Instalarea i configurarea firewallului

Rolul i menirea unui firewallDefiniii:

Un firewall se poate defini ca fiind un paravan de protecie ce poate ine la distan traficul Internet, de exemplu hackerii, viermii i anumite tipuri de virui, nainte ca acetia s pun probleme sistemului. n plus, acest paravan de protecie poate evita participarea computerului la un atac mpotriva altora, fr cunotina utilizatorului. Utilizarea unui paravan de protecie este important n special dac calculatorul este conectat n permanen la Internet.

Figura 6.1 Funcia primordial a unui firewall.

O alt definiie un firewall este o aplicaie sau un echipament hardware care monitorizeaz i filtreaz permanent transmisiile de date realizate ntre PC sau reeaua local i Internet, n scopul implementrii unei "politici" de filtrare. Aceast politic poate nsemna: protejarea resurselor reelei de restul utilizatorilor din alte reele similare Internetul -> sunt identificai posibilii "musafiri" nepoftii, atacurile lor asupra PC-ului sau reelei locale putnd fi oprite. Controlul resurselor pe care le vor accesa utilizatorii locali. Mod de funcionare:

De fapt, un firewall, lucreaz ndeaproape cu un program de routare, examineaz fiecare pachet de date din reea (fie cea local sau cea exterioar) ce va trece prin serverul gateway pentru a determina dac va fi trimis mai departe spre destinaie. Un firewall include de asemenea sau lucreaz mpreun cu un server proxy care face cereri de pachete n numele staiilor de lucru ale utilizatorilor. n cele mai ntlnite cazuri aceste programe de protecie sunt instalate pe calculatoare ce ndeplinesc numai aceast funcie i sunt instalate n faa routerelor.

Figura 6.2 O posibil implementare a unui firewall.

Soluiile firewall se mpart n dou mari categorii: prima este reprezentat de soluiile profesionale hardware sau software dedicate proteciei ntregului trafic dintre reeaua unei ntreprinderi (instituii, serverele marilor companii publice) i Internet; iar cea de a doua categorie este reprezentat de firewall-urile personale dedicate monitorizrii traficului pe calculatorul personal. Utiliznd o aplicaie din ce-a de a doua categorie se poate prentmpina atacurile colegilor lipsii de fair-play care ncearc s acceseze prin mijloace mai mult sau mai puin ortodoxe resurse de pe PC-ul dumneavoastr.

n situaia n care dispunei pe calculatorul de acas de o conexiune la Internet, un firewall personal v va oferi un plus de siguran transmisiilor de date. Cum astzi majoritatea utilizatorilor tind s schimbe clasica conexiune dial-up cu modaliti de conectare mai eficiente (cablu, ISDN, xDSL sau telefon mobil), pericolul unor atacuri reuite asupra sistemului dumneavoastr crete. Astfel, mrirea lrgimii de band a conexiunii la Internet faciliteaz posibilitatea de "strecurare" a intruilor nedorii.

Astfel, un firewall este folosit pentru dou scopuri: pentru a pstra n afara reelei utilizatorii ru intenionati (virui, viermi cybernetici, hackeri, crackeri) pentru a pstra utilizatorii locali (angajaii, clienii) n reea Politici de lucru:

nainte de a construi un firewall trebuie hotrt politica sa, pentru a ti care va fi funcia sa i n ce fel se va implementa aceast funcie.

Pentru a putea defini politica firewall-ului, sunt necesare unele rspunsuri la urmtoarele ntrebri: ce servicii va deservi firewall-ul ? ce grupuri de utilizatori care vor fi protejai ? de ce fel de protecie are nevoie fiecare grup de utilizatori ? cum va fi protejat fiecare grup(detaliere privind i natura serviciilor din cadrul grupurilor)?

La final este necesar s se scrie o declaraie prin care oricare alte forme de access sunt o ilegalitate. Politica va deveni tot mai complicat cu timpul, dar deocamdat este bine s fie simpl i la obiect.

Figura 6.3 Diferite politici implementate ntr-un firewallClasificri:

Firewallurile pot fi clasificate dup: Layerul (stratul) din stiva de reea la care opereaz Modul de implementare

n funcie de layerul din stiva TCP/IP (sau OSI) la care opereaz, firewall-urile pot fi: Layer 2 (MAC) i 3 (datagram): packet filtering. Layer 4 (transport): tot packet filtering, dar se poate diferenia ntre protocoalele de transport i exist opiunea de "stateful firewall", n care sistemul tie n orice moment care sunt principalele caracteristici ale urmtorului pachet ateptat, evitnd astfel o ntreag clas de atacuri Layer 5 (application): application level firewall (exist mai multe denumiri). n general se comport ca un server proxy pentru diferite protocoale, analiznd i lund decizii pe baza cunotinelor despre aplicaii i a coninutului conexiunilor. De exemplu, un server SMTP cu antivirus poate fi considerat application firewall pentru email.

Dei nu este o distincie prea corect, firewallurile se pot mpri n dou mari categorii, n funcie de modul de implementare: dedicate, n care dispozitivul care ruleaz software-ul de filtrare este dedicat acestei operaiuni i este practic "inserat" n reea (de obicei chiar dup router). Are avantajul unei securiti sporite. combinate cu alte faciliti de networking. De exemplu, routerul poate servi i pe post de firewall, iar n cazul reelelor mici acelai calculator poate juca n acelai timp rolul de firewall, router, file/print server, etc.Concluzii:

Un firewall poate s:- monitorizeze cile de ptrundere n reeaua privat, permind n felul acesta o mai bun monitorizare a traficului i deci o mai uoar detectare a ncercrilor de infiltrare;- blocheze la un moment dat traficul n i dinspre Internet;- selecteze accesul n spaiul privat pe baza informaiilor coninute n pachete.- permit sau interzic accesul la reeaua public, de pe anumite staii specificate;- i nu n cele din urm, poate izola spaiul privat de cel public i realiza interfaa ntre cele dou.

De asemeni, o aplicaie firewall nu poate:- interzice importul/exportul de informaii duntoare vehiculate ca urmare a aciunii rutcioase a unor utilizatori aparinnd spaiului privat (ex: csua potal i ataamentele);- interzice scurgerea de informaii de pe alte ci care ocolesc firewall-ul (acces prin dial-up ce nu trece prin router);- apra reeaua privat de utilizatorii ce folosesc sisteme fizice mobile de introducere a datelor n reea (USB Stick, dischet, CD, etc.)- preveni manifestarea erorilor de proiectare ale aplicaiilor ce realizeaz diverse servicii, precum i punctele slabe ce decurg din exploatarea acestor greeli.

Configurarea unui firewall

Tehnologia firewall se bazeaz pe folosirea porturilor. Porturile nu sunt altceva dect nite numere plasate ntr-un anumit loc bine definit n pachetul de date. Fiecare aplicaie folosete anumite porturi deci anumite numere .

Figura 6.4 Configurari diferite privind implementarea unui firewall

Dei un anumit serviciu poate avea un port asignat prin definiie, nu exist nici o restricie ca aplicaia s nu poat asculta i alte porturi. Un exemplu comun este cel al protocolului de pot electronic Simple Mail Transfer Protocol (SMTP). Acest serviciu are portul asignat 25. Posibil ca furnizorul de internet s blocheze acest port pentru a evita folosirea unui server de mail pe calculatorul propriu. Nimic nu ne oprete ns s configurm un server de mail pe un alt port. Motivul principal pentru care anumite servicii au porturi asignate implicit este acela ca un client s poat gsi mai uor un anumit serviciu pe o gazd aflat la distan. Cteva exemple: serverele FTP ascult portul 21; serverele HTTP sunt pe portul 80; aplicaiile client de genul File Transfer Protocol (FTP) folosesc porturi asignate aleator de obicei mai mari ca 1023.

Exist puin peste 65000 porturi mprite n porturi bine cunsocute (01023), porturi nregistrate (102449151) i porturi dinamice (4915265535). Dei sunt sute de porturi cu aplicaiile corespunztore, n practic mai puin de 100 sunt utilizate frecvent. n tabelul 1 putem vedea cele mai frecvente porturi i protocolul care l folosete. Trebuie s menionm c aceste porturi sunt primele vizate de un sprgtor pe calculatorul victimei.

Tabel 1 Porturi comune i protocoalePortServiciuProtocol

21FTPTCP

22SSHTCP

23TelnetTCP

25SMTPTCP

53DNSTCP/UDP

67/68DHCPUDP

69TFTPUDP

79FingerTCP

80HTTPTCP

88KerberosUDP

110POP3TCP

111SUNRPCTCP/UDP

135MS RPCTCP/UDP

139NB SessionTCP/UDP

161SNMPUDP

162SNMP TrapUDP

389LDAPTCP

443SSLTCP

445SMB over IPTCP/UDP

1433MS-SQLTCP

O bun practic de siguran este blocarea acestor porturi dac nu sunt folosite. Se recomand folosirea practicii least privilege. Acest principiu const n acordarea accesului minimal, strict necesar desfurrii activitii unui serviciu. S nu uitm c securitatea este un proces fr sfrit. Dac un port este inchis astzi nu nseamna ca va rmne aa i mine. Se recomanda testarea periodic a porturilor active. De asemenea aplicaiile au grade de siguran diferite; SSH este o aplicaie relativ sigur pe cnd Telnet-ul este nesigur.

Prezentarea firewall-ului inclus n Windows XP SP2

Figura 6.5 Windows firewall inclus odata cu Windows XP SP2

Componenta firewall are funcia de a supraveghea comunicaia sistemului precum i a aplicaiilor instalate cu internetul sau reeaua i s blocheze n caz de nevoie conexiunile nedorite. Ea asigur protecia PC-ului mpotriva pro-gramelor duntoare i a hacker-ilor. Spre deosebire de versiunea anterioar, Windows Firewall este activat n Service Pack 2 imediat dup instalare i blocheaz majoritatea programelor care comunic cu internetul. De aceea, muli utilizatori prefer s l dezactiveze n loc s l configureze. Pentru o configurare optima nu sunt necesare dect cteva setri de baz.Dac un program instalat mpreun cu sistemul de operare ncearc s iniieze o legtur la internet sau la reeaua intern, apare o fereastr de informare care ntreab cum dorii s tratai aceast comunicare. Sunt la dispoziie opiunea de a bloca sau a permite conexiunea. n funcie de selecie, firewall-ul din XP stabilete automat o regul. Dac unei aplicaii trebuie s i fie permis s realizeze legturi, n registrul Exceptions se pot stabili reguli permanente corespunztoare. n meniul Programs se obine o list cu toate aplicaiile instalate de sistemul de operare, ale cror setri de conectare pot fi definite dup preferine.

Aplicaiile individuale nu sunt de multe ori enumerate n list. Acestea pot fi introduse n list cu ajutorul opiunii Add Program, indicnd apoi calea spre executabil printr-un clic pe Browse. Din motive de siguran se pot defini suplimentar, la Ports, ce interfee i ce protocol - TCP sau UDP - poate utiliza programul. n aceeai fereastr se afl i butonul Change Scope, cu ajutorul cruia este posibil introducerea de diverse adrese IP ale sistemelor cu care programul are voie s realizeze o conexiune. Dac aceste date nu sunt nc definite, aplicaia este n msur s comunice pe toate porturile i cu toate sistemele ceea ce, funcie de aplicaie, are ca urmare diverse riscuri de securitate.