CHIP – Zorp

… azaz egy lehetséges megoldás a biztonságos tűzfal építéséhez

A mai kiaknázatlan szellemi kapacitással feldúsított Internet idejében egy eszköz csatlakoztatásával sokkal nagyobb az esélyünk arra, hogy valaki megpróbál illetéktelenül behatolni azon keresztül féltve őrzött titkaink gyűjtőhelyébe, mintha ugyanezt tennénk mondjuk az autónkkal egy lakótelep parkolójában.
Ha még ehhez hozzájön az is, hogy az autónkban nincs immobilizer, riasztó vagy éppen nyitva felejtjük az ajtaját ne lepődjünk meg, hogy egyszer nem az a kép fogad majd bennünket, mint amit várunk, vagyis ha olyan szerencsénk van hogy az autó a helyén van, igen nagy az esélye annak hogy a benne hagyott értékek, rádió, telefon, táska már valaki mást boldogítanak.

Nincs ez másként a világháló kisebb nagyobb szervereivel, munkaállomásaival sem, a sok ezer tehetséges “bughunter” vagy más néven hacker figyelmét nem fogja elkerülni egy védtelen számítógép működtetése, főleg ha azon még szolgáltatások is működnek akár levelező vagy akár egy web szerver formájában. Itt természetesen nem arra kell gondolni, hogy ezek a fiatal srácok sötét szobában zölden világító monitorok előtt kapucniban ülve keresgélik a biztonsági réseket – ahogy ezt a médiában időnként fel-feltűnő vitatható minőségű akciófilmekben láthatjuk – hanem sok-sok már meghódított gépen elhelyezett kis programocska segítségével folyamatosan figyelnek egy-egy IP tartományt, és az ott felbukkanó gépeken biztonsági réseket igyekeznek találni. Ha ezek a kis dolgozók találnak valamit, akkor lép akcióba az emberi elme, és igyekszik mindent megtenni azért hogy a lehetőségekhez mérten átvegye az uralmat a kiszemelt gép operációs rendszere fölött, amely így hozzásegítheti ahhoz, hogy azon keresztül további támadásokat intézhessen mások ellen. Ha ez a gép egy tűzfal akkor kezdődnek az igazi problémák, mert aki uralja a tűzfalat annak szabad bejárása van arra a területre is amit ez a szerkezet valójában véd a külvilágtól, és onnantól kezdve semmi értelme az egész védelemnek mert csak azokat riaszthatja el, akik amúgy sem értenek annyira a számítástechnikához hogy bármi kárt tehetnének az általunk védeni kívánt rendszerben…

Egy tűzfal építésekor szinte mindenhol úgy terveznek, hogy van egy védeni kívánt terület, ami a cég saját lokális hálózata, van egy demilitarizált zóna (DMZ) amelyet mind az Internet irányából mind a helyi hálózatból el lehet érni, és van maga az Internet csatlakozás, ami általában egy IP címet jelent, amelyen keresztül a tűzfalként üzemelő gép csatlakozik a hálózatra.

Egy ilyen koncepcióban a védelmet jól körül lehet határolni, meg lehet csinálni a policy-t, a protokollok szűrését, illetve az accounting-ot is szükségszerűen. Ezekkel a definíciókkal tudjuk lefedni magát a védelmi koncepciót, azaz a cég biztonsági követelményeinek megfelelő felépítményt, amellyel biztosíthatjuk a szolgáltatásokat a külvilág felé, a belső hálózaton dolgozók adatainak védelmét azzal együtt hogy ők hozzáférhetnek az Interneten lévő adatokhoz, illetve az egész csatlakozás üzemeltetését.

Mivel az előbb felsoroltak közül a helyi hálózat adott, illetve az Internet is egyszerűen hozzáférhető egy bérelt vonal vagy valami más csatlakozási mód segítségével, az egyetlen kérdéses eszköz maga a tűzfal, amely lehet hardware-es megoldás (például Cisco PIX) vagy lehet egy software alapú megoldás is, amely egy PC-n fog üzemelni. A tisztán software-es megoldások száma napról napra nő, és szerencsére jobbnál jobb dolgok születnek – köszönhetően az igen erős versenynek, illetve a biztonságra való törekvés erősödésének a cégek részéről. Nemrégiben olvashattunk cikket lapunk hasábjain az Astaro és a SuSe megoldásairól tűzfal témában, és most egy szintén igen népszerű és – az internetes biztonsági fórumokon olvasható kritikák szerint – igen megbízható megoldásról ejtünk szót, a Zorp-ról.

Mielőtt nekikezdenénk a rendszer ismertetésének, meg kell jegyezni egy nagyon fontos dolgot, ami az Internetes biztonsággal kapcsolatban sajnos még mindig nem kap elég nagy nyilvánosságot, méghozzá azt hogy abszolút biztonság NINCS, és csakis egy megfelelően beállított és folyamatosan karbantartott védelmi rendszer képes megfelelő biztonságot nyújtani. Ha nincs megfelelően definiálva a policy, illetve a nyitott protokollok, proxy-k, és szerverek nincsenek folyamatosan karbantartva, akkor egy, a hónap elején megvásárolt biztonsági rendszeren a hónap végére már minden bizonnyal keletkezik olyan rés – ami egy addig fel nem ismert operációs rendszer, vagy szerver program hibából adódik – amelyen keresztül akár támadást is lehet kezdeményezni a rendszer ellen. Szerencsére vannak olyan megoldások, ahol a szerver eladásával nem ér véget a biztonsági megoldásokat nyújtó cégek és a vásárló kapcsolata, és a vásárló egy támogatási szerződés keretében folyamatos karbantartást kaphat a rendszer eladójától, így ezzel az ő felelősségévé válik a rendszer naprakész állapotban tartása, illetve egy esetleges behatolás esetén – ha az a tűzfal biztonsági hiányosságai miatt történik – akár még érdekérvényesítésre és kártérítésre is sor kerülhet.

A Zorp egy Debian GNU Linux alapú megoldás, amely a jelenlegi legbiztonságosabb proxy megoldásokat éppúgy támogatja mint a “hagyományos” transzparens metódusokat szinte az összes létező protokollra. (FTP, HTTP, SSL, POP3, FINGER, WHOIS, NNTP, IMAP, TELNET, PRINTER, RADIUS) A packet-filtering (csomagszűrés) és a proxy (alkalmazás szintű) megoldások között az az alapvető különbség hogy az első egyszerűen a beérkező csomag fejléce alapján dönti el hogy engedélyezi-e az adatkapcsolatot, míg a proxy modulok a csomagok adattartalmát is kifejtik és csak akkor engedélyezik a továbbítást, ha az adatok megfelelnek az adott protokollnak, és nem tartalmaznak például egy tunnel-re vonatkozó információkat. A Zorp képes detektálni a protokollba ágyazott alprotokollokat is, így például a HTTPS-nél a tiltáson és az ellenőrzés nélküli átengedésen túl megmarad az alkalmazás szintű proxy használat lehetősége is, azaz az SSL-be ágyazott HTTP-n belül is fog további ellenőrzéseket végezni minden egyes csomagnál.

Egy boot-olható CDROM-ról tudjuk elkezdeni a telepítést, ahol is vagy automatikusan, vagy minden egyes lépést felügyelve tudunk végigmenni a winchester particionálásától a licence aktiválásán keresztül egészen az első újraindításig alig több mint negyed óra alatt. Ezzel az operációs rendszert – a hálózati kártyákat is beállítva – és magát a Zorp tűzfalat is telepítettük.
Következő lépésként meg kell határozni azokat a követelményeket (policy) amiket támasztunk a védelmi rendszerrel kapcsolatban illetve definiálni kell azokat a protokollokat, amelyeket engedélyezni fogunk. Ezt megkönnyítendő előre definiált transzparens proxy beállításokat találhatunk például HTTP és FTP protokollokra. A beállításokhoz a ZUI fantázianévre hallgató karakteres felületű programot találunk ahol a teljes szabályrendszert le lehet képezni a tűzfal számára, illetve az összes a kommunikációra vonatkozó beállítás elvégezhető akár SSH-n keresztül is.

A Zorp szerver a naplózási kötelezettségeknek is messzemenőkig eleget tesz, és a syslog-ng rendszert használva akár más, kimondottan szerverek és alkalmazások naplóit nyilvántartó szerverre is képes ezt megtenni. Egy ilyen naplózó szerver nagyon nagy segítség lehet egy behatolás történetének felderítésében, ugyanis ha a behatoló nem tudja azt a szervert is feltörni, mindenképpen nyoma fog maradni a behatolásnak, ellentétben a helyileg tárolt naplófájlokkal, amelyeket root jogokkal nem túl bonyolult eltörölni vagy tartalmukat megváltoztatni. Ugyanez vonatkozik az authentikációs rendszerre is, ha egy külön gépen futó azonosító szerver tárolja a felhasználók adatait, azt is fel kell törni ahhoz hogy ezekhez hozzájusson az illető, vagy éppen saját magát is felvegye közéjük…

Nagyon fontos – és ezt nem sok konkurens termékbe teszik bele alapból – és hasznos tulajdonság a Zorp csomagban a HA (High Availability) azaz magas szintű rendelkezésre állást biztosító modul, amely képes két teljesen azonos konfigurációval rendelkező gépet cluster-be kapcsolni, ami azt biztosítja, hogy ha nem történik katasztrófa egyszerre mindkét géppel, akkor a rendelkezésre állás folyamatos még akkor is ha az egyik – amelyet master-nek definiáltunk – gépben végzetes hardware hiba keletkezik. Ehhez nem szükséges manuális beavatkozás, az átállás a tartalék szerverre – amely megfelelő hardware-rel az adatokat is képes folyamatosan tükrözni – teljesen automatikusan történik. Az esemény természetesen a naplókban rögzítésre kerül, így a rendszer üzemeltetésért felelős szakember riasztása is automatizálható illetve megoldható.

A védett hálozat gépein, ahhoz hogy ki tudjanak jutni az Internetre semmiféle speciális szoftvert nem kell telepíteni, egyszerűen mint gateway (átjáró) használhatják a Zorp-ot futtató szervert. Ez természetesen akkor is igaz ha a Zorp egy VPN-t (IPSEC) is biztosít az Interneten keresztül egy másik hasonló tulajdonságokkal bíró hálózathoz, ugyanis a kliensek mindkét oldalon – noha a kommunikáció valójában az Interneten keresztül történik – úgy fogják érzékelni mintha egy hálózatban lennének. Természetesen van lehetőség a munkaállomásokon is authentikációra, azaz a felhasználó csak akkor tud a tűzfalon keresztül – és ezáltal például egy VPN-ben – dolgozni, ha helyileg azonosította magát, akár egy jelszóval, kártyával, stb. Ilyenkor egy kis alkalmazás (Satyr.d) kerül a munkaállomásokra és ez biztosítja a kommunikációt a Zorp szerverrel. A Satyr.d által támogatott operációs rendszerek: Windows 95, 98, Me, NT 4.x és 2000, továbbá szinte az összes Linux disztribúció. Az azonosítás menedzsmentje központosítva is történhet a Zorp AuthServ modulja akár helyileg, akár egy másik szerverrel kommunikálva képes elvégezni az authentikációt illetve az adatok folyamatos karbantartását. A rendszergazda számára a korlátozásokon túl lehetőséget biztosít a program “blacklist” azaz feketelista készítésére is, amelyben meg lehet határozni azon URL-ek listáját, amelyet a felhasználók nem látogathatnak.

A Zorp tűzfal megoldást készítő és forgalmazó BalaBit IT Biztonságtechnikai kft. a software-en túl biztosítani tudja a már említett – és az esetek túlnyomó részében a megfelelő szakemberek hiányából adódóan szükségesnek is ítélendő – távmenedzsmentet is, amely a rendszer folyamatos biztonsági karbantartását jelenti, a vásárló saját informatikai erőforrásainak igénybevétele nélkül. Továbbá “Ethical hacking” néven egy állapotfelmérést is tudnak készíteni a már meglévő védelmi rendszerről, ahol is a hacker-ek által alkalmazott technikákat használva megpróbálnak behatolni a védett rendszerbe.

A Zorp – azzal együtt hogy van GPL-es ingyenes verzió is belőle – mint komplett megoldás elsősorban azon cégeket célozza meg akik nem rendelkeznek olyan informatikusi apparátussal, akik képesek naponta órákig a security listákat olvasva folyamatosan installálgatni és javítgatni a tűzfalat, és szeretnék inkább a védelmüket egy erre a feladatra szakosodott csapatra bízni. A Debian és 2.2.x-es kernel alapú rendszer nagyon megbízható, hardware igénye nem túl nagy, a HA-val rendkívül jó rendelkezésre állást biztosít, egy  kis hozzáértéssel, es a hálózati a protokollokok megfelelő ismeretében a beállítások is könnyen elvégezhetők. Az installációt egyszerűbben csak az Astaro Security Linux-ban oldották meg, de ez egy ilyen rendszernél nem összehasonlítási szempont… Azt, hogy a Zorp – és az összes többi tűzfal – milyen biztonságot nyújt egy adott környezetben csak akkor lehet megítélni, ha van információ a folyamatos karbantartásról, illetve a megtervezett és megvalósított policy mit igényel. Még egy nagyon fontos érv a Zorp mellett, hogy a fejlesztő cég magyar, így a kommunikáció és támogatás is egyszerűbb lehet, mint egy külföldi megoldás…

satyr.png

Leave a Reply

Your email address will not be published. Required fields are marked *