Agora Media


  Căutare pe situl Agora Media
    
Libraria Byblos



AgoraNews  





PC Magazine Ro  




NET Report   




Ginfo   




agora ON line   





PC Concrete   





Liste de discuţii   




Cartea de oaspeţi   




Mesaje   





Agora   








Clic aici
PC Report - ultimul numar aparut




IPRO - PC Magazine Romania, Septembrie 2003
 SOLUŢII PENTRU PROGRAMATORII ŞI DESIGNERII WEB

Protecţie cu firewall

Dan Cândea

Un firewall este un grup de programe localizate pe serverul gateway al reţelei ce necesită protecţie. Acest grup de programe vor proteja impreună resursele reţelei de restul utilizatorilor din alte reţele similare - internetul, dar simultan vor controla ce resurse vor accesa utilizatorii locali. Termenul implica de asemenea politica de securitate care este folosită cu aceste programe.

De fapt, un firewall, lucrează în deaproape cu un program de routare, examinează fiecare pachet de date din reţea (fie cea locală sau cea exterioară) ce va trece prin serverul gateway pentru a determina daca va fi trimis mai departe spre destinaţie. Un firewall include de asemenea sau lucrează împreună cu un server proxy care face cereri de pachete în numele staţiilor de lucru ale utilizatorilor. În cele mai întâlnite cazuri aceste programe de protecţie sunt instalate pe calculatoare ce îndeplinesc numai această funcţie şi sunt instalate în faţa routerelor.

Înainte de a construi un firewall trebuie hotarâtă politica sa, pentru a şti care va fi funcţia sa şi în ce fel vom face acest lucru.

Un firewall este folosit pentru doua scopuri:

  • pentru a păstra în afara reţelei utilizatorii rău intenţionaţi (viruşi, viermi cybernetici, hackeri, crackeri)
  • pentru a păstra utilizatorii locali (angajaţii, clienţii) în reţea

Politica firewall-ului se poate alege urmând câţiva paşi simpli:

  • alege ce servicii va deservi firewall-ul
  • desemnează grupuri de utilizatori care vor fi protejaţi
  • defineşte ce fel de protecţie are nevoie fiecare grup de utilizatori
  • pentru serviciul fiecărui grup descrie cum acesta va fi protejat
  • scrie o declaraţie prin care oricare alte forme de access sunt o ilegalitate

Politica va deveni tot mai complicată cu timpul, dar deocamdată este bine să fie simplă şi la obiect.

Pot fi combinaţii diferite de firewall-uri, depinde de mediul în care va fi aplicat.

Filtre pe bază de pachete (Packet Filtering)

  • operează la nivelul 3
  • este cunoscut ca firewall pe bază de porturi
  • fiecare pachet este comparat cu o listă de reguli (adresa sursa/destinatie, port sursă/destinaţie, protocol)
  • sunt transparente pentru utilizator, aplicaţiile nu necesită modificări sau configurări
  • nu este greu de implementat dar este cel mai puţin sigur
  • se bazează pe o tehnologie de 20 de ani
  • exempu: liste de acces - ACL, router access control lists

Tot traficul din internet se face sub formă de pachete. Un pachet este o cantitate de date de marime limitată, marime destul de redusă pentru o bună manevrare. Când o cantitate mare de date trebuie să fie transmisă, se împarte în pachete care vor fi asamblate la destinaţie. Un astfel de pachet conţine:

  • cererea, confirmarea sau comanda de la sistemul generator
  • portul şi adresa IP sursă
  • portul şi adresa IP de destinaţie
  • informaţii despre protocolul care va fi folosit când va fi procesat
  • informaţii legate de verificarea erorilor
  • unele informaţii despre tipul datelor care sunt trimise
  • deseori mai sunt incluse şi alte date care nu au legătura cu filtrarea lor

La filtrarea pe bază de pachet, numai protocolul şi adresele sunt examinate. Conţinutul şi contextul său referitor la legătura cu alte pachete şi cu aplicaţiile este ignorat. Nu se ţine cont de aplicaţii nu se ştie nimic despre sursa informaţiilor. Filtrarea constă în examinarea pachetelor ce vin sau pleacă şi în blocarea sau trecerea lor în funcţie de politica regulilor create.

Politica la filtrarea pachetelor poate fi bazată pe blocarea sau accesul pachetelor după adresa IP, după port sau după protocol.

Pentru că foarte puţine date sunt analizate şi înregistrate, acest tip de filtrare consumă foarte puţin din procesor şi nu creează întarzieri de pachete.

Acest tip de filtrare este eficace dar nu oferă o protecţie 100%. Chiar dacă poate bloca tot traficul, într-o reţea funcţională unele pachete tot trebuie să treacă. Punctele sale slabe ar fi că informaţiile legate de adresa IP pot fi falsificate (se creează "spoof" de la sursă), userul nu este identificat decât după IP, iar alocarea dinamică a IP-ului prin DHCP ar crea o oarecare dificultate în contrucţia filtrelor. De asemenea informaţia transportată din pachetele care trec nu este verificată, aceasta putând duce la exploatarea unor errori de programare din aplicaţii (de exemplu un hacker poate exploata un bresă cunoscută dintr-un server web).

Filtre pe bază de circuit (Circuit Relay sau Circuit Level Gateway)

  • operează la nivelul 4
  • este mai eficace ca filtrarea pe bază de pachete
  • necesită suport la utilizator, configurarea aplicaţiilor
  • exemplu: SOCKS firewall

Acest tip de firewall nu doar blochează sau lasă să treacă pachetele să treacă. Întâi validează conecţiunile dintre cele două puncte în conformitate cu regulile configurate, apoi deschide o sesiune şi permite trafic numai de la sursa permisă şi numai pentru o anumită perioadă de timp.

Politica de filtrare poate fi bazată pe:

  • adresa sursă IP şi/sau portul
  • adresa destinaţie IP şi/sau portul
  • perioda din zi
  • protocolul
  • utilizatorul
  • parola

În comparaţie cu filtrul pe bază de pachete este un pas în plus. Este un avantaj în controlul traficului ce utilizează protocolul UDP, care este fără stare şi adresa sursă IP nu este validată ca o funcţie a protocolului.

Un dezavantaj este că funcţionează la nivelul de transport (Transport Layer), iar unele programe necesită modificări.

Puncte de acces la nivel de aplicaţie (Application level gateways)

  • lucrează la nivelul 5 al reţelei
  • este orientat pe aplicaţie
  • sunt mai scumpe de implementat, iar viteza de lucru este mai mică
  • sunt mai sigure şi pot crea înregistrări cu activităţile utilizatorilor
  • în cele mai multe cazuri este nevoie de o configurare la utilizator
  • exemplu: proxy web (http)

Cu această metodă un firewall controlează traficul mult mai mult. Punctul de acces se comportă ca un proxy pentru aplicaţii, schimbul de date având loc între proxy şi sistemul destinaţie în numele aplicaţiei folosite de utilizator. Un sistem ce foloseşte acest proxy este invizibil pentru sistemul destinaţie. Poate bloca sau permite traficul după reguli foarte exacte, de exemplu execuţia doar a anumitor comenzi, accesul numai la anumite tipuri de fişiere, diferite reguli în funcţie utilizatorii autentificaţi şi aşa mai departe. Înregistrarea traficului poate fi foarte detaliată, iar alarmarea administratorilor se poate face sub reguli precise.

Firewall-urile de acest tip sunt considerate ca cele mai sigure, cu siguranţă capabilităţile lor sunt cele mai sofisticate.

Un dezavantaj este că configurarea unui astfel de firewall este foarte complexă, este nevoie de atenţie sporită pentru fiecare aplicaţiie care foloseşte punctul de acces (gateway). O aplicaţie proxy este implementată de obicei pe o arhitectură separată a cărei funcţii primare este să furnizeze servicii proxy.

Filtre cu stare, analiză pe mai multe nivele

  • filtrare la nivelul 3
  • validare la nivelul 4
  • inspecţie la nivelul 5
  • sunt foarte complexe din punct de vedere al securităţii şi al implementării
  • exemplu: CheckPoint Firewall-1

Aceste filtre sunt bazate pe tehnologii noi şi furnizează modalităţi noi pentru asigurarea securităţii reţelei.

Firewall personale (Host Firewall)

Aceste filtre sunt cele configurate direct pe staţiile de lucru. Se pot baza pe diferite metode, în funcţie de ele se accesează resursele reţelei.

  • blocarea driverelor pentru protocoale: se blochează încărcarea driverelor pentru protocoale pentru a nu fi folosite de către programe
  • blocare la nivel de aplicaţie: se permite accesarea reţelei sau a conexiilor ce se deschid doar a aplicaţiilor sau a librăriilor dorite
  • blocare pe bază de semnătură: se monitorizează constant traficul din reţea şi se blochează atacurile asupra calculatorului

Dacă numărul de calculatoare protejate individual de câte un firewall este destul de mare, controlul securităţii din reţea este destul de dificil.

De asemenea există posibilitatea unei breşe în sistem datorită unei erori de configuraţie.

Toate aceste tipuri de firewall au un lucru în comun: primesc, analizează şi apoi decid despre datele care ajung în reţea. Asta înseamnă că lucrează cu pachete şi sunt instalate strategic în punctul de acces al reţelei sau al sistemului ce trebuie protejat. Traficul ce pleacă poate fi şi el analizat şi filtrat.

În concluzie, tipurile şi posibilităţile firewall-urilor sunt definite în mare de locul unde se găsesc în ierarhia reţelei, nivelul la care operează, modul cum sunt analizate şi cum este afectat traficul de date (pachetele), funcţiile auxiliare de securitate şi utilitare pe care le îndeplinesc (datele pot fi encriptate/decriptate de firewall pentru securizarea comunicaţiilor, prin intermediul scripturilor administratorii poate opera şi programa, un firewall poate facilita comunicaţia între două reţele incompatibile direct).

PC Magazine Ro | CD ROM | Redactia | Abonamente | CautareArhive

Copyright © 1999-2002 Agora Media.
webmaster@pcmagazine.ro

LG - Life´s Good

www.agora.ro

deltafri

Concurs de Grafica Digitala si Web Design

www.agora.ro

www.agora.ro