Transcript ppt

FIREWALL – SOFT DE SISTEM
RETELE DE CALCULATOARE SI INTERNET
ALEXANDRU ANGHEL
SIVA – AN II
FIREWALL-UL –
DEFINITIE
Firewall-ul este un sistem
sau
un
router
ce
desparte
o
retea
externa ( exemplu –
internetul ) de o retea
interna ( locala ).
Traficul poate fi filtrat in
functie de protocol,
adresa IP sursa sau
destinatie, portul sursa
sau
destinatie
sau
informatia
din
pachetele de date.
• Foarte multi administratori de
retea folosesc inca o masura
de protectie integrata in
partea de retea numita DMZ
(Demilitarized Zone).
• DMZ - partea retelei care face
legatura dintre internet si restul
echipamentelor locale si este
conectata la cele 2 parti ale
retelei prin cate un firewall.
ARHITECTURA UNUI FIREWALL
• Primul strat de jos este cel
hardware.
• Stratul firmware-ului reprezinta
configurarea
procesorului.
Pachetele
sunt primite
si
clasificate in stratul 2.
• Stratul 3 stocheaza kernel-ul
sistemului de operare ce va
controla restul componentelor.
• Ultimul strat este format din
software-uri si librarii ce vor
ajuta la managementul si
procesarea pachetelor.
Software + librarii
Kernel
Firmware
Hardware
Retea externa
Retea interna
Firewal
l
Functia de firewall pentru sistemul cu 2 porturi de 10 Gbps
(Guide h. L.)
Retea
externa/interna
Functiile pe care le
poate
avea
un
firewall sunt:
Firewal
l
Functia de cache pentru sistemul cu 2 porturi de 10 Gbps
(Guide h. L.)
Monitorizare
Firewal
l
Stocare
Retea
externa/interna
Functia de interceptare de pachete a sistemului cu 2 porturi
de 10 Gbps (Guide h. L.)
ALGORITMUL DE CLASIFICARE A
PACHETELOR FOLOSIT DE FIREWALL
• Unul dintre algoritmii cei mai
folositi este LPM – Longest prefix
match. Acesta va compara
bitii de la inceputul fiecarui
pachet cu cei setati in
configurarea firmware-ului si va
alege doar pachetele care au
cel mai mare numar de biti
identici cu exemplul salvat in
configurare. Din acest motiv,
porturile
TCP/UDP
vor
fi
convertite din siruri de biti
pentru a putea fi comparate.
Campul 1
Campul n
LPM
LPM
Functie hash ( ce ofera tuturor pachetelor acelasi
numar de biti )
Comparatie
Rezultat
SERVERUL PROXY
• Proxy-ul reprezinta un server ce
joaca rolul unui intermediar
pentru cererile clientilor care
cauta anumite date in reteaua
externa.
• Scopurile unui proxy pot fi:
• Pastrarea anonimatului clientilor din
spatele sau ( pentru securitate )
• Cresterea vitezei de acces la
resursele cerute de catre client
folosind memoria cache
• Scanarea fisierelor transmise si
verificarea lor impotriva malware-ului
• Accesul sau restrictia clientilor
PROXY-UL “FORWARD”
• Acest tip de server face
legatura dintre serverul client si
numele serverului la care
trebuie sa se conecteze.
• In functie de setarile proxy-ului
forward, o cerere poate fi
acceptata sau blocata.
PROXY-UL DE TIP “OPEN”
• Proxy-ul
“open” inainteaza
cereri indiferent de client si
serverul destinatie.
• Avantaj: Permite userilor sa isi
ascunda adresele IP si sa isi
pastreze anonimatul in timpul
navigarii pe internet sau atunci
cand folosesc diferite servicii
oferite de alte retele externe.
PROXY-UL “REVERSE”
• Proxy-ul
“reverse”
preia
solicitarile venite din internet si
le inainteaza serverelor care
fac parte din reteaua locala.
• Acest tip de proxy se instaleaza
de obicei in apropierea unui
sau mai multor servere web.
• Proprietati:
•
•
•
•
•
•
Criptare
Impartirea traficului in mod egal
Compresia datelor
Securitate
“Spoon feeding”
Costuri reduse
CONFIGURAREA
FIREWALL-ULUI
In Linux, setul de reguli si
filtre
care
trebuiesc
implementate in firewall
este scris cu ajutorul
unui instrument numit
“iptables”.
Calea de selectie a chain-ului prin care va fi rutat pachetul
(Guide h. L.)
IPTABLES
• Kernel-ul de Linux foloseste o
serie de reguli pentru a
determina care este decizia pe
care o va lua sistemul in
legatura cu pachetul de date
procesat.
• Chain-ul INPUT proceseaza
pachetele
destinate
programelor locale, FORWARD
proceseaza
pachetele
ce
tranziteaza sistemul, iar OUTPUT
proceseaza pachetele care
pornesc din sistemul local .
• Principalele caracteristici ale
iptables sunt:
• O integrare foarte buna in kernelul
de Linux, reusind astfel o crestere a
vitezei de lucru
• Filtrarea pachetelor in functie de
adresa MAC si de flag-urile din
pachetul TCP. Astfel se pot preveni
atacuri asupra retelei interne folosind
pachete de date modificate.
• Restrictionarea accesului la serverele
din reteaua locala
• Poate retine instoricul actiunilor
petrecute si apoi le poate raporta
EXEMPLU DE CONFIGURARE
FIREWALL CU IPTABLES
• Tabelul pe care se lucreaza
este denumit “filter”. Acesta
este aproape gol: chain-urile
FORWARD si OUTPUT nu au
reguli, iar cel de INPUT contine
o singura regula – blocheaza
toate datele ce vin din reteau
172.24.0.0/16.
• # iptables -L -t filter
• Chain INPUT (policy ACCEPT)
• DROP
all
-172.24.0.0/16
anywhere
•
• Chain FORWARD (policy DROP)
•
• Chain OUTPUT (policy ACCEPT)
• Cele mai importante
default sunt:
Setarea
politicilor
default
3
politici
• ACCEPT – o actiune de tip “accept” va
lasa orice tip de pachet sa treaca in
urmatorul chain sau sistem.
• DROP – prin aceasta actiune sistemul va
ignora orice pachet primit. Sistemul care a
trimis pachetul va fi informat ca acesta s-a
pierdut din cauza unei erori de rutare.
• REJECT – actiune asemanatoare cu DROP,
singura diferenta fiind modul de anuntare
al sistemului care a trimis pachetul. Acesta
va primi un mesaj prin care va fi anuntat
ca pachetul este blocat.
CONCLUZII
• Firewall-ul este o parte critica a unei retele ce se conecteaza la o
alta retea neprotejata (internet). Acesta nu este inca suficient.
Securitatea nu implica doar protectia impotriva datelor corupte sau
a software-urilor ce pot dauna retelei, ci si salvarea zilnica a datelor,
cresterea securitatii politicilor legate de parole, restrictionarea si
monitorizarea catre serverele locale, cablarea securizata, conexiuni
redundante. Securitatea trebuie vazuta ca pe procesul ce contribuie
la functionarea fara riscuri a unei retele.