Firewall-ul - Ce este un firewall?

Firewall-ul

Reteaua Internet a evoluat foarte mult in ultimul timp din punctul de vedere al datelor si infomatiilor pe care le poate oferi utilizatorilor. Asadar, pentru multi dintre noi, accesul la Internet, nu mai reprezinta un avantaj ci o necesitate. Totusi, conectarea unei retele private la Internet expune unor atacuri nedorite o baza de date confidentiala (de cele mai multe ori). Aici intervin firewall-urile ce au ca scop protejarea retelelor private dar si a calculatoarelor personale de eventualele intruziuni ostile sau accese neavizate dinspre exterior.

Ce este un firewall?

Un firewall este numele generic al unei componente de retea ce are ca rol validarea traficului (intre retea si exterior) pe baza unei politici de securitate prestabilite. Scopul acestuia este de a proteja reteaua (sau un singur calculator personal) de eventualele atacuri ce vin din exterior si pot compromite datele/informatiile stocate. Termenul in sine ("perete de foc") vine de la capacitatea acestuia de a segmenta o retea mai mare in subretele.

Firewall-ul poate fi un dispozitiv (componenta hardware) sau poate fi un program (componenta soft), continand - in ambele cazuri - doua interfete orientate: una catre exterior (Internet), iar cealalta directionata catre reteaua interna (cea pe care o protejeaza).

Filtrarea traficului dintre cele doua retele se face dupa anumite criterii si poate viza: adresele IP sursa si destinatie ale pachetelor de informatii vehiculate - address filtering, sau poate viza doar anumite porturi si protocoale utilizate (HTTP, ftp sau telnet) - protocol filterig.

Totusi, un firewall de retea nu poate administra transferul de date efectuat de catre un utilizator ce foloseste o legatura la Internet de tip dial-up, ocolind procedurile de securitate si implicit firewall-ul in sine.

Ce tipuri de firewall-uri exista?

Exista patru tipuri de firewall-uri:

Firewall-ul cu filtrare de pachete (Packet Filtering Firewalls) - functioneaza la nivelul de retea al modelului OSI si respectiv la nivelul IP al modelului TCP/IP. Are ca principiu de functionare analizarea sursei de provenienta si destinatiei fiecarui pachet de date in parte, acceptand sau blocand traficul derulat de acestea. Aceste firewall-uri fac parte - de cele mai multe ori - din componenta de retea numita router si reprezinta cea mai ieftina solutie din punct de vedere financiar cu implicatii minime in performanta si functionabilitatea retelei. Punctul sau slab este incapabilitatea de a furniza o securitate ridicata prin reguli complexe de indentificare si validare a IP-urilor, motiv pentru care este indicata utilizarea impreuna cu un al doilea firewall extern care sa ofere protectie suplimentara.

"Portile de circuit" (Circuit Level Gateways) - ruleaza la nivelul 5 al modelului OSI si respectiv nivelul 4 al modelului TCP/IP. Acestea monitorizeaza sesiunile TCP dintre reteaua interna si/sau server si reteaua Internet. Traficul de pachete utilizeaza un server intermediar, folosind un singur port (in general portul 1080) pentru tot traficul. Acest server intermediar are un rol important in mascarea datelor si informatiilor detinute pe calculatoarele componente ale retelei private. Punctul slab al "portilor de circuit" este reprezentat prin faptul ca acestea nu verifica pachetele ce constituie obiectul traficului cu reteaua publica, ci doar le filtreaza in functie de titlu. Totusi, acestea sunt mai sigure decat filtrarea pachetelor si mai rapide decat aplicatiile proxi, desi sunt cel mai putin intalnite.

Proxi-uri de aplicatie (Application Level Gateways sau Proxies): sunt cele mai complexe solutii firewall si, totodata, cele mai scumpe. Pot functiona la nivel de aplicatie al modelului OSI. Acestea, verifica pachetele de date si blocheaza accesul celor care nu respecta regulile stabilite de proxi. Astfel, daca avem de-a face cu un proxi de web, acesta nu va permite niciodata accesul unui trafic pe protocol de ftp sau telnet. Serverul local va vedea aceasta solutie firewall ca pe un simplu client, in timp ce reteaua publica il va recepta ca fiind insasi serverul. Totodata, proxi-urile de aplicatie pot creea fisiere de tip log cu activitatea utilizatorilor din retea sau pot monitoriza autentificarile acestora, oferind si o verificare de baza a pachetelor transferate cu ajutorul antivirusului incorporat).

Firewall-ul cu inspectie multistrat (Stateful Multilayer Inspections): combina toate caracteristicile descrise mai sus, filtrand traficul la toate cele trei nivele ale modelului TCP/IP. Se bazeaza pe algoritmi proprii de recunoastere si aplicare a politicilor de securitate spre deosebire de o aplicatie proxi standard. Inspectia multinivel ofera un inalt grad de securitate, performante bune si o transparenta oferita end-user-ilor. Este bine de mentionat faptul ca, fiind deosebit de complexa, se poate transforma usor intr-o arma impotriva retelei pe care o protejeaza atunci cand nu este administrata de personal competent si bine pregatit. Pretul acestui tip de firewall este cel mai ridicat dintre toate cele patru prezentate.

Ce "poate" si ce "nu poate" sa faca un firewall

Un firewall poate sa:

- monitorizeze caile de patrundere in reteaua privata, permitand in felul acesta o mai buna monitorizare a traficului si deci o mai usoara detectare a incercarilor de infiltrare;

- blocheze la un moment dat traficul in si dinspre reteaua Internet ;

- selecteze acceslul in spatiul privat pe baza informatilor continute in pachete.

- permita sau interzica accesul la reteua publica, de pe anumite statii specificate;

- si nu in cele din urma, poate izola spatiul privat de cel public si realiza interfata intre cele doua.

De asemeni, o aplicatie firewall nu poate:

- interzice importul/exportul de informatii daunatoare vehiculate ca urmare a actiunii rautacioase a unor utilizatori apartinand spatiului privat (ex: casuta postala si atasamentele);

- interzice scurgerea de informatii de pe alte cai care ocolesc firewall-ul (acces prin dial-up ce nu trece prin router);

- apara reteaua privata de userii ce folosesc sisteme fizice mobile de introducere a datelor in retea (USB Stick, discheta, CD, etc.)

- preveni manifestarea erorilor de proiectare ale aplicatiilor ce realizeaza diverse servicii, precum si punctele slabe ce decurg din exploatarea acestor greseli.

Exemplu practic de firewall (home user)

Pentru exemplificarea instalarii si configurarii unui firewall soft, am ales pentru dumneavoastra versiunea trial a programului Zone Alarm Pro 4.0 (Download). Este bine de mentionat faptul ca pentru instalarea si derularea fara probleme a unui astfel de program, este indicata utilizarea unei configuratii minime formata din: Windows 98SE, Pentium la 233 MHz, 64Mb RAM (pentru Win 98SE/Me/2000) sau 128Mb RAM (pentru Win XP), 10MB spatiu liber pe HDD si bineinteles, acces la Intenet.

Pentru inceput, programul se instaleaza atat in mod "standard" pentru utilizatorii mediu spre avansati urmand ca setarile sa se faca ulterior, dar, beneficiaza totodata de un Wizard, configurat pe 9 pasi ce ajuta la intelegerea optiunilor si stabilirea necesitatilor fiecarui user. Programul ofera pe langa protectie firewall, protejarea programelor existente pe HDD, protectie e-mail, dar si posibilitatea blocarii cookies-urilor, pop-up-urilor sau bannere-lor nedorite.

In general setarile se fac pe fiecare componenta in parte, avand de ales intre 3 nivele de securitate: High (Stealth Mode) - nivel ce ofera o protejare aproape totala, strict monitorizata dar care impiedica optiunile de sharing; Medium (Visible but Protected Mode) - setare ce ofera posibilitatea vizionarii resurselor proprii din exterior dar fara capacitatea modificarii acestora (optiune recomandata pentru navigarea temorara si/sau in zonele de "incredere") si repectiv, Low - nivel la care firewall-ul este inactiv iar resursele dumneavoastra sunt expuse unor eventuale atacuri nedorite.

Pentru posta electronica, programul se comporta ca o adevarata bariera in fata unor eventuale supraaglomerari a casute postale avand posibilitatea blocarii e-mail-urilor ce vin consecutiv (default este setata optiunea de acceptare a maxim 5 scrisori ce vin la un interval de 2 secunde unul dupa altul). Totodata, mai exista optiunea refuzarii e-mail-urilor insotite de diverse atasamente, sau accptarii doar a celor ce nu au un numar de recipiente atasate ce depasesc totalul admis de catre utilizator.

Concluzii

Dupa cele prezentate mai sus, o prima concluzie este ca un firewall poate securiza total un computer sau o retea de PC-uri conectate la Internet. Aceasta afirmatie este eronata din doua puncte de vedere. In primul rand un firewall este, la urma urmei, un filtru a carui rezistenta si compozitie depinde de setarile efectuate de utilizator, iar in al doilea rand, programul nu poate impiedica accesul virusilor de tip troian ce folosesc clientul de mail impicit, programele de chat (ICQ, MSN, Y!, etc.) sau browser-ul de Internet utilizat. Odata rulati acesti virusi (fie cu ajutorul unei persoane neavizate sau fie prin instalarea directa a acestora in Task Manager), se pot pierde resurse si timp pentru devirusarea calculatorului sau chiar o mare parte din informatiile prezente pe harddisk. O educatie buna a user-ului, blocarea unor anumite porturi si stabilirea unor proceduri riguroase de control din partea administratorului de retea, sunt elemente ce duc alaturi de un echipament firewall hard si/sau soft la cresterea securitatii unei retele conectate la Internet, micsorand astfel riscul unor accese nedorite atat din exterior catre interior cat si in sens opus.