5.

Sisteme Firewall

Sisteme Firewall

Conectarea la Internet este o cerin de business pentru
aproape toate organizaiile

Un calculator conectat direct la Internet este o int posibil
pentru atacatori

Orice disfuncionalitate a sistemelor de calcul cost bani
(direct sau indirect)

Sunt necesare mecanisme de protecie a reelelor interne
mpotriva atacurilor externe

Ion BICA

Rolul unui firewall

O manifestare fizic a politicii de securitate n retea

Punct de control i monitorizare a traficului, ntre dou reele

Mecanism pentru limitarea accesului la resursele/serviciile
reelei interne

Similar unui zid de aprare

Ion BICA

Rolul unui firewall (cont.)

Cine ? Cand ?
Ce ? Cum ?

PC

INTERNET

Retea Privata
Firewall
Ion BICA

Cerine pe care trebuie s le satisfac un firewall

1. Tot traficul din interior spre exterior i vice versa, trebuie s
treac prin firewall

nu trebuie s existe puncte de acces n reea necontrolate (backdoors)

2. Numai traficul autorizat, stabilit prin politica de securitate

intern, poate s treac prin firewall

reguli de acces stricte

3. Firewall-ul nsui trebuie s fie imun la atacuri. Aceasta

presupune folosirea unui sistem de ncredere care a fost
supus n prealabil unui proces de securizare (hardening)

Ion BICA

maini dedicate pe care nu trebuie s mai ruleze alte servicii

Terminologie

Pachet unitatea de informaie creat de un protocol de reea,
pentru a transporta date i informaii de control. n contextul stivei
TCP/IP se mai numete i datagram.

DMZ (DeMilitarized Zone) un segment de reea dispus ntre
exterior (o reea neprotejat, Internet) i reeaua intern (protejat),
avnd rolul de a intermedia schimbul de informaii. Este reeaua n
care, de regula, sunt dispuse serviciile publice i gateway-urile de
aplicaie.

Reele protejate i neprotejate
Reelele protejate sunt localizate n spatele unui firewall, fiind protejate prin
politicile acestuia
Reelele neprotejate, cum ar fi Internet-ul, stau n fata unui firewall i nu sunt
protejate de ctre politicile acestuia

Direcii ale traficului

Inbound = spre interiorul zonei protejate de firewall
Outbound = spre exteriorul zonei protejate de firewall
Ion BICA

Terminologie (cont.)

Inbound sau Outbound
Inbound = spre interiorul zonei protejate de firewall

Internal
Network

FW

External
Network

Outbound = spre exteriorul zonei protejate de firewall

Ion BICA

Exemplu de firewall

Internal
Network
FW

Protected

Ion BICA

DMZ

Internet

Unprotected

Exemplu de firewall (cont.)

Policy 1

Serv1

FW

SW

Policy 2

Serv2

FW
Serv3
Serv4

Ion BICA

Policy 3

FW

FW

C
o
r
p
o
r
a
t
e

N
e
t
w
o
r
k

Parametri de control al accesului

Exemple de politici (reguli):

La nivel legatur de date
Interzice toate pachetele de la adresa MAC 00-1c-bf-01-02-03
Nu cere autentificarea daca adresa MAC este 00-1c-2b-aa-bb-cc

La nivel reea
Interzice orice trafic, cu excepia pachetelor de ieire ce vin de la reeaua
10.10.10.0/24
Permite numai trafic ESP (IPsec)
Interzice orice trafic, cu excepia traficului de la reeaua 172.16.30.0/24, spre
reeaua 192.168.10.0/24
Ion BICA

10

Parametri de control al accesului (cont.)

Exemple de politici (reguli):

La nivel transport
Permite traficul de Web de oriunde (inclusiv Internet), cu condiia ca adresa
destinaie s fie a serverului propriu 192.168.0.10
Permite traficul FTP de oriunde, spre propriul server 192.168.0.11

La nivel aplicaie
Interzice tot traficul de tip peer-to-peer
Nu permite trafic HTTP n al crui header exist comanda POST
Nu permite opiunea DEBUG n comenzile SMTP (e-mail)
Ion BICA

11

Tipuri de firewall
1.
2.
3.
4.
5.

Packet filtering firewall

Stateful inspection firewall
Application firewall
Proxy gateway
Personal firewall

Ion BICA

12

Packet filtering firewall

Permite sau interzice pachetele, funcie de adresa IP sau portul
sursa/destinaie
reguli de filtrare (ACL Access Control List): deny / allow
deny all regula default

Verificarea pachetelor se face n ambele direcii (inbound respectiv

outbound trafic)

Payload-ul pachetelor (zona de date) nu este inspectat

Nu memoreaz informaii de stare; pachetele sunt tratate individual, far a
ine cont de context

Funcie suportat de majoritatea ruterelor actuale

Avantaje
simplu, rapid, transparent pentru utilizatori

Dezavantaje
nu poate bloca toate tipurile de trafic
ineficient mpotriva atacurilor care exploateaz vulnerabilitile protocoalelor
din stiva TCP/IP
eficien sczut n cazul fragmentrii pachetelor
Ion BICA

13

Packet filtering firewall (cont.)

Filtru de pachete fr stare (stateless) sunt necesare doua

liste de control al accesului:
1. Permite traficul HTTP de la 10.0.0.0/24, spre www.yahoo.com
2. Permite traficul HTTP de la www.yahoo.com, spre 10.0.0.0/24

Ion BICA

14

Stateful inspection firewall

Bazat tot pe filtrarea de pachete

Inspecteaz pachetele i memoreaz informaii de stare pentru
fiecare conexiune n parte
odat ce un pachet este identificat ca fcnd parte dintr-o conexiune
stabilit, procesarea acestuia poate fi optimizat (lua o cale mai scurt)
informaia de stare ce se memoreaz difer de la productor la
productor

Cel mai popular tip de firewall

Performane ridicate

Ion BICA

15

Stateful inspection firewall (cont.)

Fiecare pachet primit este analizat n conformitate cu coninutul tabelei de stare:

daca starea pachetului corespunde strii din tabel, atunci pachetul este lsat s treac

Maini de stare pentru fiecare protocol (TCP, UDP, etc)

blocarea pachetelor care nu ader strict la starea mainii din momentul respectiv (de
exemplu, numrul de secven TCP este n afara ordinii)

Ce se ntmpl n cazul protocoalelor de tip connectionless (UDP)?

se urmrete doar adresele i porturile surs i destinaie
un rspuns DNS va fi lsat s treac numai dac a existat n prealabil o interogare DNS
intrrile din tabel sunt terse automat dup un interval de timp

Ion BICA

16

Stateful inspection firewall (cont.)

Este suficient o singur list de control al accesului:

1. Permite traficul HTTP de la 10.0.0.0/24, spre www.yahoo.com

Ion BICA

17

Application firewall

Deep pachet inspection

Filtrare funcie de datele / comenzile transmise la nivel
aplicaie:
blocarea tuturor e-mailurilor care conin fiiere executabile ca
ataament, blocarea paginilor de Web cu coninut activ (Java, ActiveX),
blocarea comenzii FTP put

Produse specializate funcie de protocolul de nivel aplicaie:

Web (HTTP)
Database (SQL)
E-mail (SMTP, POP3, IMAP)

Ion BICA

18

Proxy gateways

Application Level Gateway - control la nivel de protocol

Toate cererile i rspunsurile trec prin proxy server unde sunt validate
Exista doua conexiuni separate: client-proxy, proxy-server
Avantaje:
adresele IP interne nu sunt vizibile n exterior
permit autentificarea utilizatorilor care acceseaz Internet-ul
permit analiza traficului SSL

Fiecare serviciu are nevoie de un proxy separat

nu toate serviciile suport proxy

HTTP proxy
filtrare, loggare, caching pagini Web
forward vs reverse proxy

Ion BICA

19

Personal firewall

Versiune simplificat a unui firewall de reea, destinat staiilor
de lucru

Interzice conexiunile de intrare, daca nu au fost explicit
permise

Inspecteaz traficul de intrare/ieire i protejeaz staiile de
lucru de atacuri

Management centralizat pentru impunerea politicilor de
securitate la nivel organizaional

Exemple de personal firewall

Ion BICA

Windows XP Firewall (SP2)

ZoneAlarm (www.zonelabs.com)
Norton Personal Firewall (www.symantec.com)
Comodo Firewall (www.comodo.com)
20

Alte tehnologii firewall

Network Access Control (NAC) / Network Acces Protection (NAP)
verificarea calculatoarelor utilizatorilor nainte de a le da accesul n reeaua
intern
calculatorul este pus iniial ntr-o zon de carantin (reea special), verificat
din punct de vedere al securitii (antivirus, update-uri, etc) i apoi i se permite
accesul n reeaua intern

Unified Threat Management (UTM)

implementarea mai multor funcionaliti de securitate (firewall, IPS, antivirus,
VPN, DLP) pe un singur echipament
reduce efortul de administrare
limitri din punct de vedere al performanei

Firewall pentru infrastructuri virtuale

reele virtualizate
filtrarea traficului ntre maini virtuale

Ion BICA

21

Implementare firewall

Ion BICA

Sistem de operare specializat, securizat

Diferite niveluri de performanta/pret
Uor de instalat i administrat

Ruleaz pe sisteme de uz general

Nivel de performan mediu

Nivel foarte ridicat de performan

Se integreaz n infrastructura de reea existent

Protecia investiiei existente

Dedicat conexiunilor WAN/Internet
Influeneaz performanele de rutare a pachetelor
ale ruterului

22

Caracteristici cheie pentru un firewall

Performana
viteza de procesare (bps, pps, cps)
scalabilitatea
ASIC vs NP vs CPU (uz general)

Politici de filtrare suportate

pe baz de adrese i protocoale
funcie de aplicaiile de reea utilizate
pe baza identitii utilizatorilor

Disponibilitatea
activ-pasiv
activ-activ

Integrarea cu infrastructura existent

cu serviciile de autentificare (Radius, Tacacs+)
cu serviciile de logging i monitorizare

Management
SSH, HTTPS
Ion BICA

23

Limitrile unui firewall

Nu asigur protecie mpotriva atacurilor interne
60 % din atacuri sunt din interior!

Nu asigur protecie mpotriva viruilor transmii prin e-mail

sau Web
traficul SMTP i HTTP este permis de firewall!

Nu pot inspecta traficul criptat / tunelat

Sisteme complexe
configurarea i administrarea unui firewall nu este simpl!

Ion BICA

24

Produse firewall

Cisco ASA
Check Point FireWall-1
Juniper NetScreen
Palo Alto Networks PA/VM
Fortinet FortiGate
McAfee Firewall Enterprise
Stonesoft NGFW
Linux netfilter/iptables

Ion BICA

25

Gartner Magic Quadrant for Enterprise Network Firewalls

Ion BICA

26

 Ion BICA

27