FIREWALL - 1

n reelele de calculatoare, un firewall, denumit i paravan de protecie (sau parafoc, n

englez firewall) este un dispozitiv sau o serie de dispozitive configurate n aa fel nct s filtreze,
s cripteze sau s intermedieze traficul ntre diferite domenii de securitate pe baza unor reguli
predefinite.

GENERALITI
Un paravan de protecie poate ine la distan traficul Internet cu intenii rele, de exemplu
hackerii, viermii i anumite tipuri de virui, nainte ca acetia s pun probleme sistemului. n
plus, un paravan de protecie poate mpiedica participarea computerului la un atac mpotriva
altora, fr cunotina sau voina utilizatorului. Utilizarea unui paravan de protecie este
important n special dac reeaua sau computerul de protejat sunt conectate n permanen la
Internet.
Un paravan de protecie este o aplicaie sau un echipament software care monitorizeaz i
filtreaz permanent transmisiile de date realizate ntre PC sau reeaua local i Internet, n scopul
implementrii unei "politici" (metode) de filtrare. Aceast politic poate nsemna:
protejarea resurselor reelei de restul utilizatorilor din alte reele similare, toate
interconectate printr-o reea de arie larg sau/i Internet. Posibilii atacatori sunt identificai,
atacurile lor asupra PC-ului sau reelei locale putnd fi oprite.
controlul resurselor la care au acces utilizatorii locali (din reeaua local).

FUNCIONARE
Un paravan de protecie coopereaz ndeaproape cu un program de rutare, care examineaz
fiecare pachet de date din reea (fie cea local sau cea exterioar) ce va trece prinserverul pasarel,
pentru a hotr dac va fi trimis mai departe spre destinaie sau nu. De asemenea, un paravan de
protecie include sau lucreaz mpreun cu un server proxy care face cereri de pachete n numele
staiilor de lucru ale utilizatorilor. n cele mai ntlnite cazuri aceste programe de protecie sunt
instalate pe calculatoare ce ndeplinesc numai aceast funcie i care sunt instalate n faa ruterelor.
Soluiile de protecie prin paravan se mpart n dou mari categorii:
soluiile profesionale hardware sau software dedicate proteciei ntregului trafic dintre
reeaua unei ntreprinderi sau instituii, ca de ex. dintre Universitatea "Alexandru Ioan Cuza"
din Iai i restul Internetului
paravanele de protecie personale dedicate monitorizrii traficului pe calculatorul personal.
Utiliznd o aplicaie din ce-a de a doua categorie se pot prentmpina atacurile venite din
interiorul reelei LAN, de ex. de la colegi curioi sau chiar ru-intenionai care utilizeaz metode
obinuite sau chiar naive de acces. Cnd calculatorul personal (de acas) dispune de o conexiune
la Internet, un paravan de protecie profesionist, personal, ofer un plus de siguran a
transmisiilor de date. Cum astzi majoritatea utilizatorilor trec de la conexiuni ncete (de ex. de tip
dial-up) la modaliti de conectare rapide (cablu, ISDN, ADSL sau telefon mobil), pericolul unor
atacuri reuite asupra sistemelor personale crete, deoarece mrirea vitezei de transmisie spre i
dinspre Internet mrete probabilitatea de strecurare a intruilor ru intenionai i nedorii.
Astfel, un paravan de protecie este folosit pentru dou scopuri:
pentru a ine n afara reelei pe utilizatorii ru intenionati (virui, viermi cybernetici,
hackeri, crackeri)
n acelai timp, pentru a deservi utilizatorii locali (colegi, angajai, clieni) n reea n mod
normal, conform autorizrilor respective.

POLITICA PARAVANELOR DE PROTECIE

nainte de a construi un paravan de protecie trebuie hotrt politica sa, pentru a ti exact
care va fi funcia sa i n ce fel se va implementa aceast funcie.
Politica paravanului de protecie se poate alege urmnd civa pai simpli:
se aleg nti serviciile care trebuie oferite de paravanul de protecie
 FIREWALL - 2

se desemneaz grupurile de utilizatori care vor fi protejai

se definete amnunit gradul de protecie de care are nevoie fiecare grup de utilizatori i
cum vor fi implementate proteciile necesare
se face cunoscut utilizatorilor c oricare alte forme de acces nu sunt permise
Politicile definite la un moment dat tind s se complice cu timpul, dar la nceput este bine ca
ele s fie simple i la obiect.

CE POATE I CE NU POATE S FAC UN PARAVAN DE PROTECIE

Un paravan de protecie poate s:
monitorizeze cile de ptrundere n reeaua privat, permind n felul acesta o
monitorizare mai bun a traficului i deci o detectare mai uoar a ncercrilor de infiltrare;
blocheze la un moment dat traficul spre i dinspre Internet;
selecteze accesul n spaiul privat pe baza informaiilor coninute n pachetele de date;
permit sau interzic accesul la reeaua public, de pe anumite staii de lucru specificate;
i, la fel de important, poate izola spaiul privat de cel public, realiznd interfaa ntre cele
dou.
Pe de alt parte, o aplicaie de protecie prin paravan nu poate:
interzice importul/exportul de informaii duntoare vehiculate ca urmare a aciunii
rutcioase a unor utilizatori aparinnd spaiului privat (ex: csua potal i ataamentele);
interzice scurgerea de informaii pe alte ci care ocolesc paravanul de protecie (acces prin
dial-up ce nu trece prin router);
apra reeaua privat de utilizatorii ce folosesc sisteme fizice mobile de introducere a
datelor n reea (dispozitiv USB, dischet, CD, etc.)
preveni manifestarea erorilor de proiectare ale aplicaiilor ce realizeaz diverse servicii,
precum i punctele slabe ce decurg din exploatarea acestor greeli.
De aceea, pentru o protecie maxim mpotriva pericolelor din Internet, pe lng un paravan
de protecie mai este nevoie i de alte componente de paz.

ALEGEREA UNUI PARAVAN DE PROTECIE

Un paravan de protecie de ncredere este acel paravan de protecie care se blocheaz pe sine
nsui (adic acceseaz reeaua INTERNET sau alte reele numai cu acordul utilizatorului). NU
POT FI CONSIDERATE DE NCREDERE programele paravan de protecie care se updateaz
singure fr a cere acordul utilizatorului sau execut alte sarcini n background fr ca utilizatorul
s fie informat despre acestea. O cauz major a infectrii cu programe malware sau spyware o
reprezint faptul c, foarte multe programe de tip paravan de protecie, sunt considerate din start
a fi de ncredere datorit denumirii generice paravan de protecie. Faptul c multe programe
paravan de protecie cu licen de tipul shareware sau freeware pot fi descrcate i de pe alte site-
uri dect de pe cele ale companiilor sau entitilor care i-au produs, face posibil modificarea
acestora de ctre persoane ru intenionate n sensul obinerii de informaii sau folosirea
calculatorului gazd n atacuri informatice. Site-ul de pe care descrcm un paravan de protecie,
trebuie s fie n general site-ul companiei productoare sau un site recunoscut pentru promovarea
de software, site unde este destul de greu de crezut c s-ar putea strecura aplicaii malware sau
spyware. Un paravan de protecie nu trebuie s bombardeze utilizatorul din secund n secund
cu diverse informaii despre aciunile diverselor programe instalate pe calculator. El trebuie s fie
un paznic tcut dar eficient. Sunt de preferat aplicaiile paravan de protecie adaptive (care nva
din mers ce aplicaii trebuiesc blocate i care nu).