Un firewall este un grup de programe localizate pe serverul gateway

al reţelei ce necesită protecţie. Acest grup de programe vor proteja

impreună resursele reţelei de restul utilizatorilor din alte reţele
similare - internetul, dar simultan vor controla ce resurse vor accesa
utilizatorii locali. Termenul implica de asemenea politica de
securitate care este folosită cu aceste programe.
De fapt, un firewall, lucrează în deaproape cu un program de routare,
examinează fiecare pachet de date din reţea (fie cea locală sau cea
exterioară) ce va trece prin serverul gateway pentru a determina daca
va fi trimis mai departe spre destinaţie. Un firewall include de
asemenea sau lucrează împreună cu un server proxy care face cereri
de pachete în numele staţiilor de lucru ale utilizatorilor. În cele mai
întâlnite cazuri aceste programe de protecţie sunt instalate pe
calculatoare ce îndeplinesc numai această funcţie şi sunt instalate în
faţa routerelor.
Înainte de a construi un firewall trebuie hotarâtă politica sa, pentru a
şti care va fi funcţia sa şi în ce fel vom face acest lucru.
Un firewall este folosit pentru doua scopuri:
pentru a păstra în afara reţelei utilizatorii rău intenţionaţi (viruşi,
viermi cybernetici, hackeri, crackeri)
pentru a păstra utilizatorii locali (angajaţii, clienţii) în reţea
Politica firewall-ului se poate alege urmând câţiva paşi simpli:
alege ce servicii va deservi firewall-ul
desemnează grupuri de utilizatori care vor fi protejaţi
defineşte ce fel de protecţie are nevoie fiecare grup de utilizatori
pentru serviciul fiecărui grup descrie cum acesta va fi protejat
scrie o declaraţie prin care oricare alte forme de access sunt o
ilegalitate
Politica va deveni tot mai complicată cu timpul, dar deocamdată este
bine să fie simplă şi la obiect.
Pot fi combinaţii diferite de firewall-uri, depinde de mediul în care
va fi aplicat.
Filtre pe bază de pachete (Packet Filtering)
operează la nivelul 3
 Groza Bianca Grupa FB18 2

este cunoscut ca firewall pe bază de porturi

fiecare pachet este comparat cu o listă de reguli (adresa
sursa/destinatie, port sursă/destinaţie, protocol)
sunt transparente pentru utilizator, aplicaţiile nu necesită modificări
sau configurări
nu este greu de implementat dar este cel mai puţin sigur
se bazează pe o tehnologie de 20 de ani
exempu: liste de acces - ACL, router access control lists
Tot traficul din internet se face sub formă de pachete. Un pachet este
o cantitate de date de marime limitată, marime destul de redusă
pentru o bună manevrare. Când o cantitate mare de date trebuie să fie
transmisă, se împarte în pachete care vor fi asamblate la destinaţie.
Un astfel de pachet conţine:
cererea, confirmarea sau comanda de la sistemul generator
portul şi adresa IP sursă
portul şi adresa IP de destinaţie
informaţii despre protocolul care va fi folosit când va fi procesat
informaţii legate de verificarea erorilor
unele informaţii despre tipul datelor care sunt trimise
deseori mai sunt incluse şi alte date care nu au legătura cu filtrarea
lor
La filtrarea pe bază de pachet, numai protocolul şi adresele sunt
examinate. Conţinutul şi contextul său referitor la legătura cu alte
pachete şi cu aplicaţiile este ignorat. Nu se ţine cont de aplicaţii nu se
ştie nimic despre sursa informaţiilor. Filtrarea constă în examinarea
pachetelor ce vin sau pleacă şi în blocarea sau trecerea lor în funcţie
de politica regulilor create.
Politica la filtrarea pachetelor poate fi bazată pe blocarea sau accesul
pachetelor după adresa IP, după port sau după protocol.
Pentru că foarte puţine date sunt analizate şi înregistrate, acest tip de
filtrare consumă foarte puţin din procesor şi nu creează întarzieri de
pachete.
Acest tip de filtrare este eficace dar nu oferă o protecţie 100%. Chiar
dacă poate bloca tot traficul, într-o reţea funcţională unele pachete tot
trebuie să treacă. Punctele sale slabe ar fi că informaţiile legate de
3 Protecţie cu firewall

adresa IP pot fi falsificate (se creează "spoof" de la sursă), userul nu

este identificat decât după IP, iar alocarea dinamică a IP-ului prin
DHCP ar crea o oarecare dificultate în contrucţia filtrelor. De
asemenea informaţia transportată din pachetele care trec nu este
verificată, aceasta putând duce la exploatarea unor errori de
programare din aplicaţii (de exemplu un hacker poate exploata un
bresă cunoscută dintr-un server web).
Filtre pe bază de circuit (Circuit Relay sau Circuit Level Gateway)
operează la nivelul 4
este mai eficace ca filtrarea pe bază de pachete
necesită suport la utilizator, configurarea aplicaţiilor
exemplu: SOCKS firewall
Acest tip de firewall nu doar blochează sau lasă să treacă pachetele
să treacă. Întâi validează conecţiunile dintre cele două puncte în
conformitate cu regulile configurate, apoi deschide o sesiune şi
permite trafic numai de la sursa permisă şi numai pentru o anumită
perioadă de timp.
Politica de filtrare poate fi bazată pe:
adresa sursă IP şi/sau portul
adresa destinaţie IP şi/sau portul
perioda din zi
protocolul
utilizatorul
parola
În comparaţie cu filtrul pe bază de pachete este un pas în plus. Este
un avantaj în controlul traficului ce utilizează protocolul UDP, care
este fără stare şi adresa sursă IP nu este validată ca o funcţie a
protocolului.
Un dezavantaj este că funcţionează la nivelul de transport (Transport
Layer), iar unele programe necesită modificări.
Puncte de acces la nivel de aplicaţie (Application level gateways)
lucrează la nivelul 5 al reţelei
este orientat pe aplicaţie
sunt mai scumpe de implementat, iar viteza de lucru este mai mică
 Groza Bianca Grupa FB18 4

sunt mai sigure şi pot crea înregistrări cu activităţile utilizatorilor

în cele mai multe cazuri este nevoie de o configurare la utilizator
exemplu: proxy web (http)
Cu această metodă un firewall controlează traficul mult mai mult.
Punctul de acces se comportă ca un proxy pentru aplicaţii, schimbul
de date având loc între proxy şi sistemul destinaţie în numele
aplicaţiei folosite de utilizator. Un sistem ce foloseşte acest proxy
este invizibil pentru sistemul destinaţie. Poate bloca sau permite
traficul după reguli foarte exacte, de exemplu execuţia doar a
anumitor comenzi, accesul numai la anumite tipuri de fişiere, diferite
reguli în funcţie utilizatorii autentificaţi şi aşa mai departe.
Înregistrarea traficului poate fi foarte detaliată, iar alarmarea
administratorilor se poate face sub reguli precise.
Firewall-urile de acest tip sunt considerate ca cele mai sigure, cu
siguranţă capabilităţile lor sunt cele mai sofisticate.
Un dezavantaj este că configurarea unui astfel de firewall este foarte
complexă, este nevoie de atenţie sporită pentru fiecare aplicaţiie care
foloseşte punctul de acces (gateway). O aplicaţie proxy este
implementată de obicei pe o arhitectură separată a cărei funcţii
primare este să furnizeze servicii proxy.
Filtre cu stare, analiză pe mai multe nivele
filtrare la nivelul 3
validare la nivelul 4
inspecţie la nivelul 5
sunt foarte complexe din punct de vedere al securităţii şi al
implementării
exemplu: CheckPoint Firewall-1
Aceste filtre sunt bazate pe tehnologii noi şi furnizează modalităţi noi
pentru asigurarea securităţii reţelei.
Firewall personale (Host Firewall)
Aceste filtre sunt cele configurate direct pe staţiile de lucru. Se pot
baza pe diferite metode, în funcţie de ele se accesează resursele
reţelei.
blocarea driverelor pentru protocoale: se blochează încărcarea
driverelor pentru protocoale pentru a nu fi folosite de către programe
5 Protecţie cu firewall

blocare la nivel de aplicaţie: se permite accesarea reţelei sau a

conexiilor ce se deschid doar a aplicaţiilor sau a librăriilor dorite
blocare pe bază de semnătură: se monitorizează constant traficul din
reţea şi se blochează atacurile asupra calculatorului
Dacă numărul de calculatoare protejate individual de câte un firewall
este destul de mare, controlul securităţii din reţea este destul de
dificil.
De asemenea există posibilitatea unei breşe în sistem datorită unei
erori de configuraţie.
Toate aceste tipuri de firewall au un lucru în comun: primesc,
analizează şi apoi decid despre datele care ajung în reţea. Asta
înseamnă că lucrează cu pachete şi sunt instalate strategic în punctul
de acces al reţelei sau al sistemului ce trebuie protejat. Traficul ce
pleacă poate fi şi el analizat şi filtrat.
În concluzie, tipurile şi posibilităţile firewall-urilor sunt definite în
mare de locul unde se găsesc în ierarhia reţelei, nivelul la care
operează, modul cum sunt analizate şi cum este afectat traficul de
date (pachetele), funcţiile auxiliare de securitate şi utilitare pe care le
îndeplinesc (datele pot fi encriptate/decriptate de firewall pentru
securizarea comunicaţiilor, prin intermediul scripturilor
administratorii poate opera şi programa, un firewall poate facilita
comunicaţia între două reţele incompatibile direct).