Tehnici şi mecanisme de

control al accesului

Controlul accesului determină momentele când accesul către o resursă este permis
sau nu. Permiterile sau autorizările utilizatorilor sau proceselor sunt definite de politica
de securitate. Deciziile politicii de autorizare şi autentificare a utilizatorului trebuie să
aibă loc înaintea permiterii accesului către resursă. Scopul controlului accesului este de a
preveni accesul neautorizat către orice resursă.
Accesul neautorizat poate include:

 folosirea neautorizată a resurselor sistemului;

 ştergerea neautorizată a informaţiei;
 modificarea neautorizată a informaţiilor sau a sistemului;
 distrugerea neautorizată a informaţiilor sau a programelor;
 introducerea neautorizată de comenzi în sistem.

Mecanismul de control al accesului (Access Control Mechanism) controlează

accesul entităţilor la resurse, presupunând cunoscută identitatea entităţii ce solicită
accesul. Acţiunile se produc atunci când este încercat un acces neautorizat, fie prin
generarea unei alarme, fie prin simpla înregistrare a incidentului.

1 Politici de control al accesului

Politica de control al accesului poate fi bazată pe unul sau mai multe din
următoarele soluţii:
 lista/matricea drepturilor de acces (entitate, resursă);
 parole;
 capabilităţi;
 etichete de securitate;
 durata accesului;
 timpul de încercare a accesului;
 ruta (calea de încercare a accesului).

Accesul către o anumită resursă particulară se bazează pe autorizarea

utilizatorului şi a serviciului solicitat. Acestea sunt, desigur, subiecte ale cerinţelor de
securitate ale politicii de securitate.
Controlul accesului este adesea caracterizat de tipul de politică de securitate
impus. Două clase mari de politici sunt:
 politici bazate pe identitate (capacităţi de folosire ale individului, grupului sau
identităţi de rol)
Tehnici şi mecanisme de control al accesului 144

 politici bazate pe reguli (folosirea etichetelor de securitate sau a

informaţiei contextuale).

În general, o schemă de controlul accesului încorporează aspecte aparţinând

ambelor clase. Listele controlului accesului (ACL) şi schemele cu etichete sunt două
scheme tipice ale controlul accesului.
ACL se poate gândi ca o tablă ce conţine o listă de identităţi cu permiterile de
acces corespunzătoare. În figura 1, ACL indică faptul că accesul către fişierul dat este
permis lui A, B şi D. Lui A i se permite atât citirea cât şi scrierea. Lui B şi lui D li se
permite citirea. Lui C şi oricărui alt utilizator li se va refuza accesul la fişier, datorită
ACL.

Figura 1

Listele cu
controlul
accesului

Schemele cu etichetă se bazează pe etichete de securitate pentru a determina cine

sau ce poate avea acces la resurse. Etichetele implică drepturi de acces sau permiteri şi
sunt adesea organizate ierarhic. Exemplele de etichete includ autorizaţii de securitate
guvernamentale (Secret sau Strict Secret) sau aparţinând unei companii (privat sau
confidenţial). Regulile sunt asociate cu etichetele; accesul la un nivel anume nu va fi
permis citind informaţia de la un nivel superior sau scriind informaţia la un nivel inferior.
Un exemplu de schemă cu etichetă pentru accesul către un fişier secret este
prezentat în figura 2. B are o etichetă de securitate Secret şi de aceea îi este permisă atât
citirea cât şi scrierea din şi în fişier. Lui A, care are o etichetă de securitate superioară,
Strict Secret, îi este permisă numai citirea fişierului secret. Poate citi fişierul deoarece are
o clasificare superioară clasificării fişierului. Dacă A ar scrie în fişier, atunci eticheta
fişierului ar trebui schimbată în Strict Secret deoarece acum conţine informaţie strict
secretă. Acest lucru ar cauza refuzul accesului tuturor persoanelor cu etichetă Secret care
doresc citirea fişierului. Lui C, care are o etichetă inferioară, Senzitiv, i se permite doar
scrierea în fişier. Fişierul secret poate conţine informaţie senzitivă fără a-şi schimba
clasificarea de securitate. C nu poate citi fişierul deoarece eticheta lui este inferioară
etichetei fişierului.

Figura 2

Etichete de securitate
Tehnici şi mecanisme de control al accesului 145

2 Controlul accesului prin firewall

Termenul firewall provine din industria construcţiilor civile. Multe din clădirile
moderne au în structura lor firewalls – pereţi special construiţi, rezistenţi la foc care, în
cazul izbucnirii unui incendiu, au rolul de a împiedica sau încetini răspândirea focului,
până la sosirea pompierilor. Termenul a migrat şi în construcţia de maşini, unde un
firewall separă compartimentul motorului unei maşini de habitaclu, pentru a proteja
pasagerii.
Pentru ştiinţa calculatoarelor, probabil că cel mai uşor este să descriem, mai întâi,
ceea ce un firewall nu este: un firewall nu este un simplu ruter sau un calculator gazdă
care asigură securitatea unei reţele. În linii mari, un firewall (numit uneori şi pasarelă de
securitate) este un sistem care impune o politică de control al accesului între două reţele.
Un firewall reprezintă implementarea acestei politici în termeni de configurare a reţelei,
unul sau mai multe sisteme gazdă şi ruter-e cu funcţiuni speciale, alte măsuri de
securitate, cum ar fi autentificarea prin metode criptografice a clienţilor.

2.1 Conceptul de firewall

Un firewall este un sistem (o colecţie de componente), plasat între două reţele,

care posedă următoarele proprietăţi:

 tot traficul dinspre interior spre exterior şi vice-versa trebuie să treacă prin
acesta;
 este permisă trecerea numai a traficului autorizat prin politica locală de
securitate;
 sistemul însuşi este imun la încercările de penetrare a securităţii acestuia.

Cu alte cuvinte, un firewall este un mecanism folosit pentru a proteja o reţea

sigură din punctul de vedere al securităţii de una nesigură, în care nu putem avea
încredere. În mod tipic (vezi figura 8.3), una dn reţele este cea internă unei organizaţii
(sigură, de încredere), în timp ce cealaltă este INTERNET-ul (în care nu avem încredere
din punctul de vedere al securităţii).

Figura 3

Dispunerea
unui
sistem firewall

Deşi cele mai multe firewall-uri sunt, în mod curent, interpuse între reţelele
interne şi INTERNET, conceptul de firewall nu vizează numai acest aspect, existând
suficiente motive pentru folosirea firewall-urilor în oricare punct din internet, inclusiv în
reţelele cu arie largă (WAN) ale diferitelor companii. Deoarece un firewall este dispus la
intersecţia dintre două reţele, acesta poate fi folosit şi în alte scopuri decât acela de
control al accesului si anume:

 pentru a monitoriza comunicaţiile dintre o reţea internă şi o reţea externă. De

exemplu, un firewall poate jurnaliza (monitoriza, înregistra) serviciile folosite
Tehnici şi mecanisme de control al accesului 146

şi cantitatea de date transferată prin conexiuni TCP/IP între propria organizaţie

şi lumea exterioară;
 un firewall poate fi folosit pentru interceptarea şi înregistrarea tuturor
comunicaţiilor dintre reţeaua internă şi exterior;
 dacă o organizaţie are mai multe reţele, separate din punct de vedere
geografic, fiecare având câte un firewall, există posibilitatea programării
acestor firewall-uri pentru a cripta automat conţinutul pachetelor transmise
între ele. În acest fel, pe suportul INTERNET, organizaţia îşi poate realiza
propria reţea virtuală privată.

2.2 Avantajele folosirii unui firewall

Argumentul principal pentru folosirea unui firewall este că, fără acesta, o reţea
este expusă riscurilor folosirii unor servicii inerent lipsite de securitate şi încercărilor de
penetrare iniţiate de la oricare staţie din afara acesteia.
Într-un mediu fără firewall, securitatea reţelei se bazează în mod exclusiv pe
securitatea calculatoarelor gazdă, fiind necesar ca toate acestea să coopereze pentru
realizarea unui nivel înalt şi uniform de securitate al reţelei. Cu cât reţeaua devine mai
largă, cu atât este mai greoaie administrarea calculatoarelor gazdă în scopul menţinerii
lor la acelaşi nivel (înalt) de securitate.
Opţiunea de realizare a securităţii prin firewall furnizează numeroase avantaje
reţelelor, ajutând şi la creşterea nivelului de securitate a calculatoarelor gazdă
componente. Principalele avantaje ale folosirii unui firewall sunt:

 Protecţia serviciilor vulnerabile. Un firewall poate contribui la creşterea nivelului de

securitate al unei reţele, reducând riscurile la care aceasta este supusă, prin filtrarea
serviciilor care sunt în mod inerent nesigure (de exemplu poate bloca intrarea sau
ieşirea acestora dintr-o reţea protejată).
Un firewall poate, de asemenea, să asigure protecţia faţă de atacurile bazate pe
exploatarea vulnerabilităţilor mecanismului de dirijare a pachetelor în INTERNET.
 Impunerea unei politici a accesului în reţea. Un firewall furnizează mijloace de
control al accesului într-o reţea privată. Unele host-uri pot fi făcute accesibile din
exterior, în timp ce altele pot fi protejate efectiv faţă de accesele nedorite. Astfel, un
firewall asigură mijloace pentru implementarea şi impunerea unei politici a accesului
în reţea, furnizând un control asupra serviciilor disponibile şi accesului utilizatorilor
la acestea. Fără un firewall, o astfel de politică ar depinde în întregime de cooperarea
între utilizatori. Chiar dacă o organizaţie se poate baza pe proprii utilizatori în ceea ce
priveşte cooperarea dintre ei, ea nu poate face acelaşi lucru relativ la toţi utilizatorii
din INTERNET.
 Concentrarea securităţii. Pentru securitatea în reţea, un firewall poate fi o soluţie mai
puţin costisitoare, în sensul că programul care trebuie modificat şi software-ul
adiţional de securitate pot fi localizate în sistemul firewall (în totalitate sau în cea mai
mare parte), spre deosebire de situaţia în care acestea ar fi fost distribuite pe toate
host-urile. Acest lucru face ca firewall-urile să fie mai uşor de implementat şi
administrat decât alte soluţii pentru securitatea în reţea, software-ul specializat
executându-se numai pe ele.
 Întărirea caracterului privat al informaţiei care circulă prin reţea. Caracterul privat
al informaţiei este o preocupare majoră pentru unele organizaţii, deoarece informaţia
considerată în mod normal nesenzitivă (nesecretă) poate conţine secvenţe folositoare
pentru un eventual atacator. Folosind un firewall, se pot bloca servicii cum ar fi finger
sau DNS (Domain Name Service), de exemplu. Serviciul finger afişează informaţii
Tehnici şi mecanisme de control al accesului 147

despre utilizatori, cum ar fi date ultimului acces, dacă şi-au citit poşta electronică şi
altele. În acelaşi timp însă, finger furnizează atacatorilor informaţii despre cât de des
este folosit un sistem, dacă sistemul are utilizatori activi la un moment dat şi dacă
poate fi atacat fără a atrage atenţia. Firewall-urile pot fi folosite, de asemenea, pentru
a bloca ieşirea în exterior a informaţiei DNS referitoare la host-urile interne, numele şi
adresele IP asociate acestora nefiind disponibile celorlalte calculatoare din
INTERNET. Se ascunde astfel o informaţie care ar putea fi folositoare atacatorilor.
 Monitorizarea şi realizarea de statistici cu privire la folosirea reţelei. Dacă întregul
trafic spre/dinspre INTERNET trece printr-un firewall, atunci există posibilitatea
monitorizării acestuia şi furnizării de statistici cu privire la folosirea reţelei.
Colectarea de date privitoare la încercările de atac asupra reţelei permite verificarea
rezistenţei firewall-ului la asemenea încercări, iar realizarea de statistici este
folositoare pentru analizarea riscurilor şi pentru studiile de dezvoltare a reţelei.

2.3 Dezavantajele folosirii unui firewall

În afara avantajelor folosirii unui firewall există, de asemenea, o serie de dezavantaje

şi un număr de probleme de securitate nu pot fi rezolvate prin intermediul acestuia.

 Restricţionarea accesului la unele servicii. Cel mai evident dezavantaj al folosirii

unui firewall este că acesta impune, de cele mai multe ori, restricţionarea accesului la
unele servicii considerate vulnerabile, servicii care sunt însă intens solicitate de către
utilizatori (de exemplu, FTP, X-Window, etc.). Uneori, politica de securitate în reţea
a organizaţiei poate impune chiar blocarea acestora. Totuşi, acest dezavantaj nu este
specific numai unui firewall, accesul la anumite servicii putând fi restricţionat la fel
de bine şi la nivelul host-urilor, în funcţie de politica de securitate a unei organizaţii.
Unele reţele pot avea o topologie ce nu impune necesitatea existenţei unui firewall
sau pot folosi unele servicii, într-o astfel de manieră încât utilizarea unui firewall ar
necesita o restructurare majoră a reţelei. Într-o astfel de situaţie, costul adăugării unui
firewall ar trebui să fie comparat cu costul acceptării vulnerabilităţilor în condiţiile
lipsei acestuia, printr-o analiză a riscurilor.
 Potenţialul ridicat pentru existenţa unor “uşi secrete”. Un firewall nu poate proteja
împotriva unor “uşi secrete” (back doors) existente într-o reţea, cum ar fi, de
exemplu, permiterea nerestricţionată a accesului prin modem la unele dintre sistemele
gazdă interne.
Vitezele de transmisie ale modem-urilor actuale sunt suficient de mari pentru a face
practică folosirea protocoalelor SLIP sau PPP. O conexiune SLIP sau PPP într-o
reţea protejată este, în esenţă, un potenţial back door, care face inutilă folosirea unui
firewall.
 Protecţia scăzută faţă de atacurile provenite din interior. În general, un firewall nu
asigură o protecţie faţă de ameninţările interne. Dacă poate fi proiectat astfel încât să
prevină scurgerea de informaţii secrete spre exterior, un firewall nu poate opri o
persoană din interiorul reţelei de a copia aceste informaţii pe o dischetă şi de a le
furniza apoi celor interesaţi.
 Alte probleme:

 Viruşii – Firewall-urile nu pot proteja împotriva utilizatorilor care aduc local, din
arhivele INTERNET, prin intermediul FTP sau ca ataşări e-mail, programe
infectate de viruşi (cel mai recent exemplu este virusul ILY, care a afectat reţele
puternic protejate). Din cauză că aceste programe pot fi criptate sau comprimate în
mai multe moduri, un firewall nu le poate “scana” în scopul identificării
Tehnici şi mecanisme de control al accesului 148

semnăturilor virale. Această problemă a programelor infectate rămâne şi va trebui

rezolvată prin alte politici şi/sau controale antivirale;
 Viteza de comunicaţie cu exteriorul – Un firewall reprezintă o potenţială gâtuire
pentru traficul care intră/iese în/din reţea. Totuşi, aceasta nu constituie o problemă
în reţelele legate cu exteriorul prin linii de mare viteză;
 Fiabilitatea – O reţea protejată prin firewall îşi concentrează securitatea într-un
singur loc, spre deosebire de varianta distribuirii securităţii între mai multe
sisteme. O compromitere a firewall-ului poate fi dezastruoasă pentru celelalte
sisteme (mai puţin protejate) din reţea. Acestui dezavantaj i se poate opune
argumentul că incidentele de securitate apar, mai degrabă, pe măsură ce numărul
de sisteme din reţea creşte, iar distribuirea securităţii între acestea multiplică
modalităţile în care reţeaua poate fi atacată.

În ciuda tuturor aceste probleme şi dezavantaje, se recomandă ca protejarea

resurselor să se facă atât prin intermediul firewall-urilor, cât şi al altor mijloace şi tehnici
de securitate .

2.4 Componentele unui firewall

Componentele fundamentale ale unui firewall sunt:

 politica de control al accesului la servicii;

 mecanismele avansate de autentificare;
 filtrarea pachetelor;
 serviciile proxy şi porţile la nivel aplicaţie (application level gateway);
 sistemele gazdă-bastion.

2.4.1 Politica de control al accesului la servicii

Există două niveluri ale politicii de control al accesului la servicii, care

influenţează direct proiectarea, instalarea şi folosirea unui sistem firewall:

 politica de acces la serviciile reţelei;

 politica de proiectare a firewall-ului.

Politica de nivel superior defineşte acele servicii ale reţelei care vor fi explicit
permise sau refuzate, cum vor fi folosite acestea şi condiţiile în care vor putea exista
excepţii. Politica de nivel inferior descrie modul în care firewall-ul va restricţiona accesul
şi va filtra serviciile definite prin politica de nivel superior.
Politica de acces la servicii trebuie să se concentreze asupra problemelor de
utilizare specifice INTERNET-ului şi asupra conexiunilor cu exteriorul (linii telefonice
comutate, conexiuni SLIP sau PPP). Această politică trebuie să fie o extensie a politicii
generale a organizaţiei cu privire la protecţia resurselor informaţionale. O politică realistă
este aceea care asigură un echilibru între protejarea reţelei faţă de anumite riscuri
cunoscute şi asigurarea accesului utilizatorilor la resursele reţelei.
Un firewall poate implementa o varietate de politici de acces la servicii:
Tehnici şi mecanisme de control al accesului 149

 una tipică este aceea de a interzice accesul din INTERNET în reţeaua proprie şi
de a-l permite pe cel din interior spre INTERNET;
 o altă politică tipică este aceea în care se permite accesul din INTERNET, dar
numai pe anumite sisteme (selectate), cum ar fi server-ele de informaţii sau de
poştă electronică;
 firewall-urile implementează uneori politici care permit accesul din
INTERNET pe anumite sisteme gazdă, dar numai în cazuri absolut necesare şi
numai în condiţiile folosirii mecanismelor avansate de autentificare.

Politica de proiectare a firewall-ului defineşte regulile folosite pentru

implementarea politicii de acces la servicii, ţinând cont de capabilităţile şi limitările unui
firewall, precum şi de ameninţările şi vulnerabilităţile asociate cu INTERNET-ul şi suita
de protocoale TCP/IP. Proiectarea sistemelor firewall are la bază una din următoarele
două sub-politici:

 ceea ce nu este interzis în mod explicit este permis;

 ceea ce nu este permis în mod explicit este interzis.

Un firewall proiectat după prima sub-politică permite în mod implicit existenţa

tuturor serviciilor, cu excepţia acelora dezactivate prin politica de acces. Un firewall
proiectat după cea de-a doua sub-politică interzice în mod implicit toate serviciile,
permiţându-le doar pe acelea care au fost permise prin politica de acces.
Prima sub-politică este mai puţin oportună, deoarece oferă unele posibilităţi de a
“ocoli” firewall-ul. Utilizatorii se pot folosi de servicii nou apărute (încă neidentificate
şi, eventual, neinterzise prin politica de acces) sau pot folosi servicii interzise, utilizând
port-uri TCP/UDP nestandard. Anumite servicii, cum ar fi X-Windows, FTP, Archie şi
RPC, nu pot fi filtrate uşor, “acomodându-se” mai bine cu un firewall proiectat după
prima sub-politică. Cea de-a doua sub-politică este mai puternică şi mai sigură, dar este
mai dificil de implementat, serviciile de mai sus putând fi blocate sau restricţionate mai
greu.
Politica de acces la servicii este cea mai importantă dintre componentele
enumerate anterior, reflectând politica generală de securitate a organizaţiei. Celelalte
componente sunt folosite pentru a implementa şi a impune această politică. Eficienţa unui
sistem firewall în protejarea unei reţele depinde de politica de acces la servicii, de
politica de proiectare folosită şi de alegerea unei arhitecturi firewall corespunzătoare.

2.4.2 Mecanismele avansate de autentificare

Există numeroase incidente petrecute în exteriorul reţelei, ca urmare a

vulnerabilităţilor existente în folosirea tradiţională a parolelor. Faptul că, la cerere,
parolele sunt transmise în clar prin reţea şi că traficul exterior (din INTERNET) poate fi
monitorizat cu uşurinţă face ca acest sistem să fie depăşit. În condiţiile problemelor
inerente sistemului tradiţional al parolelor, în literatura de specialitate se apreciază că nu
are sens un firewall care nu foloseşte mecanisme avansate de autentificare (cum ar fi
cartelele inteligente, jetoanele de autentificare, tehnicile biometrice şi mecanismele
bazate pe software).
Deoarece un firewall centralizează şi controlează accesul într-o reţea, acesta este
locul unde, în mod logic, trebuie să se afle hardware-ul sau software-ul pentru
autentificare. Deşi mecanismele avansate de autentificare pot fi folosite pe fiecare sistem
Tehnici şi mecanisme de control al accesului 150

gazdă, este mai economică, mai practică şi mai uşor de administrat varianta centralizării
acestora pe firewall.
Scopul principal al unui firewall este de a furniza servicii INTERNET sigure
pentru utilizatorii din interiorul reţelei protejate. Există însă situaţii când este necesară
furnizarea de servicii şi pentru utilizatorii din exterior. Aceste servicii sunt de două tipuri:

 Servicii anonime – nu necesită o tratare specială din punctul de vedere al unui

firewall. De obicei, în interiorul firewall-ului va rula server-ul pentru serviciul
anonim respectiv, iar accesul la acel server va fi permis prin mijloacele
normale de control (de exemplu filtrarea de pachete);
 Servicii care necesită autentificare – sunt furnizate mai ales pentru a da
posibilitatea propriilor utilizatori să se conecteze la sistemele gazdă interne, de
undeva din exteriorul reţelei. Problema majoră care apare, faţă de cazul
serviciilor pentru utilizatorii din interior, este autentificarea falsă.

2.4.3 Filtrarea pachetelor

Un sistem de filtrare a pachetelor trimite pachete între sisteme gazdă interne şi

cele externe unei reţele, într-o manieră selectivă. El permite sau blochează trecerea unor
anumite tipuri de pachete, în funcţie de politica de control al accesului în reţea.
Filtrarea pachetelor se realizează pe baza unui set de reguli stabilite de
administratorul sistemului. Aceste reguli permit sau blochează trecerea uni anumit pachet
prin testarea uneia sau mai multor informaţii din antetul pachetului. Filtrarea de pachete
IP se poate face ţinând cont de următoarele câmpuri din antetul unui pachet:

 adresa IP a sursei;
 adresa IP a destinaţiei;
 protocolul (TCP sau UDP);
 port-ul sursă TCP/UDP;
 port-ul destinaţie TCP/UDP.

Filtrarea de pachete se realizează, de obicei, prin intermediul ruter-elor. Multe

dintre ruter-ele comerciale au capacitatea de a filtra pachetele pe baza unor criterii cum
ar fi: tipul protocolului, câmpurile de adrese sursă, destinaţie şi câmpurile de control
specifice unui tip particular de protocol. Aceste ruter-e, numite “ruter-e protectoare”
(screening routers), “ruter-e cu filtrarea pachetelor” (packet filtering routers) sau chiar
“porţi cu filtrarea pachetelor” (packet filtering gateways), pentru că filtrarea se poate face
şi pe baza unor câmpuri aparţinând nivelului transport, furnizează un mecanism puternic
pentru controlul tipului de trafic care poate exista pe un segment de reţea. Controlând
tipul traficului, aceste ruter-e pot controla tipurile de servicii care pot exista pe acel
segment de reţea, serviciile care compromit securitatea reţelei putând fi astfel blocate.

Avantajele filtrării de pachete:

 un ruter cu facilităţi de filtrare a pachetelor poate contribui la protejarea unei

întregi reţele;
 ruter-ele, prin natura lor, sunt plasate în puncte strategice ale reţelei,
controlând traficul dintre exterior şi întreaga reţea;
 chiar dacă arhitectura de firewall impune folosirea mai multor ruter-e (de
exemplu două, în arhitectura cu subreţea protejată), numărul lor este cu mult
Tehnici şi mecanisme de control al accesului 151

mai mic decât numărul staţiilor; deci configurarea şi supravegherea lor este
mult mai simplă;
 există anumite tipuri de atacuri care pot fi respinse doar prin filtrarea de
pachete. De exemplu, atacurile care au la bază falsificarea adresei sursă:
pachetele vin din exterior, dar au ca adresă sursă o adresă internă. Un ruter cu
facilităţi de filtrare a pachetelor poate respinge aceste pachete ştiind ce
înseamnă “vine din exterior” sau “vine din interior”;
 filtrarea de pachete este o opţiune disponibilă în multe din ruter-ele
comerciale sau cele disponibile liber, sub formă de software, în INTERNET.
De exemplu, ruter-ele CISCO au un sistem de operare propriu (IOS –
Internetwork Operating System) care permite, printre altele, şi introducerea
regulilor de filtrare a pachetelor.

Dezavantajele filtrării de pachete

 produsele actuale care realizează filtrarea de pachete sunt, în general, greu de

configurat şi, odată configurate, greu de testat;
 există protocoale care nu pot fi securizate prin filtrarea de pachete;
 unele politici de securitate nu pot fi implementate prin simpla filtrare a
pachetelor. De exemplu, pachetele nu conţin informaţii despre utilizatorii
cărora le aparţin.

2.4.4 Sistemele proxy şi porţile la nivel aplicaţie

Pentru a elimina unele dintre dezavantajele filtrării de pachete, firewall-urile

trebuie să folosească aplicaţii software pentru intermedierea accesului la unele servicii. O
astfel de aplicaţie este cunoscută sub numele de “serviciu proxy” (proxy service), iar
sistemul gazdă pe care rulează se numeşte “poartă la nivel aplicaţie” (application level
gateway). Porţile la nivel aplicaţie şi ruter-ele cu facilităţi de filtrare a pachetelor pot fi
combinate pentru a realiza un nivel mai înalt de securitate şi flexibilitate decât în cazul
folosirii separate a acestora.

Avantajele folosirii serviciilor proxy:

 permit folosirea numai a acelor servicii pentru care există un proxy,

reprezentând o implementare a filozofiei “ceea ce nu este în mod explicit
permis este interzis”;
 protocolul poate fi filtrat (un serviciu proxy “înţelege” protocolul pentru care a
fost proiectat);

Folosirea porţilor la nivel aplicaţie are mai multe avantaje faţă de varianta
permiterii conexiunilor directe cu sistemele gazdă interne:

 ascunderea informaţiilor cu privire la numele sistemelor interne, nume care nu

mai trebuie să fie făcute cunoscute în exterior, prin intermediul DNS;
 folosirea centralizată a unui mecanism avansat de autentificare şi monitorizare
a accesului, în condiţiile unor costuri mai mici faţă de varianta în care acest
mecanism ar fi implementat separat pe fiecare sistem gazdă;
 reguli de filtrare mai puţin complexe la nivelul ruter-ului protector, acesta
permiţând doar traficul spre poarta la nivel aplicaţie şi rejectând restul.
Tehnici şi mecanisme de control al accesului 152

Dezavantajele serviciilor proxy

 în cazul protocoalelor de tip client-server, cum ar fi TELNET, sunt necesari

doi paşi pentru realizarea unor conexiuni;
 unele servicii proxy pot necesita modificarea software-ului pentru client;
 deşi există software proxy pentru serviciile “consacrate”, acesta s-ar putea să
fie greu de găsit pentru serviciile mai noi sau mai puţin utilizate;
 există servicii care nu se pretează la proxy. Eficienţa serviciului proxy depinde
de posibilitatea de a determina care dintre operaţiile unui anumit protocol sunt
sigure şi care nu. Chiar dacă s-au determinat operaţiile nesigure, interzicerea
lor s-ar putea să afecteze funcţionarea întregului protocol (acesta este cazul la
X-Windows, de exemplu).

2.4.5 Sistemele gazdă-bastion (bastion host)

Un sistem gazdă-bastion este orice sistem gazdă care intră în componenţa

firewall-ului şi este critic pentru securitatea reţelei. Un sistem gazdă-bastion reprezintă
prezenţa publică pe INTERNET a unei organizaţii. Existenţa sa fiind publică, sistemul
gazdă-bastion este supus atacurilor. Din această cauză, unui sistem gazdă-bastion trebuie
să i se asigure un grad înalt de securitate, prin construcţie şi prin configurare. Există două
principii de bază pentru proiectarea şi construirea unui bastion-host:

1. simplitatea – cu cât sistemul gazdă-bastion este mai simplu, cu atât este mai
uşor de asigurat securitatea sa. Orice software (serviciu) care rulează pe
sistemul gazdă-bastion poate conţine erori sau probleme de configurare care
pot conduce la incidente de securitate. De aceea, pe sistemul gazdă-bastion
este preferabil să ruleze software-ul minim necesar pentru îndeplinirea rolului
său;
2. orice sistem gazdă-bastion poate fi compromis. Această situaţie trebuie avută
în vedere şi trebuie să existe un set de măsuri care să fie luate în acest caz.
Aceasta se va reflecta chiar în configuraţia firewall-ului, respectiv în modul de
comunicare a sistemului bastion cu celelalte sisteme. Trebuie asigurat faptul că
cineva care pătrunde în sistemul gazdă-bastion nu va avea acces imediat şi
total la celelalte sisteme.

Tipuri speciale de sisteme gazdă-bastion

 sistemul gazdă dual - în reţelele TCP/IP, termenul “sistem multi-gazdă”

descrie un sistem gazdă care are două sau mai mute interfeţe de reţea, fiecare
legată la un alt segment de reţea. În mod obişnuit, acest sistem multi-gazdă
dirijează traficul între segmentele de reţea, jucând rolul unui ruter. Dacă
funcţia de dirijare a sistemului multi-gazdă este dezactivată, sistemul poate
asigura izolarea de trafic între reţelele la care este conectat, în condiţiile în care
fiecare reţea va fi în măsură să proceseze aplicaţii pe acest sistem. Un sistem
gazdă dual este un exemplu de sistem multi-gazdă care are două interfeţe de
reţea (una conectată la reţeaua internă, iar cealaltă la INTERNET) şi funcţia de
dirijare dezactivată. Comunicarea între cele două reţele nu se mai face
automat, printr-o funcţie de nivel reţea (3), ci sub un control riguros, la nivel
aplicaţie (7), prin intermediul unor agenţi speciali – serviciile proxy;
 maşina victimă (sacrificată) – este un sistem gazdă dispus în interiorul unei
reţele intermediare, situată între reţeaua protejată şi exterior. Pe acest sistem
Tehnici şi mecanisme de control al accesului 153

rulează servicii necesare organizaţiei, dar care nu pot fi furnizate din interiorul
reţelei protejate – din cauza gradului lor ridicat de insecuritate – sau servicii
nou apărute, ale căror caracteristici de securitate nu se cunosc încă. Reţeaua
intermediară se mai numeşte “zonă demilitarizată”, iar gradul de “sacrificare”
al sistemului este dat de atacurile posibile, vulnerabilităţile serviciilor
suportate şi protecţia (minimă) pe care o poate asigura firewall-ul.

3 Exemple de arhitecturi firewall

Exemplele de arhitecturi firewall, pe care le prezentăm în continuare, sunt :

 firewall-ul de tip filtru de pachete (Packet Filtering Firewall);

 firewall-ul de tip sistem gazdă dual (Dual-homed Host Firewall);
 firewall-ul de tip sistem gazdă-bastion protejat (Screened Bastion Host Firewall);
 firewall-ul de tip subreţea protejată (Screened Subnet Firewall).

3.1 Arhitectura firewall de tip filtru de pachete

Firewall-ul de tip filtru de pachete este, probabil, cea mai obişnuită şi mai uşor de
implementat arhitectură pentru reţelele mici, simple ca structură. Totuşi, având
numeroase dezavantaje, este soluţia cea mai puţin indicată. Această arhitectură are la
bază instalarea unui ruter cu facilităţi de filtrare a pachetelor între reţeaua protejată şi
INTERNET şi configurarea regulilor de filtrare a pachetelor pentru a bloca sau filtra
protocoale şi adrese (vezi figura 4) Sistemele interne reţelei protejate prin firewall au, în
mod obişnuit, acces direct la INTERNET, în timp ce tot sau aproape tot accesul din
INTERNET spre interior este blocat. Ruter-ul poate, totuşi, permite un acces selectiv către
anumite sisteme şi servicii, în funcţie de politica locală de securitate în reţea. De obicei,
serviciile inerent nesigure, cum ar fi NIS, NFS şi X-Windows, sunt blocate.
Figura 4

Arhitectura firewall
de tip filtru de
pachete
Tehnici şi mecanisme de control al accesului 154

Un firewall cu filtrare de pachete are aceleaşi dezavantaje ca şi un ruter cu facilităţi de

filtrare a pachetelor, existând posibilitatea ca acestea să se amplifice, pe măsură ce
nevoile de securitate ale unei reţele protejate devin mai complexe şi stringente. Este
vorba de faptul că:

 cvasi-inexistenţa capacităţii de jurnalizare face ca un administrator să nu poată

determina cu uşurinţă dacă ruter-ul a fost compromis sau este supus unui atac;
 regulile de filtrare a pachetelor sunt adesea dificil de testat în detaliu, ceea ce
lasă reţeaua deschisă unor vulnerabilăţi netestate;
 dacă regulile de filtrare necesare sunt complexe, acestea devin greu de
administrat;
 fiecare sistem gazdă, direct accesibil din INTERNET, va avea nevoie de o
copie proprie a mecanismelor avansate de autentificare.

În concluzie, un firewall cu filtrare de pachete este privit în mediile cu nevoi de

securitate relativ mici, în care nu sunt necesare reguli complexe de filtrare sau în care nu
există un număr mare de sisteme gazdă ce trebuie protejate. Pentru reţelele cu nevoi de
securitate ridicate, trebuie luate în considerare arhitecturi de firewall mai robuste, de tipul
celor prezentate în continuare.

3.2 Arhitectura firewall de tip sistem gazdă dual (dual host)

Această arhitectură este o variantă mai bună faţă de firewall-ul cu filtrare de

pachete, putând fi folosită pentru a izola reţeaua internă (proprie) de exterior
(INTERNET). Sistemul gazdă dual este aşezat între reţeaua internă şi cea externă, fiind
conectat la ambele prin câte o interfaţă de reţea. În general, un asemenea sistem
îndeplineşte funcţia de ruter, expediind automat pachetele de la o reţea la alta şi
direcţionându-le spre destinaţie. În cazul în care îndeplineşte funcţia de firewall,
caracteristica de dirijare este dezactivată, iar pachetele nu mai sunt trimise automat de la
o reţea la alta.
Pentru a furniza servicii şi acces la INTERNET, există două posibilităţi:

 pe firewall rulează servicii proxy, acestea intermediind cererile de servicii ale

utilizatorilor interni (venite prin interfaţa “internă”) spre INTERNET şi/sau cererile de
servicii ale utilizatorilor externi (venite din INTERNET, prin interfaţa “externă”) spre
reţeaua internă, după cum arată figura 5;
 utilizatorii care doresc acces la INTERNET vor lucra pe sistemul gazdă dual (direct
sau realizând o conectare la distanţă de la una din staţiile din reţeaua internă, prin
TELNET).

A doua posibilitate ridică serioase probleme de securitate, datorită conturilor

utilizatorilor de pe sistemul firewall şi, de aceea, nu este recomandată. Prima posibilitate
este mai sigură, deoarece nu permite trecerea decât a cererilor spre servicii pentru care
există aplicaţii proxy ce se execută pe sistemul gazdă dual, în acest fel firewall-ul
implementând cea de-a doua politică de proiectare (“ceea ce nu este în mod expres
permis este interzis”). Dezactivarea dirijării întăreşte caracterul confidenţial al
informaţiilor vehiculate în interiorul subreţelei protejate, deoarece ruter-ele către server-
ele acesteia vor fi cunoscute numai de firewall, nu şi de celelalte sisteme din INTERNET,
deoarece firewall-ul nu va furniza informaţie DNS spre exterior.
Tehnici şi mecanisme de control al accesului 155

Figura 5

Dispunerea unui
sistem gazdă
dual

Firewall-ul din figura 6 are capacitatea de a separa traficul legat de serverul

informaţional de restul traficului. Presupunând că sistemul gazdă dual furnizează servicii
proxy şi pentru server-ul informaţional, ruter-ul poate preveni accesul direct din
INTERNET la acest server, forţându-l să treacă prin firewall. Dacă este permis accesul
direct la server (alternativă mai puţin sigură), atunci numele server-ului şi adresa IP a
acestuia vor trebui anunţate prin DNS. Localizarea server-ului informaţional în exteriorul
reţelei protejate este, oricum, o variantă mai bună decât dispunerea sa în interior,
deoarece sistemul gazdă dual va preveni faptul ca o eventuală penetrare a server-ului să
ameninţe sistemele gazdă interne.
Uneori, subreţeaua din exteriorul reţelei protejate este numită “zonă
demilitarizată”. Termenul de “zonă demilitarizată” trebuie înţeles în sensul că accesul la
serviciile aparţinând acesteia este, în principiu, liber, nerestricţionat printr-o politică de
acces, informaţiile fiind publice. Uneori, server-ele din interiorul “zonei demilitarizate”
sunt considerate a fi mai mult sau mai puţin “sacrificate”, în funcţie de capabilităţile de
conectare la INTERNET ale ruter-ului (facilităţile de filtrare a pachetelor) şi ale
sistemului gazdă dual (dacă are sau nu servicii proxy pentru acesta), în sensul că
organizaţia căreia îi aparţin îşi poate permite suportarea unor incidente de securitate în
ceea ce le priveşte.
Tehnici şi mecanisme de control al accesului 156

Figura 6

Arhitectură de
firewall de tip
sistem gazdă
dual cu zonã
“demilitarizată”

3.3 Arhitectura firewall de tip sistem gazdă-bastion protejat

Firewall-ul de tip sistem gazdă-bastion protejat este mai flexibil decât firewall-ul
implementat pe un sistem gazdă dual. Totuşi, flexibilitatea în acest caz este obţinută prin
acceptarea unor compromisuri în ceea ce priveşte securitatea. Acest tip de firewall este
recomandat acelor organizaţii care au nevoie de mai multă flexibilitate decât poate oferi
un firewall implementat pe un sistem dual-host.
Firewall-ul de tip sistem gazdă-bastion protejat combină un ruter având facilităţi
de filtrare a pachetelor cu o poartă la nivel aplicaţie (sistem gazdă bastion), dispusă în
partea de subreţea protejată a ruter-ului (vezi figura 7). Poarta nu foloseşte decât o
interfaţă de reţea şi nu permite trecerea spre celelalte sisteme din reţeaua protejată decât a
serviciilor pentru care are servicii proxy active. Ruter-ul filtrează serviciile inerent
periculoase (pentru ca acestea să nu afecteze poarta sau celelalte sisteme interne), după
următoarele reguli:

 permite (rutează) traficul care vine din INTERNET spre poartă;

 interzice restul traficului care vine din INTERNET;
 interzice trecerea spre exterior a oricărui trafic provenind de la un sistem intern, cu
excepţia traficului care are drept sursă poarta.
Tehnici şi mecanisme de control al accesului 157

Figura 7

Arhitectură
firewall de tip
sistem gazdã-
bastion protejat

Flexibilitatea suplimentară a firewall-ului de tip sistem gazdă-bastion protejat este

cauza a două dezavantaje:

 mai întâi, existenţa a două sisteme care trebuie configurate cu grijă - ruter-ul şi
poarta. Configurarea regulilor de filtrare ale unui ruter este complexă şi dificil de
testat. Totuşi, deoarece ruter-ul trebuie să permită traficul numai spre poartă, setul de
reguli va fi mai puţin complex decât în cazul unui firewall cu filtrare de pachete (care
trebuia să restricţioneze traficul spre mai multe sisteme);
 al doilea dezavantaj, major de data aceasta, este că dacă un atacator va reuşi să
compromită ruter-ul, atunci el va avea acces la întreaga reţea.

3.4 Arhitectura firewall de tip subreţea protejată

Arhitectura firewall de tip subreţea protejată este o combinaţie între firewall-ul de

tip sistem gazdă dual şi firewall-ul de tip sistem gazdă-bastion protejat. Ea poate fi
folosită pentru a localiza fiecare componentă a firewall-ului pe un sistem separat,
realizând astfel o viteză de transfer crescută şi o flexibilitate mai mare. Deşi numărul
elementelor componente creşte, configurarea sistemului este mai puţin complexă,
deoarece fiecare element trebuie să îndeplinească numai o sarcină specifică. În această
arhitectură (vezi figura 8) reţeaua internă este izolată de INTERNET prin intermediul unei
subreţele intermediare şi a două ruter-e cu facilităţi de filtrare a pachetelor. În subreţeaua
Tehnici şi mecanisme de control al accesului 158

intermediară, protejată de cele două ruter-e, vor fi dispuse sisteme gazdă-bastion (unul
singur sau mai multe), server-e informaţionale, sisteme de acces prin modem şi alte
sisteme care necesită un acces controlat. Regulile de filtrare a pachetelor de pe ruter-e
vor controla traficul dintre reţeaua externă şi subreţeaua intermediară, pe de o parte, şi
traficul dintre subreţeaua intermediară şi cea internă, pe de altă parte.

Figura 8

Arhitectură
firewall de tip
subreţea protejatã

La fel ca în cazul firewall-ului de tip sistem gazdă dual, nici un sistem intern nu
este accesibil direct din INTERNET şi invers. Diferenţa mare constă în faptul că se
folosesc ruter-e pentru a direcţiona traficul spre anumite sisteme şi că se elimină nevoia
ca serviciile proxy să ruleze pe un singur sistem, şi acela dual. În consecinţă, se poate
realiza un trafic mult mai ridicat, această arhitectură fiind potrivită organizaţiilor care au
cantităţi mari de date de transferat sau solicită un trafic de mare viteză.
Firewall-ul de tip subreţea protejată, la fel ca şi firewall-ul de tip sistem gazdă-
bastion protejat, poate fi făcut mai flexibil, permiţând un trafic direct între reţeaua internă
şi cea externă, limitat la acele servicii (de preferinţă cât mai puţine) care sunt considerate
suficient de sigure pentru a fi permise direct şi nu prin intermediul serviciilor proxy de pe
sistemele gazdă-bastion. Deşi aceasta înseamnă acceptarea unor riscuri mai mari, acolo
unde importante sunt viteza de transfer şi flexibilitatea va fi preferat firewall-ul de tip
subreţea protejată.