Pierwsza część cyklu o zaporach ogniowych, w której opowiem – a przynajmniej spróbuję to uczynić – o historii firewalli.

Wiem, tytuł może wydawać się co najmniej głupi. Przecież każdy wie, że firewall to z angielskiego “ściana przeciwogniowa”, czyli jeden z mechanizmów (sprzętowych lub programowych) zabezpieczania sieci i/lub systemów informatycznych przed intruzami. Ale jeśli po takiej odpowiedzi ponowić pytanie “czyli co?”, w sensie jak działa firewall, przestaje być tak prosto. Ktoś słyszał o firewall’ach stanowych, inny bezstanowych, ktoś jeszcze o aplikacyjnych, a już prawie na pewno wszyscy spotkali się z terminem next generation firewall. Jednak jak mówi przysłowie, im dalej w las, tym ciemniej. W tym cyklu postaram się rzucić na temat nieco światła. Na początek tradycyjnie, rzućmy okiem na historię tematu.

Na początku było słowo

Jednakże nie w tym przypadku. Przewertowałem kilka słowników i tezaurusów języka angielskiego, by dojść do przykrego wniosku, że nie wiadomo kiedy termin firewall został użyty po raz pierwszy. Random House Dictionary podaje lata 50. i 60. XVIII wieku, Etymology Dictionary podaje rok 1851, a Oxford English Dictionary cofa nas do XVI wieku. To ostatnie źródło wskazuje również, iż w odniesieniu do systemów informatycznych użyto go po raz pierwszy w 1984 roku. Jednakże idea budowy zapory/muru, mających trzymać intruzów “na dystans”, liczy sobie tysiące lat i bynajmniej nie jest związana z technologią informatyczną. Przykładem, który dotrwał do naszych czasów, może być chociażby Wielki Mur Chiński – zaliczony do siedmiu nowych cudów świata. Aczkolwiek bliższe nam geograficznie i kulturowo zamki, z wysokimi murami, otoczone fosami, mające chronić ludzi i bogactwa, tak przed obcymi armiami, jak i grabieżczymi bandami, są niczym innym jak materialnym przejawem tej samej idei. Jak widać zmieniają się środki, ale idee są wieczne.

Router – poprzednik firewall’a

W późnych latach 80-tych XX wieku pojawiły się routery – i chociaż w teorii miały one łączyć a nie dzielić, to w istocie były pierwszymi urządzeniami, które separowały jedne sieci od innych. Problem w sieci po jednej stronie routera, zazwyczaj był izolowany od sieci po drugiej stronie routera. Analogicznie bardzo “wygadane” protokoły sieciowe (generujące dużo ruchu rozgłoszeniowego) były izolowane w ramach jednej sieci na styku z routerem. Tak powoli dochodzimy do koncepcji urządzenia, mającego zapobiegać lub spowalniać rozprzestrzenianie się niepożądanych i niebezpiecznych zdarzeń. Czemu o tym wspominam, mam nadzieję wyjaśni to dalsza część tekstu, w której pojawi się firma DEC i projekt ich gateway’a.

Potrzeba matką wynalazku

We wczesnych latach istnienia Internetu, korzystało z niego relatywnie małe grono użytkowników, głównie ze środowisk akademickich, ceniących otwartość i chętnych do współpracy oraz dzielenia się owocami swojej pracy. Dzisiaj powszechnie uważa się, że ten idealistyczny obraz zburzył w 1988 roku “robak Morrisa” – znany bardziej pod angielską nazwą Morris Worm. Jednakże dni otwartej i ufnej społeczności, nawet bez “robaka Morrisa” były policzone. W 1989 roku roku Clifford Stoll opublikował fascynującą historię szpiegowską “The Cuckoo’s Egg: Tracking a Spy Through the Maze of Computer Espionage” o pościgu za hackerem-szpiegiem z Niemiec, Markus’em Hess’em, pracującym dla Związku Sowieckiego (swoje “znaleziska” sprzedawał KGB), który włamał się do serwerów Lawrence Berkeley National Laboratory i prawdopodobnie kilku systemów wojskowych. Gorąco polecam zapoznać się z tą historią, która zaczęła się od “śledztwa” w sprawie niepozornej kwoty 0,75 $ i poszukiwaniu błędu w systemie naliczania opłat za użytkowanie serwerów. Niedługo później pojawiło się opowiadanie “An Evening with Berferd” autorstwa Bill’a Cheswick’a z AT&T Bell Laboratories o wymownym podtytule “In Which a Cracker is Lured, Endured, and Studied”. Opowiada ono o historii crakera, który 7 stycznia 1991 roku, usiłował wykorzystać błąd w programie sendmail do pozyskania pliku z hasłami użytkowników. Autor na przynętę wysłał mu fałszywy plik i przez kilka miesięcy pozwolił “buszować” w pełni kontrolowanym środowisku, obserwując stosowane techniki i śledząc jego lokalizację. Opowiadanie jest kroniką sukcesów i porażek włamywacza, a także opisem przynęt i pułapek.

Dobre czasy bezpowrotnie minęły

Te incydenty dobitnie sygnalizowały koniec bezpiecznego i otwartego Internetu. W 1992 roku Steve Bellovin opisał szereg ataków jakie odnotował, monitorując systemy AT&T. Wnioski były przykre – w sieci jest bardzo duża liczba użytkowników nie tylko niegodnych zaufania, ale wręcz złośliwych czy szkodliwych. Również w 1992 roku, na rynku pojawił się pierwszy komercyjny firewall – DEC SEAL firmy DEC. Było to rozwiązanie hybrydowe, łączące filtr pakietów z proxy aplikacyjnym. Autorem tego rozwiązania był Marcus Ranum, który jednakowoż gorączkowo zaprzeczał, jakoby miał prawo do tytułu “wynalazcy firewall’a” i wprost mówił, że jest to “marketing bullshit”.

Ojcowie sukcesu

Nie każdy był jednak równie skromny. Wśród osób obwołujących się tym mianem był Nir Zuk, twierdzący, że to on wynalazł technologię, na której bazują firewall’e. Z kolei David Pensak twierdził, że to on zbudował pierwszy firewall, który odniósł sukces komercyjny. Przywołany już Marcus Ranum wskazywał z kolei na David’a Presotto, jako osobę godną tytułu “wynalazcy firewall’a”. Znani nam już William Cheswick oraz Steven Bellovin z AT&T Bell Labs, którzy w 1994 roku wydali “Firewalls and Internet Security: Repelling The Wily Hacker”, pierwszą książkę o firewall’ach, odmawiają sobie prawa do tytułu “wynalazcy”. Jednakże wszystkie te osoby, jak również Jeff Mogul, Paul Vixie, Brian Reid, Fred Avolio, Brent Chapman oraz wielu innych, były w jakiś sposób związane z powstaniem firewalli. Niektóre z tych osób nazywano “ojcem firewall’a”, jednakże większość ekspertów jest zgodna, że nie było jednej osoby zasługującej na to miano. Ranum podsumował to tak “Wiele osób było w to zaangażowanych… idea krążyła między nami”.

Czy ktoś przetnie ten węzeł gordyjski?

John Pescatore, v-ce prezes firmy Gartner, odpowiada tak: “Cheswick i Bellovin są autorami koncepcji zapory sieciowej – filtra pakietów, który blokuje wszelki ruch, poza tym pożądanym, który jest celowo przepuszczany. Ranum z kolei przełożył tę ideę na pierwszy produkt, w którym została praktycznie zastosowana, czyli DEC SEAL (1992). Również Ranum przyłożył rękę do powstania FWTK Firewall Toolkit (pierwszy programowy firewall z otwartym kodem, 1993), a później do Gauntlet Firewall (1994) firmy Trusted Information Systems (TIS). Z kolei Presotto dodał od siebie koncepcję inspekcji stanowej. Zuk był autorem stanowej zapory ogniowej firmy CheckPoint, a następnie w firmie NetScreen rozwijał pomysł firewall’a jako dedykowanego rozwiązania sprzętowego (appliance), zatem nazwałbym go ojcem sprzętowej zapory ogniowej”. 

Część ekspertów wskazuje, że już w późnych latach 80-tych w Digital Equipment Corporation (DEC), Jeff Mogul, Brian Reid oraz Paul Vixie pracowali nad gateway’em nazwanym gatekeeper.dec.com, o którym możemy powiedzieć, z pewnym uproszczeniem, że jedną z jego funkcji była filtracja pakietów. Na przełomie lat 80-tych i 90-tych, nad swoją wersją technologii bezpieczeństwa pracowali Cheswick oraz Bellovin, jednakże AT&T nie była chętna dzielić się wynikami ich pracy. Z kolei zdaniem Fred’a Avolio, obecnie pracującego w Johns Hopkins University’s Applied Physics Lab “zespoły DEC i AT&T współpracowały nad niektórymi zagadnieniami”.

Z kolei Nir Zuk, który odpowiadał za pierwszy firewall firmy CheckPoint, a obecnie jest znany jako założyciel i CTO  Palo Alto, nie przebierając w słowach dyskredytuje dokonania innych ekspertów “Na świecie jest tylko jedna technologia zapór ogniowych – ta której jestem autorem. Prace wszystkich pozostałych *kolesi* były czysto akademickie i pozostawały na papierze” oraz dodaje “Firewall CheckPoint’a był pierwszym, używalnym i działającym firewall’em”. Zapytany czemu wielu ekspertom przypisuje się udział w stworzeniu firewalli odpowiada “sukces ma wielu ojców”. Ten “typ” chyba jednak tak ma, bo i obecnie nie słynie ze skromności, do czego wrócimy przy okazji firewalli “następnej generacji”, a jak nie zapomnę, to napiszę o pozwie jaki Palo Alto wytoczyła firma Juniper, oskarżając właśnie Nir’a Zuk’a o kradzież własności intelektualnej swojego byłego pracodawcy, firmy NetScreen, nabytej przez …. Juniper’a w 2004 roku.

Natomiast CTO w V.I.Labs, David Pensak, podkreśla, że w stworzeniu i rozwoju zapór ogniowych stał szereg ludzi “Każdy z nas odegrał jakąś rolę. Jednakże gdybym miał kogoś wyróżnić, nazwać ojcem firewall’a, byliby to Marcus Ranum i Fred Avolio”.

Rozczarowany rodzic

Ciekawie o zaporach ogniowych wypowiada się obecnie Cheswick, uważany za jednego z “ojców”, pełniący wówczas funkcję szefa zespołu technicznego AT&T, a obecnie piastujący rolę profesora nauk komputerowych na Columbia University: “Koncepcja zapory jaką opisałem z Bill’em w naszej książce w 1994 jest przestarzała”, i dodaje “Stawianie strażnika przy drzwiach frontowych nie jest rozwiązaniem w dzisiejszych czasach. Absolutnie nie proponuję, aby pozbyć się wszystkich drzwi. Jednak kontrola dostępu do zasobów powinna być realizowana na poziomie hostów.” 

Jak więc widać, chociaż historia firewalli jest całkiem dobrze udokumentowana, trudno wskazać zarówno “dzień narodzin”, jak i rodzica/rodziców tegoż narzędzia. Są w niej czarne charaktery, które przyczyniły się do prac nad zabezpieczeniami, są dzielni rycerze, którzy nie łaknąc sławy ani chwały, przystąpili do “fortyfikowania” sieci i ochrony ich “skarbów” oraz jednostki z przerostem własnego ego. A ja zachęcam do zamieszczania uwag w komentarzach oraz zapraszam do lektury kolejnej części o “ogniomurkach”, którą mam nadzieję niedługo opublikować.

Komentarze