכבה זו לדאוג להעברת החבילות
ברשת, למצוא מסלול אופטימלי ליעד
ולהכיר טבלאות ניתוב
Transport
תפקיד שכבה זו לחלק את הנתונים
למסגרות ולוודא העברה תקינה
Network
שכבה זו עוסקת במשלוח של ביטים,
ווידוא שמשלוח 1 יתקבל כ-1,
כמה וולט מייצג 1?
Data link
Physical
HARDWARE

12. ? Firewall באיזו שכבה נבחר למקם
השכבה הנמוכה ביותר שבה ניתן למקם firewallהיא שכבת ה- network, בשכבה זו, ניתן למיין חבילות רק עפ"י מקורן/יעדן. מכאן, שברמה זו, לא ניתן לבדוק את תוכן החבילה, או את שאר החבילות המקושרות אליה.
נראה שככל שנעלה גבוה יותר במודל, נשיג בטחון רב יותר, אך אין זה בהכרח נכון. אם נשארים ברמת ה- network אין אפשרות לתפוס שליטה על מערכת ההפעלה.

13. Stateful
Multilayer
Inspection
Application
Gateway
(Proxy)
Circuit
Level
Gateways
Static
Packet
Filter

14. Packet Filters 7 Application 6 Presentation 5 Session
Disallowed Allowed
פועל ברמת הרשת ע"י הפעלה של קבוצת חוקים על כתובות ה- IP של החבילה שמנסה לעבור לצד השני, סוג החבילה וה – Port שאליו היא מנסה לגשת
קו ההגנה הראשון של כל ה – FireWalls המודרניים.
4 Transport
3 Network
2 Data Link
1 Physical
Incoming Traffic
Allowed Outgoing Traffic

15. Packet Filters יתרונות: חסרונות:
היות ואין בדיקה של נתונים נוספים פרט ל IP מימושים של ארכיטקטורה זו, נמוכי עלות וכן כמעט ולא פוגעים בביצועי הרשת.
רוב הנתבים כיום, תומכים בארכיטקטורה זו, לכן הינה שקופה למשתמש (אין שינויים שעל הלקוח לבצע) וניתן ליישם שינויים בקלות.
בשיטה זו ניתן לשלוט על המקומות שניתן להגיע אליהם מתוך הרשת הפרטית ביעילות.
חסרונות:
לבדה אינה מספיקה על מנת למנוע חדירות מבחוץ, היות וכתובות IP ניתנות לשינוי ע"י IP Spoofing.
אין יכולת לבדוק את תוכן החבילות או הקשרים ביניהם.

16. Circuit Level Gateways
7 Application
Disallowed Allowed
ארכיטקטורה זו בוחנת את כל הנסיונות להתחבר לרשת, ורק אלו שנמצא שהם חוקיים יתאפשר המעבר דרך ה- Firewall, למשל ע"י בדיקה האם היוזמה לקשר באה מתוך הרשת הפנימית.
6 Presentation
5 Session
4 Transport
3 Network
2 Data Link
1 Physical
Incoming Traffic
Allowed Outgoing Traffic

17. Circuit Level Gateways
יתרונות
ארכיטקטורה זו בוחנת בשכבה נמוכה את תוכן החבילות, לכן היא מהירה ובעלת יכולת לסנן חבילות כבר בשלב מוקדם.
ארכיטקטורה זו בונה טבלאות מצב דינמיות על סמך כל הנתונים בחבילה העוקבות אחר החיבורים לרשת ומשתמשת בהן ע"מ להחליט אילו חבילות להכניס לרשת דרך ה- Firewall ולכן יש יותר כוח מאשר בשיטה הקודמת.
היות והתחברויות צריכות להתחיל מתוך הרשת הפרטית, הארכיטקטורה מסייעת בהסתרת כתובות המחשבים.
חסרונות
אין בדיקה של חבילות בודדות, לכן ייתכן מצב של התקשרות חוקית שדרכה עוברת חבילה "הרסנית".

18. Application level gateways (proxy servers)
Disallowed Allowed
ארכיטקטורה זו ממוקמת בשכבת ה-Application של מודל ה-,OSI כיוון ששכבה זו מבצעת מעקב ברמת האפליקציה, ניתן למנוע/לבקר שימוש בפקודות אפליקטיביות מסויימות, דבר שלא ניתן להשיג באף שכבה הנמוכה יותר משכבת האפליקציה.
7 Application
6 Presentation
5 Session
4 Transport
3 Network
2 Data Link
1 Physical
Incoming Traffic
Allowed Outgoing Traffic

19. Application level Gateways-Proxies
יתרונות:
בארכיטקטורה זו קיימת יכולת מעקב אחר ההתחברויות של משתמשים, הפעולות שהם ביצעו והפעולות שהם ניסו לבצע ונכשלו.
יישום ארכיטקטורה זו מאפשר רמה גבוהה של בטחון.
חסרונות:
כשבוחרים בארכיטקטורה זו, לא יינתנו שום שירותים אפליקטיביים פרט לאלו שמבוצע עבורם מעקב ע"י ה-Proxy.
בארכיטקטורה זו חובה על כל התחנות להשתמש רק ב-Proxy מכאן גם שיש לבנות Proxy לכל פרוטוקול שמשתמשים בו.
לארכטקטורה זו השפעה רבה על ביצועי הרשת וכן דרישות גבוהות לכח עיבוד וזכרון.

20. Stateful Multilayer Inspection
7 Application
Disallowed Allowed
דור חדש של firewall.
מטפל בחבילה ברמת ה-network ומשתמש במנוע בדיקות שמחליט, האם הפעולות שמנסים לבצע בטוחות או לא,
על סמך מידע שנשמר ב:
טבלאות מצב דינמיות.
חיבורים קודמים.
מידע מכל שכבות האפליקציה.
6 Presentation
5 Session
4 Transport
3 Network
2 Data Link
1 Physical
Incoming Traffic
Allowed Outgoing Traffic

21. Stateful Multilayer Inspection
יתרונות:
ארכיטקטורה זו מספקת רמת אבטחה גבוהה, וביצועים טובים.
היות ואין שימוש ב Proxies, ארכיטקטורה זו שקופה יותר למשתמש וקלה לתחזוקה.
חסרונות:
היות וארכיטקטורה זו מורכבת בהרבה מהקודמות, עלולה להיות פחות בטוחה אם לא תנוהל כראוי.
ארכיטקטורה זו יקרה בהרבה משלושת הארכיטקטורות הקודמות.

22. Firewall Policies
כיום רוב הבעיות באבטחת רשתות פרטיות, נובעות ממדיניות לקויה
או יכולת לקויה לאכוף את המדיניות בתוך הארגון.
There are management solutions to technical problems, but no technical solutions to management problems.
נקודות שחייבות להיות בכל מדיניות:
כל המידע שנכנס או יוצא מהרשת חייב לעבור דרך ה Firewall. עובד שמתחבר דרך מודם לרשת האינטרנט, בעצם משאיר את כל מערך האבטחה של הארגון חסר משמעות.
אין להשתמש ב Firewall בשביל להריץ תוכניות או לשמור קבצים, פרט לאלו החיוניים לפעולתו של ה Firewall.
אסור לפרסם כתובות סיסמאות או מידע כלשהו על הרשת הפנימית.
אסור שתהיה גישה ל- Firewall עצמו מהרשת הפנימית או מהאינטרנט, רק למנהלי המערכת מותר לגשת ישירות.
היה תמיד ערוך לכך שתצטרך לשחזר מחדש מערכות שניתן לגשת אליהן מבחוץ.

23. NAT, PAT
Firewall המשתמש ב-NAT (Network Address Translation) ו/או PAT (Port Address Translation), מחביא לחלוטין את הרשת המוגנת על ידו, בעזרת תרגום כתובות רבים לאחד.
ברוב המימושים של NAT יש מספר כתובות פנימיות (כמספר המחשבים ברשת הפרטית), וכתובת ציבורית אחת.
לכל החבילות היוצאות מהרשת הפנימית, מוחבאת הכתובת הפנימית.
כל החבילות הנכנסות מופנות לכתובת הציבורית.
Internet
Internal IP Addresses
Public IP Address(es)
LAN

24. Dimilitarized Zones (DMZ)
איזור מבודד ברשת שאמור לספק שירותים חיצוניים, כדוגמת שרתי WEB או שרתי FTP.
האיזור המבודד מחובר ל-firewall, וכך גם שאר האיזורים ברשת הפנימית.
כל המידע העובר בין האיזורים, והמידע העובר מהרשת החיצונית לרשת הפנימית, נבדק ע"י ה-firewall.
בצורה זו, כל איזור בוטח רק באיזור שלו, ואם איזור אחד מותקף, האחרים מוגנים.

25. Dimilitarized Zones (DMZ)
Internet
Zone1
Zone2
DMZ

26. Better some security than none…
מכל הבחירות שהצגנו כאן, הטעות היחידה שתוכל לעשות, היא לא לבחור באף אחת מהן.
אל תטעה ותחשוב שאף אחד לא ירצה לפגוע בך, מכיוון שאתה פגיע בדיוק כמו כל מחשב אחר באינטרנט.
ע"י נקיטת אמצעי זהירות פשוטים למדי, אתה יכול להגן על עצמך ועל המידע שלך.

27. THE END

28. מקורות http://www.firewall-software.com/firewall_faqs/firewallqa.pdf
NEXTEP Broadband White Paper, Firewall Architecture
The Firewall and Online Security