MINISTERUL EDUCAȚIEI, CULTURII ȘI CERCETĂRII

AL REPUBLICII MOLDOVA
Universitatea Tehnică a Moldovei
Facultatea Calculatoare, Informatică și Microelectronică
Departamentul Ingineria Software și Automatică

Raport
pentru lucrarea de laborator Nr. 4

la cursul de “Antivirus și Firewall”

Efectuat: Studentul gr. SI-191

Verificat: Răducanu Octavian

Chișinău – 2021

1
Tema: Antivirus și Firewall
1. Principiul de lucru la Antivirus, de analizat tipurile de scanări
(Comportamentală, Euristică și Bazată pe semnături) și configurarea lor.
2. Cunoașterea structurii antivirus și componentelor (HIPS, Self Defense,
Advanced Memory Scanner, Exploit Blocker, Ransomware Shield, Deep
Behavioral Inspection, Anti-Phishing, Web Cam Guard, etc.)
3. Cunoașterea diferențelor dintre IDS și IPS, tipuri de firewall.
4. Configurarea regulilor în cadrul unui Firewall, Certificatele Digitale, tehnici
împotriva atacurilor de rețea (DoS, Flooding, Spoofing, etc.)

Un antivirus este un program care scanează, previne, detectează și șterge

aplicații posibil malițioase de pe un calculator. Odată instalați, antivirușii rulează
non-stop pe fundal pentru a preveni în timp real calculatorul de programe
malițioase.

Antivirușii utilizează următoarele principii de lucru în protecția calculatorului:

a) Comportamental – Acest principiu se bazează pe evaluarea acțiunilor

intenționate ale programului înainte ca acesta sa poată executa efectiv acest
comportament. Încercările de a efectua acțiuni clar anormale sau neautorizate ar
indica faptul ca obiectul este rău intenționat sau cel puțin suspect. Un exemplu ar fi
utilizarea unor funcții definite pentru utilizare doar de către sistemul de operare.
Alt exemplu ar fi orice încercare de a descoperi un mediu Sand box, dezactivarea
controalelor de securitate, instalarea rotiturilor și înregistrarea pentru pornire
automată.

b) Analiza euristică – este o metodă de detectare a virușilor prin examinarea

codului pentru proprietăți suspecte. Analiza euristică poate folosi o serie de tehnici
diferite:

1. O metodă euristică, cunoscută sub numele de analiză euristică statică,

implică decompilarea unui program suspect și examinarea codului sursă al
acestuia. Acest cod este apoi comparat cu virușii care sunt deja cunoscuți și se află
în baza de date euristică. Dacă un anumit procent din codul sursă se potrivește cu
ceva din baza de date euristică, codul este semnalat ca o posibilă amenințare.

2. O altă metodă este cunoscută sub numele de euristică dinamică. Când

oamenii de știință doresc să analizeze ceva suspect fără a pune în pericol oamenii,

2
ei conțin substanța într-un mediu controlat, cum ar fi un laborator sigur și
efectuează teste. Procesul este similar pentru analiza euristică - dar într-o lume
virtuală. Acesta izolează programul suspect sau o bucată de cod în interiorul unei
mașini virtuale specializate - sau Sand box - și oferă programului antivirus șansa
de a testa codul și de a simula ce s-ar întâmpla dacă fișierul suspect ar fi lăsat să
ruleze. Acesta examinează fiecare comandă pe măsură ce este activată și caută
orice comportament suspect, cum ar fi auto-replicarea, suprascrierea fișierelor și
alte acțiuni comune virușilor.

c) Bazată pe semnături – Produsele antivirus utilizează detectarea bazată pe

semnături împreună cu o bază de date. Când scanează un computer, acesta va căuta
amprente care se potrivesc cu cele ale malware-ului cunoscut. Aceste urme de
programe malware sunt stocate într-o bază de date. Produsele antivirus caută, în
esență, urmele unui malware cunoscut. Dacă descoperă una dintre aceste amprente,
o vor recunoaște ca malware, caz în care o vor șterge sau o vor pune în carantină.

Structura și componentele antivirusului.

HIPS – sau componentele Itrusion Prevention System este un sistem sau un
program utilizat pentru a proteja sistemele informatice critice care conțin date
esențiale împotriva virușilor și a altor programe malware de pe Internet. Începând
de la nivelul rețelei până la nivelul aplicației, HIPS protejează împotriva atacurilor
rău intenționate cunoscute și necunoscute.

Un HIPS utilizează o bază de date cu obiecte de sistem monitorizate pentru a

identifica intruziunile prin analizarea apelurilor de sistem, jurnalelor de aplicații și
modificărilor sistemului de fișiere (binare, fișiere de parole, baze de date de
capacități și liste de control al accesului). Sistemul verifică, de asemenea, dacă
regiunile adecvate ale memoriei nu au fost modificate. În general, nu se folosește
modele de virus pentru a detecta software-ul rău intenționat, ci mai degrabă
păstrează o listă de programe de încredere. Un program care își depășește
permisiunile este blocat de la efectuarea de acțiuni neaprobate.

Self defence – sistem ce împiedică alte aplicații să elimine sau să blocheze

aplicația antivirus. De obicei este activat în mod implicit.

Advanced Memory Scanner funcționează în combinație cu Exploit

Blocker pentru a consolida protecția împotriva malware-ului care a fost conceput
3
pentru a se sustrage detectării produselor antimalware prin utilizarea ofuscării și /
sau criptării. În cazurile în care emularea obișnuită sau euristica ar putea să nu
detecteze o amenințare, Advanced Memory Scanner este capabil să identifice
comportamentul suspect și să scaneze amenințările atunci când acestea se
dezvăluie în memoria sistemului. Această soluție este eficientă chiar și împotriva
malware-ului puternic ofuscat.

Spre deosebire de Exploit Blocker, Advanced Memory Scanner este o

metodă post-execuție, ceea ce înseamnă că există riscul ca unele activități
dăunătoare să fi putut fi efectuate înainte de a detecta o amenințare; cu toate
acestea, în cazul în care alte tehnici de detectare au eșuat, acesta oferă un strat
suplimentar de securitate.

Exploit Blocker – Exploit Blocker este conceput pentru a fortifica tipurile de

aplicații utilizate în mod obișnuit, cum ar fi browserele web, cititoarele PDF,
clienții de e-mail și componentele MS Office. Funcționează prin monitorizarea
comportamentului proceselor pentru activități suspecte care ar putea indica un
exploit.

Cunoașterea diferențelor dintre IDS și IPS, tipuri de firewall.

IDS - Intrusion Detection Systems, IPS - Intrusion Prevention Systems

Sisteme de detectare a intruziunilor (IDS) analizează și monitorizează

traficul de rețea pentru semne care indică faptul că atacatorii folosesc o amenințare
cibernetică cunoscută pentru a se infiltra sau a fura date din rețea. Sistemele IDS
compară activitatea curentă a rețelei cu o bază de date de amenințări cunoscută
pentru a detecta mai multe tipuri de comportamente, cum ar fi încălcările politicii
de securitate, malware și scanere de porturi.

Sisteme de prevenire a intruziunilor (IPS): trăiesc în aceeași zonă a rețelei ca

un firewall, între lumea exterioară și rețeaua internă. IPS refuză în mod pro activ
traficul de rețea pe baza unui profil de securitate dacă acel pachet reprezintă o
amenințare de securitate cunoscută.

4
 Firewall-ul sau paravanul de protecție este un dispozitiv sau o serie de
dispozitive cu rolul de filtra traficul intre diferite domenii de securitate pentru a
tine la distanta traficul de internet cu intenții rele.

Acesta rulează pe un dispozitiv electronic (calculator, server, router) si poate

permite sau refuza traficul dintre calculatoarele conectate intre ele aplicând un set
de reguli transmisiilor de date prin verificarea si separarea pachetelor de date.

Primele dispozitive de filtrare a traficului de rețea (Firewall-uri) au apărut la

sfârșitul anilor 1980, când Internetul era nou și nu era folosit la nivel global.
Aceste dispozitive erau routere care inspectează traficul pe baza datelor conținute
în headers protocoalelor de nivel de rețea. Ulterior, odată cu dezvoltarea
tehnologiilor de rețea, aceste dispozitive au reușit să filtreze traficul folosind datele
protocoalelor unui strat de transport mai înalt. Routerele pot fi considerate prima
implementare hardware și software a unui firewall.

Firewall-ul protejează calculatorul împotriva accesărilor neautorizate.

Aceste accesări pot fi realizate prin intermediul porturilor de date.

Un firewall cooperează cu un program de rutare, care verifica fiecare pachet

de date din rețea ce va trece prin serverul gateway, pentru a hotărî daca va fi trimis
mai departe sau nu.

Prin folosirea unui firewall avem posibilitatea de a seta excepții sau de a

bloca traficul de date al anumitor aplicații in funcție de caz.

Tipuri de Firewall

Firewall-uri sunt împărțite în diferite tipuri, în funcție de caracteristicile și

funcțiile lor. Poate fi:

 comutatoare;

 filtre de nivel de rețea cu analiza adreselor IP ale expeditorului și

destinatarului;

 gateway-uri pentru monitorizarea stării canalului la nivel de sesiune;

 gateway strat de aplicație (server proxy);

 firewall cu filtrare dinamică a pachetelor de intrare și de ieșire.

5
 Paravanul de protecție poate fi instalat atât pe un computer personal (dispozitiv)
pe un sistem de operare pentru a proteja această mașină în sine, cât și pe o rețea
pentru a acționa ca o poartă de acces pentru această rețea. Pe această bază,
firewall-ul poate fi numit bazat pe gazdă sau rețea.

Un firewall de rețea bazat pe un PC standard se numește bazat pe PC. Dacă

funcționalitatea Firewall este dezvoltată la nivelul hardware al unui sistem separat,
atunci este un Firewall accelerat de ASIC.

Packet-Filtering Firewall

Majoritatea routerelor și comutatoarelor utilizează tehnologia de filtrare a

pachetelor. Filtrele de pachete funcționează la nivel de rețea și permit sau refuză
trecerea traficului pe baza analizei informațiilor din antetul pachetului. Aceste
informații includ tipul de protocol, adresa IP a expeditorului și a receptorului și
numerele de port ale expeditorului și receptorului. În unele cazuri, sunt analizați și
alți parametri ai antetului pachetului, de exemplu, pentru a verifica dacă pachetul
face parte dintr-o conexiune nouă sau deja stabilită. Când un pachet ajunge pe
orice interfață a routerului, în primul rând, se determină dacă pachetul poate fi
livrat la destinație și apoi este verificat în conformitate cu un set specificat de
reguli - așa-numita listă de control al accesului (ACL).

Regulile de filtrare sunt definite pe baza unuia dintre cele două principii care
se exclud reciproc:

1. „Este permis tot ce nu este interzis în mod explicit”

Această abordare facilitează administrarea firewall-ului, deoarece nu

necesită o configurație suplimentară. Cu toate acestea, în cazul configurării
greșite, atunci când acțiunile potențiale neautorizate nu sunt luate în
considerare, eficacitatea protecției tinde la zero.

2. „Orice lucru care nu este permis în mod explicit este interzis.”

Această abordare oferă cel mai înalt grad de eficiență. Un dezavantaj

relativ în acest caz este complicația administrării, deoarece este necesară
ajustarea preliminară a bazei de regulă.

6
 Din punct de vedere al securității, este mai preferabilă a doua opțiune, în
care este permisă trecerea pachetelor de un anumit tip și orice altceva este refuzat.
Pe de o parte, această abordare simplifică configurația, deoarece numărul de
pachete interzise este de obicei mult mai mare decât cele permise. În plus, atunci
când apar noi servicii, nu este nevoie să adăugați noi reguli de interzicere - accesul
la acestea va fi blocat automat. Cu toate acestea, pentru fiecare tip de interacțiune
permisă, trebuie scrise una sau mai multe reguli.

Beneficii:

 Prevalența filtrelor de pachete se datorează faptului că această tehnologie

este simplă și oferă viteză mare.

 În mod implicit, filtrul de pachete este încorporat în marea majoritate a

routerelor, switch-urilor, concentratoarelor VPN. În acest sens, nu este
nevoie de costuri financiare suplimentare pentru software.

 Examinarea datelor din antetele pachetelor vă permite să creați o schemă

flexibilă de control al accesului.

 Când creați reguli de filtrare, este posibil să utilizați, pe lângă câmpurile

antet, și informații externe, de exemplu, data și ora trecerii pachetului de
rețea.

Dezavantaje:

 Filtrele de pachete funcționează numai cu anteturi și pot sări peste câmpurile

care conțin date care sunt contrare politicii de securitate, de exemplu, un
câmp cu o comandă pentru a accesa un fișier de parolă prin FTP sau HTTP,
care este potențial periculos. De asemenea, un filtru de pachete poate trece
un pachet de la un nod cu care nu sunt deschise sesiuni active în prezent.

 Filtrele de pachete nu analizează traficul la nivel de aplicație, ceea ce

deschide posibilitatea pentru multe tipuri de atacuri.

 Configurația este destul de complicată și necesită un administrator înalt

calificat și o înțelegere profundă a principiilor protocoalelor TCP / IP.

7
Application Firewall

Acest tip de firewall include software de aplicații și acționează ca o legătură

intermediară între client și server. Firewall-urile aplicației asigură protecție la
nivelul aplicației prin utilizarea informațiilor specifice aplicației pentru a bloca
solicitările rău intenționate. Tehnologia de filtrare la nivel de aplicație elimină
comunicarea directă între două noduri. Paravanul de protecție acționează ca
intermediar între cele două noduri, interceptează toate cererile și, după verificarea
validității cererii, stabilește o conexiune. Paravanul de protecție la nivel de
aplicație oferă posibilitatea de autentificare la nivel de utilizator, înregistrarea
traficului și evenimentele din rețea și vă permite, de asemenea, să ascundeți
adresele IP ale gazdelor din rețeaua locală.

Beneficii:

 Firewall-urile de nivel de aplicație oferă un nivel mai ridicat de protecție în

comparație cu filtrele de pachete, deoarece au mai multe oportunități de a
analiza întregul pachet de rețea și nu doar antetul TCP al pachetului.

 Firewall-urile aplicațiilor generează jurnale mai detaliate.

Dezavantaje:

 Această tehnologie este mai lentă, deoarece o încărcare semnificativă a

procesorului pentru implementarea serviciilor afectează negativ viteza de
lucru. Analiza aprofundată a câmpurilor de date reduce semnificativ
performanța firewall-ului, crește timpul de răspuns și debitul de rețea.

În funcție de domeniul de aplicare, WAF (firewall-urile pentru aplicații web) se

disting între firewall-urile la nivel de aplicație, concepute pentru a proteja
aplicațiile web, DAF (Firewalls Access Database), pentru a proteja bazele de date
etc.

8
Setarea Windows Firewall

Figura 1. Pagina principala Firewall

Pentru a seta o regula de Firewall, trebuie sa alegeți dintre opțiunea Inbound Rules
(Reguli de intrare) sau Outbound Rules (Reguli de ieșire).

Pentru exemplu va fi setata o regula de Intrare (Inbound Rules / Правила для

входящих соединений). Aceasta regula va relata la toate conecțiuni de intrare.

9
 Figura 2. Fereastra de setarea regurilor Firewall

In acesta fereastra a fost selectata opțiunea Port, deci regula va lucra cu toate
connecțiuni de intrare la port selectat.

Figura 3. Setarea port

Selectam protocolul dorit, in acest caz a fost selectat protocol TCP (Transmission
Control Protocol). Putem bloca toate porturi, sau numai cel introdus. In exemplu
este blocat port 22, care frecvent este utilizat pentru SSH.

10
 Figura 4. Setarea acțiunii

După setarea filtrelor trebuie sa fie indicata acțiunea: permiterea connecțiunii,

permiterea connecțiunii sigure sau blocarea connecțiunii.

Figura 5. Selectarea profilurilor

Regulile Firewall poate fi aplicate pentru toate profile sau pentru un profil. In cazul
dat sunt selectate toate profilurile, deci connecțiunea va fi permisa pentru toate
profilurile Firewall.

După ce trebuie sa fie setata numea si descrierea regulii.

11
Concluzii
Pe parcursul lucrării de laborator au fost obținute cunoștințele in diferite domenii
ale securității informaționale (virus si antivirus). Au fost analizate principii de
lucru la antivirus, analiza la tipurile de scanări. Cunoștințele in structura
antivirusului HIPS, Self Defense si etc. Au fost studiate tipurile de Firewall si
metodele de setarea lor.

Sursele:
Partea Firewall: Proiect de An la Practica in Producție, Comanac Artiom

12