Privire de ansamblu asupra tehnologiilor firewall

Firewall-urile sunt dispozitive sau programe care controleaza fluxul de date intre retele sau hosturi pe baza anumitor reguli de securitate. Desi vorbim despre firewall-uri in contextul conectivitatii pe Internet, ele pot avea aplicabilitate si in alte retele. De exemplu, multe retele pentru intreprinderi impun firewall-uri pentru a restrictiona conectivitatea catre si de la retelele interne folosite pentru servicii sensibile, precum contabilitatea sau personalul. Impunand firewall-uri pentru a restrictiona conectivitatea catre aceste zone, o organizatie poate preveni accesul neautorizat la resursele si sistemele acesteia. Includerea unui sistem firewall aduce un plus mare de securitate. Organizatiile, precum PCI (Payment Card Industry), trebuie de asemenea sa foloseasca firewall-uri pentru a indeplini normele de securitate impuse, de exemplu de catre FISMA.

Exista mai multe tipuri de tehnologiii firewall disponibile. Un mod de a le compara capabilitatile este de a ne uita la stiva TCP/IP. Comunicatiile TCP/IP sunt compuse din patru niveluri ce lucreazxa impreuna pentru transportul datelor intre host-uri. Cand un utiliator doreste sa transfere date prin intermediul unei retele, aceste date sunt transmise incepand de la nivelul cel mai de sus, prin cele intermediare catre nivelul cel mai de jos, fiecare nivel adaugand mai multa informatie. Ultimul nivel de jos trimite datele acumulate prin reteaua fizica, datele fiind apoi transmise de jos in sus prin stiva catre utilizatorul final. Mai simplu spus, datele produse de catre un nivel sunt incapsulate intr-un container mai mare de catre nivelul urmator. Cele patru niveluri TCP/IP sunt descrise mai jos:

Nivelul Aplicație. Acest nivel se referă la protocoalele de nivel înalt folosite de majoritatea aplicațiilor, precum terminalul virtual (TELNET), transfer de fișiere (FTP) și poștă electronică (SMTP). Alte protocoale de nivel aplicație sunt DNS (sistem de nume de domeniu), NNTP sau HTTP. În majoritatea implementărilor, nivelul aplicație tratează nivelurile inferioare ca o "cutie neagră" care oferă o infrastructură sigură de comunicații. Majoritatea protocoalelor de la nivelul aplicație sunt asociate cu modelul client-server. Serverele au de obicei asociate porturi fixe, atribuite de IANA: HTTP are portul 80, FTP portul 21, etc. În schimb, clienții folosesc porturi temporare.

Nivelul Transport. Este identic cu cel din modelul OSI, ocupându-se cu probleme legate de siguranță, control al fluxului și corecție de erori. El este proiectat astfel încât să permită conversații între entitățile pereche din gazdele sursă, respectiv, destinație.

TCP (Trasmission Control Protocol) este un protocol sigur orientat pe conexiune care permite ca un flux de octeți trimiși de pe o mașină să ajungă fără erori pe orice altă mașină din inter-rețea. Acest protocol fragmentează fluxul de octeți în mesaje discrete și pasează fiecare mesaj nivelului internet. TCP tratează totodată controlul fluxului pentru a se asigura că un emițător rapid nu inundă un receptor lent cu mai multe mesaje decât poate acesta să prelucreze.

UDP (User Datagram Protocol), este un protocol nesigur, fără conexiuni, destinat aplicațiilor care doresc să utilizeze propria lor secvențiere și control al fluxului. Protocolul UDP este de asemenea mult folosit pentru interogări rapide întrebare-răspuns, client-server și pentru aplicații în care comunicarea promptă este mai importantă decât comunicarea cu acuratețe, așa cum sunt aplicațiile de transmisie a vorbirii și a

imaginilor video.

Nivelul Rețea. Scopul inițial era să asigure rutarea pachetelor în interiorul unei singure rețele. Odată cu apariția interconexiunii între rețele, acestui nivel i-au fost adăugate funcționalități de comunicare între o rețea sursă și o rețea destinație. În stiva TCP/IP, protocolul IP asigură rutarea pachetelor de la o adresă sursă la o adresă destinație, folosind și unele protocoale adiționale, precum ICMP sau IGMP. Determinarea drumului optim între cele două rețele se face la acest nivel. Comunicarea la nivelul IP este nesigură, sarcina de corecție a erorilor fiind plasată la nivelurile superioare (de exemplu prin protocolul TCP). În IPv4 (nu și IPv6), integritatea pachetelor este asigurată de sume de control.

Nivelul Acces la rețea. Se ocupă cu toate problemele legate de transmiterea efectivă a unui pachet IP pe o legătură fizică, incluzând și aspectele legate de tehnologii și de medii de transmisie, adică nivelurile OSI Legătură de date și Fizic.

Firewall-urile de baza pot opera pe unul sau cateva niveluri (de regula cele mai de jos), pe cand cele ami avansate opereaza pe toate cele patru niveluri. Cele ce opereaza pe toate nivelurile pot face o analiza mult mai detaliata a traficului. Firewall-urile care inteleg nivelul aplicatie pot acomodat aplicatii si protocoale avansate si pot oferi servicii orientate catre utilizator. De exemplu, un firewall care opereaza doar la nivelurile de jos nu poate identifica utilizatori specifici, dar firewall-urile ce opereaza si la nivelul aplicatie, pot adopta autentificari ale utilizatorilor si log-uri specifice lor.

Tehnologii Firewall

Firewall-urile sunt adesea combinate cu alte tehnofogii – cel mai notabil sunt cele de routare – si cele mai multe tehnologii ce sunt adesea asociate cu firewall-urile sunt parte de fapt a acestor tehnologii. De exemplu, NAT (Network Address Translation) este asociat de obicel cu tehnologiile firewall, dar de fapt este o tehnologie de routare. Multe firewall-uri includ trasaturi pentru filtrarea continutului pentru a impune politicile organizatiei care nu sunt neaparat orientate catre securitate. Unele firewall-uri contin tehnologii IPS (Intrusion Prevention Systems) ce pot reactiona la atacuri indreptate catre structurile aparate de catre acel firewall.

Firewall-urile sunt amplasate de obicei la marginea retelelor, deci va avae o interfata interna si una externa. Cele doua interfete sunt denumite de obicei protejata si neprotejata. Totusi, sa spunem ca un anumit lucru este protejat sau nu este impropiu, deoarece un firewall poate functiona in ambele directii in functie de politicile sale. De exemplu, poate exista o regula care sa previna trimiterea din interior catre exterior a codurilor executabile.

Filtrarea pe baza pachetelor.

Filtrarea pachetelor este esenta tuturor firewall-urilor moderne, desi sunt putin astfel de firewall-uri de vanzare care fac doar acest lucru. Spre deosebire de filtrele mai avansate, filtrele de pachete nu se intereseaza de continutul acestora. Functionalitatea pentru controlul accesului este guvernata de catre

un set de directive numit set de reguli (ruleset). Capacitatea de a filtra pachete este astazi parte integranta a sistemelor de operare si a dispozitivelor de routare; cel mai comun exemplu pentru un dispozitiv cu filtrarea de pachete este un router cu ACL (Access Control Lists).

In cea mai simpla forma, firewall-urile cu filtrare de pachete opereaza la nivelul retea. Acesta ofera acces controlat la retea in functie de cateva informatii incluse in pachet: IP sursa si destinatie, protocolul de retea folosit pentru comunicare (UDP, TCP sau ICMP), anumite caracteristici ale sesiunilor de comunicare, precum portul sursa si destinatie, interfata ce este traversata de catre pachet (orienta catre interior sau exterior).

Filtrarea pachetelor ce intra in retea se numeste filtrare ingress. Traficul ce iese poate deasemenea sa fie filtrar, proces numit filtrare egress. Aici organizatiile pot implementa restrictii pentru traficul lor intern, precum blocarea folosirii unu server FTP extern sau prevenirea lansariii atacurilor de intrerupere a serviciilor (DoS) din interiorul organizatiei catre entitati externe. Organizatiile ar trebui sa permita doar trafic egress ce folosiste adrese IP sursa folosite de catre organizatie – proces ce ajuta la blocarea traficului cu adrese IP falsificate (spoofed). Adresele falsificate por fi cauzate de catre evenimente malicioase precum infectarea cu malware sau clienti host-uri compromise folosite pentru a lansa atacuri, sau prin configurari gresite.

Filtrarile de pachete sunt in general vulnerabile la atacuri si exploatari ce profita de problemele specificatiilor din stiva TCP/IP. De exemplu, multe filtre de pachete nu pot detecta cand informatia despre adresa dintr-un pachet a fost falsificata sau alterata, sau foloseste optiuni ce sunt permise de catre standarde dar folosite in scopuri malitioase, precum routare pe baza adresei sursa. Atacurile de falsificar, precum folosirea unei adrese incorecte in headerul pachetului, sunt de obicei folosite de catre intrusi pentru a ocoli controalele de securitate implementate in platofmele firewall. Firewall-urile ce opereaza la niveluri mai inalte ale stivei TCP/IP pot contracara aceste atacuri de falsificare prin verificarea stabilirii unei sesiuni, sau prin autentificarea utilizatorilor inainte de a permite trecerea traficului.

Unele filtre de pachete pot filtra chiar si pachetele care sunt fragmentate. Fragmentarea pachetelor este permisa de catre specificatiile stivei TCP/IP si este incurajata ori de cate ori situatia o cere. Totusi, aceasta fragmentare a fost folosita pentru a face unele atacuri sa fie mai greu de identificat. Fragmentarea neobisnuita este de asemenea o forma de atac. De exemplu, unele atacuri au folosit pachete care nu ar trebui sa exista in mod obisnuit in comunicare, precum trimiterea unor fragmente din pachet, dar nu si primul fragment, sau trimiterea fragmentelor ce se suprapun unele cu altele. Pentru a preveni folosirea pachetelor fragmentate in atacuri, unele firewall-uri au fost configurate pentru a bloca pachetele fragmentate.

Astazi, pachetele fragmentate de pe Internet apar, nu din cauza atacurilor, ci din cauza retelelor virtuale private (VPN), ce incapsuleaza pachete in alte pachete. Daca incapsularea unui pachet ar face ca noul pachet sa depaseasca dimensiunile maxime admise pentru acel mediu de transmisie, acesta va fi fragmentat. Pachetele fragmentate blocate de catre firewall reprezinta cea mai comunca cauza pentru nefunctionarea VPN-urilor.

Unele firewall-uri pot cha sa reasambleze fragmentele inainte sa le trimita in interiorul retelei, desi acest lucru necesita resurse aditionale din partea firewall-ului, in principal memorie. Firewall-urile ce implementeaza aceasta optiune trebuie sa o faca cu grija, altfel cineva poate monta cu usurinta un atac de tip DoS. Alegerea intre a bloca, reasambla sau a lasa sa treaca pachetele fragmentate este un compromis intre interoperabilitatea globala a retelei si securizarea completa a acesteia.

Ca si lansare oricarei alte tehnologii, planificarea si implementarea firewall-ului ar trebui adresa in faze. Etapele flanificarii si implementarii includ urmatoarele:

1. Planificarea. Prima faza a procesului implica identificarea necesitatilor pe cere o organizatie ar trebui sa le ia in considerare atunci cand determina ce firewall sa implementeze pentru a asigura politicile de securitate.

2. Configurarea. A doua faza implica toate formele de configurare a platformei firewall. Acesta include atat instalarea hardware si software precum si setarea regulilor pentur sistem.

3. Testarea. Urmatoarea faza implica implementarea si testarea a unui prototip al solutiei intr-un laborator sau mediu de test. Scopurile primare ale testarii sunt de a evalua functionalitatea, performantele, scalabilitatea si securitatea solutiei si de a identifica posibilele probleme – precum interoperabilitatea – cu alte componente.

4. Lansarea. Odata incheiata procedura de testare, si toate problemele au fost rezolvate, urmatoarae faza se axeaza pe lansarea firewall-ului in intreprindere.

5. Administrarae. Ultima faza, dupa lansarea acestuia o reprezinta administrarea si intretinerea firewall-ului de-a lungul ciclului sau de viata, ceea ce include mentenanta componentelor si suportul pentru probleme in operabilitate.

Planificarea

Faza de planificare pentru ar trebui sa inceapa doar dupa ce o organizatie a determinat ca un firewall este necesa. Acest lucru se intampla de obicei in urma unei evaluari a riscurilor asupra intregului sistem. O evaluare a riscurilor include identificarea amenintarilor si vulnerabilitatilor sistemului informatic, impactul sau magnitudinea prejudicilor in urma atacurilor sau exploatarii vulnerabilitatilor si identificarea si analiza controalelor de securitate pentru sistemul informatic.

Principiile de baza pe care organizatia ar trebui sa le urmeze in planificare sunt:

-