Irodatechnika

Szmtstechnika
H-1033 Budapest, Szentendrei t 39-53. Tel.: +36 1 437 5200; Fax: +36 1 437 5299; www.delta.hu

ltalnos tjkoztat

T Z FA L A K

Delta Elektronik Kft.

Rendszerintegrci
Budapest, 2005

Dokumentum cme: Tzfalak

Verziszm:

Ksztette:

Oldal / sszes oldal:

Felels:

Kucsera Lszl

Utols nyomtats:

1.0
1/9
2005. 01. 05.

Irodatechnika
Szmtstechnika
H-1033 Budapest, Szentendrei t 39-53. Tel.: +36 1 437 5200; Fax: +36 1 437 5299; www.delta.hu

TARTALOMJEGYZK
1.

TZFAL................................................................................................................................ 3

2.

TZFAL TECHNOLGIK .................................................................................................. 4

2.1.
2.2.
2.3.
2.4.
2.5.

CSOMAGSZR (PACKET FILTER) ............................................................................................... 4

LLAPOTTART CSOMAGSZR (STATEFUL PACKET FILTER) ..................................................... 4
LLAPOTTART BETEKINT (STATEFUL INSPECTION FILTER) ..................................................... 5
SOCK TZFALAK ......................................................................................................................... 5
ALKALMAZSSZINT TZFALAK (PROXY, APPLICATION LAYER GATEWAY) .............................. 5

3.

TZFAL HELYE A HLZATBAN ...................................................................................... 7

4.

TZFALAK SSZEHASONLTSA .................................................................................... 8

4.1.
4.2.
4.3.
4.4.

5.

IPTABLES................................................................................................................................. 8
MICROSOFT ISA SZERVER .......................................................................................................... 8
CISCO PIX 515E-R (RESTRICTED) .............................................................................................. 8
ZORP ........................................................................................................................................... 8

TZFALAK TBLZATOS SSZEHASONLTSA............................................................ 9

Dokumentum cme: Tzfalak

Verziszm:

Ksztette:

Oldal / sszes oldal:

Felels:

Kucsera Lszl

Utols nyomtats:

1.0
2/9
2005. 01. 05.

Irodatechnika
Szmtstechnika
H-1033 Budapest, Szentendrei t 39-53. Tel.: +36 1 437 5200; Fax: +36 1 437 5299; www.delta.hu

1. TZFAL
Napjainkban az Internet rohamos terjedsvel egyre nagyobb szksg van arra, hogy az
Internet fell rkez nem kvnatos tevkenysgeket tvol tartsuk sajt rendszernktl, mikzben a
munknkhoz szksges hozzfrseket lehetleg korltozs nlkl elrjk. A vdelem els
lpcsfoka a tzfal mely az Internet s a bels hlzatok kztti adat ramlst szablyozza.
A klnbz tzfal termkek felhasznlt technolgiban, s kpessgeikben akr jelentsen is
eltrhetnek egymstl.

Dokumentum cme: Tzfalak

Verziszm:

Ksztette:

Oldal / sszes oldal:

Felels:

Kucsera Lszl

Utols nyomtats:

1.0
3/9
2005. 01. 05.

Irodatechnika
Szmtstechnika
H-1033 Budapest, Szentendrei t 39-53. Tel.: +36 1 437 5200; Fax: +36 1 437 5299; www.delta.hu

2. TZFAL TECHNOLGIK
2.1. Csomagszr (packet filter)
A csomagszrk az thaladni kvn hlzati csomagok fejrszeit vizsgljk. A vizsglat sorn
az thalad csomagok fejlct elre meghatrozott szablyokkal (rule-ok) hasonltjk ssze, s
egyezs esetn a szablyhoz rendelt dntst (tovbb engedik, blokkoljk stb.) vgrehatjk. A
vizsglatot a forrs, s cl IP cmmel kezdik. A legtbb implementci esetben a kivetkez rteg
(adatkapcsolati) is kirtkelsre kerl (TCP, UDP). Ez esetben lehetsg van a forrs, illetve cl
portra val szrsre is. Ezen fell nhny megolds figyelembe veszi a fejlcben tallhat opcis
biteket is. A csomagszrk felptskbl kvetkezen nem alkalmasak bonyolult ignyek
implementlsra, az tmen forgalom sszetett szrsre, kapcsolatok kvetsre. A szablyok
mennyisge knnyen risira, tlthatatlanra dagadhat. A csomagok egymstl fggetlenl
kerlnek kirtkelsre, nincsenek a kapcsolatok nyomon kvetve. (Nem tudja eldnteni, hogy egy
csomag egy krsre adott vlasz vagy nem). A dntst sorn az egysz csomagnak csak 3-5%-t
veszik figyelembe. Tbb protokollon foly kommunikci (pl. FTP, SQLNet) hatkony szrse nem
oldhat meg.
Napjainkban egyre ritkbban hasznljk, inkbb csak router-ekben valstjk meg.

2.2. llapottart csomagszr (stateful packet filter)

A csomagszr tzfalak hinyossgainak kikszblsre jttek ltre az llapottart
csomagszr tzfalak. A szablyrendszer itt is hasonl, azonban nem csak klnll csomagokat
vizsgl, hanem kapcsolatokat, azok llapott is. Ez fleg a kapcsolat orientlt protokolloknl fontos
elrelps, mint pldul a TCP. A TCP protokoll szrse esetn az llapottart tzfalak kpesek a
TCP kapcsolatok llapotnak kvetsre, azaz kpesek megklnbztetni a kapcsolat kiplst
vgz csomagokat, a kapcsolat megszaktst, lezrst vgz csomagokat. A csomagok
megklnbztetse mellet a tzfal figyelembe veszi, hogy adott csomag csak adott helyen s
idben jelenhet meg a kommunikciban. Pldul adatot tartalmaz csomag nem elzheti meg a
kapcsolat kiplst, s nem rkezhet a kapcsolat lezrst kveten sem.
Az llapottart-csomagszrk segtsgvel knnyebb vlik az tmen forgalom nyomon
kvetse s szrse. Mr nem csak atomi szinten kerlnek ellenrzsre a csomagok, hanem a
kapcsolatok egsze, az azok kzti sszefggsek alapjn van lehetsge a tzfalnak az
ellenrzsre. Pldul TCP vlaszcsomagok esetn nem csak az ACK jelzbit meglte, vagy hinya
szolgltat alapot a dntshez, hanem a teljes TCP kapcsolat nyomon kvetse (seq-num, acknum, window size, stb.) adja meg a segtsget a tzfalnak. Ugyangy az j kapcsolat
kezdemnyezse sem csak a SYN bit megltn mlik.
Ez a technolgia jelents elre lps a hagyomnyos csomagszrkhz kpest, br itt is mg
mindig csak a csomagok fejlct vizsgljk.

Dokumentum cme: Tzfalak

Verziszm:

Ksztette:

Oldal / sszes oldal:

Felels:

Kucsera Lszl

Utols nyomtats:

1.0
4/9
2005. 01. 05.

Irodatechnika
Szmtstechnika
H-1033 Budapest, Szentendrei t 39-53. Tel.: +36 1 437 5200; Fax: +36 1 437 5299; www.delta.hu

2.3. llapottart betekint (stateful inspection filter)

Az llapottart betekint (stateful inspection) tzfalak a hagyomnyos llapottart technolgia
kiegsztse. A csomagok thaladsakor mr nem csak a csomag fejlce alapjn hoz dntseket,
hanem kpes magba az adat rszbe is betekinteni, illetve bizonyos protokollok jellemzit
ellenrizni, figyelembe venni. Kpesek protokollok bizonyos parancsait figyelni s az ltala nem
ismert, vagy illeglis parancsokat eldobni. Tbb csatorns protokollok esetn alkalmasak a
jrulkos csatorna nyits parancs rtelmezsre, s a megfelel csatorna nyitsra.
A ma ismert tzfalak (Cisco, ISA, iptables, Checkpoint) jellemzen ezt a technolgit
hasznljk.

2.4. Socks tzfalak

A Socks proxyk mkdsi elve egyszer: A kliens gpre teleptsre kerl egy program modul,
ami minden hlzati kapcsolat kezelst tveszi az eredeti opercis rendszertl. Amikor egy
program kapcsoldni akar egy szerverhez, akkor a kapcsoldsi krst a modul kezeli, s a
program helyett kapcsoldik az elre belltott SOCKS proxyhoz, majd megadja a proxynak, hogy
milyen cmre szeretne kapcsoldni. Ezek utn a proxy kapcsoldik a kliens program ltal kijellt
szerverhez. A kapcsolat kiplse utn az adatforgalmat a kliens program a modul segtsgvel a
SOCKS proxyn keresztl a vgzi. Ez a megolds hlzati szempontbl nem tekinthet
transzparensnek, de a program szempontjbl igen, mivel a programon nem kell kln
belltsokat elvgezni. (Bizonyos programok natvan tmogatjk SOCKS proxyk hasznlatt,
ilyenkor termszetesen a megolds nem tekinthet transzparensnek.)
Elmondhat, hogy a SOCKS tzfalak bizonyos tekintetben a csomagszrk fltt, de az
alkalmazsszint tzfalak alatt helyezkednek el. Nem teljesen transzparens mivoltuk, s limitlt
magas szint szrsi kpessgeik azonban meggtoltk szleskr elterjedst.
E technolgia megtallhat a Microsoft ISA szerverben.

2.5. Alkalmazsszint tzfalak (Application layer gateway)

A proxy tzfalak mkdsi elve nagyon egyszer. A kliensek, s a kiszolglk kztt nem pl
fel kzvetlen kapcsolat, hanem mindketten a tzfalon fut proxy alkalmazssal kommuniklnak. A
proxy egyik hlzati csatoljval az ismeretlen hlzat kiszolglihoz kapcsoldik, a msikkal,
pedig a bels hlzatban tallhat kliensekhez. A kapcsolat kettssgbl kifolylag a proxy
tzfalak minden klnsebb bellts nlkl kpesek kivdeni a csomagszint tmadsokat.
A proxy alap tzfalakkal megvalsthat a mly-protokollelemzs. Sokak szmra meglep
lehet, de hiba lteznek protokollok, azok betartst alap esetben egy hlzati eszkz sem
ellenrzi. Ez nagy teret ad a rosszindulat tmadknak, hiszen sok hlzati eszkzben s
alkalmazsban vannak olyan biztonsgi rsek, amiket, a protokollt srt metdusokkal ki lehet
jtszani. Amennyiben a proxy alkalmazs a teljes szabvnyt megvalstja, teht ismeri az sszes
utastst s attribtumot, egyfajta hlzati rendszknt minden szabvnyt srt kommunikcis
prblkozst megtagadhat.

Dokumentum cme: Tzfalak

Verziszm:

Ksztette:

Oldal / sszes oldal:

Felels:

Kucsera Lszl

Utols nyomtats:

1.0
5/9
2005. 01. 05.

Irodatechnika
Szmtstechnika
H-1033 Budapest, Szentendrei t 39-53. Tel.: +36 1 437 5200; Fax: +36 1 437 5299; www.delta.hu

Tovbbi elnye a mly protokollelemzsnek, hogy segtsgvel a tzfal lesebben lt. A

hlzati kommunikciban jval rszletesebben tud esemnyeket megklnbztetni egymstl,
aminek kvetkeztben a reakcija is kifinomultabb lehet.
A tartalomelemzs tipikusan a modulris tzfalak sajtja. nll modulknt plnek be az
architektrba, gy kpesek valamennyi proxy-val egyttmkdni. A megoldand feladat ltalban
vrusszrs a tartalomban. Ritkbb esetben kulcsszavak alapjn trtn szrs is elfordulhat.

Dokumentum cme: Tzfalak

Verziszm:

Ksztette:

Oldal / sszes oldal:

Felels:

Kucsera Lszl

Utols nyomtats:

1.0
6/9
2005. 01. 05.

Irodatechnika
Szmtstechnika
H-1033 Budapest, Szentendrei t 39-53. Tel.: +36 1 437 5200; Fax: +36 1 437 5299; www.delta.hu

3. TZFAL HELYE A HLZATBAN

A tzfal helye a hlzaton alapjaiban meghatrozza a hlzat megvdsnek minsgt.
Ha csak egyszeren a bels klienseknek szksges elrni az Internetet, akkor viszonylag
egyszer a feladatunk. Elg csak a kvnt protokollkrseket a megfelel szerverekhez
kiengednnk. Ezt mg fokozhatjuk a kliensek hitelestsvel, illetve ez alapjn svszlessg
szablyzsval.
Bonyolultabb a helyzet, ha olyan szolgltatst zemeltetnk, amit az Internet fell elrhetv,
kell tennnk. (pl. HTTP Web szervert). ltalnos tapasztalat, hogy hlzat fell rkez tmads
esetn legritkbb esetben a tzfal az ldozat. Mivel a tzfalak jl vdettek, ezrt a mgttk lv
szolgltatst futtat gpek a clpontok. Ha ez a gp a bels hlzaton tallhat, s egy tmadnak
sikerl a szolgltatst feltrni, ebben az esetben a tmad mris bent van a bels hlzat egyik
gpn, a szolgltatst futtat felhasznl jogaival. Ha a szolgltatst futtat gp mg tartomnyba
is van lptetve, akkor a tmad elkpzelhet, hogy az egsz tartomnyhoz hozz frsi jogokat
szerez. (Itt tartom fontosnak megjegyezni, hogy a tzfalak, csak a vdelem egy lpcsfoka. Egy
rosszul belltott szervert nem tud megvdeni.) Ezt a lehetsget kizrand, az ilyen gpeket a
tzfal egy elklntett gynevezett DeMilitarizlt znjba (DMZ) szoktk helyezni. Mivel a tzfalon
klnbz szablyok vannak rendelve a klnbz znkhoz, ezrt, mg ha sikerl is feltrni a
szolgltatst biztost szervert, onnan mg nem lehet a bels vdett hlzathoz hozzfrni.

INTERNET

router

Tuzfal

PIX
inside interface

dmz interface

outside interface

demilitarizlt zna
(DMZ)

internet LAN
(megbzhatatlan)

publikusan elrheto
szolgltatsok (owa,
vpn stb...)

belso vdett LAN

Dokumentum cme: Tzfalak

Verziszm:

Ksztette:

Oldal / sszes oldal:

Felels:

Kucsera Lszl

Utols nyomtats:

1.0
7/9
2005. 01. 05.

Irodatechnika
Szmtstechnika
H-1033 Budapest, Szentendrei t 39-53. Tel.: +36 1 437 5200; Fax: +36 1 437 5299; www.delta.hu

4. TZFALAK SSZEHASONLTSA
4.1. IPTABLES
Ez egy GNU/GPL nylt forrskd stateful packet filter alap tzfal csomag, Linux opercis
rendszerre. Hasznlata ingyenes. Kpes tbb csatornj protokollok kezelsre is. Rugalmas,
sokfle modult fejlesztetek hozz. Folyamatosan fejlesztik. Az opercis rendszer (Linux)
felkszthet, hogy csak a szksges funkcikat tmogassa (mr majdnem appliance). Erforrs
ignye nem nagy, fleg ha szveges zemmdban hasznljk az opercis rendszert.
Konfigurci mentse / visszatltse egyszer.

4.2. Microsoft ISA Szerver

A Microsoft ltal a Windows szerverre tervezett tzfal. ltalban stateful Inspection
technolgit kpviseli, de megjelentek benne mr bizonyos proxy-k is. A Microsoft Active Directoryba knnyen integrlhat.

4.3. Cisco PIX 515E-R (Restricted)

A Cisco ltal tervezett hardver alap stateful Inspection tzfal. A hardveres megvalsts miatt
nem ignyel kln beavatkozst lelltskor. Helyignye kicsi (1 U), rackbe szerelhet. Maximum 3
interface-ig bvthet (a Restricted verzi). 190Mbit/sec tbocstsi teljestmnyre kpes.
Hibatrses megolds az unrestricted verzival lehetsges.

4.4. Zorp
A Zorp Professional a technolgia jelenlegi legfejlettebb szintjt alkot alkalmazs szint
tzfalak csaldjba tartoz magyar fejleszts. A rajta keresztlmen forgalmat az tvitt protokollt
megvalst gynevezett proxyk (megbzottak) ellenrzik s tovbbtjk. (Mly protokollelemzs)
A Zorp Professional jelenleg az albbi protokollok teljes formai elemzsre kpes: FTP, HTTP,
SSL, POP3, FINGER, WHOIS, NNTP, IMAP, TELNET, PRINTER, RADIUS, TFTP, LDAP, PGSQL,
ORACLE NET8.
Plug proxy-val brmely egy porton kommunikl kliens szerver kapcsolat felgyelhet. (SSH,
MYSQL, VNC, Microsoft Terminal Service, GOPHER, SMB/CIFS, TALK, SYSLOG, IPP, RSYNC)
A konkurens tzfal termkek nem kpesek az egymsba gyazott protokollok (HTTPS,
POP3S, SMTPS) kontrolllt tvitelre, gy mindssze kt lehetsgnk marad: teljes mrtkben
tiltjuk, vagy ellenrzs nlkl tengedjk az adott forgalmat. A Zorp szoftver modularitsa lehetv
teszi, hogy ezeket az egymsba gyazsokat is ellenrizzk, lvn minden proxy egy olyan modul,
mely kpes csatlakozni brmely ms modul ltal kiajnlott alprotokollhoz. Ez az egymsba
gyazssal megoldhat a protokollokban val vrus ellenrzs.

Dokumentum cme: Tzfalak

Verziszm:

Ksztette:

Oldal / sszes oldal:

Felels:

Kucsera Lszl

Utols nyomtats:

1.0
8/9
2005. 01. 05.

Irodatechnika
Szmtstechnika
H-1033 Budapest, Szentendrei t 39-53. Tel.: +36 1 437 5200; Fax: +36 1 437 5299; www.delta.hu

5. TZFALAK TBLZATOS SSZEHASONLTSA

IPTABLES
cikkszm
termk nett ra
licenc

MS ISA

Cisco PIX
PIX-515E-R-DMZ-BUN
740 000 Ft
130 000 egyidej
kapcsolat (session)
8
160 000 Ft

ZORP PRO

ingyenes
GNU/GPL

400 000 Ft
1 processzor

installlsi id (ra)
installls nett
kltsge

8
148 000 Ft

8
148 000 Ft

hardver
opercis rendszer
technolgia

Intel processzoros gp
Linux
stateful inspection

Intel processzoros gp
Windows
stateful inspection,
(nmi proxy funkcik)

Cisco sajt hardver

PIX OS
stateful inspection

Telepts kpzettsgi
ignye
magas rendelkezsre
lls
sklzhatsg
svszlessg
menedzsment
domain
authentication,
authorization,
accounting (AAA)
VPN

kzepes

kzepes

magas

megoldhat

Enterprise verzi

unrestricted verzi

igen
megoldhat

igen
igen

unrestricted verzi
nem

Zorp 3.0 Firewall

System Cluster
igen
igen

nem
nincs

lehetsges
Active Directory

nem
radius,
Cisco ACS

ldap-on keresztl
ldap, radius,
ZAS

lehetsges, kln
program
nincs
nincs

software beptve

software (hardware)

software

van
ms gyrt termkvel

nincs
nincs

lehet authentikcihoz
brmilyen protokollban

kliens
vrus ellenrzs

630 000 Ft
100 darab vdett ip
14
259 000 Ft
Intel processzoros gp
Linux (specilis)
alkalmazs szint,
mly protokol elemzs,
modulris
magas

rdeklds:
Neuwald Tivadar, zletg Igazgat
DELTA Elektronik Kft.
Microsoft Gold Certified Partner
Microsoft Authorised Educational Reseller
CITRIX Silver Partner

Telefon: +36 1 437 52 67

Mobil: +36 30 982 13 68
Fax: +36 1 437 5299
E-mail: tivadar.neuwald@delta.hu

Dokumentum cme: Tzfalak

Verziszm:

Ksztette:

Oldal / sszes oldal:

Felels:

Kucsera Lszl

Utols nyomtats:

1.0
9/9
2005. 01. 05.