Sunteți pe pagina 1din 11

Protocoale de acces la distanta

O data cu cresterea Internetului, a crescut si necesitatea de a-l accesa din orice loc. La inceput, accesul se facea printr-un terminal conectat la un mainframe din cadrul intreprinderii o metoda depasita la momentul actual. S-a ajuns la necesitatea accesarii de la distanta. Astfel, administratorii de sistem puteau supraveghea activitatea sistemului si sa efectueze schimbarile necesare in caz de urgenta. Erau utilizate modemuri de 110 bauds.

Conectarea la distanta
Componenta, deci, importanta a accesului la distanta este modemul (MODulator/DEModulator). Acesta transforma semnalele digitale generate de computer in semnale care pot traversa reteaua de telefonie (PSTN Public Switched Telephone Network). La capatul receptor, semnalele analogice sint demodulate in semnale digitale si transmise computerului receptor:

ISDN
Nu toate dispozitivele sint compatibile. Cu un modem standard nu se poate face conexiunea la o Retea Digitala cu Servicii Integrate (Integrated Services Digital Network ISDN); este nevoie de un NT-1 (network termination terminator de retea), care insa nu poate face conexiunea decit la ISDN. ISDN are unele beneficii: permite abonatului sa foloseasca telefoane analogice pentru transmisia de date digitale. O interfata de acest gen consta din doua canale, de 64K si 16K, multiplexate in timp (TDM Time Division Multiplexal). In orice moment cele trei canale pot fi folosite individual, sau cele doua canale de 64K pot fi folosite impreuna (pentru 128K). Un avantaj important: se pot folosi cablurile telefonice existente.

Modemurile de cablu
Acestea sint folosite de mai multi ani deja, si profita de faptul ca multi consumatori au deja in case un mediu de transmisie in banda de baza: cablul TV. Se profita de portiunea

neutilizata din latimea de banda a cablului si se folosesc unele tehnici de modulare. Se pot ajunge la viteze de 1 Mbps.

Modemurile de cablu conecteaza computerele la linia de cablu din vecinatate, aproximativ in acelasi mod in care Ethernet-ul realiza conexiunea prin cablu coaxial. Toata lumea se afla pe aceeasi magistrala de date. Inseamna ca toti vecinii ar putea accesa computerul dv, de aceea se iau masuri de prevenire: una din metode se numeste translatarea adreselor de retea (Network Address Translation NAT).

Digital Subscriber Loop (DSL)


Este un serviciu relativ nou, oferind un numar de versiuni interesante ale aceleiasi capabilitati. Exista mai multe variante, cea mai cunoscuta fiind ADSL = Asymmetric DSL. ADSL functioneaza pe ideea ca utilizatorul obisnuit va descarca (download) mai mult decit va trimite (upload). In general, utilizatorii descarca pagini Web (ce contin si imagini, de exemplu) si vor trimite doar raspunsuri simple la interogari de pe Web. DSL prezinta inca unele probleme. Daca o linis DSL face parte dintr-un cablu care contine o linie ISDN, intre linii apare o interferenta pronuntata, care reduce eficienta liniei DSL. Un avantaj interesant la DSL fata de modemurile de cablu este constanta vitezeu de transfer. La modemuri de cablu, pe masura ce se instaleaza mai multe pe acelasi segment de cablu, viteza de transfer va scadea. Deoarece DSL este o conexiune punct-la-punct catre furnizorul de servicii, ea nu e afectata de aceasta problema. Totusi, serviciul DSL este afectat de latimea de banda disponibila de la centrala dv catre Internet.

Retele radio
Sint oferite prin intermediul unei varietati de tehnologii, de la retele celulare pina la modemuri radio pure. Desi este foarte comoda, dezavantajul major al acestei metode de comunicare consta in faptul ca nu este securizata.

Transportul datagramelor IP cu SLIP/CSLIP/PPP


Pentru transferul informatiilor dintr-un punct in altul, la distanta, au fost dezvoltate mai multe protocoale diferite. Alegerea unui protocol depinde de capabilitatile necesare.

Serial Line Internet Procotol

Protocolul de Acces la Internet pe Linie Seriala (SLIP) este un protocol de inceput, folosit pentru conectarea computerelor distante la un calculator gazda local. A fost unul dintre primele protocoale de acces la distanta.

SLIP este un protocol foarte simplu, proiectat in vremurile cind lucrul in retea nu ajunsese la complexitatea de astazi. SLIP nu face decit sa defineasca modul in care datele sint aranjate pe linia seriala. Nu exista detectie sau corectie a erorilor, adresare, identificare a datelor sau compresie. Unicul scop era sa trimita pachete pe o linie seriala, lucru care prezinta deficiente ce il fac aproape de neutilizat in zilele noastre. Ca limitare, intr-o sesiune SLIP, fiecare capat trebuie sa cunoasca adresa IP a celuilalt. Fara adresa, nu se poate rezolva in nici un fel problemele de rutare (in retelele moderne, e o mare limitare, mai ales intr-un mediu bazat pe DHCP). Totusi, simplitatea protocolului il face usor de implementat. Datagramele sint de obicei de 1006 octeti, iar viteza de transfer se recomanda sa fie mentinuta sub limita de 19.2 Kbps.

Compressed SLIP (CSLIP)


CSLIP e un protocol care reduce incarcarea de transport folosind compresia antetului TCP, reducind dimensiunea acestuia de la 40 la 7 octeti (metoda este run-length encoding, siruri identice de caractere sint inlocuite de unsingur caracter urmat de un contor de aparitii). Este cind se trimit pachete mici, cum sint protocoalele telnet. Nu functioneaza insa decit asupra TCP, nu si UDP.

Point-to-Point Protocol (PPP)


Limitarile SLIP au determinat aparitia altor protocoale. PPP este foarte versatil, suportind transmisia datagramelor prin conexiuni seriale punct-la-punct sau prin Internet. O datagrama este un bloc de date similar in natura cu un pachet. Prin incapsularea datagramelor, PPP ramina independent de mediu si suporta mai mult protocoale non-IP (gen ISP/SPX sau AppleTalk). Moduri de operare PPP Au fost integrate mai multe capabilitati. PPP suporta 3 moduri principale de a rasppunde la o cerere de conexiune: - legatura PPP imediata - autodetectie - interactiv Legatura imediata Legatura PPP asigura comunicatia prin PPP dupa raspunsul la cerere. Orice forma de autentificare trebuie sa aiba loc in cadrul protocolului PPP insusi. Ar putea fi o metoda de

conectate nesigura, deoarece autentificarea poate fi dezactivata. Oricine s-ar putea conecta la retea. Autodetectia Serverul va selecta dintre PPP, SLIP, modul interactiv, sau alte protocoale configurate in sistem. Beneficiul este versatilitatea. Fiind capabila sa suporte o paleta larga de protocoale, reteaua trateaza eficient trecerile la noi servicii, si nu au loc treceri bruste (cind toate sistemele ar fi configurate sa migreze la acelasi in acelasi moment). Modul interactiv La inceputul sesiunii, PPP va verifica daca are de-a face cu o sesiune activa sau pasiva. Un nod activ va incepe sa transmita cadre in incercarea de a incepe o negociere cu partenerul sau. Un nod pasiv va astepta ca nodul celalalt sa initieze procesul de negociere. Un server dial-in cu autodetectie ar trebui configurat ca pasiv pentru a determina protocolul de linia al nodului de la distanta, de exemplu. PPP suporta o forma de criptare prin Encryption Control Protocol. Se pot folosi mai multi algoritmi de criptare, inclusiv DES. Ambele capete trebuie sa cada de acord asupra criptarii alese. PPP ofera o intrega lista de servicii: - suport pentru mai mult protocoale - configurarea legaturii - detectia erorilor - compresie - criptare - informatii de retea - autentificare Iata pozitia sa in stiva OSI (este la nivelul legaturii de date, fiind o interfata intre nivelurile fizic si retea):

Folosirea stivei in acest mod permite protocolului PPP sa suport protocoale multiple. De exemplu, o datagrama IP va fi incapsulata intr-un cadru PPP, pentru o datagrama IPX situatia fiind identica:

Flexibilitatea PPP este demonstrata si de suportul oferit pentru modificarea parametrilor sai de operare. Pentru a regla legatura la capacitate maxima, PPP poate seta un numar de parametri de configurare a legaturii: - unitatea maxima primita (Maximum Receive Unit MRU) - maparea caracterelor de control asincron - procotolul de autentificare

- protocolul de evaluare a calitatii - compresia diverselor cimpuri Unitatea maxima primita (MRU) Parametrul MRU ii comunica celuilalt nod ca nodul receptor poate trata unitati maxime de transfer de dimensiune diferita de cea implicita (de 1500 octeti). Bineinteles ca toate implementarile PPP trebuie sa accepte un cimp Informatii de 1500 octeti, indiferent de valorile negociate in momentul conectarii. Unele implementari de PPP calculeaza valoarea MRU pe baza vitezei conexiunii. Maparea caracterelor de control asincron (ACCM) I se comunica partenerului care carectere din fluxul de date ar trebui evitate, pentru a nu corupe datele. Acest lucru se face pentru a activa/dezactiva cele 32 caractere de control ASCII cu coduri de la 0x00 la 0x1F. Caractere de control precum Control-Q si Control-S (XON si XOFF), care in mod normal au rolul de a opri si de a porni secventele de flux, pot corupe datele in mod surprinzator. Protocolul de autentificare Este un mod de a-I comunica partenerului ca trebuie sa se identifice pentru ca orice comunicare ulterioara sa fie permisa. Valoare implicita pentru aceasta optiune este lipsa autentificarii. Expeditorul poate initia o configurare-cerere (Configure-Request), indicind receptorului ca doreste ca acesta sa se identifice, utilizinf protocolul indicat. Receptorul poate emite o condfigurare-confirmare (Configure-Nak) pentru a cere alt protocol. In acest punct, expeditorul poate termina sesiuna sau poate incerca din nou cu un protocol diferit (exemple de protocoale de identificare: POP, CHAP MD5, EAP sau Shiva PAP). O data ce partenerul a raspuns cu o configurare-confirmare pozitiva (Configure-Ack), el trebuie sa raspunda utilizind unul din aceste protocoale. Protocolul de evaluare a calitatii O capabilitate interesanta a protocolului PPP este ca poate masura parametri de calitate a serviciului (QoS Quality of Service). Informatiile furnizate sint statistici simple privind legatura (pierderi de date, rate erorilor etc).

Accesul la distanta prin tunel virtual


In unele cazuri, trebuiesc folosite tehnici speciale pentru transferul de date dintr-o retea in alta. In unele cazuri, totul se reduca la o simpla incadrare de protocol. De ex, protocolul IPX peste IP. IPX nativ nu are capacitatea de a transfera date inter-retele. Ca urmare, IPX are atasat un antet IP cu scopul de a furniza informatia necesare routerelor pentru a trimite pachetul catre destinatia finala. Totusi, aceasta solutie are unele neajunsuri. Unele aplicatii sint proiectate sa lucreze direct cu protocolul nativ (cum ar fi Novell Netware). Diferite variante de IP au manifestat caracteristici apartee, care fac implementarea destul de complexa. De ex, in unele cazuri de IPX pe retele Microsoft, apareau probleme ciudate asociate cu expirari de sesiuni si cu disparitia si reaparitia aleatoare a unor resurse din retea (cauza era distribuirea incorecta de drivere). In unele cazuri, este nevoie de un nivel ridicat de securitate. Au aparut protocoale de criptare, gen PPTP si L2TP.

Point-to-Point Tunneling Protocol (PPTP)

Este resultatul cooperariii dintre mai multe firme (3Com, US Robotics, Microsoft etc). Utilizatorii pot sa se conecteze telefonic (dial-in) la furnizorul de servicii Internet (ISP) local si apoi sa se conecteze securizat printr-un tunel virtual la reteaua corporatiei lor. PPTP este un protocol orientat pe modelul client/server, proiectat special pentru asigurarea de tuneluri virtuale prin retele IP utilizind PPP si nivelul 2. PPTP suporta mai multe conexiuni PPP printr-un singur tunel PPTP. Aceasta tehnica functioneaza eficient in cazul modelului de acces prin ISP, in care mai multi utilizatori de la distanta trebuie directionati catre o anumita entitate. Aceste tuneluri virtuale sint denumite in general retele virtuale private (VPN Virtual Private Networks).

Cea mai uzuala implementare este de a oferi serviciul intre un punct de prezenta (Point of Presence POP) dial-up. Astfel, ISP-ul se limiteaza la asigurarea serviciului IP, in timp ce produsele software isi negociaza propria legatura PPTP cu routerul privat. Dupa ce conexiunea fizica a fost stabilita si utilizatorul autentificat, PPTP se bazeaza pe PPP pentru crearea diagramelor. Apoi PPTP incapsuleaza pachetele PPP pentru transmisia prin tunelul IP. Canalul de control separat PPTP foloseste doua canale pentru a suporta conexiunea: un canal de date si unul de control. Cel de control ruleaza peste legatura TCP, portul 1723. Acest canal contine informatii referitoare la starea legaturii si mesaje de management. Mesajele de management sint responsabile cu stabilitarea, gestionarea si inchiderea tunelului PPTP. Suportul pentru mai multe protocoale O facilitate interesanta a PPTP este suportul pentru protocoale gen NetBEUI, IPX sau AppleTalk. Deoarece PPTP este un protocol de nivelul 2, el include si un antet de mediu de transmisie care ii permite sa opereze prin ethernet sau conexiuni PPP. Autentificarea si securitatea datelor Criptarea si atentificarea datelor nu fac parte din PPTP. Acesta se bazeaza pe functiile protocolul PPP. Tipuri de tuneluri PPTP Calculatorul utilizatorului va determina capatul tunelului: fie un server de acces de la distanta (Remote Access Server RAS) al ISP-ului, fie chiar calculatorul respectiv. Exista tuneluri voluntare si tuneluri obligatorii. Intr-un tunel voluntar, utilizatorul initiaza conexiunea PPTP cater un calculator din corporatie. Necesita insa ca utilizatorul sa aiba un client PPTP functional (precum in Windows 98/NT). In acest caz, ISP nu trebuie decit sa asigure servicii IP elementare. Daca ISP asigura

un server RAS, clientul are nevoie doar de PPP. In orice caz, utilizatorul nu are control asupra tunelului. In cazul tunelurilor obligatorii, avantajul este ca folosirea Internetului poate fi controlata de corporatii; de asemenea, au capacitatea de a grupa traficul, mai multi clienti PPP putind fi grupati intr-o singura conexiune PPTP catre intranetul companiei.

Layer 2 Tunneling Protocol (L2TP)


Este asemanator cu PPTP, combinind PPTP cu protoculul Layer 2 Forwarding (L2F) de la firma Cisco. Avanyajul este ca poate fi compatibil cu alte medii de transfer, precum ATM, si cu alte retele pe baza de pachete, gen X.25. L2F La fel ca si PPTP, L2F a folosit PPP ca suport pentru asigurarea conexiunii initiale si a serviciilor precum autentificarea. Spre deosebire de PPTP, L2F a folosit Terminal Access Controller Access-Control System (TACACS) protocol brevetat de Cisco, care ofera autentificare, autorizare si administrare. L2F foloseste si el definitii de conexiuni tunel. Suporta si un nivel suplimentare de autentificare. L2F ofera autentificare la nivel de gateway sau firewall. Suportul pentru IPsec L2TP asigura autentificarea prin PPP. Foloseste PAP, CHAP si EAP, dar in plus, adauga suport pentru servicii bazate pe TACACS si IPsec. IPsec difera de celelalte servicii pentru ca este o specificatie deschisa care suporta nu numai autentificarea, dar si securitatea. Ca si PPTP, L2TP apeleaza la PPP pentru stabilirea conexiunii. L2TP se asteapta ca PPP sa stabileasca conexiunea fizica, sa faca autentificarea initiala, sa creeze datagramele si, dupa terminarea sesiunii, sa inchida conexiunea. Dar L2TP va comunica cu celalalt nod pentru a determina daca nodul care face apelul este autorizat si daca punctul final doreste sa suporte conexiune L2TP. Daca nu, sesiunea este inchisa. Ca si PPTP, L2TP defineste doua tipuri de mesaje: de date si de control. Mesajele de control sint folosite pentru a stabili si mentine tunelul virtual si pentru a controla transmisia si receptia datelor. Spre deosebire de PPTP, care necesiat doua canale, L2TP combina canalele de date si de control intr-un singur flux. Intr-o retea IP, acest lucru se prezinta sub forma impachetarii datelor si a mesajelor intr-o datagrama UDP:

Datele utile constau in esente din pachetul PPP, minus elementele de incadrare specifice mediului de transmisie. Deoarece L2TP este de nivel 2, el trebuie sa includa un antet pentru mediul de transmisie cu scopul de a-i indica nivelului superior modul in care trebuie transmis pachetul. Aceasta transmisie poate avea loc pe ethernet, retele frame relay, X.25, ATM, sau prin legatura PPP initiala. Pentru reducerea congestionarii retelei, L2TP suporta controlul fluxului. Acesta este implementat intr-un concentrator de acces L2TP (L2TP Access Concentrator LAC), care functioneaza ca server de acces la retea, si un server L2TP de acces la retea (L2TP Network Access Server LNS), care are roul de a asigura accesul la reteaua corporatiei. Mesajele de control contin informatii privind ratele de transmisie si parametrii zonelor tampon. Comunicindu-si reciproc aceste informatii, serverele LAC si LNS pot controla fluxul de date.

O alta metoda pentru reducerea incarcarii retelei este compresia anteturilor pachetelor. L2TP suporta tot doua clase de conexiuni, intr-o maniera asemanatoare cu PPTP: tuneluri voluntare si obligatorii. IPsec Deoarece protocolul TCP/IP nu ofera nici un fel de protectie, au aparut mai multe metode de a umple acest gol. Totusi, aceste solutii nu au fost portabile. De aceea, s-a lucrat la un set de protocoale numite IPsec. Documentele pentru aceste standard au fost gindite pentru standardul IPv6 (publicate in 1995), dar au fost modificate pentru adaptarea lor la IPv4. Specificatiile imparteau conceptele solutiei in doua clase: - autentificare - criptare Portiunea de autentificare este tratata printr-un antet de autentificare (Authtentication Header AH), iar criptarea este tratata prin datele utile de incapsulare pentru asigurarea securitatii (Encapsulating Security Payload EPS). Fiecare dintre aceste facilitati este reprezentata printr-un antet diferit, care este aplicat antetului IP.

IPv4 cu ESP

IPv4 cu AH

Firewall
Este imposibil in zilele noastra sa se vorbeasca despre retele fara a se folosi la unmoment dat termeni ca firewall, gateway sau server proxy.

Securizarea retelei
Firewall-urile si serverele proxy, ca si criptarea si autentificarea, sint proiectate pentru asigurarea securitaii datelor. Motivatia este simpla: daca se dispune de o conexiune la Internet, teoretic, oricine, oriunde s-ar afla in lume, poate accesa reteaua (in anumite conditii, evident). Daca nu exista nici un mecanism de securitate, orice persoana care are acces la Internet, de oriunde din lume, poate folosi TCP/IP pentru a trece prin gateway-ul retelei locale, catre orice masina din retea. Ideea este de a proteja doua lucruri: datele, stocate in retea si echipamentele hardware, conectate la retea. Intrusii sau hackerii pot intra in retea si pot modifica orice, pot accesa orice fel de date sau chiar pot cauza deteriorari fizice ale sistemelor. Exista multe moduri in care intrusii pot accesa o retea, exploatind brese de securitate din sistemele de operare si aplicatii, dar se poate ajunge si la inginerie sociala, care consta in convingerea cuiva, sub diferite pretexte, sa comunice nume si parole asociate. Rolul unui firewall este sa previna patrunderile neautorizate. O alta problema de securitate: blocarea serviciului (denial of service). Are loc cind hackerii nu va permit folosirea normala a propriilor sisteme. Blocare serviciului are multe forme. Un exemplu tipic este inundarea unui serviciu (gen email), adica acelui serviciu ii sint trimise atit de multe date incit devine supraincarcat si se blocheaza sau ruleaza in bucla infinita. Exista mai multe modalitati de protejare a retelei. O metoda ar fi anonimatul: daca nimeni nu stie nimic despre reteaua dv, atunci datele sint in siguranta. Insa este o falsa securitate, pentru ca exista o multime de moduri prin care se poate afla ce se afla pe Internet. Cea mai raspindita forma de securitate se numeste securitatea la nivel de gazda (host security) si se refera la securizarea separata a fiecarei masini din retea. Va bazati pe acest tip de securitate cind setati permisiunile de acces in Windows sau permisiunile UNIX pentru fisiere si directoare. Este suficienat insa o singura bresa pentru ca intreaga retea sa fie deschisa hackerilor. De asemnea, pentru ca securitatea la nivel de gazda nu este aplicata egal tuturor masinilor, pot fi exploatate serviciile unei masini slab protejate pentru a accesa o masina cu securitate puternica.

Rolul firewall-urilor
Tipul de securitate important este securitatea la nivel de retea. Presupune securizarea a tuturor punctelor de acces la retea. Componenta cheia este acest firewall o masina care se comporta ca o interfata intre retea si Internet, avind doar preocuparea securitatii. Un firewall are mai multe roluri: - permite accesul la retea numai din anumite locatii - interzice utilizatorilor neautorizati sa obtina acces la retea - forteaza traficul dinspre retea spre Internet sa treaca prin anumite puncte securizate - previne atacurile de tipul blocarea serviciului - impune restrictii asupra actiunilor pe care un utilizator de pe Internet le poate face in retea Conceptu de firewall presupune canalizarea intregului trafic catre si dinspre retea prin unul sau mai multe puncte care sint configurate pentru a controla accesul si serviciile.

Utilizarea firewall-urilor
Multe persoane considera un firewall ca fiind o singura masina, ceea ce uneori este adevarat. Exista masini dedicate doar acestei functii. Totusi, termenul firewall se refera mai mult la functiile indeplinite decit la un dispozitiv fizic. Un firewall poate consta din mai multe masini care conlucreaza, sau pot fi folosite mai multe programe cu functie de firewall. Firewall-urile pot sa indeplineasca si alte functii decit simpla monitorizare a accesului la retea. Firewall-urile nu sint invincibile. Ele sint vulnerabile din cauza defectelor de proiectare, sau a implementarii (care necesita timp si bani pentru instalare si configurare). Un firewall ofera un singur punct de implementare a securitatii din retea, deci eventualele schimbari se fac pe o singura masina si nu pe toate celelalte din retea (de ex, se poate interzice accesul FTP anonim). Firewall-urile pot aplica politici de securitate la nivelul intregii retele, interzicind de exemplu accesul la anumite servicii de pe Internet pentru toti utilizatorii din retea. Totusi, orice firewall are limitari. Ele sint utile doar pentru conexiunea retea-Internet. Ele nu opresc persoanele din retea sa faca orice vor altor masini din retea. Ele nu pot proteja impotriva patrunderilor neautorizate daca aveti alte conexiuni, ca un calculator care este conectat printr-un modem la Internet prin intermediul unui ISP (conexiune care nu trece printr-un firewall). Un firewall nu poate preveni multe probleme distribuite prin Internet, cum sint virusiisi caii troieni. Exista doua moduri principale de implementare: - construirea unui firewall propriu din servicii de retea elementare. - cumpararea unui produs comercial. La instalarea unui firewall, manual sau comercial, se pot controla mai multe fatete, depinde de administrator daca doreste sau nu activarea lor. Unele din aceste fatete ar fi: serverele proxy si filtrele de pachete.

Serverele proxy
Un astfel de server este plasat intre retea si Internet si accepta cereri pentru un serviciu, le analizeaza si le trimite mai departe, in functie de permisiuni. Serviciul de proxy ofera o conexiune cu rol de inlocuitor pentru acel serviciu, motiv pentru care se comporta ca un intermediar (proxy). Serverul proxy se plaseaza la mijloc, ascunde anumite informatii, dar permite desfasurarea serviciului prin el. Ideea este ca, fara proxy, adresa IP a masinii gazda este trimisa in pachete, prin Internet. Hackerii pot determina dimensiunea retelei, de exemplu. Un server proxy schimba adresa IP cu adresa lui si foloseste o tabela interna pentru a redirecta traficul care soseste si care pleaca spre destinatiile corecte. Pentru exterior va fi vizibila o singura adresa IP (a serverului proxy). Serverele proxy sint intotdeauna implementate prin software si nu trebuie sa faca parte dintr-un pachet de firewall, desi sint de obicei incluse.

Filtrele de pachete
Un astfel de sistem permite pachetelor sa treaca din retea catre Internet si invers, dar selectiv. Pachetele sint identificate dupa tipul aplicatiei care le-a construit (unele informatii se afla in antet). Antetul unui pachet TCP/IP contine adresele IP sursa si destinatie, porturile susrsa si destinatie si asa mai departe. Daca se decide blocarea oricarui trafic FTP, de exemplu, software-ul de filtrare a pachetelor va detecta toate pachetele care au numarul de port 20 sau 21 si le va interzice trecerea.

10

Unii cred ca se poate ocoli un sistem de filtrare schimbind numarul portului, lucru posibil intr-o oarecare masura. Totusi, deoarece software-ul de filtrare este rezident in reteaua dv, el poate determina catre ce interfata se indreapta pachetul si de unde provine. In consecinta, chiar daca numerele de port TCP sint diferite, software-ul de filtrare poate uneori sa blocheze corect traficul. Se poate folosi software-ul de filtrare a pachetelor in mai multe moduri. Cel mai obisnuit, se blocheaza un serviciu, gen FTP sau Telnet. Se pot desemna de asemenea masini care trebuiesc impiedicate sau lasate sa acceseze reteaua de exemplu, daca se constata ca o anumita retea a fost sursa unor probleme, se poate comanda software-ul asa incit sa respinga orice pachet de la acea retea. In unele cazuri se pot bloca toate serviciile, sau se poate permite numai anumitor servicii, gen email, se treaca prin filtru. ===========

11