Ugniasienės interneto kelio filtravimas

Kas ta ugniasienė ir kodėl ji svarbi

Turbūt esate girdėję žodį „ugniasienė” kompiuterių kontekste, bet ar tikrai suprantate, ką ji daro? Pavadinimas skamba gana dramatiška, tarsi kalbėtume apie kokią nors fizinę sieną, apsaugančią nuo liepsnų. Iš tiesų, analogija čia labai tiksli – tik vietoj tikros ugnies, ugniasienė saugo jūsų kompiuterį ar tinklą nuo kenkėjiško interneto kelio.

Ugniasienė (angl. firewall) yra saugumo sistema, kuri stebi ir kontroliuoja įeinančius bei išeinančius duomenų srautus pagal iš anksto nustatytas saugumo taisykles. Galima sakyti, kad tai tarsi saugos kontrolės punktas oro uoste – leidžia praeiti tam, kas atitinka reikalavimus, ir stabdo tai, kas atrodo įtartina.

Šiuolaikiniame pasaulyje, kai beveik viskas yra prijungta prie interneto – nuo telefonų iki šaldytuvų – ugniasienės tapo būtina apsaugos priemone. Be jos jūsų įrenginys būtų kaip namas su visiškai atviromis durimis ir langais, kur bet kas gali įeiti kada panorėjęs.

Kaip atsirado ugniasienių koncepcija

Pirmosios ugniasienės atsirado dar aštuntojo dešimtmečio pabaigoje, kai internetas tik pradėjo plėstis už akademinių ir karinių institucijų ribų. Tuomet tinklai buvo gana paprasti, o saugumo problemos – mažiau sudėtingos nei dabar.

Pirmoji tikroji ugniasienė, kokią ją suprantame šiandien, buvo sukurta 1988 metais Digital Equipment Corporation inžinierių. Jie sukūrė sistemą, kuri filtruodavo paketus pagal tam tikrus kriterijus. Tai buvo revoliucinis žingsnis – anksčiau tinklai buvo arba visiškai atviri, arba visiškai uždaryti.

Devintajame dešimtmetyje atsirado pirmosios komercinės ugniasienės. Įmonė Cisco Systems 1994 metais pristatė savo PIX (Private Internet eXchange) ugniasienę, kuri tapo labai populiari verslo sektoriuje. Tuo pačiu metu pradėjo atsirasti ir programinės ugniasienės asmeniniams kompiuteriams – nes internetas jau nebėjo tik didelių organizacijų privilegija.

Kaip ugniasienė filtruoja trafiko srautus

Dabar pereikime prie pačios įdomiausios dalies – kaip visa tai veikia praktiškai. Ugniasienė analizuoja kiekvieną duomenų paketą, kuris bando patekti į jūsų tinklą arba iš jo išeiti. Tai vyksta keliais lygmenimis ir naudojant skirtingas technologijas.

Paketų filtravimas yra paprasčiausias metodas. Ugniasienė tikrina kiekvieno paketo antraštę – iš kur jis atėjo, kur jis keliauja, kokį protokolą naudoja, kokį prievadą (port) bando pasiekti. Pavyzdžiui, jei turite taisyklę, kad niekas iš išorės negali jungtis prie jūsų kompiuterio per 22 prievadą (SSH), ugniasienė automatiškai atmeta visus tokius bandymus.

Būsenų sekimas (stateful inspection) yra sudėtingesnis metodas. Čia ugniasienė ne tik tikrina atskirus paketus, bet ir stebi visą ryšio sesiją. Ji prisimena, kad jūsų kompiuteris inicijavo ryšį su tam tikru serveriu, todėl leidžia atgal grįžtantiems paketams praeiti. Tai daug saugiau nei paprastas filtravimas, nes užkerta kelią tam tikrų tipų atakoms.

Gilioji paketų inspekcija (Deep Packet Inspection, DPI) eina dar toliau – analizuoja ne tik paketo antraštę, bet ir jo turinį. Tai leidžia aptikti kenkėjišką kodą, virusus ar bandymus išnaudoti saugumo spragas net jei ryšys atrodo teisėtas. Šiuolaikinės ugniasienės dažnai naudoja būtent šį metodą.

Skirtingi ugniasienių tipai ir jų panaudojimas

Ne visos ugniasienės yra vienodos. Priklausomai nuo poreikių ir aplinkos, naudojami skirtingi tipai.

Tinklo ugniasienės paprastai yra fiziniai įrenginiai, kurie stovi tarp jūsų vidinio tinklo ir interneto. Tai gali būti specialus aparatas arba maršrutizatorius su ugniasienės funkcijomis. Tokios ugniasienės saugo visą tinklą – visus kompiuterius, serverius ir kitus prijungtus įrenginius. Įmonės dažniausiai naudoja būtent šio tipo ugniasienę kaip pirmąją apsaugos liniją.

Programinės ugniasienės veikia tiesiogiai kompiuteryje ar serveryje. Windows operacinėje sistemoje tokia ugniasienė įjungta pagal nutylėjimą. Ji kontroliuoja, kokios programos gali naudotis interneto ryšiu ir kokius ryšius priimti. Pavyzdžiui, kai pirmą kartą paleidžiate naują programą, kuri nori prisijungti prie interneto, Windows ugniasienė paklausia jūsų leidimo.

Naujos kartos ugniasienės (Next-Generation Firewalls, NGFW) sujungia tradicinę ugniasienę su kitomis saugumo funkcijomis – antivirusine apsauga, įsibrovimų prevencijos sistemomis, programų kontrole. Jos gali atpažinti ne tik prievadus ir protokolus, bet ir konkrečias programas bei jų veiksmus. Pavyzdžiui, tokia ugniasienė gali leisti naudoti Facebook, bet blokuoti ten esančius žaidimus.

Praktiniai taisyklių kūrimo principai

Ugniasienė yra tik tiek gera, kiek geros jos taisyklės. Blogai sukonfigūruota ugniasienė gali būti beveik nenaudinga arba, priešingai, taip griežta, kad blokuoja ir teisėtą veiklą.

Pagrindinis principas – mažiausių privilegijų. Tai reiškia, kad pagal nutylėjimą viskas turėtų būti užblokuota, o leidžiama tik tai, kas tikrai reikalinga. Geriau pradėti nuo griežtų taisyklių ir palaipsniui jas atlaisvinti pagal poreikį, nei atvirkščiai.

Sukurkite taisykles nuo bendriausių iki specifiškiausių. Ugniasienės paprastai tikrina taisykles iš eilės, todėl jei pirmoji taisyklė leidžia viską, kitos jau nebeturi reikšmės. Pavyzdžiui, jei norite blokuoti prieigą prie tam tikro serverio, bet leisti viską kita, blokavimo taisyklė turi būti aukščiau nei leidimo.

Dokumentuokite kiekvieną taisyklę. Po kelių mėnesių ar metų niekas neprisimins, kodėl buvo sukurta tam tikra taisyklė. Pridėkite komentarą, paaiškinantį jos tikslą – tai labai palengvins administravimą ir problemų sprendimą.

Reguliariai peržiūrėkite ir atnaujinkite taisykles. Tinklo poreikiai keičiasi, senos programos nebepanaudojamos, atsiranda naujos grėsmės. Taisyklė, kuri buvo prasminga prieš metus, šiandien gali būti nereikalinga arba net pavojinga.

Dažniausios klaidos ir kaip jų išvengti

Net patyrę administratoriai kartais padaro klaidų konfigūruodami ugniasienę. Štai keletas dažniausiai pasitaikančių problemų.

Per daug atvirų prievadų – viena dažniausių klaidų. Kai kurie administratoriai, norėdami išvengti problemų, tiesiog atidaro daugybę prievadų „atsargumo dėlei”. Tai kaip palikti visus namo langus atvirus, nes kartais reikia vėdinti. Atidarykite tik tuos prievadus, kurie tikrai reikalingi, ir tik tiems IP adresams, kuriems reikia.

Pamirštos testavimo taisyklės – sukūrėte laikiną taisyklę kažko išbandyti ir pamiršote ją pašalinti. Po kurio laiko tokių taisyklių gali susikaupti dešimtys, ir jos tampa saugumo spraga. Visada pažymėkite laikinas taisykles ir nustatykite priminimus jas peržiūrėti.

Neužšifruoto trafiko leidimas – šiais laikais beveik viskas turėtų būti šifruojama. Jei leidžiate nesaugius protokolus kaip HTTP, FTP ar Telnet, kai yra saugūs alternatyvos (HTTPS, SFTP, SSH), kviečiate problemas. Blokuokite nesaugius protokolus ir verste naudoti šifruotus variantus.

Ignoruojami žurnalai – ugniasienė kaupia daug informacijos apie blokuotus ryšius ir kitas įtartinas veiklas. Daugelis administratorių niekada į juos nepažvelgia, kol neįvyksta incidentas. Reguliariai peržiūrėkite žurnalus arba naudokite automatines sistemas, kurios praneša apie įtartinas veiklas.

Ugniasienės ir šiuolaikiniai iššūkiai

Technologijos keičiasi, o kartu keičiasi ir ugniasienių vaidmuo bei funkcionalumas. Šiuolaikinės grėsmės yra daug sudėtingesnės nei prieš dešimtmetį.

Debesų kompiuterija sukėlė naujų iššūkių. Tradicinė ugniasienė saugo perimetrą – ribą tarp vidinio tinklo ir interneto. Bet kai jūsų duomenys ir programos yra debesyje, kur yra tas perimetras? Atsirado naujos koncepcijos kaip „debesų ugniasienės” ir „nulinė pasitikėjimo architektūra” (Zero Trust), kur kiekvienas ryšys tikrinamas nepriklausomai nuo to, iš kur jis ateina.

Mobilieji įrenginiai taip pat komplikuoja situaciją. Darbuotojai dirba iš namų, kavinių, oro uostų – kaip juos apsaugoti? Tradicinė ugniasienė biure jų nebeapsaugo. Sprendimas – virtualios privatūs tinklai (VPN) su ugniasienės funkcijomis arba programinės ugniasienės pačiuose įrenginiuose.

Daiktų internetas (IoT) – dar viena galvos skausmo priežastis. Išmanieji televizoriai, kameros, termostatai – visi jie jungiasi prie interneto, bet dažnai turi silpną saugumą. Ugniasienė gali padėti izoliuoti tokius įrenginius atskirame tinkle ir kontroliuoti, su kuo jie gali komunikuoti.

Šifruotas trafikas tampa norma, o tai gerai saugumo požiūriu, bet sukelia problemų ugniasienėms. Kaip patikrinti paketo turinį, jei jis užšifruotas? Kai kurios organizacijos naudoja SSL/TLS inspekcijos metodus, kur ugniasienė iššifruoja, patikrina ir vėl užšifruoja trafiko srautus, bet tai kelia privatumo klausimų.

Ką reikėtų žinoti paprastam vartotojui

Nebūtina būti IT specialistu, kad suprastumėte pagrindus ir apsaugotumėte save. Štai keletas praktinių patarimų namų vartotojams.

Jūsų namų maršrutizatorius greičiausiai turi integruotą ugniasienę. Įsitikinkite, kad ji įjungta – paprastai ji įjungta pagal nutylėjimą, bet verta patikrinti. Prisijunkite prie maršrutizatoriaus administravimo sąsajos (paprastai per naršyklę įvedus 192.168.1.1 ar panašų adresą) ir peržiūrėkite saugumo nustatymus.

Neatjunkite Windows ugniasienės, net jei ji kartais erzina pranešimais. Ji yra svarbi apsaugos dalis. Jei kuri nors programa negali veikti dėl ugniasienės, geriau sukurkite konkrečią išimtį tai programai, nei išjunkite visą ugniasienę.

Jei naudojate papildomą antivirusinę programą su savo ugniasiene, įsitikinkite, kad neatsiranda konfliktų. Dvi ugniasienės vienu metu gali trukdyti viena kitai. Paprastai rekomenduojama naudoti arba Windows integruotą ugniasienę, arba antiviruso programos ugniasienę, bet ne abi kartu.

Būkite atsargūs su viešais Wi-Fi tinklais. Kavinės ar oro uosto ugniasienė (jei tokia apskritai yra) nesaugo jūsų – ji saugo jų tinklą. Jūsų kompiuterio ugniasienė čia tampa ypač svarbi. Dar geriau – naudokite VPN, kai jungiatės per viešą Wi-Fi.

Reguliariai atnaujinkite savo įrenginius ir programas. Ugniasienė gali daug, bet ji negali apsaugoti nuo saugumo spragų pačioje operacinėje sistemoje ar programose. Atnaujinimai dažnai taiso tokias spragas.

Ugniasienė kaip apsaugos ekosistemos dalis

Svarbu suprasti, kad ugniasienė nėra universalus sprendimas visoms problemoms. Ji yra viena iš daugelio apsaugos priemonių, kurios turėtų veikti kartu.

Galvokite apie saugumą kaip apie svogūną su daugeliu sluoksnių. Ugniasienė yra išorinis sluoksnis, bet reikia ir kitų – antivirusinės programos, reguliarių atsarginių kopijų, stiprių slaptažodžių, dviejų faktorių autentifikacijos, darbuotojų mokymo. Jei vienas sluoksnis nepavyksta, kiti vis dar gali apsaugoti.

Šiuolaikinėje aplinkoje ugniasienės tampa vis protingesnės ir integruotesnės. Jos jau ne tik blokuoja ar leidžia trafiko srautus – jos analizuoja elgesį, mokosi iš praeities, naudoja dirbtinį intelektą grėsmių aptikimui. Kai kurios gali automatiškai reaguoti į atakas, keisdamos taisykles realiuoju laiku.

Tačiau technologija be žmogaus proto yra nepilna. Geriausia ugniasienė pasaulyje neapsaugos jūsų, jei darbuotojas atvers kenkėjišką el. laiško priedą arba atiduos slaptažodį sukčiams. Saugumas – tai ne tik technologija, bet ir žmonių sąmoningumas bei geros praktikos.

Ugniasienės interneto trafiko filtravimas išlieka vienu svarbiausių saugumo elementų tiek didelėse organizacijose, tiek namų tinkluose. Suprasdami, kaip ji veikia ir kaip ją tinkamai konfigūruoti, galite žymiai padidinti savo skaitmeninę saugą. Ir nors technologijos nuolat tobulėja, pagrindiniai principai išlieka tie patys – kontroliuoti, kas gali įeiti ir išeiti, stebėti įtartiną veiklą ir reaguoti į grėsmes. Tai ne vienkartinis veiksmas, o nuolatinis procesas, reikalaujantis dėmesio ir atnaujinimų.