Documente Academic
Documente Profesional
Documente Cultură
Sisteme Firewall
Sisteme Firewall
Conectarea la Internet este o cerin de business pentru
aproape toate organizaiile
Un calculator conectat direct la Internet este o int posibil
pentru atacatori
Orice disfuncionalitate a sistemelor de calcul cost bani
(direct sau indirect)
Sunt necesare mecanisme de protecie a reelelor interne
mpotriva atacurilor externe
Ion BICA
Ion BICA
PC
INTERNET
Retea Privata
Firewall
Ion BICA
Ion BICA
Terminologie
Pachet unitatea de informaie creat de un protocol de reea,
pentru a transporta date i informaii de control. n contextul stivei
TCP/IP se mai numete i datagram.
DMZ (DeMilitarized Zone) un segment de reea dispus ntre
exterior (o reea neprotejat, Internet) i reeaua intern (protejat),
avnd rolul de a intermedia schimbul de informaii. Este reeaua n
care, de regula, sunt dispuse serviciile publice i gateway-urile de
aplicaie.
Reele protejate i neprotejate
Reelele protejate sunt localizate n spatele unui firewall, fiind protejate prin
politicile acestuia
Reelele neprotejate, cum ar fi Internet-ul, stau n fata unui firewall i nu sunt
protejate de ctre politicile acestuia
Terminologie (cont.)
Inbound sau Outbound
Inbound = spre interiorul zonei protejate de firewall
Internal
Network
FW
External
Network
Ion BICA
Exemplu de firewall
Internal
Network
FW
Protected
Ion BICA
DMZ
Internet
Unprotected
Policy 1
Serv1
FW
SW
Policy 2
Serv2
FW
Serv3
Serv4
Ion BICA
Policy 3
FW
FW
C
o
r
p
o
r
a
t
e
N
e
t
w
o
r
k
La nivel reea
Interzice orice trafic, cu excepia pachetelor de ieire ce vin de la reeaua
10.10.10.0/24
Permite numai trafic ESP (IPsec)
Interzice orice trafic, cu excepia traficului de la reeaua 172.16.30.0/24, spre
reeaua 192.168.10.0/24
Ion BICA
10
La nivel aplicaie
Interzice tot traficul de tip peer-to-peer
Nu permite trafic HTTP n al crui header exist comanda POST
Nu permite opiunea DEBUG n comenzile SMTP (e-mail)
Ion BICA
11
Tipuri de firewall
1.
2.
3.
4.
5.
Ion BICA
12
Dezavantaje
nu poate bloca toate tipurile de trafic
ineficient mpotriva atacurilor care exploateaz vulnerabilitile protocoalelor
din stiva TCP/IP
eficien sczut n cazul fragmentrii pachetelor
Ion BICA
13
Ion BICA
14
Ion BICA
15
Ion BICA
16
Ion BICA
17
Application firewall
Deep pachet inspection
Filtrare funcie de datele / comenzile transmise la nivel
aplicaie:
blocarea tuturor e-mailurilor care conin fiiere executabile ca
ataament, blocarea paginilor de Web cu coninut activ (Java, ActiveX),
blocarea comenzii FTP put
Ion BICA
18
Proxy gateways
HTTP proxy
filtrare, loggare, caching pagini Web
forward vs reverse proxy
Ion BICA
19
Personal firewall
Versiune simplificat a unui firewall de reea, destinat staiilor
de lucru
Interzice conexiunile de intrare, daca nu au fost explicit
permise
Inspecteaz traficul de intrare/ieire i protejeaz staiile de
lucru de atacuri
Management centralizat pentru impunerea politicilor de
securitate la nivel organizaional
Exemple de personal firewall
Ion BICA
Ion BICA
21
Implementare firewall
Ion BICA
22
Disponibilitatea
activ-pasiv
activ-activ
Management
SSH, HTTPS
Ion BICA
23
Ion BICA
24
Produse firewall
Cisco ASA
Check Point FireWall-1
Juniper NetScreen
Palo Alto Networks PA/VM
Fortinet FortiGate
McAfee Firewall Enterprise
Stonesoft NGFW
Linux netfilter/iptables
Ion BICA
25
Ion BICA
26
Ion BICA
27