Routere cu filtrare de pachete

Routere cu filtrare de pachete

Un router cu filtrare de pachete trimite pachete intre sistemele gazda interne si cele externe unei retele, intr-o maniera selectiva. El permite sau blocheaza trecerea unor anumite tipuri de pachete in functie de politica de control al accesului in retea.

Filtrarea pachetelor se realizeaza pe baza unui set de reguli de filtrare stabilite de administratorul sistemului. Aceste reguli permit sau blocheaza trecerea unui pachet receptionat prin testarea uneia sau mai multor informatii din antetul pachetului. Filtrarea de pachete IP se poate face tinand cont de urmatoarele campuri din antetul unui pachet:

Adresa IP a sursei;

Adresa IP a destinatiei;

Protocolul incapsulat (TCP,UDP⁸, ICMP etc);

Port-ul sursa TCP/IP;

Port-ul destinatie TCP/UDP.

Daca pachetul receptionat indeplineste conditiile impuse de regulile de filtrare atunci acesta este trimis conform tabelei de rutare. În caz contrar, pachetul este distrus. Daca nici o regula nu se potriveste atunci pachetul este accesat sau distrus in functie de modul in care a fost configurat firewall-ul.

Adresa IP este un mijloc universal de identificare pe Internet. Aceasta adresa poate fi statica sau dinamica:

Adresa IP statica este permanenta si reprezinta adresa unui calculator conectat permanent la Internet.

Adresa IP dinamica este o adresa atribuita arbitrar unui anumit calculator, ori de cate ori acesta se conecteaza la retea. Alocarea dinamica a adreselor IP este folosita de furnizorii de servicii pentru accesul pe linii telefonice comutate (dial-up). Astfel acelasi calculator, conenctat in mod dial-up, va primi o adresa IP diferita ori de cate ori acesta solicita conectarea la Internet.

Filtrarea dependenta de serviciu

Regulile de filtrare a pachetelor ofera posibilitatea unui router sa permita sau sa interzica traficul pentru un anumit serviciu Internet, atat timp cat majoritatea serviciilor Internet folosesc porturi TCP/UDP cunoscute.

De exemplu, un server Telnet raspunde la cererile de conexiune de la distanta facute pe portul TCP 23, iar SMTP (Simple Mail Transfer Protocol) lucreaza pe portul TCP 25. Pentru a bloca conexiunile Telnet, router-ul distinge toate pachetele care contin valoarea portului destinatie TCP 23. Pentru a restrictiona conexiunile Telnet la un numar limitat de statii, router-ul trebuie sa blocheze toate pachetele care au numarul portului destinatie TCP 23, dar care nu se afla in lista la care este permis accesul.

UDP : User Datagram Protocol. Spre deosebire de TCP/IP, UDP/IP genereaza putine erori in serviciile recovery. Ofera o cale directa de trimitere si primire a datagramelor in reteaua IP.

Regulile des folosite pentru acest tip de filtrare sunt:

Permiterea sesiunilor Telnet spre interior la o lista specifica de statii;

Permiterea tuturor sesiunilor Telnet spre exterior;

Permiterea sesiunilor FTP spre interior la o lista specifica de statii;

Permiterea tuturor sesiunilor FTP spre exterior;

Interzicerea traficului provenind de la o serie de retele externe.

Filtrarea independenta de serviciu

Exista totusi cateva tipuri de atacuri care sunt greu de detectat folosind informatiile din antetul pachetelor, deoarece aceste atacuri sunt independente de serviciu. Router-ele pot fi configurate pentru a oferi protectie impotriva acestor tipuri de atacuri, dar sunt mai greu de configurat, deoarece regulile de filtrare necesita informatii suplimentare, care pot fi obtinute numai prin examinarea tabelei de rutare si inspectarea unor optiuni IP specifice etc. În continuare sunt prezentate cateva tipuri de atacuri de acest gen:

Atacuri prin schimbarea adresei IP sursa. În acest tip de atac, intrusul transmite pachete din afara care au adresa sursa din spatiul de adrese interne retelei protejate. Atacatorul spera ca folosirea unei adrese false sa-i permita penetrarea sistemului prin faptul ca pachetele provenind de la statiile interne sunt acceptate, iar cele din afara sunt distruse. Acest tip de atac poate fi blocat prin distrugerea tuturor pachetelor cu adrese interne care vin prin interfata externa a router-ului.

Atacuri prin rutare de la sursa. În acest tip de atac, statia sursa specifica ruta pe care pachetul o va urma prin Internet cu scopul de a ocoli masurile de securitate si de a face ca pachetele sa urmeze cai neasteptate spre destinatie. Solutia pentru contracararea acestui tip de atac o reprezinta distrugerea tuturor pachetelor avand optiunea de rutare de la sursa.

Atacuri prin fragmente mici. Pentru acest tip de atac intrusul foloseste posibilitatea de fragmentare a pachetelor IP, pentru a crea fragmente extrem de mici si a forta ca antetul cu informatii TCP sa se afle intr-un alt pachet decat cel cu adresele IP. Acest atac urmareste sa evite regulile de filtrare, atacatorul sperand ca router-ul va examina numai primul fragment si va permite celorlalte sa treaca. Un astfel de atac se elimina prin distrugerea tuturor pachetelor al caror protocol este TCP si care au offset-ul fragmentului IP egal cu 1.

Avantajele unui router cu filtrare de pachete

Majoritatea firewall-urilor instalate se bazeaza numai pe routere cu filtrare de pachete. in afara de timpul pierdut cu definirea filtrelor si configurarea router-elor, costul unei astfel de solutii este foarte mic, deoarece optiunea de filtrare a pachetelor este oferita de majoritatea router-elor actuale. Impactul asupra performantelor router-ului este nesemnificativ, atata timp cat traficul este relativ scazut si numarul de filtre este mic. Un router cu filtrare de pachete este in general transparent utilizatorilor si aplicatiilor acestora, asa ca nu necesita pregatirea utilizatorilor sau instalarea de software specific

Limitarile router-elor cu filtrare de pachete

Daca cerintele de filtrare sunt complexe, setul regulilor de filtrare poate deveni extrem de lung si complicat, fiind greu de administrat si inteles, iar posibilitatile de testare automata a corectitudinii acestora sunt reduse.

În general, numarul de pachete care trec prin firewall scade daca numarul de filtre creste. Router-ele sunt optimizate sa extraga adresa destinatie a fiecarui pachet, sa consulte tabela de dirijare si apoi sa expedieze pachetul pe interfata corecta. Daca un filtru de pachete este activ, router-ul nu trebuie sa ia numai decizii de dirijare pentru fiecare pachet, ci sa aplice si regulile de filtrare. Acest proces poate consuma timp procesor si poate avea impact asupra performantelor sistemului.

Filtrarea pachetelor IP nu furnizeaza un control suficient asupra traficului. Un router cu filtrare de pachete poate permite sau interzice accesul la anumite servicii Internet, dar nu este capabil sa inteleaga datele dintr-un serviciu. De exemplu, un administrator de retea poate avea nevoie sa filtreze traficul la nivel aplicatie in ideea de a limita accesul doar la un subset din comenzile Telnet sau FTP disponibile. Acest tip de filtrare se realizeaza la un nivel mai ridicat prin intermediul serverelor proxy.

Fig. 4.4. Firewall tip filtru 4.3.7. Servere proxy