5.

IBARIERELE – FIREWALLS
 5.1. Esenţa i-barierelor
 În 1988, era descris un sistem de filtrare a pachetelor,
care opera până la al treilea nivel al modelului OSI (i-
bariere de primă generaţie).
 În anii 1989-1990 sunt lansate i-bariere de generaţia a
doua – i-bariere ce operează până la Nivelul 4 al
modelului OSI, ţinând cont de conexiunile dintre staţii.
 Apoi, în 1994 sunt lansate i-bariere de generaţia a
treia – i-bariere ce operează până la Nivelul 7 al
modelului OSI şi care ţin cont de aplicaţiile sursă şi
destinaţie ale fluxurilor de pachete.
 În sfârşit, în 2012 sunt lansate i-bariere de aşa numita
următoarea generaţie (next-generation firewall –
NGFW), care realizează inspectarea mai detaliată a
aspectelor ce ţin de nivelul aplicaţie al modelului OSI
(sisteme de prevenire a intruziunilor, i-bariere pentru
aplicaţii Web ş.a.).
 5.1.5. iBariere RouterOS
Astfel, fiecare regulă constă din două părți: (1) un
set de criterii (IF), cărora trebuie să corespundă pachetul;
(2) acțiunea (THEN), care definește cum de procedat cu
pachetul. De aceea se mai spune că regulile de filtrare
sunt de tipul IF-Then (Dacă-Atunci), iar filtrele i-
barierelor operează conform principiului IF-Then.
 reguli predefinite,

 reguli create de utilizator,

 ordinea este importantă.

 Fig. 5.1. Bara de meniuri a ferestrei Firewall.

Notă: La definirea regulilor i-barierelor, trebuie

de ţinut cont de faptul că mai întâi se aplică regulile
NAT şi doar apoi celelalte.
5.2.1. Lanţuri de transfer date
 5.2.2. Reguli de filtrare: caracteristici,
procesare
 accept;
 add-dst-to-address-list;

 add-src-to-address-list;

 drop;

 jump;

 log;

 passthrough;

 reject;

 return;

 tarpit;
 5.2.3. Protecţia ruterului la intrare –
reguli de filtrare input
 accept pentru administrator,
 drop pentru ceilalți.
Fig. 5.6. Afișarea listei regulilor de filtrare din linia de comandă Terminal.
 Sarcina practică 5.1. Definirea de reguli input.

Notă. La necesitate, pentru o mai mare securitate, se

poate dezactiva accesul MAC la ruter, folosind submeniul
MAC Server (/Tools/MAC Server). Doar că într-un
asemenea caz, dacă se întâmplă că nu este posibilă
conectarea la ruter prin IP, ruterul va trebui resetat.
5.2.4. Protecţia clienţilor de tranzit
 Sarcina practică 5.2. Definirea de reguli
forward.
1. Interzicerea traficului WWW.
2. De încercat www.mikrotik.com.
3. De încercat posibilitatea accesării paginii Web a
ruterului, la care este conectat calculatorul
(http://192.168.x.254). Accesul ar trebui să reușească.
De ce?
 Sarcina practică 5.2b. Blocarea traficului
p2p.
1. De adăugat o regulă, care ar bloca traficul p2p.
2. De verificat apariția noii reguli în fila Filter Rules (în
figura 5.7 – regula 2).
3. De eliminat cele două reguli forward nou create.
 5.3. Monitorizarea conexiunilor
5.3.1. Reguli log de înregistrare
 /System/Logging.
 Meniul Log.

 pentru monitorizarea activității utilizatorilor,

 a funcționării anumitor servicii. De exemplu, folosind așa

reguli, se poate ține evidența paginilor Web și a orei de
accesare a lor pentru fiecare utilizator.
 pentru identificarea cauzelor apariției unor situații de
căderi în rețea.
 Exemplul 5.1. Adăugarea unei reguli log ce ar
fixa aplicarea comenzilor ping din partea stațiilor către
ruter.
 Sarcina practică 5.3. Definirea de
reguli log:
1. De adăugat o regulă log, care ar ține evidența
trimiterii de comenzi ping către serverul
www.mikrotik.com.
2. De verificat apariția regulii log în Filter Rules.
3. De lansat, din linia de comandă Terminal, comanda
ping către serverul www.mikrotik.com.
4. De vizualizat înregistrările din meniul /Log.
 5.3.2. Lanțuri create de utilizator
 se folosesc acțiunile jump și, respectiv, return.
 5.3.3. Reguli folosind starea
conexiunilor
 noi (new),
 stabilite (established),

 aferente (related),

 nevalide (invalid).
 Sarcina practică 5.4. Definirea de reguli
folosind starea conexiunilor:
1. De adăugat o regulă drop pentru invalid.

2. De adăugat reguli accept pentru established și

related.
3. De lăsat ca ruterul să proceseze doar pachete new.
 5.4. Liste de adrese
 Facilitatea Liste de adrese (Address lists) permite
crearea de către utilizator a unor grupuri de adrese cu
reguli de i-barieră comune.
 Astfel, folosind o singură regulă pot fi filtrate, de
exemplu, toate adresele unei liste.
 În listele de adrese pot fi adăugate adrese sursă şi
adrese destinaţie în mod automat şi, de asemenea, la
necesitate, acestea pot fi blocate.
 Pentru adăugarea automată se selectează add src to
address list (adrese surse) sau add dst to address list
(adrese destinaţie)
Fig. 5.11. Crearea de liste de adrese.
 a)

b)

Fig. 5.13. Adăugarea regulii de acceptare pentru lista Admis.

 Listele de adrese ale i-barierei pot fi vizualizate,
de asemenea, aplicând, din linia de comandă Terminal,
comanda: ip firewall address-list print (fig. 5.14)

Fig. 5.14. Afişarea listelor de adrese din linia de comandă Terminal.

 Sarcina practică 5.5. Crearea de liste de
adrese şi reguli cu folosirea lor:
1. De creat lista de adrese Admis Internet cu adresele
IP ale trei calculatoare din subreţeaua locală, cărora
li se va permite accesul la Internet.
2. De adăugat o regulă drop pentru toate celelalte
adrese IP.
3. De verificat posibilitatea accesului de la calculator la
Internet. Accesul ar trebui să reuşească.
4. De înlocuit adresa IP a calculatorului cu una ce nu
este în lista Admis Internet. De verificat posibilitatea
accesului de la calculator la Internet. Accesul ar
trebui să nu reuşească.
5. De revenit la adresa IP iniţială a calculatorului şi de
verificat din nou posibilitatea accesului de la
calculator la Internet.
Fig. 5.15. Folosirea listei de adrese Admis Internet.
 5.5. Sistemul de translatare a adreselor
NAT
1) la înlocuirea adresei private IP sursă şi a
portului sursă, pentru staţiile-surse de pachete ale
reţelei private;
2) la înlocuirea adresei private IP destinaţie şi a
portului destinaţie, pentru staţiile-destinaţie de
pachete ale reţelei private, de exemplu servere Web.
 Acţiunile NAT sunt:
 dst-nat;
 masquerade;

 netmap;

 redirect;

 src-nat.
5.5.2. NAT sursă
 Sarcina practică 5.6. Definirea regulii
masquerade pentru un port anume:
5.5.3. NAT destinaţie
 Exemplul 5.2. Definirea unei
reguli dst-nat.

a) b)
Fig. 5.20. Definirea unei reguli dst-nat.
O formă specifică de NAT
destinaţie este redirect.
 Exemplul 5.3. Definirea de reguli
redirect.
Fie că este necesară folosirea de către staţiile locale a
înregistrărilor cache ale DNS de la ruter (se consideră
că pe ruter funcţionează serverul DNS). DNS foloseşte
portul 53 (vezi anexa 3), atât cu protocolul TCP, cât şi
cu cel UDP.
5.5.4. Limitări NAT
 5.6. Alte informaţii privind
folosirea i-barierelor
1. De a adăuga comentarii la reguli.
2. De a folosi informația de stare Connection
Tracking a tuturor conexiunilor active.
3. De a folosi funcţia Torch de monitorizare a
traficului de date printr-o interfaţă anume.
4. De a consulta exemplele de configurare a i-
barierelor pentru protecţia ruterului şi a staţiilor
locale descrise la adresa wiki.mikrotik.com/wiki/
Manual:IP/Firewall/Filter.
Fig. 5.24. Afişarea şi informaţii
Connection Tracking.
Fig. 5.25. Monitorizarea traficului de date folosind Torch.