RC2_Curs_14

download RC2_Curs_14

of 4

Transcript of RC2_Curs_14

  • 8/12/2019 RC2_Curs_14

    1/4

    Cursul nr. 14

    14. Echipamente de securizare - FIREWALL

    Internetul este o reea cu foarte muli utilizatori din ntreaga lume i prin care setransfercantiti uriae de informaii.

    Pentru aplicarea unei politici de securitate a reelei, se utilizeazechipamente desecurizare de tip "zid de foc" (firewalt) care aplic anumite reguli i constrngeri

    privind accesul pe diferite interfee ale sale.Un router poate fi configurat ca firewall. De asemenea, unele sisteme de operare

    (de exemplu, Windows XP) au opiunea de activare a unui firewall intern.Firewall-ul interconecteaz reeaua public i o reea privat, asigurnd

    securitatea datelor vehiculate intern n reea i protecia reelei private fa deeventualele atacuri externe (Fig.VI.l 1).

    Un firewall are minimum douinterfee: una pentru conexiunea dintre firewall i reeaua public (n particular,

    Internet-ul); cealaltinterconecteazfirewall-ul cu reeaua internprivat(intranet), care

    necesitsecurizare.

    Firewall-ul protejeaz reeaua privatde unele atacuri externe i restricioneazaccesul din afarla resursele acesteia.

    Fig. 14.1:Interconectarea unei reele private cu una publicprin intermediul unui Firewall

    ntruct firewall-ul reprezint singura conexiune dintre reeaua privat i ceapublic, la nivelul su se poate monitoriza traficul de pachete i se verificdrepturile de

    acces ale utilizatorilor din afara reelei interne (prin operaia de logiri).

    n prezent, se utilizeazdoutipuri de firewall:1. Poartde aplicaii (Application Gateway) - varianta tradiionalde firewall.Orice conexiune ntre dou reele se face prin intermediul unui program de

    aplicaii (proxy). O sesiune deschis n reeaua privat este ncheiat de proxy, dupcare acesta creeazo nousesiune spre nodul de destinaie.

    Programul proxy se bazeaz pe particularitile suitei TCP/IP i este restrictivpentru alte suite de protocoale. Execuia acestui program necesit resurse relativ maridin partea CPU.

    93

  • 8/12/2019 RC2_Curs_14

    2/4

    Reele de calculatoare locale

    La nivelul firewall-ului sunt admise numai acele protocoale pentru care suntconfigurate aplicaii proxy specifice. Cadrele bazate pe alte tipuri de protocoale suntautomat rejectate.

    n practic, se configureaz i firewall-uri transparente, care transfer cadrele

    ntre cele dousesiuni franaliza prealabila datelor.2. Modul de inspecie dependent de stare (Stateful Inspection) sau de filtrare

    dinamic a pachetelor, denumit i nod de control a accesului n funcie de context(CBAC - Context-Based Access Control) - concept relativ nou de implementare afirewall-ului.

    n aceasttehnologie, se preiau pachetele de date i se citesc antetele introdusede protococolul de reea (IP) i de cele corespunztoare nivelelor OSI i TCP/IPsuperioare, pnla nivelul de aplicaie.

    Firewall-ul verificfiecare pachet care urmeazsfie transferat i acorddreptulde acces n funcie de adresele sursei i destinaiei, precum i de serviciul solicitat.Acest tip de firewall realizeazcontrolul fluxului cu memorie, astfel nct echipamentul

    este capabil s recunoasc acele pachete transmise din reeaua public (n particular,Internet) ca rspuns la o cerere adresat de un nod din reeaua intern (intranet), prinmonitorizarea sesiunilor TCP. n paralel, se rejecteaz toate pachetele transmise dinreeaua publicn cea intern, dar care nu provin din traficul iniiat intern.

    Prin acest nou concept, se asiguro procesare rapidi eficienta traficului deinformaii dintre Internet i reelele private, perfect adaptatnoilor aplicaii Internet irealizatcu resurse hardware relativ reduse.

    Implementarea firewall-ului cu routere se face prin filtrarea dinamic apachetelor i controlul traficului pe baza regulii care stabilete c:

    orice pachet transmis din reeaua intern ctre o destinaie extern estetransferat de firewall necondiionat, cu excepia cazurilor n care se impun constrngeri;

    transferul oricrui pachet din reeaua public spre o destinaie din reeauaprivateste blocat de firewall, cu excepia cazurilor n care se admite accesul acestora nmod explicit, prin configurarea adecvat a interfeelor publice referitor la accesul dinexterior.

    Interfeele firewall-ului sunt deschise numai pe durata sesiunii iniiate de unutilizator cu drept de acces.

    Firewall-ul intercepteazorice conexiune stabilitprin TCP i o continunumaidupverificarea prealabila legturii.Acest lucru previne atacurile din exterior asuprareelei private, prin distrugerea cadrelor transmise prin TCP fora drept de acces.

    Firewall-ul poate fi configurat n vederea limitrii accesului utilizatorilor dinreeaua internn cea public.Mesajele generate prin ICMP pot fi transferate sau blocate de firewall n funcie

    de modul de configurare a acestuia.Pentru evenimentele semnificative care apar la nivelul firewall-ului se pot

    trimite mesaje de ntiinare ctre nodurile de destinaie accesate.Echipamentele de tip firewall admit diverse protocoale de aplicaie: FTP,

    NETBIOS, GRE, OSPF, RSVP (ReSerVation Protocol), VDOnet's VDOLive,Microsoft's NetShow etc.

    Firewall-ul protejeazreeaua privatfade atacurile externe de tip "inundare"cu pachete (flooding), cu pachete PING ilegale sau ICMP generate n numr excesiv,

    94

  • 8/12/2019 RC2_Curs_14

    3/4

    Curs nr. 14: Firewall

    atacuri Smurf cu pachete avnd adresIP din spaiul de adrese alocat reelei private, decele mai multe ori fiind chiar adresa de broadcast a acesteia, scanare a porturilor.

    Firewall-ul permite controlul i monitorizarea accesului (Logging Facility) nreeaua privat dar numai pentru sesiunile create pe baza protocolului Internet, nu i

    pentru alte suite de protocoale (Appletalk, DECnet, IPX/SPX).Politica de securitate aplicatde firewall stabilete regulile pe baza crora se

    admite sau se blocheaztransferul pachetelor ntre reeaua privati cea public.Un firewall devine activ numai dupce au fost configurate cel puin o interfa

    publici una privati s-au stabilit regulile de acces la nivelul acestora.Traficul ntre dou interfee ale firewall-ului nesupuse politicii de securitate se

    desfoarnormal, frrestricii.Transferul pachetelor de la o interfa nesecurizat ctre una securizat este

    automat blocat.Firewall-ul controleaz traficul de pachete pe baza adreselor fizice sau I P, a

    porturilor de aplicaie i chiar a zilei sau orei la care se acceseazreeaua.

    Politica de securitate se aplicpe baza listelor de acces stocate n routere sau nservere RADIUS (Remote Authentication DialIn User Sewice).

    RADIUS este un protocol de autentificare, configurare i contorizare atransferurilor ntre firewall, ca server de control a accesului (Network Access Server) iun server RADIUS care deine baza de date cu informaii despre utilizatorii reelei(nume de utilizatori i parole), modul de configurare a reelei (adrese I P, mti de reelei de subretele etc), precum i despre sesiunile stabilite anterior, sub forma unui istorical evenimentelor din reea.

    Firewall-ul este clientul RADIUS care adreseaz cererea de autentificare ctreserverele RADIUS, pentru accesarea listelor de acces. Acestea sunt fiiere de tip 'text'(.txt), codate ASCII, care includ liste de adrese IP sau MAC.

    Listele de acces bazate pe adrese IP includ adrese IP individuale, eventualnumele calculatoarelor-gazd, domeniul de adrese IP al unei reele i eventual unelecomentarii care faciliteazadministrarea acestor liste.

    Listele de acces cu adrese fizice includ adrese MAC individuale alecomponentelor reelei, eventual numele staiilor i comentarii ajuttoare.

    Numrul maxim de liste de acces care pot fi stocate pe un router precum idimensiunile acestora este n general limitat.

    Pentru un spaiu de adrese extins se preferutilizarea unui server RADIUS cares gestioneze eficient aceste liste, pentru a reduce ntrzierile de trafic produse de

    routere.n acest caz, routeral devine un simplu client RADIUS care adreseazcererea deautentificare ctre serverul RADIUS i primete un rspuns din partea acestuia.

    Observaii:1. Filtrarea dinamic a pachetelor se realizeaz la nivelul firewall-ului prin

    politica de securitate dar i prin procedeele de translare a adreselor private n adresepublice (NAT; ENAT - Enhanced NAT). Pentru a evita dubla filtrare a pachetelor nroutere, se dezactiveazserviciul NAT pe durata activrii firewall-ului.

    2. Se poate monitoriza activitatea firewall-ului, mai precis evenimentele care sedesfoarla nivelul su:

    * accesarea adreselor de e-mail;

    w desfurarea sesiunilor Telnet de acces de la distann reeaua privat;95

  • 8/12/2019 RC2_Curs_14

    4/4

    Reele de calculatoare locale

    * comunicarea pe porturi asincrone (de exemplu, interfee seriale); raccesarea agenilor SN M P.

    96