Kwalifikacja: INF.06 - Montaż i eksploatacja szerokopasmowych sieci kablowych pozabudynkowych

Question

Kwalifikacja: INF.06 - Montaż i eksploatacja szerokopasmowych sieci kablowych pozabudynkowych

Zawód: Technik szerokopasmowej komunikacji elektronicznej

Podczas analizy pakietu danych przez zaporę sieciową nie jest brany pod uwagę

Prawidłowo wskazany został adres fizyczny nadawcy, czyli adres MAC. Typowa zapora sieciowa, szczególnie taka działająca na brzegu sieci lub w routerze, analizuje pakiety głównie na poziomie warstwy trzeciej i czwartej modelu ISO/OSI, czyli IP oraz porty TCP/UDP. To właśnie dlatego w regułach firewalla zawsze widzisz pola typu: źródłowy adres IP, docelowy adres IP, port źródłowy, port docelowy, protokół (TCP, UDP, ICMP). Moim zdaniem to jest taki absolutny standard, bez którego żadna sensowna polityka bezpieczeństwa by nie zadziałała. Adres MAC funkcjonuje w warstwie drugiej (warstwa łącza danych) i jest istotny dla przełączników, mechanizmów typu VLAN, STP czy filtrowania na poziomie portów switcha. Klasyczna zapora sieciowa L3/L4 – zgodnie z dobrymi praktykami i typowymi wdrożeniami w firmach – nie opiera reguł na adresach MAC, bo te zmieniają się przy każdym przejściu przez router. Pakiet IP przechodzący przez Internet będzie miał ten sam adres IP nadawcy i odbiorcy (pomijając NAT), ale adresy MAC będą inne na każdym kolejnym odcinku sieci, zależne od lokalnych interfejsów. W praktyce, gdy administrator konfiguruje firewall w małej firmie, zwykle blokuje np. ruch z określonej podsieci IP, zamyka porty 445/TCP czy 3389/TCP, albo zezwala tylko na ruch HTTP/HTTPS na portach 80 i 443. Nikt normalnie nie wpisuje tam adresów MAC komputerów z biura, bo firewall ich po prostu nie widzi w klasycznym scenariuszu routingu. Są oczywiście rozwiązania UTM czy zapory warstwy 2, które potrafią brać MAC pod uwagę, ale w typowym, podręcznikowym pytaniu o analizę pakietu przez zaporę sieciową chodzi właśnie o to rozróżnienie: firewall analizuje IP i porty, a nie adres fizyczny nadawcy. Z mojego doświadczenia dobrze jest kojarzyć to z modelem OSI: firewall – warstwa 3/4, switch – warstwa 2. Jak myślisz o regułach firewalla, myśl o IP i portach, a o MAC-ach raczej w kontekście sieci lokalnej i przełączników. To bardzo ułatwia później projektowanie i diagnozowanie sieci.

W tym pytaniu łatwo się złapać na skojarzenie, że skoro firewall „widzi cały pakiet”, to na pewno patrzy na wszystko, w tym na adres fizyczny nadawcy. W praktyce jednak klasyczna zapora sieciowa działa głównie na poziomie warstwy sieciowej i transportowej, czyli interesuje ją to, co jest w nagłówku IP oraz TCP/UDP. Dlatego adres IP nadawcy i adres IP odbiorcy są dla niej kluczowe – na ich podstawie powstają podstawowe reguły typu: zezwól ruch z tej podsieci do Internetu, zablokuj ruch z zewnętrznej sieci do serwera baz danych i tak dalej. To jest absolutna podstawa polityk bezpieczeństwa w większości firmowych sieci. Podobnie z portami nadawcy i odbiorcy. Port docelowy w połączeniu z protokołem (np. TCP 80, TCP 443, UDP 53) w praktyce oznacza konkretną usługę: HTTP, HTTPS, DNS itd. Firewall wykorzystuje to do filtrowania usług, np. blokowania serwerów pocztowych, otwierania tylko niezbędnych portów do panelu administracyjnego czy ograniczania dostępu do serwerów aplikacyjnych. Port źródłowy też bywa analizowany, chociaż częściej jest losowy, ale nadal jest elementem pięciotki: źródłowy IP, docelowy IP, źródłowy port, docelowy port, protokół. Typowy błąd myślowy polega na mieszaniu roli firewalla i przełącznika. Adres fizyczny (MAC) jest używany w warstwie 2, czyli na poziomie sieci lokalnej. Tam przełączniki decydują, na który port wysłać ramkę na podstawie tablicy MAC. Router, a wraz z nim firewall działający na brzegu, operuje już na adresach IP, a adresy MAC są zmieniane przy każdym „skoku” między segmentami sieci. Z tego powodu zapora, która filtruje ruch między siecią LAN a Internetem, nie ma stabilnej informacji o adresie MAC nadawcy w całej ścieżce, więc nie bazuje na tym przy analizie i podejmowaniu decyzji. Moim zdaniem warto zapamiętać prostą zasadę: jeśli myślisz o regułach w stylu „blokuj ten adres IP” albo „otwórz port 443 do serwera WWW”, to jesteś w świecie firewalla. Jeśli myślisz o wiązaniu adresu MAC do konkretnego portu fizycznego, ochronie przed podłączeniem nieautoryzowanego komputera do gniazdka, to jesteś raczej w świecie przełączników i zabezpieczeń warstwy 2. Adres IP nadawcy, adres IP odbiorcy oraz porty są więc absolutnie brane pod uwagę przez zaporę sieciową, a właśnie adres fizyczny nadawcy jest tym elementem, który w typowych implementacjach filtracji pakietów nie odgrywa roli w regułach firewalla.

Answer 1

A. adres fizyczny nadawcy.

Answer 2

B. port odbiorcy i port nadawcy.

Answer 3

C. adres IP odbiorcy.

Answer 4

D. adres IP nadawcy.

Podczas analizy pakietu danych przez zaporę sieciową nie jest brany pod uwagę

Odpowiedzi

Informacja zwrotna