Agora
Media
Libraria Byblos



AgoraNews  





PC Magazine Ro  




NET Report   




Ginfo   




agora ON line   





PC Concrete   





Liste de discuții   




Cartea de oaspeți   




Mesaje   





Agora   








Clic aici
PC Report - ultimul numar aparut


IPRO - PC Magazine Romania, Septembrie 2003
SOLUȚII PENTRU PROGRAMATORII ȘI DESIGNERII WEB

Protecție cu firewall

Dan Cândea

Un firewall este un grup de programe localizate pe serverul gateway al rețelei ce necesită protecție. Acest grup de programe vor proteja impreună resursele rețelei de restul utilizatorilor din alte rețele similare - internetul, dar simultan vor controla ce resurse vor accesa utilizatorii locali. Termenul implica de asemenea politica de securitate care este folosită cu aceste programe.

De fapt, un firewall, lucrează în deaproape cu un program de routare, examinează fiecare pachet de date din rețea (fie cea locală sau cea exterioară) ce va trece prin serverul gateway pentru a determina daca va fi trimis mai departe spre destinație. Un firewall include de asemenea sau lucrează împreună cu un server proxy care face cereri de pachete în numele stațiilor de lucru ale utilizatorilor. În cele mai întâlnite cazuri aceste programe de protecție sunt instalate pe calculatoare ce îndeplinesc numai această funcție și sunt instalate în fața routerelor.

Înainte de a construi un firewall trebuie hotarâtă politica sa, pentru a ști care va fi funcția sa și în ce fel vom face acest lucru.

Un firewall este folosit pentru doua scopuri:

  • pentru a păstra în afara rețelei utilizatorii rău intenționați (viruși, viermi cybernetici, hackeri, crackeri)
  • pentru a păstra utilizatorii locali (angajații, clienții) în rețea

Politica firewall-ului se poate alege urmând câțiva pași simpli:

  • alege ce servicii va deservi firewall-ul
  • desemnează grupuri de utilizatori care vor fi protejați
  • definește ce fel de protecție are nevoie fiecare grup de utilizatori
  • pentru serviciul fiecărui grup descrie cum acesta va fi protejat
  • scrie o declarație prin care oricare alte forme de access sunt o ilegalitate

Politica va deveni tot mai complicată cu timpul, dar deocamdată este bine să fie simplă și la obiect.

Pot fi combinații diferite de firewall-uri, depinde de mediul în care va fi aplicat.

Filtre pe bază de pachete (Packet Filtering)

  • operează la nivelul 3
  • este cunoscut ca firewall pe bază de porturi
  • fiecare pachet este comparat cu o listă de reguli (adresa sursa/destinatie, port sursă/destinație, protocol)
  • sunt transparente pentru utilizator, aplicațiile nu necesită modificări sau configurări
  • nu este greu de implementat dar este cel mai puțin sigur
  • se bazează pe o tehnologie de 20 de ani
  • exempu: liste de acces - ACL, router access control lists

Tot traficul din internet se face sub formă de pachete. Un pachet este o cantitate de date de marime limitată, marime destul de redusă pentru o bună manevrare. Când o cantitate mare de date trebuie să fie transmisă, se împarte în pachete care vor fi asamblate la destinație. Un astfel de pachet conține:

  • cererea, confirmarea sau comanda de la sistemul generator
  • portul și adresa IP sursă
  • portul și adresa IP de destinație
  • informații despre protocolul care va fi folosit când va fi procesat
  • informații legate de verificarea erorilor
  • unele informații despre tipul datelor care sunt trimise
  • deseori mai sunt incluse și alte date care nu au legătura cu filtrarea lor

La filtrarea pe bază de pachet, numai protocolul și adresele sunt examinate. Conținutul și contextul său referitor la legătura cu alte pachete și cu aplicațiile este ignorat. Nu se ține cont de aplicații nu se știe nimic despre sursa informațiilor. Filtrarea constă în examinarea pachetelor ce vin sau pleacă și în blocarea sau trecerea lor în funcție de politica regulilor create.

Politica la filtrarea pachetelor poate fi bazată pe blocarea sau accesul pachetelor după adresa IP, după port sau după protocol.

Pentru că foarte puține date sunt analizate și înregistrate, acest tip de filtrare consumă foarte puțin din procesor și nu creează întarzieri de pachete.

Acest tip de filtrare este eficace dar nu oferă o protecție 100%. Chiar dacă poate bloca tot traficul, într-o rețea funcțională unele pachete tot trebuie să treacă. Punctele sale slabe ar fi că informațiile legate de adresa IP pot fi falsificate (se creează "spoof" de la sursă), userul nu este identificat decât după IP, iar alocarea dinamică a IP-ului prin DHCP ar crea o oarecare dificultate în contrucția filtrelor. De asemenea informația transportată din pachetele care trec nu este verificată, aceasta putând duce la exploatarea unor errori de programare din aplicații (de exemplu un hacker poate exploata un bresă cunoscută dintr-un server web).

Filtre pe bază de circuit (Circuit Relay sau Circuit Level Gateway)

  • operează la nivelul 4
  • este mai eficace ca filtrarea pe bază de pachete
  • necesită suport la utilizator, configurarea aplicațiilor
  • exemplu: SOCKS firewall

Acest tip de firewall nu doar blochează sau lasă să treacă pachetele să treacă. Întâi validează conecțiunile dintre cele două puncte în conformitate cu regulile configurate, apoi deschide o sesiune și permite trafic numai de la sursa permisă și numai pentru o anumită perioadă de timp.

Politica de filtrare poate fi bazată pe:

  • adresa sursă IP și/sau portul
  • adresa destinație IP și/sau portul
  • perioda din zi
  • protocolul
  • utilizatorul
  • parola

În comparație cu filtrul pe bază de pachete este un pas în plus. Este un avantaj în controlul traficului ce utilizează protocolul UDP, care este fără stare și adresa sursă IP nu este validată ca o funcție a protocolului.

Un dezavantaj este că funcționează la nivelul de transport (Transport Layer), iar unele programe necesită modificări.

Puncte de acces la nivel de aplicație (Application level gateways)

  • lucrează la nivelul 5 al rețelei
  • este orientat pe aplicație
  • sunt mai scumpe de implementat, iar viteza de lucru este mai mică
  • sunt mai sigure și pot crea înregistrări cu activitățile utilizatorilor
  • în cele mai multe cazuri este nevoie de o configurare la utilizator
  • exemplu: proxy web (http)

Cu această metodă un firewall controlează traficul mult mai mult. Punctul de acces se comportă ca un proxy pentru aplicații, schimbul de date având loc între proxy și sistemul destinație în numele aplicației folosite de utilizator. Un sistem ce folosește acest proxy este invizibil pentru sistemul destinație. Poate bloca sau permite traficul după reguli foarte exacte, de exemplu execuția doar a anumitor comenzi, accesul numai la anumite tipuri de fișiere, diferite reguli în funcție utilizatorii autentificați și așa mai departe. Înregistrarea traficului poate fi foarte detaliată, iar alarmarea administratorilor se poate face sub reguli precise.

Firewall-urile de acest tip sunt considerate ca cele mai sigure, cu siguranță capabilitățile lor sunt cele mai sofisticate.

Un dezavantaj este că configurarea unui astfel de firewall este foarte complexă, este nevoie de atenție sporită pentru fiecare aplicațiie care folosește punctul de acces (gateway). O aplicație proxy este implementată de obicei pe o arhitectură separată a cărei funcții primare este să furnizeze servicii proxy.

Filtre cu stare, analiză pe mai multe nivele

  • filtrare la nivelul 3
  • validare la nivelul 4
  • inspecție la nivelul 5
  • sunt foarte complexe din punct de vedere al securității și al implementării
  • exemplu: CheckPoint Firewall-1

Aceste filtre sunt bazate pe tehnologii noi și furnizează modalități noi pentru asigurarea securității rețelei.

Firewall personale (Host Firewall)

Aceste filtre sunt cele configurate direct pe stațiile de lucru. Se pot baza pe diferite metode, în funcție de ele se accesează resursele rețelei.

  • blocarea driverelor pentru protocoale: se blochează încărcarea driverelor pentru protocoale pentru a nu fi folosite de către programe
  • blocare la nivel de aplicație: se permite accesarea rețelei sau a conexiilor ce se deschid doar a aplicațiilor sau a librăriilor dorite
  • blocare pe bază de semnătură: se monitorizează constant traficul din rețea și se blochează atacurile asupra calculatorului

Dacă numărul de calculatoare protejate individual de câte un firewall este destul de mare, controlul securității din rețea este destul de dificil.

De asemenea există posibilitatea unei breșe în sistem datorită unei erori de configurație.

Toate aceste tipuri de firewall au un lucru în comun: primesc, analizează și apoi decid despre datele care ajung în rețea. Asta înseamnă că lucrează cu pachete și sunt instalate strategic în punctul de acces al rețelei sau al sistemului ce trebuie protejat. Traficul ce pleacă poate fi și el analizat și filtrat.

În concluzie, tipurile și posibilitățile firewall-urilor sunt definite în mare de locul unde se găsesc în ierarhia rețelei, nivelul la care operează, modul cum sunt analizate și cum este afectat traficul de date (pachetele), funcțiile auxiliare de securitate și utilitare pe care le îndeplinesc (datele pot fi encriptate/decriptate de firewall pentru securizarea comunicațiilor, prin intermediul scripturilor administratorii poate opera și programa, un firewall poate facilita comunicația între două rețele incompatibile direct).


PC Magazine Ro | CD ROM | Redactia | Abonamente | CautareArhive

Copyright © 1999-2002 Agora Media.

[email protected]

LG - LifeŽs Good

www.agora.ro

deltafri

Concurs de Grafica Digitala si Web Design

www.agora.ro

www.agora.ro