Ochrona przed niepożądanymi działaniami osób trzecich i złośliwym oprogramowaniem jest w dzisiejszych czasach podstawą bezpiecznego poruszania się po sieci. Jednym z najważniejszych narzędzi, które w tym pomagają zapora sieciowa czyli firewall. Co to jest firewall i jak działa? Jakie są rodzaje firewalli? Jak zapora sieciowa zapewnia ochronę przed atakami w internecie?
Co to jest firewall?
Firewall to w dosłownym tłumaczeniu ściana ogniowa, zwykle określana też zaporą sieciową lub ogniową. To rodzaj zabezpieczenia sieciowego, które na bieżąco filtruje ruch sieciowy, blokując połączenia, które mogą stanowić potencjalne zagrożenie i ryzyko. Firewall umożliwia dokładne filtrowanie dostępu na poziomie sieci lokalnej (LAN), domowej oraz na indywidualnych komputerach. To podstawowe zabezpieczenie urządzeń sieciowych przed skanowaniem i nawiązywaniem niechcianych połączeń ze strony osób trzecich.
Pierwsze prace badawcze nad zaporą ogniową prowadzone były pod koniec lat 80. XX wieku. Sama nazwa tego zabezpieczenia wywodzi się z jego struktury. Mechanizm przypomina bowiem “ścianę”, blokadę umiejscowioną w obrębie sieci pomiędzy komputerami podłączonymi do sieci lokalnej a podmiotami komunikującymi się z zewnątrz.
Firewall zapewnia więc ochronę sieci lokalnej przed nieautoryzowanym dostępem z zewnątrz, jak i vice versa – zapewnia ochronę przed niepożądanym udostępnianiem danych z komputerów sieci lokalnej do sieci zewnętrznej. Zapory sieciowe jako mechanizm ochrony są stosowane wszędzie tam, gdzie istotne jest bezpieczeństwo urządzeń podłączonych do sieci. Używanie zapory ogniowej jest zalecane w sieciach firmowych, sieciach domowych oraz na komputerach osobistych.
Jak działa firewall?
Zapora sieciowa – firewall – monitoruje ruch sieciowy przychodzący i wychodzący. Posiada wbudowane mechanizmy skanowania ruchu sieciowego bazujące na zestawach określonych wcześniej i przyjętych zasad, składających się z bibliotek – reguł nakazów i zakazów. W momencie, gdy np. dane połączenie przychodzące nie spełnia wymogów określonych w regułach zapory, jest automatycznie blokowane. W ten sposób na najwcześniejszym etapie można uchronić się przed wyciekiem danych, atakami hakerskimi czy nawiązaniem kontaktu z komputerem przez cyberprzestępcę (np. poprzez wirusa na komputerze wysyłającego ukryte żądanie komunikacji zewnętrznej).
Zasada działania zapory ogniowej polega więc na analizowaniu i filtrowaniu wszystkich danych, które są przesyłane przez sieć LAN do globalnego internetu oraz przez indywidualne urządzenia do sieci LAN. O ile ta ostatnia klasyfikowana jest jako bezpieczna, zewnętrzne środowisko uznawane jest za potencjalnie niebezpieczne. Firewall, jako swego rodzaju “ściana” zabezpieczająca, znajduje się właśnie pomiędzy tymi dwiema płaszczyznami.
Generacje firewalli
Od momentu powstania zapory ogniowe ewoluują, aby gwarantować coraz skuteczniejsze działania. Pod względem technologicznym pierwsze “ściany” bezpieczeństwa sieciowego stanowiły pewnego rodzaju filtry pakietów danych. Wszystkie pakiety przesyłane i wysyłane za pośrednictwem sieci były szybko skanowane pod kątem odgórnie ustalonych zasad. Następny duży krok w ewolucji zabezpieczeń nastąpił na początku lat dziewięćdziesiątych, kiedy zaczęto wprowadzać zabezpieczenia warstwowe. Tak powstała druga generacja firewalli, działająca jako bramki na poziomie obwodów, która szybko zwiększyła bezpieczeństwo sieci lokalnych.
Niedługo później opracowano trzecią generację zabezpieczeń – Firewall Toolkit (FWTK). Autorzy, Marcus Ranum, Wei Xu i Peter Churchyard, wdrożyli rozwiązania, które przyczyniały się do niewidoczności zapory. Poziom ochrony był wyraźnie wyższy dzięki dalszemu udoskonaleniu procesów zarządzania warstwami. Aplikacje firewall zaczęły być w stanie wyróżniać określony sposób działania poszczególnych podsystemów, np. protokoły FTP, HTTP i inne aplikacje. W ten sposób możliwe było diagnozowanie niedozwolonych ruchów atakujących polegających na wykorzystywaniu poszczególnych elementów systemów w sposób szkodliwy bądź będący nadużyciem.
Obecne rozwiązania technologiczne to tzw. firewalle nowej generacji (ang. New Generation Firewalls; NGFW). Posiadają one funkcje głębokiej inspekcji pakietów (deep packet inspection) danych przesyłanych i odbieranych w sieci LAN. Pod względem konstrukcyjnym oparte są o stosy aplikacji. Spektrum działania najnowszych firewalli jest też rozszerzone o funkcje ochronne zorientowane na systemach zapobiegania włamaniom, kontroli aplikacji www oraz ochrony tożsamości.
Jakie są rodzaje firewalli?
Wyróżniamy wiele rodzajów firewalli ze względu na różne kryteria. Najpopularniejsze zapory sieciowe ze względu na sposób działania to:
- firewalle filtrujące – wywodzą się z pierwszej technologicznej linii zapór i polegają przede wszystkim na bieżącym filtrowaniu pakietów sieciowych. Wszystkie akceptowane dane muszą być zgodne z opisanymi regułami. W przeciwnym razie pakiet sieciowy, odbierany lub nadawany, zostanie natychmiast wstrzymany i zablokowany. Niektóre rozwiązania mają wbudowane funkcje filtrowania pakietów IP, weryfikacji zgodności pakietów względem wyższych warstw (ISO/OSI), a także zabezpieczenia antywirusowe.
- firewalle pośredniczące – zwane także jako zapory proxy zabezpieczenia te przenoszą system nawiązywania połączenia z serwerami do środowiska zewnętrznego, zdalnego serwera www. Ten ostatni nawiązuje faktyczne połączenie w imieniu użytkownika. Zdalny serwer pośredniczący określamy jako proxy. Pośredniczące firewalle mają także wiele innych zalet, w tym możliwość blokowania określonego rodzaju treści oraz ukrywaniu danych sieci nadawcy.
Oprócz tego wyróżniamy również zapory ogniowe ujednoliconego zarządzania zagrożeniami (Unified Threat Management; UTM). Zapewniają ochronę przed nieautoryzowanym dostępem do sieci LAN z zewnątrz. Rozwiązania te mają charakter hybrydowy, łącząc funkcjonalności standardowych firewalli filtrujących z dodatkowymi blokadami antydostępowymi i funkcjami podobnymi do tych, które mają współczesne programy antywirusowe.
Kolejnym wariantem zapory są systemy nowej generacji (NGFW) ukierunkowane na zagrożenia. Charakteryzują się silniejszą ochroną zorientowaną na poważne zagrożenia włamaniowe. Zawierają wszystkie rozwiązania stosowane w zabezpieczeniach typu NGFW, ale dodatkowo są skonfigurowane na potrzeby uzyskania większego bezpieczeństwa w razie bardziej zaawansowanych ataków hakerskich i prób przejęcia sieci. Oprócz wbudowanych bibliotek działają także na podstawie technologii uczenia maszynowego, co wzmacnia potencjał ochrony dynamicznej i zdolność do wykrywania zagrożeń cyfrowych. Niektóre systemy tego typu posiadają bardzo inteligentne mechanizmy analizy korelacji zjawisk występujących w sieci w celu identyfikacji ewentualnych działań maskujących, które mogą być realizowane przez atakujących.
Czy warto korzystać z zapory ogniowej?
Używanie zapory ogniowej jest zalecane ze względu na możliwość odparcia niepożądanych ingerencji w sieć LAN. Stosowanie zapory sieciowej sprzyja wyższemu bezpieczeństwu komputera, zachowaniu prywatności i bezpieczeństwa przechowywanych danych na urządzeniach, które są podłączone do tej samej sieci.
Wyłączona zapora sieciowa oznacza niższy poziom bezpieczeństwa i automatyczne narażenie swojego komputera i wszystkich urządzeń sieci LAN na kłopoty. Negatywne konsekwencje braku włączonego firewalla dostrzeżemy najszybciej przy odwiedzaniu podejrzanych stron internetowych, serwisów dla dorosłych, torrentów i stron z nielegalnym oprogramowaniem.
Starsze wersje firewalli wbudowanych w systemy operacyjne, np. Windows XP, Windows Vista nie zapewniały skutecznej ochrony. Ustawienie wysokiej czułości detekcji mogło natomiast sprawiać, że pobranie plików z legalnych, oficjalnych źródeł było blokowane. W takich sytuacjach uzasadnione bywało chwilowe wyłączenie zapory, aby uruchomić ją ponownie po instalacji. Obecnie jednak takie sytuacje praktycznie nie mają miejsca.
Firewall nie zastępuje dobrego programu antywirusowego, stanowi jednak jego uzupełnienie. Wiele współczesnych programów do ochrony komputera posiada także funkcję firewalla (z reguły w wersji płatnej).
Firewall jako oprogramowanie
Zapora programowa to firewall w formie oprogramowania zainstalowanego na dysku i/lub w chmurze (Cloud Firewall). Może to być wyłączne zewnętrzne oprogramowanie albo odrębna lub łączona funkcja w ramach pakietu antywirusowego. Zapora programowa charakteryzuje się najwyższą elastycznością. Istnieje w bardzo wielu odmianach, które różnią się nie tylko skutecznością ochrony, ale również pozostałymi wbudowanymi funkcjami.
Firewall jako oprogramowanie zapewnia skuteczną ochronę wybranego komputera w sieci LAN – domowej, firmowej czy podczas korzystania z sieci publicznych. System taki jest wszechstronny i gwarantuje bezpieczeństwo w domu i w trakcie podróży. Mankamentem w tym przypadku będzie zużycie zasobów bazowych urządzenia, m.in. procesora i pamięci operacyjnej RAM przez aktywnie działający program prowadzący analizę ruchu sieciowego.
Firewall sprzętowy
Sprzętowa zapora ogniowa jest samodzielnym urządzeniem wyposażonym w dedykowany procesor, pamięć i system operacyjny. Urządzenia te nie są wykorzystywane podczas użytku domowego. Znajdują zastosowanie w profesjonalnych serwerowniach IT, hostingach i wielu innych jednostek architektury sieciowej. Zapory te charakteryzują się najwyższym poziomem ochrony. Niektóre mogą wchodzić w skład infrastruktury routera, inne stanowić zupełnie osobne urządzenie.
Podmioty wykorzystujące sprzętowy firewall i tak korzystają dodatkowo z wersji programowych. Jednak zapora sprzętowa zwiększa skuteczność ochrony, ponieważ stanowi dodatkową, pierwszą linię obrony w razie ataku i prób nieuprawnionych działań ze strony hakerów. Ze względu na zupełnie inną architekturę systemów operacyjnych takich urządzeń zauważalny jest także wyższy stopień bezpieczeństwa związanego z działaniem szkodliwego oprogramowania.
Zapory sprzętowy mają jednak ograniczenia – służą głównie do sprawdzania ruchu przychodzącego, a nie wychodzącego. Ponadto ich instalacja, konfiguracja i bieżące zarządzanie wymaga pewnych zasobów finansowych i operacyjnych.
Zapora sieciowa w systemie operacyjnym
Zapora firewall jest wbudowana we wszystkie najnowsze systemy operacyjne Windows i Apple. Rozwiązanie to znajdziemy także w większości wersji systemu Linux (netfiltery). Każdy użytkownik posiadający uprawnienia administratora ma możliwość wyłączenia funkcji zapory lub wstrzymania jej działania na określonych czas. Czynności tej jednak nie warto podejmować bez uzasadnionej potrzeby, gdyż sprzyja ona narażeniu się na potencjalne ataki.
Warto pamiętać także o tym, że niektóre rodzaje szkodliwego oprogramowania mogą pozostawać na komputerze przez długi czas w stanie spoczynku. Bez firewall może być w stanie nawiązać komunikację z serwerem cyberprzestępców, np. systemem kopania kryptowalut, który zużywać będzie cenne zdolności systemu.
Czy można ustawić parametry zapory ogniowej?
Szczegółowe ustawienia sposobu działania zapory ogniowej oraz jej czułość filtracji można wybrać w odpowiednich ustawieniach systemu operacyjnego. W przypadku systemu Windows spore znaczenie na zakres ochrony ogólnej ma też rodzaj sieci, z której korzystamy: publicznej lub prywatnej. Ze względu na bezpieczeństwo zaleca się wybór pierwszej opcji – nawet w sytuacji, gdy korzystamy z sieci w domu. Pozwala to na automatyczną konfigurację zapory sieciowej na silniejszą ochronę.