Introducere in tehnologii firewall

Exista doua metode de baza utilizate pentru a crea un firewall de retea: filtrarea pachetelor si serverele reprezentant de aplicatie. Unor administratori le place sa includa si alte tehnici, insa de obicei se constata ca acestea nu sunt decat simple variatii ale celor doua metode fundamentale. Fiecare tehnica are propriile avantaje si dezavantaje.

1.1.1 Primele firewall-uri

Filtrele de pachete (packet filters) au reprezentat primul tip de firewall dezvoltat pentru a proteja o retea de Internet. Ruterele erau configurate sa permita sau sa interzica trecerea pachetelor pe baza unor reguli create de administrator. Deoarece ruterele nu analizau decat informatiile de antet dintr-un pachet IP, erau limitate in ceea ce puteau face. De exemplu, un filtru simplu de pachete putea fi configurat sa permita sau sa interzica utilizarea protocolului FTP, insa nu putea fi folosit pentru a permite sau a interzice anumite functii ale protocolului FTP, cum ar fi utilizarea comenzilor GET si PUT.

1.1.2 Utilizarea portilor de aplicatie

Daca un filtru de pachete nu poate lua decizii decat pe baza informatiilor pe care le gaseste in antetul pachetului, pentru a crea un firewall mai complex poate fi utilizat un server reprezentant de aplicatie. O poarta de aplicatie (application gateway) sau un server reprezentant de aplicatie (application proxy) este un program software care ruleaza pe firewall pentru a intercepta traficul corespunzator unui anumit tip de aplicatie. Software-ul reprezentant intercepteaza respectiv o conexiune la serverul care se gaseste in afara retelei LAN a acestuia. Utilizatorul intern nu realizeaza niciodata o conexiune direct la serviciul extern. Programul reprezentant de aplicatie se comporta ca un intermediar si discuta cu clientul si cu serverul, schimband intre acestia informatiile utile aplicatiei. Avantajul in aceasta schema este ca reprezentantul de aplicatie poate fi programat sa permita sau sa interzica traficul si pe baza informatiilor continute in sectiunea utila a pachetului, nu numai pe baza informatiilor din antet. Aceasta inseamna ca reprezentantul de aplicatie intelege metodele fundamentale de comunicatie utilizate de un anumit serviciu si poate fi programat pentru a permite sau a interzice functii ale serviciului, nu doar sa blocheze comunicatia pe baza portului, asa cum procedeaza un filtru de pachete.

1.2. Alte componente firewall

Filtrul de pachete si reprezentantul de aplicatie sunt metodele de baza utilizate pentru a crea un firewall. Modul in care sunt configurate si intrebuintate dispozitivele reprezinta un subiect mai complex. Gazdele bastion, gazdele de sacrificiu si zona demilitarizata (DMZ, sau demilitarized zone) sunt termeni care se aud in mod frecvent atunci cand se discuta despre firewall-uri.

La inceput, firewall-urile erau formate in principal dintr-un ruter care era configurat ca un filtru de pachete (acceptand sau refuzand pachetele pe baza informatiilor din antet) si o baza de reguli construita de administratorul de retea. Pe masura ce firewall-urile au castigat mai multe functionalitati, cele mai noi au fost implementate ca programe software care rulau pe statii de lucru sau pe servere. Firewall-urile si mai noi sunt create sub forma unor configuratii hardware si software ambalate impreuna. Aceste dispozitive hardware, denumite uneori dispozitive firewall (firewall applicances), pot fi formate din aplicatii software particulare instalate pe un sistem de operare standard, cum ar fi UNIX, dupa ce a fost redus la minimul necesar. Unii producatori, precum CISCO, isi proiecteaza chiar propriile sisteme de operare, stiind ca hackerii vor cunoaste amanuntit slabiciunile unui sistem de operare comercial.

1.3. Elemente privitoare la sistemul de operare

Un firewall nu e recomandat sa ruleze pe acelasi tip de sistem pe care il utilizam pe calculatorul desktop sau pe servere. De exemplu, este posibil sa avem instalat in retea sistemul Windows XP ca sistem desktop standard pentru utilizatori, si Windows 2003 pentru serverele de retea. Aceasta nu inseamna ca va trebui sa utilizam tot Windows pe firewall. Ar trebui sa alegem un firewall pe baza caracteristicilor pe care le ofera pentru a impune respectarea cerintelor din politica de securitate a retelei noastre.

Este important insa ca noi sa avem o intelegere detaliata a modului in care functioneaza firewall-ul si sa stim cum sa il configuram corect. Aceasta inseamna de obicei ca va trebui sa fim familiarizati cu sistemul de operare folosit de firewall. Daca nu intelegem sistemul de operare, mecanismele sale de securitate si instrumentele utilizate pentru impunerea securitatii, nu putem fi siguri niciodata ca firewall-ul nu este compromis de cineva care exploateaza o slabiciune (sau caracteristica) a respectivului sistem de operare.

De exemplu, software-ul firewall de care dispunem s-ar putea sa ruleze foarte bine pe un calculator UNIX plasat la marginea retelei LAN. Daca verificam fisierele jurnal vom fi siguri ca totul este in regula si functioneaza asa cum trebuie. Insa, daca nu intelegem protectiile fisierelor UNIX, nu am observa ca o persoana rauvoitoare a facut ca fisierul de parole sa poata fi citit de toata lumea.

S-ar putea sa existe o teama sa utilizam sistemele Windows NT, UNIX, Linux sau chiar un alt sistem de operare, pe baza stirilor pe care le auzim regulat despre o noua eroare de programare sau despre o problema noua care circula in Internet. in ultimii cativa ani, multi au criticat sistemul Windows NT sau bazate pe conceptul NT , spunand ca platforma nu este suficient de stabila pentru a fi utilizata intr-un mediu cu nivel ridicat de securitate. Insa daca vom sa studia problema, vom descoperi ca toate sistemele de operare au propriile puncte slabe. Noile versiuni de Windows vor contine in mod sigur probleme care vor trebui rezolvate de producator. Nici noile versiuni de UNIX si Linux nu vor fi perfecte. Cu cat este folosit pe scara mai larga un sistem de operare, cu atat vor fi mai expuse punctele slabe.

Important este insa faptul ca in spatele produsului sa se gaseasca un furnizor responsabil care poate sa monitorizeze descoperirea acestor tipuri de probleme si sa le remedieze repede. Daca suntem siguri ca stapanim bine sistemul de operare utilizat de solutia de firewall pe care am ales-o, chiar nu conteaza daca este acelasi sistem de operare utilizat pe calculatoarele desktop sau pe serverele din restul retelei. In numeroase cazuri intalnite in prezent, retelele nu mai sunt omogene, ci reprezinta un conglomerat de mai multe tipuri de sisteme de calculatoare si de protocoale de retea.

1.4. Ce poate face un firewall

Un firewall nu poate face chiar orice pentru a ne proteja reteaua de calculatoare si nu ar trebui considerat o solutie unica pentru toate problemele de securitate. Este important sa intelegem modul in care un firewall ne protejeaza in realitate reteaua. De asemenea, este la fel de important sa intelegem de ce amenintari nu ne poate apara un firewall. In general, avantajele pe care le putem astepta de la un firewall bine construit sunt urmatoarele:

-Ne protejeaza impotriva protocoalelor si serviciilor nesigure.

-Protejeaza informatiile despre utilizatori, sisteme, adrese de retea si aplicatiile care ruleaza in reteaua noastra de persoanele curioase din afara retelei.

Pune la dispozitie evidente de auditare (prin fisiere jurnal) care contin date statistice si de securitate ce pot fi utilizate pentru a ne asigura ca reteaua noastra este sigura si opereaza eficient. De asemenea, un firewall bun ne permite sa configuram avertizari astfel incat sa fim atentionati despre evenimentele semnificative, cum ar fi o tentativa de patrundere fortata in retea.

-Pune la dispozitie o gestiune centralizata a securitatii retelei fata de lumea exterioara. Pentru o reteaua, firewall-ul este poarta catre Internet.

Intr-o retea mare, s-ar putea sa avem mai multe conexiuni catre retelele din exterior si, ca urmare, mai multe firewall-uri. Intr-un astfel de caz, ar trebui sa ne asiguram ca am analizat cu atentie produsele concurente. Numeroase produse mai noi ne permit sa administram mai multe instalari de firewall-uri de la aceeasi consola de comanda.

O alta caracteristica a unor tipuri de firewall-uri, ce devine foarte utila pe masura ce domeniul de adrese Internet se epuizeaza, este translatarea adreselor de retea (network address translation, sau NAT). Tehnologia NAT ofera o serie de avantaje de securitate prin ascunderea adresei reale de retea a unui calculator gazda atunci cand acel calculator face cereri catre servere din Internet. Un firewall ce utilizeaza NAT realizeaza aceasta functie prin utilizarea propriei adrese de retea in locul adresei clientului atunci cand trimite cereri catre servere din Internet. Atunci cand sosesc raspunsurile la cereri in componenta NAT, firewall-ul plaseaza adresa reala a clientului in pachet si trimite raspunsul mai departe la client. Prin utilizarea functiei NAT, ar trebui sa devina evident faptul ca nu avem nevoie decat de o singura adresa pentru a ne conecta reteaua LAN proprie la Internet.

Un firewall nu ne poate apara de amenintarile din interiorul retelei. Astfel, daca avem un utilizator care este hotarat sa provoace dezordine in reteaua noastra, trebuie sa ne protejam prin folosirea securitatii de la nivelul calculatoarelor gazda. Un element foarte important pe care trebuie sa il luam in seama atunci cand utilizam un firewall este ca acesta nu poate avea grija prin nici un fel de solutie de toate problemele de "securitate" care pot exista in reteaua noastra. Un firewall nu inlocuieste masurile zilnice de securitate si de gestionare a sistemului. Un firewall nu este decat un alt nivel de securitate. Indiferent cat de sigur am putea crede ca este firewall-ul nostru, nu trebuie sa slabim securitatea de la nivelul calculatoarelor gazda. De fapt, chiar este adevarat contrariul.