arrow Biztonsági hírek


Ubuntu biztonsagi frissitesek
MyISAM tábla esetén a CREATE TABLE utasítás DATA DIRECTORY valamint INDEX DIRECTORY argumentum kezelése hibás, a támadó adatokhoz fé... >> bõvebben
2010-03-09
Gentoo biztonsagi frissitesek
Súlyos biztonsági hibát találtak a sudo programban, a sudoedit engedélyezése esetén a támadó egy sudoedit nevű binárist a rendszeren elhelye... >> bõvebben
2010-03-09
Debian biztonsagi frissitesek
A lighttpd memória használati módszere hibás, a támadó kis adagokban küldött kéréseknél elfogyaszthatja a memóriát, amivel a pro... >> bõvebben
2010-03-09
További biztonsági híreket Guru rovatunkban találhat.


arrow menu

Az ALF tűzfalrendszer

Az ALF tűzfalrendszer az erős és mégis kényelmesen használható hálózati határvédelem eszköze. Tulajdonságai úgy lettek megtervezve és kialakítva, hogy a hálózatok leggyakrabban használt szolgáltatásain a lehető legszélesebb körű védelmet nyújtsa a támadók ellen. Egyaránt használható kliensek és szerverek hatékony védelmére. Az ALF védelmi moduljai nagyon finoman szabályozhatók. Hogy érzékelhető legyen a rendszer nagyfokú hangolhatósága, álljon itt egy gyakorlatban előforduló példa.

A rendszer lehetőséget ad például arra, hogy a cég biztonsági vezetője a határvédelmi szabályzatban minden azonosítatlan és feljogosítatlan felhasználónak munkaidőben megtiltsa bizonyos honlapok nézegetését, vagy a cég vonalának csak egy részére engedélyezze azt. Így a kritikus időszakban a cég hasznos hálózati kommunikációja zökkenőmentesen fog működni, és a felesleges forgalmak áramlása háttérbe szorítható. Amennyiben valaki a cég vonalán keresztül illegális tartalmakat próbálna letölteni, akkor a felhasználó azonosítható, tevékenysége felfüggeszthető. Szükség esetén időhöz kötve előírható, hogy mely felhasználó milyen honlapokat nézhet meg. Ez a példa elegendő lehet a rendszer lehetőségeinek érzékeltetésére, azonban a lehetőségek távolról sem merülnek ki ennyiben.

Az ALF rendszer rugalmassága lehetővé teszi, hogy a rendszer adminisztrátorai szinte tetszőleges szűréseket legyenek képesek elvégezni a biztonság és a használhatóság érdekében. A rendszer jól szabályozható statisztikai lehetőségeivel az adminisztrátorok folyamatos képet kaphatnak a rendszer működéséről, paramétereiről.

Az ALF tűzfalrendszer legfontosabb jellemzői

  • Moduláris alkalmazásszintű tűzfalrendszer
  • Vegyes és homogén hálózatok támogatása (Windows, Unix alapú rendszerek)
  • Nagytudású azonosító alrendszer (CryptoCard, jelszó, SKey)
  • Forgalom naplózása, statisztikák készítése
  • Finomhangolható protokollszűrő modulok
  • Magas rendelkezésre állás támogatása (HA)
  • Futásidejű csomagszűrő hangolás
  • A leggyakrabban használt protokollok támogatása
    • proxy: http, ftp, pop3, telnet, ldap, time-stamp, ocsp, session manager
    • natív: smtp, ntp, domain, ssl
    • autentikációs: client auth, ck
  • Ismeretlen TCP protokollok támogatása
  • Jól áttekinthető, könnyen tanulható konfigurációs nyelv
  • Leállítás nélküli konfigurálás

A rendszer működésének alapelvei

Az ALF finomhangolható, moduláris, transzparens alkalmazásszintű tűzfal. Mit jelent ez pontosan? Az alkalmazásszintű tűzfalak képesek a kliens és a szerver közti forgalom teljes elemzésére, és nagyon megnehezítik olyan kommunikáció átvitelét, amely árthat a kliensnek vagy a szervernek. A rendszer beállításait attól függően hangoljuk, hogy éppen szervereket vagy klienseket védünk. A szerver védelme esetén a szabályok szigorúbbak, ezzel a támadás esélyét is csökkentik. Védelmük esetén alapelvünk az, hogy inkább utasítson el a tűzfal néhány szabálytalan, de nem támadó jellegű kérést, mint hogy egy támadó jellegűt beengedjen. Kliensek védelme esetén szem előtt tartottuk, hogy a felhasználók ne érezzék nyűgnek a túlzott védelem okozta működést. Általánosan ismert tény, hogy a biztonság és a kényelem általában fordítottan arányos, ezért a kliensek védelménél úgy hangolható a tűzfal, hogy a rendszer védelme ne sérüljön, de a felhasználók is hatékonyan használhassák a hálózatot.


1. ábra: Tűzfal rendszerek szűrési lehetőségei

Ahogy az 1. ábrán is látszik, a rendszer teljes mélységében képes elemezni a hálózati forgalmat. Moduláris felépítéséből következően még az egymásba ágyazott forgalmak elemzésére is képes. Ez azt jelenti, hogy ha a védett webszerver titkosított (https) kapcsolaton keresztül érhető el, akkor a rendszer egyik modulja képes ennek a titkosító rétegnek az eltávolítására, és így visszafejtve a webprotokoll elemző modul már képes a hálózati forgalom átfogó elemzésére. A pontosabb kép érdekében nézzük a következő ábrát.


2. ábra: A rendszer működési sémája moduláris szinten

Ahogy az ábrából látható, az ALF rendszer független, különálló modulokból áll, amelyek a saját részfeladataik tökéletes ellátására lettek kifejlesztve. Ezek a modulok nem csak logikailag, hanem fizikailag is különálló egységek. Ez két szempontból is továbblépés a piacon lévő többi tűzfalhoz képest. Egyrészt a több processzoron vagy számítógépen futó modulok képesek együttműködni, így ez a rendszer komoly terhelés mellett is képes ellátni a hálózat védelmét. A másik - és még fontosabb - előny, hogy a modulok tökéletesen el vannak választva egymástól, ezzel a legfontosabb biztonságtechnikai alapelvet viszi tökélyre a rendszer: a különálló funkciók és biztonsági szintek teljes mértékben külön vannak választva (ne felejtsük: akár különálló számítógépen is futhatnak!).

A transzparencia azt jelenti, hogy a rendszer a kliensek és a szerverek szempontjából is teljesen átlátszó, sőt helyesebb ez a kifejezés: láthatatlan. Ezt úgy éri el a rendszer, hogy a kimenő és a bejövő kapcsolatokat is magára irányítja. Ha beépítünk a hálózatba egy ALF tűzfalat, akkor a belső és a külső hálózat gépeinek erről nem is kell tudnia, semmilyen konfigurációmódosításra nincs szükség.