În rețelele de calculatoare, un firewall[1], denumit și Perete de foc[2][3][4] (sau parafoc, în engleză firewall) este un dispozitiv sau o serie de dispozitive configurate în așa fel încât să filtreze, să cripteze sau să intermedieze traficul între diferite domenii de securitate pe baza unor reguli predefinite.

Modul de lucru al unui paravan; LAN=reţeaua de protejat, iar WAN=reţeaua exterioară, de obicei Internetul

Generalități/Definiții

modificare

Un paravan de protecție poate ține la distanță traficul Internet cu intenții rele, de exemplu hackerii, viermii și anumite tipuri de viruși, înainte ca aceștia să pună probleme sistemului. În plus, un paravan de protecție poate împiedica participarea computerului la un atac împotriva altora, fără cunoștința sau voința utilizatorului. Utilizarea unui paravan de protecție este importantă în special dacă rețeaua sau computerul de protejat sunt conectate în permanență la Internet.

Un paravan de protecție este o aplicație sau un echipament software care monitorizează și filtrează permanent transmisiile de date realizate între PC sau rețeaua locală și Internet, în scopul implementării unei "politici" (metode) de filtrare. Această politică poate însemna:

  • protejarea resurselor rețelei de restul utilizatorilor din alte rețele similare, toate interconectate printr-o rețea de arie largă sau/și Internet. Posibilii atacatori sunt identificați, atacurile lor asupra PC-ului sau rețelei locale putând fi oprite.
  • controlul resurselor la care au acces utilizatorii locali (din rețeaua locală).

Funcționare

modificare

Un paravan de protecție cooperează îndeaproape cu un program de rutare, care examinează fiecare pachet de date din rețea (fie cea locală sau cea exterioară) ce va trece prin serverul pasarelă, pentru a hotărî dacă va fi trimis mai departe spre destinație sau nu. De asemenea, un paravan de protecție include sau lucrează împreună cu un server proxy care face cereri de pachete în numele stațiilor de lucru ale utilizatorilor. În cele mai întâlnite cazuri aceste programe de protecție sunt instalate pe calculatoare ce îndeplinesc numai această funcție și care sunt instalate în fața ruterelor.

Soluțiile de protecție prin paravan se împart în două mari categorii:

  • soluțiile profesionale hardware sau software dedicate protecției întregului trafic dintre rețeaua unei întreprinderi sau instituții, ca de ex. dintre Universitatea "Alexandru Ioan Cuza" din Iași și restul Internetului
  • paravanele de protecție personale dedicate monitorizării traficului pe calculatorul personal.

Utilizând o aplicație din ce-a de a doua categorie se pot preîntâmpina atacurile venite din interiorul rețelei LAN, de ex. de la colegi curioși sau chiar rău-intenționați care utilizează metode obișnuite sau chiar naive de acces. Când calculatorul personal (de acasă) dispune de o conexiune la Internet, un paravan de protecție profesionist, personal, oferă un plus de siguranță a transmisiilor de date. Cum astăzi majoritatea utilizatorilor trec de la conexiuni încete (de ex. de tip dial-up) la modalități de conectare rapide (cablu, ISDN, ADSL sau telefon mobil), pericolul unor atacuri reușite asupra sistemelor personale crește, deoarece mărirea vitezei de transmisie spre și dinspre Internet mărește probabilitatea de strecurare a intrușilor rău intenționați și nedoriți.

Astfel, un paravan de protecție este folosit pentru două scopuri:

  • pentru a ține în afara rețelei pe utilizatorii rău intenționati (viruși, viermi cybernetici, hackeri, crackeri)
  • în același timp, pentru a deservi utilizatorii locali (colegi, angajați, clienți) în rețea în mod normal, conform autorizărilor respective.

Politica paravanelor de protecție

modificare

Înainte de a construi un paravan de protecție trebuie hotărâtă politica sa, pentru a ști exact care va fi funcția sa și în ce fel se va implementa această funcție.

Politica paravanului de protecție se poate alege urmând câțiva pași simpli:

  • se aleg întâi serviciile care trebuie oferite de paravanul de protecție
  • se desemnează grupurile de utilizatori care vor fi protejați
  • se definește amănunțit gradul de protecție de care are nevoie fiecare grup de utilizatori și cum vor fi implementate protecțiile necesare
  • se face cunoscut utilizatorilor că oricare alte forme de acces nu sunt permise

Politicile definite la un moment dat tind să se complice cu timpul, dar la început este bine ca ele să fie simple și la obiect.

Clasificări

modificare

Paravanele de protecție pot fi clasificate după:

  • stratul din stiva de rețea la care operează
  • modul de implementare

Astfel, în funcție de stratul din stiva TCP/IP (sau OSI) la care operează, paravanele de protecție pot fi:

  • Stratul 2 (MAC) și 3 (diagramă informații): filtrare de pachete (packet filtering).
  • Stratul 4 (transport): tot filtrare de pachete, dar se poate diferenția între protocoalele de transport și există opțiunea unui paravan cu menținere de stare ("stateful firewall"), în care sistemul știe în orice moment care sunt principalele caracteristici ale următorului pachet așteptat, evitând astfel o întreagă clasă de atacuri
  • Stratul 5 (aplicație): paravan la nivel de aplicație (există mai multe denumiri). În general se comportă ca un server proxy pentru diferite protocoale, analizând și luând decizii pe baza cunoștințelor despre aplicații și a conținutului conexiunilor. De exemplu, un server SMTP cu antivirus poate fi considerat drept un paravan la nivel de aplicație pentru e-mail.

În funcție de modul de implementare paravanele de protecție se pot împărți grob în două mari categorii:

  • dedicate, în care dispozitivul care rulează software-ul de filtrare este dedicat acestei operațiuni și este practic "inserat" în rețea (de obicei chiar după router). Are avantajul unei securități sporite.
  • combinate cu alte facilități de rețea. De exemplu, ruterul poate funcționa în același timp și pe post de paravan de protecție, iar în cazul rețelelor mici același calculator poate juca în același timp mai multe roluri: de paravan, ruter, server de fișier, server de imprimare ș.a.

Ce "poate" și ce "nu poate" să facă un paravan de protecție?

modificare

Un paravan de protecție poate să:

  • monitorizeze căile de pătrundere în rețeaua privată, permițând în felul acesta o monitorizare mai bună a traficului și deci o detectare mai ușoară a încercărilor de infiltrare;
  • blocheze la un moment dat traficul spre și dinspre Internet;
  • selecteze accesul în spațiul privat pe baza informațiilor conținute în pachetele de date;
  • permită sau interzică accesul la rețeaua publică, de pe anumite stații de lucru specificate;
  • și, la fel de important, poate izola spațiul privat de cel public, realizând interfața între cele două.

Pe de altă parte, o aplicație de protecție prin paravan nu poate:

  • interzice importul/exportul de informații dăunătoare vehiculate ca urmare a acțiunii răutăcioase a unor utilizatori aparținând spațiului privat (ex: căsuța poștală și atașamentele);
  • interzice scurgerea de informații pe alte căi care ocolesc paravanul de protecție (acces prin dial-up ce nu trece prin router);
  • apăra rețeaua privată de utilizatorii ce folosesc sisteme fizice mobile de introducere a datelor în rețea (dispozitiv USB, dischetă, CD, etc.)
  • preveni manifestarea erorilor de proiectare ale aplicațiilor ce realizează diverse servicii, precum și punctele slabe ce decurg din exploatarea acestor greșeli.

De aceea, pentru o protecție maximă împotriva pericolelor din Internet, pe lângă un paravan de protecție mai este nevoie și de alte componente de pază.

Alegerea unui paravan de protecție

modificare

Un paravan de protecție de încredere este acel paravan de protecție care se blochează pe sine însuși (adică accesează rețeaua INTERNET sau alte rețele numai cu acordul utilizatorului). NU POT FI CONSIDERATE DE ÎNCREDERE programele paravan de protecție care se updatează singure fără a cere acordul utilizatorului sau execută alte sarcini în background fără ca utilizatorul să fie informat despre acestea. O cauză majoră a infectării cu programe malware sau spyware o reprezintă faptul că, foarte multe programe de tip paravan de protecție, sunt considerate din start a fi de încredere datorită denumirii generice “paravan de protecție”. Faptul că multe programe paravan de protecție cu licență de tipul shareware sau freeware pot fi descărcate și de pe alte site-uri decât de pe cele ale companiilor sau entităților care i-au produs, face posibilă modificarea acestora de către persoane rău intenționate în sensul obținerii de informații sau folosirea calculatorului gazdă în atacuri informatice. Site-ul de pe care descărcăm un paravan de protecție, trebuie să fie în general site-ul companiei producătoare sau un site recunoscut pentru promovarea de software, site unde este destul de greu de crezut că s-ar putea strecura aplicații malware sau spyware. Un paravan de protecție nu trebuie să bombardeze utilizatorul din secundă în secundă cu diverse informații despre acțiunile diverselor programe instalate pe calculator. El trebuie să fie un paznic tăcut dar eficient. Sunt de preferat aplicațiile paravan de protecție adaptive (care învață din mers ce aplicații trebuiesc blocate și care nu).

  1. ^ „Stateful firewall”. Laboratorul de Proiectare a Sistemelor de Operare, Facultatea de Automatică și Calculatoare, UPB. Note de laborator. Arhivat din original la . Accesat în . 
  2. ^ „Norton Internet Security - Ghidul utilizatorului” (PDF). Symantec. Accesat în . [nefuncțională]
  3. ^ „Kaspersky Internet Security” (PDF). Kaspersky. Accesat în . 
  4. ^ Glosarul terminologic Microsoft - paravan de protecție / firewall

Vezi și

modificare

Legături externe

modificare