1 / 15

Firewall – soft de sistem Retele de Calculatoare si Internet

Firewall – soft de sistem Retele de Calculatoare si Internet. Alexandru Anghel SIVA – an II. Firewall-ul – definitie. Firewall-ul este un sistem sau un router ce desparte o retea externa ( exemplu – internetul ) de o retea interna ( locala ).

kelly-hoover
Download Presentation

Firewall – soft de sistem Retele de Calculatoare si Internet

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Firewall – soft de sistemRetele de Calculatoare si Internet Alexandru Anghel SIVA – an II

  2. Firewall-ul – definitie Firewall-ul este un sistem sau un router ce desparte o retea externa ( exemplu – internetul ) de o retea interna ( locala ). Traficul poate fi filtrat in functie de protocol, adresa IP sursa sau destinatie, portul sursa sau destinatie sau informatia din pachetele de date.

  3. Foarte multi administratori de retea folosesc inca o masura de protectie integrata in partea de retea numita DMZ (Demilitarized Zone). • DMZ - partea retelei care face legatura dintre internet si restul echipamentelor locale si este conectata la cele 2 parti ale retelei prin cate un firewall.

  4. Arhitecturaunui firewall • Primul strat de jos este cel hardware. • Stratul firmware-ului reprezinta configurarea procesorului. Pachetele sunt primite si clasificate in stratul 2. • Stratul 3 stocheaza kernel-ul sistemului de operare ce va controla restul componentelor. • Ultimul strat este format din software-uri si librarii ce vor ajuta la managementul si procesarea pachetelor. Software + librarii Kernel Firmware Hardware

  5. Retea externa Retea interna Firewall Functia de firewall pentru sistemul cu 2 porturi de 10 Gbps (Guide h. L.) Firewall Retea externa/interna Functiilepe care le poateavea un firewall sunt: Functia de cache pentru sistemul cu 2 porturi de 10 Gbps (Guide h. L.) Monitorizare Firewall Stocare Retea externa/interna Functia de interceptare de pachete a sistemului cu 2 porturi de 10 Gbps (Guide h. L.)

  6. Algoritmul de clasificare a pachetelor folosit de firewall • Unul dintre algoritmii cei mai folositi este LPM – Longest prefix match. Acesta va compara bitii de la inceputul fiecarui pachet cu cei setati in configurarea firmware-ului si va alege doar pachetele care au cel mai mare numar de biti identici cu exemplul salvat in configurare. Din acest motiv, porturile TCP/UDP vor fi convertite din siruri de biti pentru a putea fi comparate. Campul 1 Campul n LPM LPM Functie hash ( ce ofera tuturor pachetelor acelasi numar de biti ) Comparatie Rezultat

  7. Serverul proxy • Proxy-ul reprezinta un server ce joaca rolul unui intermediar pentru cererile clientilor care cauta anumite date in reteaua externa. • Scopurile unui proxy pot fi: • Pastrarea anonimatului clientilor din spatele sau ( pentru securitate ) • Cresterea vitezei de acces la resursele cerute de catre client folosind memoria cache • Scanarea fisierelor transmise si verificarea lor impotriva malware-ului • Accesul sau restrictia clientilor

  8. Proxy-ul “forward” • Acest tip de server face legatura dintre serverul client si numele serverului la care trebuie sa se conecteze. • In functie de setarile proxy-ului forward, o cerere poate fi acceptata sau blocata.

  9. Proxy-ul de tip “open” • Proxy-ul “open” inainteaza cereri indiferent de client si serverul destinatie. • Avantaj: Permite userilor sa isi ascunda adresele IP si sa isi pastreze anonimatul in timpul navigarii pe internet sau atunci cand folosesc diferite servicii oferite de alte retele externe.

  10. Proxy-ul “reverse” • Proxy-ul “reverse” preia solicitarile venite din internet si le inainteaza serverelor care fac parte din reteaua locala. • Acest tip de proxy se instaleaza de obicei in apropierea unui sau mai multor servere web. • Proprietati: • Criptare • Impartirea traficului in mod egal • Compresia datelor • Securitate • “Spoon feeding” • Costuri reduse

  11. Configurarea firewall-ului In Linux, setul de reguli si filtre care trebuiesc implementate in firewall este scris cu ajutorul unui instrument numit “iptables”. Calea de selectie a chain-ului prin care va fi rutat pachetul (Guide h. L.)

  12. Iptables • Kernel-ul de Linux foloseste o serie de reguli pentru a determina care este decizia pe care o va lua sistemul in legatura cu pachetul de date procesat. • Chain-ul INPUT proceseaza pachetele destinate programelor locale, FORWARD proceseaza pachetele ce tranziteaza sistemul, iar OUTPUT proceseaza pachetele care pornesc din sistemul local . • Principalele caracteristici ale iptables sunt: • O integrare foarte buna in kernelul de Linux, reusind astfel o crestere a vitezei de lucru • Filtrarea pachetelor in functie de adresa MAC si de flag-urile din pachetul TCP. Astfel se pot preveni atacuri asupra retelei interne folosind pachete de date modificate. • Restrictionarea accesului la serverele din reteaua locala • Poate retine instoricul actiunilor petrecute si apoi le poate raporta

  13. Exemplu de configurare firewall cu iptables • Tabelul pe care se lucreaza este denumit “filter”. Acesta este aproape gol: chain-urile FORWARD si OUTPUT nu au reguli, iar cel de INPUT contine o singura regula – blocheaza toate datele ce vin din reteau 172.24.0.0/16. • # iptables -L -t filter • Chain INPUT (policy ACCEPT) • DROP all -- 172.24.0.0/16 anywhere • Chain FORWARD (policy DROP) • Chain OUTPUT (policy ACCEPT)

  14. Cele mai importante 3 politici default sunt: • ACCEPT – o actiune de tip “accept” va lasa orice tip de pachet sa treaca in urmatorul chain sau sistem. • DROP – prin aceasta actiune sistemul va ignora orice pachet primit. Sistemul care a trimis pachetul va fi informat ca acesta s-a pierdut din cauza unei erori de rutare. • REJECT – actiune asemanatoare cu DROP, singura diferenta fiind modul de anuntare al sistemului care a trimis pachetul. Acesta va primi un mesaj prin care va fi anuntat ca pachetul este blocat. Setarea politicilor default

  15. Concluzii • Firewall-ul este o parte critica a unei retele ce se conecteaza la o alta retea neprotejata (internet). Acesta nu este inca suficient. Securitatea nu implica doar protectia impotriva datelor corupte sau a software-urilor ce pot dauna retelei, ci si salvarea zilnica a datelor, cresterea securitatii politicilor legate de parole, restrictionarea si monitorizarea catre serverele locale, cablarea securizata, conexiuni redundante. Securitatea trebuie vazuta ca pe procesul ce contribuie la functionarea fara riscuri a unei retele.

More Related