Firewall

1.Introducere

i sisteme sigure

Firewall este un instrument care controleaz accesul ntre re ele.Un firewall are ca rol filtrarea informa iilor ce sunt transmise prin por ile sale,politica de filtrare depinde n func ie de producator.Este o poart sigur intre internet i reteaua personal , de fapt securizeaz un sistem nesigur de unul sigur.Un firewall monitorizeaz traficul de re ea sau blocheaz un anumit trafic ce este considerat nesigur.Nivelul de nesiguran a dintre internet i reteaua sigur este de obicei crescut prin folosirea mai multor softuri firewall.Zidul de protec ie ntre inernet i re eaua proprie are ca rol realizarea unei leg turi sigure i rejectarea traficului care nu se incadreaz in standardul impus de program. Firewall ac ioneaz ca un server intermediar in control ul conexiunilor HTTP i SMTP.Acesta are nevoie de o politic de acces i un protocol precum SOCKS pentru a accesa internetul sau intranetul.

2.Rolul firewall-ului
Se impun restric ii pentru pachetele care intr sau ies din re eaua privat .Toat cantitatea de informa ie trebuie trecut filtrat i doar cele care trec de acest filtru sunt transmise.Principala caracteristica a firewall -ului este imunitatrea la spargere. Programul i i creeaz un punct limit (choke point),intre cele 2 componente ale sistemului,dup stabilirea acestui punct sistemul ncepe scanarea i verificarea traficului de intrare sau de ie ire. Filtrarea se poate face dupa adresa de IP,destina ie sau num rul portului TCP.Criteriile dup care se face controlul traficului depind de nivelul re ea sau nivelul transport cum ar fi:IP sau TCP.Un num r crescator de produse firewall controleaz accesul la niveul aplicatiei,folosind date de identificare ale utilizatorului.Programele pentru re ele ATM pot controla accesul pe baza nivelului legatur de date. Acesta asigur i ntare te modul de logare,acest control al modului de logare,administratorul re elei poate monitoriza accesul la internet i din partea internetului.Un control eficient al logarilor este un instrument foarte eficient in potec ia re elei.

Programul poate bloca conexiuni de tip TELNET sau RLOGIN care vor sa acceseze intranetul sau de tip SMTP sau FTP care nu sunt autorizare pentru a realiza modificari sau trafic. Poate fi folosit pentru implementarea VPN(Virtual Private Network) ca baz pentru IP sec. i

Se poate realiza limitarea expunerii la internet prin ascunderea informa iilor i parametrilor re elei. Sunt i aspecte negative ale firewall -ului:nu poate proteja re eaua de un angajat ce comunic cu un atacator i i permite accesul la re ea,nu poate proteja mpotriva transferurilor de fi iere i documente infectate deoarece i este imposibil s scaneze toate fi ierele.Acesta fiind un program de protec ie va minimiza infectarea cu viru i.

3.Firewall-terminologie
Pentru a reusi configurarea unui soft firewall trebuie sa cunosti terminologia specific de baz .
3.1 Bastion host

Serve te ca o platform pentru unul dintre cele 3 tipuri de firewall: filtrare de pachete,poarta la nivel circuit i poart la nivel aplica ie. Trebuie s verifice traficul de intrare i de ie ire i sa aplice masurile de securitate.Trebuie s fie preg tit pentru pentru atacuri din surse externe sau interne,sa aiba o structur hardware i software de complexitate ct mai mare pentru a reu i s i ofere unui hacker op ortunita i de reu it ct mai mici.Sunt securizate cu alarme pentru a preveni atacuri. Utilitatea poate fi mpar it n 3 categorii:
y Single-homed bastion host:are o singur interfa de re ea,folosit pentru poart la nivel aplica ie.Routerul extern este co nfigurat s trimit traficul de intrare la bastion host i clien ii interni sunt redirec iona i s trimit datele de ie ire la host.Acesta va testa datele in func ie politica de securitate. y Dual-homed bastion host:are cel pu in 2 interfe e de re ea,sunt fo losite pentru filtrare de pachete,poart la nivel aplicatie de re ea si poarta la nivel circuit.Avantajul const in creerea unei bariere complete intre

re eaua intern i cea extern ,aceasta duce la filtrarea traficului n totalitate.este prevenit o cader e a sistemului de securitate cnd un hacker ncerc sa acceseze re eaua. y Multi-homed bastion host-cnd politica de securitate cere ca traficul de intrare si ie ire s fie fie trimise printr -un server proxy,un nou server trebuie s fie creat.Pentru noul ser ver trebuie implementate mecanisme stricte de securitate cum ar fi autentificarea.Cnd sunt folosite ca host intern trebuie s aiba rol de poarta pentru aplica ii, care primesc trafic de intrare de la host extern.Furnizeaz un nivel suplimentar de securit ate in cazul n care componentele firewall externe sunt compromise.Componentele interne ale re elei sunt programate pentru a comunica numai cu host intern. y Tri-homed firewall-conecteaz 3 sectoare de re ea cu adrese diferite.Acest sistem poate oferi avantaje asuprea firewall-urilor cu 2 interfe e.
3.2 Serverul Proxy

Serverele proxy sunt folosite pentru a comunica cu servere externe in numele clientilor interni,acestea sunt setate in func ie de dorin a i nevoile clientului.Termenul de server proxy se refer la o aplica ie la nivel re ea,de i aplicatia la nivel cicuit este tot o aplica ie de tip server proxy.Por ile pot fi cunfigurate sa suporte nivelul aplicatii la conexiunile de intrare i nivelul circuit la conexiunile de ie ire.Aplicatia proxy trimite pac hete doar cand se realizeaz o conexiune folosind un protocol cunoscut.Dup ncheierea conexiunii firewallul care foloseste aplicatii proxy va rejecta pachete,chiar daca acestea se incadreaz in condi iile impuse. Diferen a ntre aplica iile i circuitele proxy este aceea c cele din urm sunt statice si vor creea o conexiune dac regula DUT/SUT o va permite.Fiecare proxy este setat sa pemit accesul doar la un server specific.Modulul server proxy este un pachet de programe destul de mic,specializat pe secur itatea retelei,este mai u or sa verifici module de gen pentru gasirea de probleme.Fiecare proxy este independent de celelalte din bastion host.Dac este ntalnit o problema n operarea unui proxy sau daca este intalnita o viitoare poten ial problem ,este usor sa inlocuiesti piesa defecta f r sa ncurci opera iile aplica iilor proxy.Dac se dore te implementarea unui nou serviciu instalarea unui nou proxy este foarte u oar .n general un proxy nu permite accesul la informa ii n afara de cele de

configurare ini ial ,aceast masura mpiedic un intrus s instaleze Troieni sau alte fi iere periculoase in bastion host.
3.3 SOCKS

Versiunea a 4-a a protocolului SOCKS asigur aplica ii pentru firewall nesigure,pentru servere TCP care includ HTTP,TELNET si FTP. Noul protocol extinde versiunea a 4-a a lui SOCKS prin includerea UDP,permite asigurarea de cadre pentru schemele de autentificare si extinde schemele de autentificare pana la includerea servicii Ipv6.Implementarea protocolului SOCKS implica de obicei refecerea leg turilor pentru aplica iile TCP astfel nct sa foloseasc rutinele de mpachetare din libraria SOCKS.Cnd un client TCP incearc s stabileasc o conexiune c tre o destina ie care este disponibil doar printr -un firewall,trebuie deschis o conexiunde TCP catre un port adecvat la serverul SOCKS,serviciul SOCKS este de obicei ntlnit la portul 1080.SOCKS defineste modul n care trebuie facut autentificarea conexiunii,dar nu ofer o solu ie pentru criptarea traficului de date.
3.4 Punctul limit

Principalul aspect al unui firewall este acela de a creea puncte limit . Un punct limit este puctul la care un serviciu de internet public poate accesa o retea intern .Cel mai cuprinz tor i extins sistem de monitorizare trebuie configurat n func ie de aceste puncte limit .Traficul trece prin firewall si de aceea administratorii ce se ocup cu securitatea trebuie sa creeze puncte limit pentru a limita accesul extern catre re ea.Dup configurarea punctelor limit ,firewallul poate verifica traficul de intrare i de ie ire.Dac punctul limit este instalat la firewall,activitatea unui poten ial hacker va trece prin el.Dac sunt instalate instrumente de logare evoluate,toat activitatea hackerului va fi monitorizat si re inut .
3.5 Zona demilitarizat (DMZ)

Termenul DMZ a fost preluat din razboiul din Korea i inseamna o f ie de pamnt men inut for at f r adversari.n terminologia firewall aceasta reprezint zona dintre re eaua intern si re eua public .Re eua DMZ este folosit drept un buffer adi ional pentru separarea re elei publice de cea privat .O poart n re eaua DMZ este asistat de o poart intern .Filtrele interne sunt folosite pentru a proteja porta de atacuri.

Multe softuri firewall suport tri-homing,permi and folosirea re elei DMZ.Este posibil pentru un firewall sa permit acomodarea cu mai mult de 3 interfe e,fiecare ata at de un sector de re ea diferit.
3.6 Alarme i logare

Logarea este de obicei implementat in orice program wireless.Filtrarea de pachete n mod normal nu permite logarea im plicit pentru a nu diminua performan ele.Filtrarea de pachete ct i por ile la nivel circuit folosesc la logare numai informa iile de baz . Instalarea unui punct limit va determina trecea unui eventual hacker prin el.Dac se intampla a a,modurile de loga re complexe vor reu i s inregistreze toate activita ile hackerului dar i a utilizatorului.Utilizatorul poate spune exact ce face hackerul,i poate vedea fiecare mi care.Multe firewalluri permit userului sa preconfigureze raspunsurile catre aplica iile neacceptate.Firewallul trebuie sa alerteze serverul din multe motive,cele mai comune 2 ac iuni sunt:Spargerea conexiunii TCP/IP sau deconectarea alarmelor.
3.7 VPN

Unele softuri firewall furnizeaz servicii VPN.Serviciile VPN sunt adecvate pentru orice organiza ie care un acces extern sigur catre internet.VPN sunt protocoale care impacheteaz informa ia n pachetele de re ea.Datele transmise cu VPN sunt de obicei criptate deoarece un adversar le poate intercepta cnd trec prin re eaua public .VPN include info rma ia n pachete IP,criptatea i autentificarea sunt foarte importante pentru implementarea VPN.F r procedura de autentificare un hacker poate avea acces la re ea.Integritatea mesajului este necesar deoarece pachetele pot fi afectate de trecerea prin re ea.F r criptare informa ia poate deveni public .Exist mai multe metode pentru implementarea serviciului VPN.Windown NT sau variantele mai noi suport o conexiune standard RSA prin VPN.Firewallurile specializate sau routerele pot fi configurate pentru a stabili o conexiune VPN prin internet.Noile protocoale cum ar fi IPsec trebuie standardizate pentru o solu ie VPN.Mai multe protocoale VPN exist dar cele mai populate sunt PPTP(point to point tunnelling protocol) i IPsec.

4.Tipuri de firewall
Firewallul este clasificat n 3 tipologii:filtrare de pachete,poart la nivel circuit,poarta la nivel aplica ie.

4.1 Filtrare de pachete

Filtrarea de pachete este unul din diferitele tipuri de wireless care se ocupa cu procesarea traficului re elei prin filtrarea de baza pachet cu pachet.Principala func ie a filtrarii de pachete este aceea a filtr rii traficului de la baza IP,este necesar un router pentrua face conexiunea intre re eaua intern i internet.Filtrul de pachete impune o list de reguli ce sunt citite secv en ial linie cu linie.regulile de filtrare pot fi aplicate in func ie de IP -ul sursei i destin iei,n func ie de adresele de re ea sau n func ie de porturile TCP sau UDP.Filtrarea de pachete furnizeaz 2 masuri:aruncare sau continuare.Dac se alege procesul de continuare pachetul isi continu ruta normal dac se indeplinesc toate regulile.Ac iunea de aruncare va bloca toate pachetele dac nu se respect condi iile impuse.Filtrarea pachetelor de i nu ofer posibilitatea de filtrare a erorilor,constituie prima metod de filtrare.Filtrul de pachete poate restic iona traficul de intrare catre o adres ,aceast masur poate preveni un atacul unui hacker asupra re elei interne.Principala slabiciune a filtrului de pachete este aceea c nu poate face diferen a int re pachetele bune i rele.Chiar dac un pachet trece de toate restric iile i este trimis catre destina ie,fltrul nu poate spune ce tip de informa ie contine pachetul bun sau daun toare .Filtrul de pachete aplic un set de reguli pentru fiecare pachet IP i dupa trimite sau arunc pachetul.
4.1.1 Filtrare TELNET

TELNET este un terminal care permite unui user sa se logeze la un calculator conectat la internet.Acesta stabile te o conexiune TCP i transfer informa ia produs de tastatura userului direct la co mputerul de comand ca i cum ar fi fost tastatura ata ata la serverul de comand .TELNET transfer informa ia de ie ire catre ecranul userului.Utilizatorul softwareului TCP are posibilitatea de a specifica serverul de comand altfel dect specificarea domeniului sau adresei IP.TELNET poate fi utilizat petru a administra un server UNIX.Windows NT nu permite serviciul TELNET n modul de baz .TELNET trimite numele i parolele userilor in text necriptat,de aceea hackerii experimenta i pot sparge o sesiune TELNE T.Aceasta trebuie folosit doar atunci cnd se pot verifica to i userii i clien ii re elei,nu este recomandat folosirea n re ele publice.Traficul ce trece prin TELNET trebuie filtrat de firewall.
4.1.2 Filtrare FTP

Conexiunile FTP se pot explica printr-un set de reguli:

y Regula 1 permite oric rui server cu adresa 192.168.10.0 sa ini ieze o sesiune TCP c tre orice destina ie cu adresa IP din portul 21. y Regula 2 blocheaz orice pachet provenit de la o adres din portul 20 i transmis catr e o adres 192.168.10.0 pe un port mai mic decat 1024. y Regula 3 permite oricarei adrese de comand care are portul surs 20 i care contacteaz un server cu adresa 192.168.10.0 indiferent de port.

Dup ce conexiunea a fost realizat ,Flagul ACK(ACK=1) al segmentului TCP este setat sa recunoasc segmente din partea cealalt .Dac un pachet ncalc regula 2 va fi aruncat i regula 3 nu va mai fi implementat . Sunt folosite 2 conexiuni TCP:una de control pentru a seta transferul de fi iere i una de date pentru a realiza transferul.Conexiunea de date folose te un port diferit pentru transfer.Majoritatea serverelor folosesc porturi cu valori mici,dar apelurile de ie ire tind s folosesc porturi cu valori mari,de obicei sub 1024. FTP este primul protocol folosit pentru tran sfer de date folosind internetul.La fel ca protocoalele TCP/IP,FTP nu a fost realizat sa ofere un nivel mare de securitate.Acesta comunic cu serverul pe 2 porturi TCP 20 i 21.Fiecare server FTP are un canal de comand unde se rezolv cererile de date i un canal de date unde sunt livrate datele cerute. FTP lucreaz n 2 moduri:activ i pasiv.n modul activ serverul FTP prime te comenzile la portul 21 i face schimb de date cu clientul.Cnd clientul dore te s contacteze un server FTP n modul activ i se dore te trasferul de date,acesta va primi un port liber ntre 1024 i 65535,serverul va fi informat i se a teapta conexiunea pe portul dorit.Serverul deschide o conexiune ntre portul 20 i cel primit de client,dup aceast ac iune va incepe transferul ef ectiv de date.n modul pasiv canalul de comand este tot portul 21,dar portul 20 nu mai este utilizat.Cnd clientul va solicita modul pasiv serverul va lua un port nefolosit intre 1024 si 65535.Se va deschide o conexiune catre acel port de la server,dup ce conexiunea este stabilit fluxul de date va fi

trimis.Utilizarea in paralel a canalului de date i comand folosirea modului pasiv de catre browserele moderne.

determin

4.1.3 Filtrare SMTP

Trimiterea i transmisia mesajelor email intr n responsabili tatea MTA(Mail Transport Agent).Protocolul care sta n spatele acestui servicu este SMTP i extensia sa ESMTP.Emailurile sunt schimbate intre serverele de mail folosind protocolul SMTP.Acest protocol permite transferul unui mail de la un server la altul i ofer o modalitate simpl de transfer intre baze separate.Un server gazd pentru SMTP accept mailuri i verific destina ia IP pentru a decide dac trimite mailul pe plan local sau l trimite mai departe. SMTP este un sistem de stocare sau de expediere,astfel de sisteme sunt folositoare aplica iilor firewall.Portul de recep ie pentru SMTP este 25,iar cel de expediere este ales aleator sub 1023.Multe mailuri nu sunt adresate cu adrese IP i serverul SMTP folose te DNS(Directory and Naming Service) pentru a determina adresa IP corespunz toare.Dac aceela i sistem se ocup de distribu ia extern i intern ,acesta poate cade prad hackerilor ace tia reu ind s trimit un mail infectat in exterior.Ace tia pot sa trimita un mail i c tre alt server controlat de ei,aceast ac iune avand ca principal efect ntrzierea mailurilor. Este de dorit evitarea acestor situa ii n care primirea mailurilor externe este controlat de un sistem i cele interne sunt controlate cu DNS.Cea mai eficient metod este aceea n care fiecare tip de transfer are serverul s u. Un firewall cu filtrare de pachete folose te un set de reguli pentru a determina ce trafic trebuie trimis i ce trebuie blocat.Regulile filtrarii de pachete sunt folosite dup un algoritm pas cu pas. Filtrarea de pachete este definit ca un proces pentru controlul accesului prin examinarea pachetelor bazat pe con inut. (header) Serverele proxy permit accesul la internet pentru un singur server sau un grup mai mic de servere.Acesta evalueaz cererea de la client i d ecide ce s treac i ce s fie aruncat.Dac cererea este aprobat serverul proxy va trimite catre serverul de baz o aten ionare i va incepe transferul de date.Conceptul de proxy este foarte important pentru aplica ia firewall deoarece inlocuie te adresa IP cu un alt tip de adres . Serverele proxy sunt clasificate n 2 categorii de baz :

y Poart la nivel circuit y Poart la nivel aplica ie

Ambele creeaz o barier intre re eaua intern i cea extern ,aceasta permite controlul intergral al traficului ce trece prin ea.
4.2 Poart la nivel circuit

Poarta la nivel circuit reprezint un server proxy care define te care trafic va fi trimis mai departe.Circuitul proxy trimite mai departe pachete ce au un numar predefinit al portului,dac nu este nici o restric ie impus .Poarta la nivel circuit opereaz dup modelul OSI.Poarta se comport ca un convertor de adres IP intre internet i sistemul intern.Principalul avantaj al serverelor proxy este acela c permite NAT(Network Address Translation),acesta ascunde adresa IP intern fa a de internet.NAT permite securitatea administratorilor cu o flexibilitate foarte mare n elaborarea schemelor de adrese interne.Poarta la nivel circuit i filtrarea de pachete sunt bazate pe acelea i principii.Cnd sistemul intern trimite o serie de pachete,acestea apar la poart unde sunt supuse unei verificari privind compatibilitatea cu setul de reguli impuse.Dac pachetele nu ncalc regulile,poarta le va distribui.
4.3 Poart la nivel aplica ie

Poarta la nivel aplica ie reprezint un server proxy,ce este pornit sau oprit n func ie de dorin a clientului.Aplica ia permite schimbul de pachete doar cand conexiunea este realizat cu un protocol cunoscut.Cnd legatura este nchis ,firewallul folosind legatura proxy va rejecta pachetele chiar da c acestea se ncadreaz in conditiile impuse. Aplica ia analizeaz mesajul ntreg,nu pe pachete,cnd il trimite sau prime te.Cnd este ini ializat o conexiune TCP/IP,aplica ia va primi cererea si verific dac se respect setul de reguli impuse.Aplica ia va initia o conexiune TCP/IP cu serverul de comand .Serverul va genera un raspuns TCP/IP bazat pe cererea de la serverul proxy,raspunsul va fi trimis serverului unde este verificat in functie de filtrele serverului proxy.Dac raspunsul serverului de comand este permis,acesta va fi trimis in zona intern . Este sigur diferen a in modul de func ionare a protocoalelor.Protocolul TCP poate fi folosit usor ntr -un server proxy

deoarece are o conexiune bazat pe protocol,n timp ce protocolul UDP impune tratarea individual a fiecarui pachet ca un mesaj deoarece UDP este f r conexiune.Serverul trebuie sa analizeze fiecare pachet si s l filtreze separat ceea ce introduce o ntarziere.Programele ICMP sunt aproape imposibil de folosit cu serverul proxy deoarece mesajele nu sunt compatibile cu poarta la nivel de aplica ie.Por ile de aplica ie sunt folosite ca instrumente intermediare cand se routeaz traficul SMTP de la i catre o surs intern . Principalul avantaj al unui server proxy este acela ca pemite furniza rea NAT.

5.Designul firewallului
Aceast sec iune se ocupa cu metodele de implementare a strategiei firewall.Primul pas in proiectarea unui firewall sigur este prevenirea vulnerabilita ii la pericolele furnizate de internet.Pentru a furniza un nivel de securitate crescut cele 3 tipuri de firewall sunt:single homed bastion host,dual home bastion host i firewall ecanat pe subretea. Primele 2 optiuni sunt pentru creerea unui firewal ecranat iar a 3 a op iune con ine un filtru de pachete suplimentar pentru a cre te nivelul de securitate. Se dore te obtinerea unui nivel de securitate ct mai ridicat cu o investi ie ct mai mic .Cnd este realizat configura ia unui nou firewall componenta bastion host trebuie s fie ct mai simpl din punct de vedere software dar i hardware,acesta permite accesul public.Cnd userii ncearc sa se conecteze la internet primul instrument ntalnit va fi bastion host,acesta este mai sigur cu ct numarul de aplica ii ce l folosesc este mai mic.Unitatea bastion host trebuie sa veri fice tot traficul de intrare i ie ire,aplicand regulile impuse n poli a de securitate.Aceasta este prevazut cu alarme i conturi de logare pentru a preveni atacurile.C nd se creeaz o unitate bastion host trebuie avut n vedere rolul s u va ajuta in modul de configurare al sistemului.