16. diel - Bezpečnosť sietí - Firewall a ACL Nové

V minulej lekcii, Bezpečnosť sietí - Možnosti obrany , sme si ukázali možnosti obrany pred typickými útokmi v jednotlivých vrstvách OSI.

V tomto tutoriále kurzu prevádzky sietí sa zameriame na firewall a ukážeme si, ako pomocou ACL pravidiel filtrovať prevádzku v sieti. Moderné siete sú dnes zložité, obsahujú mnoho segmentov, serverov, aplikácií a vzdialených používateľov. Aby zostali bezpečné, nestačia len základné VLANy. Potrebujeme mechanizmy, ktoré určujú, akú prevádzku smie prejsť a čo sa musí zablokovať ešte predtým, než dôjde k incidentu, a práve s takými mechanizmami sa v tejto lekcii zoznámime.

Firewall

Firewall je bezpečnostný prvok siete, ktorý kontroluje a obmedzuje sieťovú prevádzku. Môže byť samostatným zariadením, súčasťou routera alebo bežať ako služba na serveri. Firewall riadi, aká prevádzka môže medzi časťami siete prechádzať. Funguje ako kontrolný bod, ktorý skúma zdrojovú a cieľovú adresu, porty, protokol a vyhodnocuje ich podľa nastavených pravidiel. Ak paket nezodpovedá povolenej prevádzke, firewall ho odmietne. V správne navrhnutej sieti sa používa stratégia default deny, teda pokiaľ prevádzka nespĺňa žiadne pravidlo, firewall ho odmietne.

Nechráni pritom iba hranicu s internetom. Rovnako dôležitý je vo vnútri infraštruktúry, kde oddeľuje užívateľské VLANy od serverov, DMZ od interných služieb alebo výrobnú časť od kancelárskej siete. Bráni pohybu útočníka medzi jednotlivými časťami siete (laterálnemu pohybu) a obmedzuje šírenie škodlivej prevádzky. Ak by boli segmenty prepojené bez obmedzenia, stačil by jediný kompromitovaný počítač na ohrozenie celej siete.

Pravidlá vyhodnocuje postupne a rozhoduje o každom pokuse o komunikáciu. Správne navrhnuté pravidlá určujú, aké služby sú dostupné, ktoré zariadenia môžu komunikovať a kde má byť prevádzka prísne obmedzená.

Typy firewallov

Firewally sa líšia tým, ako podrobne analyzujú sieťovú komunikáciu. Typ firewallu priamo určuje mieru ochrany aj náročnosť konfigurácie.

Stateless firewall

Stateless firewall hodnotí každý paket samostatne, bez znalosti toho, či ide o začiatok, pokračovanie alebo odpoveď komunikácie. Rozhoduje iba podľa hlavičky (IP, port, protokol). Vďaka jednoduchosti je rýchly a nenáročný, ale nevidí kontext spojenia. Útočník tak môže ľahšie podvrhnúť paket, ktorý sa tvári ako legitímna odpoveď. Typickým použitím je základná filtrácia medzi VLANami, obmedzenie prístupu na manažment a jednoduchá segmentácia.

Stateful firewall

Stateful firewall sleduje stav spojenia. Pamätá si aktívne relácie a ďalšie pakety v rámci rovnakého toku automaticky povolí. Pokiaľ sa objaví paket bez existujúcej relácie, firewall ho buď odmietne, alebo s ním zaobchádza ako s pokusom o nové spojenie a vyhodnotí ho podľa pravidiel. Vďaka tomu je bezpečnejšie a ľahšie sa konfiguruje ako čisto stateless filter. Typickým použitím je oddelenie užívateľskej siete od serverov a ochrana citlivých aplikácií.

Next-Generation Firewall (NGFW)

NGFW dokáže analyzovať prevádzku až na aplikačnú úroveň. Nerozhoduje len podľa portov, ale rozpozná konkrétne aplikácie (napríklad Teams, Gmail, SQL protokol alebo API služby). Často kombinuje klasický firewall, systém detekcie útokov (IPS) a ďalšie bezpečnostné funkcie. Dokáže blokovať podozrivú prevádzku a vie detekovať útoky v reálnom čase.

DMZ (demilitarized zone) je oddelená časť siete, v ktorej bežia systémy dostupné z internetu, napríklad webové alebo poštové servery. Je izolovaná od internej siete, púšťa sa do nej len nutná prevádzka a komunikácia z DMZ do LAN je prísne obmedzená, takže DMZ funguje ako bezpečnostná medzivrstva medzi internetom a internou sieťou.

ACL

Access Control List (ACL) je zoznam pravidiel, podľa ktorých sieťové zariadenie rozhoduje, akú prevádzku povolí a akú zablokuje. V sieti sa s ACL najčastejšie stretneme na routeroch a L3 switchoch, kde slúžia na riadenie komunikácie medzi VLANami a podsiete. ACL porovnávajú parametre paketu s pravidlami: zdrojovú a cieľovú adresu, protokol a port. Na rozdiel od stateful firewallu neposudzujú stav spojenia, každý paket teda vyhodnocujú samostatne.

ACL využijeme pre riadenie prístupu medzi VLANami, obmedzenie prístupu na konkrétne služby alebo izoláciu manažment rozhrania. Správne navrhnuté zoznamy pravidiel dokážu výrazne obmedziť šírenie útoku v prípade kompromitácie jedného segmentu.

Typy ACL

ACL sa delí podľa toho, ako podrobne dokážu filtrovať prevádzku.

Štandardné ACL

Štandardné ACL filtrujú prevádzku podľa zdrojovej IP adresy. Neposudzujú cieľ, port ani protokol. Sú jednoduché a vhodné tam, kde potrebujeme kontrolovať iba to, kto smie začať komunikáciu, napríklad prístup na manažment zariadenia. Obvykle sa umiestňujú čo najbližšie k cieľu (destinácii), aby nedochádzalo k príliš hrubému filtrovaniu už na začiatku cesty.

Rozšírené ACL

Rozšírené (extended) ACL umožňujú rozhodovať podľa zdroja, cieľa, protokolu aj portu. Vďaka tomu je možné veľmi presne definovať, ktorá komunikácia je povolená. Používajú sa najčastejšie medzi VLANami, na ochranu serverových segmentov alebo pri obmedzovaní konkrétnych aplikácií. Obvykle ich umiestňujeme čo najbližšie k zdroju prevádzky, aby sa nežiaduce komunikácie zahodila čo najskôr a zbytočne nezaťažovala ďalšie časti siete.

Ako ACL fungujú

ACL pravidlá sa vyhodnocujú zhora nadol. Akonáhle paket zodpovedá niektorému pravidlu, ďalšie sa už neprechádzajú. Poradie je teda zásadné. Všeobecné pravidlo "hore" môže zachytiť prevádzku, ktorá mala byť riešená konkrétnejším záznamom "nižšie".

Na konci každého pravidla je implicitný deny any, aj keď nie je v konfigurácii explicitne zapísaný. Ak paket nezodpovedá žiadnemu pravidlu, je automaticky zahodený. Tento princíp tvorí základ bezpečnostného modelu default deny a podporuje zásadu least privilege, teda že každý segment smie robiť iba to, čo je nevyhnutné. Ostatné komunikácie spadajú pod implicitný zákaz.

Pravidlá je možné aplikovať inbound (na vstupe do rozhrania) alebo outbound (na výstupe). Voľba smeru ovplyvňuje logiku aj výkon. Pokiaľ nechceme, aby určitá prevádzka vôbec vstúpila do zariadenia, použijeme inbound. Outbound sa používa, keď riadime, čo smie z daného rozhrania odchádzať.

Oddelenie užívateľskej siete od serverov

Aby sme pochopili, ako spolu v praxi spolupracujú VLANy, ACL a firewall, pozrieme sa na jednoduchý príklad firemnej siete. V nej chceme oddeliť používateľov od serverov, mať zvlášť manažment a zároveň bezpečne publikovať webový server do internetu.

Uvažujme bežné prostredie s týmito VLANami:

• VLAN 10 - používatelia,
• VLAN 20 - servery,
• VLAN 30 - manažment,
• DMZ - webserver dostupný z internetu.

Každá časť siete má inú úlohu a inú úroveň rizika. Používatelia vo VLAN 10 sa potrebujú dostať na intranet, ale nemajú pristupovať k databázam ani k interným API. Servery vr VLAN 20 medzi sebou komunikujú len tam, kde je to potrebné. VLAN 30 s manažmentom má byť prístupná iba administrátorom. A DMZ musí byť dostupná z internetu, ale nesmie ohroziť vnútornú sieť.

Cieľom je teda:

• umožniť používateľom prístup iba na intranetový server,
• zabrániť prístupu k databázam, manažmentu a interným API,
• zaistiť segmentovanú komunikáciu medzi servermi,
• obmedziť prístup do manažment VLAN len na administrátorov,
• chrániť DMZ pomocou perimetrálneho firewallu.

ACL

Začnime vnútornou časťou siete, teda komunikáciou medzi užívateľmi a servermi. Medzi VLAN 10 a VLAN 20 prebieha bežná vnútrofiremná prevádzka – používatelia sa pripájajú na intranet, prípadne na ďalšie interné služby. Tu nám stačí riadenie prevádzky na úrovni IP adries a portov, pokročilá analýza aplikácií zatiaľ nie je potrebná. Preto použijeme rozšírené ACL na L3 prvku (router alebo L3 switch).

Typické pravidlá môžu vyzerať takto:

• Povoliť z VLAN 10 na intranetový server 192.168.20.10 iba HTTPS.
• Povoliť odpovede zo servera späť na užívateľa (užívatelia tak vidia intranet).
• Zakázať akýkoľvek iný pokus o komunikáciu z VLAN 10 do VLAN 20 (k databázam ani ďalším službám sa nedostanú, potenciálny útočník v užívateľskej VLAN sa nemôže voľne šíriť).

Výsledkom je, že používatelia môžu bez problémov pracovať s intranetom, ale nedostanú sa k databázovým serverom ani k iným aplikáciám v serverovej VLAN. Obmedzíme tak škody ako pri bežnej chybe užívateľa, tak aj pri prípadnej kompromitácii jeho stanice.

Do VLAN 30 by mal mať prístup len administrátor. V tejto časti siete nás nezaujíma konkrétna služba alebo port, ale hlavne to, kto sa do manažmentu VLAN vôbec môže dostať. Preto je tu vhodné použiť štandardné ACL, ktoré rozhoduje len podľa zdrojovej IP adresy.

Pravidlá potom môžu byť veľmi jednoduché:

• Povoliť iba administrátorskú IP (napr. 192.168.10.50).
• Zakázať všetko ostatné.

ACL sa v tomto prípade nasadzuje na rozhranie smerom do VLAN 30 ako inbound filter. Vďaka tomu sa do manažmentu siete vôbec nedostane žiadna neautorizovaná prevádzka – je zastavená ešte pred vstupom do VLAN.

Firewall

Zostáva vyriešiť komunikáciu smerom von, do internetu. Webserver v DMZ musí byť verejne dostupný, aby sa k nemu dostali používatelia z internetu, zároveň ale nesmie predstavovať priamu cestu do vnútornej siete. ACL na routeri alebo L3 switchi už tu nestačí, pretože potrebujeme pokročilejšie funkcie – napríklad sledovanie stavu spojenia, inšpekciu protokolov alebo detekciu útokov.

DMZ preto typicky chráni samostatný firewall, ktorý:

• povolí len potrebné porty (HTTP/HTTPS) smerom na webserver,
• filtruje a sleduje stav spojenia (stateful inspection),
• oddeľuje DMZ od internej LAN tak, aby kompromitácia webservera neohrozila interné systémy,
• striktne obmedzuje komunikáciu z DMZ do LAN (napríklad len jeden databázový port na konkrétny server),
• vykonáva detailné logovanie a monitoring.

Tým vzniká jasná hranica. Z internetu je vidieť iba to, čo firewall výslovne povolí, a prípadný útočník, ktorý by sa dostal na webserver v DMZ, má iba veľmi obmedzené možnosti komunikovať ďalej do vnútornej siete.

V ďalšej lekcii, Virtuálna privátna sieť - Topológia , sa budeme venovať virtuálnym privátnym sieťam, typom VPN a taktiež sa naučíme nastaviť jednoduchý tunel medzi dvoma sieťami.