Protecie cu firewall Un firewall este un grup de programe localizate pe serverul gateway al reelei ce necesit protecie.

Acest grup de programe vor proteja impreun resursele reelei de restul utilizatorilor din alte reele similare - internetul, dar simultan vor controla ce resurse vor accesa utilizatorii locali. Termenul implica de asemenea politica de securitate care este folosit cu aceste programe. De fapt, un firewall, lucreaz n deaproape cu un program de routare, examineaz fiecare pachet de date din reea (fie cea local sau cea exterioar) ce va trece prin serverul gateway pentru a determina daca va fi trimis mai departe spre destinaie. Un firewall include de asemenea sau lucreaz mpreun cu un server proxy care face cereri de pachete n numele staiilor de lucru ale utilizatorilor. n cele mai ntlnite cazuri aceste programe de protecie sunt instalate pe calculatoare ce ndeplinesc numai aceast funcie i sunt instalate n faa routerelor. nainte de a construi un firewall trebuie hotart politica sa, pentru a ti care va fi funcia sa i n ce fel vom face acest lucru. Un firewall este folosit pentru doua scopuri: pentru a pstra n afara reelei utilizatorii ru intenionai (virui, viermi cybernetici, hackeri, crackeri) pentru a pstra utilizatorii locali (angajaii, clienii) n reea Politica firewall-ului se poate alege urmnd civa pai simpli: alege ce servicii va deservi firewall-ul desemneaz grupuri de utilizatori care vor fi protejai definete ce fel de protecie are nevoie fiecare grup de utilizatori pentru serviciul fiecrui grup descrie cum acesta va fi protejat scrie o declaraie prin care oricare alte forme de access sunt o ilegalitate Politica va deveni tot mai complicat cu timpul, dar deocamdat este bine s fie simpl i la obiect. Pot fi combinaii diferite de firewall-uri, depinde de mediul n care va fi aplicat. Filtre pe baz de pachete (Packet Filtering) opereaz la nivelul 3 este cunoscut ca firewall pe baz de porturi fiecare pachet este comparat cu o list de reguli (adresa sursa/destinatie, port surs/destinaie, protocol) sunt transparente pentru utilizator, aplicaiile nu necesit modificri sau configurri nu este greu de implementat dar este cel mai puin sigur se bazeaz pe o tehnologie de 20 de ani exempu: liste de acces - ACL, router access control lists Tot traficul din internet se face sub form de pachete. Un pachet este o cantitate de date de marime limitat, marime destul de redus pentru o bun manevrare. Cnd o cantitate mare de date trebuie s fie transmis, se mparte n pachete care vor fi asamblate la destinaie. Un astfel de pachet conine: cererea, confirmarea sau comanda de la sistemul generator portul i adresa IP surs portul i adresa IP de destinaie informaii despre protocolul care va fi folosit cnd va fi procesat

informaii legate de verificarea erorilor unele informaii despre tipul datelor care sunt trimise deseori mai sunt incluse i alte date care nu au legtura cu filtrarea lor La filtrarea pe baz de pachet, numai protocolul i adresele sunt examinate. Coninutul i contextul su referitor la legtura cu alte pachete i cu aplicaiile este ignorat. Nu se ine cont de aplicaii nu se tie nimic despre sursa informaiilor. Filtrarea const n examinarea pachetelor ce vin sau pleac i n blocarea sau trecerea lor n funcie de politica regulilor create. Politica la filtrarea pachetelor poate fi bazat pe blocarea sau accesul pachetelor dup adresa IP, dup port sau dup protocol. Pentru c foarte puine date sunt analizate i nregistrate, acest tip de filtrare consum foarte puin din procesor i nu creeaz ntarzieri de pachete. Acest tip de filtrare este eficace dar nu ofer o protecie 100%. Chiar dac poate bloca tot traficul, ntr-o reea funcional unele pachete tot trebuie s treac. Punctele sale slabe ar fi c informaiile legate de adresa IP pot fi falsificate (se creeaz "spoof" de la surs), userul nu este identificat dect dup IP, iar alocarea dinamic a IP-ului prin DHCP ar crea o oarecare dificultate n contrucia filtrelor. De asemenea informaia transportat din pachetele care trec nu este verificat, aceasta putnd duce la exploatarea unor errori de programare din aplicaii (de exemplu un hacker poate exploata un bres cunoscut dintrun server web). Filtre pe baz de circuit (Circuit Relay sau Circuit Level Gateway) opereaz la nivelul 4 este mai eficace ca filtrarea pe baz de pachete necesit suport la utilizator, configurarea aplicaiilor exemplu: SOCKS firewall Acest tip de firewall nu doar blocheaz sau las s treac pachetele s treac. nti valideaz coneciunile dintre cele dou puncte n conformitate cu regulile configurate, apoi deschide o sesiune i permite trafic numai de la sursa permis i numai pentru o anumit perioad de timp. Politica de filtrare poate fi bazat pe: adresa surs IP i/sau portul adresa destinaie IP i/sau portul perioda din zi protocolul utilizatorul parola n comparaie cu filtrul pe baz de pachete este un pas n plus. Este un avantaj n controlul traficului ce utilizeaz protocolul UDP, care este fr stare i adresa surs IP nu este validat ca o funcie a protocolului. Un dezavantaj este c funcioneaz la nivelul de transport (Transport Layer), iar unele programe necesit modificri. Puncte de acces la nivel de aplicaie (Application level gateways) lucreaz la nivelul 5 al reelei este orientat pe aplicaie sunt mai scumpe de implementat, iar viteza de lucru este mai mic sunt mai sigure i pot crea nregistrri cu activitile utilizatorilor

n cele mai multe cazuri este nevoie de o configurare la utilizator exemplu: proxy web (http) Cu aceast metod un firewall controleaz traficul mult mai mult. Punctul de acces se comport ca un proxy pentru aplicaii, schimbul de date avnd loc ntre proxy i sistemul destinaie n numele aplicaiei folosite de utilizator. Un sistem ce folosete acest proxy este invizibil pentru sistemul destinaie. Poate bloca sau permite traficul dup reguli foarte exacte, de exemplu execuia doar a anumitor comenzi, accesul numai la anumite tipuri de fiiere, diferite reguli n funcie utilizatorii autentificai i aa mai departe. nregistrarea traficului poate fi foarte detaliat, iar alarmarea administratorilor se poate face sub reguli precise. Firewall-urile de acest tip sunt considerate ca cele mai sigure, cu siguran capabilitile lor sunt cele mai sofisticate. Un dezavantaj este c configurarea unui astfel de firewall este foarte complex, este nevoie de atenie sporit pentru fiecare aplicaiie care folosete punctul de acces (gateway). O aplicaie proxy este implementat de obicei pe o arhitectur separat a crei funcii primare este s furnizeze servicii proxy. Filtre cu stare, analiz pe mai multe nivele filtrare la nivelul 3 validare la nivelul 4 inspecie la nivelul 5 sunt foarte complexe din punct de vedere al securitii i al implementrii exemplu: CheckPoint Firewall-1 Aceste filtre sunt bazate pe tehnologii noi i furnizeaz modaliti noi pentru asigurarea securitii reelei. Firewall personale (Host Firewall) Aceste filtre sunt cele configurate direct pe staiile de lucru. Se pot baza pe diferite metode, n funcie de ele se acceseaz resursele reelei. blocarea driverelor pentru protocoale: se blocheaz ncrcarea driverelor pentru protocoale pentru a nu fi folosite de ctre programe blocare la nivel de aplicaie: se permite accesarea reelei sau a conexiilor ce se deschid doar a aplicaiilor sau a librriilor dorite blocare pe baz de semntur: se monitorizeaz constant traficul din reea i se blocheaz atacurile asupra calculatorului Dac numrul de calculatoare protejate individual de cte un firewall este destul de mare, controlul securitii din reea este destul de dificil. De asemenea exist posibilitatea unei bree n sistem datorit unei erori de configuraie. Toate aceste tipuri de firewall au un lucru n comun: primesc, analizeaz i apoi decid despre datele care ajung n reea. Asta nseamn c lucreaz cu pachete i sunt instalate strategic n punctul de acces al reelei sau al sistemului ce trebuie protejat. Traficul ce pleac poate fi i el analizat i filtrat. n concluzie, tipurile i posibilitile firewall-urilor sunt definite n mare de locul unde se gsesc n ierarhia reelei, nivelul la care opereaz, modul cum sunt analizate i cum este afectat traficul de date (pachetele), funciile auxiliare de securitate i utilitare pe care le ndeplinesc (datele pot fi encriptate/decriptate de firewall pentru securizarea comunicaiilor, prin intermediul scripturilor administratorii poate opera i programa, un firewall poate facilita comunicaia ntre dou reele incompatibile direct).