Firewall-uri.

Notiuni introductive
1.

Introducere

Orice legatur ntre sistemele unei corporaii i Internet comport un risc major
din punct de vedere al securitii. Odat realizat aceast legtur, orice navigator pe
internet poate teoretic s comunice cu orice calculator din intranet care ruleaz
TCP/IP(Transmition Control Protocol/Internet Protocol). Acest lucru impune deci
existenta unui sistem de securitate ntre intranet si internet, care s stabileasc ce pachete
de date pot circula ntre cele dou retele. Un asemenea sistem este cunoscut sub
denumirea de firewall Un firewall este implementat pe un calculator de mare putere
(uzual bazat pe UNIX) care ruleaz un software relativ special i care este plasat ntre
reteaua corporaiei i Internet. El examineaz fiecare pachet de date ce trece din intranet
ctre Internet i invers.
Calculatorul de firewall este configurat cu un set de reguli care determin ce fel
de traffic de reea va fi admis s circule ntre cele dou reele, i ce fel de traffic va fi
refuzat. n multe cazuri firewalurile sunt intalnite i n interiorul organizaiilor mari
pentru a separa anumite zone ale reelei de angajaii firmei, acest lucru datorndu-se
faptului ca multe atacuri care sunt orientate spre anumite calculatoare vin chiar din
interiorul organizaiei i nu doar din afara acesteia.
Firewallurile pot fi construite n mai multe feluri. Cea mai sofisticat implementtare implic existena mai multor calculatoare pentru firewall, aceast structur purtnd
numele de reea perimetru. Putem avea doua calculatoare care acioneaz ca filtre de
traffic cunoscute sub numele de sufocante, care permit trecerea doar pentru anumite
tipuri de trafic, i ntre aceste doua calculatoare se gasesc serverele reelei ca de exemplu
serverul de e-mail, proxy-ul de World Wide Web(WWW). Configuraia poate fi foarte
sigur, i permite un control foarte mare asupra celor care se pot conecta att din interior
ct i din exterior la serverele reelei. Acest tip de configuraie este folosit de organizaiile
mari.
Calculatoarele pe care se construiesc firewall-uri trebuie sa fie foarte securizate deoarece
daca firewallul este vulnerabil, acest lucru poate permite anumitor persoane s aib acces
la calculatorul pe care acesta este constuit i astfel securitatea ntregii reele este
compromis . n figura 1.1 sunt prezentate cele mai utilizate configurri de firewall.

Figura 1.1

Kernelul Linux prezint un set de servicii care i permit acestuia sa funcioneze ca i

firewall. Firewallul Linux este flexibil si usor de utilizat pentru a implementa
configuraiile prezentate n figura de mai sus.
1.1

Filtrul de pachete

Filtrtul de pachete este o parte a unui program care se uit la antetul (headerul)
pachetelor pe care acesta le intercepteaz, i care decide soarta acestora. Acesta poate
decide s arunce pachetul (ca si cum acesta nici nu ar fi fost recepionat), poate sa il
accepte (pachetul este lsat s treac mai departe), sau poate s fac alte lucruri mai
complicate cu acesa, lucruri care urmeaz s fie discutate pe parcursul acestei lucrri.
1.2

Cauzele pentru care se filtreaz pachetele

Control:
Dac avem un calculator pe care este instalat LINUX i acesta conecteaz o
anumit reea intern de alt reea (de exemplu Internet), exist posibilitatea de a permite
accesul pentru anumite tipuri de trafic, i de a interzice altele. Un exemplu simplu ar fi
blocarea paginilor de reclame care se suprapun peste paginile pe care dorim s leaccesm.
Securitate:
Cnd calculatorul LINUX este singurul lucru care st ntre haosul Internetului i
reeaua noastr, este bine s stim cum putem restriciona accesul n reteaua noastr. De
exemplu putem permite ca toate pachetele care provin din interiorul retelei noastre s
ajung pe internet, i putem n acelai timp sa blocm anumite pachete care provin din
exterior. Un alt exemplu ar fi s blocam accesul telnet pe server pentru toi utilizatorii din
exteriorul reelei noastre, dar s permitem accesul telnet utilizatorilor din interiorul
reelei.
Verificare volum de trafic:
Uneori, un calculator care nu este bine configurat, i care face parte din reeaua
local, s trimit foarte multe pachete catre exterior (de exemplu poate face
inundare/flood). Este foarte util s specificm n acest caz filtrului de pachete c dorim s
fim anunai cnd apar astfel de situaii.
1.3. Termeni utilizai :
-DNAT (Destination Network Address Translation). DNAT se refer la tehnica de
modificare a adresei IP destinatie a unui pachet.. Aceasta este folosit impreun SNAT
pentru a permite mai multor hosturi dintr-o retea local s mpart ntre ele o adresa IP
oferit de un firnizor de servicii internet (adres IP rutabil), astfel nct toate aceste

hosturi s poat naviga pe internet.Acest lucru se face, asignnd diferite porturi cu o

adres internet IP rutabil, i apoi specificnd ruterului locul unde s trimit pachetele.
-Flux de date(Stream) Acest termen se refera n general la o conexiune ntre dou
calculatoare pe care trimit i primesc pachete. m lucrarea de faa, acest termen se refera
la orice conexiune prin care se trimit si se primesc doua sau mai multe pachete. n TCP
aceasta ar putea nsemna o conexiune care trimite un pachet de sincronizare(SYN) i apoi
se rspunde cu un pachet de sincronizare/confirmare (SYN/ACK), dar ar putea nsemna
de asemenea o conexiune care trimite un SYN i apoi rspunde cu un pachet control a
conexiunii ICMP(Internet Control Message Protocol) Host unreachable(host de neatins).
-SNAT (Source Network Address Translation). Acest termen se refer la o tehnica
utilizat pentru a modifica adres surs a unui pachet. Aceast tehnic este utilizat
pentru a permite mai multor hosturi s mpart o singur adres internet IP rutabil.
Pentru a putea utiliza un firewall bazat pe pachetul de programe iptables trebuie
recompilat kernelul sistemului de operare LINUX astfel inct acesta s ofere suport
pentru utilizarea acestui pachet (vezi Anexa 1)
2. Tabele si lanturi:
2.1 Tabela de modificare a pachetelor (Mangle)
Aceast tabela este folosit pentru a modifica pachetele. Cu ajutorul acesteia se
pot modifica campurile: tip de serviciu, TOS (Type of Service), timpul de viaa al
pachetului TTL(Time to Live), marcarea pachetelor MARK.
TOS - este folosit pentru a schimaba n pachet campul Type of Service. Este folositor la
setarea politicii unei reele n cazul rutarii unui pachet. n funcie de protocoalele utilizate
putem avea nevoie de legaturi: rapide dar cu transfer mic de date, mai lente dar cu o
incarcare mai mare a liniilor de date, etc. Prin setarea corespunztoare a acestui cmp,
putem alege ruta optima pentru protocolul pe care l folosim.
TTL - este folosit la schimbarea campului TTL al unui pachet. Valoarea acestui cmp
este decrement cu o unitate de fiecare router pe care pachetul l strbate pna la
destinatie.
MARK - este folosit pentru a marca diferite valori specifice pachetelor. Aceste valori pot
fi recunoscute de iproute2 ptentrua lua diverse decizii de routare pe baza lor.
2.2

Tabela Nat

Aceast tabel este folosit n principiu pentru modificarea adreselor IP (NAT Network Address Translation) Cu alte cuvinte, se va folosi petru a modifica adresa IP
surs a pachetului sau adresa IP destinaie a pachetului. Doar primul pachet va intra n
acest lan dintr-un stream; restul vor suferi automat aceeai modificare ca si primul.

Target-uri valide n aceast tabel sunt DNAT, SNAT si MASQUARADE. Prin target se
nelege actiunea ce urmeaz se ia atunci cnd un anume pachet este primit ntr-o tabel.
DNAT - este utilizat ncazul n care avem o adresa IP publica i dorim sa redirectam
accesul la firewall unei alte staii de lucru. Cu alte cuvinte schimbam adresa destinaie a
pachetului
SNAT este de obicei utilizat atunci cnd se doreste schimbarea adresei sur a
pachetelor. Se poate folosi pentru a ascunde o retea locala. Un exemplu de astfel de
utilizare ar fi acela al unui firewall a carui adres de ieire o cunoatem, dar dorim s
substituim adresa noastr IP local cu cea a firewall-ului. Folosind inta SNAT, firewallul
va permite crearea conexiunilor intre LAN si Internet.
MASQUERADE aceast int este folosit ca si SNAT, dar operaia MASQUARADE
se face ntr-un timp mai lung. Utilizarea acestei operatii face posibil lucrul cu adrese IP
dinamice furnizate de un server DHCP, adres obtinuta printr-o conexiune ce foloseste
protocolul punct la punct (Point to Point Protocol) PPP.
2.3

Tabela de filtrare

Tabela de filtrare este utilizat pentru filtrarea pachetelor. Se face o analiz a

pachetului pentru a vedea dac acesta se potriveste cu ceea ce vrem sa filtram, iar daca
aceasta potrivire exist, pachetului i se aplic regulile de filtrare (vezi tabelul 4.1).
2.4

Lantul Prerouting

Acest lan este de obicei folosit pentru a schimba pachetele (de exemplu
schimbarea de tipului de serviciu TOS/Type of Service) nainte ca ascestea s fie rutate
ctre calculatorul local.
2.5.

Lantul INPUT

Folosim acest lan pentru a modifica pachetele, dup ce ele au fost rutate, dar
nainte ca ele s fie trimise ctre procesul care le va intercepta. In acest lant se fac filtrari
pentu pachetele care au ca destinatie calculatorul nostru
2.6

Lantul OUTPUT

Folosim acest lant pentru a face filtrari asupra pachetelor care au ca sursa
calculatorul nostrum.
2.7

Lantul POSTROUTING

Lanul POSTROUTING folosit in tablea mangle este n general utilizat atunci

cand dorim s modificam pachetul nainte ca acesta s prseasc hostul, dar dupa decizia
de rutare.

2.8

Lantul FORWARD

Acesta poate fi folosit pentru nevoi foarte specifice, n care dorim s modificm
pachetele dup deciza iniiala de rutare, dar nainte de ultima decizie de rutare. Aici se
pot face filtrari asupra pachetelor care au ca destinatie alte hosturi
3. Traversarea lanturilor si tablelor
Pachetele care sunt interceptate de firewall traverseaza lanturile si tabelele intr-o
anumita ordine. Se poate alcatui o organigrama pentru a simplifica modul in care
pachetele trec prin firewall:

Fig 3.1 Traversarea tabelelor si lanturilor