Documente Academic
Documente Profesional
Documente Cultură
11.control Acces+
11.control Acces+
control al accesului
Controlul accesului determină momentele când accesul către o resursă este permis
sau nu. Permiterile sau autorizările utilizatorilor sau proceselor sunt definite de politica
de securitate. Deciziile politicii de autorizare şi autentificare a utilizatorului trebuie să
aibă loc înaintea permiterii accesului către resursă. Scopul controlului accesului este de a
preveni accesul neautorizat către orice resursă.
Accesul neautorizat poate include:
Politica de control al accesului poate fi bazată pe unul sau mai multe din
următoarele soluţii:
lista/matricea drepturilor de acces (entitate, resursă);
parole;
capabilităţi;
etichete de securitate;
durata accesului;
timpul de încercare a accesului;
ruta (calea de încercare a accesului).
Figura 1
Listele cu
controlul
accesului
Figura 2
Etichete de securitate
Tehnici şi mecanisme de control al accesului 145
Termenul firewall provine din industria construcţiilor civile. Multe din clădirile
moderne au în structura lor firewalls – pereţi special construiţi, rezistenţi la foc care, în
cazul izbucnirii unui incendiu, au rolul de a împiedica sau încetini răspândirea focului,
până la sosirea pompierilor. Termenul a migrat şi în construcţia de maşini, unde un
firewall separă compartimentul motorului unei maşini de habitaclu, pentru a proteja
pasagerii.
Pentru ştiinţa calculatoarelor, probabil că cel mai uşor este să descriem, mai întâi,
ceea ce un firewall nu este: un firewall nu este un simplu ruter sau un calculator gazdă
care asigură securitatea unei reţele. În linii mari, un firewall (numit uneori şi pasarelă de
securitate) este un sistem care impune o politică de control al accesului între două reţele.
Un firewall reprezintă implementarea acestei politici în termeni de configurare a reţelei,
unul sau mai multe sisteme gazdă şi ruter-e cu funcţiuni speciale, alte măsuri de
securitate, cum ar fi autentificarea prin metode criptografice a clienţilor.
tot traficul dinspre interior spre exterior şi vice-versa trebuie să treacă prin
acesta;
este permisă trecerea numai a traficului autorizat prin politica locală de
securitate;
sistemul însuşi este imun la încercările de penetrare a securităţii acestuia.
Figura 3
Dispunerea
unui
sistem firewall
Deşi cele mai multe firewall-uri sunt, în mod curent, interpuse între reţelele
interne şi INTERNET, conceptul de firewall nu vizează numai acest aspect, existând
suficiente motive pentru folosirea firewall-urilor în oricare punct din internet, inclusiv în
reţelele cu arie largă (WAN) ale diferitelor companii. Deoarece un firewall este dispus la
intersecţia dintre două reţele, acesta poate fi folosit şi în alte scopuri decât acela de
control al accesului si anume:
Argumentul principal pentru folosirea unui firewall este că, fără acesta, o reţea
este expusă riscurilor folosirii unor servicii inerent lipsite de securitate şi încercărilor de
penetrare iniţiate de la oricare staţie din afara acesteia.
Într-un mediu fără firewall, securitatea reţelei se bazează în mod exclusiv pe
securitatea calculatoarelor gazdă, fiind necesar ca toate acestea să coopereze pentru
realizarea unui nivel înalt şi uniform de securitate al reţelei. Cu cât reţeaua devine mai
largă, cu atât este mai greoaie administrarea calculatoarelor gazdă în scopul menţinerii
lor la acelaşi nivel (înalt) de securitate.
Opţiunea de realizare a securităţii prin firewall furnizează numeroase avantaje
reţelelor, ajutând şi la creşterea nivelului de securitate a calculatoarelor gazdă
componente. Principalele avantaje ale folosirii unui firewall sunt:
despre utilizatori, cum ar fi date ultimului acces, dacă şi-au citit poşta electronică şi
altele. În acelaşi timp însă, finger furnizează atacatorilor informaţii despre cât de des
este folosit un sistem, dacă sistemul are utilizatori activi la un moment dat şi dacă
poate fi atacat fără a atrage atenţia. Firewall-urile pot fi folosite, de asemenea, pentru
a bloca ieşirea în exterior a informaţiei DNS referitoare la host-urile interne, numele şi
adresele IP asociate acestora nefiind disponibile celorlalte calculatoare din
INTERNET. Se ascunde astfel o informaţie care ar putea fi folositoare atacatorilor.
Monitorizarea şi realizarea de statistici cu privire la folosirea reţelei. Dacă întregul
trafic spre/dinspre INTERNET trece printr-un firewall, atunci există posibilitatea
monitorizării acestuia şi furnizării de statistici cu privire la folosirea reţelei.
Colectarea de date privitoare la încercările de atac asupra reţelei permite verificarea
rezistenţei firewall-ului la asemenea încercări, iar realizarea de statistici este
folositoare pentru analizarea riscurilor şi pentru studiile de dezvoltare a reţelei.
Viruşii – Firewall-urile nu pot proteja împotriva utilizatorilor care aduc local, din
arhivele INTERNET, prin intermediul FTP sau ca ataşări e-mail, programe
infectate de viruşi (cel mai recent exemplu este virusul ILY, care a afectat reţele
puternic protejate). Din cauză că aceste programe pot fi criptate sau comprimate în
mai multe moduri, un firewall nu le poate “scana” în scopul identificării
Tehnici şi mecanisme de control al accesului 148
Politica de nivel superior defineşte acele servicii ale reţelei care vor fi explicit
permise sau refuzate, cum vor fi folosite acestea şi condiţiile în care vor putea exista
excepţii. Politica de nivel inferior descrie modul în care firewall-ul va restricţiona accesul
şi va filtra serviciile definite prin politica de nivel superior.
Politica de acces la servicii trebuie să se concentreze asupra problemelor de
utilizare specifice INTERNET-ului şi asupra conexiunilor cu exteriorul (linii telefonice
comutate, conexiuni SLIP sau PPP). Această politică trebuie să fie o extensie a politicii
generale a organizaţiei cu privire la protecţia resurselor informaţionale. O politică realistă
este aceea care asigură un echilibru între protejarea reţelei faţă de anumite riscuri
cunoscute şi asigurarea accesului utilizatorilor la resursele reţelei.
Un firewall poate implementa o varietate de politici de acces la servicii:
Tehnici şi mecanisme de control al accesului 149
una tipică este aceea de a interzice accesul din INTERNET în reţeaua proprie şi
de a-l permite pe cel din interior spre INTERNET;
o altă politică tipică este aceea în care se permite accesul din INTERNET, dar
numai pe anumite sisteme (selectate), cum ar fi server-ele de informaţii sau de
poştă electronică;
firewall-urile implementează uneori politici care permit accesul din
INTERNET pe anumite sisteme gazdă, dar numai în cazuri absolut necesare şi
numai în condiţiile folosirii mecanismelor avansate de autentificare.
gazdă, este mai economică, mai practică şi mai uşor de administrat varianta centralizării
acestora pe firewall.
Scopul principal al unui firewall este de a furniza servicii INTERNET sigure
pentru utilizatorii din interiorul reţelei protejate. Există însă situaţii când este necesară
furnizarea de servicii şi pentru utilizatorii din exterior. Aceste servicii sunt de două tipuri:
adresa IP a sursei;
adresa IP a destinaţiei;
protocolul (TCP sau UDP);
port-ul sursă TCP/UDP;
port-ul destinaţie TCP/UDP.
mai mic decât numărul staţiilor; deci configurarea şi supravegherea lor este
mult mai simplă;
există anumite tipuri de atacuri care pot fi respinse doar prin filtrarea de
pachete. De exemplu, atacurile care au la bază falsificarea adresei sursă:
pachetele vin din exterior, dar au ca adresă sursă o adresă internă. Un ruter cu
facilităţi de filtrare a pachetelor poate respinge aceste pachete ştiind ce
înseamnă “vine din exterior” sau “vine din interior”;
filtrarea de pachete este o opţiune disponibilă în multe din ruter-ele
comerciale sau cele disponibile liber, sub formă de software, în INTERNET.
De exemplu, ruter-ele CISCO au un sistem de operare propriu (IOS –
Internetwork Operating System) care permite, printre altele, şi introducerea
regulilor de filtrare a pachetelor.
Folosirea porţilor la nivel aplicaţie are mai multe avantaje faţă de varianta
permiterii conexiunilor directe cu sistemele gazdă interne:
1. simplitatea – cu cât sistemul gazdă-bastion este mai simplu, cu atât este mai
uşor de asigurat securitatea sa. Orice software (serviciu) care rulează pe
sistemul gazdă-bastion poate conţine erori sau probleme de configurare care
pot conduce la incidente de securitate. De aceea, pe sistemul gazdă-bastion
este preferabil să ruleze software-ul minim necesar pentru îndeplinirea rolului
său;
2. orice sistem gazdă-bastion poate fi compromis. Această situaţie trebuie avută
în vedere şi trebuie să existe un set de măsuri care să fie luate în acest caz.
Aceasta se va reflecta chiar în configuraţia firewall-ului, respectiv în modul de
comunicare a sistemului bastion cu celelalte sisteme. Trebuie asigurat faptul că
cineva care pătrunde în sistemul gazdă-bastion nu va avea acces imediat şi
total la celelalte sisteme.
rulează servicii necesare organizaţiei, dar care nu pot fi furnizate din interiorul
reţelei protejate – din cauza gradului lor ridicat de insecuritate – sau servicii
nou apărute, ale căror caracteristici de securitate nu se cunosc încă. Reţeaua
intermediară se mai numeşte “zonă demilitarizată”, iar gradul de “sacrificare”
al sistemului este dat de atacurile posibile, vulnerabilităţile serviciilor
suportate şi protecţia (minimă) pe care o poate asigura firewall-ul.
Firewall-ul de tip filtru de pachete este, probabil, cea mai obişnuită şi mai uşor de
implementat arhitectură pentru reţelele mici, simple ca structură. Totuşi, având
numeroase dezavantaje, este soluţia cea mai puţin indicată. Această arhitectură are la
bază instalarea unui ruter cu facilităţi de filtrare a pachetelor între reţeaua protejată şi
INTERNET şi configurarea regulilor de filtrare a pachetelor pentru a bloca sau filtra
protocoale şi adrese (vezi figura 4) Sistemele interne reţelei protejate prin firewall au, în
mod obişnuit, acces direct la INTERNET, în timp ce tot sau aproape tot accesul din
INTERNET spre interior este blocat. Ruter-ul poate, totuşi, permite un acces selectiv către
anumite sisteme şi servicii, în funcţie de politica locală de securitate în reţea. De obicei,
serviciile inerent nesigure, cum ar fi NIS, NFS şi X-Windows, sunt blocate.
Figura 4
Arhitectura firewall
de tip filtru de
pachete
Tehnici şi mecanisme de control al accesului 154
Figura 5
Dispunerea unui
sistem gazdă
dual
Figura 6
Arhitectură de
firewall de tip
sistem gazdă
dual cu zonã
“demilitarizată”
Firewall-ul de tip sistem gazdă-bastion protejat este mai flexibil decât firewall-ul
implementat pe un sistem gazdă dual. Totuşi, flexibilitatea în acest caz este obţinută prin
acceptarea unor compromisuri în ceea ce priveşte securitatea. Acest tip de firewall este
recomandat acelor organizaţii care au nevoie de mai multă flexibilitate decât poate oferi
un firewall implementat pe un sistem dual-host.
Firewall-ul de tip sistem gazdă-bastion protejat combină un ruter având facilităţi
de filtrare a pachetelor cu o poartă la nivel aplicaţie (sistem gazdă bastion), dispusă în
partea de subreţea protejată a ruter-ului (vezi figura 7). Poarta nu foloseşte decât o
interfaţă de reţea şi nu permite trecerea spre celelalte sisteme din reţeaua protejată decât a
serviciilor pentru care are servicii proxy active. Ruter-ul filtrează serviciile inerent
periculoase (pentru ca acestea să nu afecteze poarta sau celelalte sisteme interne), după
următoarele reguli:
Figura 7
Arhitectură
firewall de tip
sistem gazdã-
bastion protejat
mai întâi, existenţa a două sisteme care trebuie configurate cu grijă - ruter-ul şi
poarta. Configurarea regulilor de filtrare ale unui ruter este complexă şi dificil de
testat. Totuşi, deoarece ruter-ul trebuie să permită traficul numai spre poartă, setul de
reguli va fi mai puţin complex decât în cazul unui firewall cu filtrare de pachete (care
trebuia să restricţioneze traficul spre mai multe sisteme);
al doilea dezavantaj, major de data aceasta, este că dacă un atacator va reuşi să
compromită ruter-ul, atunci el va avea acces la întreaga reţea.
intermediară, protejată de cele două ruter-e, vor fi dispuse sisteme gazdă-bastion (unul
singur sau mai multe), server-e informaţionale, sisteme de acces prin modem şi alte
sisteme care necesită un acces controlat. Regulile de filtrare a pachetelor de pe ruter-e
vor controla traficul dintre reţeaua externă şi subreţeaua intermediară, pe de o parte, şi
traficul dintre subreţeaua intermediară şi cea internă, pe de altă parte.
Figura 8
Arhitectură
firewall de tip
subreţea protejatã
La fel ca în cazul firewall-ului de tip sistem gazdă dual, nici un sistem intern nu
este accesibil direct din INTERNET şi invers. Diferenţa mare constă în faptul că se
folosesc ruter-e pentru a direcţiona traficul spre anumite sisteme şi că se elimină nevoia
ca serviciile proxy să ruleze pe un singur sistem, şi acela dual. În consecinţă, se poate
realiza un trafic mult mai ridicat, această arhitectură fiind potrivită organizaţiilor care au
cantităţi mari de date de transferat sau solicită un trafic de mare viteză.
Firewall-ul de tip subreţea protejată, la fel ca şi firewall-ul de tip sistem gazdă-
bastion protejat, poate fi făcut mai flexibil, permiţând un trafic direct între reţeaua internă
şi cea externă, limitat la acele servicii (de preferinţă cât mai puţine) care sunt considerate
suficient de sigure pentru a fi permise direct şi nu prin intermediul serviciilor proxy de pe
sistemele gazdă-bastion. Deşi aceasta înseamnă acceptarea unor riscuri mai mari, acolo
unde importante sunt viteza de transfer şi flexibilitatea va fi preferat firewall-ul de tip
subreţea protejată.