Documente Academic
Documente Profesional
Documente Cultură
Firewall
Firewall
Adrian
SIT M1
Tehnologia Firewall
Firewall-urile sunt dispozitive sau aplicaii software care
controleaz fluxul de date ntre reele sau hosturi pe baza
anumitor reguli de securitate. Dei vorbim despre firewall-uri n
contextul conectivitii pe Internet, ele pot avea aplicabilitate i n alte reele. De
exemplu, multe reele pentru ntreprinderi impun firewall-uri pentru a restriciona
conectivitatea ctre i de la reelele interne folosite pentru servicii sensibile, precum
contabilitatea sau personalul. Impunnd firewall-uri pentru a restriciona
conectivitatea ctre aceste zone, o organizaie poate preveni accesul neautorizat la
resursele i sistemele acesteia. Includerea unui sistem firewall aduce un plus mare
de securitate.
Exist mai multe tipuri de tehnologiii firewall disponibile. Un mod de a le
compara capabilitile este de a ne uita la stiva TCP/IP. Comunicaiile TCP/IP sunt
compuse din patru niveluri ce lucreaz mpreun pentru transportul datelor ntre
host-uri. Cnd un utilizator dorete s transfere date prin intermediul unei reele,
aceste date sunt transmise ncepnd de la nivelul cel mai de sus, prin cele
intermediare ctre nivelul cel mai de jos, fiecare nivel adugnd mai mult
informaie. Ultimul nivel de jos trimite datele acumulate prin reeaua fizic, datele
fiind apoi transmise de jos n sus prin stiv, ctre utilizatorul final. Mai simplu spus,
datele produse de ctre un nivel sunt ncapsulate ntr-un container mai mare de
ctre nivelul urmtor. Cele patru niveluri TCP/IP sunt descrise mai jos:
1. Nivelul Aplicaie: acest nivel se refer la protocoalele de nivel nalt folosite
de majoritatea aplicaiilor, precum terminalul virtual (TELNET), transfer de
fiiere (FTP) i pot electronic (SMTP). Alte protocoale de nivel aplicaie
sunt DNS (sistem de nume de domeniu), NNTP sau HTTP. n majoritatea
implementrilor, nivelul aplicaie trateaz nivelurile inferioare ca o "cutie
neagr" care ofer o infrastructur sigur de comunicaii. Majoritatea
protocoalelor de la nivelul aplicaie sunt asociate cu modelul client-server.
Serverele au de obicei asociate porturi fixe, atribuite de IANA: HTTP are portul
80, FTP portul 21, etc. n schimb, clienii folosesc porturi temporare.
2. Nivelul Transport: este identic cu cel din modelul OSI, ocupndu-se cu
probleme legate de siguran, control al fluxului i corecie de erori. El este
proiectat astfel nct s permit conversaii ntre entitile pereche din surs,
respectiv, destinaie.
TCP (Trasmission
Control
Protocol)
este
un
protocol
sigur
orientat
pe conexiune care permite ca un flux de octei trimii de pe o main s ajung fr
erori pe orice alt main din reea. Acest protocol fragmenteaz fluxul de octei n
mesaje discrete i paseaz fiecare mesaj nivelului urmtor. TCP trateaz totodat
controlul fluxului pentru a se asigura c un emitor rapid nu inund un receptor
lent cu mai multe mesaje dect poate acesta s prelucreze.
ncurajat ori de cte ori situaia o cere. Totui, aceast fragmentare a fost folosit
pentru a face unele atacuri s fie mai greu de identificat. Fragmentarea neobinuit
este de asemenea o form de atac. De exemplu, unele atacuri au folosit pachete
care nu ar trebui s exista n mod obinuit n comunicare, precum trimiterea unor
fragmente din pachet, dar nu i primul fragment, sau trimiterea fragmentelor ce se
suprapun unele cu altele. Pentru a preveni folosirea pachetelor fragmentate n
atacuri, unele firewall-uri au fost configurate pentru a bloca pachetele fragmentate.
Astzi, pachetele fragmentate de pe Internet apar, nu din cauza atacurilor, ci din
cauza reelelor virtuale private (VPN), ce ncapsuleaz pachete n alte pachete.
Daca ncapsularea unui pachet ar face ca noul pachet s depeasc dimensiunile
maxime admise pentru acel mediu de transmisie, acesta va fi fragmentat. Pachetele
fragmentate blocate de ctre firewall reprezint cea mai comun cauz pentru
nefuncionarea VPN-urilor.
Unele firewall-uri pot chiar s reasambleze fragmentele nainte s le trimita n
interiorul reelei, dei acest lucru necesit resurse adiionale din partea firewall-ului,
n principal memorie. Firewall-urile ce implementeaza aceast opiune trebuie s o
faca cu grija, altfel cineva poate monta cu uurin un atac de tip DoS. Alegerea
ntre a bloca, reasambla sau a lasa s treaca pachetele fragmentate este un
compromis ntre interoperabilitatea global a reelei i securizarea complet a
acesteia.
Bibliografie
1. https://www.scribd.com/document_downloads/direct/200176412?
extension=docx&ft=145335
2. http://licenta.tet.pub.ro/Alexandru/Stealth%20Firewall.doc
3. http://www.webopedia.com/TERM/F/firewall.html
4. https://en.wikipedia.org/wiki/Firewall_(computing)
5. http://prajwaldesai.com/wp-content/uploads/2013/11/firewall_man.png