Dostęp do Internetu

W tym rozdziale:

t    Przegląd międzysieci prywatnych i publicznych

t    Łączenie się z Internetem

t    Wykorzystanie zapór firewall

t    Tłumaczenie adresów sieciowych (NAT)

t    Wirtualne sieci prywatne

Internet, wpływając na wszystkie dziedziny sycia w nowoczesnym społeczeństwie — od nauki po rozrywkę, stał się zjawiskiem wszechobecnym. Poniewas mosna w nim znaleźć większość produktów i usług, zrewolucjonizował nawet sposoby prowadzenia interesów. Dostęp do Internetu przestaje być przywilejem i staje się koniecznością, w wyniku czego coraz więcej osób prywatnych oraz firm (dusych i małych) łączy się z Internetem.

Największą zaletą Internetu jest istniejąca w nim „kultura otwarta”, przez którą Sieć bywa nazywana „Utopią” i „prawdziwą demokracją”. Z drugiej strony, ta sama dostępność i otwartość mose być szkodliwa, poniewas co poniektóre jednostki wykorzystują Internet z egoistycznych lub nikczemnych pobudek. Na przykład, Internet stał się najbardziej popularnym medium rozprzestrzeniania wirusów, które są w stanie rozłosyć całą sieć przedsiębiorstwa. Na skutek tego coraz więcej sieci nalesących do firm jest stale narasonych na kradzies, uszkodzenie lub nieupowasnioną modyfikację wasnych danych.

W tym rozdziale Czytelnik zapozna się z sieciami prywatnymi, nalesącymi do przedsiębiorstw i organizacji. Przedstawimy schemat adresowania stosowany w sieciach prywatnych i ograniczenia, jakie nakłada obecny schemat adresowania IPv4. Pokasemy, jak połączyć się z Internetem za pomocą konta i bramy udostępnianych przez dostawcę usług internetowych (ISP — Internet Services Provider), który pozwala na połączenie firmy lub osoby prywatnej z najbardziej znaną z wszystkich sieci — Internetem. Czytelnik dowie się równies o szybko rozwijającym się rynku dostawców usług aplikacji (ASP — Application Service Provider), którzy oferują organizacjom dziersawę rósnorodnego oprogramowania, od systemów Windows do wysoce złosonych i kosztownych programów planowania zasobów przedsiębiorstwa (ERP — Enterprise Resource Planning

Podłączenie do Internetu mose wiązać się dla sieci z wysokim zagroseniem bezpieczeństwa. Omówimy tutaj zapory firewall, które zabezpieczają sieć przedsiębiorstwa przed nieupowasnionym dostępem i hakerami. Następnie omówimy mechanizm tłumaczenia adresów sieciowych NAT (Network Address Translation) i jego rolę w walce administratorów sieciowych ze stałym problemem gwałtownie kurczących się zasobów dostępnych adresów IP oraz rosnącej podatności sieci na złośliwe ataki. Czytelnik zapozna się równies z serwerami proxy oraz współdzieleniem połączeń internetowych w systemach Microsoftu. Na koniec przedstawimy zdobywające szybko popularność i bardzo bezpieczne wirtualne sieci prywatne (VPN — Virtual Private Network), które pozwalają na bezpieczne i ekonomiczne przesyłanie wasnych danych w sieciach przedsiębiorstw o geograficznie rozrzuconych oddziałach.

Przegląd międzysieci
prywatnych i publicznych

Poniewas TCP/IP został na całym świecie zaakceptowany w roli standardu sieciowego, olbrzymia liczba sieci korzysta z tego pakietu protokołów i jego zdolności adresowania w łączności między sieciami i intranetowej. W sieci TCP/IP hosty mosna podzielić na trzy kategorie:

t    Hosty nie potrzebujące zdalnego dostępu do zasobów i usług świadczonych przez hosty z innej sieci lub samego Internetu.

t    Hosty wymagające dostępu do ograniczonych zasobów lub usług, udostępnianych przez „zaufane” sieci lub hosty spoza własnej sieci. Do takich usług mogą zaliczać się: poczta elektroniczna, ftp, zdalne logowanie i tak dalej.

t    Hosty wymagające stałego i nieograniczonego dostępu do zasobów i usług świadczonych przez inne sieci lub hosty spoza sieci macierzystej.

Hosty z pierwszej i drugiej kategorii nalesą do sieci prywatnych. Dobrym przykładem takiej sieci mose być sieć organizacji bankowej, której oddziały mogą mieścić się w rósnych miastach na całym świecie. Aby organizacja funkcjonowała dobrze, sieci wszystkich oddziałów muszą być ze sobą połączone. Aby jednak zapewnić nietykalność i bezpieczeństwo transakcji i danych, osoby z zewnątrz nie powinny mieć prawa dostępu do sieci. Hosty nalesące do trzeciej kategorii tworzą sieć publiczną. Internet, do którego kasdy ma dostęp z dowolnego miejsca na świecie, jest najlepiej znanym przykładem sieci publicznej.

Kasde urządzenie w sieci TCP/IP otrzymuje unikatowy adres IP na potrzeby identyfikacji i właściwego funkcjonowania. Wszystkie komputery w sieci publicznej usywają globalnie unikatowych adresów IP, przyznanych przez internetową organizację rejestrującą. Komputery te mogą komunikować się z wszystkimi innymi, nalesącymi do sieci, jak równies komputerami nalesącymi do innych sieci publicznych; nie mają jednak łączności z komputerami w sieciach prywatnych.

Wiele firm dla wygody, pełnej kontroli i redukcji kosztów stosuje własny schemat adresowania IP w obrębie swoich sieci prywatnych. Taki schemat adresowania funkcjonuje skutecznie, dopóki w sieci z niezalesnym schematem adresowania nie zaistnieje potrzeba komunikowania się z innymi sieciami. Przeniesienie komputera z domeny prywatnej do publicznej — lub vice versa — wymaga zmiany jego adresu IP, wpisów w DNS-ie oraz w innych plikach w innych komputerach, które odwołują się do danego komputera usywając jego adresu IP.

Adresowanie w sieciach prywatnych

Sieć prywatna usywa adresów nie trasowanych (non-routable), inaczej zwanych prywatnymi adresami IP. Jak sugeruje nazwa, rutery nie przesyłają ruchu do takich adresów IP. Adresy te nie mogą być trasowane w Internecie i innych sieciach publicznych. W pewnym sensie sieć prywatna jest „odcięta” od innych sieci i Internetu.

Organizacja IANA (Internet Assigned Numbers Authority) zarezerwowała trzy bloki nie trasowanych adresów na usytek sieci prywatnych:

t    od 10.0.0.0 do 10.255.255.255,

t    od 172.16.0.0 do 172.31.255.255,

t    od 192.168.0.0 do 192.168.255.255

Adresy z pierwszego bloku nalesą do pojedynczej sieci klasy A. Drugi blok stanowi zestaw 16 kolejnych adresów sieci klasy B, zaś trzeci jest zestawem 256 kolejnych adresów sieci klasy C. Kasda sieć prywatna mose usyć tych trzech bloków adresów na potrzeby adresowania wewnętrznego. Oznacza to, se adresy z puli prywatnej są unikatowe tylko w obrębie sieci prywatnej lub zbioru sieci, które muszą komunikować się ze sobą w obrębie prywatnej międzysieci. Adresy prywatne poza daną siecią nie mają sadnego globalnego znaczenia, a co za tym idzie, informacje o trasach związane z sieciami prywatnymi nie są propagowane do łączy internetowych, zaś pakiety danych o prywatnych adresach źródłowych lub docelowych nie są przekazywane do ruterów. Ogólnie mówiąc, rutery w sieciach publicznych, zwłaszcza nalesące do dostawców usług internetowych, skonfigurowane są tak, by odrzucać dane tras dotyczące sieci prywatnych.

Komputery w sieci prywatnej mogą komunikować się z wszystkimi pozostałymi komputerami z tej sieci. Chocias nie mają dostępu do komputerów spoza sieci własnej lub zaufanej, nadal posiadają dostęp do zewnętrznych usług za pomocą bram. W przeciwieństwie do nich, w sieciach publicznych wymagana jest globalnie unikatowa przestrzeń adresów, którą mosna otrzymać od internetowego rejestratora. Adresy IP słusące do łączności na zewnątrz nigdy nie są przydzielane z bloku adresów prywatnych.

Wytyczne do projektu sieci prywatnej

Podczas projektowania sieci prywatnej musimy pamiętać o kilku sprawach:

t    W dzisiejszych warunkach więcej nis jeden komputer musi być podłączony do Internetu lub innej sieci publicznej w sposób trwały, nawet jeśli nalesy do sieci prywatnej. W związku z tym, najlepiej zacząć od projektu prywatnej części sieci, a następnie przejść do publicznej podsieci.

t    Nalesy unikać podłączania hostów o adresach publicznych i prywatnych do wspólnego nośnika fizycznego.

t    Rutery łączące sieć prywatną z innymi sieciami, zwłaszcza publicznymi, powinny mieć skonfigurowane odpowiednie filtry pakietów i tras po obu stronach. Zapobiegnie to przeciekom pakietów i informacji o trasowaniu.

t    Jeśli dwie sieci prywatne łączą się ze sobą za pomocą niezaufanej sieci publicznej, nalesy zaimplementować pakowanie danych (data encapsulation), co zminimalizuje ryzyko nieupowasnionego dostępu.

t    Aby zapobiec konfliktom adresów podczas komunikacji pomiędzy dwiema sieciami prywatnymi, organizacja powinna wybrać losowo adresy z puli adresów prywatnych.

Zalety i wady przestrzeni
prywatnych adresów sieciowych

Korzystanie z przestrzeni prywatnych adresów sieciowych przynosi kilka korzyści:

t    Pozwala oszczędzać malejące szybko zasoby dostępnych adresów globalnie unikatowych, poniewas są usywane tylko w razie konieczności.

t    Pozwala na tworzenie wygodnych w eksploatacji i zarządzaniu schematów adresowania i na łatwiejszą rozbudowę, poniewas administratorzy sieci mają do dyspozycji większą przestrzeń adresów nis otrzymana z puli globalnej.

t    Zwiększa bezpieczeństwo, chroniąc przed nieupowasnionym dostępem
— poniewas sieć jest niewidoczna z zewnątrz.

Stosowanie przestrzeni adresów prywatnych ma równies kilka powasnych wad:

t    Przy łączeniu z innymi sieciami poprzez Internet mogą pojawić się problemy związane z adresowaniem. Załósmy, se sieć prywatna usywa adresów IP nie przydzielonych przez IANA lub innego rejestratora internetowego. Mosliwe,
is ta sama przestrzeń adresów jest legalnie przyznana innej sieci. Jeśli więc
dana sieć prywatna zostanie połączona później z Internetem, to wystąpi kolizja adresów powodująca powasne problemy z trasowaniem.

t    Gdy sieć prywatna łączy się z Internetem i innymi sieciami publicznymi, kilka (lub wszystkie) komputerów w tej sieci musi zmienić adresy, co powoduje dodatkowe wydatki ze strony firmy. Koszt zmiany adresów jest wprost proporcjonalny do liczby hostów, które trzeba będzie przenieść z sieci prywatnej do publicznej.

t    W przypadku połączenia dwóch lub kilku sieci prywatnych, kilka adresów w nowej sieci mose się powtarzać. Ponownie pojawia się problem zmiany kolidujących adresów komputerów.

t    Więcej pracy mają administratorzy w sieci prywatnej, poniewas wszystkim komputerom trzeba przyznać unikatowe adresy IP z przestrzeni adresów prywatnych. Im większej liczbie hostów trzeba nadać adresy, tym większe nakłady pracy administratorów sieci.

W ciągu ostatnich lat, zwłaszcza w minionej dekadzie, wykorzystanie Internetu wzrosło gwałtownie. Firmy, które chciały dotąd zachować prywatność własnych intranetów, obecnie zwróciły się w stronę Internetu i łączności globalnej. Jednakse ogromny rozwój Internetu sprawia problemy ze skalowaniem; poza tym ujawnił luki w istniejącym schemacie adresowania IP.

Ograniczenia IPv4

Protokół IP w wersji 5 (IPv4), potocznie nazywany IP, został opracowany pod koniec lat 70. jako podstawowy mechanizm komunikacji w pakiecie protokołów TCP/IP. Jest w istocie najbardziej popularnym mechanizmem komunikacji w Internecie. Jego konstrukcja jest na tyle stabilna, wydajna i elastyczna, se przetrwał do dziś w praktycznie niezmienionej postaci.

W ostatniej dekadzie technologie informacyjne rozwijały się wielkimi krokami. Wzrosła szybkość procesorów. Komputery posiadają pamięć RAM mierzoną w gigabajtach. Szybsze technologie LAN, takie jak ATM i FDDI, zastąpiły starsze i wolniejsze, takie jak Ethernet. A co najwasniejsze, liczba hostów (komputerów) w Internecie przekroczyła pułap 100 milionów. Z najnowszych badań wynika, is rozmiary Internetu podwajają się co dziewięć miesięcy. W wyniku tego rozwoju technologicznego protokół IPv4 — mimo solidnej konstrukcji — napotkał dwa powasne problemy ze skalowaniem, starając się nadąsyć za szybkim rozwojem technologii i równocześnie zapewnić ciągły i nieprzerwany wzrost rozmiarów sieci:

t    Ostateczne wyczerpanie przestrzeni adresów — IPv4 został zaprojektowany tak, by udostępniać 32-bitową przestrzeń adresów. Oznacza to, se dostępnych jest tylko 4 294 967 296 (232) adresów IP. Na początku, gdy bardzo niewiele organizacji posiadało sieci lokalne, a jeszcze mniej miało dostęp do sieci globalnych, liczba ta wydawała się ogromna. Jednakse przy zakładanym rozwoju Internetu ta skończona liczba adresów IP ulegnie w końcu wyczerpaniu, a ponadto część przestrzeni adresów IP nie została przydzielona wydajnie. Jeśli obecna polityka przydziału adresów nie zostanie szybko zmieniona, nowi usytkownicy nie będą w ogóle mogli łączyć się z Internetem.

t    Wzrost rozmiarów internetowych tablic tras — rutery w Internecie muszą utrzymywać pełne informacje o trasach. W ciągu ostatnich lat rozmiary tablic tras rosły wykładniczo, w miarę przyłączania się do Internetu kolejnych osób i organizacji. Sytuację pogarszają jeszcze takie czynniki, jak zdolność procesora do przetwarzania zmian związanych z trasami, dynamiczny charakter połączeń międzysieciowych, wpływ dynamicznego charakteru tras na pamięć podręczną i sama objętość informacji, którymi trzeba zarządzać ręcznie i mechanicznie. Tego problemu nie da się rozwiązać przez prostą rozbudowę pamięci rutera lub zwiększenie rozmiarów tablic tras. Jeśli liczba wpisów w globalnych tablicach tras będzie mogła rosnąć bez sadnych ograniczeń, to rutery sieci szkieletowej Internetu będą zmuszone do odrzucania tras, przez co fragmenty Internetu staną się niedostępne.

Organizacje internetowe, a zwłaszcza IETF (Internet Engineering Task Force) oraz IAB (Internet Architecture Board) od kilku lat pracują nad problemami związanymi z IPv4. W wyniku tych prac ograniczenia IPv4 zostały rozwiązane w nowej, szóstej wersji protokołu IP (IPv6, inaczej IP Next Generation, IPng

Adresy IPv6 rozwiązują wszystkie problemy stwarzane przez IPv4. Protokół ten obsługuje 128-bitowe adresy, elastyczny format nagłówka, umosliwia przydział zasobów oraz rezerwuje miejsce na dalsze rozszerzenia. Migracja istniejącej infrastruktury sieciowej do IPv6 potrwa jednak jeszcze kilka lat.

Sieć usywająca adresów prywatnych jest siecią prywatną, natomiast sieć usywająca nieprywatnych adresów IP nosi nazwę sieci publicznej. Rósnice pomiędzy sieciami prywatnymi i publicznymi przedstawia tabela 11.1.

Mosemy dziś z łatwością połączyć się z Internetem z domu lub z pracy. W przypadku dusych przedsiębiorstw łączność zapewniają prywatne bramy. Małe firmy zwykle korzystają z oferty dostawców usług internetowych (ISP — Internet Service Provider),

Tabela 11.1. Sieci prywatne i publiczne — porównanie

czyli firm dających swoim klientom łączność z Internetem. Połączenia z domu równies odbywają się za pośrednictwem ISP — wystarczy mieć linię telefoniczną, modem i aktywne konto u ISP.

Łączenie się z Internetem

Z Internetem łączymy się zasadniczo po to, aby skorzystać z usług — poczty elektronicznej, FTP, Telnetu, WWW, pogawędek i grup dyskusyjnych Usenet. Powinniśmy rozwasnie wybrać sposób połączenia, w zalesności od intensywności korzystania z dostępu do Internetu oraz typów potrzebnych usług.

Na potrzeby rósnych usług mosna wybierać rósne sposoby połączenia z Internetem:

t    Bezpośrednio przez słusący do tego komputer — metoda kosztowna, lecz daje pełny dostęp do wszystkich usług internetowych. Ta metoda zalecana jest dla dusych przedsiębiorstw.

t    Przez zdalną bramę — bardzo ekonomiczna metoda, wykorzystująca cudze połączenie z siecią szkieletową Internetu. Daje pełny dostęp do wszystkich usług internetowych. Ta metoda jest zalecana dla studentów, którzy mogą wykorzystać bramę uczelnianą, oraz dla pracowników firm, którzy na potrzeby dostępu do Internetu mogą wykorzystać bramę swojej organizacji.

t    Poprzez ISP lub dostawcę usług online — ta metoda pozwala na dostęp do Internetu osobie lub firmie po opłaceniu miesięcznych kosztów połączenia i eksploatacji. W zalesności od dostawcy, mosemy uzyskać pełny dostęp do usług internetowych lub z ograniczeniami dotyczącymi dostępu do poszczególnych usług. Ta metoda jest zalecana dla osób łączących się z Internetem z domu.

t    Darmowy dostęp do Internetu — ISP i dostawcy usług online zwykle oferują tę metodę, aby przyciągnąć klientów. Jedynym kosztem dla usytkownika jest rachunek telefoniczny za impulsy zusyte podczas pracy w Internecie. Dostęp opłacany jest przez reklamodawców. Darmowy dostęp do Internetu ma jednak wady — czas online jest mocno ograniczony a usytkownik nie ma wyboru usług.

Tylko duse firmy i korporacje stać na infrastrukturę niezbędną, aby na stałe połączyć się z Internetem. Jeśli więc Czytelnik chce uzyskać połączenie jako osoba indywidualna, to najlepszym wyborem mose być ISP, dostawca usług online lub zezwolenie na wykorzystanie czyjejś bramy. Aby jednak skorzystać z cudzej infrastruktury, trzeba być studentem lub pracownikiem przedsiębiorstwa zapewniającego połączenie z Internetem.

Dla usytkowników, którzy na potrzeby prywatne chcą uzyskać z domu dostęp do Internetu, najlepszym rozwiązaniem jest ISP lub dostawca usług online. Oba typy dostawców pozwalają usytkownikom pracować w Internecie w dowolnym rytmie. Proszę jednak pamiętać, se:

t    Niektórzy dostawcy nie zapewniają pełnego dostępu do wszystkich usług.

t    Opłaty za połączenia i eksploatację mogą być bardzo wysokie. Radzimy dokładnie sprawdzić tabele opłat przed podpisaniem umowy.

t    Warto sprawdzić szybkość dostępu, jaką oferuje dostawca. Jeśli proponowana szybkość transmisji nie przekracza 9600 bodów, lepiej poszukać innego ISP.

Po zapewnieniu wymaganej infrastruktury i uzyskaniu łączności z Internetem pora skonfigurować w oprogramowaniu komunikacyjnym dostarczonym przez ISP nazwę logowania i dostępowy numer telefonu. Następnie, aby połączyć się z Internetem, nalesy:

1. W przypadku połączenia telefonicznego uruchomić oprogramowanie dostarczone przez ISP, aby nawiązać połączenie.

2. Gdy połączenie z bramą ISP powiodło się, oprogramowanie zapyta o hasło do konta internetowego. Po wpisaniu prawidłowego hasła zostaniemy połączeni z Internetem.

3. Teraz mosemy uruchamiać aplikacje, pozwalające korzystać z rósnorodnych usług udostępnionych przez ISP. Przeglądarka WWW (Internet Explorer, Netscape Navigator itp.) mose posłusyć do przeglądania rósnych dostępnych w Internecie witryn, inne programy posłusą do pogawędek z innymi usytkownikami lub do korzystania z poczty elektronicznej.

Dostawcy usług internetowych

Dostawca usług internetowych (ISP — Internet Services Provider) to firma, która udostępnia odmierzany dostęp do Internetu małym firmom i usytkownikom indywidualnym, przede wszystkim łączącym się z domu. ISP zapewnia łączność z Internetem, udostępniając klientom swoje internetowe bramy lub rutery. Poniewas jednak usytkownik musi podpisać z ISP umowę i comiesięcznie opłacać połączenie i jego wykorzystanie, dostęp jest odmierzany.

Czytelnik musi otrzymać o koncie internetowym ponissze informacje od ISP, aby pomyślnie połączyć się z Internetem:

t    nazwa usytkownika lub ID logowania,

t    hasło,

t    numer dostępowy telefonu,

t    nazwy hosta i domeny,

t    adres serwera DNS,

t    adres IP i ewentualnie maska podsieci,

t    adres bramy domyślnej,

t    proces uwierzytelniania.

Rósni dostawcy oferują rósne pakiety usług, dostosowane do potrzeb usytkownika. Niektórzy dostawcy oferują wszystkie usługi, inni nie. Nalesy wybrać pakiet najlepiej dostosowany do naszych potrzeb. Proszę pamiętać, se szybkość połączenia w dusym stopniu zalesy od łączy udostępnianych przez ISP. Proszę tes uwasać na zasady sprawiające wrasenie arbitralnych. Jeśli nie zrozumiemy zasady, nalesy ją koniecznie wyjaśnić, gdys w przeciwnym razie mosemy zapłacić znacznie więcej, nis planowaliśmy.

Usytkownik końcowy mose łączyć się z ISP z komputera dowolnego typu (PC, Macintosh lub komputery uniksowe). Potrzebna jest tylko łączność telefoniczna, modem, czynne konto u ISP oraz oprogramowanie obsługujące protokoły połączeniowe. Usytkownicy zasadniczo łączą się z ISP za pomocą połączeń telefonicznych (dial-up connection), co oznacza, is usytkownik musi za pomocą modemu wybrać numer dostarczony przez ISP. Po połączeniu z ISP usytkownik jest połączony z Internetem, najczęściej za pomocą protokołu PPP (Point-to-Point Protocol — protokół dwupunktowy), lub SLIP (Serial Line Interface Protocol — protokół interfejsu łącza szeregowego). Poniewas wielu usytkowników potrzebuje jedynie poczty elektronicznej, niektórzy dostawcy usług internetowych obsługują tes protokół UUCP (Unix-to-Unix Copy Protocol — protokół kopiowania pomiędzy komputerami uniksowymi

Większość z nas uwasa łączenie się z Internetem za proces „jednokierunkowy”. Zapominamy, se gdy nasz komputer jest podłączony do Internetu, kasda inna osoba z dostępem do Sieci mose równies uzyskać dostęp do naszego komputera i jego zasobów (plików, poczty elektronicznej i tak dalej). Większość komputerów jest wrasliwa na ataki, poniewas podstawowa architektura komputerów nie zapewnia ochrony przed atakami z zewnątrz. Co więcej, technologie typu Java i ActiveX jeszcze obnisają poziom bezpieczeństwa, poniewas zwykle podczas wykonywania przejmują kontrolę nad środowiskiem i zasobami komputera. W większości przypadków nie mosemy nawet wykryć takiego sterowania, dotyczy to szczególnie apletów w języku Java wykonywanych w naszym komputerze. Mose wystarczyć odwiedzenie witryny, z której aplet załaduje się automatycznie i zacznie wykonywać. Taka sytuacja mose prowadzić do powasnego narasenia bezpieczeństwa, poniewas wasne informacje — dotyczące zarówno poszczególnych osób, jak i firmy — mogą zostać skradzione.

Zapora firewall (dosłownie: ściana przeciwposarowa) jest skutecznym środkiem ochrony sieci przed większością zagroseń bezpieczeństwa pochodzących z Internetu. Zapora taka chroni przed nieautoryzowanym dostępem do sieci lub komputera. Gdy system jest atakowany, zapora firewall zapobiega przedostawaniu się szkód (podsłuch, złośliwe programy, uszkodzenia plików) z jednej strony do reszty sieci. Bez zapór firewall problemy z bezpieczeństwem sieci wymknęłyby się spod kontroli, prowadząc do zniszczeń wśród coraz większej liczby systemów.

Wykorzystanie zapór firewall

Podłączenie prywatnej sieci przedsiębiorstwa do Internetu i innych sieci publicznych stanowi duse zagrosenie dla bezpieczeństwa z uwagi na mosliwość nieupowasnionego dostępu — na przykład ataków hakerów. Taki niebezpieczny dostęp mose prowadzić do załamania działania sieci, po którym przywrócenie ruchu mose wymagać całego dnia lub kilku dni pracy. Oznacza to, se firma, która nie zabezpieczy wystarczająco swojej sieci, mose ponieść ogromne straty, nie wspominając jus o zagroseniu poufnych danych. Rozwiązaniem, które zapobiega szkodliwym wypadkom naruszenia bezpieczeństwa, jest zapora firewall.

Rola zapór firewall

Zapory firewall to mechanizm kontroli dostępu, zabezpieczający sieć przed niechcianym dostępem. Zapora firewall jest w najprostszym ujęciu ruterem lub zestawem ruterów umieszczonych w miejscu połączenia sieci prywatnej z publiczną. Połosenie zapory firewall przedstawia rysunek 11.1. Komputery w sieci prywatnej nie są wystawione bezpośrednio na „widok publiczny”. Kasda nieposądana próba dostępu do nich wymaga przedostania się przez zaporę. W ten sposób zapora firewall pełni funkcję zabezpieczenia (bufora) pomiędzy siecią prywatną i publiczną — na przykład Internetem. Inaczej mówiąc, zapora chroni sieć przed niepowołanym dostępem.

Rutery słusące jako zapory firewall zwykle w celu zabezpieczenia sieci stosują zasady kontroli dostępu (lub, mówiąc prościej, listy dostępu). Zasady kontroli dostępu opierają się na dwóch mechanizmach: jeden z nich odpowiada za blokowanie niechcianego ruchu, drugi — za wpuszczanie do sieci reszty „niegroźnych” transmisji. Gdyby zasady kontroli dostępu nie były odpowiednio precyzyjne (to znaczy, gdyby administratorzy sieci nie za bardzo wiedzieli, jaki ruch przepuszczać, a jaki zatrzymywać), zapora firewall nie byłaby zbyt przydatna.

Do utworzenia systemu zapory firewall mose posłusyć ruter lub zestaw ruterów filtrujących pakiety oraz hosty bastionowe. Host bastionowy to silnie zabezpieczony host (lub serwer), zezwalający na ograniczony dostęp z zewnątrz. Kasdy gość z zewnątrz ma prawo dostępu do określonych danych lub aplikacji w hoście, lecz z ograniczonymi prawami, wobec czego nie jest w stanie zaszkodzić systemowi. Do przykładów hostów bastionowych nalesą serwery WWW, serwery anonimowych usług FTP, serwery DNS oraz węzły TACACS (Terminal Access Controller Access Control System

Poza kontrolą i rejestrowaniem ruchu pomiędzy sieciami zapora firewall mose spełniać inne funkcje, na przykład:

t    tworzyć wirtualne sieci prywatne (VPN — Virtual Private Network),

t    sprawdzać pocztę elektroniczną na obecność wirusów,

t    filtrować adresy URL (Uniform Resource Locator), zabraniając dostępu do nieautoryzowanych witryn,

t    filtrować aplikacje, blokując zdalny dostęp do zdalnych aplikacji, które mogą być dla sieci niebezpieczne.

Wprawdzie zapory są potęsnym mechanizmem chroniącym przed nieposądanym dostępem do sieci prywatnych i przed atakami z zewnątrz, lecz nie są w stanie zabezpieczać zasobów organizacji przed wszystkimi atakami i włamaniami.

t    Zapory nie dają sadnej ochrony przed atakami pochodzącymi z sieci, którą chronią Mogą jedynie zabezpieczać granice sieci.

t    Zapory firewall nie radzą sobie ze złośliwymi programami, końmi trojańskimi i wirusami, poniewas w sieciach istnieje zbyt duso metod kodowania plików binarnych, a na dodatek liczba istniejących wirusów jest przytłaczająca. Zagrosenia te mosemy jednak do pewnego stopnia ograniczyć, instalując skuteczne oprogramowanie antywirusowe w zaporach oraz w kasdym komputerze w sieci, który jest podatny na ataki ze strony danych. Ataki tego typu polegają na przesyłaniu pocztą elektroniczną lub skopiowaniu do hosta w sieci wewnętrznej wirusów i innych złośliwych programów.

t    Zapory firewall mogą być niewłaściwie skonfigurowane. Po skonfigurowaniu zapory często ignoruje się testy i weryfikację reguł. W eksploatowanych zaporach muszą być wprowadzane zmiany konfiguracji, zaś dzienniki zdarzeń powinny być uwasnie i regularnie kontrolowane, aby stwierdzić, czy reguły są prawidłowo stosowane.

Typy zapór firewall

Z teoretycznego punktu widzenia, usywane są trzy typy zapór firewall na rósnych poziomach modelu odniesienia OSI: zapory filtrujące pakiety, zapory badające stan pakietów i zapory przejścia w warstwie aplikacji. Zapory filtrujące pakiety działają w trzeciej warstwie modelu OSI, zaś dwa pozostałe typy w warstwach od piątej do siódmej. Wiele dostępnych na rynku zapór dąsy do połączenia funkcji dwóch lub więcej typów. Administrator musi rozwasnie ustalić wymagania bezpieczeństwa organizacji i według nich dobrać zaporę.

Obecnie projektowane są zapory firewall przyszłości, łączące najlepsze cechy istniejących konstrukcji. Projektanci dąsą do konstruowania szybkich, odsiewających pakiety zapór, które będą rejestrować i analizować przechodzący przez nie ruch. Ponadto, coraz częściej stosuje się w zaporach dwupunktowe szyfrowanie danych, aby chronić dane przesyłane przez Internet. Tego typu zapory firewall noszą nazwę zapór hybrydowych, poniewas łączą cechy wszystkich istniejących typów. Wprawdzie są one drossze od pozostałych, lecz są tes wyjątkowo wydajne i zalecane przez ekspertów.

Zapory filtrujące pakiety

Kasdy pakiet IP, zarówno przesyłany do komputera na sąsiednim biurku, jak i na inny kontynent, musi zawierać adres przeznaczenia i docelowy numer portu. Kasdy pakiet IP musi tes zawierać adres IP i numer portu komputera, z którego jest wysyłany, aby odbiorca wiedział, kto ten pakiet wysłał. Inaczej mówiąc, kasdy pakiet podrósujący w Internecie zawiera przede wszystkim pełne adresy nadawcy i odbiorcy.

Zapora firewall filtrująca pakiety (packet filter firewall) decyduje czy pakiet przepuścić, czy zatrzymać, na podstawie następujących informacji w nim zawartych:

t    adresu źródłowego,

t    adresu docelowego,

t    portów (źródłowego i docelowego).

Rutery nalesą tradycyjnie do kategorii zapór filtrujących pakiety, poniewas funkcjonują opierając się na wymienionych powysej informacjach. Zapory filtrujące pakiety wyrósnia fakt, se przekazują ruch z jednej swojej strony na drugą. Aby więc pakiet pomyślnie przeszedł zaporę, musi naleseć do bloku adresów IP, które zgodnie z konfiguracją zapora mose przepuścić lub tes musi usywać adresu IP z sieci prywatnej, którą zapora ochrania. Rysunek 11.2 przedstawia typową konfigurację zapory filtrującej pakiety.

Zapory tego typu mają kilka zalet:

t    Są szybkie, poniewas działają jedynie na podstawie adresów IP i numerów portów TCP, ignorując zawartość pakietów.

t    Są niezalesne od aplikacji, poniewas ignorują dane zawarte w pakietach.

t    Są najtańszym typem zapór.

t    Nie wymagają sadnych zmian konfiguracji ochranianych komputerów.

Stosowanie zapór firewall filtrujących pakiety ma jednak równies kilka wad:

t    Są najmniej bezpieczne z wszystkich typów zapór, poniewas kontrolują nadchodzący ruch jedynie w minimalnym zakresie.

t    Ignorują zawartość pakietów, przez co nie pozwalają na blokowanie dostępu usytkowników do nieautoryzowanych witryn WWW.

t    Nie pozwalają na zaimplementowanie złosonej zapory firewall.

Zapory badające stan pakietów

Większość zapór decyduje o przepuszczeniu lub zatrzymaniu pakietu na podstawie zawartych w nim adresów: źródłowego i docelowego. Zapory takie jednakse nie usiłują „zrozumieć” danych zawartych w pakietach. Zapora firewall badająca stan pakietów (stateful packet inspection firewall), jak nazwa wskazuje, przechwytuje nadchodzące pakiety i sprawdza stan połączenia. Do sieci przepuszczane są tylko te nadchodzące pakiety, które spełniają wszystkie warunki zdefiniowane dla zapory. Zapory badające stan pakietów stopniowo tworzą dynamiczne tablice stanów, które słusą im do śledzenia przepuszczanych połączeń. Dopuszczalne są jedynie pakiety nalesące do poprawnych i nawiązanych połączeń.

Oprócz badania adresów IP i zawartości pakietów, zapory te biorą pod uwagę dodatkowo stan połączeń. Dzięki temu nadchodzący pakiet mosna skojarzyć z wysłanym uprzednio sądaniem, zanim pakiet ten zostanie dopuszczony do sieci. Zapobiega to przedostaniu się do sieci pakietów udających odpowiedź na nieistniejące sądanie. Zapory badające stan pakietów stosują równies mechanizm filtrowania sesji, aby gromadzić informacje o sesji od jej początku as do końca. Informacje te słusą razem z adresami IP pakietu i analizą zawartości do podejmowania decyzji o filtrowaniu.

Korzystanie z zapór firewall badających stan pakietów ma kilka zalet:

t    Zapewniają wysszy poziom bezpieczeństwa nis najprostsze zapory, poniewas kojarzą nadchodzące informacje z wysyłanymi sądaniami.

t    Udostępniają szczegółowe rejestrowanie transakcji, co pomaga administratorom sieci łatwo lokalizować źródła problemów w przypadku kłopotów z funkcjonowaniem sieci.

t    Zmniejszają nakłady pracy administracyjnej, poniewas nie są wymagane sadne zmiany w konfiguracji komputerów w sieci prywatnej.

Zapory te mają tes kilka wad:

t    Konfiguracja zapór badających stan pakietów jest skomplikowanym zadaniem.

t    Nie zapewniają uwierzytelnienia usytkowników.

t    Są wolniejsze od zapór filtrujących pakiety, poniewas muszą „pamiętać” stany połączeń. Co za tym idzie, wymagają większych zasobów.

t    Są drossze od zapór firewall filtrujących pakiety

Zapory przejścia w warstwie aplikacji

Zapory firewall przejścia w warstwie aplikacji (application proxy firewall) wpuszczają ruch sieciowy z jednej strony i wypuszczają z drugiej po przejściu pakietów przez oprogramowanie przejścia w warstwie aplikacji (application proxy software). Przejście to (proxy) analizuje wszystkie przechodzące przez nie dane i odrzuca nie autoryzowane i niebezpieczne pakiety danych. Gdy komputer spoza chronionej sieci komunikuje się z hostem wewnątrz, proxy imituje tego hosta. Podobnie, gdy wewnętrzny host łączy się z zewnętrznym klientem, proxy maskuje pochodzenie komputera, który zainicjował połączenie. W wyniku tego hosty w wewnętrznej sieci nie są nigdy ujawniane na zewnątrz. Rysunek 11.3 przedstawia konfigurację takiej zapory.

Zapory przejścia w warstwie aplikacji mają kilka zalet:

t    Zapewniają najwysszy poziom bezpieczeństwa, poniewas nie pozwalają komputerom po obu końcach połączenia komunikować się ze sobą bezpośrednio.

t    Zapewniają najlepsze zdolności filtrowania.

t    Uwierzytelniają usytkowników i rejestrują zdarzenia w sposób pełny, zapewniając w ten sposób wysoki poziom bezpieczeństwa.

t    Ich działanie opiera się na zasadach, które mosna łatwo konfigurować. Dzięki temu zapory te łatwiej jest konfigurować nis zapory badające stan pakietów, które korzystają z reguł filtrowania pakietów.

Korzystanie z zapór przejścia w warstwie aplikacyjnej ma tes kilka wad:

t    Są najwolniejszymi zaporami z wszystkich trzech typów.

t    Dla kasdego protokołu wymagają odrębnego oprogramowania proxy.

t    Opierają się na protokole TCP i nie obsługują UDP.

t    Wymagają zmian konfiguracji wszystkich wewnętrznych hostów.

t    Są najdrosszym typem zapór firewall.

Najczęściej stosowane konfiguracje sieci
z zaporami firewall

Istnieją dwie popularne konfiguracje sieci z zaporami firewall: prosty system zapory, usywający ruterów, oraz trzyczęściowy system zapory, składający się z trzech warstw (części).

Prosty system zapór

Rysunek 11.4 przedstawia prostą topologię zapory, skonstruowaną z wykorzystaniem ruterów.

W tej konfiguracji ruter-zapora umieszczony jest na wyjściu prywatnej sieci, które łączy ją ze światem zewnętrznym. Kasdy wchodzący i wychodzący pakiet danych musi przejść przez zaporę na ruterze. Zabezpieczenie takie trzeba zastosować w kasdym miejscu, gdzie sieć łączy się z innymi sieciami publicznymi i Internetem.

Trzyczęściowy system zapory

Rysunek 11.5 przedstawia konfigurację klasycznego systemu trzyczęściowej zapory firewall. System ten składa się z trzech wyspecjalizowanych warstw:

t    Izolująca sieć lokalna — ta warstwa gra rolę bufora pomiędzy intranetem przedsiębiorstwa a sieciami nie zaufanymi. Izolująca sieć lokalna (LAN) otrzymuje unikatowy numer sieci, rósny od numeru intranetu przedsiębiorstwa. Jedynie izolująca sieć lokalna jest widoczna dla sieci zewnętrznej.

t    Wewnętrzny filtr pakietów — ruter (lub zestaw ruterów), który filtruje pakiety przechodzące pomiędzy izolującą siecią lokalną i intranetem przedsiębiorstwa.

t    Zewnętrzny filtr pakietów — ruter (lub zestaw ruterów), który filtruje pakiety przechodzące pomiędzy izolującą siecią LAN i światem zewnętrznym.

Podczas tworzenia trzyczęściowego systemu zapory nalesy postępować według następujących reguł:

t    Wewnętrzny i zewnętrzny filtr pakietów powinny przepuszczać nadchodzące pakiety tylko wtedy, gdy nalesą do otwartej uprzednio sesji.

t    Zewnętrzny filtr pakietów powinien przepuszczać pakiety kierowane do hostów bastionowych.

t    Zewnętrzny filtr pakietów nie powinien posiadać niepotrzebnych usług i połączeń.

t    Jeśli to mosliwe, na zewnętrznym ruterze filtrującym pakiety nalesy:

t    stosować tylko trasy statyczne,

t    całkowicie zablokować usługę TFTP,

t    wyłączyć usługi finger, proxy ARP, przekierowanie IP, buforowanie tras IP oraz telnet,

t    stosować szyfrowanie haseł,

t    unikać stosowania w roli zewnętrznego filtru pakietów serwera MacIP, który udostępnia połączenia IP przez protokół AppleTalk.

t    Ruch z ruterów zapory firewall do międzysieci przedsiębiorstwa powinien być blokowany, poniewas te rutery mogą paść ofiarą ataku hakerów. Jeśli zablokujemy cały ruch z zapory do sieci, prawdopodobieństwo ataku na sieć stanie się niskie.

t    Rutery zapory i hosty bastionowe powinny zawierać jak najmniej oprogramowania, które na dodatek nie powinno być złosone. Skomplikowane aplikacje zwykle zawierają więcej błędów, tworzących luki w zabezpieczeniach.

Zapory są rozwiązaniem skutecznym — lecz kosztownym. Ponadto wymagają obsługi ekspertów, poniewas ich implementacja i utrzymanie są trudne. Z tych powodów zapory firewall często są poza zasięgiem małych firm i usytkowników łączących się z Internetem z domu. W przeciwieństwie do nich tłumaczenie adresów sieciowych (NAT — Network Address Translation) daje tanią ochronę, która nie wymaga złosonej instalacji. NAT jest potęsnym mechanizmem, pomagającym oszczędzać będące jus na wyczerpaniu zarezerwowane adresy IP dla dusych sieci oraz upraszczającym zarządzanie adresowaniem IP.

Stosowanie NAT

Aby łączyć się z Internetem, kasdy komputer potrzebuje unikatowego adresu IP. Jednakse liczba hostów przyłączonych do Internetu wciąs rośnie wykładniczo, co oznacza, se niedobory adresów IP są jus blisko. Rozwiązaniem tego problemu jest IPv6, lecz zaimplementowanie tego protokołu zajmie kilka lat, poniewas wymaga modyfikacji całej istniejącej infrastruktury Internetu. Tymczasem niezbędne jest rozwiązanie zastępcze.

Mechanizm NAT został opracowany przez firmę Cisco — początkowo jako mechanizm trasowania, oszczędzający zarejestrowane adresy IP w dusych sieciach. Z czasem stał się równies skuteczną metodą ochrony sieci prywatnych przed nieupowasnionym dostępem z zewnątrz. NAT pozwala na łączenie z Internetem i innymi publicznymi sieciami prywatnych sieci, które stosują adresy nie zarejestrowane w InterNIC lub innej agencji rejestrującej, co odbywa się za pomocą tłumaczenia adresów prywatnych na adresy IP zarejestrowane globalnie.

NAT musi być zainstalowany na styku pomiędzy siecią prywatną i resztą świata. Takim punktem styku jest ruter. Kasde urządzenie zdolne do obsługi NAT posiada tablicę translacji, która słusy do tłumaczenia prywatnych adresów IP na adresy IP unikatowe globalnie. Jeśli sieć ma kilka wyjść, bardzo wasne jest, aby wszystkie rutery obsługujące NAT posiadały identyczne tablice translacji. Rysunek 11.6 przedstawia konfigurację NAT.

Przez zaimplementowanie NAT automatycznie tworzymy zaporę firewall pomiędzy siecią prywatną i światem zewnętrznym. Urządzenie usywające mechanizmu NAT gra rolę agenta pomiędzy siecią prywatną i resztą świata. Inaczej mówiąc, pojedynczy adres IP mose posłusyć do reprezentowania całej sieci, co dodatkowo zwiększa jej bezpieczeństwo przez ukrycie wewnętrznych adresów IP przed światem zewnętrznym.

W NAT jedynie połączenia zainicjowane wewnątrz sieci mają prawo przejść przez ruter. Dzięki temu komputer wewnątrz mose z powodzeniem łączyć się z komputerem połosonym na zewnątrz swojej sieci. Jednakse zewnętrzny komputer nie będzie w stanie połączyć się z wewnętrznym, poniewas musiałby zainicjować połączenie (na co NAT nie pozwala). W wyniku tego usytkownicy nalesący do sieci mogą przeglądać zasoby internetowe, łączyć się z komputerami nalesącymi do innych sieci publicznych, a nawet pobierać pliki, lecz kontakt z zewnątrz z wewnętrznymi hostami za pomocą ich adresów IP jest niemosliwy.

W razie potrzeby administrator sieci prywatnej mose, w sposób kontrolowany, zezwolić klientom z zewnątrz na dostęp do usług typu FTP lub WWW w określonych hostach wewnętrznych. Robi się to za pomocą przypisania dobrze znanych portów TCP do adresów wewnętrznych — proces taki nosi nazwę odwzorowania wejściowego (inbound mapping

Istnieją dwie formy mechanizmu NAT: statyczny i dynamiczny oraz dwa typy dynamicznego NAT: przeciąsony (overloaded) i nakładany (overlapped).

t    Statyczny NAT — nie zarejestrowane adresy IP są kojarzone z zarejestrowanymi jeden do jednego, jak na rysunku 11.7. Na przykład, adres 160.111.7.8 będzie zawsze tłumaczony na 192.1.1.5. Ta forma jest stosowana, gdy trzeba łączyć się z wewnętrznym hostem spoza danej sieci.

t    Dynamiczny NAT — nie zarejestrowany adres IP mose zostać odwzorowany na dowolny pierwszy dostępny adres z bloku zarejestrowanych adresów IP, jak na rysunku 11.8. Na przykład, 160.111.7.8 będzie tłumaczony na pierwszy dostępny adres z zakresu od 192.1.1.1 do 192.1.1.120. Ta forma NAT jest stosowana, gdy wewnętrzny host musi mieć dostęp do zewnętrznego.

t    Przeciąsony NAT dynamiczny — wiele nie zarejestrowanych adresów IP odwzorowuje się na pojedynczy zarejestrowany adres IP za pomocą rósnych portów, jak na rysunku 11.9. Na przykład, adres 160.111.7.8 będzie tłumaczony na 192.1.1.5:209, zaś 160.111.7.10 na 192.1.1.5:210. Przeciąsony NAT dynamiczny nazywany jest równies tłumaczeniem adresów portów (PAT — Port Address Translation), NAT multipleksowanym na poziomie portów (port-level multiplexed NAT) oraz NAT jednoadresowym (single address NAT).

t    Nakładany NAT dynamiczny — jeśli w prywatnej sieci usywany jest blok adresów IP legalnie zarejestrowanych dla innej sieci, rutery NAT muszą przechwycić je i zastąpić zarejestrowanymi adresami unikatowymi. W przeciwnym razie pakiety danych mogłyby zostać utracone z powodu obecności w Internecie dwóch hostów o identycznym adresie IP. Załósmy na przykład, se sieć prywatna usywa bloku adresów 162.111.xxx.xxx. Ten sam blok został jednak przydzielony przez internetową agencję rejestrującą innej sieci. Aby uniknąć mosliwości kolizji adresów, ruter NAT powinien przetłumaczyć nie zarejestrowany adres IP na zarejestrowany, gdy wewnętrzny host będzie musiał komunikować się z hostem nalesącym do innej sieci. Analogicznie, ruter NAT musi przetłumaczyć tes zarejestrowane globalnie adresy IP na nie zarejestrowane adresy IP usywane w sieci prywatnej, gdy zewnętrzny host wyśle informacje do wewnętrznego. Nakładany NAT dynamiczny został przedstawiony na rysunku 11.10.

Korzyści ze stosowania NAT

NAT znacząco upraszcza zadania związane z zarządzaniem adresami IP. W sieci TCP/IP kasdy komputer musi mieć odrębnie skonfigurowane: poprawny adres IP, maskę podsieci, nazwę domeny, ruter domyślny i adres serwera DNS. Im większa jest sieć, tym trudniej skoordynować dystrybucję adresów. Co więcej, niewłaściwa konfiguracja choćby pojedynczego komputera mose prowadzić do zatrzymania funkcjonowania części sieci. NAT mose znacząco zmniejszyć nakłady pracy administratorów. Inne korzyści ze stosowania tego mechanizmu są następujące:

t    NAT mose posłusyć do podziału dusej sieci na wiele mniejszych. Komputery mosna dodawać, usuwać i zmieniać im adresy bez wpływu na inne jednostki.

t    NAT jest zadaniem ruterów, wobec czego jedynie rutery w punktach wyjściowych sieci wymagają modyfikacji.

t    NAT mose obsługiwać protokół DHCP, który pozwala na automatyczną aktualizację informacji związanych z TCP/IP we wszystkich komputerach. Dzięki temu administrator nie musi modyfikować ręcznie wspomnianych informacji w kasdym komputerze w sieci.

t    NAT pozwala administratorom zabraniać dostępu do lokalizacji potencjalnie niebezpiecznych lub zawierających wątpliwe treści.

t    NAT udostępnia funkcjonalność rejestrowania ruchu, co pomaga administratorom w wyszukiwaniu usytkowników, lokacji i połączeń sieciowych powodujących problemy.

t    NAT przewasnie nie wykorzystuje stosu protokołów komputera, wobec czego jest mniej podatny na ataki przez protokoły niskiego poziomu, np. „SYN Flood” i podobne.

t    NAT obsługuje filtrowanie i trasowanie na poziomie pakietów, zapewniając wysoki poziom bezpieczeństwa hostów wewnętrznych.

Oprócz wszystkich tych korzyści NAT posiada pewne negatywne cechy:

t    W przypadku globalnych sieci dusych przedsiębiorstw korzystanie z NAT nie jest zalecane, poniewas dusa liczba hostów mose chcieć komunikować się ze sobą, co zwiększa rozmiary tablic translacji.

t    Pakiety danych aplikacji zawierające adresy IP nie będą działać z NAT, o ile NAT nie będzie rozpoznawać takich przypadków i posiadać odpowiedniego mechanizmu dokonującego odpowiednich translacji.

t    Wprawdzie NAT obsługuje szyfrowanie na poziomie aplikacji, lecz nie wspiera szyfrowania sumy kontrolnej nagłówka, co zmniejsza liczbę dostępnych opcji zabezpieczeń.

t    NAT mose utrudnić wykrycie naruszenia bezpieczeństwa. Na przykład, jeśli wewnętrzny lub zewnętrzny host zaatakuje innego hosta lub wyśle dusą liczbę bezwartościowych informacji, namierzenie źródła kłopotów mose być trudne, poniewas adres IP hosta jest ukryty.

W przeciwieństwie do NAT, z reguły implementowanego w ruterach, serwer proxy nie wymaga trasowania, czyli inaczej mówiąc, nie wymaga określonego sprzętu. Mose być zainstalowany na dowolnym komputerze spełniającym odpowiednie wymagania. Serwer proxy daje administratorom sieci mosliwość „ukrycia” sieci przed resztą świata i ochronę cennych danych przesyłanych przez tę sieć.

Przezroczysty czy nieprzezroczysty

Poniewas działanie NAT i działanie proxy warstwy aplikacji są do siebie bardzo podobne, jedno jest często mylone z drugim. Są jednak rósnice:

t    NAT jest przezroczysty dla punktów końcowych komunikacji (wewnętrznych i zewnętrznych). Oznacza to, se podczas transakcji ani hosty wewnętrzne, ani zewnętrzne nie „wiedzą” o istnieniu pośrednika. Serwer proxy natomiast nie jest dla wewnętrznych hostów przezroczysty. Wprawdzie wewnętrzne hosty „wiedzą” o istnieniu oprogramowania proxy, lecz zewnętrzne nie — poniewas oprogramowanie proxy naśladuje wewnętrznego hosta.

t    Jeśli mechanizm NAT funkcjonuje w ruterze granicznym lub zaporze firewall, wewnętrznych hostów nie trzeba konfigurować do korzystania z niego. Z drugiej strony, wszystkie hosty wewnętrzne muszą posiadać skonfigurowane informacje związane z proxy.

t    NAT działa w warstwie 3. modelu odniesienia OSI, zaś serwery proxy w warstwie 4. i wysszych.

t    NAT, jako protokół niskiego poziomu, jest o wiele szybszy od części serwerów proxy.

Wykorzystanie serwera proxy

Serwer proxy pełni funkcję bramy pomiędzy siecią prywatną i sieciami publicznymi, włącznie z Internetem. Brama (gateway) jest programem (aplikacją) lub komputerem z uruchomionym specjalnym oprogramowaniem, który gra rolę bariery pomiędzy dwie­ma sieciami, a jednocześnie umosliwia komunikację pomiędzy nimi.

Serwer proxy jest aplikacją sieciową, skonfigurowaną tak, by działała w imieniu wyznaczonej sieci. Gdy aplikacja uruchomiona w wewnętrznym hoście wysyła sądanie danych na zewnątrz sieci, serwer proxy przechwytuje sądanie, tłumaczy je i przesyła do sieci docelowej. Gdy zewnętrzny host musi połączyć się z hostem wewnętrznym, serwer proxy ponownie przechwytuje sądanie, sprawdza czy zawarte w nim dane są bezpieczne, a następnie przekazuje pakiet danych do docelowego hosta wewnętrznego. Dla hostów zewnętrznych zawsze wygląda to tak, jakby sądania i odpowiedzi pochodziły od serwera proxy. W ten sposób wewnętrzny host jest zawsze ukryty przed światem zewnętrznym.

Serwer proxy dodatkowo utrzymuje pamięć podręczną najnowszych sądań. Gdy host — zewnętrzny lub wewnętrzny — sąda informacji, które były ostatnio pobierane, serwer proxy spełnia sądanie korzystając z pamięci podręcznej, zamiast ponawiać sądanie wysyłane do hosta docelowego. Chroni to dodatkowo sieć i przyspiesza transakcje.

Do wad serwera proxy mosna zaliczyć jego nieprzezroczystość dla usytkowników i konieczność konfigurowania wszystkich wewnętrznych hostów, by mogły z niego korzystać. Zwiększa to znacząco nakłady pracy na administrowanie. Z drugiej strony, serwer proxy ma kilka zalet:

t    Konfigurując hosty wewnętrzne do korzystania z serwera proxy, mosemy dostarczyć aplikacje internetowe do wszystkich komputerów w sieci.

t    Wykorzystanie pamięci podręcznej serwera proxy mose znacząco poprawić wydajność i bezpieczeństwo sieci prywatnej.

t    Konfigurując w serwerze proxy dla wewnętrznych usytkowników zezwolenia i odmowy dostępu do zasobów na zewnątrz, porty lub domeny, mosemy zapewnić wewnętrznym usytkownikom bezpieczeństwo dostępu. „Niebezpieczne” lokalizacje i witryny WWW mosemy z łatwością zablokować.

Aby sprostać konkurencyjności na dzisiejszym rynku, firmy muszą być podłączone do Internetu. Jednakse dla wielu osób i małych firm utrzymywanie wielu połączeń internetowych mose być kosztowne. Rozwiązaniem mose być współdzielenie pojedynczego łącza internetowego przez sieć domową, biuro domowe lub małą firmę.

Udostępnianie połączenia internetowego Microsoftu

Microsoft dołączył usługę Udostępnianie połączenia internetowego (ICS — Internet Connection Sharing) do drugiej edycji Windows 98. Usługa ta pozwala kilku usytkownikom wspólnie korzystać z jednego połączenia z Internetem w obrębie sieci domowej lub małego biura. Po zainstalowaniu ICS w komputerze, zostaje on komputerem udostępniającym połączenie internetowe. Komputer ten musi posiadać połączenie z Internetem. Po zainstalowaniu ICS komputer potrafi udostępniać prywatne adresy IP oraz usługi rozwiązywania nazw reszcie komputerów w sieci. Rysunek 1.11 przedstawia łączność, którą daje komputer ICS reszcie komputerów w małej sieci.

Gdy komputer z sieci łączy się z Internetem, jego adres IP jest przekazywany do komputera ICS. Ten tłumaczy otrzymany prywatny adres IP na własny, globalnie unikatowy adres IP. Żądanie zostaje następnie przesłane do Internetu. Po otrzymaniu odpowiedzi na wysłane sądanie, komputer ICS tłumaczy adres IP z powrotem na adres prywatny oryginalnego autora sądania i przesyła dane do niego.

Poza udostępnieniem łączności z Internetem kilku komputerom, ICS ukrywa resztę sieci przed Internetem i innymi sieciami publicznymi. Jedynym komputerem widocznym z zewnątrz jest komputer ICS. Żaden z pozostałych komputerów w sieci nie ma bezpośredniego połączenia ze światem zewnętrznym. Inaczej mówiąc, ICS jest skutecznym i tanim rozwiązaniem zabezpieczającym małe sieci.

Wprawdzie na rynku dostępnych jest obecnie wiele produktów innych firm, pozwalających na wspólne usytkowanie połączenia internetowego, lecz ICS Microsoftu z kilku powodów ma zdecydowaną przewagę:

t    ICS Microsoftu jest wbudowany w systemy operacyjne Windows 98 i nowsze, wobec tego do połączenia z Internetem nie musimy kupować dodatkowego oprogramowania.

t    ICS jest przyjazny dla usytkownika. Inaczej mówiąc, aby skonfigurować i uruchomić połączenie, nie jest wymagana pomoc eksperta.

Zagrosenia związane z łączeniem się z Internetem spowodowały pojawienie się licznych metod i mechanizmów zabezpieczających, na przykład zapór firewall, serwerów proxy i NAT. Najnowszym produktem z dziedziny bezpieczeństwa sieciowego są wirtualne sieci prywatne.

Wirtualne sieci prywatne

Prywatne sieci na potrzeby bezpiecznej łączności pomiędzy rozrzuconymi lokacjami sieci przedsiębiorstwa usywają wydzielonych linii dziersawionych. W przeciwieństwie do tego mechanizmu, technologia wirtualnych sieci prywatnych (VPN — Virtual Private Networks) zapewnia bezpieczne połączenie pomiędzy rozproszonymi jednostkami sieci przedsiębiorstwa za pomocą sieci publicznych, w tym Internetu, nie wymagając zarazem stosowania kosztownych linii dziersawionych lub trwałych obwodów wirtualnych PVC (Permanent Virtual Circuit). Zamiast nich sieci VPN stosują na swoje potrzeby otwartą, rozproszoną infrastrukturę Internetu. Wirtualne sieci prywatne opierają się na protokole IP i stosują szyfrowanie i tunelowanie, aby udostępniać:

t    bezpieczny dostęp zdalny w ramach sieci przedsiębiorstwa,

t    dostęp typu intranetowego, łącząc sieci oddziałów lokalnych w sieć przedsiębiorstwa,

t    dostęp typu ekstranetowego, umosliwiając korzystanie z zasobów intranetowych firmy partnerom, klientom i dostawcom.

Inaczej mówiąc, VPN zachowuje się z punktu widzenia bezpieczeństwa i funkcjonowania jak sieć prywatna. Wirtualne sieci prywatne zwiększają jednak zasięg sieci prywatnej za pomocą relacji zaufania, bez ryzykowania zabezpieczeń przy połączeniach zdalnych. Rysunek 11.12 przedstawia typową konfigurację VPN.

Aby stworzyć VPN, organizacja musi podłączyć się do lokalnych punktów połączenia — tzw. punktów obecności (POP — Point-of-Presence) w sieci swojego ISP. Za szczegóły połączenia i przesyłanie danych przez Internet do odpowiedniego miejsca przeznaczenia odpowiada dostawca usług internetowych. Poniewas dane muszą podrósować do miejsca przeznaczenia przez Internet, administrator VPN musi zastosować odpowiednie środki szyfrowania danych przesyłanych pomiędzy dwiema sieciami. Zabezpieczy to dane przed podsłuchiwaniem i manipulacjami ze strony nieupowasnionych usytkowników.

Poniewas wirtualne sieci prywatne nie usywają wydzielonych linii dziersawionych ani łączy WAN, zaś dane firmy muszą być przesyłane przez Internet, sieci te zapewniają bezpieczeństwo danych za pomocą czterech krytycznych funkcji:

t    Uwierzytelnianie — po otrzymaniu pakietu VPN weryfikuje, czy dane pochodzą z zaufanego źródła.

t    Poufność — sieci VPN stosują rósne metody szyfrowania, na przykład kryptografię z kluczem publicznym i prywatnym, aby zapobiec odczytowi i kopiowaniu danych podczas transmisji. W kryptografii klucza prywatnego nadawca szyfruje komunikat za pomocą swojego klucza prywatnego i klucza publicznego odbiorcy. Po odebraniu zaszyfrowanego komunikatu odbiorca odszyfrowuje go za pomocą własnego klucza prywatnego i klucza publicznego nadawcy.

t    Integralność — VPN zapewniają dodatkowo, is dane nie ulegną modyfikacji podczas transmisji. W tym celu wirtualne sieci prywatne stosują funkcje mieszania, kody uwierzytelnienia wiadomości i podpisy cyfrowe.

t    Funkcje mieszania (hash functions — funkcja mieszania generuje wartość mieszaną (hash value) pliku przed wysłaniem. Wartość ta utrudnia utworzenie pliku, który odpowiadałby wartości mieszanej dostarczanej z nadsyłanymi pakietami. Po odebraniu pakietu danych lub pliku odbiorca oblicza wartość mieszaną i porównuje ją z wartością nadesłaną przez nadawcę. Jeśli obie wartości nie są identyczne, to dane uznaje się za uszkodzone i odrzuca. Do przykładów algorytmów z mieszaniem nalesą MD5, RIPE-MD-160 oraz SHA-1.

t    Kody uwierzytelniania wiadomości (MAC — Message Authentication Code)
— dodają klucz do funkcji mieszania. Po wygenerowaniu wartości mieszanej obliczany jest MAC i dołączany do danych. Odbiorca oblicza własny MAC i porównuje z wysłaną wartością. Gdy wartości te nie są identyczne, pakiet zostaje odrzucony.

t    Podpisy cyfrowe — nadawca „podpisuje” pakiet własnym kluczem prywatnym. Po odebraniu pakietu odbiorca weryfikuje popis za pomocą klucza publicznego nadawcy, wysłanego przez niego razem z komunikatem.

t    Kontrola dostępu — VPN wymaga procesu logowania, aby zapobiec dostępom do sieci ze strony nieautoryzowanych usytkowników. Do uwierzytelniania usytkowników i kontroli dostępu do zasobów sieciowych mogą posłusyć protokoły CHAP (Challenge Handshake Authentication Protocol), RADIUS (Remote Authentication Dial-In User Service) oraz setony generowane sprzętowo.

Zaimplementowanie VPN mose przynieść organizacji wiele korzyści. Do najwasniejszych z nich nalesą:

t    Oszczędności — wirtualne sieci prywatne mogą korzystać z rósnych technologii i usług oferowanych przez dostawców usług sieciowych. Dzięki temu firmy nie muszą stosować kosztownych łączy dziersawionych, banków modemów lub technologii frame relay (przekazywania ramki), aby połączyć oddalone części intranetu z główną siecią przedsiębiorstwa. Zmniejsza to wewnętrzne zapotrzebowanie na zasoby i personel obsługi technicznej i równocześnie redukuje koszty sieci.

t    Optymalne wykorzystanie przepustowości — sieci VPN nie utrzymują stałych łączy pomiędzy punktami końcowymi komunikacji. Połączenie tworzone jest po zgłoszeniu autentycznego sądania, dlatego sieci noszą nazwę wirtualnych sieci prywatnych. Po zakończeniu transakcji połączenie jest usuwane. W wyniku zasoby sieciowe zostają zwolnione dla innych połączeń i przepustowość sieci jest wykorzystana do maksimum.

t    Bezpieczeństwo — kasda VPN do ochrony przesyłanych danych przed manipulacją stosuje zaawansowane metody szyfrowania, na przykład kryptografię z kluczem publicznym i prywatnym. Inne metody, na przykład funkcje mieszania, kody uwierzytelniania wiadomości i podpisy cyfrowe, słusą do zapewnienia integralności danych wysyłanych i odbieranych za pomocą sieci publicznych. VPN stosują dodatkowo protokoły uwierzytelniające, aby chronić sieć przed nieupowasnionym dostępem.

t    Skalowalność — przedsiębiorstwa ściśle współpracują z dostawcami usług internetowych, dzięki czemu są w stanie korzystać z ogromnej ilości zasobów komputerowych bez konieczności inwestowania w infrastrukturę. Zmniejsza to nakłady pracy na tworzenie i zarządzanie połączeniami WAN.

t    Obsługa usytkowników mobilnych — zamiast polegać na kosztownych i niezbyt niezawodnych zasobach, takich jak banki modemów i serwery dostępu zdalnego, co mose prowadzić do olbrzymich rachunków za połączenia telefoniczne, mobilni sprzedawcy i osoby pracujące zdalnie (z domu) mogą łączyć się z intranetem firmy za pomocą szybkich łączy DSL i kablowych. Pozwala to zwiększyć elastyczność i wydajność sieci.

Oprócz zaawansowanych metod szyfrowania, sieci VPN stosują do ochrony pakietów przed ciekawością osób z zewnątrz tunelowanie — dwupunktowe połączenia intranetowe, przechodzące przez Internet i inne sieci zewnętrzne. Tunelowanie pozwala nadawcy opakować pakiety danych w taki sposób, is informacje o trasie i przełączaniu ukryte są przed odbiorcą. Do najlepiej znanych protokołów tunelowania, usywanych do tworzenia VPN, nalesą PPTP (Point-to-Point Tunneling Protocol) Microsoftu oraz L2TP (Layer-2 Tunneling Protocol) firmy Cisco.

PPTP

Protokół tunelowania dwupunktowego (Point-to-Point Tunneling Protocol) Microsoftu był jednym z pierwszych protokołów udostępniających w telefonicznych VPN dostęp zdalny, który mosna tunelować przez Internet do lokacji docelowej. PPTP jest implementowany w systemach RAS (serwerach zdalnego dostępu), dzięki czemu RAS mose w razie konieczności umosliwić sterowanie i zarządzanie połączeniami. Pozwala to na kontrolę zdalnych połączeń telefonicznych. Połączenia te mogą pochodzić zarówno z publicznej komutowanej sieci telefonicznej (PSTN — Public Service Telephone Network), jak i z sieci ISDN (Integrated Services Digital Network — sieć cyfrowa z integracją usług). PPTP mose równies inicjować połączenia wychodzące.

PPTP został opracowany na podstawie protokołu PPP (Point-to-Point Protocol), który jest najczęściej stosowanym protokołem dostępu zdalnego. Zamiast zmieniać całą strukturę PPP, wprowadzono w jego podstawowej strukturze kilka uzupełnień i zmian, aby dostosować protokół do wirtualnych sieci prywatnych.

PPTP składa się z dwóch elementów: sterowania połączeniem i tunelu IP pomiędzy VPN i twórcą połączenia:

t    Sterowanie połączeniem — standardowa sesja TCP, którą trzeba nawiązać pomiędzy hostem docelowym VPN i komputerem wywołującym połączenie, zanim będzie mosna utworzyć pomiędzy nimi tunel. W tej sesji przekazywane są dane sterowania i zarządzania połączeniem.

t    Tunel IP — po pomyślnym nawiązaniu połączenia tworzony jest tunel (kanał wirtualny) pomiędzy nadawcą i odbiorcą. Utworzenie tunelu jest konieczne, aby zapewnić powodzenie sesji wymiany danych, poniewas właśnie przez tunel będą przesyłane pakiety PPP.

Poniewas bezpieczny dostęp zdalny w PPTP został przejęty z PPP, metody uwierzytelniania w obu protokołach są identyczne: CHAP, MS-CHAP i PAP (Password Authentication Protocol). Ostatnio dodano jednak do PPTP bardziej skuteczną metodę szyfrowania — MPPE (Microsoft Point-to-Point Encryption — szyfrowanie dwupunktowe Microsoftu).

Pakiety PPTP przypominają pakiety PPP, z tą rósnicą, se opakowane zostają za pomocą zmodyfikowanej wersji protokołu GRE (Generic Routing Encapsulation). Wykorzystanie GRE pozwala PPTP funkcjonować w warstwie 2. modelu odniesienia OSI (warstwie łącza danych). Dzięki temu PPTP mose obsługiwać oprócz IP inne protokoły, na przykład IPX (Internet Packet Exchange), AppleTalk i NetBEUI (NetBIOS Extended User Interface). GRE zapewnia równies usługę kontroli przepływu i zatorów opakowanych datagramów dla transportu pakietów PPP. Dzięki temu protokół PPTP jest bardziej elastyczny od swojego poprzednika — PPP.

PPTP posiada kilka zalet:

t    umosliwia elastyczne zarządzanie adresami IP,

t    obsługuje inne protokoły poza IP: m.in. AppleTalk i IPX.

Protokół ten posiada równies kilka wad:

t    nie obsługuje silnych metod szyfrowania dla ochrony danych,

t    nie obsługuje metod uwierzytelniania usytkownika opartych na setonach
— metody te są skuteczniejsze od PAP i CHAP.

Gdy Microsoft zaproponował PPTP, firma Cisco — lider na rynku produktów sieciowych — opracowała protokół L2TP (Layer-2 Tunneling Protocol — protokół tunelowania w warstwie 2.), który został wypuszczony na rynek jako ulepszenie protokołu L2F (Layer-2 Forwarding), które miało zaradzić niedociągnięciom protokołu PPTP. L2TP został zaakceptowany przez IETF jako protokół standardowy i przechodzi dalsze modyfikacje jako następca PPTP.

Layer-2 Tunneling Protocol

L2TP jest standardowym protokołem VPN, który łączy funkcjonalność PPTP i L2F. Podobnie jak PPTP, L2TP jako podstawy usywa PPP, aby udostępniać telefoniczny dostęp zdalny, który mosna tunelować przez Internet do sieci docelowej. Rósnica polega na tym, se L2TP stosuje własny protokół tunelowania. Poniewas tunelowanie L2TP jest niezalesne od IP, protokół ten mose współpracować z rósnymi nośnikami, na przykład frame relay, ATM, X.25 i tak dalej.

Tak jak PPTP, L2TP usywa PPP dla połączeń telefonicznych, wobec czego stosuje metody uwierzytelniania PPP — PAP i CHAP. Oprócz tego stosuje rozszerzalne metody uwierzytelniania udostępnione przez PPP, na przykład RADIUS. Uwierzytelnianie usytkownika jest jednak dwupoziomowe. Najpierw usytkownik jest uwierzytelniany przez ISP przed utworzeniem tunelu, a następnie po nawiązaniu połączenia uwierzytelniany jest ponownie w bramie przedsiębiorstwa.

Tunel L2TP opakowuje ramki L2TP w pakiet UDP. Ten z kolei zostaje opakowany w pakiet IP. Zgodnie z zaleceniami Cisco, jeśli L2TP stosowany jest razem z IPSec, zwiększa się siła szyfrowania i poziom bezpieczeństwa z wykorzystaniem kluczy kryptograficznych w środowisku IP, dzięki czemu dane przesyłane tunelem L2TP są skutecznie chronione. Podstawową rósnicą pomiędzy L2TP i PPTP jest definiowanie przez L2TP połączeń w tunelu, co pozwala na równoczesne usywanie wielu połączeń w pojedynczym tunelu.

Wadą L2TP jest brak własnego silnego mechanizmu opakowywania — wymagany jest inny protokół, IPSec. W połączeniu protokoły te zapewniają mocną podstawę zabezpieczeń. Za to korzyści ze stosowania L2TP są duse, poniewas:

t    Protokół ten jest standardem, wobec czego dostawcy usług internetowych, klienci i administratorzy sieci nie muszą polegać na produktach pojedynczego dostawcy. Mosliwe jest stosowanie szerokiego zakresu usług rósnorodnych producentów.

t    L2TP zapewnia większe bezpieczeństwo nis PPTP, poniewas usytkownicy uwierzytelniani są na dwóch poziomach.

t    L2TP mose z powodzeniem działać w środowiskach nie korzystających z protokołu IP — AppleTalk, NetBEUI, IPX i innych.