COLEGIUL TEHNIC

PROFIL TEHNIC
SPECIALIZAREA: TEHNICIAN OPERATOR TEHNICA DE CALCUL

PREZENTARE DE SPECIALITATE PENTRU OBTINEREA

CERTIFICATULUI DE ATESTARE A

COMPETENTELOR PROFESIONALE

TEMA: FIREWALL EXTERN

COORDONATOR Elev

PROFESOR INGINER STANESCU Marcela HOANAS Alexandra

Andreea

Clasa A-XII-C
Promotia 2009 - 2010
 Cuprins

Capitolul 1 Argument pag. 3

Capitolul 2 Firewall extern pag. 4

• 2.1. Generalitati pag. 4

• 2.2. Funcţia firewall-ului pag. 5

• 2.3. Istoria firewall-ului pag. 6

• 2.4. Tipuri pag. 9

• 2.5. Aplicatie pe straturi pag. 10

• 2.6. Proxy pag. 10

• 2.7. Traducerea adreselor de reţea pag. 11

Capitolul 3 Politici firewall pag. 12

• 3.1. Tipuri de firewall-uri pag. 13

• 3.2. Firewall-uri de filtrare a pachetelor pag. 14

• 3.3. Alte optiuni pag. 16

• 3.4. Operaţiile asupra unui chain sunt pag. 16

Capitolul 4 Servere Proxy pag. 20

• 4.1. Proxy aplicaţie pag. 20

• 4.2. Proxy SOCKS pag. 20

• 4.3. Configurarea unui Proxy Server pag. 21

• 4.4. Lucrul cu proxy server pag. 22

• 4.5. Configurarea avansată pag. 24

 • 4.6. Setarea reţelei pag. 24

• 4.7. Setarea proxy-ului pag. 25

Capitolul 5 Solutie firewall extern pag. 27

• 5.1.Outpost Firewall Pro 2010 pag. 27

 CAPITOLUL 1

ARGUMENT

Firewall - "Zid de foc" sau "Paravan de protecţie"

Un paravan de protecţie poate ţine la distanţă traficul Internet cu intenţii rele, de

exemplu hackerii, viermii şi anumite tipuri de viruşi, înainte ca aceştia să pună probleme
sistemului. În plus, un paravan de protecţie poate evita participarea computerului la un atac
împotriva altora, fără cunoştinţa dvs. Utilizarea unui paravan de protecţie este importantă în
special dacă sunteţi conectat în permanenţă la Internet.
Un firewall este o aplicaţie sau un echipament hardware care monitorizează şi filtrează
permanent transmisiile de date realizate între PC sau reţeaua locală şi Internet, în scopul
implementării unei "politici" de filtrare. Această politică poate însemna:
Termenul firewall are mai multe sensuri in funcţie de implementare şi scop. Firewall-
ul e o maşină conectată la internet pe care vor fi implementate politicile de securitate. Va
avea două conexiuni la două reţele diferite. O placă de reţea este conectată la Internet, iar
cealaltă placă la reţeaua locală. Orice pachet de informaţie care vine din Internet şi vrea să
ajungă în reţeaua locală trebuie întâi să treacă prin firewall. Astfel că firewall-ul devine locul
ideal pentru implementarea politicilor de securitate de reţea şi pentru controlul accesului din
exterior.
 CAPITOLUL 2

FIREWALL EXTERN

O ilustrare a unui paravan de protecţie în cazul în care ar fi situat într-o reţea.

Un exemplu de interfaţă cu utilizatorul pentru un firewall instalat pe Ubuntu ( Gufw )

2.1. Generalitati :

Un firewall este o parte a unui sistem informatic sau de reţea care este proiectat pentru a
bloca accesul neautorizat în timp ce permite comunicaţii autorizat.Este un dispozitiv sau un
set de dispozitive care este configurat pentru a permite sau a refuza aplicaţiile de pe computer
se bazează pe un set de reguli şi de alte criterii.
Firewall-urile pot fi puse în aplicare, fie hardware sau software, sau o combinaţie a ambelor.
Firewall-uri sunt utilizate frecvent pentru a preveni utilizatorii de Internet neautorizati să
acceseze reţelele private conectate la Internet, în special în intranet .Toate mesajele care intră
sau ies de pe intranet trec prin firewall-ul, care examinează fiecare mesaj şi blocuri de cele
care nu îndeplinesc criteriile specificate de securitate.
Există mai multe tipuri de tehnici de firewall:
filtru de pachete : pachete de filtrare inspectează fiecare pachet care trece prin reţea şi acceptă
sau respinge pe baza regulilor definite de utilizator. Deşi greu de configurat, este destul de
eficientă şi cea mai mare parte transparentă pentru utilizatori. Sunt sensibile la IP spoofing .
gateway Cerere : mecanisme de securitate în cazul unei cereri specifice, cum ar fi FTP si
Telnet servere. Acest lucru este foarte eficient, dar poate impune o degradare de performanţă.
Circuit la nivel de gateway : se aplică mecanismele de securitate atunci când intr-un TCP sau
UDP conexiunea este stabilita. După ce conexiunea a fost făcută, pachetele pot avea trafic
intre gazde fără a verifica în continuare.
server proxy : intercepteaza toate mesajele care intră şi ies din reţea. Serverul proxy ascunde
adevărata adrese de reţea.

2.2. Funcţia firewall-ului

Un firewall este un dispozitiv dedicat, sau software care ruleaza pe un calculator, care
inspectează traficul de reţea care trece prin el, şi neagă sau permit pasaje de trecere bazate pe
un set de reguli.
Este în mod normal, amplasat între o reţea protejată şi cu o reţea neprotejat si se comporta ca
o poarta pentru a proteja bunurile pentru a se asigura că nimic privat nu iese şi nimic rău nu
intra.
La firewall-ul de bază sarcina principal este de a reglementa o parte din fluxul de trafic între
reţele de calculatoare de diferite niveluri de încredere. Exemple tipice sunt Internetul , care
este o zonă cu nici o încredere şi o reţea internă , care este o zonă de încredere foarte mare. O
zonă cu un nivel de încredere intermediar, situat între Internet şi la o reţea internă de
încredere, este adesea menţionată ca o ,,reţea de perimetru "sau zona demilitarizată (DMZ).
Functia firewall-ului în cadrul unei reţele este similar cu uşile antifoc din constructii. În
primul caz, este utilizat pentru a preveni pătrunderea intrusilor de reţea la reţeaua privată. În
al doilea caz, acesta este destinat să izoleze şi sa întârzie focul de la răspândirea spre
structurile adiacente.
2.3. Istoria firewall-ului

Termenului de firewall / fireblock însemna iniţial un zid pentru a limita un incendiu sau un
potenţial de incendiu într-o clădire; cf.. firewall (construcţii) . Mai târziu, se referă la
structurile similare, cum ar fi tabla de separare a compartimentului motor al unui vehicul sau
la aeronave pentru compartimentul pentru pasageri.
Tehnologia Firewall a apărut la sfârşitul anilor 1980 când Internetul a fost o tehnologie
destul de nou în ceea ce priveşte utilizarea acestuia la nivel global şi de conectivitate.
Predecesorii la firewall pentru securitatea reţelei au fost routerele la sfârşitul anilor 1980
pentru separarea reţelelor una de cealaltă. Privind internetul ca o comunitate relativ mica de
utilizatori care au apreciat deschiderea pentru partajare şi colaborare a fost încheiat de un
număr major de incalcare a securitatii internetului care au apărut la sfârşitul anilor 1980:
Descoperirea lui Clifford Stoll despre "spionii germani” care au manipulat fraudulos
sistemul său .
"Seara cu Berferd" a lui Bill Cheswick din 1992, în care el a instituit o simpla închisoare
electronica pentru a observa un atacator.
În 1988, un angajat la NASA Ames Research Center din California a trimis o notă prin e-mail
la colegii săi, in care scria: "Suntem atacati de un VIRUS de pe internet! Acesta a lovit
Berkeley , UC San Diego , Lawrence Livermore , Stanford şi NASA Ames . "
Worm Morris se transmitea prin mai multe vulnerabilităţi în maşini de timp. Deşi nu a fost
rău în intenţie, Worm Morris a fost un atac de mare amploare în primul rând pe internetul de
securitate; comunitate online nu sa aşteptat la nici un atac, nici pregătita pentru a face fata
unuia.

Prima generaţie: filtre de pachete

Lucrarea publicat pentru prima oară pe tehnologia firewall a fost in 1988, cand inginerii de la
Digital Equipment Corporation (DEC) au dezvoltat sisteme de filtrare cunoscute sub numele
de firewall filtru de pachete. Acest sistem a fost de fapt bază primei generaţi a ceea ce a
devenit un foarte evoluat şi tehnic element de securitate pentru internet. De la AT & T Bell
Labs , Bill Cheswick şi Steve Bellovin au continuat cercetările lor în pachete de filtrare şi au
dezvoltat un model de lucru pentru propria lor companie pe baza primei lor generaţi de
arhitectura originală.
Pachetele de filtre lucreaza inspectand “pachetele "care reprezintă unitatea de bază pentru
transfer de date între computerele de pe internet. Dacă un pachet se potriveste cu setul de
reguli ale filtrului de pachete, filtrul de pachete va scadea (tăcut debarasa) sub formă de
pachete, sau respinge (arunca, şi a trimite "răspunsurile de eroare" la sursa).
Acest tip de filtrare de pachete nu primeste atenţie pentru a stabili dacă un pachet face parte
dintr-un flux de trafic existent (nu stochează nici o informaţie privind “starea” de conectare).
În schimb, filtreaza fiecare pachet bazat doar pe informaţiile conţinute în pachetul in sine (cel
mai adesea folosind o combinaţie de pachete de la sursa si destinatie, protocolul său, şi,
pentru TCP şi UDP trafic, numărul portului ).
TCP şi UDP protocoale cuprind majoritatea comunicarilor pe Internet, şi pentru că traficul
TCP şi UDP prin convenţie utilizează cunoscutele porturi pentru anumite tipuri de trafic, un
"apatrid" filtru de pachete poate sa le distinga, şi astfel de control, aceste tipuri de trafic (cum
ar fi cautarea pe web, imprimare de la distanţă, transmiterea de e-mail, transfer de fişiere), cu
excepţia cazului în care maşinile pe fiecare parte a filtrului de pachete folosesc aceleaşi
porturi non-standard.
Filtrarea de pachete ale firewall-urilor de lucru pe primele trei straturi ale modelului de
referinta OSI, ceea ce înseamnă toate lucrările se fac între nivelurile de reţea şi fizică. Cand
un pachet provine de la expeditor şi este filtrat printr-un firewall, aparatul verifică potrivirea
cu oricare dintre normele configurate pentru pachetul de filtrare al firewall-ului şi preia sau
respinge pachetul în consecinţă. Cand pachetul trece prin firewall este filtrat de un protocol /
numarul portului de baza (GSS). De exemplu, dacă o regulă în firewall există pentru a bloca
accesul telnet, atunci firewall-ul va bloca protocolul IP pentru portul 23.

A doua generaţie: Strat de aplicare

Articol principal: firewall Cerere strat

Avantajul major al stratului de cerere de filtrare este că aceasta poate "să înţeleagă" anumite
aplicaţii şi protocoale (cum ar fi File Transfer Protocol , DNS , sau navigarea pe Web ), şi se
poate detecta dacă un protocol nedorit este ascuns prin intermediul unui port non-standard
sau în cazul în care un protocol este abuzat în vreun fel dăunătoare.
O aplicatie firewall este mult mai securizata şi de încredere în comparaţie cu firewall filtru de
pachete deoarece funcţionează pe toate cele şapte straturi ale modelului de referinta OSI, de
la aplicarea în jos pana la nivelele fizice. Acest lucru este similar cu un firewall filtru de
pachete dar aici putem filtra de asemenea informaţii pe baza conţinutului. Cel mai bun
exemplu de aplicatie firewall este ISA (Internet Security si Acceleration) server. O aplicatie
firewall poate filtra un mai mare strat de protocoale cum ar fi FTP, telnet, DNS, DHCP,
HTTP, TCP, UDP si TFTP (GSS). De exemplu, dacă o organizaţie doreşte să blocheze toate
informaţiile legate de "foo", atunci filtrarile pot fi activate pe firewall pentru a bloca acest
cuvânt in special. Acesta este un firewall bazat pe software şi astfel, acesta este mult mai lent
decât un firewall stateful.

A treia generaţie: filtrele "stateful"

Articol principal: Stateful firewall

Din 1989-1990 trei colegi de la AT & T Bell Laboratories , Presetto Dave, Janardan Sharma,
şi Kshitij Nigam, au dezvoltat a treia generaţie de firewall-uri, numindu-le circuitul firewall
de nivel.
Firewall-urile a treia generaţie, în plus faţă de ceea ce primul-şi a doua generaţie au cautat,
ceea ce priveşte plasarea de fiecare pachet individual dintre seriile de pachete. Aceasta
tehnologie se refera în general la un pachet de control la statefull deoarece asigura o evidenţă
a tuturor conexiunilor care trec prin firewall si este capabil sa determine dacă un pachet este
începutul unei noi conexiuni, o parte a unei conexiuni existente, sau este un pachet invalid .
Deşi există încă un set de reguli statice într-un paravan de protecţie, starea unei conexiuni
poate fi unul dintre criteriile care determina norme specifice.
Acest tip de firewall poate ajuta la prevenirea atacurilor care exploatează conexiunile
existente, sau anumite negari ale serviciilor de atacuri .
Evoluţiile ulterioare
În 1992, Bob Braden şi Annette DeSchon la Universitatea din California de Sud (USC) au
rafinat conceptul de firewall. Produsul cunoscut sub numele de "Vize" a fost primul sistem
care avea o interfaţă de integrare vizuala cu culori si icoane, care ar putea fi usor de
implementat şi accesat de pe un sistem de operare, cum ar fi Microsoft e Windows sau Apple
MacOS . În 1994, o companie israeliana numita Check Point Software Technologies a
construit acest lucru uşor in software-ul disponibil cunoscut sub numele de firewall-1 .
Existenta inspecţie in adancime a pachetului funcţionalitatea firewall-urilor moderne poate fi
împărtăşită de sisteme de prevenire a accesului neautorizat (IPS).
În prezent, Grupul de Comunicare Middlebox de la Internet Engineering Task Force (IETF)
lucreaza la standardizarea protocoalelor pentru gestionarea firewall-urilor şi a altor
middleboxes .
O altă axă de dezvoltare vorbeste despre integrarea identitatii utilizatorilor în normele
Firewall. Multe firewall-uri asigura astfel de funcţii legand identităţi de utilizator de IP sau
adrese MAC, care sunt foarte aproximative şi pot fi uşor întoarse. NuFW firewall oferă de
identitate pe bază de firewall-uri reale, prin solicitarea semnaturii utilizatorului pentru fiecare
conexiune.

2.4. Tipuri

Sunt mai multe clasificari de firewall-uri, în funcţie de locul în care comunicarea are loc,
unde comunicarea este interceptata si de statutul care este localizat.
Strat de reţea şi de pachete de filtre
Straturile reţelei de firewall-uri, numit de asemenea filtre de pachete, opereze la un nivel
relativ scăzut al TCP / IP stiva protocolului , nu permite pachetelor să treacă prin firewall cu
excepţia cazului în care se potrivesc cu setul de regula stabilită. Administratorul firewall
poate defini reguli sau normele implicite se pot aplica. Termenul de "filtru de pachet" are
originea în contextul BSD sisteme de operare .
Stratul reţelei de firewall-uri, în general, se împart în două sub-categorii, statefull şi apatrizi .
Firewall-ul Stateful menţine contextul despre sesiuni active, şi foloseste acele "informaţii de
stat" la viteza de procesare a pachetelor. Orice conectare la reţea existenta poate fi descrisa
prin mai multe proprietăţi, inclusiv adresa IP sursă şi destinaţie, porturile UDP sau TCP, şi
stadiul actual de conectare (incluzand deschiderea sesiunii, handshaking , datele de transfer,
sau completarea conexiune ). Dacă un pachet nu se potriveste cu o conexiune existentă,
aceasta va fi evaluată în funcţie de setul de reguli pentru noi conexiuni. Dacă un pachet se
potriveste cu o conexiune existentă bazată pe compararea cu tabelul de status a firewall-ului,
acestuia ii va fi permis să treacă fără prelucrare suplimentară.
Firewall-urile apatride necesită mai puţină memorie, şi pot fi mai rapide pentru filtre simple,
care necesită mai puţin timp pentru a filtra decât să se uite dupa o sesiune. Ele pot fi, de
asemenea, necesare pentru filtrarea protocoalelor de reţea apatride care nu au conceptul de o
sesiune. Cu toate acestea, ele nu pot lua decizii mai complexe bazate pe ceea ce stadiul de
comunicaţii între gazde a ajuns.
Firewall-urile moderne pot filtra traficul pe baza de pachete de mai multe atribute ca sursa
adresa IP , sursa portului , adresa IP destinatie sau port, de serviciu ca destinaţie www sau
FTP . Ele pot filtra pe baza unor protocoale, TTL valori, netblock de iniţiator, de sursă, şi alte
multe atribute.
Utilizate frecvent filtrele de pachete pe diferite versiuni de Unix sunt IPF (diverse), ipfw (
FreeBSD / Mac OS X ), PF (OpenBSD , şi toate celelalte BSD ), iptables / ipchains ( Linux ).

2.5. Aplicatie pe straturi

Articol principal: Firewall-ul ca aplicatie pe straturi

Aplicatia firewall-urilor pe straturi lucreze la nivel de aplicaţie la stiva TCP / IP (de exemplu,
tot traficul browser-ul, sau toate telnet sau FTP trafic), şi pot intercepta toate pachetele care
călătoresc către sau de la o aplicaţie. Ei blocheaza alte pachete (de obicei, le arunca fără
confirmare de primire către expeditor). În principiu, firewall-urile cerere pot preveni traficul
nedorit din afara de a ajunge la maşinile protejate.
Pe toate pachetele de control pentru conţinutul impropriu, firewall-urile pot restricţiona sau
împiedica pur şi simplu răspândirea in reţea a viermilor de calculator şi troienilor . Criteriile
suplimentare de inspecţie pot adăuga latenţă suplimentara pentru transmiterea de pachete la
destinaţie.

2.6. Proxy

Articol principal: server proxy

Un dispozitiv de proxy (care rulează fie pe hardware dedicat sau ca software-ul pe o maşină
de uz general), poate acţiona ca un firewall, răspunzând la pachete de intrare (cereri de
conectare, de exemplu), în maniera unei cereri, în timp ce blocarea alte pachete.
Proxy-urile fac manipularea frauduloasă cu un sistem intern de la reţeaua externă mai dificilă
şi abuz de un sistem intern nu ar determina în mod necesar o încălcare a securităţii de
exploatat din afara firewall-ului (atât timp cât proxy cererea rămâne intactă şi configurat
corect). Dimpotrivă, intruşii pot deturna un sistem accesibil publicului şi-l utilizeaza ca un
proxy pentru propriile lor scopuri; proxy, apoi mascat ca acest sistem pentru interne alte
maşini. În timp ce utilizarea de spaţii adresa interna măreşte securitatea, “hakerii” pot angaja
încă metode cum ar fi IP spoofing pentru a încerca să treacă pachetele intr-o reţea ţintă.

2.7. Traducerea adreselor de reţea

Articol principal: Traducerea adreselor de retea

Firewall-urile au adesea traducere adresă de reţea (NAT) funcţionalitate, şi găzduieşte
protejarea în spatele unui firewall avand de obicei adrese în zona de adrese 12isposi, astfel
cum este definit în RFC 1918 Firewall-urile au adesea o astfel de functionalitate pentru a
ascunde adevarata adresa de 12ispo protejate. Originally, the NAT function was developed to
address the limited number of Ipv4 routable addresses that could be used or assigned to
companies or individuals as well as reduce both the amount and therefore cost of obtaining
enough public addresses for every computer in an organization. Iniţial, funcţia NAT a fost
dezvoltata pentru a aborda un număr limitat de adrese Ipv4 rutabile care ar putea fi utilizate
sau 12isposit pentru companii sau 12isposit fizice, precum şi a reducerea atât cantitativ şi prin
urmare costul de obţinere a adreselor publice pentru fiecare calculator într-o organizaţie.
Hiding the addresses of protected devices has become an increasingly important defense
against network reconnaissance . Ascunderea adreselor de 12ispositive protejate a devenit
una di cele mai importante tehnici de apărare împotriva reţelei de recunoaştere .
 CAPITOLUL 3

POLITICI FIREWALL

O maşină firewall nu înseamnă nimic dacă nu sunt definite politici firewall. În

general, firewall-urile au două scopuri:
1. să ţină persoane (viermi/hackeri/crackeri) afară.
2. să ţină persoane (angajaţi/copii) înnăuntru.
Pentru un firewall există două moduri principale de abordare:
1 Interzice totul in mod prestabilit şi permite explicit trecerea anumitor pachete.

Pachet de intrare

satisfac
e regula Acceptă pachetul
1?

NU

satisfac
e regula Acceptă pachetul
n?
NU

Interzice pachetul

2 Permite totul in mod prestabilit şi interzice explicit trecerea anumitor pachete.

Pachet de intrare

satisfac
e regula respinge pachetul
1?

DA

satisfac
e regula respinge pachetul
n?

DA

Acceptă pachetul
Crearea unei politici firewall este, în esenţă, destul de simplă:

trebuie stabilit ce este permis să iesă din reţeaua locală, dar mai ales ce este permis să intre în
ea ( ce tipuri de pachete ?)
trebuie stabilite serviciile pe care o să le ofere firewall şi la cine o să ofere aceste servicii
trebuie descrise tipurile de atacuri potenţiale pe care firewall-ul trebuie să le oprească

3.1. Tipuri de firewall-uri

Există două tipuri de firewall-uri:

1. Firewall-uri de filtrare – care blochează anumite pachete specific

(LAN) | (HUB)
System
internet firewall calculator

(DMZ)
(HUB)

2. Servere Proxy – care stabilesc conexiuni de reţea în exterior pentru

calculatoarele din interiorul LAN-ului

System (LAN) | (HUB)

internet proxy/
calculator
firewall

proxy server

3.2 Firewall-uri de filtrare a pachetelor

(Packet Filtering Firewalls)
 Firewall-urile de tip filtru de pachete sunt firewall-uri care pentru fiecare pachet IP
care circula prin sistem (intra, iese sau este routat) verifica informatiile din antetul lui si in
functie de acestea decide soarta pachetului: el poate sa lase pachetul sa treaca (ACCEPT) sau
poate sa-l opreasca (REJECT/DENY). Acestea sunt operatiile mai importante pe care le poate
efectua un filtru de pachete asupra unui pachet. Pe langa acestea, mai sunt si alte functii pe
care le poate indeplini un filtru de pachete: mascare, redirectare, port forwarding care vor fi
detaliate mai jos.
Filtrul de pachete pentru sistemul de operare Linux este construit în interiorul kernel-
ului. Un firewall de filtrare lucrează la nivelul reţea. Informaţia poate părăsi sistemul doar
dacă regulile firewall-ului o permit. Când pachetele ajung la firewall ele sunt filtrate după tip,
adresa sursă, adresa destinaţie şi număr de port, informaţii care sunt conţinute în orice pachet
IP. Majoritatea routerelor de reţea oferă servicii de filtrare. De fapt firewall-ul este un fel de
router. Pentru că foarte puţine date sunt analizate şi logate, firewall-urile de filtrare consumă
mai puţin timp CPU şi creează mai puţine întârzieri pe reţea decat alte servicii de acest gen.
Firewall-urile de filtrare nu suportă autentificarea prin parole. Un firewall identifică un
utilizator doar după adresa IP de la care lucrează.
Printre avantajele firewall-urilor cu filtrare de pachete se numara si urmatoarele:
controlul traficului (daca firewall-ul ruleaza pe gateway-ul spre alta retea atunci acesta poate
sa permita (sa lase sa treaca) un anumit tip de trafic, pe cand alt tip de trafic poate sa-l
opreasca – se poate restrictiona, astfel, traficul spre o anumita parte a internetului sau a altei
retele exterioare), securitate sporita (cand linux box-ul dumneavoastra este singurul paravan
care sta intre reteaua dumneavoastra locala si haosul din internet, este o idee buna aceea de a
restrictiona accesul din exterior la porturile dumneavoastra deschise – astfel, se poate permite
accesul la reteaua dumneavoastra locala numai din anumite locuri considerate sigure) si
supravegherea retelei (daca o masina prost configurata sau virusata din reteaua dumneavostra
locala incepe sa transmita la intamplare pachete in lumea exterioara este bine sa stiti acest
lucru si sa remediati situatia).
Nucleele Linux au avut filtre de pachete inca de la seria 1.1. Prima generatie de filtre
de pachete, bazata pe ipfw din BSD, a fost portata de Alan Cox in 1994. Aceasta a fost
imbunatatita de Jos Vos si altii pentru nucleele 2.0; a fost introdus si un utilitar, ipfwadm,
pentru a controla regulile de filtrare din kernel.
In 1998, Rusty Russell cu ajutorul lui Michael Neuling au introdus utilitarul ipchains
pentru controlul regulilor de filtrare din nucleele 2.2. In fine, in 1999, Rusty Russell a
introdus o a patra generatie de utilitare pentru filtrarea pachetelor si anume iptables, pentru
nucleele 2.4. Ne vom concentra in cele ce urmeaza asupra utilitarelor ipchains si iptables,
acestea fiind de generatie noua.
Ipchains este firewall-ul implementat de kernelul linux. Ipchains este folosit pentru a
seta, menţine şi inspecta regulile de firewall din kernelul de linux. Nucleul Linux intretine o
serie de structuri interne numite reguli de fitrare. Aceste reguli pot fi împărţite în patru
categorii diferite (chains/lanţuri):

- IP input chain (pentru pachetele care intră),

- IP output chain (pentru pachetele care ies),
- IP forwarding chain (pentru pachetele care trebuie rutate) şi
- chain-uri definite de utilizator.

Pentru fiecare din aceste categorii este menţinută o tabelă separată de reguli în kernel.
Primele trei chain-uri (tabele) sunt chain-uri predefinite (built-in) care exista deja in
kernel, dar utilizatorul poate contrui si altele. O regulă specifică un criteriu pentru un pachet
si o “tinta”. Tinta poate fi orice lant (built-in sau definit de utilizator) sau urmatoarele cuvinte
rezervate: ACCEPT, DENY, REJECT, MASQ, REDIRECT si RETURN. Ea precizeaza ce se
va intampla cu pachetul care verifica criteriul. Dacă pachetul nu se potriveşte cu criteriul
respectiv, următoarea regulă din lanţ este examinată, daca nici aceasta regula nu contine un
criteriu care sa se potriveasca cu pachetul nostru este examinata urmatoarea regula din lant si
procesul continua, dar counterii regulii vor fi incrementati.
-i, --interface [!] nume : specifica interfata de retea prin care un pachet este receptionat
(pentru lantul input) sau prin care un pachet este trimis (pentru lanturile output si
forward). Daca optiunea este omisa, orice interfata este verificata. Argumentul “!”
inverseaza sensul expresiei. Daca numele interfetei se termina cu “+” atunci orice
interfata a carei nume incepe cu nume este verificata.
Ex: ipchains –A output –i ppp0 –j ACCEPT : aceasta regula spune kernelului sa accepte
orice pachet care este trimis pe interfata ppp0.
[!] -f, --fragment : aceasta specifica ca regula se refera numai la al doilea fragment si
urmatoarele dintr-un pachet fragmentat.

3.3. Alte optiuni:

 1 -b, --bidirectional : modul bidirectional; aceasta regula are acelasi efect ca si cand am
scrie regula de doua ori cu sursa si destinatia inversate.
2 -v, --verbose : formatul de afisare detaliat.
3 -n, --numeric : modul numeric de afisare – adresele de IP si porturile vor fi afisate in
format numeric si nu vor fi traduse in nume de hosturi si nume de servicii.
4 -l, --log : optiunea de log; cand un pachet verifica aceasta regula, se vor loga anumite
informatii despre pachetul respectiv.
5 [!] -y, --syn : doar pachetele TCP cu bit-ul SYN setat si bitii ACK si FIN zero vor
verifica aceasta regula; aceste pachete sunt folosite la cererea de initiere a unei
conexiuni TCP.
Ex: ipchains –A input –s 12.20.109.4 –d 193.231.18.38 –p tcp –dport 21 –y –j
DENY: aceasta regula spune kernelului sa faca deny la orice cerere de initiere de
conexiune care vine de la 12.20.109.4 pe portul destinatie 21 la adresa destinatie
193.231.18.38 .
Chain-urile input, output şi forward sunt built-in şi ele nu pot fi şterse. Lanţurile
definite de utilizator, în schimb, se pot şterge. Regulile se pot adăuga şi se pot şterge din
oricare chain.

3.4. Operaţiile asupra unui chain sunt:

1 crearea unui nou chain (-N)

2 ştergerea unui chain gol (-X)
3 schimbarea politicii unui chain built-in (-P): ACCEPT, DENY, REJECT, MASQ,
REDIRECT, RETURN.
4 listarea regulilor dintr-un chain (-L)
5 golirea unui chain (-F); flush
6 seta la zero counterii de pachete si counterii de bytes din toate chainurile (-Z)
Operaţiile care se pot aplica regulilor din interiorul unui chain sunt:
1 adăugarea unei noi reguli în chain (-A)
2 inserarea unei noi reguli într-un chain pe o poziţie oarecare (-I)
3 înlocuirea unei reguli dintr-un chain (-R)
4 ştergerea unei reguli dintr-un chain (-D)
5 ştergerea primei reguli care se potriveşte dintr-un chain (-D)
Operaţii pentru mascarea pachetelor (masquerading):
1 listarea conexiunilor curent mascate (-M –L)
2 setarea valorilor de timeout pentru mascare (-M –S)
Alte operatii:
 verificarea daca un anumit pachet verifica vreo regula dintr-un chain (-C)
Pentru kernelurile 2.2 regulile de firewall se scriu în fişierul /etc/rc.d/rc.firewall, fişier care
este executat la iniţializarea sistemului. Conţinutul chain-urilor se poate însă manipula şi
dinamic cu ajutorul instrucţiunilor ipchains.
Iată un exemplu de /etc/rc.d/rc.firewall:
#!/bin/sh
#
# rc.firewall
#
## Golim fiecare chain şi începem de la zero
/sbin/ipchains -F input
/sbin/ipchains -F output
/sbin/ipchains -F forward

#accepta conexiuni de la 193.226.40.147

/sbin/ipchains -A input -s 193.226.40.147 -j ACCEPT

#refuza conexiuni TCP de la hosturile din clasa 193.226.40.0 şi care au netmask-ul

#255.255.255.0 (24 de biţi de 1)
/sbin/ipchains -A input -p tcp -s 193.226.40.0/24 -j DENY

#refuză conexiunile la serverul de X (portul 6000) de la hosturile din clasele

#193.231.20.0/255.255.255.0, 193.226.40.0/255.255.255.0, 192.168.144.0/255.255.255.0
/sbin/ipchains -A output -p tcp -d 193.231.20.0/24 6000 -j DENY
/sbin/ipchains -A output -p tcp -d 193.226.40.0/24 6000 -j DENY
/sbin/ipchains -A output -p tcp -d 192.168.144.0/24 6000 -j DENY

#irc deny (toate pachetele care ies către orice destinaţie pe porturile 6000…8000 sunt
#abandonate)
/sbin/ipchains -A output -p tcp -d 0.0.0.0/0 6000:8000 -j REJECT
# acceptă conexiunea la proxy server de la orice adresă din clasa 192.168.144.0
/sbin/ipchains -A input –p tcp -s 192.168.144.0/25 8080 -j ACCEPT

# deny pentru pachetele care pleacă către 194.149.31.110

/sbin/ipchains -A output -d 194.149.31.110 -j DENY

# deny pentru toate pachetele care pleacă către 193.231.143.66

/sbin/ipchains -A output -d 193.231.143.66 -j DENY

# reject pentru două hosturi

/sbin/ipchains -A input -s 192.168.144.161 -j REJECT
/sbin/ipchains -A input -s 192.168.144.168 -j REJECT

Pentru distributiile mai noi de linux (RedHat 7.0,..) regulile de firewall se scriu in
fisierul /etc/sysconfig/ipchains.
Iptables este generatia noua de filtre de pachete pentru nucleele 2.4 Ea a fost creata
de Rusty Russell si pastreaza aproape in intregime filozofia ipchains, dar ofera in plus multe
functionalitati (extensii) mai ales pentru modificarea campurilor pachetelor care intra sau ies
printr-o masina linux. Inainte de a insira functionalitatile noi ale lui iptables voi enumera mici
diferente de sintaxa a unor functionalitati care s-au transmis de la ipchains la iptables:
- numele lanturilor built-in se scriu acum cu litere mari nu cu litere mici ca la ipchains
- optiunea “-i” inseamna acum incoming interface (interfata pe care vin pachetele) si
functioneaza numai pentru lanturile INPUT si FORWARD. Regulile din FORWARD si
OUTPUT care foloseau optiunea “-i” trebuie sa foloseasca acum “–o” (outgoing interface).
- porturile TCP si UDP trebuiesc acum specficate cu optiunile “—source-port/destination-
port” sau “–sport/dport” si trebuie plasate dupa optiunile “-p tcp” sau “-p udp”, deoarece
acestea incarca extensiile TCP, respectiv UDP.
- flagul “-y” este acum “—syn” si trebuie sa apara numai dupa “-p tcp”.
- tinta DENY este acum inlocuita cu DROP.
- zerorizarea unui lant in timpul listarii functioneaza cu iptables in timp ce cu ipchains, nu.
- zerorizarea lanturilor built-in de asemenea goleste counterii.
- REJECT si LOG sunt acum tinte extinse, adica sunt module separate.
- numele de lanturi pot avea acum maxim 31 de caractere.
- MASQ este acum MASQUERADE si foloseste o sintaxa diferita. Tinta REDIRECT a
suferit de asemenea o schimbare de sintaxa.
- pachetele sunt trimise in userspace (pentru a fi prelucrate de utilizator) folosind tinta
QUEUE.
A avut loc si o schimbare de structura in trecerea de la ipchains la iptables. In iptables
pot fi definite mai multe tabele de reguli de firewall. Fiecare tabel contine un numar de
lanturi (chain-uri) built-in si pot contine si lanturi definite de utilizator. La fel ca si la
ipchains, fiecare lant poate contine mai multe reguli de filtrare.
Tinta unei reguli iptables poate fi ori un lant definit de utilizator ori una dintre tintele
speciale: ACCEPT, DROP, QUEUE, RETURN. ACCEPT lasa pachetul sa treaca departe.
DROP ‘lasa pachetul sa cada’ (refuza pachetul). Tinta QUEUE transmite pachetul in
userspace daca kernelul suporta, pentru a fi prelucrat de programele utilizator. RETURN face
ca pachetul sa nu mai traverseze regulile din lantul curent ci sa revina la regulile din lantul
anterior (cel din care s-a ajuns in lantul curent). Daca se ajunge la sfarsitul unui lant built-in
sau o regula cu tinta RETURN dintr-un lant built-in este verificata, soarta pachetului va fi
determinata de politica lantului.
Exista 3 tabele independente de firewall; care tabele se afla in kernel la un moment dat
depinde de optiunile de configurare a kernelului si de modulele care sunt incarcate. Optiunea
“-t, --table” spune tabelul pe care va opera comanda iptables. Cele 3 tabele sunt:
1 filter: este tabelul de filtrare implicit; el contine 3 lanturi built-in : INPUT (pentru
pachetele destinate masinei locale), FORWARD (pentru pachetele care sunt rutate de
masina locala) si OUTPUT (pentru pachetele generate de masina locala).
2 nat(Network Address Translation): acest tabel este consultat cand este intalnit un pachet
care creeaza o noua conexiune; el contine lanturile PREROUTING (pentru modificarea
pachetelor inainte de a fi routate), OUTPUT .

CAPITOLUL 4

SERVERE PROXY
 (Proxy servers)

Serverele Proxy sunt în general folosite pentru controlul şi monitorizarea traficului.

Serverele Proxy lucrează la nivelul aplicaţie. Unele proxy-uri reţin datele cerute într-o zonă
de cache. Acest lucru scade traficul pe reţea şi totodată şi cerinţele pentru lăţime de bandă
(bandwidth). Există douătipuri de servere proxy:
1. Proxy aplicaţie – care aşteaptă cereri de la clienţi şi le rezolvă
2. Proxy SOCKS – care face mapare de porturi

4.1. Proxy aplicaţie

Cel mai bun exemplu este când o persoană face telnet pe un calculator şi de acolo face
telnet în lumea exterioară. Cu ajutorul unui server proxy aplicaţie acest lucru este
automatizat. Când dau telnet în lumea exterioară clientul meu îmi trimite cererea întâi la
proxy. Apoi proxy-ul se conectează la serverul din lumea exterioară cerut de mine şi-mi
returnează datele cerute.
Serverele proxy loghează acţiunile pe care le întreprind. Există http proxy-uri, ftp
proxy-uri care prelucrează datele înainte de a le trimite clientului (scanează datele pentru
viruşi, filtrează cuvinte „nepotrivite”, etc.). Serverele proxy aplicaţie pot autentifica
utilizatorii. De asemenea ele se pot configura să accepte conexiuni de la anumite adrese şi de
la altele, nu. Exemplu de server proxy aplicaţie este Squid.

4.2. Proxy SOCKS

Unserver SOCKS routează conexiuni TCP. El lucrează numai cu conexiuni TCP şi nu

oferă servicii de autentificare.
Majoritatea serverelor SOCKS lucreaza doar cu conexiuni de tip TCP.Ca şi
firewallurile de filtrare a pachetelor nu furnizeaza autentificarea user-ului. Pot să reţină
adresa la care fiecare user s-a conectat.

4.3. Configurarea unui Proxy Server

 Programul SOCKS are nevoie de două fişiere de configurare, separate. Unul pentru
accesul permis si unul pentru a ruta (devia) cererile spre proxy serverul alocat. Fişierul de
acces trebuie găzduit pe server. Fişierul cu rutele ar trebui localizat pe orice maşină UNIX.

Fişerul de acces
Cu pachetul socks4.2 Beta fişierul de acces se numeşte sockd.conf şi ar trebui să
conţină 2 linii una pentru permisiuni şi una pentru respingere; fiecare linie având câte 3
intrări
- identificatorul (permit/deny)
- adresa IP (in notaţia tipică ex. : 192.168.1.0)
- modificatorul de adrese – e o adresă de IP care funcţionează ca o mască pentru
net. Dacă bitul este 1 atunci bitul corespunzător din adresa care e verificată
trebuie să corespundă cu bitul din câmpul de adrese IP.
Exemple:
permit 192.168.1.23 255.255.255.255
permite adresa IP 192.168.1.3

permit 192.168.1.0 255.255.255.0

permite adresele IP: de la 192.168.1.0 până la 192.169.1.255.

permit 192.168.1.0 0.0.0.0

permite orice adresă.

permit 192.168.1.0 255.255.255.0

deny 0.0.0.0 0.0.0.0
permite adresele dorite si le v-a respinge pe toate celelalte.

Unor utilizatori specificaţi le poate fi oferit accesul sau le poate fi respins. Aceasta se
realizează prin autentificarea identată. Nu toate sistemele suportă identarea., inclusiv Trumpet
Winsock.

Fişierul de rutare
 Fişierul de rutare a fost denumit "socks.conf". El spune clienţilor SOCKS când să
folosească socks şi când nu. In reţeaua locală, de ex. nu voi folosi socks la comunicarea intre
două calculatoare. Există o legatura directă prin Ethernet.
Există 3 intrari:
- deny
- direct
- sockd
Deny ii spune SOCKS-ului când să respingă o cerere; aceasta intrare are aceleaşi trei
câmpuri ca şi in sockd.conf, fişierul de acces, câmpul de modificare e setat la 0.0.0.0 .
Intrarea directă ne spune pentru care adrese nu trebuie folosit socks.
Acestea sunt toate adresele care pot fi accesate fără a folosi proxy server-ul. Vom avea trei
campuri: identificator, adresa si modificator.
Exemplu:
• direct 192.168.1.0 255.255.255.0
• oricine din reţeaua locala va avea acces
Intrarea sockd îi spune calc. care gazdă are daemon-ul socks server pe el. Sintaxa este:
sockd @=<serverlist> <IP address> <modifier>
@=entry permite setarea adreselor IP a unei liste de proxy servere. Mai multe servere permit
o mai buna încărcare şi pentru redundanţă in caz de esec.

4.4. Lucrul cu proxy server

UNIX

Pentru ca aplicaţiile să lucreze cu proxy server ele trebuie să fie sock-fiate. Este
nevoie de două telneturi diferite, unul pentru directarea comunicaţiilor, unul pentru
comunicaţii prin proxy server. SOCK-urile vin cu instrucţiuni de SOCK-fiere a unui program,
precum şi câteva programe pre-SOCK-fiate. Dacă se foloseşte versiunea SOCK-fiată pentru a
ajunge direct undeva, SOCK-urile vor schimba pe versiunea directa. Din aceasta cauză se vor
redefini toate programele; "finger" devine "finger.orig" , "telnet" devine 'telnet.orig".Acest
lucru se realizează prin fişierul include/socks.h.
 Anumite programe vor manipula rutele şi propriile sock-eturi. Netscape e unul dintre
acestea. Se poate folosi proxy server sub Netscape prin introducerea unei adrese de server în
câmpul de SOCK de sub proxies.

MSWindows cu Trompet Winsock

Trompet Winsock vine cu capabilitati de proxy inglobate. In meniul de setup se

introduce adresa IP a server-ului, şi ale tuturor calculatoarelor care pot fi accesate direct.
Trumpet se va ocupa de pachetele de ieşire.

Lucrul cu pachete UDP a serverelor proxy

Pachetele SOCKs lucrează cu pachete TCP nu UDP,pe UDP făcându-le mai puţin
folositoare. Multe programe cum ar fi talk si Archie folosesc UDP. Acesta este un pachet
constuit pentru a putea fi folosit ca un proxy server pentru pachete UDP numite UDPrelay.
Din nefericire deocamdata incompatibile cu Linux.

Inconvenienţe cu Proxy Server

Proxy serverul e, mai presus de orice, un mecanism de securitate. Folosit pentru a

mări accesul la Internet cu un număr de adrese de IP limitate, are anumite inconvenienţe. Un
proxy server va permite un mai bun acces din interiorul unei reţele protejate spre exterior dar
va face ca ceea ce este în interior să fie complet inaccesibil celor din afară. Aceasta înseamnă
că nu vor exista talk-uri între servere sau conectare la arhive sau mail-uri directe spre
calculatoarele din interior.
FTP cauzează alte probleme cu un server proxy. Când dăm un ls, serverul FTP
deschide un socket pe maşina client şi transmit informaţiile prin acesta. Un server proxy nu
permite asta deci FTP-ul nu va funcţiona.
Serverele proxy funcţionează încet din cauza supraîncărcărilor, orice altă modalitate
de accesare va fi mult mai rapidă.
Dacă aveţi o adresa IP şi nu aveţi probleme cu securitatea, e preferabil să nu folosiţi
firewall-uri sau servere proxy. Dacă nu aveţi adresă de IP si nici probleme de securitate, se
poate folosi un emulator de IP cum ar fi Term, Slirp sau TIA. Aceste pachete vor funcţiona
mai rapid permitând o conectare mai bună şi permiţând un nivel de acces mai bun din
Internet spre interiorul reţelei. Serverele proxy sunt potrivite pentru acele reţele care vor avea
mai multe host-uri care vor dori să se conecteze la Internet cât mai uşor, cu un singur setup si
puţin efort după aceea.

4.5. Configurarea avansată

Să presupunem că vrem să punem în reţea un site.Avem 50 de calculatoare si o

subreţea de 32(5 biti) de adrese de IP. Dorim diverse nivele de acces în reţea pentru a le
spune angajaţilor diferite lucruri si pentru a proteja unele parţi din reţea de restul.

Nivelurile sunt:
1.Nivel extern. Acesta este un nivel care va fi accesat de toata lumea.
2.Nivel intermediar. Acesta e nivelul celor care au ajuns dincolo de nivelul extern.
3.Nivel intern. În acest nivel e reţinută toata informaţia secretă.

4.6. Setarea reţelei

Numerele de IP sunt aranjate:

- 1 numar e 192.168.1.250
- 23 din cele 32 de adrese IP 23 sunt alocate la 23 de maşini care vor fi accesibile în Internet.
- 1 adresă e rezervată cutiei Linux de pe acea reţea
- 2 adrese IP la router
- 4 sunt lăsate afară
- reţelele protejate au ambele adrese 192.168.1.xxx
Apoi sunt construite două reţele separate, fiecare în diferite camere, ele sunt rutate prin
Ethernet-ul infrared (care funcţionează ca un Ethernet normal ) şi sunt invizibile celor din
afară.
Aceste reţele sunt fiecare conectate la una din cutiile Linux cu o extra-adresa IP.
Există şi un fisier server care conectează cele două reţele protejate.Fişierul server
reţine adresa 192.168.1.17 pentru reţeaua de nivel intermediar şi 192.168.1.23 pentru reţeaua
de nivel intern. Trebuie să fie două adrese de IP diferite din cauză că trebuie sa fie 2 carduri
Ethernet diferite. Rutarea de pe acestea este închisă. Rutarea IP de pe ambele cutii Linux e
închisa. Router-ul nu va trimite pachete la adresele 192.168.1.xxx decât dacă i se spune
explicit, astfel că cei din afară nu vor putea să intre. Motivul pentru care e închisă rutarea IP
aici este că pachetele de la un nivel al reţelei (intern) să nu ajungă la altul (intemediar) şi
invers.
Serverul NFS poate fi setat să ofere fişiere diferite, diferitelor reţele. Acest lucru e
uşor de realizat iar cu puţină şmecherie cu legăturile simbolice se pot share-ui toate fişierele
comune. Folosind acest setup şi un alt cart Ethernet acest fişier de server poate fi oferit
tuturor celor trei reţele.

4.7. Setarea proxy-ului

Pentru că toate cele trei nivele vor să monitorizeze reţeua pentru propriile lor scopuri,
vor trebui să aibe acces la reţea. Reţeaua externă are acces direct la Imternet, ramânând doar
reţelele interne (de nivel intermediar şi de nivel intern) după firewall, deci va trebui să setăm
proxy-ul aici. Ambele reţele vor fi setate similar , ele având acelaşi tip de adresă de IP
alocată. Nici una dintre ele nu va putea folosi fişierul server pentru acces la Internet. Asta ar
face ca fişierul să fie expus viruşilor. Iar reţeaua de nivel intermediar nu dorim sa aibe acces
la World Wide Web.
Astfel, fişierul sockd.conf de pe maşina Linux a reţelei intermediare va avea linia:

deny 192.168.1.17 255.255.255.255

Iar de pe masina reţelei interioare:
deny 192.168.1.23 255.255.255.255
Iar masina de la nivelul intemediar va avea şi linia
deny 0.0.0.0 0.0.0.0 eq 80
adică va nega accesul tuturor maşinilor care vor încerca să acceseze portul 80, portul http,
permiţând alte servicii, însă refuzând accesul la Web.
Apoi ambele fişiere vor avea:
Permit 192.168.1.0 255.255.255.0
aceasta permite tuturor calculatoarelor de pe reţeaua 192.168.1.xxx să folosească acest proxy
server cu excepţia celor cărora le-a fost deja refuzat accesul.

Astfel fisierul sockd.conf a reţelei intermediare va arăta astfel:

deny 192.168.1.17 255.255.255.255
deny 0.0.0.0 0.0.0.0 eq 80
permit 192.168.1.0 255.255.255.0
Astfel fisierul sockd.conf al mercenarilor va arăta astfel:
deny 192.168.1.23 255.255.255.255
permit 192.168.1.0 255.255.255.0

In concluzie , intrebarea este:Ce "poate" şi ce "nu poate" să facă un firewall?

Un firewall poate să:
- monitorizeze căile de pătrundere în reţeaua privată, permiţând în felul acesta o mai bună
monitorizare a traficului şi deci o mai uşoară detectare a încercărilor de infiltrare;
- blocheze la un moment dat traficul în şi dinspre Internet;
- selecteze accesul în spaţiul privat pe baza informaţiilor conţinute în pachete.
- permită sau interzică accesul la reţeaua publică, de pe anumite staţii specificate;
- şi nu în cele din urmă, poate izola spaţiul privat de cel public şi realiza interfaţa între cele
două.

De asemeni, o aplicaţie firewall nu poate:

- interzice importul/exportul de informaţii dăunătoare vehiculate ca urmare a acţiunii
răutăcioase a unor utilizatori aparţinând spaţiului privat (ex: căsuţa poştală şi ataşamentele);
- interzice scurgerea de informaţii de pe alte căi care ocolesc firewall-ul (acces prin dial-up ce
nu trece prin router);
- apăra reţeaua privată de utilizatorii ce folosesc sisteme fizice mobile de introducere a
datelor în reţea (USB Stick, dischetă, CD, etc.)
- preveni manifestarea erorilor de proiectare ale aplicaţiilor ce realizează diverse servicii,
precum şi punctele slabe ce decurg din exploatarea acestor greşeli.
 CAPITOLUL 5

SOLUTIE : FIREWALL EXTERN

5.1.Outpost Firewall Pro 2010

Pentru acest proiect am ales ca soluţie software “Outpost Firewall Pro 2010”
1.1 Instalarea si configurarea unui astfel de program pe sisteme Windows este relativ usoară.

Continuăm cu Next până cand instalarea va incepe in directorul de instalare default:

C:\Program Files\Agnitum\Outpost Firewall Pro
In timpul instalării vor aparea 2 ferestre de genul urmator:
 Bifati si instalati şi aceste componente aditionale, necesare soft-ului.
2. Configurare
2.1. Dupa finalizarea instalării programul vă va oferi o ferestra de configurare a
Firewall – ului prin 2 metode.
1. Modul Normal: este recomandat majoritătii utilizatorilor întrucât nu cere cunostinte foarte
avansate de configurare.
2. Modul Advanced:
Vor apărea cateva optiuni de configurare pentru modulul anti-spyware al programului peste
care vom trece:
Clic pe Next si expertul de configurare a incheiat instalarea.

Restartam sistemul.
Dupa restartarea sistemului n-i se va cere o cheie de inregistrare.
Introducem cheia de inregistrare a produsului.
Odată ce produsul a fost inregistrat, deschidem “Settings” si vedem cu ce optiuni de
configurare avansată avem.
In partea stangă observăm sub modul firewall 3 module de reţea pe care firewall – ul, prin
reguli specifice le controlează astfel:

Firewall policy (general vorbind reprezintă o regulă de comportare a firewall-ului cu privire

la diferite componente externe care interacţioneaza cu internetul)
Block All (blochează toate conexiunile atât inbound cat si outbound)
Block Most (blochează toate conexiunile atât inbound cat si outbound cu excepţia celor care
sunt configurate manual de către utilizator sau automat printr-o asa numita “white
list” de către program)
Rules Wizard (atunci când aceasta opţiune este activa firewall-ul este în asa numita stare de
“learning mode” ceea ce inseamna ca orice program care nu este filtrat automat de
către el şi va cere “sa comunice” cu internetul, de regulă o mica ferestră va apărea
şi va “intreba” utilizatorul daca, componenta respectivă se poate sau nu conecta la
internet.
Allow Most (permite toate comunicaţiile care nu sunt explicit blocate)
Disable (dezactivează firewall – ul permitând tuturor conexiunilor sa aiba loc)
De asemenea observăm o opţiune: “Run in stealth mode” (rulează în modul invizibil).
Această opţiune este bifită în mod automat (calculatorul nu va răspunde la asa numitele “port
scans” acest lucru facându-l invizibil persoanelor rău intentionate) .
Network rules (reguli de retea) – în dreptul acestui tab în dreapta avem afisate o serie de
programe si servicii windows (cu extensia .exe) care sunt încadrate sub 3 subcategorii:
Blocked (process sau programe blocate)– aici vom gasi de regula executabilele unor
programe pe care le-am adaugat explicit la aceasta subcategorie sau pe care
firewall-ul le-a blocat din motive de securitate.
Custom access (Reguli stabilite în mod manual de către utilizator) – de regulă în această
subcategorie intră toate modulele programelor adăugate şi configurate manual de
către utilizator prin intermediul Modulului Rules Wizard (Learning Mode).
Trusted (Sigure) – procese adaugate manual ale caror module de conectare sunt implicit
permise.
Eventual o serie de procese si programe care aparţin sistemului de operare sunt de asemenea
încadrate la aceasta ultimă subcategorie.
LAN Settings (Setări privind Reteaua locală) – acest tab va arăta în modul urmator:
(evident cu excepţia ip-ului care este unic si diferit de ceea ce se vede mai jos)
Optiunile NetBIOS, Trusted si NAT Zone ne permit sa asignăm retelei tipul din care face
parte.Daca nu esti sigur din ce categorie face parte o reteaua ta e bine sa sa fie lasat asa cum
este.
Atack Detection (Detectia unui atack) – prezinta 3 nivele
1) Maximal (Protectie maximă) – este raportat fiecare scanare a retelei; sunt detectate toate
atacurile externe retelei Ethernet.

2) Optimal (Protectie optimă) – raportează un atac daca mai multe porturi sunt scanate sau
daca un anumit port este scanat de mai mult ori si care este stiut ca este folosit cel mai des
în atacuri. Mai detectează fenomenul de IP flood şi adrese duplicate ale IP-urilor.

3) Custom Settings (Setări Manuale) – mod presetat de firewall daca utilizatorul crează sau
modifică orice regulă.

Actiuni atunci cand este detectat un atac:

Block intruder IP adress for: x minutes (blochează adresa ip a “atacatorului” timp de un
număr (în minute) stabilit de utilizator sau prestabilit de către firewall)
Apariţia unor semnale audio sau vizuale cu referire la atac.
Se mai găseşte şi o Listă de Excludere pe baza careia se poate adăuga o anumita adresă
IP,domeniu si porturi definite de utilizator care sa fie excluse de filtrare în acest mod
permitându-se accesul nerestrictionat la acele resurse.
Host Protection (Protectia gazdei) – Unele aplicatii pot fi identificate ca făcând parte din
programe legitime si pot sa-si desfăsoare activitatea din partea acesteia. Spre exemplu unii
troieni pot fi injectati într-un computer ca făcând parte dintr-un modul al unei aplicaţii
legitime (ex – un navigator) şi în acest mod câstigând privilegiile necesare persoanei care a
creat acest troian.
Acest modul încearcă să asigure o cât mai bună protectie împotriva acestor genuri de atacuri.

Este structurat pe 3 nivele:

Maximum (Protectie maximă) – Controlul de tip Anti – Leak monitorizează toate activitătile
sistemului.
toate cererile de accesare a retelei din partea unor componente noi sau modificate de la ultima
accesare sunt monitorizate.
lansarea executabilelor noi sau a celor modificate este monitorizată.
Advanced (Protectie avasantă) – vezi toate opţiunile de mai sus
Optimal (Protectie optimă) – marea majoritate a aplicaţiilor periculoase sunt monitorizate.
cererile executabilelor care s-au modificat de la ultima verificare, la retea sunt monitorizate.
Low (Protectie scazută) – Controlul Anti-Leak este dezactivat.
cererile executabilelor care s-au modificat de la ultima verificare, la retea sunt monitorizate.

Obs: Toate aceste modificări ale executabilelor si alte operatiuni care se aplica anumitor
componente ale diferitelor aplicatii sunt intr-o continua modificare datorită interactiunii
unor module ale acestora cu sistemul de operare.
Aceste “schimbări” sunt monitorizate de o asa numita “Component Control” (prezenta la
majoritatea firewall-urilor personale) ea fiind resposabilă de detectarea acestor schimbări.
Datorită acestor modificări continue a unor programe recomand dezactivarea acestei
presetări din simplul motiv de a scapă de o “bombardare” aproape constantă cu mesaje de
avertizare.

Apasăm Customize…
Trecem peste prezentarea modului anti-spyware cu mentiunea că daca nu avem cunostinte
minime despre termenul de spyware este bine sa lăsăm active opţiunile “by default”.
Modulul “Mail Scanner” - (filtrează e-mail-urile primite si trimise au ajutorul unor reguli
prestabilite sau stabilite de către utilizator prin intermediul unui filtru de atasamente e –
mail).
Web Control (Controlul în timpul navigării pe Web) – Ne lasă să creeăm reguli specifice
privind accesul la anumite site – uri sau/si mesaje e – mail.
Practic filtrul acestui modul blochează continut activ care este considerat malitios. (scripturi,
reclame (ads), elemente active potential periculoase s.a)
Logging Level (aici se stochează toate informatiile cu privire la activitătile inregistrate de
către modulele programului asupra activitatii sistemului)
Astfel aşa numitele log’uri sunt clasificate şi ele functie de fiecare categorie a programului
prezentate mai sus.
In acest mod am încercat să prezint în linii mari cum să configurăm “Outpost Firewall Pro
2010”
Sigur că erau mult mai multe de prezentat însă era pur si simplu prea mult … 
O prezentare foarte complexă a tuturor setărilor şi opţiunilor de configurare poate fi gasită pe
site-ul oficial.
 Bibliografie

1. http://www.microsoft.com/romania/securitate/protejare/despre_firewall.mspx
2. http://www.dcd.uaic.ro/default.php?pgid=82&t=site
3. http://www.firewallguide.com/
4. http://www.agnitum.com/
5. http://computer.howstuffworks.com/firewall.htm
6. http://www.firewall.cx/
7. http://searchsecurity.techtarget.com/sDefinition/0,,sid14_gci212125,00.html
8. http://compnetworking.about.com/od/firewalls/Firewalls_and_Firewall_Technology.h
tm
9. http://en.wikipedia.org/wiki/Firewall_%28computing%29
10. http://www.giac.org/resources/whitepaper/network/12.php
11. http://publications.nr.no/FirewallTechnologies.pdf
12. http://www.itsec.gov.cn/docs/20090507145737126918.pdf
13. http://www.vicomsoft.com/knowledge/reference/firewalls1.html
14. http://www.makeuseof.com/tag/technology-explained-what-is-the-definition-of-a-
firewall/
15. http://ptgmedia.pearsoncmg.com/images/9781587053290/excerpts/1587053292sc.pdf

16. http://www.auditmypc.com