Conceptul de firewall

Conceptul de firewall

Un firewall controleaza accesul intre reteaua privata a organizatiei si Internet. Fara firewall, fiecare statie din reteaua privata este supusa atacurilor initiate din exteriorul retelei.

Cand nu exista instalat nici un dispozitiv firewall sau un alt mijloc de protectie, dialogul dintre statia din reteaua privata si sistemul (calculatorul) aflat la distanta se realizeaza direct. Acest lucru este reprezentat in figura 4.2.

Informatia pleaca de pe statia de lucru si ajunge la serverul retelei organizatiei dumneavoastra (X).

Serverul transfera informatia router-ului A, iar acesta transmite informatia in Internet (prin linii telefonice sau linii de mare viteza).

Informatia este dirijata prin Internet prin intermediul mai multor routere pana la routerul B care transfera informatia catre serverul organizatiei Y si de aici devine disponibila in intreaga retea.

Deoarece nici una din retelele private nu prezinta masuri de securitate, pachetele nu intalnesc nici un obstacol pe toata durata traficului.

Un firewall reprezinta deci o solutie folosita pentru prevenirea accesului neautorizat din exterior in reteaua interna. El este realizat, de obicei, printr-o combinatie de software si hardware.

Firewall-ul reprezinta implementarea politicii de securitate in termeni de configurare a retelei.

Este important de retinut ca un firewall nu este numai un dispozitiv sau o combinatie de dispozitive ce furnizeaza securitate pentru o retea. Firewall-ul este parte a unei politici generale de securitate si are rolul de a crea un perimetru de securitate in jurul resurselor informationale ale organizatiei. Politica de securitate trebuie sa stabileasca responsabilitatile utilizatorilor din punctul de vedere al securitatii, modului de acces la retea si metodele de autentificare a utilizatorilor interni sau aflati la distanta, mecanismele de criptare a datelor memorate sau transmise prin retea, masurile de protectie impotriva virusilor etc. Politica de securitate trebuie sa identifice toate punctele potentiale de atac si sa le protejeze pe toate la acelasi nivel de securitate.

A implementa un firewall fara o politica de securitate corespunzatoare este ca si cum ai pune 'o usa de otel la intrarea unui cort'.

Figura 4.3. Dispunerea unui firewall

Un firewall este deci un sistem plasat intre doua retele care poseda urmatoarele proprietati:

Tot traficul dinspre interior spre exterior ca si cel dinspre exterior spre interior trebuie sa treaca prin acesta.

Este permisa trecerea numai a traficului autorizat prin politica locala de securitate.Un firewall poate fi configurat sa primeasca un anumit numar de conexiuni sau sa refuze conexiunile provenind de la adrese IP aflate pe 'lista neagra'. Cum aceste setari sunt dinamice, inseamna ca listele cu regulile de firewall pot fi schimbate/modificate de catre administrator.

Sistemul insusi este imun la incercarile de penetrare a securitatii acestuia.

Deoarece un firewall este dispus intre doua retele, acesta poate fi folosit si in alte scopuri decat acela de control al accesului:

Pentru a monitoriza comunicatiile dintre retea si inregistrarea tuturor comunicatiilor dintre o retea interna si o retea externa. De exemplu, un firewall poate monitoriza, inregistra serviciile folosite si cantitatea de date transferata prin conexiuni TCP/IP intre propria retea si lumea exterioara;

Un firewall poate fi folosit pentru interceptarea si inregistrarea tuturor comunicatiilor dintre reteaua interna si exterior;

Daca o organizatie are mai multe retele, separate din punct de vedere geografic, fiecare avand cate un firewall, exista posibilitatea programarii acestor firewall-uri pentru a cripta automat continutul pachetelor transmise intre ele. in acest fel, prin suportul Internet, organizatia isi poate realiza propria retea virtuala privata.

Politica de securitate pe segmentul firewall se realizeaza pe urmatoarele coordonate⁵:

- Siguranta:

Politica si configurarea firewall-ului trebuie foste corect documentata;

Firewall-urile trebuie sa fie supuse unei monitorizari periodice si auditate anual.

Masinile proxy si firewall trebuie sa fie instalate in mod sigur;

- Identificare si autentificare:

Conexiunilor dispre Internet trebuie sa li se aplice un sistem puternic de autentificare.

- Responsabilitate si audit

Masinile proxy si firewall trebuie sa fIe instalate in mod sigur

Trebuie sa existe log-uri firewall detaliate, de preferinta pe servere dedicate dispunand de medii de stocare RO (read-only). Log-urile se vor arhiva pe durata a cel putin un an;

⁵ https://www.boran.com/security/

Log-urile trebuie analizate in mod automat.

- Controlul accesului

Accesul spre Internet din cadrul retelei organizatiei trebuie sa se realizeze prin proxi-uri situate in firewall;

Configurare implicita: altfel specificate, serviciile snt interzise.

Utilizatorii nu pot oferi servicii spre Internet;

Utilizatorii nu trebuie sa se poata loga direct pe masinile firewall.

Acuratete:

Verificarea integritatii fisierelor pe masinile firewall se realizeaza lunar.

Schimbul de date:

Toate sesiunile login pe masinile firewall trebuie sa aiba parole criptate sau de unica folosinta.

Disponibilitatea serviciului:

Firewall-ul trebuie sa fie disponibil 7 zile x 24 ore;

Managemetul schimbarii: updatarea si configurarea schimbarilor trebuie realizate in conformitate cu procesul de asigurare a calitatii;

Alertele trebuie sa se produca in cazul 'caderii' unor servicii/procese importante.

Servicii imprtante, cum ar fi WWW proxy trebuie configurate astfel incat sa prezinte disponibilitate ridicata.

Copiile periodice trebuie realizate la timp.

Auditorul va trebui sa analizeze si continutul procedurilor de raspuns la incidente. Scopul acestor proceduri este de a preciza detaliat care sunt actiunile ce trebuie intreprinse in cazul detectarii unei incident de securitate pe un firewall. Actiunile in cazul unei incident urmaresc sa pretejeze si refaca conditiile normele de operare a calculatoarelor, serviciilor, informatiilor.

Procedura trebuie sa prevada urmatorii pasi:

Instruirea echipei de actiune in caz de incidente.

Evaluarea rapida a incidentului detectat: in etapa de analiza rapida a incidentului detectat este necesara identificarea sursei amenintarii.' eroarea unui administrator, atac din exteriorul retelei, atac din interiorul retelei, alarma falsa etc. Apoi se va identifica rezultatul amenintarii produse si anume afectarea: integritatii, confidentialitatii, disponibilitatii sistemelor/serviciilor/datelor. In cazul producerii unui atac, este necesar sa se raspunda la urmatoarele intrebari⁶:

Atacatorul a penetrat cu succes sistemul?

Bresa creata ii permite sa intre oricand in sistem?

Unde au fost detectati intrusii?

Cat de extins este efectul incidentului?

Care este principalul pericol (afectarea confidentialitatii, desponibilitasii etc)?

- Derularea imediata a unor actiuni care sa asigure limitarea efectelor incidentului produs. Aceste actiuni pot consta in:

Restaurarea informatiei

Izolarea masinii subiect al atacului

Întreruperea conexiunii cu Internetul a retelei organizatiei

Oprirea unuia sau mai multor servere remote access

Realizarea imediata a unor copii ale log-
urilor si datelor.

Conservarea tuturor urmelor atacului in vederea folosirii lor ca probe si identificarea atacatorilor.

În caz de nevoie, anuntarea, prin persoana responsabila cu relatiile publice si comunicare, a incidentului.

Analiza detaliata a situatiei presupune: stabilirea prioritatilor, determinarea amplorii afectarii, notificarea administratorilor, managementului, reprezentantului legal si a autoritatilor in caz de nevoie.

Refacerea datelor/serviciilor/sistemelor consta din urmatoarele actiuni: restaurarea datelor/serviciilor/programelor, verificarea programelor (pe baza copiilor existente) de pe masinile tinta a atacurilor, inlaturarea deficienselor care au permis producerea incidentului etc.

- Urmarirea presupune :

Verificarea masurii in care toate serviciile au fost restaurate.

Verificarea inlaturarii deficientei care a permis producerea incidentului.

Daca este necesara revederea procedurii de raspuns la incidente.

Daca sunt necesare schimbari in configurarea firewall-ului.

Daca este necesara realizarea unor proceduri legale sau de asigurare

(unele riscuri pot fi subiectul unor asigurari la firmele specializate).