Back

ⓘ Tűzfal, számítástechnika. A tűzfal célja a számítástechnikában annak biztosítása, hogy a hálózaton keresztül egy adott számítógépbe ne történhessen illetéktelen ..



                                     

ⓘ Tűzfal (számítástechnika)

A tűzfal célja a számítástechnikában annak biztosítása, hogy a hálózaton keresztül egy adott számítógépbe ne történhessen illetéktelen behatolás. Szoftver- és hardverkomponensekből áll. Hardverkomponensei olyan hálózatfelosztó eszközök, mint a router vagy a proxy. A szoftverkomponensek ezeknek az alkalmazási rendszerei tűzfal szoftverekkel, beleértve ezek csomag- vagy proxyszűrőit is. A tűzfalak általában folyamatosan jegyzik a forgalom bizonyos adatait, a bejelentkező gépek és felhasználók azonosítóit, a rendkívüli és kétes eseményeket, továbbá riasztásokat is adhatnak.

A számítástechnika során a tűzfal olyan hálózati biztonsági rendszer, amely felügyeli és szabályozza a bejövő és kimenő hálózati forgalmat előre meghatározott biztonsági szabályok alapján.

A tűzfal jellemzően akadályt képez egy megbízható belső hálózat és egy bizonytalan külső hálózat között.

A tűzfalakat gyakran hálózat tűzfalaknak vagy host-alapú tűzfalaknak kategorizálják.

A hálózati tűzfalak kettő vagy több hálózat közötti forgalmat szűrnek és hálózati hardvereken futnak.

A gazdaalapú tűzfalak a gazda számítógépen futnak, és ellenőrzik a hálózati forgalmat a számítógépeken belül és kívül.

                                     

1. Működése

A tűzfal megpróbálja a privát hálózatot megvédeni nem kívánt támadásoktól. Szabályozza a különböző megbízhatósági szintekkel rendelkező számítógép-hálózatok közti forgalmat. Tipikus példa erre az internet, ami semmilyen megbízhatósággal nem rendelkezik és egy belső hálózat, ami egy magasabb megbízhatósági szintű zóna. Egy közepes megbízhatósági szintű zóna az ún. "határhálózat” vagy demilitarizált zóna DMZ, amit az internet és a megbízható belső hálózat között alakítanak ki. Megfelelő beállítás nélkül egy tűzfal gyakran értelmetlenné válik. A biztonsági szabványok "alapértelmezett-letiltás” tűzfal-szabálycsoportot határoznak meg, amelyben csakis azok a hálózatok vannak engedélyezve, amiket már külsőleg engedélyeztünk. Sajnos egy ilyen beállításhoz részletesen ismerni kell a hálózati eszközöket és azokat a végpontokat, amik a vállalat mindennapi működéséhez szükségesek. Sok vállalatnál hiányzik ez az ismeret, és ezért egy "alapértelmezett-engedélyezés” szabályt alkalmaznak, amiben minden forgalom engedélyezve van, amíg konkrétan nem blokkolják. Az ilyen beállítások kéretlen hálózati kapcsolatokat és rendszer veszélyeket okoznak. A szabálymegszegéseket leszámítva, egy tűzfal funkciója nem abból áll, hogy veszélyeket felismerjen és akadályozzon. Főleg abból áll, hogy a meghatározott kommunikációs kapcsolatokat engedélyezze, a forrás- vagy célcímek és a használt szolgáltatások alapján. A támadások felkutatásáért az ún. behatolás-felismerő rendszerek a felelősek, amelyet akár a tűzfalra is lehet telepíteni, de ezek nem tartoznak a tűzfalhoz.

                                     

2.1. Fajták, típusok Csomagszűrés

angolul packet-filter firewall

Az adatcsomagok egyszerű szűrése a cél-port, valamint forrás- és célcím, egy a tűzfal-adminisztrátor által már definiált szabályrendszer alapján történik. Ez minden hálózati-tűzfal alapfunkciója. A vizsgálat eredményeképp a csomagokat megsemmisíti vagy továbbítja. A fejlett tűzfalak csendben dobják el a csomagokat, azaz az érintett kapcsolat egyszerűen nem jön létre/megszakad, de nincs konkrét visszajelzés. Ez egy gyors és univerzális megoldás, viszont jelentős háttérismeretet, a hálózati és alkalmazási protokollok ismeretét igényli. Ez a tűzfalak leggyakrabban használt fajtája, ezekkel az alapvető szűrésekkel rendelkezik manapság a legtöbb router, és vállalati switchek.

Gyakorlati szabályok például:

  • a vállalat belső hálózatán levő számítógépek internet felé irányuló valamennyi kapcsolatépítése letiltva, kivéve: a 80-as, kvázi szabvány http porton a vállalat saját weboldalát. Ezt általában elegendő az internetvonalak megosztását NAT végző gépen tűzfal szabályként alkalmazni.
  • a vállalat belső hálózatán levő számítógépek internet felé irányuló valamennyi kapcsolatépítése letiltva, kivéve: a 80-as http porton és 443-as biztonságos https porton tetszőleges weboldal. Ezt szintén elegendő a NAT-olást végző gépeken tűzfal szabályként alkalmazni.
  • a vállalat belső hálózatán levő számítógépek internet felé irányuló valamennyi kapcsolatépítése letiltva, kivéve egyes szolgáltatásokat, mint a https, dns, pop3, smtp, egyebek. Ezt a NAT-olást végző számítógépen az egyes szolgáltatásokhoz tartozó kimenő portok engedélyezésével tehetjük meg.
  • a vállalat belső hálózatán levő számítógépek egymás közötti hálózati kapcsolatépítésének korlátozása csak engedélyezett szolgáltatásokra: ilyenkor vagy vállalati switchen kell csomagszűrést alkalmazni, vagy ugyanezt a módszert minden egyes számítógépen alkalmazni kell egy tűzfal programmal.
                                     

2.2. Fajták, típusok Alkalmazásszintű tűzfal

Egy alkalmazásszintű tűzfal a tisztán csak a forgalomhoz tartozó, mint a forrás, cél és szolgáltatás adatokon kívül a hálózati csomagok tartalmát is figyeli. Ez lehetővé teszi az ún. dedikált proxy-k alkalmazását is, amik egy specializált tartalomszűrést vagy egy Malware-szkennelést is lehetővé tesznek. Egy népszerű félreértéssel ellentétben egy alkalmazásszintű tűzfal alapszintű feladata nem abból áll, hogy meghatározott alkalmazások programok hálózathoz való hozzáférését engedélyezze vagy megtiltsa. Egyébként egy áramkör szintű proxy-t lehet egy ilyen tűzfalra létesíteni, ami egy protokollfüggetlen port- és címszűrés mellett egy lehetséges hitelesítés a kapcsolat felépítésének támogatásához. E nélkül egy alkalmazás számára nem lehetséges egy külső hálózattal internettel történő kommunikálás.

                                     

2.3. Fajták, típusok Proxyk

Az alkalmazás-szintű tűzfal integrált proxyt használ, ami a munkamenetének helytálltsága alapján építi fel a kliensekkel és a célrendszerekkel a kapcsolatot. A szervernek csak a proxy IP-címe lesz látható mint feladó, nem pedig a kliensé. Így a helyi hálózat struktúrája nem lesz felismerhető az internet felől. Tehát megakadályozza a közvetlen kommunikációt a külső és a védett hálózat között. Közvetítő szerepet játszik a kettő között: a belülről érkező kéréseket feldolgozza, majd azokkal azonos értelmű kérést küld a külső szerver felé, az azokra érkező válaszokat pedig ugyanilyen módon továbbítja a belső hálózat felé. Elég biztonságosnak mondható és általában egyszerűen konfigurálható. Hátránya viszont, hogy kizárólag olyan kommunikációra használható, melynek értelmezésére képes. Magukba foglalhatnak tartalmi gyorsítótárat, így néhány esetben jelentős mértékben csökkenthetik a kifelé irányuló forgalmat. Minden magasabb kommunikációs protokollnak van egy saját, dedikált proxy-ja. Egyetlen alkalmazás-szintű tűzfalon több dedikált proxy is futhat egyszerre. Anonim proxy: Az eredeti webező identitásának elrejtésére, a webszerver és a böngésző közti kommunikációba harmadik félként beépül olyan módon, hogy valójában ő tölti le a kiszolgálóról a kliens által kért weblapokat. Ezeket továbbítja, így a tényleges kliens identitása IP-címe a szerver elől rejtve marad.



                                     

2.4. Fajták, típusok Tartalomszűrés

Egy tűzfal a tartalomszűrő használatával egy kapcsolat hasznos adatait kiértékelni, ill. az áthaladó adatokat ellenőrizni tudja.

Jellegzetes példái:

  • nem kívánt alkalmazás-protokollok például: film megosztás blokkolása
  • az URL-szűrés és a vírusfigyelés. Mindkét feladathoz többnyire kiegészítő programokra URL-szűrőre, víruskeresőre van szükség, a tűzfalak általában nem tartalmazzák ezeket a lehetőségeket
  • kulcsszavak alapján nem kívánt weboldalak zárolása
  • a lekért weboldalakról az ActiveX és/vagy JavaScript kiszűrése
  • bizalmas céginformációk kiszűrése például: Mérleg-adatok
                                     

2.5. Fajták, típusok Behatolásfelismerő és -megelőző rendszerek

Az illetéktelen hálózati behatolást jelző rendszert IDS és "behatolásmegelőző rendszer”-t IPS manapság már egyre gyakrabban integrálják a tűzfalakba. Mindkettő felismer egy behatolási próbát a kommunikációs minták alapján. A különbség az, hogy egy IDS a támadást csak felismeri, míg az IPS meg is próbálja blokkolni. Az egyes rendszerek ideiglenes tűzfalszabályt hoznak létre, ami egy támadó IP-cím felől érkező összes további kapcsolódási próbálkozást blokkolja. Ha viszont a támadó hamis küldő-címmel ellátott csomagokat küld a rendszernek, akkor ezzel el tudja érni, hogy ne legyen hozzáférés a hamis című klienshez. Ezzel egymás után le tudja választani az összes címet a rendszerről, amelyekre épp szükség lenne a működéshez DNS-szerver stb.

                                     

2.6. Fajták, típusok Hálózati címfordítás

Lehetővé teszi belső hálózatra kötött saját nyilvános IP-cím nélküli gépek közvetlen kommunikációját tetszőleges protokollokon keresztül külső gépekkel. Vagyis, hogy több számítógépet egy routeren keresztül kössünk az internetre. Az elsődleges cél ez esetben az, hogy egy nyilvános IP-címen keresztül több privát IP-című privát címtartomány: RFC 1918 számítógép csatlakozhasson az internethez. A belső gépekről érkező csomagok feladójaként saját magát tünteti fel a tűzfal így elrejthető a védett host igazi címe, a válaszcsomagok is hozzá kerülnek továbbításra, amiket – a célállomás címének módosítása után – a belső hálózaton elhelyezkedő eredeti feladó részére továbbít. Egy proxy-val ellentétben itt a csomagokat csak továbbküldik és nem analizálják a tartalmukat.

                                     

2.7. Fajták, típusok Internet Connection Firewall ICF

A Windows XP és a Windows Server 2003 beépített tűzfal programja, amely az internetre kapcsolódó számítógépeket védi a külső támadások ellen.

                                     

2.8. Fajták, típusok Átjáró

angolul Gateway

Két különálló hálózat vagy hálózati szegmens közötti átjárást teszi lehetővé. Ez egy speciális csomópont, mely az összekötött két vagy több hálózat mindegyikének részét képezi, és amelyik a fogadott csomagokat képes a célállomást tartalmazó hálózati szegmens felé továbbítani. Gyakran útválasztó feladatokat is ellátnak, tehát a beérkező csomagok továbbítása a célállomás felé a lehető legkedvezőbb úton útválasztási táblázat alapján is történhet.

                                     

2.9. Fajták, típusok Demilitarizált zóna DMZ

angolul demilitarized zone

A személyes vagy vállalati hálózatok megbízhatatlan külső, és a megbízható belső része között elhelyezkedő terület. A benne elhelyezkedő hálózati eszközökhöz és erőforrásokhoz mind a megbízható belső, mind a megbízhatatlan külső területről engedélyezi a hozzáférést, de megakadályozza, hogy a külső területről bármilyen kérés vagy hozzáférési kísérlet eljusson a belső hálózatra.

Otthoni és kisirodai SOHO router-ek is rendelkeznek DMZ funkcióval. Ilyenkor a kis hálózat szigorúan egyetlen számítógépét a tűzfalszabályok és a NAT-olás elé helyezik, mintha a számítógép közvetlenül kapcsolódna az internetre. Ilyenkor sok akadály megszűnhet, mert közvetlen kapcsolatokat fogadhatunk az internet felől, de megszűnik a router mindenfajta védelmi mechanizmusa is, ezért körültekintéssel kezelendő.

                                     

2.10. Fajták, típusok Intranet

A vállalatok vagy szervezetek belső számítógépes hálózata. Bár általában ugyanazok a protokollok működtetik, mint az internetet, azonban csak a szervezet tagjai használhatják. Általában nem tűzfallal korlátozzák az elérhetőségét a vállalat belső hálózatára, hanem a webkiszolgáló egyszerűen megtagadja az adott tartományba nem tartozó ip-címek kéréseit.

                                     

2.11. Fajták, típusok Port szűrés, port kezelés

A tűzfalnak figyelnie kell az egyes portokon folyó forgalomra. Érzékelnie kell, ha valaki végigpásztázza a nyitott portokat ún. port scanning, képesnek kell lennie az egyes portok lezárására, valamint fel kell tudni figyelnie az egyes portokon jelentkező "gyanús” forgalomra is.

Free and no ads
no need to download or install

Pino - logical board game which is based on tactics and strategy. In general this is a remix of chess, checkers and corners. The game develops imagination, concentration, teaches how to solve tasks, plan their own actions and of course to think logically. It does not matter how much pieces you have, the main thing is how they are placement!

online intellectual game →