Lucrarea de laborator nr.

6 Firewall - "Zid de foc" sau "Paravan de protecie"

Generaliti/Definiii

Un paravan de protecie poate ine la distan traficul Internet cu intenii rele, de exemplu hackerii, viermii i anumite tipuri de virui, inainte ca acetia s pun probleme sistemului. n plus, un paravan de protecie poate evita participarea computerului la un atac mpotriva altora, fr cunotina dvs. Utilizarea unui paravan de protecie este important n special dac suntei conectat n permanen la Internet. Un fire all este o aplicaie

sau un echipament hard are

care monitorizeaz i filtreaz permanent transmisiile de date realizate ntre !" sau reeaua local i Internet, n scopul implementrii unei #politici# de filtrare. $ceast politic poate nsemna% prote&area resurselor reelei de restul utilizatorilor din alte reele similare ' Internetul () sunt identificai posibilii #musafiri# nepoftii, atacurile lor asupra !"( ului sau reelei locale put*nd fi oprite. "ontrolul resurselor pe care le vor accesa utilizatorii locali.
Cum functioneaz?

+e fapt, un fire all, lucreaz ndeaproape cu un pro,ram de routare, examineaz fiecare pachet de date din reea -fie cea local sau cea exterioar. ce va trece prin serverul ,ate a/ pentru a determina dac va fi trimis mai departe spre destinaie. Un fire all include de asemenea sau lucreaz mpreun cu un server prox/ care face cereri de pachete n numele staiilor de lucru ale utilizatorilor. n cele mai intalnite cazuri aceste pro,rame de protecie sunt instalate pe calculatoare ce indeplinesc numai aceast funcie i sunt instalate n faa routerelor. 0xist dou metode de blocare a traficului folosite de fire alluri. $stfel un fire all permite orice fel de trafic at*ta timp c*t nu este ndeplinit o anumit condiie sau blocheaz traficul at*ta timp c*t nu este ndeplinit o condiie. !aravanele de potecie pot s se ocupe de tipul de trafic sau de adresele i porturile sursei sau destinaiei. $cestea pot s foloseasc un set de re,uli pentru analizarea datelor aplicaiilor pentru a determina dac traficul este permis. 1elul n care un fire all determin ce trafic este permis depinde de stratul reelei -net ork la/er. la care opereaz. n urmtoarea dia,ram este prezentat funcionarea fire all(urilor.

2olutiile fire all se mpart n dou mari cate,orii% prima este reprezentat de soluiile profesionale hard are sau soft are dedicate proteciei ntre,ului trafic dintre reeaua unei intreprinderi i Internet3 iar cea de(a doua cate,orie este reprezentat de fire all(urile personale dedicate monitorizrii traficului pe calculatorul personal. Utiliz*nd o aplicaie din ce(a de a doua cate,orie vei putea prent*mpina atacurile cole,ilor lipsiti de fair(pla/ care ncearc s acceseze prin mi&loace mai mult sau mai puin ortodoxe resurse de pe !"(ul dumneavoastr. n situaia n care dispunei pe calculatorul de acas de o conexiune la Internet, un fire all personal v va oferi un plus de si,uran transmisiilor de date. "um astzi ma&oritatea utilizatorilor tind s schimbe clasica conexiune dial(up cu modaliti de conectare mai eficiente -cablu, I2+4, x+25 sau telefon mobil., pericolul unor atacuri reuite asupra sistemului dumneavoastr crete. $stfel, mrirea lr,imii de band a conexiunii la Internet faciliteaz posibilitatea de #strecurare# a intruilor nedorii. $stfel, un fire all este folosit pentru dou scopuri% pentru a pstra n afara reelei utilizatorii ru intenionai -virui, viermi c/bernetici, hackeri, crackeri. pentru a pstra utilizatorii locali -an,a&aii, clienii. n reea Clasificri 1ire allurile pot fi clasificate dup% 5a/erul -stratul. din stiva de reea la care opereaz 6odul de implementare 2traturile stivelor unei reele sunt prezentate n dia,rama de mai &os pentru stivele 72I i 8"!9I!%

n funcie de la/erul din stiva 8"!9I! -sau 72I. la care opereaz, fire all(urile pot fi% 5a/er : -6$". i ; -data,ram.% packet filterin,. 5a/er < -transport.% tot packet filterin,, dar se poate diferenia ntre protocoalele de transport i exist opiunea de #stateful fire all#, n care sistemul tie n orice moment care sunt principalele caracteristici ale urmtorului pachet ateptat, evit*nd astfel o ntrea, clas de atacuri 5a/er = -application.% application level fire all -exist mai multe denumiri.. n ,eneral se comport ca un server prox/ pentru diferite protocoale, analiz*nd i lu*nd decizii pe baza cunotinelor despre aplicaii i a coninutului conexiunilor. +e exemplu, un server 268! cu antivirus poate fi considerat application fire all pentru email. +ei nu este o distincie prea corect, fire allurile se pot mpri n dou mari cate,orii, n funcie de modul de implementare% dedicate, n care dispozitivul care ruleaza soft are(ul de filtrare este dedicat acestei operaiuni i este practic #inserat# n reea -de obicei chiar dup router.. $re avanta&ul unei securiti sporite. combinate cu alte facilitati de net orkin,. +e exemplu, routerul poate servi i pe post de fire all, iar n cazul reelelor mici acelai calculator poate &uca n acelai timp rolul de fire all, router, file9print server, etc.

r!itecturi Firewall
Firewall-urile software profesionale au propria stiv "P

!aravanele de protectie moderne au propria lor stiva I!, prin care intercepteaz traficul naintea sistemului de operare astfel nc*t nici o intruziune nu poate s permit accesul neautorizat la calculator. 6ai exact filtreaz toate uile de intrare ctre sistemul de operare. n dia,rama de mai &os se observ c stiva I! nu mai este strabtut de trafic%

Firewall care filtreaz pac!etele #$a%er &'

$cestea lucreaz la nivelul reelei al stivei 72I, sau la stratul I! al 8"!9I!. +e obicei fac parte dintr(un router. Un router este un dispozitiv care primeste pachetele de la o reea i le trimite ctre alt reea. n acest tip de fire all fiecare pachet este comparat pe baza unei serii de criterii nainte de a fi trimis. n funcie de pachet i de criteriu, fire all(ul poate s arunce pachetul, s(l trimit sau s trimit un mesa& ctre expeditorul lui. >e,ulile pot include adresa I! a sursei sau a destinaiei, numrul portului sursei sau destinaiei i protocolul folosit. $vanta&ele fire all(urilor care filtreaz pachete este costul sczut i impactul mic asupra performanei reelei. 6a&oritatea router(elor suport filtrarea pachetelor. "hiar i dac sunt folosite alte fire all(uri, implementarea filtrrii pachetelor la nivelul router(ului permite un ,rad iniial de securitate la un nivel sczut al reelei. $cest tip de fire all funcioneaz doar la nivel de reea i nu suport modele sofisticate bazate pe re,uli. >outer(ele de tip 4et ork $ddress 8ranslation -4$8. ofer avanta&ele fire alluri(lor care filtreaz pachete, dar pot de asemenea s ascund adresele I! ale calculatoarelor aflate sub fire all, i ofer un nivel de filtrare bazat pe circuit.

Firewall de tip Circuit $evel Gatewa% #$a%er ('

1ire all(urile de tip "ircuit level ,ate a/s lucreaz la session la/er al modelului 72I, sau la stratul 8"! of 8"!9I!. $cestea monitorizeaz adunarea 8"! a pachetelor pentru a determina dac o sesiune cerut este le,itim. Informaia care trece ctre un calculator exterior printr(un fire all de tip circuit level ,ate a/ apare ca fiind trimis iniial de la ,ate a/. 0ste util pentru ascunderea informatiilor despre reele private. "ircuit level ,ate a/s sunt relativ ieftine i au avanta&ul ascunderii informaiei despre reeaua privat pe care o prote&eaz. 2in,urul dezavanta& al acestora este faptul c nu filtreaza pachetele individuale.

Firewall de tip pplication $evel Gatewa% #$a%er )'

1ire all(urile de tip $pplication level ,ate a/s -sau prox/. sunt asemntoare cu cele de tip circuit(level ,ate a/ cu diferena c sunt specifice aplicaiei. 0le pot s filtreze pachetele la nivelul aplicaiei al 72I. !achetele care intr sau ies nu pot acesa servicii pentru care nu exist nici un prox/. "u alte cuvinte, un fire all application level ,ate a/ care este confi,urat pentru a fi eb prox/ nu va permite nici un trafic ftp* +op!er* telnet sau alte traficuri. +eoarece studiaz pachetele la nivelul aplicaiei, ele pot filtra comenzile specifice aplicaiei cum ar fi !ttp,post and +et, etc. $cest lucru nu poate fi realizat cu nici un fire all de tip packet filterin, sau circuit level3 nici unul din acestea nu tie nimic despre informaia aflat la nivelul aplicaiei. 1ire all(urile $pplication level ,ate a/ pot fi folosite de asemenea pentru pentru a ine evidena activiti user(ului li evidena intrrilor n reea. $cestea ofer un ,rad de securitate sporit, dar au un impact semnificativ asupra performanei reelei. $cest fapt este datorat schimbrilor contextului care ncetinesc dramatic accesul n reea. $cestea nu sunt transparente pentru utilizator i necesit confi,urarea manual a fiecarui computer client.

Firewall de tip -tateful .ultila%er "nspection #$a%er &*(*)'

1ire all(urile de tip 2tateful multila/er inspection mbin aspectele celor trei tipuri de paravane de protecie menionate mai sus. $cestea filtreaz pachetele la nivelul reelei, determin dac pachetele sesiunii sunt le,itime i evalueaz coninutul pachetelor la nivelul aplicaiei. !ermit conectarea direct ntre client i ,azd, uur*nd problema cauzat de lipsa de transparen a fire all(urilor de tip application level ,ate a/. $cestea se bazeaz pe al,oritmi pentru a recunoate i a procesa datele de la nivelul aplicaiei n loc s ruleze prox/(uri specifice aplicaiei. 1ire all(urile de tip 2tateful multila/er inspection ofer un ,rad nalt de securitate, performan bun i transparen pentru utilizatorul final. 8otui sunt scumpe i datorit complexitii mari sunt potenial mai puin si,ure dec*t tipurile simple de fire all dac nu sunt administrate de personal bine calificat.

Ce "poate" /i ce "nu poate" s fac un firewall? Un fire all poate s% ( monitorizeze cile de ptrundere n reeaua privat, permi*nd n felul acesta o mai buna monitorizare a traficului i deci o mai uoar detectare a ncercrilor de infiltrare3 ( blocheze la un moment dat traficul n i dinspre Internet3 ( selecteze accesul in spatiul privat pe baza informatiilor continute in pachete. ( permit sau interzic accesul la reeaua public, de pe anumite staii specificate3 ( i nu n cele din urm, poate izola spaiul privat de cel public i realiza interfaa ntre cele dou. +e asemeni, o aplicaie fire all nu poate% - interzice importul9exportul de informatii dunatoare vehiculate ca urmare a aciunii rutcioase a unor utilizatori aparin*nd spaiului privat -ex% csua potal i ataamentele.3 - interzice scur,erea de informaii de pe alte ci care ocolesc fire all(ul -acces prin dial(up ce nu trece prin router.3 - apr reeaua privat de utilizatorii ce folosesc sisteme fizice mobile de introducere a datelor n reea -U2? 2tick, dischet, "+, etc.. - preveni manifestarea erorilor de proiectare ale aplicaiilor ce realizeaz diverse servicii, precum i punctele slabe ce decur, din exploatarea acestor ,reeli. $ista Produse Firewall 2istemele de operare 5inux sunt construite n aa fel nc*t s* filtreze traficul realizat de utilizator. +e aceea sunt prezentate doar produse fire all pentru sistemele de operare 6icrosoft @indo s. 8rebuie mentionat c din $u,ust :AA< 6icrosoft a inte,rat n sistemele sale de operare @indo s B! i @indo s :AA; un fire all ce ofer funcionalitate minimal i care s(a dovedit o soluie ineficient contra intruziunilor. +e aceea recomandm cumprarea unuia din produsele prezentate mai &os.
Paravane de protectie !ardware

1ire all(urile hard are sunt alternative viabile dac utilizai o versiune anterioara de @indo s. 6ulte puncte de acces fr fir pentru reele locale sunt disponibile ca uniti ce ncorporeaza toate combinaiile care au fire all(uri inte,rate mpreun cu routere de band lar,. "onectarea unui fire all la reea este o operaie la fel de simpl ca adu,area unui robot la linia telefonic. +ecuplai conexiunea 0thernet dintre modemul de cablu9+25 i !", i conectati ntre acestea fire all(ul.
Microsoft Broadband Networking Wireless Base Station

6icrosoft ?roadband 4et orkin, @ireless ?ase 2tation este un exemplu de

punct de acces fara fir av*nd un fire all ncorporat si alte caracteristici de retea locala inte,rata.
Firewall-uri software

1ire all(urile soft are se pot obtine de la mai muli productori i sunt alternative superioare fire all(ului din indo s B!. +e asemenea ele pot contribui la prote&area computerului care ruleaz un sistem de operare mai vechi. Unii dintre aceti productori sunt enumerai mai &os. C
ISS: BlackIce PC Protection Network Associates: McAfee CPersonal Firewall Symantec: Norton Personal CFirewall Tiny Software: Tiny Personal CFirewall one !abs: oneAlarm C Sygate: Sygate Personal Firewall C

Configurare Firewall
n mod normal, administratorii de sistem vor bloca prin fire all conexiunile iniiate din afara reelei proprii except*nd acele conexiuni ce trebuie s fie deschise pentru serviciile existente. "a exemplu, administratorul va lsa acces pe portul DA pentru serviciul eb, iar n cazul n care serviciul eb utilizeaz un alt port cum ar fi DADA l va lsa deschis pe acesta. +e asemenea, n cazul coneziunilor SSL-encrypted web acces, portul <<; va trebui deschis. n rest, de la caz la caz, celelalte porturi sunt de re,ul nchise. $ceste restricii pot afecta comunicarea cu serverul deoarece acesta funcioneaz n mod normal pe portul EAA -sau alt port decis de administrator.. n acest caz sunt valabile urmtoarele confi,urri%

Fr Firewall ( 7 conexiune direct >86! pentru un host pe care ruleaz pro,ramul

"ommunication 2erver pe portul EAA. 2erverul de eb ruleaz pe acelai host pe portul DA.

Cu Firewall 0nc!is pe portul 122 ' n acest caz conexiunea ctre 2erver va fi blocat deoarece portul EAA este nchis. +up cum se vede n fi,ura de mai sus cea mai simpl soluie este deschiderea portului EAA ilustrat n fi,ura de mai &os.

Cu Firewall desc!is pe portul 122 ' 2e poate ima,ina i confi,urarea n cascad a serverului 0visions pentru a accepta conexiuni pe un alt port dec*t EAA cum ar fi% EF;= n cazul n care un alt serviciu este activ pe aceste porturi se recomand s nu fie pus serverul s asculte pe aceste porturi. 2erverul va ncerca s asculte pe portul EAA, iar n cazul n care este nchis, va mer,e la urmtorul port.

Cu Firewall inc!is pe portul 122 la client ' n multe cazuri vom avea aceast confi,uraie ceea ce nseamn c dup ce clientul va ncerca s se conecteze la portul EAA i nu va reui, comunicarea se va realiza pe portul DA conform fi,urii de mai &os.

7 comunicare realizata pe portul DA. 3ot% n cazul n care 2erverul accept conexiuni pe porturile EAA, <<; i DA, iar fire all(ul las clientul s se conecteze la unul dintre porturi, conexiunea este posibil. "*nd eb(serverul ruleaz pe acelai port DA i posibil pe portul <<; iar portul EAA este nchis la client, conexiunea nu va fi posibil. n acest caz sunt posibile urmtoarele solutii. Instalarea 2erverului 0vision pe alt staie dec*t cea pe care functioneaza 2erverul @eb. $ceast soluie este posibil deoarece 2erverul 0visions va putea rula cu aplicaia client servit de un alt host. "onfi,urarea mainii pe care este instalat serverul s rspund la dou adrese I! asociate unor hosturi diferite. 2e pot utiliza dou plci de reea virtuale instalate n aceai main, fiecare cu alt adres de I!. !e una va fi pus serverul eb iar pe cealalt serverul 0visions.

Comunicaii Criptate
0visions 2erver nu accepta 225 communication n mod nativ, dar sunt dou soluii s se depeasc aceast deficien% E. Instalarea unui wrapper software cum ar fi "-tunnel" pe serverul de comunicaii care s analizeze i s directeze traficul criptat ctre portul <<; i traficul necriptat ctre portul EAA. :. Instalarea 2erverului 0visions pe o a doua staie ce ruleaz n spatele staiei unde ruleaz -tunnel.

2tunnel ruleaz pe alt main dec*t 2erverul 0visions.

Pro4leme cu limitarile de pac!ete tip -!apers

n cazul n care limitarea unei conexiuni este fcut difereniat pe porturi, trebuie avut n vedere de ctre administratorul reelei c portul pe care funcioneaz 2erverul 0visions s nu fie nchis din 2haper sau limitat excesiv. +e re,ul administratorii limiteaz porturi de ,enul :=, DA, EEA, la limita alocrii de band iar n rest, celelalte porturi le pun la minim -respectiv Ekb..

Confi+urarea firewall cu D.Z

D.Z este o prescurtare pentru demilitarized zone. n contextul firewall Internet, aceasta se refer la o parte separat a reelei, care nu aparine nici reelei interne, nici nu e conectat direct la Internet. +e obicei n +6G se plaseaz serverele @0?, 0( 6$I5, 18!, +42, etc., accesibile din Internet. 56emple de confi+urare firewall cu D.Z,

7 abordare uzual este prin utilizarea a dou fire all(uri , unul extern, ntre Internetul public i +6G, i unul intern, ntre +6G i reeaua interioar, aa cum e ilustrat n fi,ura de mai &os. $stfel, Intranetul este prote&at n spatele unui strat dublu fire all.

2implu, se poate utiliza un router fire all cu ; interfee% una externa spre Internet, una intern spre Intranet i una spre +6G, aa cum se arat n fi,ura de mai &os. $semenea confi,uraii se pot realiza cu routere dedicate, sau cu servere, de ex. 5inux -chiar dedicat, cum este staro -ecurit% $inu6