Lucrare de Lab Nr.6 PI

7/25/2019 Lucrare de Lab Nr.6 PI

1/11

Lucrarea de laborator nr.6

Tema:Configurarea si utilizarea firewallu-lui intr-un router

Sistemul firewall reprezint o barier n caleaatacurilor informatice.Sistemul firewallasigurrespectarea politicilor de securitate pentrucontrolul accesului la resursele protejate.Toatefirewall-urile au un lucru n comun :recep ioneaz,analizeaz i iau decizii pentru toate

pachetele sosite nainte ca acestea s ajung ncalculator sau ntr-o retea.El este primul program

care recep ioneaz i prelucreaz traficul de intrare ieste ultimul care prelucreaz traficul deie ire.Exist dou tipuri de firewall:la nielaplica ie (proxy-uri i la niel re ea (filtrare depac!ete!n firewall la niel aplica ie realizeaztransmiterea de date cu sistemul de distant n "numele"aplica iilor din re eaua intern,asta nseamn c firewall-ul ede sistemul de la distan dar el nu ede firewall-ul.#oate permite sau refuza trafic pe

baza unor reguli foarte stricte cum ar fi limitarea accesului fi ierelor cu o anumit extensie (.exe ".a#iasta depinde de setrile care sunt fcute de utilizator.$e asemenea firewall-ul poate s anun e

utilizatorul c%nd apar anumite condi ii.$ezaantajul este c setarea unui firewall este foarte complexnecesitand mare aten ie pentru aplica iile indiiduale ce folosesc ser#erul proxy.&l doilea tip de firewalleste $iltrarea de pac!ete.Tot traficul 'nternet este transmis n form de pachete.!n pachet este ocantitate de date de dimensiune limitat pentru a u ura prelucrarea lui.$ac sunt transmise cantit i mari de date acestea sunt mpr ite n mai multe pachete.(n principiu un pachet este o serie de numere digitalece const din :

- datele n sine de transmis,confirmarea,cererea de la sistemul surs- adresa ip i portul surs- adresa ip i portul destina ie

- informa ie de erificare a erorii$irewall-ulnumai informa ia de protocol i adresa este examinat. )iltrarea const din examinarea pachetelor sosite i permiterea sau refuzarea transmiterii acestora pe bazaregulilor configurabile numite politici de filtrare.!n firewall filtreaz pachetele dup adresasursei,portului destina iei sau dup protocolul utilizat.*ingurul dezaantaj este c poate bloca tot traficulceea ce ar nsema securitatea absolut.$ar pentru a aea o re ea folositoare trebuie s permit accesulunor pachete.


2/11

System frewall(LAN) | (HUB)

internet

calculator

(DMZ)(HUB)

internet System proxy frewallcalculator

(LAN) | (HUB)

proxy ser!er

Tipuri de firewall-uri

Exist dou tipuri de firewall-uri:

+. )irewall-uri de filtrare care blocheaz anumite pachete specifice

. *erere #rox care stabilesc conexiuni de re/ea n exterior pentru calculatoarele din interiorul 0&1-ului

$irewall-uri de filtrare a pac!etelor (Packet Filtering Firewalls2

)irewall-urile de tip filtru de pachete sunt firewall-uri care pentru fiecare pachet '# care circulaprin sistem 3intra, iese sau este routat2 erifica informatiile din antetul lui si in functie de acestea decide

soarta pachetului: el poate sa lase pachetul sa treaca 3&44E#T2 sau poate sa-l opreasca35E6E4T7$E182. &cestea sunt operatiile mai importante pe care le poate efectua un filtru de pacheteasupra unui pachet. #e langa acestea, mai sunt si alte functii pe care le poate indeplini un filtru de pachete:mascare, redirectare, port forwarding care or fi detaliate mai jos. )iltrul de pachete pentru sistemul deoperare 0inux este construit n interiorul 9ernel-ului.

!n firewall de filtrare lucreaz la nielul re/ea. 'nforma/ia poate prsi sistemul doar dacregulile firewall-ului o permit. 4%nd pachetele ajung la firewall ele sunt filtrate dup tip, adresa surs,adresa destina/ie i numr de port, informa/ii care sunt con/inute n orice pachet '#. ;ajoritatea routerelorde re/ea ofer sericii de filtrare. $e fapt firewall-ul este un fel de router. #entru c foarte pu/ine date suntanalizate i logate, firewall-urile de filtrare consum mai pu/in timp 4#! i creeaz mai pu/ine nt%rzieri

pe re/ea decat alte sericii de acest gen. )irewall-urile de filtrare nu suport autentificarea prin parole. !nfirewall identific un utilizator doar dup adresa '# de la care lucreaz.

#rintre aantajele firewall-urilor cu filtrare de pachete se numara si urmatoarele: controlultraficului 3daca firewall-ul ruleaza pe gatewa-ul spre alta retea atunci acesta poate sa permita 3sa lase satreaca2 un anumit tip de trafic, pe cand alt tip de trafic poate sa-l opreasca se poate restrictiona, astfel,traficul spre o anumita parte a internetului sau a altei retele exterioare2, securitate sporita 3cand linux

box-ul dumneaoastra este singurul paraan care sta intre reteaua dumneaoastra locala si haosul dininternet, este o idee buna aceea de a restrictiona accesul din exterior la porturile dumneaoastra deschise astfel, se poate permite accesul la reteaua dumneaoastra locala numai din anumite locuri considerate

sigure2 si supraegherea retelei 3daca o masina prost configurata sau irusata din reteaua dumneaostralocala incepe sa transmita la intamplare pachete in lumea exterioara este bine sa stiti acest lucru si saremediati situatia2.


3/11

1ucleele 0inux au aut filtre de pachete inca de la seria +.+. #rima generatie de filtre de pachete,bazata pe ipfw din . &ceasta a fost imbunatatita de 6os ?os si altiipentru nucleele .@A a fost introdus si un utilitar, ipfwadm, pentru a controla regulile de filtrare din 9ernel.'n +==B, 5ust 5ussell cu ajutorul lui ;ichael 1euling au introdus utilitarul ipc!ainspentru controlulregulilor de filtrare din nucleele .. 'n fine, in +===, 5ust 5ussell a introdus o a patra generatie de

utilitare pentru filtrarea pachetelor si anume iptables, pentru nucleele .>. 1e om concentra in cele ceurmeaza asupra utilitarelor ipc!ainssi iptables, acestea fiind de generatie noua.

Ipchains este firewall-ul implementat de 9ernelul linux. %pc!ains este folosit pentru a seta,men/ine i inspecta regulile de firewall din 9ernelul de linux. 1ucleul 0inux intretine o serie de structuriinterne numite reguli de fitrare. &ceste reguli pot fi mpr/ite n patru categorii diferite 3chains7lan/uri2:

- '# input chain 3pentru pachetele care intr2,- '# output chain 3pentru pachetele care ies2,- '# forwarding chain 3pentru pachetele care trebuie rutate2 i

- chain-uri definite de utilizator.#entru fiecare din aceste categorii este men/inut o tabel separat de reguli n 9ernel. #rimele trei

chain-uri 3tabele2 sunt chain-uri predefinite 3built-in2 care exista deja in 9ernel, dar utilizatorul poatecontrui si altele. C regul specific un criteriu pentru un pachet si o Dtinta. Tinta poate fi orice lant 3built-in sau definit de utilizator2 sau urmatoarele cuinte rezerate: &44E#T, $E18, 5E6E4T, ;&*F,5E$'5E4T si 5ET!51. Ea precizeaza ce se a intampla cu pachetul care erifica criteriul. $ac

pachetul nu se potriete cu criteriul respecti, urmtoarea regul din lan/ este examinat, daca niciaceasta regula nu contine un criteriu care sa se potrieasca cu pachetul nostru este examinata urmatoarearegula din lant si procesul continua in acelasi mod pana cand se gaseste o regula care sa contina un

criteriu pe care sa-l erifice pachetul nostru sau se ajunge la sfarsitul lantului, caz in care pachetul a fitratat conform politicii lantuluiA dac pachetul se potriete cu criteriul unei reguli, el poate fi trimis altuilan/ de reguli definit de utilizator sau poate fi :

lsat s treac mai departe 3&44E#T2

abandonat 3$E182

abandonat, dar se trimite un mesaj '4;# expeditorului pachetului indic%nd cpachetul a fost abandonat 35E6E4T2

mascat, ca i c%nd el ar proeni de la hostul local 3;&*F2A aceast op/iune este

legal doar pentru forward chain i pentru chain-uri definite de utilizator i doar dac nucleul ecompilat cu op/iunea 4C1)'GH'#H;&*F!E5&$E. ;ai mult, pachetele care se ntorc or firecunoscute ca atare i or fi demascate automat i trimise chain-ului forward

redirectate ctre un soc9et local chiar dac a fost trimis unui host la distan/35E$'5E4T2A aceast op/iune este legal doar pentru input chain i pentru chain-uri definite deutilizator i poate fi folosit doar dac nucleul a fost compilat cu op/iunea4C1)'GH'#HT5&1*#&5E1TH#5CI8. $aca portul de redirectare este @ 3aloarea implicita2,

portul destinatie al pachetului a fi folosit ca si port de redirectare. $aca se foloseste aceasta tinta35E$'5E4T2 se poate specifica ca si argument optional numarul portului de redirectare.

trimis regulii urmtoare din chain-ul anterior dac s-a ajuns la sfritul chain-ului

definit de utilizator sau o regul cu /inta 5ET!51 este erificat.


4/11

&m spus mai sus ca o regula dintr-un chain este compusa dintr-un criteriu si o tinta. $aca unpachet se potrieste cu criteriul respecti, tinta a fi cea care stabileste soarta pachetului. #entruspecificarea unui criteriu7reguli se pot folosi urmatorii parametrii:

-p, --protocol JKL protocol : specifica protocolul 3de niel transport2 pachetelor care sunt

erificate de regula. ?aloarea protocol poate fi una dintre alorile Dtcp, Dudp, Dicmp sau Dall 3adica

Mtoate protocoaleleN si este aloarea implicita pentru acest parametru2 sau poate fi o aloare numerica sauliterala din fisierul 7etc7protocols. &rgumentul DK este optional si inerseaza testul 3are efectul uneinegatii2.

Ex: ipchains A input p tcp j ACCEPT : aceasta regula spune kernelului sa accepte orice pachet

care intra in sistem si are ca si protocol de transport, TCP.

-s, --source, --src JKL addressJ7mas9L JKL JportJ:portLL : specifica sursa pachetului. #arametrul

adress este o adresa '#, iar mas9 poate fi ori un netmas9 3ex. OO.OO.OO.@2 ori un numar 3ex. >2 carespecifica cati biti din adresa '# sa fie erificati 3bitii de networ92. !n argument DK inaintea adreseiinerseaza sensul adresei '#. *e mai poate include in specificarea sursei pachetului o specificare de portsau tip '4;#. &ceasta poate fi un numar de port 3B@2, un nume de sericiu 3http2, un tip '4;# numericsau unul dintre tipurile '4;# afisate de comanda ipchains h icmp. *e poate specifica o marja de porturiin formatul Dport:port. $aca primul port lipseste este considerat @A daca ultimul lipseste, este consideratPOOQO. #orturile pot fi folosite numai in combinatie cu protocoalele tcp, udp si icmp. &rgumentul DK

plasat inaintea specificarii de port inerseaza sensul.Ex: ipchains A input p tcp s 19.1!".1.#$% 1:& j ACCEPT : aceasta regula spune kernelului

sa accepte toate pachetele care intra in sistem si care 'in de la calculatoarele din reteaua

19.1!".1.#$((.((.((.#, )olosesc protocolul de transport TCP si au ca si port sursa unul dintre

1,,&.

-d, --destination, --dst JKL addressJ7mas9L JKL JportJ:portLL : specifica destinatia pachetului.

#arametrii din specificatie au acelasi sens ca la specificarea sursei 3mai sus2.Ex: ipchains A )or*ard p tcp d #9.%1.#.+ 1 j E-ECT : aceasta regula spune

kernelului sa re)ue toate pachetele care sunt rutate de sistem catre calculatorul #9.%1.#.+ pe

portul 1.

--sport, --source-port JKL JportJ:portLL : se poate specifica portul sursa separat.

--dport, --destination-port JKL JportJ:portLL : se poate specifica portul destinatie separat.

--icmp-tpe JKL tip : specifica tipul pachetelor icmp 3tipul pachetelor icmp se poate afla cu

instructiunea ipchains h icmp2

-j, --jump tinta : aceasta optiune specifica tinta regulii. tinta poate fi ori un lant 3chain2 definit

de utilizator ori una din tintele speciale 3specificate mai sus2 care decid soarta unui pachetimediat. $aca intr-o regula aceasta optiune este omisa, regula care este erificata nu ainfluenta deloc soarta pachetului, dar counterii regulii or fi incrementati.

-i, --interface JKL nume : specifica interfata de retea prin care un pachet este receptionat

3pentru lantul input2 sau prin care un pachet este trimis 3pentru lanturile output si forward2.$aca optiunea este omisa, orice interfata este erificata. &rgumentul DK inerseaza sensulexpresiei. $aca numele interfetei se termina cu DR atunci orice interfata a carei nume incepecu nume este erificata.Ex: ipchains A output i ppp# j ACCEPT : aceasta regula spune kernelului sa accepte

orice pachet care este trimis pe inter)ata ppp#.

JKL -f, --fragment : aceasta specifica ca regula se refera numai la al doilea fragment si

urmatoarele dintr-un pachet fragmentat.


5/11

&lte optiuni: -b, --bidirectional : modul bidirectionalA aceasta regula are acelasi efect ca si cand am

scrie regula de doua ori cu sursa si destinatia inersate. -, --erbose : formatul de afisare detaliat.

-n, --numeric : modul numeric de afisare adresele de '# si porturile or fi afisate in

format numeric si nu or fi traduse in nume de hosturi si nume de sericii. -l, --log : optiunea de logA cand un pachet erifica aceasta regula, se or loga anumite

informatii despre pachetul respecti. JKL -, --sn : doar pachetele T4# cu bit-ul *81 setat si bitii &4S si )'1 zero or erifica

aceasta regulaA aceste pachete sunt folosite la cererea de initiere a unei conexiuni T4#.Ex: ipchains A input s 1.#.1#9.% d 19&.&1.1".&" p tcp dport 1 / j 0E2 :

aceasta regula spune kernelului sa )aca den/ la orice cerere de initiere de conexiune care 'ine de la

1.#.1#9.% pe portul destinatie 1 la adresa destinatie 19&.&1.1".&" .

4hain-urile input, output i forward sunt built-in i ele nu pot fi terse. 0an/urile definite de utilizator,

n schimb, se pot terge. 5egulile se pot aduga i se pot terge din oricare chain. Cpera/iile asupra unuichain sunt:

crearea unui nou chain 3-12

tergerea unui chain gol 3-I2

schimbarea politicii unui chain built-in 3-#2: &44E#T, $E18, 5E6E4T, ;&*F,

5E$'5E4T, 5ET!51.

listarea regulilor dintr-un chain 3-02

golirea unui chain 3-)2A flush

seta la zero counterii de pachete si counterii de btes din toate chainurile 3-2Cpera/iile care se pot aplica regulilor din interiorul unui chain sunt:

adugarea unei noi reguli n chain 3-&2

inserarea unei noi reguli ntr-un chain pe o pozi/ie oarecare 3-'2

nlocuirea unei reguli dintr-un chain 3-52

tergerea unei reguli dintr-un chain 3-$2

tergerea primei reguli care se potriete dintr-un chain 3-$2

Cpera/ii pentru mascarea pachetelor 3masUuerading2:

listarea conexiunilor curent mascate 3-; 02 setarea alorilor de timeout pentru mascare 3-; *2

&lte operatii:

erificarea daca un anumit pachet erifica reo regula dintr-un chain 3-42

#entru 9ernelurile . regulile de firewall se scriu n fiierul $etc$rc.d$rc.)ire*all, fiier care esteexecutat la ini/ializarea sistemului. 4on/inutul chain-urilor se poate ns manipula i dinamic cu ajutorulinstruc/iunilor ipchains. 'at un exemplu de$etc$rc.d$rc.)ire*all:

"#$ins%


6/11

"

" rc&frewall

"

"" 'olim fecare c%ain i ncepem *e la +ero

s$inipc%ains ,- input

s$inipc%ains ,- output

s$inipc%ains ,- .orwar*

"accepta conexiuni *e la /01&223&45&/46

s$inipc%ains ,A input ,s /01&223&45&/46 ,7 A889:;

"re.u+a conexiuni ;8: *e la %osturile *in clasa /01&223&45&5 i care au netmasie pe porturile 3555C555 sunt

"a$an*onate)

s$inipc%ains ,A output ,p tcp ,* 5&5&5&55 3555EC555 ,7 F9G98;

" accept@ conexiunea la proxy ser!er *e la orice a*res@ *in clasa /02&/3C&/44&5

s$inipc%ains ,A input p tcp ,s /02&/3C&/44&52= C5C5 ,7 A889:;

" *eny pentru pac%etele care pleac@ c@tre /04&/40&1/&//5

s$inipc%ains ,A output ,* /04&/40&1/&//5 ,7 D9N?

" *eny pentru toate pac%etele care pleac@ c@tre /01&21/&/41&33

s$inipc%ains ,A output ,* /01&21/&/41&33 ,7 D9N?

" re7ect pentru *ou@ %osturi

s$inipc%ains ,A input ,s /02&/3C&/44&/3/ ,7 F9G98;

s$inipc%ains ,A input ,s /02&/3C&/44&/3C ,7 F9G98;


7/11

#entru distributiile mai noi de linux 35edVat W.@,..2 regulile de firewall se scriu in fisierul7etc7ssconfig7ipchains.

Iptableseste generatia noua de filtre de pachete pentru nucleele .> Ea a fost creata de 5ust5ussell si pastreaza aproape in intregime filozofia ipchains, dar ofera in plus multe functionalitati3extensii2 mai ales pentru modificarea campurilor pachetelor care intra sau ies printr-o masina linux.'nainte de a insira functionalitatile noi ale lui iptables oi enumera mici diferente de sintaxa a unorfunctionalitati care s-au transmis de la ipchains la iptables:

- numele lanturilor built-in se scriu acum cu litere mari nu cu litere mici ca la ipchains

- optiunea D-i inseamna acum incoming interface 3interfata pe care in pachetele2 si functioneazanumai pentru lanturile '1#!T si )C5X&5$. 5egulile din )C5X&5$ si C!T#!T care foloseauoptiunea D-i trebuie sa foloseasca acum Do 3outgoing interface2.

-porturile T4# si !$# trebuiesc acum specficate cu optiunile DYsource-port7destination-port sau D

sport7dport si trebuie plasate dupa optiunile D-p tcp sau D-p udp, deoarece acestea incarca extensiileT4#, respecti !$#.

- flagul D- este acum DYsn si trebuie sa apara numai dupa D-p tcp.

- tinta $E18 este acum inlocuita cu $5C#.

- zerorizarea unui lant in timpul listarii functioneaza cu iptables in timp ce cu ipchains, nu.

- zerorizarea lanturilor built-in de asemenea goleste counterii.

- 5E6E4T si 0CG sunt acum tinte extinse, adica sunt module separate.- numele de lanturi pot aea acum maxim Q+ de caractere.

- ;&*F este acum ;&*F!E5&$E si foloseste o sintaxa diferita. Tinta 5E$'5E4T a suferit deasemenea o schimbare de sintaxa.

- pachetele sunt trimise in userspace 3pentru a fi prelucrate de utilizator2 folosind tinta F!E!E.

& aut loc si o schimbare de structura in trecerea de la ipchains la iptables. 'n iptables pot fi definitemai multe tabele de reguli de firewall. )iecare tabel contine un numar de lanturi 3chain-uri2 built-in si pot

contine si lanturi definite de utilizator. 0a fel ca si la ipchains, fiecare lant poate contine mai multe regulide filtrare. Tinta unei reguli iptables poate fi ori un lant definit de utilizator ori una dintre tintele speciale:&44E#T, $5C#, F!E!E, 5ET!51. &44E#T lasa pachetul sa treaca departe. $5C# Mlasa pachetul sacadaN 3refuza pachetul2. Tinta F!E!E transmite pachetul in userspace daca 9ernelul suporta, pentru a fi

prelucrat de programele utilizator. 5ET!51 face ca pachetul sa nu mai traerseze regulile din lantulcurent ci sa reina la regulile din lantul anterior 3cel din care s-a ajuns in lantul curent2. $aca se ajunge lasfarsitul unui lant built-in sau o regula cu tinta 5ET!51 dintr-un lant built-in este erificata, soarta

pachetului a fi determinata de politica lantului.

Exista Q tabele independente de firewallA care tabele se afla in 9ernel la un moment dat depinde de

optiunile de configurare a 9ernelului si de modulele care sunt incarcate. Cptiunea D-t, --table spunetabelul pe care a opera comanda iptables. 4ele Q tabele sunt:


8/11

)ilter: este tabelul de filtrare implicitA el contine Q lanturi built-in : '1#!T 3pentru pachetele

destinate masinei locale2, )C5X&5$ 3pentru pachetele care sunt rutate de masina locala2 siC!T#!T 3pentru pachetele generate de masina locala2.

nat3et*ork Address Translation4: acest tabel este consultat cand este intalnit un pachet carecreeaza o noua conexiuneA el contine lanturile #5E5C!T'1G 3pentru modificarea

pachetelor inainte de a fi routate2, C!T#!T 3

Configurarea unui firewall

Tehnologia firewall se bazeaz pe folosirea porturilor. #orturile nu sunt altcea dec%t nitenumere plasate ntr-un anumit loc bine definit n pachetul de date. )iecare aplica/ie folosete anumite

porturi deci anumite numere .

4onfigurari diferite priind implementarea unui firewall

$ei un anumit sericiu poate aea un port asignat prin defini/ie, nu exist nici o restric/ie caaplica/ia s nu poat asculta i alte porturi. !n exemplu comun este cel al protocolului de potelectronic 5imple 6ail Trans)er Protocol 356TP4. &cest sericiu are portul asignat O. #osibil cafurnizorul de internet s blocheze acest port pentru a eita folosirea unui serer de mail pe calculatorul

propriu. 1imic nu ne oprete ns s configurm un serer de mail pe un alt port. ;otiul principal pentrucare anumite sericii au porturi asignate implicit este acela ca un client s poat gsi mai uor un anumitsericiu pe o gazd aflat la distan/. 4%tea exemple: sererele )T# ascult portul +A sererele VTT#sunt pe portul B@A aplica/iile client de genul )ile Transfer #rotocol 3)T#2 folosesc porturi asignate aleatorde obicei mai mari ca +@Q.

Exist pu/in peste PO@@@ porturi mpr/ite n porturi bine cunsocute 3@+@Q2, porturi nregistrate3+@>>=+O+2 i porturi dinamice 3>=+OPOOQO2. $ei sunt sute de porturi cu aplica/iile corespunztore,n practic mai pu/in de +@@ sunt utilizate frecent. n tabelul + putem edea cele mai frecente porturi i


9/11

protocolul care l folosete. Trebuie s men/ionm c aceste porturi sunt primele izate de un sprgtor pecalculatorul ictimei.

Tabel + #orturi comune i protocoale

&ort Ser#iciu &rotocol

+ )T# T4#

**V T4#

Q Telnet T4#

O *;T# T4#

OQ $1* T4#7!$#

PW7PB $V4# !$#

P= T)T# !$#

W= )inger T4#

B@ VTT# T4#

BB Serberos !$#

++@ #C#Q T4#

+++ *!15#4 T4#7!$#+QO ;* 5#4 T4#7!$#

+Q= 1< *ession T4#7!$#

+P+ *1;# !$#

+P *1;# Trap !$#

QB= 0$ T4#

>>Q **0 T4#>>O *;< oer '# T4#7!$#

+>QQ ;*-*F0 T4#

C bun practic de siguran/ este blocarea acestor porturi dac nu sunt folosite. *e recomandfolosirea practicii least pri'ilege. &cest principiu const n acordarea accesului minimal, strict necesardesfurrii actiit/ii unui sericiu. * nu uitm c securitatea este un proces fr sf%rit. $ac un porteste inchis astzi nu nseamna ca a rm%ne aa i m%ine. *e recomanda testarea periodic a porturilor

actie. $e asemenea aplica/iile au grade de siguran/ diferiteA **V este o aplica/ie relati sigur pe c%ndTelnet-ul este nesigur.


10/11

#rezentarea firewall-ului inclus n Xindows I# *#

Xindows firewall inclus odata cu Xindows I# *#

4omponenta firewall are func/ia de a supraeghea comunica/ia sistemului precum i a

aplica/iilor instalate cu internetul sau re/eaua i s blocheze n caz de neoie conexiunile nedorite. Eaasigur protec/ia #4-ului mpotria pro-gramelor duntoare i a hac9er-ilor. *pre deosebire de ersiuneaanterioar, Xindows )irewall este actiat n *erice #ac9 imediat dup instalare i blocheazmajoritatea programelor care comunic cu internetul. $e aceea, mul/i utilizatori prefer s l dezactiezen loc s l configureze. #entru o configurare optima nu sunt necesare dec%t c%tea setri de baz.

$ac un program instalat mpreun cu sistemul de operare ncearc s ini/ieze o legtur la internet saula re/eaua intern, apare o fereastr de informare care ntreab cum dori/i s trata/i aceast comunicare.*unt la dispozi/ie op/iunea de a bloca sau a permite conexiunea. (n func/ie de selec/ie, firewall-ul din I#stabilete automat o regul. $ac unei aplica/ii trebuie s i fie permis s realizeze legturi, n registrul

Exceptions se pot stabili reguli permanente corespunztoare. (n meniulPrograms seob/ine o list cu toateaplica/iile instalate de sistemul de operare, ale cror setri de conectare pot fi definite dup preferin/e.


11/11

&plica/iile indiiduale nu sunt de multe ori enumerate n list. &cestea pot fi introduse n list cuajutorul op/iuniiAdd Program, indic%nd apoi calea spre executabil printr-un clic pe7ro*se. $in motiede siguran/ se pot defini suplimentar, laPorts, ce interfe/e i ce protocol - T4# sau !$# - poate utiliza

programul. (n aceeai fereastr se afl i butonul Change 5cope, cu ajutorul cruia este posibilintroducerea de dierse adrese '# ale sistemelor cu care programul are oie s realizeze o conexiune. $ac

aceste date nu sunt nc definite, aplica/ia este n msur s comunice pe toate porturile i cu toatesistemele ceea ce, func/ie de aplica/ie, are ca urmare dierse riscuri de securitate.

Concluzie:

'n aceasta lucrare de laborator am analizat mai in detaliu un firewall, la fel am studiat si configurarealui.

'ibliografie:

http:77ega.unitb.ro7Zjipa7mrc7curs7'#Tables.pdf

http:77documents.tips7documents7instalarea-si-configurarea-firewallului.html

http:77dacosti-info.blogspot.md7@++7+7ce-este-un-firewall.html
http://vega.unitbv.ro/~jipa/mrc/curs/IPTables.pdfhttp://documents.tips/documents/instalarea-si-configurarea-firewallului.htmlhttp://davcosti-info.blogspot.md/2011/12/ce-este-un-firewall.htmlhttp://documents.tips/documents/instalarea-si-configurarea-firewallului.htmlhttp://davcosti-info.blogspot.md/2011/12/ce-este-un-firewall.htmlhttp://vega.unitbv.ro/~jipa/mrc/curs/IPTables.pdf

Lucrare de Lab Nr.6 PI

Documents

Transcript of Lucrare de Lab Nr.6 PI