5.

IBARIERELE – FIREWALLS
 5.1. Esenţa i-barierelor
 De acces nereglementat la i-resurse cu pierderi, uneori,
considerabile.
 bariera informatică (firewall).

 serveşte pentru protejarea reţelei de la accesul

neautorizat la resurse,
 de la tranzitarea reţelei de trafic nedorit sau inutil.

 monitorizează traficul datelor de intrare/ieşire în/din

reţea,
 permite sau blochează tranzitarea fluxurilor de pachete
respective,
 o i-barieră poate fi setată şi în cadrul unui calculator
aparte.
 Generații
 În 1988, până la al treilea nivel al modelului OSI
(primă generaţie).
 În anii 1989-1990, a doua – i-bariere ce operează până
la Nivelul 4 al modelului OSI.
 În 1994, de generaţia a treia – i-bariere ce operează
până la Nivelul 7, (aplicaţiile sursă şi destinaţie).
 În sfârşit, în 2012 sunt lansate i-bariere de aşa numita
următoarea generaţie (next-generation firewall –
NGFW).
 Tipuri de i-bariere

 i-bariere de nivel reţea, denumite şi filtre de pachete;

 i-bariere de nivel aplicaţie;

 i-bariere proxy.
 5.1.2. iBarierele de nivel reţea
 stare-completă (stateful),
 fără-stare (stateless).

iBarierele stare-completă
 Țin de conexiunile cunoscute.
 La stabilirea unei conexiuni noi, se verifică
corespunderea acesteia politicii de securitate definite.
 Ulterior, toate pachetele sesiunii curente, ce ţin de
această conexiune, sunt acceptate.
 iBarierele fără-stare
 tratează fiecare pachet aparte de alte pachete (izolat),
fără a ţine cont de conexiuni.
 Sunt vulnerabile la atacuri de substituire frauduloasă
(spoofing) a i-programelor (programelor informatice).
 Totodată, i-barierele fără-stare necesită mai puţină
memorie şi pot fi mai rapide.
 Filtrarea traficului de pachete
 adresa IP şi portul sursă,
 adresa IP şi portul destinaţie,

 serviciul oferit (de exemplu WWW, FTP),

 valoarea TTL (time to live – timpul de viaţă) ş.a.

 5.1.4. iBarierele proxy
 Este un server cu funcţii de intermediar al cererilor
aplicaţiilor client în căutare de resurse de la alte
servere.
 Serverul proxy analizează cererea, în scopul deservirii
acesteia.
 Majoritatea serverelor proxy facilitează accesul la
informaţiile Web din Internet.
 5.1.5. iBariere RouterOS
 să permită trecerea fluxurilor de date acceptabile;
 blocheze trecerea celor neacceptabile.

 i-bariera folosește anumite filtre.

 Fiecare regulă prevede anumite acţiuni în baza unor

criterii, cărora corespunde sau nu pachetul examinat.
 Astfel, fiecare regulă constă din două părți: (1) un set de
criterii (IF), cărora trebuie să corespundă pachetul; (2)
acțiunea (THEN).
 RouterOS include:
 inspecția stare-completă a pachetului (stateful pachet
inspection);
 detectarea protocoalelor de Nivel 7;

 filtrarea protocoalelor egal-la-egal;

 clasificarea traficului după:

 Clasificarea traficului în RouterOS
 adresa MAC a sursei;
 adresele IP (de reţea sau listă);

 tipurile de adrese (de difuzare, locale, multiadresat,

monoadresat);
 porturi;

 versiunea protocolului IP;

 opţiunile protocolului (tipul ICMP, fanioanele TCP,

opţiunile IP);
 interfaţa de la care pachetul a sosit;

 conţinutul pachetului;

 rata de sosire a pachetelor şi numerele de secvenţă;

 dimensiunea pachetului;

 timpul de sosire a pachetului ş.a.

 Configurarea i-barierelor (/IP/Firewall)
 Filter Rules – definirea regulilor de filtrare;
 NAT – definirea regulilor NAT;

 Mangle – definirea regulilor Mangle;

 Service ports – definirea parametrilor porturilor

serviciilor;
 Connections – caracteristicile conexiunilor active la
ruter;
 Address Lists – crearea de grupuri de adrese IP cu
reguli comune;
 Layer7 Protocols – definirea protocoalelor de nivel
Aplicaţie.
5.2.1. Lanţuri de transfer date
 5.2.2. Reguli de filtrare
 accept;
 add-dst-to-address-list;

 add-src-to-address-list;

 jump;

 log;

 passthrough;

 reject;

 return;

 tarpit; etc.
 5.2.3. Protecţia ruterului la intrare
 în scopul securizării ruterului înseşi.

 adresă destinaţie (dst), adresa IP a ruterului.

Exemplu
1. Dăm voie să se conecteze doar administratorul.
2. Celelalte conexiuni le refuzăm.
 5.3.1. Reguli log de înregistrare
 Regulile log pot fi folosite pentru monitorizarea
activității utilizatorilor;
 A funcționării anumitor servicii.

 Asemenea informații pot fi utile, inclusiv, pentru

identificarea cauzelor apariției unor situații de căderi în
rețea.
 Evenimente ce pot fi monotorizate
 Înregistrările se efectuează pe tematici, inclusiv: info
(implicită), critical, firewall, packet, hotspot, l2tp,
ppp, route, account, pppoe, dhcp, pptp, bgp, error,
ipsec, event, isdn, ospf, telephony, wireless, e-mail,
gsm, ntp, rip ş.a.
 Regulile log pot fi definite în fereastra Logging ce se
va afişa la acţionarea /System/Logging.
 5.3.2. Lanțuri create de utilizator
 pot fi referitoare la i-viruși,
 protocoalele TCP și UDP ș.a,

 poate fi simplificată structura i-barierei și redusă

încărcarea ruterului.
 se folosesc acțiunile jump și, respectiv, return.
 5.3.3. Reguli folosind starea conexiunilor
 noi (new),

 stabilite (established),

 aferente (related),

 nevalide (invalid).
 5.4. Liste de adrese
 crearea de către utilizator a unor grupuri de adrese cu
reguli de i-barieră comune.
 o singură regulă pot fi filtrate, de exemplu, toate
adresele unei liste.
 În listele de adrese pot fi adăugate adrese sursă şi
adrese destinaţie în mod automat.
 facilitează administrarea şi creează condiţii pentru
creşterea vitezei de lucru a ruterului.
 Tipuri NAT.
 traslatarea adreselor IP „una-la-una”;
 cea mai largă utilizare a cunoscut NAT „una-la-multe”,;

 NAT „câteva-la-multe”,
 Exemple NAT în RouterOS
 dst-nat;
 masquerade;

 netmap;

 redirect;

 src-nat.
5.5.2. NAT sursă
5.5.3. NAT destinaţie
NAT redirect
 5.6. Alte informaţii privind
folosirea i-barierelor
1. De a adăuga comentarii la reguli.
2. De a folosi informația de stare Connection Tracking.
3. De a folosi funcţia Torch de monitorizare a traficului
(/Tools/Torch).
4. De a consulta exemplele de configurare a i-barierelor
pentru protecţia ruterului (wiki.mikrotik.com/wiki/
Manual:IP/Firewall/Filter).