Documente Academic
Documente Profesional
Documente Cultură
Notiuni introductive
1.
Introducere
Orice legatur ntre sistemele unei corporaii i Internet comport un risc major
din punct de vedere al securitii. Odat realizat aceast legtur, orice navigator pe
internet poate teoretic s comunice cu orice calculator din intranet care ruleaz
TCP/IP(Transmition Control Protocol/Internet Protocol). Acest lucru impune deci
existenta unui sistem de securitate ntre intranet si internet, care s stabileasc ce pachete
de date pot circula ntre cele dou retele. Un asemenea sistem este cunoscut sub
denumirea de firewall Un firewall este implementat pe un calculator de mare putere
(uzual bazat pe UNIX) care ruleaz un software relativ special i care este plasat ntre
reteaua corporaiei i Internet. El examineaz fiecare pachet de date ce trece din intranet
ctre Internet i invers.
Calculatorul de firewall este configurat cu un set de reguli care determin ce fel
de traffic de reea va fi admis s circule ntre cele dou reele, i ce fel de traffic va fi
refuzat. n multe cazuri firewalurile sunt intalnite i n interiorul organizaiilor mari
pentru a separa anumite zone ale reelei de angajaii firmei, acest lucru datorndu-se
faptului ca multe atacuri care sunt orientate spre anumite calculatoare vin chiar din
interiorul organizaiei i nu doar din afara acesteia.
Firewallurile pot fi construite n mai multe feluri. Cea mai sofisticat implementtare implic existena mai multor calculatoare pentru firewall, aceast structur purtnd
numele de reea perimetru. Putem avea doua calculatoare care acioneaz ca filtre de
traffic cunoscute sub numele de sufocante, care permit trecerea doar pentru anumite
tipuri de trafic, i ntre aceste doua calculatoare se gasesc serverele reelei ca de exemplu
serverul de e-mail, proxy-ul de World Wide Web(WWW). Configuraia poate fi foarte
sigur, i permite un control foarte mare asupra celor care se pot conecta att din interior
ct i din exterior la serverele reelei. Acest tip de configuraie este folosit de organizaiile
mari.
Calculatoarele pe care se construiesc firewall-uri trebuie sa fie foarte securizate deoarece
daca firewallul este vulnerabil, acest lucru poate permite anumitor persoane s aib acces
la calculatorul pe care acesta este constuit i astfel securitatea ntregii reele este
compromis . n figura 1.1 sunt prezentate cele mai utilizate configurri de firewall.
Figura 1.1
Filtrul de pachete
Filtrtul de pachete este o parte a unui program care se uit la antetul (headerul)
pachetelor pe care acesta le intercepteaz, i care decide soarta acestora. Acesta poate
decide s arunce pachetul (ca si cum acesta nici nu ar fi fost recepionat), poate sa il
accepte (pachetul este lsat s treac mai departe), sau poate s fac alte lucruri mai
complicate cu acesa, lucruri care urmeaz s fie discutate pe parcursul acestei lucrri.
1.2
Control:
Dac avem un calculator pe care este instalat LINUX i acesta conecteaz o
anumit reea intern de alt reea (de exemplu Internet), exist posibilitatea de a permite
accesul pentru anumite tipuri de trafic, i de a interzice altele. Un exemplu simplu ar fi
blocarea paginilor de reclame care se suprapun peste paginile pe care dorim s leaccesm.
Securitate:
Cnd calculatorul LINUX este singurul lucru care st ntre haosul Internetului i
reeaua noastr, este bine s stim cum putem restriciona accesul n reteaua noastr. De
exemplu putem permite ca toate pachetele care provin din interiorul retelei noastre s
ajung pe internet, i putem n acelai timp sa blocm anumite pachete care provin din
exterior. Un alt exemplu ar fi s blocam accesul telnet pe server pentru toi utilizatorii din
exteriorul reelei noastre, dar s permitem accesul telnet utilizatorilor din interiorul
reelei.
Verificare volum de trafic:
Uneori, un calculator care nu este bine configurat, i care face parte din reeaua
local, s trimit foarte multe pachete catre exterior (de exemplu poate face
inundare/flood). Este foarte util s specificm n acest caz filtrului de pachete c dorim s
fim anunai cnd apar astfel de situaii.
1.3. Termeni utilizai :
-DNAT (Destination Network Address Translation). DNAT se refer la tehnica de
modificare a adresei IP destinatie a unui pachet.. Aceasta este folosit impreun SNAT
pentru a permite mai multor hosturi dintr-o retea local s mpart ntre ele o adresa IP
oferit de un firnizor de servicii internet (adres IP rutabil), astfel nct toate aceste
Tabela Nat
Aceast tabel este folosit n principiu pentru modificarea adreselor IP (NAT Network Address Translation) Cu alte cuvinte, se va folosi petru a modifica adresa IP
surs a pachetului sau adresa IP destinaie a pachetului. Doar primul pachet va intra n
acest lan dintr-un stream; restul vor suferi automat aceeai modificare ca si primul.
Target-uri valide n aceast tabel sunt DNAT, SNAT si MASQUARADE. Prin target se
nelege actiunea ce urmeaz se ia atunci cnd un anume pachet este primit ntr-o tabel.
DNAT - este utilizat ncazul n care avem o adresa IP publica i dorim sa redirectam
accesul la firewall unei alte staii de lucru. Cu alte cuvinte schimbam adresa destinaie a
pachetului
SNAT este de obicei utilizat atunci cnd se doreste schimbarea adresei sur a
pachetelor. Se poate folosi pentru a ascunde o retea locala. Un exemplu de astfel de
utilizare ar fi acela al unui firewall a carui adres de ieire o cunoatem, dar dorim s
substituim adresa noastr IP local cu cea a firewall-ului. Folosind inta SNAT, firewallul
va permite crearea conexiunilor intre LAN si Internet.
MASQUERADE aceast int este folosit ca si SNAT, dar operaia MASQUARADE
se face ntr-un timp mai lung. Utilizarea acestei operatii face posibil lucrul cu adrese IP
dinamice furnizate de un server DHCP, adres obtinuta printr-o conexiune ce foloseste
protocolul punct la punct (Point to Point Protocol) PPP.
2.3
Tabela de filtrare
Lantul Prerouting
Acest lan este de obicei folosit pentru a schimba pachetele (de exemplu
schimbarea de tipului de serviciu TOS/Type of Service) nainte ca ascestea s fie rutate
ctre calculatorul local.
2.5.
Lantul INPUT
Folosim acest lan pentru a modifica pachetele, dup ce ele au fost rutate, dar
nainte ca ele s fie trimise ctre procesul care le va intercepta. In acest lant se fac filtrari
pentu pachetele care au ca destinatie calculatorul nostru
2.6
Lantul OUTPUT
Folosim acest lant pentru a face filtrari asupra pachetelor care au ca sursa
calculatorul nostrum.
2.7
Lantul POSTROUTING
2.8
Lantul FORWARD
Acesta poate fi folosit pentru nevoi foarte specifice, n care dorim s modificm
pachetele dup deciza iniiala de rutare, dar nainte de ultima decizie de rutare. Aici se
pot face filtrari asupra pachetelor care au ca destinatie alte hosturi
3. Traversarea lanturilor si tablelor
Pachetele care sunt interceptate de firewall traverseaza lanturile si tabelele intr-o
anumita ordine. Se poate alcatui o organigrama pentru a simplifica modul in care
pachetele trec prin firewall: