במאמר זה נסביר מה תפקיד ה- Firewall ברשת הארגונית ואילו טכנולוגיות חדשות ישנן בתחום.
המושג "חומת אש" מוכר מעולם ההתגוננות כנגד שרפות, ובעצם מדובר בקירות אשר נבנו בבניינים ומנעו מהאש לעבור בין הקומות ובתוכן בעת שריפה.
בהקשר הטכנולגי החלו להשתמש בביטוי בצורה "רשמית" בתחילת שנות ה- 90. תפקיד ה- Firewall בעולם הטכנולוגי הוא להגן על הרשת הפנים ארגונית (הרשת הבטוחה/הנבטחת) מהרשת החיצונית (הרשת שבה איננו בוטחים בכל תנאי, לרוב אינטרנט). לעיתים ה- Firewall יחצוץ בין כמה רשתות מחשבים למשל בין רשת של ספק גדול ללקוחות שלו או בין חברת אם לחברות בנות.
לאחר התקנת Firewall בארגון יש להגדיר אותו. ההגדרה משתנה מעסק לעסק ותלויה ב"רמת הגישה" שלו לאינטרנט ובתוכנות והישומים להם הוא מרשה לצאת החוצה ולהכנס פנימה אל מערכות המחשוב בעסק. חלק זה הוא חלק חשוב ביותר. Firewall שאינו מוגדר/מותקן כראוי למעשה לא מועיל כלל.
ה- Firewalls הראשונים היו פרמיטיבים למדי, וכל מה שהם ידעו לבצע זה סינון פשוט, מתי מותר/אסור להעביר את המידע אל הארגון או להוציא אותו החוצה. ההחלטה התקבלה על פי חוקים שהוגדרו מראש והתייחסה רק לכתובת השולח/מקבל. (לכל מחשב באינטרנט ישנה כתובת הנקראת כתובת IP. כתובת זו היא יחודית לאותו מחשב) Firewalls מסוג זה לא ידעו לקרוא את תוכן המידע כלל, אלא רק את הכתובת של השולח והמקבל ועל פי זה יכל מנהל הרשת לקבוע חוקים. עם השנים וההתפתחות בתחום, נוספו יכולות חדשות ל- Firewalls ותפקידים נוספים אשר הפכו אותם לחכמים יותר. נסקור בקצרה חלק מהתכונות המתקדמות והנפוצות יותר בתחום (חלק מתכונות אלו קיימות בנתבים (Routers) משולבים עם Firewalls):
VPN
תמיכה בחיבור מרוחק (למשל מבית העובד או ממחשבים ניידים) אל העסק, החיבור לרוב יהיה מאובטח ומוצפן.
DHCP
תכונה המאפשרת חלוקת כתובות לכל המחשבים ברשת הארגונית באופן אוטומטי.
DDNS
תכונה זו מאפשרת חיבור אל שרתי שמות דינמיים באינטרנט ומאפשרת לעסקים קטנים אשר כתובת האינטרנט שלהם אינה קבועה להתחבר אל המחשב שלהם מכל מקום.
Content Filtering and Inspection
מערכת לסינון תכנים המונעת גלישה וצפיה באתרים ותכנים אשר מדיניות הארגון אוסרת גלישה בהם, כגון פורנוגרפיה, אתרי מכירות ועוד.
Application Intelligence and Web Intelligence
בדיקה חכמה של המידע העובר דרך ה- Firewall. בודק בעיקר סוגי התקפות דרך שכבת האפליקציה, לדוגמא קוד זדוני שאתר מסוים מנסה להעביר למחשב הגולש תוך כדי גלישה, כמו כן יודע "לקרוא" את המידע העובר ולהבין איזו אפליקציה הפעיל המשתמש (לדוגמא מייל/קאזה/אי מיול/FTP) ובהתאם לכך לבדוק האם המידע נקי מאיומים ו/או לפעול על פי הגדרות קבועות מראש (כגון חסימה של תעבורה זו).
STATEFULL INSPECTION
טכנולוגיית Firewall הבוחנת את תוכן חבילות המידע כדי להחליט האם להרשות להן להיכנס לרשת. זו הטכנולוגיה שנחשבת כדרישת מינימום בהגנה על רשתות עסקיות, טכנולוגיה זו יודעת להסתכל ב"תוך" המידע ולהחליט האם לתת לו לעבור על פי קריטריונים כגון: האם הוא המשך של תקשורת שנוצרה כבר, האם הוא מכיל קוד זדוני.
NAT/PAT
תכונה המאפשרת "חסכון" בכתובות אינטרנט (מספר מחשבים ברשת הארגונית יכולים "לצאת" לאינטרנט עם כתובת אחת) כמו כן מאפשרת שימוש בפורטים (ערוצים) דינמיים במחשב, ולמעשה יוצרת עוד שכבת הגנה בכך שכתובות ה- IP הפנימיות של המחשבים בארגון לא נחשפות.
IDS/IPS
מערכת שלרוב נמכרת בנפרד אך יש גם מערכות משולבות עם Firewall. מערכת זו מגינה, מתריעה ומונעת כל שינוי בדפוס ההתנהגות הרגיל של הרשת שיכול להצביע על ניסיון חדירה אל הרשת האירגונית.
Identification and Authentication
שילוב עם מערכות אימות זהות כך שרק אנשים אשר יאמתו את זהותם מול ה-Firewall (באמצעות סיסמא), יורשו להכנס לרשת הארגונית. לדוגמא עבודה מול רשימת המשתמשים הקיימת בשרתים, מול שרת Radius Server או אימות באמצעות PKI (אימות זהות המתחבר על ידי תעודה אלקטרונית).
Proxy Cache
תכנים אשר נדרשים יותר נשמרים במעין זיכרון מטמון מקומי לצורך גישה מהירה יותר.
Firewall יכול להגיע בשתי צורות:
תוכנה/חומרה סגורה: ישנן תוכנות Firewall שאותן יתקינו אנשי המחשבים בשרת מרכזי שתפקידו למעשה יהיה להיות ה- Firewall בארגון, וישנן חברות שמשווקותFirewall ב"קופסא" סגורה יעודית לתפקיד זה (Appliance). ישנן תוכנות Firewall המשמשות להגנה על כל הרשת הארגונית וישנן המשמשות להגנה על מחשב בודד (Personal/Desktop Firewall), כפי שמיקרוסופט מספקת ב- Windows XP SP2 וב- Windows Server 2003 SP1 אשר מומלץ מאוד להפעילו בכל מחשב בנוסף להגנה המרכזית. ה- Firewalls המובילים בשוק: PIX של חברת סיסקו CHECKPOINT NGX של חברת צ'ק פוינט (או S-BOX שהיא מהדורת ה- "קופסה הסגורה" שלהם, Appliance ISA של חברת מיקרוסופט.
לסיכום נאמר כי כל עסק המחובר לרשת אחרת (לרוב אינטרנט) חייב להתקין Firewall אשר יוגדר על ידי אנשי מחשוב עם הגדרות המתאימות לאופי העסק. כפי שראינו בכתבה בגיליון הקודם Firewall הוא חלק חשוב מאוד בהגנת העסק מפני חדירות אל מערכות המחשוב אבל ישנן "שכבות" הגנה נוספות אשר חייבות להיות מוטמעות וחייבים להתייחס אליהן בבואנו להגן על מערכת מחשוב עסקית. Firewall לבדו אינו מספיק ולא יכול לתת מענה לכל האיומים.
נכתב ע"י אורי שמאי, מנהל System
