Instalarea i configurarea firewallului
Rolul i menirea unui firewallDefiniii:
Un firewall se poate defini ca fiind un paravan de protecie ce
poate ine la distan traficul Internet, de exemplu hackerii, viermii
i anumite tipuri de virui, nainte ca acetia s pun probleme
sistemului. n plus, acest paravan de protecie poate evita
participarea computerului la un atac mpotriva altora, fr cunotina
utilizatorului. Utilizarea unui paravan de protecie este important
n special dac calculatorul este conectat n permanen la
Internet.
Figura 6.1 Funcia primordial a unui firewall.
O alt definiie un firewall este o aplicaie sau un echipament
hardware care monitorizeaz i filtreaz permanent transmisiile de
date realizate ntre PC sau reeaua local i Internet, n scopul
implementrii unei "politici" de filtrare. Aceast politic poate
nsemna: protejarea resurselor reelei de restul utilizatorilor din
alte reele similare Internetul -> sunt identificai posibilii
"musafiri" nepoftii, atacurile lor asupra PC-ului sau reelei locale
putnd fi oprite. Controlul resurselor pe care le vor accesa
utilizatorii locali. Mod de funcionare:
De fapt, un firewall, lucreaz ndeaproape cu un program de
routare, examineaz fiecare pachet de date din reea (fie cea local
sau cea exterioar) ce va trece prin serverul gateway pentru a
determina dac va fi trimis mai departe spre destinaie. Un firewall
include de asemenea sau lucreaz mpreun cu un server proxy care face
cereri de pachete n numele staiilor de lucru ale utilizatorilor. n
cele mai ntlnite cazuri aceste programe de protecie sunt instalate
pe calculatoare ce ndeplinesc numai aceast funcie i sunt instalate
n faa routerelor.
Figura 6.2 O posibil implementare a unui firewall.
Soluiile firewall se mpart n dou mari categorii: prima este
reprezentat de soluiile profesionale hardware sau software dedicate
proteciei ntregului trafic dintre reeaua unei ntreprinderi
(instituii, serverele marilor companii publice) i Internet; iar cea
de a doua categorie este reprezentat de firewall-urile personale
dedicate monitorizrii traficului pe calculatorul personal. Utiliznd
o aplicaie din ce-a de a doua categorie se poate prentmpina
atacurile colegilor lipsii de fair-play care ncearc s acceseze prin
mijloace mai mult sau mai puin ortodoxe resurse de pe PC-ul
dumneavoastr.
n situaia n care dispunei pe calculatorul de acas de o conexiune
la Internet, un firewall personal v va oferi un plus de siguran
transmisiilor de date. Cum astzi majoritatea utilizatorilor tind s
schimbe clasica conexiune dial-up cu modaliti de conectare mai
eficiente (cablu, ISDN, xDSL sau telefon mobil), pericolul unor
atacuri reuite asupra sistemului dumneavoastr crete. Astfel, mrirea
lrgimii de band a conexiunii la Internet faciliteaz posibilitatea
de "strecurare" a intruilor nedorii.
Astfel, un firewall este folosit pentru dou scopuri: pentru a
pstra n afara reelei utilizatorii ru intenionati (virui, viermi
cybernetici, hackeri, crackeri) pentru a pstra utilizatorii locali
(angajaii, clienii) n reea Politici de lucru:
nainte de a construi un firewall trebuie hotrt politica sa,
pentru a ti care va fi funcia sa i n ce fel se va implementa aceast
funcie.
Pentru a putea defini politica firewall-ului, sunt necesare
unele rspunsuri la urmtoarele ntrebri: ce servicii va deservi
firewall-ul ? ce grupuri de utilizatori care vor fi protejai ? de
ce fel de protecie are nevoie fiecare grup de utilizatori ? cum va
fi protejat fiecare grup(detaliere privind i natura serviciilor din
cadrul grupurilor)?
La final este necesar s se scrie o declaraie prin care oricare
alte forme de access sunt o ilegalitate. Politica va deveni tot mai
complicat cu timpul, dar deocamdat este bine s fie simpl i la
obiect.
Figura 6.3 Diferite politici implementate ntr-un
firewallClasificri:
Firewallurile pot fi clasificate dup: Layerul (stratul) din
stiva de reea la care opereaz Modul de implementare
n funcie de layerul din stiva TCP/IP (sau OSI) la care opereaz,
firewall-urile pot fi: Layer 2 (MAC) i 3 (datagram): packet
filtering. Layer 4 (transport): tot packet filtering, dar se poate
diferenia ntre protocoalele de transport i exist opiunea de
"stateful firewall", n care sistemul tie n orice moment care sunt
principalele caracteristici ale urmtorului pachet ateptat, evitnd
astfel o ntreag clas de atacuri Layer 5 (application): application
level firewall (exist mai multe denumiri). n general se comport ca
un server proxy pentru diferite protocoale, analiznd i lund decizii
pe baza cunotinelor despre aplicaii i a coninutului conexiunilor.
De exemplu, un server SMTP cu antivirus poate fi considerat
application firewall pentru email.
Dei nu este o distincie prea corect, firewallurile se pot mpri n
dou mari categorii, n funcie de modul de implementare: dedicate, n
care dispozitivul care ruleaz software-ul de filtrare este dedicat
acestei operaiuni i este practic "inserat" n reea (de obicei chiar
dup router). Are avantajul unei securiti sporite. combinate cu alte
faciliti de networking. De exemplu, routerul poate servi i pe post
de firewall, iar n cazul reelelor mici acelai calculator poate juca
n acelai timp rolul de firewall, router, file/print server,
etc.Concluzii:
Un firewall poate s:- monitorizeze cile de ptrundere n reeaua
privat, permind n felul acesta o mai bun monitorizare a traficului
i deci o mai uoar detectare a ncercrilor de infiltrare;- blocheze
la un moment dat traficul n i dinspre Internet;- selecteze accesul
n spaiul privat pe baza informaiilor coninute n pachete.- permit
sau interzic accesul la reeaua public, de pe anumite staii
specificate;- i nu n cele din urm, poate izola spaiul privat de cel
public i realiza interfaa ntre cele dou.
De asemeni, o aplicaie firewall nu poate:- interzice
importul/exportul de informaii duntoare vehiculate ca urmare a
aciunii rutcioase a unor utilizatori aparinnd spaiului privat (ex:
csua potal i ataamentele);- interzice scurgerea de informaii de pe
alte ci care ocolesc firewall-ul (acces prin dial-up ce nu trece
prin router);- apra reeaua privat de utilizatorii ce folosesc
sisteme fizice mobile de introducere a datelor n reea (USB Stick,
dischet, CD, etc.)- preveni manifestarea erorilor de proiectare ale
aplicaiilor ce realizeaz diverse servicii, precum i punctele slabe
ce decurg din exploatarea acestor greeli.
Configurarea unui firewall
Tehnologia firewall se bazeaz pe folosirea porturilor. Porturile
nu sunt altceva dect nite numere plasate ntr-un anumit loc bine
definit n pachetul de date. Fiecare aplicaie folosete anumite
porturi deci anumite numere .
Figura 6.4 Configurari diferite privind implementarea unui
firewall
Dei un anumit serviciu poate avea un port asignat prin definiie,
nu exist nici o restricie ca aplicaia s nu poat asculta i alte
porturi. Un exemplu comun este cel al protocolului de pot
electronic Simple Mail Transfer Protocol (SMTP). Acest serviciu are
portul asignat 25. Posibil ca furnizorul de internet s blocheze
acest port pentru a evita folosirea unui server de mail pe
calculatorul propriu. Nimic nu ne oprete ns s configurm un server
de mail pe un alt port. Motivul principal pentru care anumite
servicii au porturi asignate implicit este acela ca un client s
poat gsi mai uor un anumit serviciu pe o gazd aflat la distan.
Cteva exemple: serverele FTP ascult portul 21; serverele HTTP sunt
pe portul 80; aplicaiile client de genul File Transfer Protocol
(FTP) folosesc porturi asignate aleator de obicei mai mari ca
1023.
Exist puin peste 65000 porturi mprite n porturi bine cunsocute
(01023), porturi nregistrate (102449151) i porturi dinamice
(4915265535). Dei sunt sute de porturi cu aplicaiile corespunztore,
n practic mai puin de 100 sunt utilizate frecvent. n tabelul 1
putem vedea cele mai frecvente porturi i protocolul care l
folosete. Trebuie s menionm c aceste porturi sunt primele vizate de
un sprgtor pe calculatorul victimei.
Tabel 1 Porturi comune i protocoalePortServiciuProtocol
21FTPTCP
22SSHTCP
23TelnetTCP
25SMTPTCP
53DNSTCP/UDP
67/68DHCPUDP
69TFTPUDP
79FingerTCP
80HTTPTCP
88KerberosUDP
110POP3TCP
111SUNRPCTCP/UDP
135MS RPCTCP/UDP
139NB SessionTCP/UDP
161SNMPUDP
162SNMP TrapUDP
389LDAPTCP
443SSLTCP
445SMB over IPTCP/UDP
1433MS-SQLTCP
O bun practic de siguran este blocarea acestor porturi dac nu
sunt folosite. Se recomand folosirea practicii least privilege.
Acest principiu const n acordarea accesului minimal, strict necesar
desfurrii activitii unui serviciu. S nu uitm c securitatea este un
proces fr sfrit. Dac un port este inchis astzi nu nseamna ca va
rmne aa i mine. Se recomanda testarea periodic a porturilor active.
De asemenea aplicaiile au grade de siguran diferite; SSH este o
aplicaie relativ sigur pe cnd Telnet-ul este nesigur.
Prezentarea firewall-ului inclus n Windows XP SP2
Figura 6.5 Windows firewall inclus odata cu Windows XP SP2
Componenta firewall are funcia de a supraveghea comunicaia
sistemului precum i a aplicaiilor instalate cu internetul sau
reeaua i s blocheze n caz de nevoie conexiunile nedorite. Ea asigur
protecia PC-ului mpotriva pro-gramelor duntoare i a hacker-ilor.
Spre deosebire de versiunea anterioar, Windows Firewall este
activat n Service Pack 2 imediat dup instalare i blocheaz
majoritatea programelor care comunic cu internetul. De aceea, muli
utilizatori prefer s l dezactiveze n loc s l configureze. Pentru o
configurare optima nu sunt necesare dect cteva setri de baz.Dac un
program instalat mpreun cu sistemul de operare ncearc s iniieze o
legtur la internet sau la reeaua intern, apare o fereastr de
informare care ntreab cum dorii s tratai aceast comunicare. Sunt la
dispoziie opiunea de a bloca sau a permite conexiunea. n funcie de
selecie, firewall-ul din XP stabilete automat o regul. Dac unei
aplicaii trebuie s i fie permis s realizeze legturi, n registrul
Exceptions se pot stabili reguli permanente corespunztoare. n
meniul Programs se obine o list cu toate aplicaiile instalate de
sistemul de operare, ale cror setri de conectare pot fi definite
dup preferine.
Aplicaiile individuale nu sunt de multe ori enumerate n list.
Acestea pot fi introduse n list cu ajutorul opiunii Add Program,
indicnd apoi calea spre executabil printr-un clic pe Browse. Din
motive de siguran se pot defini suplimentar, la Ports, ce interfee
i ce protocol - TCP sau UDP - poate utiliza programul. n aceeai
fereastr se afl i butonul Change Scope, cu ajutorul cruia este
posibil introducerea de diverse adrese IP ale sistemelor cu care
programul are voie s realizeze o conexiune. Dac aceste date nu sunt
nc definite, aplicaia este n msur s comunice pe toate porturile i
cu toate sistemele ceea ce, funcie de aplicaie, are ca urmare
diverse riscuri de securitate.