FILTRI – VARNOST ALI NADLOGA?

PACKET FILTERS – SAFETY OR ANNOYANCE?

Matjaž Straus, Arnes

Predstavitev

Povzetek
Pravijo, da je najvarnejši računalnik tisti, ki ni povezan v omrežje. Še bolje je, če je tudi zaprt v posebnem varovanem prostoru in izklopljen (!?). Kaj pa lahko počnemo s takim sistemom drugega, kot da na njem hranimo neke dragocene podatke? Povezava računalnika v omrežje je danes nuja! Velika večina računalniških sistemov je povezanih v svetovno omrežje − internet in s tem izpostavljenih nešteto možnostim rabe in zlorabe. Osnovno, kar moramo narediti za varnost teh sistemov, je, da nadziramo promet do njih in ga omejujemo na tiste internetne storitve, ki jih uporabljamo z zaupanjem v njihovo varnost.

Arnes zagotavlja ta osnovni nivo varnosti z nameščanjem filtrov na naprave, namenjene povezovanju organizacij v omrežje ARNES in v internet. Te naprave – usmerjevalniki prometa (angl. »router«), ki ločujejo lokalna omrežja organizacije od drugih omrežij, skrbijo za to, da je do računalniških sistemov v omrežju organizacije dovoljen le tisti internetni promet, ki uporabnikom omogoča nemoteno in varno delo.

Predpogoj za pravilno filtriranje internetnega prometa pa je poznavanje internetnih storitev do te mere, da lahko natančno opišemo internetne protokole v prometu, ki ob uporabi storitve poteka med računalniškimi sistemi [1] . Tu pa se včasih zatakne. Če prometa storitve ne poznamo dovolj in ga v filtru ne opišemo dovolj natančno, bo uporaba te storitve onemogočena, če ne že vsaj okrnjena. Za uporabnika postane tak filter nadloga, ki jo poskuša odpraviti z »vrtanjem lukenj« v filter, z omogočanjem poljubnega internetnega prometa do lastnega računalniškega sistema pa doseže tudi delovanje želene storitve. Pri tem je pogosto uspešen in storitev postane uporabna, ne zaveda pa se, da je s tako »luknjo« v filtru bistveno znižal varnost lastnega računalniškega sistema in s tem celotnega omrežja organizacije.

Arnes si prizadeva, da se problemi, ki nastajajo z nameščanjem filtrov, ne bi odpravljali na tak nepremišljeno preprost način, temveč z natančno analizo, kaj vse je potrebno za pravilno in nemoteno delovanje in rabo neke internetne storitve. Z ustreznimi popravki v filtru in morebitnimi popravki v nastavitvah računalniških aplikacij je ta cilj mogoče doseči, ne da bi pri tem okrnili osnovno varnost lokalnega omrežja organizacije.

V prispevku navajamo nekaj najpogostejših primerov, na katere je naletela Arnesova skupina, ki skrbi za filtriranje prometa na usmerjevalnikih priključenih organizacij.

Ključne besede
filtri, protipožarna pregrada, varnost omrežja

Abstract
Some people say the safest computer is not even connected to the network. Even better, it should be placed in a special secure room and switched off (!?). But, such a system is useless nowadays. Network connectivity is vital today! Most of the computers we use today are connected to the Internet and exposed to a variety of options of how to use or misuse them. It is essential that internet (IP) traffic of the computers that are connected to the network is controlled and limited to services, which are used and trusted as safe.

Arnes assures such basic safety level by implementing packet filters on devices, which are used to connect organisations to ARNES network and Internet. These “routers” separate local networks and take care that local computers send and receive only the kind of internet traffic which is needed to use, known and safe services without disturbance.

A proper packet filter can only be constructed if internet protocols, which are being used in the traffic exchange between the computer systems, are known. Some problems might occur at that point. A service that generates traffic which is insufficiently or improperly defined in a packet filter will break or at least won't run as desired. The packet filter becomes an annoyance for the users. Some try to solve that kind of problem by “drilling a hole” into the filter. They often succeed without being aware that such a “hole” radically decreases safety of the local computer network.

Arnes strives to avoid such a simple but thoughtless approach. Precise analysis of the problematical services should be done instead and packet filters and other settings in computer applications should be adjusted correspondingly.

In this paper we show some of the most common cases which have been solved by Arnes engineers who take care of packet filters on routers.

Keywords
filters, firewall, network security