Scribd Logo
Încărcați

Bine ați venit la Scribd!

  • Firewall

    Încărcat de

    Adrian Nae
    2 vizualizări4 pagini
    456

    Drepturi de autor

    © © All Rights Reserved

    Formate disponibile

    DOCX, PDF, TXT sau citiți online pe Scribd

    Vi se pare util acest document?

    Este necorespunzător acest conținut?

    Raportați acest document
    456

    Drepturi de autor:

    © All Rights Reserved
    Descărcați ca DOCX, PDF, TXT sau citiți online pe Scribd
    Indicator pentru conținut neadecvat
    2 vizualizări4 pagini

    Firewall

    Încărcat de

    Adrian Nae
    456

    Drepturi de autor:

    © All Rights Reserved
    Descărcați ca DOCX, PDF, TXT sau citiți online pe Scribd
    Indicator pentru conținut neadecvat
    din 4

    Nae

    Adrian
    SIT M1

    Tehnologia Firewall
    Firewall-urile sunt dispozitive sau aplicaii software care
    controleaz fluxul de date ntre reele sau hosturi pe baza
    anumitor reguli de securitate. Dei vorbim despre firewall-uri n
    contextul conectivitii pe Internet, ele pot avea aplicabilitate i n alte reele. De
    exemplu, multe reele pentru ntreprinderi impun firewall-uri pentru a restriciona
    conectivitatea ctre i de la reelele interne folosite pentru servicii sensibile, precum
    contabilitatea sau personalul. Impunnd firewall-uri pentru a restriciona
    conectivitatea ctre aceste zone, o organizaie poate preveni accesul neautorizat la
    resursele i sistemele acesteia. Includerea unui sistem firewall aduce un plus mare
    de securitate.
    Exist mai multe tipuri de tehnologiii firewall disponibile. Un mod de a le
    compara capabilitile este de a ne uita la stiva TCP/IP. Comunicaiile TCP/IP sunt
    compuse din patru niveluri ce lucreaz mpreun pentru transportul datelor ntre
    host-uri. Cnd un utilizator dorete s transfere date prin intermediul unei reele,
    aceste date sunt transmise ncepnd de la nivelul cel mai de sus, prin cele
    intermediare ctre nivelul cel mai de jos, fiecare nivel adugnd mai mult
    informaie. Ultimul nivel de jos trimite datele acumulate prin reeaua fizic, datele
    fiind apoi transmise de jos n sus prin stiv, ctre utilizatorul final. Mai simplu spus,
    datele produse de ctre un nivel sunt ncapsulate ntr-un container mai mare de
    ctre nivelul urmtor. Cele patru niveluri TCP/IP sunt descrise mai jos:
    1. Nivelul Aplicaie: acest nivel se refer la protocoalele de nivel nalt folosite
    de majoritatea aplicaiilor, precum terminalul virtual (TELNET), transfer de
    fiiere (FTP) i pot electronic (SMTP). Alte protocoale de nivel aplicaie
    sunt DNS (sistem de nume de domeniu), NNTP sau HTTP. n majoritatea
    implementrilor, nivelul aplicaie trateaz nivelurile inferioare ca o "cutie
    neagr" care ofer o infrastructur sigur de comunicaii. Majoritatea
    protocoalelor de la nivelul aplicaie sunt asociate cu modelul client-server.
    Serverele au de obicei asociate porturi fixe, atribuite de IANA: HTTP are portul
    80, FTP portul 21, etc. n schimb, clienii folosesc porturi temporare.
    2. Nivelul Transport: este identic cu cel din modelul OSI, ocupndu-se cu
    probleme legate de siguran, control al fluxului i corecie de erori. El este
    proiectat astfel nct s permit conversaii ntre entitile pereche din surs,
    respectiv, destinaie.
    TCP (Trasmission
    Control
    Protocol)
    este
    un
    protocol
    sigur
    orientat
    pe conexiune care permite ca un flux de octei trimii de pe o main s ajung fr
    erori pe orice alt main din reea. Acest protocol fragmenteaz fluxul de octei n
    mesaje discrete i paseaz fiecare mesaj nivelului urmtor. TCP trateaz totodat
    controlul fluxului pentru a se asigura c un emitor rapid nu inund un receptor
    lent cu mai multe mesaje dect poate acesta s prelucreze.

    UDP (User Datagram Protocol), este un protocol nesigur, fr conexiuni, destinat


    aplicaiilor care doresc s utilizeze propria lor secveniere i control al fluxului.
    Protocolul UDP este de asemenea mult folosit pentru interogri rapide ntrebarerspuns, client-server i pentru aplicaii n care comunicarea prompt este mai
    important dect comunicarea cu acuratee, aa cum sunt aplicaiile de transmisie
    a vorbirii i a imaginilor video.
    3. Nivelul Reea: Scopul iniial era s asigure rutarea pachetelor n interiorul
    unei singure reele. Odat cu apariia conexiuniilor ntre reele, acestui nivel iau fost adugate funcionaliti de comunicare ntre o reea surs i o reea
    destinaie. n stiva TCP/IP, protocolul IP asigur rutarea pachetelor de la o
    adres surs la o adres destinaie, folosind i unele protocoale adiionale,
    precum ICMP sau IGMP. Determinarea drumului optim ntre cele dou reele
    se face la acest nivel. Comunicarea la nivelul IP este nesigur, sarcina de
    corecie a erorilor fiind plasat la nivelurile superioare (de exemplu prin
    protocolul TCP). n IPv4 (nu i IPv6), integritatea pachetelor este asigurat de
    sume de control.
    4. Nivelul Acces (la reea): se ocup cu toate problemele legate de
    transmiterea efectiv a unui pachet IP pe o legtur fizic, incluznd i
    aspectele legate de tehnologii i de medii de transmisie, adic nivelurile OSI
    Legtur de date i Fizic.
    Firewall-urile de baz pot opera pe unul sau cteva niveluri (de regul cele
    mai de jos), pe cnd cele mai avansate opereaz pe toate cele patru niveluri. Cele
    ce opereaz pe toate nivelurile pot face o analiz mult mai detaliat a traficului.
    Firewall-urile care neleg nivelul aplicaie pot comoda aplicaii i protocoale
    avansate i pot oferi servicii orientate ctre utilizator. De exemplu, un firewall care
    opereaz doar la nivelurile de jos nu poate identifica utilizatori specifici, dar firewallurile ce opereaz i la nivelul aplicaie, pot adopta autentificari ale utilizatorilor i
    log-uri specifice lor.
    Tehnologii actuale
    Firewall-urile sunt adesea combinate cu alte tehnofoii cel mai notabil sunt
    cele de routare i cele mai multe tehnologii ce sunt adesea asociate cu firewallurile sunt parte de fapt a acestor tehnologii. De exemplu, NAT (Network Address
    Translation) este asociat de obicei cu tehnologiile firewall, dar de fapt este o
    tehnologie de rutare. Multe firewall-uri includ trasturi pentru filtrarea coninutului
    pentru a impune politicile organizaiei care nu sunt neaprat orientate ctre
    securitate. Unele firewall-uri conin tehnologii IPS (Intrusion Prevention Systems) ce
    pot reaciona la atacuri ndreptate ctre structurile ce se ncearc a fi protejate.
    Firewall-urile sunt amplasate de obicei la marginea reelelor, deci va avea o
    interfa intern i una extern. Cele doua interfee sunt denumite de obicei
    protejat si neprotejat. Totui, s spunem c un anumit lucru este protejat sau nu
    2

    este impropiu, deoarece un firewall poate funciona n ambele direcii n funcie de


    politicile sale. De exemplu, poate exista o regul care s previn trimiterea din
    interior ctre exterior a codurilor executabile.
    Filtrarea pe baza pachetelor.
    Filtrarea pachetelor este esena tuturor firewall-urilor moderne, dei sunt
    puin astfel de firewall-uri de vnzare care fac doar acest lucru. Spre deosebire de
    filtrele mai avansate, filtrele de pachete nu se intereseaz de coninutul acestora.
    Funcionalitatea pentru controlul accesului este guvernat de ctre un set de
    directive numit set de reguli (ruleset). Capacitatea de a filtra pachete este astzi
    parte integrant a sistemelor de operare i a dispozitivelor de rutare; cel mai comun
    exemplu pentru un dispozitiv cu filtrarea de pachete este un ruter cu ACL (Access
    Control Lists).
    n cea mai simpl form, firewall-urile cu filtrare de pachete opereaz la
    nivelul reea. Acesta ofer acces controlat la reea n funcie de cteva informaii
    incluse n pachet: IP surs i destinaie, protocolul de reea folosit pentru
    comunicare (UDP, TCP sau ICMP), anumite caracteristici ale sesiunilor de
    comunicare, precum portul surs i destinaie, interfa ce este traversat de ctre
    pachet.
    Filtrarea pachetelor ce intr n reea se numete filtrare ingress.De
    asemenea, traficul ce iese poate s fi i el filtrat, proces numit filtrare egress. Aici
    organizaiile pot implementa restricii pentru traficul lor intern, precum blocarea
    folosirii unu server FTP extern sau prevenirea lansriii atacurilor de ntrerupere a
    serviciilor (DoS) din interiorul organizaiei ctre entiti externe. Organizaiile ar
    trebui s permit doar trafic egress ce folosete adrese IP surs, utilizate de ctre
    organizaie proces ce ajut la blocarea traficului cu adrese IP falsificate (spoofed).
    Adresele falsificate pot fi cauzate de ctre evenimente maliioase precum infectarea
    cu malware sau host-uri compromise folosite pentru a lansa atacuri sau prin
    configurri greite.
    Filtrrile de pachete sunt n general vulnerabile la atacuri i exploatri ce
    profit de problemele specificaiilor din stiva TCP/IP. De exemplu, multe filtre de
    pachete nu pot detecta cnd informaia despre adres dintr-un pachet a fost
    falsificat sau alterat, sau folosete opiuni ce sunt permise de ctre standarde,
    dar folosite n scopuri maliioase, precum rutare pe baza adresei surs. Atacurile de
    falsificare, precum folosirea unei adrese incorecte n headerul pachetului, sunt de
    obicei folosite de ctre intrui pentru a ocoli controalele de securitate implementate
    n platformele firewall. Firewall-urile ce opereaz la niveluri mai nalte ale stivei
    TCP/IP pot contracara aceste atacuri de falsificare prin verificarea stabilirii unei
    sesiuni, sau prin autentificarea utilizatorilor nainte de a permite trecerea traficului.
    Unele aplicaii pot filtra chiar i pachetele care sunt fragmentate.
    Fragmentarea pachetelor este permis de ctre specificaiile stivei TCP/IP i este
    3

    ncurajat ori de cte ori situaia o cere. Totui, aceast fragmentare a fost folosit
    pentru a face unele atacuri s fie mai greu de identificat. Fragmentarea neobinuit
    este de asemenea o form de atac. De exemplu, unele atacuri au folosit pachete
    care nu ar trebui s exista n mod obinuit n comunicare, precum trimiterea unor
    fragmente din pachet, dar nu i primul fragment, sau trimiterea fragmentelor ce se
    suprapun unele cu altele. Pentru a preveni folosirea pachetelor fragmentate n
    atacuri, unele firewall-uri au fost configurate pentru a bloca pachetele fragmentate.
    Astzi, pachetele fragmentate de pe Internet apar, nu din cauza atacurilor, ci din
    cauza reelelor virtuale private (VPN), ce ncapsuleaz pachete n alte pachete.
    Daca ncapsularea unui pachet ar face ca noul pachet s depeasc dimensiunile
    maxime admise pentru acel mediu de transmisie, acesta va fi fragmentat. Pachetele
    fragmentate blocate de ctre firewall reprezint cea mai comun cauz pentru
    nefuncionarea VPN-urilor.
    Unele firewall-uri pot chiar s reasambleze fragmentele nainte s le trimita n
    interiorul reelei, dei acest lucru necesit resurse adiionale din partea firewall-ului,
    n principal memorie. Firewall-urile ce implementeaza aceast opiune trebuie s o
    faca cu grija, altfel cineva poate monta cu uurin un atac de tip DoS. Alegerea
    ntre a bloca, reasambla sau a lasa s treaca pachetele fragmentate este un
    compromis ntre interoperabilitatea global a reelei i securizarea complet a
    acesteia.

    Bibliografie
    1. https://www.scribd.com/document_downloads/direct/200176412?
    extension=docx&ft=145335
    2. http://licenta.tet.pub.ro/Alexandru/Stealth%20Firewall.doc
    3. http://www.webopedia.com/TERM/F/firewall.html
    4. https://en.wikipedia.org/wiki/Firewall_(computing)
    5. http://prajwaldesai.com/wp-content/uploads/2013/11/firewall_man.png

    S-ar putea să vă placă și