7/25/2019 Firewall Rules - Curs
1/27
5. Sisteme Firewall
7/25/2019 Firewall Rules - Curs
2/27
Ion BICA 2
Sisteme Firewall
Conectarea la Internet este o cerin de business pentruaproape toate organizaiile
Un calculator conectat direct la Internet este o int posibilpentru atacatori
Orice disfuncionalitate a sistemelor de calcul cost bani(direct sau indirect)
Sunt necesare mecanisme de protecie a reelelor internempotriva atacurilor externe
7/25/2019 Firewall Rules - Curs
3/27
Ion BICA 3
Rolul unui firewall
O manifestare fizic a politicii de securitate n retea
Punct de control i monitorizare a traficului, ntre dou reele
Mecanism pentru limitarea accesului la resursele/serviciilereelei interne
Similar unui zid de aprare
7/25/2019 Firewall Rules - Curs
4/27
Ion BICA 4
Rolul unui firewall (cont.)
INTERNET
Firewall
Retea Privata
Cine ? Cand ?
Ce ? Cum ?
PC
7/25/2019 Firewall Rules - Curs
5/27
Ion BICA 5
Cerine pe care trebuie s le satisfac un firewall
1. Tot traficul din interior spre exterior i vice versa, trebuie streac prin firewall nu trebuie s existe puncte de acces n reea necontrolate (backdoors)
2. Numai traficul autorizat, stabilit prin politica de securitateintern, poate s treac prin firewall reguli de acces stricte
3. Firewall-ul nsui trebuie s fie imun la atacuri. Aceastapresupune folosirea unui sistem de ncredere care a fostsupus n prealabil unui proces de securizare (hardening) maini dedicate pe care nu trebuie s mai ruleze alte servicii
7/25/2019 Firewall Rules - Curs
6/27
Ion BICA 6
Terminologie
Pachet unitatea de informaie creat de un protocol de reea,pentru a transporta date i informaii de control. n contextul stiveiTCP/IP se mai numete i datagram.
DMZ (DeMilitarized Zone) un segment de reea dispus ntreexterior (o reea neprotejat, Internet) i reeaua intern (protejat),avnd rolul de a intermedia schimbul de informaii. Este reeaua ncare, de regula, sunt dispuse serviciile publice i gateway-urile deaplicaie.
Reele protejate i neprotejate Reelele protejate sunt localizate n spatele unui firewall, fiind protejate prin
politicile acestuia Reelele neprotejate, cum ar fi Internet-ul, stau n fata unui firewall i nu sunt
protejate de ctre politicile acestuia Direcii ale traficului
Inbound = spre interiorul zonei protejate de firewall Outbound = spre exteriorul zonei protejate de firewall
7/25/2019 Firewall Rules - Curs
7/27
Ion BICA 7
Terminologie (cont.)
Inbound sau Outbound Inbound = spre interiorul zonei protejate de firewall
Outbound = spre exteriorul zonei protejate de firewall
FWInternal
NetworkExternalNetwork
7/25/2019 Firewall Rules - Curs
8/27
Ion BICA 8
Exemplu de firewall
InternetRFW
InternalNetwork
Protected UnprotectedDMZ
7/25/2019 Firewall Rules - Curs
9/27
Ion BICA 9
Exemplu de firewall (cont.)
RFW
Policy 1 Cor Np e
o tr w
a ot r
e k
FW
FW
SW
FW
Serv1
Serv2
Serv3
Policy 2
Policy 3
Serv4
7/25/2019 Firewall Rules - Curs
10/27
Ion BICA 10
Parametri de control al accesului
Exemple de politici (reguli):
La nivel legatur de date Interzice toate pachetele de la adresa MAC 00-1c-bf-01-02-03 Nu cere autentificarea daca adresa MAC este 00-1c-2b-aa-bb-cc
La nivel reea
Interzice orice trafic, cu excepia pachetelor de ieire ce vin de la reeaua10.10.10.0/24 Permite numai trafic ESP (IPsec) Interzice orice trafic, cu excepia traficului de la reeaua 172.16.30.0/24, spre
reeaua 192.168.10.0/24
7/25/2019 Firewall Rules - Curs
11/27
Ion BICA 11
Parametri de control al accesului (cont.)
Exemple de politici (reguli):
La nivel transport
Permite traficul de Web de oriunde (inclusiv Internet), cu condiia ca adresadestinaie s fie a serverului propriu 192.168.0.10
Permite traficul FTP de oriunde, spre propriul server 192.168.0.11
La nivel aplicaie Interzice tot traficul de tip peer-to-peer
Nu permite trafic HTTP n al crui header exist comanda POST
Nu permite opiunea DEBUG n comenzile SMTP (e-mail)
7/25/2019 Firewall Rules - Curs
12/27
Ion BICA 12
Tipuri de firewall
1. Packet filtering firewall
2. Stateful inspection firewall
3. Application firewall4. Proxy gateway
5. Personal firewall
7/25/2019 Firewall Rules - Curs
13/27
Ion BICA 13
Packet filtering firewall
Permite sau interzice pachetele, funcie de adresa IP sau portulsursa/destinaie reguli de filtrare (ACL Access Control List): deny / allow deny all regula default
Verificarea pachetelor se face n ambele direcii (inboundrespectivoutbound trafic)
Payload-ul pachetelor (zona de date) nu este inspectat
Nu memoreaz informaii de stare; pachetele sunt tratate individual, far a
ine cont de context Funcie suportat de majoritatea ruterelor actuale
Avantaje simplu, rapid, transparent pentru utilizatori
Dezavantaje nu poate bloca toate tipurile de trafic ineficient mpotriva atacurilor care exploateaz vulnerabilitile protocoalelor
din stiva TCP/IP
eficien sczut n cazul fragmentrii pachetelor
7/25/2019 Firewall Rules - Curs
14/27
Ion BICA 14
Packet filtering firewall (cont.)
Filtru de pachete fr stare (stateless) sunt necesare doualiste de control al accesului:1. Permite traficul HTTP de la 10.0.0.0/24, spre www.yahoo.com
2. Permite traficul HTTP de la www.yahoo.com, spre 10.0.0.0/24
7/25/2019 Firewall Rules - Curs
15/27
Ion BICA 15
Stateful inspection firewall
Bazat tot pe filtrarea de pachete
Inspecteaz pachetele i memoreaz informaii de stare pentrufiecare conexiune n parte odat ce un pachet este identificat ca fcnd parte dintr-o conexiune
stabilit, procesarea acestuia poate fi optimizat (lua o cale mai scurt)
informaia de stare ce se memoreaz difer de la productor laproductor
Cel mai popular tip de firewall
Performane ridicate
7/25/2019 Firewall Rules - Curs
16/27
Ion BICA
Stateful inspection firewall (cont.)
Fiecare pachet primit este analizat n conformitate cu coninutul tabelei de stare:
daca starea pachetului corespunde strii din tabel, atunci pachetul este lsat s treac Maini de stare pentru fiecare protocol (TCP, UDP, etc)
blocarea pachetelor care nu ader strict la starea mainii din momentul respectiv (deexemplu, numrul de secven TCP este n afara ordinii)
Ce se ntmpl n cazul protocoalelor de tip connectionless (UDP)?
se urmrete doar adresele i porturile surs i destinaie
un rspuns DNS va fi lsat s treac numai dac a existat n prealabil o interogare DNS
intrrile din tabel sunt terse automat dup un interval de timp
16
7/25/2019 Firewall Rules - Curs
17/27
Ion BICA 17
Stateful inspection firewall (cont.)
Este suficient o singur list de control al accesului:1. Permite traficul HTTP de la 10.0.0.0/24, spre www.yahoo.com
7/25/2019 Firewall Rules - Curs
18/27
Ion BICA
Application firewall
Deep pachet inspection
Filtrare funcie de datele / comenzile transmise la nivelaplicaie: blocarea tuturor e-mailurilor care conin fiiere executabile ca
ataament, blocarea paginilor de Web cu coninut activ (Java, ActiveX),blocarea comenzii FTP put
Produse specializate funcie de protocolul de nivel aplicaie: Web (HTTP) Database (SQL)
E-mail (SMTP, POP3, IMAP)
18
7/25/2019 Firewall Rules - Curs
19/27
Ion BICA 19
Proxy gateways
Application Level Gateway - control la nivel de protocol
Toate cererile i rspunsurile trec prin proxy server unde sunt validate
Exista doua conexiuni separate: client-proxy, proxy-server
Avantaje:
adresele IP interne nu sunt vizibile n exterior permit autentificarea utilizatorilor care acceseaz Internet-ul permit analiza traficului SSL
Fiecare serviciu are nevoie de un proxy separat nu toate serviciile suport proxy
HTTP proxy filtrare, loggare, caching pagini Web forward vs reverse proxy
7/25/2019 Firewall Rules - Curs
20/27
Ion BICA 20
Personal firewall
Versiune simplificat a unui firewall de reea, destinat staiilorde lucru
Interzice conexiunile de intrare, daca nu au fost explicitpermise
Inspecteaz traficul de intrare/ieire i protejeaz staiile delucru de atacuri
Management centralizat pentru impunerea politicilor desecuritate la nivel organizaional
Exemple de personal firewall
Windows XP Firewall (SP2) ZoneAlarm (www.zonelabs.com)
Norton Personal Firewall (www.symantec.com)
Comodo Firewall (www.comodo.com)
7/25/2019 Firewall Rules - Curs
21/27
Ion BICA
Alte tehnologii firewall
Network Access Control (NAC) / Network Acces Protection (NAP)
verificarea calculatoarelor utilizatorilor nainte de a le da accesul n reeauaintern
calculatorul este pus iniial ntr-o zon de carantin (reea special), verificatdin punct de vedere al securitii (antivirus, update-uri, etc) i apoi i se permiteaccesul n reeaua intern
Unified Threat Management (UTM)
implementarea mai multor funcionaliti de securitate (firewall, IPS, antivirus,
VPN, DLP) pe un singur echipament reduce efortul de administrare
limitri din punct de vedere al performanei
Firewall pentru infrastructuri virtuale
reele virtualizate filtrarea traficului ntre maini virtuale
21
7/25/2019 Firewall Rules - Curs
22/27
Ion BICA 22
Implementare firewall
Sistem de operare specializat, securizat Diferite niveluri de performanta/pret Uor de instalat i administrat
Ruleaz pe sisteme de uz general Nivel de performan mediu
Nivel foarte ridicat de performan
Se integreaz n infrastructura de reea existent
Protecia investiiei existente Dedicat conexiunilor WAN/Internet
Influeneaz performanele de rutare a pachetelorale ruterului
7/25/2019 Firewall Rules - Curs
23/27
Ion BICA 23
Caracteristici cheie pentru un firewall
Performana viteza de procesare (bps, pps, cps) scalabilitatea ASIC vs NP vs CPU (uz general)
Politici de filtrare suportate pe baz de adrese i protocoale funcie de aplicaiile de reea utilizate pe baza identitii utilizatorilor
Disponibilitatea activ-pasiv activ-activ
Integrarea cu infrastructura existent
cu serviciile de autentificare (Radius, Tacacs+) cu serviciile de logging i monitorizare
Management SSH, HTTPS
7/25/2019 Firewall Rules - Curs
24/27
Ion BICA 24
Limitrile unui firewall
Nu asigur protecie mpotriva atacurilor interne 60 % din atacuri sunt din interior!
Nu asigur protecie mpotriva viruilor transmii prin e-mailsau Web traficul SMTP i HTTP este permis de firewall!
Nu pot inspecta traficul criptat / tunelat
Sisteme complexe configurarea i administrarea unui firewall nu este simpl!
7/25/2019 Firewall Rules - Curs
25/27
Ion BICA 25
Produse firewall
Cisco ASA
Check Point FireWall-1
Juniper NetScreen Palo Alto Networks PA/VM
Fortinet FortiGate
McAfee Firewall Enterprise
Stonesoft NGFW
Linux netfilter/iptables
7/25/2019 Firewall Rules - Curs
26/27
Ion BICA 26
Gartner Magic Quadrant for Enterprise Network Firewalls
7/25/2019 Firewall Rules - Curs
27/27
Ion BICA 27