Sunteți pe pagina 1din 26

ACADEMIA DE STUDII ECONOMICE BUCURESTI

CIBERNETICA, STATISTICA SI INFORMATICA ECONOMICA

Studiu de caz
- Firewall -

2013

Coninut:
Coninut:...............................................................................................................................................2
1. Introducere........................................................................................................................................3
2. Securitatea prin firewall...................................................................................................................4
3. Componentele unui firewall.............................................................................................................6
4. Tipuri de Firewall.............................................................................................................................8
4.1 Filtru de pachete.........................................................................................................................8
4.2 Proxy la nivel aplicaie...............................................................................................................8
4.3 Inspecia de tip statefull a pachetelor.........................................................................................9
4.4 Zon DeMilitarizat....................................................................................................................9
5. Implementarea securitii prin firewall...........................................................................................10
6. Procurarea unui firewall.................................................................................................................11
7. Probleme ale sistemelor firewall....................................................................................................13
8. Configurarea sistemului firewall utiliznd sistemul de operare Windows XP Professional .........14
9. Cum funcioneaz un firewall?.......................................................................................................16
10. Avantajele i dezavantajele unui sistem firwall...........................................................................17
10.1. Avantajele unui firewall....................................................................................................17
10.2 Dezavantajele unui firewall................................................................................................17
12. Firewall: este de ajuns sau nu?.....................................................................................................19
13. Limitari si mituri ale Firewall-urilor............................................................................................20
14. CentOS.........................................................................................................................................21
Acest printscreen arata actiunile pe care le ia plugin-ul Snort pe baza regulilor de firewall:...........23
15. Top 10 vulnerabilitati care pot aparea intr-un sistema informatic................................................24
16. Concluzii.......................................................................................................................................24

1. Introducere
n economia actual informaia este unul dintre cele mai importante bunuri ale unei
organizaii, probabil inferioar doar resurselor umane. Fiecare aspect al societii, inclusiv mediul
de afaceri este influenat de faptul c trim ntr-o societate informaional n care aproape totul este
interconectat. Asta nu nseamn c fiecare aspect al vieii este online, ci mai degrab c, indiferent
dac cineva particip sau nu, el este afectat de acest aspect.
Din perspectiva afacerilor, informaia a devenit unul dintre cele mai de pre bunuri. Astfel,
securitatea informaiei are o importan deosebit pentru companiile care vor s implementeze
afaceri electronice. Principala problem referitoare la securitatea acestora este c nsi natura
informaiei mpreun cu mediul de creare, dezvoltare, stocare i transmisie - calculatoarele, reelele
de comunicaii i n mod special Internetul, care este prin concepie un mediu deschis i nesecurizat
- sunt foarte greu de controlat. n ziua de astzi este foarte uor s creezi, s modifici i s transmii
informaia.
Avansul tehnologic n capacitatea de calcul i interconectivitatea au dus la o situaie n care
prin eforturi mici e posibil s se poat crea pagube foarte mari. Breele de securitate accidentale sau
intenionate sunt din ce n ce mai frecvente i mai uor de gsit, fiind din ce n ce mai greu s
securizezi informaia. Astfel asigurarea securitii totale este practic imposibil de realizat. Aceast
situaie reprezint n acelai timp att o oportunitate, ct i o provocare. Este o oportunitate
deoarece exist posibilitatea de a crea i exploata o valoare, oferind soluii viabile la aceast
problem i n acelai timp o provocare, pentru c fr o soluie realist i fezabil care s ofere
afacerilor sigurana necesar pentru transformarea n afaceri online, un potenial economic
important rmne neutilizat. Sondajele arat c lipsa securitii tranzaciilor este unul din motivele
cheie pentru care clienii ezit s cumpere online.
Firewall-urile software sunt instalate pe calculatorul care trebuie protejat si limiteaza conexiunile care
sunt acceptate intre aplicatiile care ruleaza pe calculator si reteaua (retelele) la care calculatorul este
conectat. Este posibil pentru un firewall software sa identifice care aplicatie doreste sa faca o conexiune,
care vrea sa trimita sau sa primeasca date. Aceasta se traduce prin posibilitatea implementarii unor
reguli care sa permita unor aplicatii sa se conecteze la porturile lor specifice si sa le refuze accesul celor
neinregistrate. De exemplu, accesul la serverul de mail local ar putea fi restrictionat pentru un anume tip
de client e-mail.
Cea mai mare problema cu firewall-urile software este ca ruleaza pe aceeasi platforma hardware ca si
aplicatiile pe care trebuie sa le controleze si sa le protejeze. Acest neajuns face ca si in eventualitatea in
care un atac de tip DoS este blocat complet de catre fierwall, atacul va consuma din resursele aceleasi
platforme pe care ruleaza si aplicatiile ce trebuiesc protejate putand face executia si raspunsul acestora
foarte lente.
Firewall-urile software sunt componente care au drepturi de acces dintre cele mai inalte si de cele mai
multe ori sunt parte ale kernelului sistemului de operare unde nu exista un control efectiv al accesului.
Din aceasta cauza exploatarea defectelor unui firewall-ului vor conduce in general la compromiterea
completa a sistemului.
Folosirea firewall-urilor software ca singura metoda de protectie nu este recomandata pentru
echipamentele importante dar reprezinta o solutie foarte buna in conjunctie cu firewall-urile hardware

deoarece pot implementa un nivel superior de control al aplicatiilor individuale. Firewall-urile software
pot restrictiona accesul catre alte calculatoare din retea, fapt ce altfel ar necesita un numar mare de
firewall-uri hardware.

2. Securitatea prin firewall


n literatura de specialitate, n diverse standarde i referine bibliografice au fost identificate
o multitudine de definiii ale conceptului. Cteva definiii reprezentative ale conceptului de firewall
sunt:
[1] un firewall este un agent care ngrdete traficul de reea ntr-un anumit mod, blocnd traficul
pe care l consider nepotrivit i/sau periculos;
[2] un firewall este un sistem sau un grup de sisteme care aplic o politic de control al accesului
ntre dou reele;
[3] un firewall creeaz o barier prin care traficul, n fiecare direcie, trebuie s treac. O politic
de securitate a firewall-ului va decide care tip trafic este autorizat s treac n fiecare direcie.
Pe baza acestor definiii se pot extrage cteva caracteristici generale, pe care un sistem
firewall trebuie sa le ncorporeze i anume:
a. traficul unei reele, indiferent de direcie (interior <> exterior) trebuie sa treac prin
firewall.
b. doar traficul autorizat poate trece prin firewall.
c. firewall-ul implementeaz politici de securitate.
d. firewall-ul permite monitorizarea traficului.
Un firewal (zid de protecie, perete antifoc) este un sistem de protecie plasat ntre dou
reele care are urmtoarele proprieti :
- oblig tot traficul dintre cele dou reele s treac prin el i numai prin el, pentru ambele
sensuri de transmisie ;
- filtreaz traficul i permite trecerea doar a celui autorizat prin politica de securitate ;
- este el nsui rezistent la ncercrile de penetrare, ocolire, spagere exercitate de diveri.
Un firewall nu este un simplu ruter sau calculator care asigur securitatea unei reele. El impune o
politic de securitate, de control a accesului, de autentificare a clienilor, de configurare a reelei. El
protejeaz o reea sigur din punct de vedere al securitii de o reea nesigur, n care nu putem
avea ncredere.

Reea
protejat

Trafic
autorizat

Firewall
Internet

Fig.1. Dispunerea unui firewall


Fiind dispus la intersecia a dou reele, un firewall poate fi folosit i pentru alte scopuri dct
controlul accesului :
4

pentru monitorizarea comunicaiilor dintre reeaua intern i cea extern (servicii


folosite, volum de trafic, frecvena accesrii, distribuia n timp de etc.);
pentru interceptarea i nregistrarea tuturor comunicaiilor dintre cele dou reele ;
pentru criptare n reele virtuale.

Exist patru tehnici generale pe care un firewall le utilizeaz, pentru controlul accesului, si
anume:
a. controlul serviciului determin tipurile de servicii Internet care pot fi accesate, filtrarea lor
putndu-se realiza pe baza adreselor IP; a numrului de port; prin utilizarea unor proxy care
vor interpreta cererile serviciilor, nainte de a le nainta;
b. controlul direciei - determin direcia pe care un anumit tip de serviciu are acces prin
firewall;
c. controlul utilizatorilor controleaz accesul utilizatorilor interni ai reelei la anumite tipuri
de servicii; pentru utilizatorii externi este necesar implementarea unor tehnici de
autentificare securizat.
d. controlul comportamentului controleaz modul n care anumite servicii sunt folosite;
Firewall-urile nu sunt sisteme infailibile, acestea avnd anumite limitri. Un sistem firewall
nu poate proteja reeaua mpotriva unor atacuri venite din interior sau care ocolesc sistemul, datorit
unor drepturi speciale. Firewall-ul nu este un sistem antivirus, deoarece n atribuiile sale nu se
regasete opiunea de scanare a mesajelor. Sistemele antivirus se utilizeaz n mod complementar,
pentru a nu suprancarca activitatea specific sistemelor firewall.

3. Componentele unui firewall


Componentele fundamentale ale unui firewall sunt:
- politica de control a acesului la servicii;
- mecanismele de autentificare;
- filtrarea pachetelor;
- serviciile proxy i porile de nivel aplicaie.
Politica de control a acesului la servicii definete n mod explicit acele servicii care sunt
permise i carte sunt refuzate, precum i cazurile de exepii i condiiile n care pot fi acceptate. O
politic realist trebuie s asigure un echilibru ntre protejarea reelei fa de anumite riscuri
cunoscute i asigurarea accesului utilizatorilor la resurse. Mai nti se definete politica de acces la
serviciile reelei, ca politic de nivel nalt, dup care se definete politica de proiectare a firewallului ca politic subsidiar.
Se pot implementa diverse politici de acces la servicii:
- interzicerea accesului din Internet la reeaua proprie i accesul invers, din reea spre
Internet;
- accesul din Internet dar numai spre anumite staii din reeaua proprie, cum ar fi
serverele de informaii, serverele de e-mail;
- accesul din internet spre anumite sisteme locale dar numai n situaii speciale i
numai dup autentificare reciproc.
Politica de proiectare a firewall-ului se bazeaz pe dou sub-politici:
1. ceea ce nu este interzis n mod explicit este permis
2. ceea ce nu este permis n mod explicit este interzis.
Prima subpolitic este mai puin oportun deoarece ofer posibiuliti de a ocoli sistemul de
securitate prin firewall. Pot aprea servicii noi, necunoscute, se pot folosi porturi TCP/UDP
nestandard etc. Eficiena unui sistem firewall de protecie a unei reele depinde de de politica de
acces la servicii, de politica de proiectare a firewall-ului i de arhitectura acestuia.
Un serviciu securitate foarte eficient relizabil prin firewall este filtrarea pachetelor. El permite
sau blocheaz trecerea unor anumite tipuri de pachete n funcie de un sistem de reguli stabilite de
administratorul de securitate. De exemplu filtrarea pachetelor IP se poate face dup diferite cmpuri
din antetul su: adresa IP a sursei, adresa IP a destinaiei, tipul protocol (TCP sau UDP), portul
surs sau portul destinaie etc.
Filtrarea se poate face ntr-o varietate de moduri: blocare conxiuni spre sau dinspre anumite
sisteme gazd sau reele, blocarea anumitor porturi etc.
Filtrarea de pachete se realizeaz, de obicei, la nivelul ruterelor. Multe rutere comerciale au
capacitatea de a filtra pachete pe baza cmpurilor din antet.
Filtrarea pachetelor se face dup reguli care fac parte din configurarea ruterului i care pot fi
reguli explicite sau implicite. De exemplu, interzicerea a tot ce nu este permis n mod explicit este o
interzicere implicit. Regula filtrrii implicite este mai bun din punct de vedere al securitii
deoarece ne asigur c n afara cazurilor pe care le dorim s treac, celelalte sunt filtrate, deci sunt
eviitate situaii neprevzute de acces. Regulile fac parte din configuraia ruterului. Pentru a decide
trimiterea sau blocarea unui pachet, regulule sunt parcurse pe rnd, pn se gsete o concordan i
se conformez acesteia. Dac nu se gsete o asemenea concordan, pachetului i se aplic regula
implicit. n cazul filtrrii dup adres, exist urmtoarele riscuri:
1. simpla filtrare nu poate fi sigur deoarece adresa surs poate fi falsificat. Un ruvoitor
poate simula c trimite pachete de la un utilizator de ncredere. El nu va primi rspuns, dar
simplul acces n reea poate reprezenta o ameninare.
6

2. atacul de tip omul din mijloc n care un atacator de interpune pe calea dintre surs i
destinaie i intercepteaz pachetele venind din ambele sensuri. Evitarea unei asemenae
situaii se poate face prin autentificare reciproc folosind mecanisme criptografice avansate.

4. Tipuri de Firewall
Trei tipuri principale de firewall-uri sunt descrise n literatura de specialitate: filtre de
pachete, proxy-uri la nivel aplicaie i filtre bazate pe inspecia de tip statefull a pachetelor.
4.1 Filtru de pachete
Acest tip de sistem firewall se bazeaz pe aplicarea unui set de reguli asupra tuturor
pachetelor IP care sunt recepionate sau transmise. Setul de reguli se bazeaz pe verificarea
informaiilor coninute n cadrul pachetelor i aplicarea unei politici de tip discard/forward.

Figura 2. Filtru de pachete


Informaiile verificate pot cuprinde cmpurile:
adresa IP surs;
adresa IP destinaie;
interfaa;
protocolul de nivel transport;
numrul portului surs/destinaie;
Avantajul acestei metode este dat de simplitatea i rapiditatea sa fiind, de regul, transparent
fa de utilizatori.
-

4.2 Proxy la nivel aplicaie


Acest tip de firewall presupune existena unei entiti intermediare, care va prelua cererile
clienilor, le va procesa i le va nainta n numele clientului ctre hosturile remote. Proxy-ul va
respinge acele cereri de servicii pentru care nu exist reguli, sau care ncalc regulile definite.
Avantajul acestei metode este reprezentat de nivelul de izolare, introdus pentru clieni, fa
de exteriorul reelei. Astfel, staiile clienilor i vor pastra anominatul, deoarece toate cererile
acestora vor fi prelucrate prin intermediul proxyului. Aceasta este o msur pentru creterea
securitii clienilor reelei. Un dezavantaj al acestui sistem de firewall l reprezint overheadul de
procesare introdus pe fiecare conexiune.

Figura 3. Proxy la nivel aplicaie


8

4.3 Inspecia de tip statefull a pachetelor


Inspecia de tip statefull a pachetelor aduce mbunatiri de securitate filtrelor de pachete,
fr a introduce n reea o ncarcare de procesare care s conduc la scderea vitezei de transmisie.
Acest tip de filtru va pstra o eviden a sesiunilor de reea active. De asemenea, se utilizeaz
timeout-uri configurabile pentru eliminarea, din eviden, a sesiunilor inactive.
Un exemplu de firewall care utilizeaz inspecia de tip statefull a pachetelor este ICMP
Pachetele ICMP sunt folosite pentru a raporta informaii legate de starea reelei. ns
pachetele ICMP pot fi utilizate de utilizatorii externi pentru a afla topologia reelei interne, sau
pentru a ncerca atacuri de tip DoS (Denial Of Service). Pentru evitarea acestor probleme, ruterele
vor pstra o tabel cu cererile ICMP care sunt originare din interiorul reelei private, pentru a putea
face o potrivire cu rspunsurile ICMP care vor sosi din exteriorul reelei. Astfel, doar pachetele
ICMP care au un corespondent n tabela ruterului vor fi permise.
Principalul avantaj al acestei metode este reprezentat de viteza de procesare i de
flexibilitate la introducerea unor noi tipuri de protocoale. ns, inspecia de tip statefull a pachetelor
este mai puin sigur comparativ cu proxyurile la nivel aplicaie.
4.4 Zon DeMilitarizat
Sistemele firewall descrise anterior presupuneau existena a dou tipuri de interfee, i
anume interfaa interioar (cea sigur) i interfaa exterioar (cea nesigur). ns, odat cu
dezvoltarea serviciilor de reea s-a dovedit c este necesar adugarea unui nou tip de interfa, o
interfa neutr, denumit DMZ (Zon DeMilitarizat).

Figura 4. Concept DMZ


Accesul la noua zon este filtrat de firewall, att pentru utilizatorii externi, ct i pentru cei externi.
Zona DMZ joac rolul unui proxy, permind expunerea unor servicii ctre utilizatorii externi (ex.
servicii web, servicii de mail), fr a permite accesul n cadrul reelei private. n acest mod, se
obine un grad mai ridicat de securitate al reelei private.

5. Implementarea securitii prin firewall


-

Implementarea securitii printr-un sistem firewall se poate face respectnd urmtorii pai:
Definirea politicii de securitate prin firewall
Definirea cerinelor de funcionare i securitate prin firewall
Procurarea unui firewall
Administrarea unui firewall.

Politica de securitate prin firewall are dou niveluri de abordare: politica de acces la servicii i
politica de proiectare a firewall-ului. Gradul de ndeplinire a securitii pe cele dou nivele depinde
n mare msur de arhitectura sistemului firewall. Pentru a defini o politic de proiectare a firewallului, trebuie examinate i documentate urmtoarele:
Ce servicii urmeaz a fi folosite n mod curent i ocazional
Cum i unde vor fi folosite (local, la distan, prin Internet, de la domicilui)
Care este gradul de sensibilitate al informaiei, locul unde se afl i ce persoane au
acces au acces ocazional sau curent
Care sunt riscurile asociate cu furnizarea accesului la aceste informaii
Care este costul asigurrii proteciei
n vederea procurrii componenetelor soft i hard ale unui sistem firewall, trebuie definite ct
se poate de concret cerinele de funcionalitate i de securitate ale acestuia. Pentru aceasta este
recomandabil s se in seama de urmtoarele aspecte:
n ce msur poate fi suportat o politic de securitate impus de organizaie i nu de sistem
n sine
Flexibilitatea, gradul de adaptabilitate la nio servicii sau ceine determinate de schimbrile
n politica de securitate
S conin mecanisme avansate de autentificare sau posibiliti de instalare a acestora
S foloseeasc tehnici de filtrare de tip permitere/interzicere acces la sisteme, aplicaii,
servicii
Regulile de filtrare s permitp selectarea i combinarea ct mai multor atribute (adrese,
porturi, protocoale)
Pentru servicii ca TELNET, FTP etc s permit folosirea serviciului proxy individuale sau
comune
Firewall-ul i accesul public n reea trebuie corelate astfel nct serverele informaionale
publice s poat fi portejate de de firewall, dar s poat fi separate de celelalte sisteme de
reea care nu furnizeaz acces public
Posibilitatea ca firewall-ul i sistemul de operare s poat fi actualizate periodic

10

6. Procurarea unui firewall


Exist dou variante de procurare a unui firewall: realizare proprie sau de pe Internet variante
libere i cumprarea unui produs profesional la cheie. Ambele au avantaje i dezavantaje. Un
firewall de firm este puternic, verificat i ofer multe faciliti dar este mai scump. Unul construit
pentru o anumit organizaie sau reea permite ca specialitii firmei s neleag specificaiile de
proiectare i de utilizure a acestuia.
nainte de a se lua decizia de procurare trebuie s se afle rspunsuri la intrebri de felul:
- cum se va verifica dac produsul firewall respect cerinele funcionale
- cum poate fi testat mpotriva diverselor atacuri
- cine, cum i cu ce mijloace va face ntreinerea, repararea, actualizarea sa
- cum i cine va face instruirea utilizatorilor
- cun vor fi rezolvate eventuale incidente de securitate.
Un exemplu de produs firewall de firm este CISCO IOS Firewall care include urmtoarele
funcii:
- filtrarea traficului IP i protejarea reelei impotriva atacurilor din exterior;
- filtrarea traficului la nivelul aplicaie;
- controlul accesului la resurse pe baza informaiilor furnizate de serviciul de AAA
(Authentication, Authorization, and Accounting);
Stateful Packet Inspection (SPI) reprezint componenta de baz a CISCO IOS Firewall. SPI
asigur detecia i protecia mpotriva atacurilor DoS, ca de exemplu: scanarea porturilor,
iniializarea abuziv de conexiuni TCP (SYN Flooding), trimiterea de pachete modificate cu scopul
de a bloca accesul legitim la servicii.
CISCO IOS Firewall este capabil s trimit alerte n timp real, s semnaleze i s prentmpine
utilizarea nelegitim a resurselor.
Accesul din internet la resursele intranet poate fi protejat prin utilizator i parola i aciunile
utilizatorilor nregistrate cu ajutorul serviciului de AAA (authentication, authorization, and
accounting).
CISCO IOS Firewall ofer analiza traficului la nivelul aplicaie, prentmpin utilizarea
abuziv a unora dintre cele mai cunoscute servicii: HTTP (Hypertext Transfer Protocol), POP (Post
Office Protocol), IMAP (Internet Message Access Protocol), SMTP (Simple MailTransfer
Protocol).
Exemple de implementare a CISCO IOS Firewall:
Exemplul 1
Angajaii au acces securizat la resursele companiei aflate n sediul central.
Vizitatorii au acces doar la reeaua internet.
Aplicaiile P2P (DC++, Torent) i aplicaiile de chat pot fi restricionate.

11

Figura 5. CISCO IOS Firewall


Exemplul 2
Angajaii au acces securizat la resursele companiei aflate n sediul central.
Vizitatorii au acces doar la reeaua internet.
Aplicaiile P2P (DC++, Torent) i aplicatiile de chat pot fi restricionate.
Traficul ctre serverele WEB este analizat, asigur protecia impotriva atacurilor DoS.

Fig 6. CISCO IOS Firewall


Exemplul 3
Accesul angajailor la serverele WEB se face cu o autentificare prealabil, autentificare
gestionat de ctre serverul care asigur serviciul de AAA.

Fig 7. CISCO IOS Firewall

12

7. Probleme ale sistemelor firewall


Principalele cauze ale eurilor sistemelor firewall sunt:
1. Probleme de neglijen
Unele probleme legate de sistemele firewall apar datorit neglijenei utilizatorilor sau a
administratorilor, fr a exista o intenie maliioas. Cauza principal a problemelor de firewall este
reprezentat de greelile administrative. Aceste probleme apar datorit urmtorilor factori:
a. seturi de reguli foarte mari;
b. schimbrile de personal (administratorii firewal-urilor);
c. reguli neactualizate/nvechite;
d. lipsa documentaiei pentru politicile de securitate/seturile de reguli implementate;
2. Corupere intenionat
Datorit faptului c unii utilizatori doresc o mai mare funcionalitate dect le permite firewall-ul,
sau datorit faptului c o persoan din exterior dorete acces la resursele interne ale reelei, apar
problemele legate de coruperea intenionat a firewall-ului.
3. Probleme legate de modalitatea de funcionare a reelelor de calculatoare
Acest tip de probleme apare datorit modului n care reelele de calculatoare au fost proiectate, i
anume:
a. probleme legate de fragmentarea pachetelor IP
b. probleme legate de accesul prin intermediul serviciului ftp
c. probleme legate de pachetele de dimensiuni foarte mici

13

8. Configurarea sistemului firewall utiliznd sistemul de operare Windows XP


Professional
Paii necesari pentru accesarea sistemului firewall sunt:
1. Start
2. Settings
3. Control Panel
4. Security Center
5. Windows Firewall
a. Tab-ul General
Cele trei moduri de operare ale Windows Firewall sunt:
- On
Firewall-ul va bloca, n mod implicit, toate cererile nesolicitate, cu excepia celor definite n tabul Exceptions.
- On with no exceptions
Firewall-ul va bloca, n mod implicit, toate cererile nesolicitate, inclusiv cele definite n tab-ul
Exceptions. Utilizarea acestui mod de operare este recomandat dac computerul este conectat la
o reea public, unde este nevoie de o protecie maxim, i se realizeaz prin selectarea opiunii
Don't allow exceptions.
- Off
Firewall-ul va fi deactivat.
b. Tab-ul Exceptions
n mod implicit, firewall-ul blocheaz conexiunile de intrare n reea. Windows Firewall permite
configurarea unor excepii pentru servicii i programe. Aceste excepii sunt prezentate n
seciunea Programs and Services.
Adugarea unor excepii pentru programe:
- Click butonul Add Program.
- Se va deschide fereastra Add a Program.
- Se va selecta un program din cadrul listei, sau se va aduga un alt program prin selectarea
opiunii Browse.
- Pentru fiecare program selectat se poate alege aria de aplicare (selectarea computerelor pentru care
programul selectat nu va fi blocat), prin selectarea butonului Change Scope. Cele trei opiuni
disponibile sunt:
- Any computer;
- My network (subnet) only;
- Custom list specificarea unei liste de adrese IP;
Adugarea unor excepii pentru servicii, prin selectarea porturilor i a protocoalelor care nu vor fi
blocate de ctre firewall:
- Click butonul Add Port;
- Se va deschide fereastra Add a Port;
Se va completa cmpul Name cu un nume sugestiv;
- Se va completa cmpul Port Number;
- Se va selecta protocolul (UDP/TCP);
14

- Pentru fiecare serviciu selectat se poate alege aria de aplicare (selectarea computerelor
pentru care serviciul definit nu va fi blocat), prin selectarea butonului Change Scope.
Fiecare dintre excepiile definite pot fi modifcate prin selectarea excepiei i apoi a
butonului Edit sau pot fi terse prin selectarea butonului Delete.
c. Tab-ul Advanced
Permite selectarea conexiunilor de reea care vor fi protejate de ctre firewall. De asemenea, prin
selectarea butonului Restore Defaults, se vor reseta opiunile firewall-ului la un nivel implicit.
Pentru testarea funcionalitilor sistemului Windows Firewall se vor rula diferite aplicaii
de reea, utiliznd cele trei tipuri de funcionare descrise n tab-ul General. Se vor defini excepii,
att pentru programe, ct i pentru servicii.

15

9. Cum funcioneaz un firewall?


Un firewall, lucreaz ndeaproape cu un program de routare, examineaz fiecare pachet de
date din reea (fie cea local sau cea exterioar) ce va trece prin serverul gateway pentru a
determina daca va fi trimis mai departe spre destinaie. Un firewall include de asemenea sau
lucreaz mpreun cu un server proxy care face cereri de pachete n numele staiilor de lucru ale
utilizatorilor. n cele mai ntlnite cazuri aceste programe de protecie sunt instalate pe calculatoare
ce ndeplinesc numai aceast funcie i sunt instalate n faa routerelor.
Exist doua metode de blocare a traficului folosite de firewall-uri. Astfel, un firewall
permite orice fel de trafic atta timp ct nu este ndeplinit o anumit condiie sau blocheaz traficul
atta timp ct nu este ndeplinit o condiie. Paravanele de protecie pot s se ocupe de tipul de
trafic sau de adresele i porturile sursei sau destinaiei. Acestea pot s foloseasc un set de reguli
pentru analizarea datelor aplicaiilor pentru a determina dac traficul este permis.
Felul n care un firewall determin ce trafic este permis depinde de stratul reelei (network
layer) la care opereaz.. n urmtoarea diagram este prezentat funcionarea firewall-urilor.

Figura 8. Funcionarea Firewall


Soluiile firewall se mpart n dou mari categorii: prima este reprezentat de soluiile
profesionale hardware sau software dedicate proteciei ntregului trafic dintre o reea i Internet, iar
cea de a doua categorie este reprezentat de firewall-urile personale dedicate monitorizrii traficului
pe calculatorul personal.
Utiliznd o aplicaie din cea de a doua categorie se pot prentmpin atacurile venite din
partea celor care ncearc s acceseze prin mijloace mai mult sau mai puin ortodoxe resurse de pe
PC-ul utilizatorului. n situaia n care este disponibil o conexiune la Internet, un firewall personal
va oferi un plus de siguran transmisiilor de date.
Cum astzi majoritatea utilizatorilor tind s schimbe clasica conexiune dial-up cu modaliti
de conectare mai eficiente (cablu, ISDN, xDSL sau telefon mobil), pericolul unor atacuri reuite
asupra sistemului conectat la internet crete. Astfel, mrirea lrgimii de band a conexiunii la
Internet faciliteaz posibilitatea de "strecurare" a intruilor nedorii.
Astfel, un firewall este folosit pentru doua scopuri:
pentru a pstra n afara reelei utilizatorii ru intenionai (virui, viermi cybernetici, hackeri,
crackeri)
pentru a pstra utilizatorii locali (angajaii, clienii) n reea

16

10. Avantajele i dezavantajele unui sistem firwall


10.1. Avantajele unui firewall
ntr-un mediu fr firewall securitatea reelei se bazeaz exclusiv pe securitatea calculatoarelor
gazd care trebuie s coopereze pentru realizarea unui nivel corespunztor de securitate. Cu ct
reeaua este mai mare, cu att este mai greu de asigurat securitatea fiecrui calculator. Folosirea
unui firewall asigur cteva avantaje:
1) Protecia serviciilor vulnerabile prin filtrarea (blocarea) acelora care n mod obinuit sunt
inerent mai expuse. De exemplu un firewall poate bloca intrarea sau ieirea dintr-o reea
protejat a unor servicii expuse cum ar fi NFS, NIS etc. De asemenea mecanismul de
dirijare a pachetelor din Internet poate fi folosit pentru rutarea traficului ctre destinaiii
compromise. Prin intermediul ICMP firewall-ul poate rejecta aceste pachete i informa
administratorul de reea despre incident.
2) Impunerea unei politici a accesului n reea deoarece un firewall poate controla accesul
ntr-o reea privat. Unele calculatoare pot fcute accesibile dei exterior i altele nu. De
exemplu, serviciile de pot electronic i cele informaionele pot fi accesibile numai pe
unele calculatoare din reeaua intern protejndu-le pe celelalte de expuneri la atacuri.
3) Concentrarea securitii pe firewall reduce mult costurile acestei fa de cazul n care ar fi
distribuit pe fiecare staie. Folosirea altor soluii cum ar fi Kerberos, implic modificri la
fiecare sistem gazd, ceea ce este mai greu de implementat i mai costisitor.
4) ntrirea caracterului privat al informaiei care circul prin reea. n mod normal o
informaie considerat pe bun dreptate nesenzitiv (navigarea pe Web, citirea potei
electronice etc.) poate aduce atacatorilor informaii dorite despre utilizatori : ct de des i la
ce ore este folosit un sistem, dac s-a citit pota electronic, site-urile cele mai vizitate etc.
Asemenea iformaii sunt furnizate de serviciul finger, altfel un serviciu util n Internet.
Folosirea unui firewall poate bloca asemenea servicii cum ar fi finger, DNS etc. Blocarea
ieirii n exterior a informaiei DNS referitoare la sistemele gazd interne, numele i adresele
IP, ascunde informaie foarte cutat de atacatori.
5) Monitorizarea i realizarea de statistici privind folosirea reelei sunt mult uurate dac
ntregul trafic spre i dinspre Internet se face printr-un singur punct (firewall).

10.2 Dezavantajele unui firewall


Folosirea unui firewall are i unele limitri i dejavantaje, inclusiv unele probleme de
securitate pe care nu le poate rezolva.
1. Restricionarea accesului la unele servicii considerate vulnarabile care sunt des solicitate
de utilizatori : FTP, telnet, http, NSf etc. Uneori politica de securitate poate impune chiar
blocarea total a acestora.
2. Posibilitatea existenei unor ui secrete Un firewall nu poate proteja mpotriva unor
trape care pot aprea n reea, de exemplu accesul prin modem la unele cailculatoare gazd.
Folosirea modemuri de vitez mare pe o conexiune PPP sau SLIP deschide o u
neprotejabil prin firewall.
3. Firewall-ul nu asigur protecie fa de atacurile venite din interior. Scurgerea de
informaii, atacurile cu virui, distrugerea intenionat din interiorul reelei nu pot fi
protejate de firewall.
17

4. Reducerea vitezei de comunicaie cu exteriorul (congestia traficului) este o problem


major a unui firewall. Ea poate fi depit prin alegerea unor magistrale de mare vitez la
interfaa acestuia cu reeaua intern i cea extern.
5. Fiabilitatea reelei poate fi redus dac i chiar dezastruoas dac sistemul firewall nu este
fiabil.
Comparnd avantajele i limitrile securitii prin firewall se poate concluziona c protejarea
resurselor unei reele este bine s se fac att prin sisteme firewall ct i prin alte meeanisme i
sisteme de securitate.

18

12. Firewall: este de ajuns sau nu?


Un firewall poate sa apere un server de multe probleme cum ar fi atacuri, incercari de brute
force, port scanning, etc., insa nu este de ajuns de obicei. Trebuie gasit un echilibru pentru a sti cand
sa te bazezi doar pe un firewall sau cand ai nevoie si de alte masuri de protectie.
Spunem acest lucru deoarece exista persoane care cred ca daca un server este securizat la
maximum, cu reguli stricte si cu politici de securitate aspre, nu se poate intampla nimic rau cu siteul
lor. Am intalnit clienti care considera ca o politica de securitate a serverului poate sa ii salveze de
probleme generate de pierderea sau furtul parolei de pe calculatorul propriu.
Nu, un server bine securizat va poate proteja doar de problemele sau actiunile ce au loc
asupra serverului, nu va va proteja parola de la mail daca va logati de la un calculator public de
exemplu si niciodata nu o sa va protejeze scripturile daca dvs nu le tineti actualizate, mai ales atunci
cand apar updateuri de securitate. Degeaba este un server dedicat securizat la maxim daca o
persoana rauvoitoare are parola de la sectiunea de administrare a siteului dumneavoastra: loganduse cu date de acces legitime/valide, nu va fi blocat de catre server
Atacatorii scaneaza vulnerabilitatile din servere si cauta posibile brese de securitate sau
porti de intrare. De obicei astfel de portite sunt porturile de retea de pe server. Cu cat mai multe
porturi sunt deschise pe un server dedicat, cu atat mai mult este expus acel server. Cu toate astea, nu
se pot opri toate porturile de pe server, unele trebuie sa ramana deschise, cum sunt porturile pentru
serviciul de mail: 25 si 110 sau portul 80 pentru serverul web ca sa vi se poata incarca websiteul.
De cele mai multe ori exista masuri de protectie si din partea data centerului unde se afla
acel server, la nivel de routere sau alta aparatura de retea. Si firewall de tip software este util sa
ruleze pe un server si sa aiba in actiune si masuri proactive cum ar fi blocarea automata a scanarii
de porturi sau unele atacuri de tip DDoS.
Se mai pot practica si alte masuri de securitate cum ar fi software de hardening sau
imbunatatirea securitatii aplicatiilor, un exemplu este Suhosin pentru PHP hardening.
In concluzie: indiferent cat de multe firewalluri sau masuri de securitate exista pe un server
dedicat sau in datacenter, nu veti fi protejati niciodata in cazul in care folositi o parola usor de
ghicit, o aplicatie web neactualizata si cu vulnerabilitati sau scripturi scrise gresit sau nesecurizate.
Deci masuri de protectie trebuie sa existe si la nivelul utilizatorului final: posesorul websiteului sau
al contului de hosting.
Un firewall poate s:

monitorizeze cile de ptrundere n reeaua privat, permind n felul acesta o mai


bun monitorizare a traficului i deci o mai uoar detectare a ncercrilor de infiltrare;

blocheze la un moment dat traficul n i dinspre Internet;

selecteze accesul n spaiul privat pe baza informaiilor coninute n pachete.

permit sau interzic accesul la reeaua public, de pe anumite staii specificate;

i nu n cele din urm, poate izola spaiul privat de cel public i realiza interfaa ntre
cele dou.
De asemeni, o aplicaie firewall nu poate:

interzice importul/exportul de informaii duntoare vehiculate ca urmare a aciunii


rutcioase a unor utilizatori aparinnd spaiului privat (ex: csua potal i ataamentele);

interzice scurgerea de informaii de pe alte ci care ocolesc firewall-ul (acces prin


dial-up ce nu trece prin router);

apra reeaua privat de utilizatorii ce folosesc sisteme fizice mobile de introducere a


datelor n reea (USB Stick, dischet, CD, etc.)
19


preveni manifestarea erorilor de proiectare ale aplicaiilor ce realizeaz diverse
servicii, precum i punctele slabe ce decurg din exploatarea acestor greeli.

13. Limitari si mituri ale Firewall-urilor


Limitari ale firewall-urilor
Datorita complexitatii unui firewall pot exista si unele defecte neprevazute (vulnerabilitati)
care pot fi exploatate. Daca astfel de defecte sunt descoperite o actualizare a firewall-ului este
necesara. in cazul firewall-urilor hardware, de cele mai multe ori aceasta presupune un upgrade de
firmware.
Un firewall este atat de bun pe cat este configuratia sa. Regulile ar trebuie sa permita accesul
doar acelor protocoale de care este nevoie. Una din problemele uzuale este ca regulile speciale care
sa permita acces aditional sunt aplicate temporar pentru un proiect sau o activitate pe termen scurt
dar ulterior nu mai sunt indepartate. Cand servicii sau echipamente nu mai sunt necesare
configuratia nu este intotdeauna "inasprita" pentru a indeparta accesul redundant acum. Defectul nu
este aparent deoarece serviciile permise vor continua sa functioneze. Aceasta este dificultatea de
baza in intretinerea firewall-urilor -cand accesul ramane permis nimeni nu observa. Un bun control
al proceselor de configurare pot ajuta la reducerea acestor probleme.
Chiar daca un firewall a fost configurat corect si functioneaza asa cum ar trebui nu poate
oferi protectie completa. Tot ceea ce poate face este sa restranga natura amenintarii doar la acele
protocoale de care este nevoie. Amenintari care sunt transportate de protocoalele permise vor trece
de firewall. Un exemplu bun il reprezinta e-mail-ul; un firewall poate restrictiona conexiunile astfel
incat doar traficul e-mail legitim sa poata patrunde in retea, dar nu va fi capabil sa opreasca date
daunatoare care vor fi atasate e-mail-ului decat daca scaneaza aceste date si poate face diferenta
intre date bune si date rele.
O greseala comuna care este facuta atunci cand se configureaza un firewall este de a
concentra efortul exclusiv pe amenintarile venite din afara si de a presupune ca traficul care isi are
originea in reteaua protejata este automat legitim. Aceasta nu mai este o presupunere corecta de
cand virusi, troieni sau alte categorii de programe malware pot sa incerce sa trimita date de interes
din interior, prin firewall, de cele mai multe ori folosind protocoale des utilizate. Regulile unui
firewall ar trebui sa restranga in mod obligatoriu traficul ce iese din retea doar la acele date care
sunt necesare.
Un firewall corect configurat face parte, dar doar o singura parte, din modul de aparare a
unui sistem. In cel mai bun caz un firewall poate reduce efectele unui atac la minimum pastrand
functionalitatea serviciilor, dar nu va putea niciodata rezolva toate problemele care tin de securitatea
unui sistem. Prezenta unui firewall poate induce automultumire care duce la neglijarea altor masuri
vitale de securitate. Administratorii de sistem, utilizatorii si cei care creaza politicile trebuie sa
inteleaga riscurile care exista totusi chiar si cu un firewall configurat si mentinut in conditiile de
functionare cele mai bune.
Mituri ale Firewall
Un firewall este un dispozitiv hardware
Cele mai multe firewall-uri sunt fie hardware, fie software sau o combinaie ntre cele dou. Un
router wireless este firewall de tip hardware.
Un firewall poate apra calculatorul de orice posibil ameninare
Un firewall nu protejeaz i de atacurile din interiorul reelei.
20

Un firewall protejeaz orice schimb de informaii


Un firewall protejeaz doar schimburile de informaii care trec prin porile lui.
Un firewall poate proteja un computer i de ameninrile nou aprute
Un firewall este construit s protejeze numai mpotriva ameninrilor cunoscute. Noi modaliti de
atac informatic sunt concepute mult mai repede dect poate industria IT s creeze noi utilitare
dedicate proteciei i securitii.

14. CentOS
CentOS este un sistem de operare bazat pe Linux cu ajutorul caruia se pot adauga reguli de
firewall intr-o retea. Acest sistem de operare permite printr-o interfata de management instalarea
mai multor reguli de firewall, modificarea acestora, adaugarea exceptiilor, accesul sau interzicerea
la anumite porturi etc..
Scopul principal al acestui sistem de operare este de a proteja informatiile dintr-o retea, pe
baza unor reguli de firewall, reguli ce sunt actualizate de pluginul Snort ( plugin creat si actualizat
de o comunitate online cu ultimele defintii ale vulnerabilitatilor descoperite in materie de
securitate ).

21

Aceste seturi de reguli contin definitii de firewall pentru dns, exploit, ftp, scan, smtp, sql
etc... Pe baza acestor reguli sistemul poate oprii atacuri ce au ca scop infectarea retelei de
calculatoare ( ex: ddos, sql-injection, network scan exploits )
Avantajele principale ale acestui sistem de operare sunt:

Configurare proxy server ce permite adaugarea exceptiilor si blocarea anumitor cuvinte din
cadrul unei pagini folosindu-se de serviciul DansGuardian
Server DHCP ce permite alocarea dinamica a IP-urilor in cadrul retelei si blocarea unor
calculatoare ce nu apartin retelei astfel reducand riscul de a infecta o retea.
Intrusion Detection plugin ce actioneaza la toate actiunile ce sunt realizate de catre posibili
atacatori pe server. Acesta verifica fiecare actiune dupa care blocheaza accesul in cazul in
care anumite reguli sunt incalcate
Gateway Antivirus & Antiphising pluginuri ce verifica fiecare pagina accesata daca
aceasta este virusata sau daca are ca scop furtul de date confidentiale ( conturi de email,
parole, carduri etc... )
Firewall plugin ce contine optiuni pentru adaugarea manuala a unor reguli ( ex:
deschiderea unor porturi, port forwarding, DMZ etc ... )
OpenVPN - unul dintre cele mai importante pluginuri ce permite pe baza unui
certificat digital si a unei chei de acces conexiunea in retea. Tot traficul ce se realizeaza
dinter server si client este criptat prin SSH

Mai jos este un printscreen ce arata cat de des se scaneaza activitatea serverelor
incercarea de a patrunde in acestea:

22

si

Acest printscreen arata actiunile pe care le ia plugin-ul Snort pe baza regulilor de firewall:

23

15. Top 10 vulnerabilitati care pot aparea intr-un sistema informatic


1. Parole i alte date confideniale, stocate neprotejat. Anumite date confideniale din cadrul unei
companii pot ajunge n situaia de a fi stocate fr nici un fel de protecie sau folosindu-se metode
de protejare insuficiente.
2. Fiiere publice. n unele situaii exist fiiere cu date importante ce pot fi accesate foarte uor
din internet, acestea fiind practic publice. Fie c acest lucru se datoreaz neglijenei sau unei scpri
de securitate, aceste fiiere pot conine date sensibile sau informaii utile ce pot fi obiectul unor
atacuri informatice.
3. Versiuni de software depite. n producie sunt folosite versiuni de software depite, cu
probleme de securitate critice cunoscute i remediate n versiuni ulterioare. Problemele de
securitate cunoscute pot fi exploatate foarte uor chiar de persoane fr cunotinte tehnice avansate,
existnd chiar i aplicaii specializate n exploatarea acestor bree de securitate.
4. Dezvluirea unor detalii tehnice. Exist anumite cazuri n care o aplicaie dezvluie detalii
tehnice sensibile atunci cnd una din componentele ei nu funcioneaz, informaii confideniale
fiind fcute publice prin intermediul mesajelor de eroare afiate.
5. Lipsa validrii datelor pe partea de server. O alt vulnerabilitate a unui sistem informatic, gsit
cu regularitate de specialitii Zitec n audit-urile realizate, este aceea n care se descoper c
validarea datelor introduse de un utilizator se face doar n interfaa afiat de browser, nu i la nivel
de server. Acest lucru expune aplicaia pentru mai multe tipuri de atacuri.
6. Conectarea la baza de date se face cu un utilizator care are permisiuni mult peste necesitile
aplicaiei. Odat compromise datele de acces, atacatorul poate ctiga uor acces la toate bazele de
date, unde pot exista i informaii ce aparin de alte aplicaii ale companiei.
7. Datele confideniale nu se transmit folosind un protocol securizat. Uneori se securizeaz doar
cteva pagini (login, register, checkout etc.) i nu tot site-ul, ceea ce face furtul de sesiune/identitate
la fel de uor ca pe un site neprotejat printr-un certificat de securitate.
8. Servicii care pot fi vectori de atac. Serverul de producie are pornite servicii neutilizate, care, la
rndul lor, au deschise port-uri. Aceste servicii sunt posibili vectori de atac (mai ales c, fiind
neutilizate, de obicei nu sunt actualizate la cele mai recente versiuni).
9. Fiierele de configurare ale aplicaiei sunt stocate n directoare publice. Riscul ca datele de
configurare, incluznd uneori parole de acces sau alte date sensibile, s fie accesate de personal
neautorizat crete foarte mult n acest caz.
10. Vulnerabiliti n faa unor atacuri de tip Denial of Service. Un exemplu ar fi stabilirea unei
limite de memorie per conexiune de 10% (uneori considerabil mai mult) n memoria disponibil a
serverului. Astfel, 10 utilizatori concureni pot consuma ntreaga memorie a serverului.

16. Concluzii
n trecut singurele persoane care accesau reelele unei afacerei electronice erau angajaii i
unii parteneri Astzi cu e-business, nu tii cine acceseaz reelele i nu tii dac poi s ai ncredere
n ei. Pentru aceasta e necesar o protecie a acestei.
Tehnologiile de securitate a informaiei nu vizeaz doar prevenirea dezastrelor, ci ele
reprezint mijloace de realizare a obiectivelor de afaceri. Sistemele de securitate sunt absolut
necesare pentru asigurarea succesului, prin urmare ele trebuie incluse n procesul de gndire
strategic a firmelor. Securitatea informatic trebuie vzut ca un proces care este esenial n
ndeplinirea nevoilor legitime ale partenerilor i clienilor i nu ca ceva care poate fi adugat. Pe
24

de alt parte, companiile trebuie s se asigure c departamentele lor de marketing i relaii cu


publicul sunt versate n principiile tehnologiilor de securitate a informaiei pentru a putea comunica
efectiv publicului msurile care sunt luate pentru a proteja banii i intimitatea clientilor.
n afar de raiuni comerciale, firmele au obligaii legale s asigure protecia datelor
personale ale clienilor lor. Securitatea reprezint o funcie care vizeaz un control complet i
administrarea vulnerabilitilor i riscurilor societii interconectate. Ele trebuie s asigure
confidenialitatea, posesia (sau controlul), integritatea, autenticitatea, disponibilitatea i utilitatea
informaiilor i sistemelor.O soluie este instalarea unui Firewall.
Astzi, ca rezultat al reelelor globale i al extinderii firmelor dincolo de hotarele tradiionale
apar ca facilitator de oportuniti,ca un creator de valoare, n particular prin inducerea ncrederii n
cei implicai
Principalul efect nedorit al unei afaceri electronice este pierderea de informatii, care se poate
intampla prin scurgeri de date confidentiale, in mod intentionat sau neintentionat (prin phishing sau
social engineering).
Fr existena unui Firewall se poate ajunge foarte usor la pierderi de contracte, la
intreruperea unor relatii de afaceri, la compromiterea unor licitatii sau la pierderea increderii
clientilor sau partenerilor companiei in cauza.
De aceea o asigurare a securitatii afacerii duce la o ctigare a ncrederii clienilor i la o
dezvoltarea a afacerii.
Dup cele prezentate mai sus, o prim concluzie este c un firewall poate securiza total un computer
sau o reea de PC-uri conectate la Internet. Aceast afirmaie este eronat din dou puncte de
vedere. n primul rnd un firewall este, la urma urmei, un filtru a crui rezisten i compoziie
depinde de setrile efectuate de utilizator, iar n al doilea rnd, programul nu poate mpiedica
accesul viruilor de tip troian ce folosesc clientul de mail impicit, programele de chat (ICQ, MSN,
Y!, etc.) sau browser-ul de Internet utilizat. Odat rulai aceti virui (fie cu ajutorul unei persoane
neavizate sau fie prin instalarea direct a acestora n Task Manager), se pot pierde resurse i timp
pentru devirusarea calculatorului sau chiar o mare parte din informaiile prezente pe harddisk. O
educaie bun a user-ului, blocarea unor anumite porturi i stabilirea unor proceduri riguroase de
control din partea administratorului de reea, sunt elemente ce duc alturi de un echipament firewall
hard i/sau soft la creterea securitii unei reele conectate la Internet, micornd astfel riscul unor
accese nedorite att din exterior ctre interior ct i n sens opus.

25

Bibliografie

Dumitru, George Programe Antivirus Ed. Teora 1997


Victor Valeriu Patriciu Criptorafia i securitatea reelelor de calculatoare Ed.
Tehnic 1994 Bucureti
Peter Norton Reele de calculatoare Ed. Teora 2002 Bucureti,
Terry William Ogletree Firewalls, protecia reelelor conectate la Internet, Ed.
Teora 2001 Bucureti,
Tim Parker, Mark Sportack, TCP/IP, Ed. Teora 2002 Bucureti,
Pagini i publicaii online de pe Internet pe tema securitii:
www.symantec.com
www.microsoft.com
http://www.anbar.co.uk/products/ccsa/home.html
http://www.kumite.com/myths/myths.htm

26