Ugunsmūris

Vikipēdijas raksts
Pārlēkt uz: navigācija, meklēt
Ugunsmūra darbības shēma

Ugunsmūris ir drošības sistēma, kas paredz speciāli programmēta datora ievietošanu starp kādas organizācijas lokālo datoru tīklu un Internetu. Ugunsmūris aizsargā šo lokālo tīklu no nesankcionētas Interneta tīkla lietotāju piekļuves, bet apgrūtina aizsargātā tīkla lietotājiem šī paša tīkla pakalpojumu izmantošanu.

Starptīklu aizsardzība jeb ugunsmūris (firewall) — tā ir drošības sistēma, kas paredz speciāli programmēta datora ievietošanu starp kādas organizācijas lokālo tīklu un Internetu, lai pasargātu no iespējamiem uzbrukumiem. Ugunsmūris aizsargā šo lokālo tīklu no nesankcionētas interneta lietotāju piekļuves, bet arī apgrūtina aizsargātā tīkla lietotājiem interneta pakalpojumu izmantošanu. Ja lokālajam tīklam ir vairāki savienojumi ar Internetu, tad ugunsmūris jāuzstāda uz katru savienojumu. Ir jāievēro šādi nosacījumi:

  • Visai datu plūsmai, kas ienāk lokālā tīklā, jāiet caur ugunsmūri
  • Visai datu plūsmai, kas iziet no lokālā tīkla, jāiet caur ugunsmūri
  • Ugunsmūris nodrošina aizsardzības nosacījumus un atmet tiem neatbilstošus datus
  • Ugunsmūris pats nepakļaujas uzlaušanas mēģinājumiem

Darbības principi[izmainīt šo sadaļu | labot pirmkodu]

Pakešu filtrēšana[izmainīt šo sadaļu | labot pirmkodu]

Galvenais mehānisms ko lieto ugunsmūrī, ir pakešu filtrēšana. Pakešu filtrs ir tāda programmatūra, kas ļauj regulēt pakešu caurlaidi caur maršrutētāju. Administratoram ir jānoskaņo filtrs norādot, kādas paketes drīkst iet cauri un kādas ir jābloķē. Filtrs parasti pārbauda laukus paketes galvenē ar attiecīgām IP adresēm, bet tas var bloķēt arī noteiktus protokolus. Kritēriji, pēc kuriem pārbauda paketes galvenes, var būt šādi:

  • Avota un saņēmēja IP adreses;
  • Inkapsulētais protokols;
  • Avota un saņēmēja porti;
  • ICMP protokola ziņojumi;
  • Ieejas un izejas saskarnes;

Kombinējot šos kritērijus var uzdot pakešu caurlaides nosacījumus.

Ugunsmūru dažādība[izmainīt šo sadaļu | labot pirmkodu]

Ugunsmūri tiek iedalīti vairākos veidos atkarībā pēc šādiem raksturlielumiem:

  • Vai ugunsmūris nodrošina savienojumu starp vienu mezglu un tīklu, vai savienojumu ar diviem un vairāk dažādiem tīkliem;
  • Kādā līmenī notiek datu plūsmas kontrole;
  • Vai tiek atsekots aktīvā savienojuma stāvoklis, vai netiek.

Atkarībā no aptveršanas apjoma kontrolētām datu plūsmām ugunsmūri iedalās:

  • Tradicionālais tīkla (vai starptīklu) ugunsmūris — vārtejas programma (vai neatņemam operētājsistēmas sastāvdaļa), vai aparatūras risinājums, kas kontrolē ienākošās un izejošās datu plūsmas starp pieslēgtajiem tīkliem.
  • Personālais ugunsmūris – programma, kas ir uzstādīta uz lietotāja datora un ir paredzēta, lai aizsargātu no nesankcionētas piekļuves tikai šo pieslēgto datoru.

Regresējošs variants — tiek izmantots tradicionālais ugunsmūris serverī, lai ierobežotu piekļuvi saviem resursiem.

Atkarībā no līmeņa, kurā notiek piekļuves kontrole, ugunsmūri dalās:

  • Tīkla līmeņa – kad filtrēšana notiek uz pakešu nosūtītāja un saņēmēja adrešu, porta numuru transporta slānī un statisko parametru, kurus noteicis administrators, pamata.
  • Sesijas līmeņa (angliski pazīstams arī kā — stateful) – atseko sesijas starp lietojumiem nelaižot cauri paketes, kuras pārkāpj TCP/IP specifikāciju, kas tiek bieži izmantotas ļaunprātīgos nolūkos – resursu skanēšanai, uzlaušanai caur nepareizu TCP/IP realizāciju, savienojuma pārraušanu un palēnināšanu, datu injicēšanai;
  • Pakešu pielikumu līmeņa – filtrēšana uz pakešu pielikumu datu analīzes pamata. Šādi ugunsmūru veidi ļauj uz lietotāju politikas un uzstādījumu pamata bloķēt nevēlamas un potenciāli bīstamas informācijas nodošanu.

Daži risinājumi, kas attiecas uz pakešu pielikumu līmeņa ugunsmūriem, iekļauj sevī starpniekserverus ar protokolu specializāciju. Proksī serveru iespējas un daudzprotokolu specializācija padara filtrēšanu daudz elastīgāku nekā klasiskajos ugunsmūros, taču ir arī visi proksīs serveru trūkumi (piemēram datplūsmas anonimizācija).

Atkarībā no aktīvo savienojumu atsekošanas ugunsmūri iedalās:

  • Stateless (vienkāršas filtrēšanas) – neveic pašreizējā savienojuma atsekošanu, bet veic datu plūsmas filtrēšanu uz statisko noteikumu pamata;
  • Stateful packet inspection (SPI) (filtrēšana ņemot vērā kontekstu) – veic pašreizējo savienojumu atsekošanu un laiž cauri tikai tās paketes, kas atbilst atbilstošo protokolu un to pielikumu darbības loģikai un algoritmam. Šāda tipa ugunsmūri ļauj efektīvi cīnīties ar dažāda veida DOS uzbrukumiem un uzbrukumiem dažu protokolu vājajām vietām, pietam, tie nodrošina tādu protokolu funkcionēšanu kā H.323, SIP, FTP utt., kas izmanto sarežģītu datu pārraidīšanas shēmu starp adresātiem, kas slikti iekļaujas statisko noteikumu aprakstīšanai un bieži vien nav savietojami ar Stateless ugunsmūru standartiem.

Tipiskākās iespējas[izmainīt šo sadaļu | labot pirmkodu]

  • Piekļuves filtrēšana neaizsargātiem servisiem;
  • Aizsargā pret slēgtas informācijas iegūšanu no aizsargātā apakštīkla, kā arī viltus datu ievietošanu šajā apakštīklā ar neaizsargātu servisu palīdzību;
  • Piekļuves tiesību kontrole tīkla mezgliem;
  • Iespēja reģistrēt visus mēģinājumus iegūt piekļuvi, kā no ārējā, tā arī no iekšējā tīkla, kas ļauj veikt uzskaiti;
  • Reglamentēt kārtību kādā iespējams iegūt piekļuvi tīklam;
  • Paziņot par aizdomīgām darbībām, mēģinājumiem zondēt vai uzbrukt tīkla mezgliem vai pašam ugunsmūrim.

Aizsardzības rezultātā var tikt bloķēti daži lietotājam nepieciešami servisi, kā piemēram Telnet, FTP, SMB, NFS utt. Tādēļ ugunsmūra uzstādīšanai un konfigurēšanai nepieciešama tīkla drošības speciālista līdzdalība, citādi ļaunums, kas var rasties no nepareizas konfigurēšanas var pārsniegt ieguvumu. Tāpat ir jāatzīmē tas, ka ugunsmūra izmantošana palielina atsaukšanās laiku un samazina tīkla caurlaidības spēju, jo filtrēšana patērē noteiktu laiku.

Problēmas, kuras neatrisina ugunsmūris[izmainīt šo sadaļu | labot pirmkodu]

Ugunsmūris nav pilnīga aizsardzība pret visiem draudiem un tas neveic šādas funkcijas:

  • Neaizsargā tīkla mezglus no piekļuves caur „sētas durvīm” (angļu: back doors);
  • Nenodrošina aizsardzību no daudziem iekšējiem draudiem tai skaitā no informācijas noplūdes;
  • Neaizsargā pret lietotāja ielādētām ļaunprātīgām programmām, tai skaitā no vīrusiem.

Lai novērstu pēdējās divas problēmas tiek izmantoti atbilstoši papildu līdzekļi, visbiežāk — pretvīrusu programmas. Parasti šīs programmas pieslēdzas pie ugunsmūra un izlaiž caur sevi atbilstošu datplūsmas daļu. Taču šāda datu analīze prasa papildu aparatūras resursus, tāpēc tas tiek veikts uz katra tīkla mezgla atsevišķi.