„Zid de foc” sau „Paravan de protecţie”

Generalităţi/Definiţii
 
Un paravan de protecţie poate ţine la distanţă traficul Internet cu intenţii rele, de exemplu hackerii, viermii şi anumite tipuri de viruşi, înainte ca aceştia să pună probleme sistemului. În plus, un paravan de protecţie poate evita participarea computerului la un atac împotriva altora, fără cunoştinţa dvs. Utilizarea unui paravan de protecţie este importantă în special dacă sunteţi conectat în permanenţă la Internet.

Un firewall este o aplicaţie sau un echipament hardware care monitorizează şi filtrează permanent transmisiile de date realizate între PC sau reţeaua locală şi Internet, în scopul implementării unei „politici” de filtrare. Această politică poate însemna:

  • protejarea resurselor reţelei de restul utilizatorilor din alte reţele similare – Internetul -> sunt identificaţi posibilii „musafiri” nepoftiţi, atacurile lor asupra PC-ului sau reţelei locale putând fi oprite.
  • controlul resurselor pe care le vor accesa utilizatorii locali.
Cum funcţionează? 
 De fapt, un firewall, lucrează îndeaproape cu un program de routare, examinează fiecare pachet de date din reţea (fie cea locală sau cea exterioară) ce va trece prin serverul gateway pentru a determina dacă va fi trimis mai departe spre destinaţie. Un firewall include de asemenea sau lucrează împreună cu un server proxy care face cereri de pachete în numele staţiilor de lucru ale utilizatorilor. În cele mai întâlnite cazuri aceste programe de protecţie sunt instalate pe calculatoare ce îndeplinesc numai această funcţie şi sunt instalate în faţa routerelor.

Soluţiile firewall se împart în două mari categorii: prima este reprezentată de soluţiile profesionale hardware sau software dedicate protecţiei întregului trafic dintre reţeaua unei întreprinderi (instituţii -> ex.: Universitatea „Alexandru Ioan Cuza”, Iaşi) şi Internet; iar cea de a doua categorie este reprezentată de firewall-urile personale dedicate monitorizării traficului pe calculatorul personal.

Utilizând o aplicaţie din ce-a de a doua categorie veţi putea preîntâmpina atacurile colegilor lipsiţi de fair-play care încearcă să acceseze prin mijloace mai mult sau mai puţin ortodoxe resurse de pe PC-ul dumneavoastră. În situaţia în care dispuneţi pe calculatorul de acasă de o conexiune la Internet, un firewall personal vă va oferi un plus de siguranţă transmisiilor de date. Cum astăzi majoritatea utilizatorilor tind să schimbe clasica conexiune dial-up cu modalităţi de conectare mai eficiente (cablu, ISDN, xDSL sau telefon mobil), pericolul unor atacuri reuşite asupra sistemului dumneavoastră creşte. Astfel, mărirea lărgimii de bandă a conexiunii la Internet facilitează posibilitatea de „strecurare” a intruşilor nedoriţi.

Astfel, un firewall este folosit pentru două scopuri:

  • pentru a păstra în afara reţelei utilizatorii rău intenţionati (viruşi, viermi cybernetici, hackeri, crackeri)
  • pentru a păstra utilizatorii locali (angajaţii, clienţii) în reţea
Politica Firewall-ului
 Înainte de a construi un firewall trebuie hotărâtă politica sa, pentru a şti care va fi funcţia sa şi în ce fel se va implementa această funcţie.

Politica firewall-ului se poate alege urmând câţiva paşi simpli:

  • alege ce servicii va deservi firewall-ul
  • desemnează grupuri de utilizatori care vor fi protejaţi
  • defineşte ce fel de protecţie are nevoie fiecare grup de utilizatori
  • pentru serviciul fiecărui grup descrie cum acesta va fi protejat
  • scrie o declaraţie prin care oricare alte forme de access sunt o ilegalitate

Politica va deveni tot mai complicată cu timpul, dar deocamdată este bine să fie simplă şi la obiect.

Clasificări
 Firewallurile pot fi clasificate după:

  • Layerul (stratul) din stiva de reţea la care operează
  • Modul de implementare

În funcţie de layerul din stiva TCP/IP (sau OSI) la care operează, firewall-urile pot fi:

  • Layer 2 (MAC) şi 3 (datagram): packet filtering.
  • Layer 4 (transport): tot packet filtering, dar se poate diferenţia între protocoalele de transport şi există opţiunea de „stateful firewall”, în care sistemul ştie în orice moment care sunt principalele caracteristici ale următorului pachet aşteptat, evitând astfel o întreagă clasă de atacuri
  • Layer 5 (application): application level firewall (există mai multe denumiri). În general se comportă ca un server proxy pentru diferite protocoale, analizând şi luând decizii pe baza cunoştinţelor despre aplicaţii şi a conţinutului conexiunilor. De exemplu, un server SMTP cu antivirus poate fi considerat application firewall pentru email.

Deşi nu este o distincţie prea corectă, firewallurile se pot împărţi în două mari categorii, în funcţie de modul de implementare:

  • dedicate, în care dispozitivul care rulează software-ul de filtrare este dedicat acestei operaţiuni şi este practic „inserat” în reţea (de obicei chiar după router). Are avantajul unei securităţi sporite.
  • combinate cu alte facilităţi de networking. De exemplu, routerul poate servi şi pe post de firewall, iar în cazul reţelelor mici acelaşi calculator poate juca în acelaţi timp rolul de firewall, router, file/print server, etc.
Ce „poate” şi ce „nu poate” să facă un firewall?
 
Un firewall poate să:

  • monitorizeze căile de pătrundere în reţeaua privată, permiţând în felul acesta o mai bună monitorizare a traficului şi deci o mai uşoară detectare a încercărilor de infiltrare;
  • blocheze la un moment dat traficul în şi dinspre Internet;
  • selecteze accesul în spaţiul privat pe baza informaţiilor conţinute în pachete.
  • permită sau interzică accesul la reţeaua publică, de pe anumite staţii specificate;
  • şi nu în cele din urmă, poate izola spaţiul privat de cel public şi realiza interfaţa între cele două.

De asemeni, o aplicaţie firewall nu poate:

  • interzice importul/exportul de informaţii dăunătoare vehiculate ca urmare a acţiunii răutăcioase a unor utilizatori aparţinând spaţiului privat (ex: căsuţa poştală şi ataşamentele);
  • interzice scurgerea de informaţii de pe alte căi care ocolesc firewall-ul (acces prin dial-up ce nu trece prin router);
  • apăra reţeaua privată de utilizatorii ce folosesc sisteme fizice mobile de introducere a datelor în reţea (USB Stick, dischetă, CD, etc.)
  • preveni manifestarea erorilor de proiectare ale aplicaţiilor ce realizează diverse servicii, precum şi punctele slabe ce decurg din exploatarea acestor greşeli.