Na straży sieci

Historia zagrożeń informatycznych jest tak długa jak historia zastosowań samych komputerów. Jeszcze przed 30 laty wystarczającym zabezpieczeniem przed kradzieżą danych były dobry zamek i klucz. Ale już na początku lat osiemdziesiątych ubiegłego stulecia, kiedy Amerykanie wymyślili połączenie komputerów w sieć za pomocą kabli, proste uniemożliwienie fizycznego dostępu do maszyny przestało wystarczać. I choć kolejna dekada minęła jeszcze pod znakiem wirusów dyskietkowych, to w latach 90. sieci komputerowe zaczęły rozwijać się naprawdę bardzo szybko, a dostęp do nich stał się możliwy z każdego miejsca na Ziemi np. za pomocą modemu.
archiwum
23.06.2005|Przeczytasz w 5 minut

Potrzeba zmian

Zrodził się wówczas problem zabezpieczenia przed nieautoryzowanym dostępem, a słowo “haker” zaczęło powoli stawać się mitem. W tym samym czasie pojawiły się także pierwsze filtry pakietów IP (nazwane później firewallami), czyli programy działające zazwyczaj pod kontrolą systemu operacyjnego Unix. Ich zadanie polegało na blokowaniu nieuprawnionym użytkownikom dostępu do sieci komputerowej. Technologia ta wciąż się rozwijała, ponieważ zmieniały się również hakerskie metody włamań.

Na początku lat 90. nastąpił duży skok jakościowy metod zabezpieczania sieci. Stało się to dzięki wprowadzeniu technologii Stateful Inspection oraz Network Address Translation. Na tym etapie firewalle miały już pewną inteligencję, ponieważ potrafiły wyróżnić pakiety przeznaczone dla użytkowników chronionej sieci, będące odpowiedzią na zainicjowane z niej połączenia. Mogły także ukryć przed światem jej konfigurację – adresy IP komputerów pracujących w chronionej sieci lokalnej zmieniane były bowiem na urządzeniu realizującym usługę NAT. Szybki rozwój technik mikroprocesorowych oraz ciągłe doskonalenie systemów operacyjnych tak bardzo zwiększyły funkcjonalność stacji roboczych, że długo stanowiły one wystarczająco dobrą platformę dla firewalli (do dzisiaj PC jest często stosowany do tego celu). Taki stan rzeczy nie jest jednak możliwy do utrzymania na dłuższą metę z uwagi na zupełnie nowe rodzaje sieciowych zagrożeń.

Wizjoner z Palo Alto

W pierwszej połowie lat dziewięćdziesiątych w Krzemowej Dolinie nad rozwojem oprogramowania typu firewall pracował młody chiński inżynier Ken Xie. Doszedł on do wniosku, że ruch sieciowy powinien analizować wyspecjalizowany procesor i w swoim garażu w Palo Alto skonstruował w 1996 roku pierwszy firewall oparty na układzie ASIC. Taki chip mógł wprawdzie wykonywać jedynie określone funkcje (już w momencie produkcji miał niejako ustalony “program działania”), niemniej jego szybkość wielokrotnie przewyższała procesory ogólnego przeznaczenia. Nasz chiński inżynier założył w kolejnym roku firmę, która stała się liderem w nowej branży, nazywanej obecnie Integrated Security Gateways. Po kilku latach firma osiągnęła rynkową wartość kilku miliardów dolarów i dzisiaj oferuje na rynku urządzenia pełniące nie tylko funkcje firewalla, ale także Intrusion Detection System oraz bramy Virtual Private Network.

Detekcja intruzów

Najogólniej mówiąc, IDS ma za zadanie analizować transmisje sieciowe w celu wykrycia włamania i powiadamiać o tym administratorów, technologia VPN umożliwia zaś połączenie sieci LAN przedsiębiorstwa w różnych lokalizacjach z pomocą Internetu, co sprawia, że pracuje się w nich jak w jednej sieci.

Zastosowanie układu ASIC w systemach ochrony sieci komputerowych pozwoliło na uzyskanie niespotykanej wcześniej wydajności, upraszczając jednocześnie konstrukcję systemów ochrony. Spotkało się to z bardzo dobrym przyjęciem. Pamiętajmy bowiem, że technika sieciowa od początku lat dziewięćdziesiątych bardzo się rozwinęła. Ethernet został wyparty przez Fast Ethernet oraz Gigabit Ethernet w sieciach LAN, a typowe łącza telekomunikacyjne 2 Mb/s w sieciach WAN zostały ostatecznie zastąpione połączeniami 10 Mb/s i 100 Mb/s.

W efekcie nie tylko zmieniło się zapotrzebowanie na wydajność firewalli, ale i charakter zagrożeń w Internecie. Coraz częściej słyszymy o nowych atakach Denial of Service. Hakerzy nie próbują nawet wedrzeć się do sieci swoich ofiar. Chcą im tylko zaszkodzić, zarzucając serwery ogromną liczbą pakietów, których obsługa angażuje prawie wszystkie zasoby, w tym pasmo dostępne na łączu internetowym.

Chip ASIC został przeznaczony do realizacji funkcji Stateful Inspection oraz sprzętowej akceleracji szyfrowania w sieciach VPN i taka była początkowo użyteczność bram sieciowych. Wkrótce funkcja ta została powiązana z techniką nazwaną Deep Packet Inspection, w której analizowany jest nie tylko nagłówek IP, jak w Stateful Inspection, ale także cała reszta pakietu. W ten sposób możemy wykryć transmisje nietypowe dla danej aplikacji. Jeśli na przykład z tego samego adresu dociera w ciągu sekundy więcej niż 100 pakietów z żądaniem rozpoczęcia transmisji WWW, firewall wyposażony w układ IDS uzna je za próbę ataku typu DoS i zaalarmuje administratora. Dodatkowo urządzenie można tak zaprogramować, aby wykrywało pakiety zgodne z wzorcami sygnatur ataków, co znacznie rozszerza funkcjonalność podsystemu IDS. Dlatego każdy firewall realizujący funkcję Deep Packet Inspection stanowił do niedawna bardzo dobrą ochronę dla sieci komputerowej i wyznaczył drogę dalszego rozwoju zabezpieczeń. Tak powstały pierwsze zintegrowane bramy bezpieczeństwa, które były odpowiedzią na włamania do sieci i kradzież danych. Od wielu już lat coraz częściej wspominano jednak o wirusach i robakach jako o zagrożeniu przynoszącym o wiele więcej szkód.

Więcej:bezcatnews
UdostępnijTwitter