Privire de ansamblu asupra tehnologiilor firewall Firewall-urile sunt dispozitive sau programe care controleaza fluxul de date intre

retele sau hosturi pe baza anumitor reguli de securitate. Desi vorbim despre firewall-uri in contextul conectivitatii pe Internet, ele pot avea aplicabilitate si in alte retele. De exemplu, multe retele pentru intreprinderi impun firewalluri pentru a restrictiona conectivitatea catre si de la retelele interne folosite pentru servicii sensibile, precum contabilitatea sau personalul. Impunand firewall-uri pentru a restrictiona conectivitatea catre aceste zone, o organizatie poate preveni accesul neautorizat la resursele si sistemele acesteia. Includerea unui sistem firewall aduce un plus mare de securitate. Organizatiile, precum PCI (Payment Card Industry), trebuie de asemenea sa foloseasca firewall-uri pentru a indeplini normele de securitate impuse, de exemplu de catre FISMA. Exista mai multe tipuri de tehnologiii firewall disponibile. Un mod de a le compara capabilitatile este de a ne uita la stiva TCP/IP. Comunicatiile TCP/IP sunt compuse din patru niveluri ce lucreazxa impreuna pentru transportul datelor intre host-uri. Cand un utiliator doreste sa transfere date prin intermediul unei retele, aceste date sunt transmise incepand de la nivelul cel mai de sus, prin cele intermediare catre nivelul cel mai de jos, fiecare nivel adaugand mai multa informatie. Ultimul nivel de jos trimite datele acumulate prin reteaua fizica, datele fiind apoi transmise de jos in sus prin stiva catre utilizatorul final. Mai simplu spus, datele produse de catre un nivel sunt incapsulate intr-un container mai mare de catre nivelul urmator. Cele patru niveluri TCP/IP sunt descrise mai jos: Nivelul Aplicaie. Acest nivel se refer la protocoalele de nivel nalt folosite de majoritatea aplicaiilor, precum terminalul virtual (TELNET), transfer de fiiere (FTP) i pot electronic (SMTP). Alte protocoale de nivel aplicaie sunt DNS (sistem de nume de domeniu), NNTP sau HTTP. n majoritatea implementrilor, nivelul aplicaie trateaz nivelurile inferioare ca o "cutie neagr" care ofer o infrastructur sigur de comunicaii. Majoritatea protocoalelor de la nivelul aplicaie sunt asociate cu modelul client-server. Serverele au de obicei asociate porturi fixe, atribuite de IANA: HTTP are portul 80, FTP portul 21, etc. n schimb, clienii folosesc porturi temporare. Nivelul Transport. Este identic cu cel din modelul OSI, ocupndu-se cu probleme legate de siguran, control al fluxului i corecie de erori. El este proiectat astfel nct s permit conversaii ntre entitile pereche din gazdele surs, respectiv, destinaie. TCP (Trasmission Control Protocol) este un protocol sigur orientat pe conexiune care permite ca un flux de octei trimii de pe o main s ajung fr erori pe orice alt main din inter-reea. Acest protocol fragmenteaz fluxul de octei n mesaje discrete i paseaz fiecare mesaj nivelului internet. TCP trateaz totodat controlul fluxului pentru a se asigura c un emitor rapid nu inund un receptor lent cu mai multe mesaje dect poate acesta s prelucreze. UDP (User Datagram Protocol), este un protocol nesigur, fr conexiuni, destinat aplicaiilor care doresc s utilizeze propria lor secveniere i control al fluxului. Protocolul UDP este de asemenea mult folosit pentru interogri rapide ntrebare-rspuns, client-server i pentru aplicaii n care comunicarea prompt este mai important dect comunicarea cu acuratee, aa cum sunt aplicaiile de transmisie a vorbirii i a

imaginilor video.

Nivelul Reea. Scopul iniial era s asigure rutarea pachetelor n interiorul unei singure reele. Odat cu apariia interconexiunii ntre reele, acestui nivel i-au fost adugate funcionaliti de comunicare ntre o reea surs i o reea destinaie. n stiva TCP/IP, protocolul IP asigur rutarea pachetelor de la o adres surs la o adres destinaie, folosind i unele protocoale adiionale, precum ICMP sau IGMP. Determinarea drumului optim ntre cele dou reele se face la acest nivel. Comunicarea la nivelul IP este nesigur, sarcina de corecie a erorilor fiind plasat la nivelurile superioare (de exemplu prin protocolul TCP). n IPv4 (nu i IPv6), integritatea pachetelor este asigurat de sume de control. Nivelul Acces la reea. Se ocup cu toate problemele legate de transmiterea efectiv a unui pachet IP pe o legtur fizic, incluznd i aspectele legate de tehnologii i de medii de transmisie, adic nivelurile OSI Legtur de date i Fizic.

Firewall-urile de baza pot opera pe unul sau cateva niveluri (de regula cele mai de jos), pe cand cele ami avansate opereaza pe toate cele patru niveluri. Cele ce opereaza pe toate nivelurile pot face o analiza mult mai detaliata a traficului. Firewall-urile care inteleg nivelul aplicatie pot acomodat aplicatii si protocoale avansate si pot oferi servicii orientate catre utilizator. De exemplu, un firewall care opereaza doar la nivelurile de jos nu poate identifica utilizatori specifici, dar firewall-urile ce opereaza si la nivelul aplicatie, pot adopta autentificari ale utilizatorilor si log-uri specifice lor. Tehnologii Firewall Firewall-urile sunt adesea combinate cu alte tehnofogii cel mai notabil sunt cele de routare si cele mai multe tehnologii ce sunt adesea asociate cu firewall-urile sunt parte de fapt a acestor tehnologii. De exemplu, NAT (Network Address Translation) este asociat de obicel cu tehnologiile firewall, dar de fapt este o tehnologie de routare. Multe firewall-uri includ trasaturi pentru filtrarea continutului pentru a impune politicile organizatiei care nu sunt neaparat orientate catre securitate. Unele firewall-uri contin tehnologii IPS (Intrusion Prevention Systems) ce pot reactiona la atacuri indreptate catre structurile aparate de catre acel firewall. Firewall-urile sunt amplasate de obicei la marginea retelelor, deci va avae o interfata interna si una externa. Cele doua interfete sunt denumite de obicei protejata si neprotejata. Totusi, sa spunem ca un anumit lucru este protejat sau nu este impropiu, deoarece un firewall poate functiona in ambele directii in functie de politicile sale. De exemplu, poate exista o regula care sa previna trimiterea din interior catre exterior a codurilor executabile. Filtrarea pe baza pachetelor. Filtrarea pachetelor este esenta tuturor firewall-urilor moderne, desi sunt putin astfel de firewall-uri de vanzare care fac doar acest lucru. Spre deosebire de filtrele mai avansate, filtrele de pachete nu se intereseaza de continutul acestora. Functionalitatea pentru controlul accesului este guvernata de catre

un set de directive numit set de reguli (ruleset). Capacitatea de a filtra pachete este astazi parte integranta a sistemelor de operare si a dispozitivelor de routare; cel mai comun exemplu pentru un dispozitiv cu filtrarea de pachete este un router cu ACL (Access Control Lists). In cea mai simpla forma, firewall-urile cu filtrare de pachete opereaza la nivelul retea. Acesta ofera acces controlat la retea in functie de cateva informatii incluse in pachet: IP sursa si destinatie, protocolul de retea folosit pentru comunicare (UDP, TCP sau ICMP), anumite caracteristici ale sesiunilor de comunicare, precum portul sursa si destinatie, interfata ce este traversata de catre pachet (orienta catre interior sau exterior). Filtrarea pachetelor ce intra in retea se numeste filtrare ingress. Traficul ce iese poate deasemenea sa fie filtrar, proces numit filtrare egress. Aici organizatiile pot implementa restrictii pentru traficul lor intern, precum blocarea folosirii unu server FTP extern sau prevenirea lansariii atacurilor de intrerupere a serviciilor (DoS) din interiorul organizatiei catre entitati externe. Organizatiile ar trebui sa permita doar trafic egress ce folosiste adrese IP sursa folosite de catre organizatie proces ce ajuta la blocarea traficului cu adrese IP falsificate (spoofed). Adresele falsificate por fi cauzate de catre evenimente malicioase precum infectarea cu malware sau clienti host-uri compromise folosite pentru a lansa atacuri, sau prin configurari gresite. Filtrarile de pachete sunt in general vulnerabile la atacuri si exploatari ce profita de problemele specificatiilor din stiva TCP/IP. De exemplu, multe filtre de pachete nu pot detecta cand informatia despre adresa dintr-un pachet a fost falsificata sau alterata, sau foloseste optiuni ce sunt permise de catre standarde dar folosite in scopuri malitioase, precum routare pe baza adresei sursa. Atacurile de falsificar, precum folosirea unei adrese incorecte in headerul pachetului, sunt de obicei folosite de catre intrusi pentru a ocoli controalele de securitate implementate in platofmele firewall. Firewall-urile ce opereaza la niveluri mai inalte ale stivei TCP/IP pot contracara aceste atacuri de falsificare prin verificarea stabilirii unei sesiuni, sau prin autentificarea utilizatorilor inainte de a permite trecerea traficului. Unele filtre de pachete pot filtra chiar si pachetele care sunt fragmentate. Fragmentarea pachetelor este permisa de catre specificatiile stivei TCP/IP si este incurajata ori de cate ori situatia o cere. Totusi, aceasta fragmentare a fost folosita pentru a face unele atacuri sa fie mai greu de identificat. Fragmentarea neobisnuita este de asemenea o forma de atac. De exemplu, unele atacuri au folosit pachete care nu ar trebui sa exista in mod obisnuit in comunicare, precum trimiterea unor fragmente din pachet, dar nu si primul fragment, sau trimiterea fragmentelor ce se suprapun unele cu altele. Pentru a preveni folosirea pachetelor fragmentate in atacuri, unele firewall-uri au fost configurate pentru a bloca pachetele fragmentate. Astazi, pachetele fragmentate de pe Internet apar, nu din cauza atacurilor, ci din cauza retelelor virtuale private (VPN), ce incapsuleaza pachete in alte pachete. Daca incapsularea unui pachet ar face ca noul pachet sa depaseasca dimensiunile maxime admise pentru acel mediu de transmisie, acesta va fi fragmentat. Pachetele fragmentate blocate de catre firewall reprezinta cea mai comunca cauza pentru nefunctionarea VPN-urilor.

Unele firewall-uri pot cha sa reasambleze fragmentele inainte sa le trimita in interiorul retelei, desi acest lucru necesita resurse aditionale din partea firewall-ului, in principal memorie. Firewall-urile ce implementeaza aceasta optiune trebuie sa o faca cu grija, altfel cineva poate monta cu usurinta un atac de tip DoS. Alegerea intre a bloca, reasambla sau a lasa sa treaca pachetele fragmentate este un compromis intre interoperabilitatea globala a retelei si securizarea completa a acesteia.

Ca si lansare oricarei alte tehnologii, planificarea si implementarea firewall-ului ar trebui adresa in faze. Etapele flanificarii si implementarii includ urmatoarele: 1. Planificarea. Prima faza a procesului implica identificarea necesitatilor pe cere o organizatie ar trebui sa le ia in considerare atunci cand determina ce firewall sa implementeze pentru a asigura politicile de securitate. 2. Configurarea. A doua faza implica toate formele de configurare a platformei firewall. Acesta include atat instalarea hardware si software precum si setarea regulilor pentur sistem. 3. Testarea. Urmatoarea faza implica implementarea si testarea a unui prototip al solutiei intr-un laborator sau mediu de test. Scopurile primare ale testarii sunt de a evalua functionalitatea, performantele, scalabilitatea si securitatea solutiei si de a identifica posibilele probleme precum interoperabilitatea cu alte componente. 4. Lansarea. Odata incheiata procedura de testare, si toate problemele au fost rezolvate, urmatoarae faza se axeaza pe lansarea firewall-ului in intreprindere. 5. Administrarae. Ultima faza, dupa lansarea acestuia o reprezinta administrarea si intretinerea firewall-ului de-a lungul ciclului sau de viata, ceea ce include mentenanta componentelor si suportul pentru probleme in operabilitate. Planificarea Faza de planificare pentru ar trebui sa inceapa doar dupa ce o organizatie a determinat ca un firewall este necesa. Acest lucru se intampla de obicei in urma unei evaluari a riscurilor asupra intregului sistem. O evaluare a riscurilor include identificarea amenintarilor si vulnerabilitatilor sistemului informatic, impactul sau magnitudinea prejudicilor in urma atacurilor sau exploatarii vulnerabilitatilor si identificarea si analiza controalelor de securitate pentru sistemul informatic. Principiile de baza pe care organizatia ar trebui sa le urmeze in planificare sunt: -