Protecţie cu firewall

Un firewall este un grup de programe localizate pe serverul gateway al reţelei ce necesită

protecţie. Acest grup de programe vor proteja impreună resursele reţelei de restul
utilizatorilor din alte reţele similare - internetul, dar simultan vor controla ce resurse vor
accesa utilizatorii locali. Termenul implica de asemenea politica de securitate care este
folosită cu aceste programe.
De fapt, un firewall, lucrează în deaproape cu un program de routare, examinează fiecare
pachet de date din reţea (fie cea locală sau cea exterioară) ce va trece prin serverul
gateway pentru a determina daca va fi trimis mai departe spre destinaţie. Un firewall
include de asemenea sau lucrează împreună cu un server proxy care face cereri de
pachete în numele staţiilor de lucru ale utilizatorilor. În cele mai întâlnite cazuri aceste
programe de protecţie sunt instalate pe calculatoare ce îndeplinesc numai această funcţie
şi sunt instalate în faţa routerelor.
Înainte de a construi un firewall trebuie hotarâtă politica sa, pentru a şti care va fi funcţia
sa şi în ce fel vom face acest lucru.
Un firewall este folosit pentru doua scopuri:
pentru a păstra în afara reţelei utilizatorii rău intenţionaţi (viruşi, viermi cybernetici,
hackeri, crackeri)
pentru a păstra utilizatorii locali (angajaţii, clienţii) în reţea
Politica firewall-ului se poate alege urmând câţiva paşi simpli:
alege ce servicii va deservi firewall-ul
desemnează grupuri de utilizatori care vor fi protejaţi
defineşte ce fel de protecţie are nevoie fiecare grup de utilizatori
pentru serviciul fiecărui grup descrie cum acesta va fi protejat
scrie o declaraţie prin care oricare alte forme de access sunt o ilegalitate
Politica va deveni tot mai complicată cu timpul, dar deocamdată este bine să fie simplă şi
la obiect.
Pot fi combinaţii diferite de firewall-uri, depinde de mediul în care va fi aplicat.
Filtre pe bază de pachete (Packet Filtering)
operează la nivelul 3
este cunoscut ca firewall pe bază de porturi
fiecare pachet este comparat cu o listă de reguli (adresa sursa/destinatie, port
sursă/destinaţie, protocol)
sunt transparente pentru utilizator, aplicaţiile nu necesită modificări sau configurări
nu este greu de implementat dar este cel mai puţin sigur
se bazează pe o tehnologie de 20 de ani
exempu: liste de acces - ACL, router access control lists
Tot traficul din internet se face sub formă de pachete. Un pachet este o cantitate de date
de marime limitată, marime destul de redusă pentru o bună manevrare. Când o cantitate
mare de date trebuie să fie transmisă, se împarte în pachete care vor fi asamblate la
destinaţie. Un astfel de pachet conţine:
cererea, confirmarea sau comanda de la sistemul generator
portul şi adresa IP sursă
portul şi adresa IP de destinaţie
informaţii despre protocolul care va fi folosit când va fi procesat
informaţii legate de verificarea erorilor
unele informaţii despre tipul datelor care sunt trimise
deseori mai sunt incluse şi alte date care nu au legătura cu filtrarea lor
La filtrarea pe bază de pachet, numai protocolul şi adresele sunt examinate. Conţinutul şi
contextul său referitor la legătura cu alte pachete şi cu aplicaţiile este ignorat. Nu se ţine
cont de aplicaţii nu se ştie nimic despre sursa informaţiilor. Filtrarea constă în examinarea
pachetelor ce vin sau pleacă şi în blocarea sau trecerea lor în funcţie de politica regulilor
create.
Politica la filtrarea pachetelor poate fi bazată pe blocarea sau accesul pachetelor după
adresa IP, după port sau după protocol.
Pentru că foarte puţine date sunt analizate şi înregistrate, acest tip de filtrare consumă
foarte puţin din procesor şi nu creează întarzieri de pachete.
Acest tip de filtrare este eficace dar nu oferă o protecţie 100%. Chiar dacă poate bloca tot
traficul, într-o reţea funcţională unele pachete tot trebuie să treacă. Punctele sale slabe ar
fi că informaţiile legate de adresa IP pot fi falsificate (se creează "spoof" de la sursă),
userul nu este identificat decât după IP, iar alocarea dinamică a IP-ului prin DHCP ar crea
o oarecare dificultate în contrucţia filtrelor. De asemenea informaţia transportată din
pachetele care trec nu este verificată, aceasta putând duce la exploatarea unor errori de
programare din aplicaţii (de exemplu un hacker poate exploata un bresă cunoscută dintr-
un server web).
Filtre pe bază de circuit (Circuit Relay sau Circuit Level Gateway)
operează la nivelul 4
este mai eficace ca filtrarea pe bază de pachete
necesită suport la utilizator, configurarea aplicaţiilor
exemplu: SOCKS firewall
Acest tip de firewall nu doar blochează sau lasă să treacă pachetele să treacă. Întâi
validează conecţiunile dintre cele două puncte în conformitate cu regulile configurate,
apoi deschide o sesiune şi permite trafic numai de la sursa permisă şi numai pentru o
anumită perioadă de timp.
Politica de filtrare poate fi bazată pe:
adresa sursă IP şi/sau portul
adresa destinaţie IP şi/sau portul
perioda din zi
protocolul
utilizatorul
parola
În comparaţie cu filtrul pe bază de pachete este un pas în plus. Este un avantaj în
controlul traficului ce utilizează protocolul UDP, care este fără stare şi adresa sursă IP nu
este validată ca o funcţie a protocolului.
Un dezavantaj este că funcţionează la nivelul de transport (Transport Layer), iar unele
programe necesită modificări.
Puncte de acces la nivel de aplicaţie (Application level gateways)
lucrează la nivelul 5 al reţelei
este orientat pe aplicaţie
sunt mai scumpe de implementat, iar viteza de lucru este mai mică
sunt mai sigure şi pot crea înregistrări cu activităţile utilizatorilor
în cele mai multe cazuri este nevoie de o configurare la utilizator
exemplu: proxy web (http)
Cu această metodă un firewall controlează traficul mult mai mult. Punctul de acces se
comportă ca un proxy pentru aplicaţii, schimbul de date având loc între proxy şi sistemul
destinaţie în numele aplicaţiei folosite de utilizator. Un sistem ce foloseşte acest proxy
este invizibil pentru sistemul destinaţie. Poate bloca sau permite traficul după reguli
foarte exacte, de exemplu execuţia doar a anumitor comenzi, accesul numai la anumite
tipuri de fişiere, diferite reguli în funcţie utilizatorii autentificaţi şi aşa mai departe.
Înregistrarea traficului poate fi foarte detaliată, iar alarmarea administratorilor se poate
face sub reguli precise.
Firewall-urile de acest tip sunt considerate ca cele mai sigure, cu siguranţă capabilităţile
lor sunt cele mai sofisticate.
Un dezavantaj este că configurarea unui astfel de firewall este foarte complexă, este
nevoie de atenţie sporită pentru fiecare aplicaţiie care foloseşte punctul de acces
(gateway). O aplicaţie proxy este implementată de obicei pe o arhitectură separată a cărei
funcţii primare este să furnizeze servicii proxy.
Filtre cu stare, analiză pe mai multe nivele
filtrare la nivelul 3
validare la nivelul 4
inspecţie la nivelul 5
sunt foarte complexe din punct de vedere al securităţii şi al implementării
exemplu: CheckPoint Firewall-1
Aceste filtre sunt bazate pe tehnologii noi şi furnizează modalităţi noi pentru asigurarea
securităţii reţelei.
Firewall personale (Host Firewall)
Aceste filtre sunt cele configurate direct pe staţiile de lucru. Se pot baza pe diferite
metode, în funcţie de ele se accesează resursele reţelei.
blocarea driverelor pentru protocoale: se blochează încărcarea driverelor pentru
protocoale pentru a nu fi folosite de către programe
blocare la nivel de aplicaţie: se permite accesarea reţelei sau a conexiilor ce se deschid
doar a aplicaţiilor sau a librăriilor dorite
blocare pe bază de semnătură: se monitorizează constant traficul din reţea şi se blochează
atacurile asupra calculatorului
Dacă numărul de calculatoare protejate individual de câte un firewall este destul de mare,
controlul securităţii din reţea este destul de dificil.
De asemenea există posibilitatea unei breşe în sistem datorită unei erori de configuraţie.
Toate aceste tipuri de firewall au un lucru în comun: primesc, analizează şi apoi decid
despre datele care ajung în reţea. Asta înseamnă că lucrează cu pachete şi sunt instalate
strategic în punctul de acces al reţelei sau al sistemului ce trebuie protejat. Traficul ce
pleacă poate fi şi el analizat şi filtrat.
În concluzie, tipurile şi posibilităţile firewall-urilor sunt definite în mare de locul unde se
găsesc în ierarhia reţelei, nivelul la care operează, modul cum sunt analizate şi cum este
afectat traficul de date (pachetele), funcţiile auxiliare de securitate şi utilitare pe care le
îndeplinesc (datele pot fi encriptate/decriptate de firewall pentru securizarea
comunicaţiilor, prin intermediul scripturilor administratorii poate opera şi programa, un
firewall poate facilita comunicaţia între două reţele incompatibile direct).