Terry William Ogletree Firewalls Protectia retelelor conectate Ia Internet Traducere de Moraru Florin, Mocanu Cristian TeoraTitlul original: Practical Firewalls ‘© Copyright © 2001 Teora ‘Toate drepturile asupra versiuni th limba romana apartin Edituril Teora, Reproducerea integrald sau parfialé a textulul sau a ilustafior din aceasta carte este posibllé numai ‘cu acordul prealabil sris al Edituri Teora. ‘Authorized translation from the Engish language edition ented ,Pracical Frewalls* published by QUE Corporation Copyright © 2000 ‘llrightsreserved. No part of this book may be reproduced or transmitted in any form orby any means, electronic or mechanical, including photocopying, recording or by any information storage retrieval system, without pormission from the Publisher. Romanian language edition published by Teora Publishing. Copyright © 2000 Teora Calea Moslor nr. 211, sector 2, Bucuresti fax: 01/210.38.28 mal teora@teora kappa. ‘Teora — Cartea prin post CP 79-30, cod 72450 Bucuresti, Romania tel: 017252.14.31 e-mail: epp@teora.kappa.ro Coperta: Gheorghe Popescu ‘Tehnoredactare: Techno Media j Pregedinte: Teodor Raducanu NOT 4748 CAL FIREWALLS PROTECTIE, RETELE ISBN 973-20-0216-6 Printed in Romania yee? Cuprins artea I aon eNauw Portea a Partea « W2 13 14 15 16 7 18 19 20 au ‘Sé infelegem firewall-urile si securitatea in Internet ....... oe Blamente de bazi despre firewali-uti ceteeeee 13 Intoducere in suita de protocoale TCP/IP... 6.04... 26 Seauritate si Internet... seve -.58 Politi de securitate pentra firewall-uri si strategii de proiectare a ficewallurilor 6... eeeee seetee B Fileearea pachetelor...0.0....6 00 ceeeeee seen Utilizarea unei gazde bastion. 6.6606 cecceeeeeeeeeeeeeees H12 Port de aplicati si servere intermediar. beceeeeeeees AE Teknici de monitorizate si auditare a sistemelor de operare.... 148 @ Criptare si comunicafil sigure in Internet ... 165 ‘Tehnologii de criptare +166 Regele vstuale private (VPN) si tunis... cece ATS Utilzatea programului PGP Prety Good st Peg) pensmu criprase wee 188 a Instalarea sl configurarea firewall-urilor... 197 Instcumente pentru firewall-uti disponibile in Internet........ 198 Uuliaares produsulai TCP Wrappers 208 Folesirea sctului de instrumente FWTK (IIS Firewall Toolkit)... ee 27 SOCKS.. 241 sQuIp cece 249 Uillzsea progeamelor ipa 5 caine sub Linux . wees 258 Mictosoft Proxy Server... 272 Firewall-ul Elton Command View 288 Dispozitive firewall, . 299 Firewall-uti si mai mule decit ati 3066 cUPRINS Partea a IV-a Anexe.. cee ee B16 A Portuti uzuale TCP si UDP ...--..eeeeeee 317 B Alte instrumente de securitate pe care le putefi folosi......... 364 © Resurse suplimentare 372 378 Despre autor Terry Ogletree este consultant si lucteaz’ in prezent in New Jersey. Lucre: volumul 4 al seriei Windows NT 4 Resource Library, public Ja editura Sams. fn plus, a sau i visita pagina de prezentae la adresa www twang. om are ce sunt CRACK gi SATAN? ‘Cum pute si croajl un canal sigur, securzat Peniry datole companiel dumneavoastra tune’ cénd este uiizata reteaua intemet? ‘Ge este un atac de tip interzicerea servic (Ge face mal exact un fits de pachete? Tavita de coastal intrmeciar pot f combinate cu frarea pachetelor pentru a crea frewal-ur mal soeurzate Nil un firewall u es poroct. Veh 58 it ca broge erst? Ce uiltare incorporate de rare a pachetelor suntinluse in setemul de operare Linux? (0 este TIS Internet Firewall Took? fobtine dn internet apicati (gratuite sau shareware pentru eva constr tn firewall propru? Thvdlati despre configurarea s illzarea audit sla fglerolor Jura (Ge reprezintlprogramul TOP Wrappers gi cum ute! 8& T configura pe un sistem UNIX? Nuva place e& nncali SQUID". Ce rol poate Joa isa tnt fiewal? TOP, UDP, ICMP gi protocoalele asoclate firowal-urior surd at&t de complica, ns sunt fect usor de rales, ‘Aji auaitc& trebu sf instalai un firewall pentru c& fa dunn wavoastra primeste s€ptimana vitoare o conexunela Internet. Nu aveti rol oidae? ‘Dac toomal aitsrminat procesul de ‘nfelegere a versuni curante de TCPIP, asteptati pana citi despre IPV6! tel s& instala ie flosif software-ul Microsoft Proxy Server pentru a crea un firewall securlzat? Va este teamé sé utlizal solware descaroat din Internet? Produsele firewall comerciale pot ‘ietine siusor de instalet, contigurat gi Ver! anexa B, Alle instrumente de securtate e care le pu pagina 364 \Veri Ce asta o rejea vitvald privatf™ in capitolul 10, pagina 176, Veal .Atacuri de tp interzcerea servielulur in capitol 3, pagina 63. Vedi ,Uilizarea unui fra de pachete, capitlul 4, pagina 81, ‘Ver! .Stratagi pentru frewall-ur, in eapiolal 4, pagina 81 ‘Vez! Jmpotiva clror paricole nu vA poate ‘para un firewall, in capitolul 1, pagina 23 Veri.Ce sunt iptvadim si jochans?™ ‘captoll 17, pagina 258, ‘Vea! capitol 14, -Folosrea setull de Inst ‘mente FWTK (TIS Firewall Took)", pagina 217 Vedi capitlul 12, Instrumente pentru frewail-uricisponioie ir Internet, pagina 198, Ved! capitolul 8, .Tehinil de monitorzare gl auditare a sistemelor de oparare’, pagina 148 Ver! Cum funcfioneaz& programul TCP Wrappers’ n capitol 13, pagina 209. Ver! ,Co este SQUID? n capitol 16, pagina 248, Vex! capitol 2, ,ntroducere In suita de Protocole TOPIIP*, pagina 26. Vezi capitol t, Elemente de bazd despre tewal-ur, pagina 13. Vezi capitolul 21, -Firewall-ut imal mult dectt atét’, pagina 906. Verl capitlul 18, Microsoft Proxy Server, pagina 272, ‘Ver! capitlul 19, Firewall Ean CommandView pagina 268. administrat. —_——o— eee 1 Tnenglezt, equ = eslmarintrad)Introducere i ir is ta in toate aspectele vietii a doa cyva ani, Interne a inceput sp fack smh preven in tote aspecile ve Cote tn uandton cg ans cease Intec or deen penta cx al mae parte a populatii la fel de obisnuite ca un telefon. O dati cu aceastl tehnologie aflati in Pi Are ea eet en donee nos, emi cesaja Meese pena thlizate pentra protejarea datelor ga resurslor dint sefea nu vor fsufciente penta a asigara secuttare datelorIn acest now domenis : a Penira a proteja sigur o rejea conectath la Intemet, tebuie st folosji un firewall. TTeemenul fava! poate fi ulizat pentru a denumi o gami laspi de produse proiectate si ajute ln protec reel dumeavousta impotiva ameninglorexterne pin linarea ea tare poate al apack Inve cejeaua propde qi Inteme. Cele dou tchnologii de bazi utilizate pentru a crea sisteme firewall sunt flrarea pachetdor ars fining ppl mrad pr aan pro eg) Dc lege tel de funcfionare a acestor tehnologii, vA va fi mai ujor si construifi sau si achizitionayi . firewall pentra rejeaua damnewoastd, In acca carte, vey Inviga despre ambele tehnologi, ex si despre alte caracerste importante ale uni firewall cum ar &insegie tiara in amnal,avertizarea l autendfcarea. : Coton in present ext mul zo cc vind prune enamide fra Girvan) aztec ca Inainte a face 0 achizie importants eh alocal mp lucreaes Sac putea sf vise pac posbl sf eres a med mai igo prin coasricen uni firewall props, folosind un sofewate isponibi pan descireae dn Internet, cum 8 2S nuit Peel Tools 10? Wingert comet Suze doponise poe cl dpe Frewal-u ar dng seen dour cea fot edit in ulm an, Uncle nce ok prerne toate temee posible, in mpce alle fe seen la un anumit prod firewall In aceat care am inert sh prin tora ate conceptele impoztante folosite pentru crearea firewall-uilor si apoi si att cam sunt implementteacste concept ulishndproduse specfice aut gait ct comercil Ce contine aceasta carte? i lucere simpli la subiecte Conginutul acestei cir este aranjat pentra a trece de la o introducere simp! ‘efi dos! probabil sf si peste capitol respectv. Referingele inerucgate din cadrl textului fac mai usor de gisit informagile daci veyi descoperi mai titziu ci trebuie si eveniti pentru a ingelege mai bine un concept. 1 iba rom, fcewall mai fort tradus prin parafoc, prct/:id parafoc/igifug, 2idanifor, Aig depron ce if de foe Tomson sft fl sl alt Tn done cconstrucpilor (dar si in aviaie) si semnifick un sistem de protectie impotrva incendilor. Ia aceasti carte Vom folosi termenul original din limba englezi, jimall Termenul va fi expicat detaliae fn Capitol 1. (atrad) INTRODUCERE 9 ee eeeeeeee Capitol 1, ,Blemente de bazi despre frewall-usi“,reprezintio introducere in domeniul firewall-uilor.Aici vei gis o analiza refectoare Ia motivele pentra care ji putea avea nevoie de un fcewall si informaii despre tpusie de lucruri de eare vi poste proteja un firewalls, respectv, acrusi de eaze ni vi poste apira Capitolul 2, ,Introducere in suita de protocoale TCP/IP", este dedicat utilizatorilor care ‘au cunose inci destul de bine protocoalele TCP/IP si utilitarele asociate acestora in vederea furniti de servici de rejea, Dack a! utat cum fancyioneazi clasele de adsese san cum si organiza tn subrefele un spariu de adrese, city acest capitol 45 capitolul 3, Securitate si Internet’, sunt discutate cdteva diferenge Intre modul de implementare a icusitigi into rejea simplk si modul eum ar trebudimplementatl tunel cind vi conectayi lao reyea mai mare, cum este Intemeral, De asemenea, veg gs sic 0 Prezentare a torva merode uzuale folosite de hackes, cum ar ff aucunie de tp Interzicereaservciului si falsifcarea adreselor IP. {n capitolul 4, ,Poltiei de securitate pentra frewalluci si strategii de proiectare a frewalluslor’, vei gis’ informagi despre difeitele arhitectui pe care le putef folos Pentru a crea un firewall, Aci ve invite l ce pot seri o zona DMZ sau o gard cu dout pilkci de rojea si ves gisio introducere in tchnicile de fltrare a pachetelor $i de intermecing de splicage, Acest capitol vi va permite si lua decizil importante referitoare la modul de creare 4 unei politi! bune de secuctate pentru refeaua dumnesvoastil si la modul de mplementare a scelel polici ew sjutoral unui firewall tn capiolal 5, nfltares pachetelor" este discutat cel mai vechi cp de rewall, Ail vey laviga despre modul fn care au fost dezvoleate echnicileutlizae prima datk pe rateele ea eeranare pentru a oferiun mecanism care poate si impiedice traficul IP nedorit si treact prin bariera firewallulai si sk pitrundé fn feeaua dumneavoasts, Capitolul 6, ,Uitzarea une grade bastion", prezine’ probleme importante de configurase Pe care trebuie si le luagi in considerare atunci cind selectai calculatoarele care vor fi uilzate pentru a ofeti servicii de firewall Aceste calculatoare sunt cele mai vulnersbile grade din reqea deoarece sunt expuse in Internet, si din acest motiv trebuie +4 fe bine configuente pentra a impiedica pitrundezeaintraglor {in capitoal 7, ,Porg de aplicai pi seevere intezmediae, este analzatlo tehnick mai nowt vallaae a Brewall-uc fa tmp ve un flea de pachete poate fi flosit penemu t pesmite saa 4 interaice fuxal de pachete IP tntreregeaua dummieavoastei ji exterior, setveree interme, diat pot fi utlizate pentru a oferi servicii de seyea fri a permite un flux IP disect inte client si server. Capitolul 8, ,Tehnici de monitorizare si auditare a sistemelor de operate", analizeart metode bine cuncscute de configurate a auditici pe sistemele UNIX si Windows NT Capicolul 9, ,Tehnologi de eriptare" ar trebul ctitdact incl nu Infelegey eonceptle cxiprografice fundamentale. Aici puteyitavita despre diferenjele inte tebnicile ow’chel secrete si publice si pentma ce este recomandatd utlizarea feetrel metode. Capitolul 10, ,Rejlevituale pxivate (VPN) si euneluni",continud pe acceayi tem si arth cum pot f uilizate tehnicile de criptare peneru crearea de conesiuni sigute cu tancled Psintr-o rejea publics, aga cum este Internet Capitolul 11, ,Udiizarea programalui PGP (Pretty Good Privacy) pentru criptare, vi poate atita cum si instalai sisi potnii rapid programul PGP pentru nevoile promrll de10 INTRODUCERE INTRODUGERE 11 securitate, cum ar fi trimiterea de mesaje ctiptate de posti clectronicd semnate cu 0 semaiturk digitald. Tot sii sunt prezentate metodele de instalare pe sistemele UNIX si Windows NT. Capitolul 12, ,lasteumente pentru firewall-usi disponibile in Internet, vi oferi 0 privire de ansamblu asupra citorva dintre cele mai populare instrumente pe care putegi si le descarcati din Inteznet si, in majoritatea cazurilor, si le folosifi gratuit pentru a construi un firewall Capitolul 13, ,Utilizarea produsului TCP Wrappers", detaliazi si mai mult modul de instalare si configurare a unuia dinere aceste uulitare gratuite. TCP Wrappers poate fi utilizat pe gazdele UNIX pentru a vi ajuta si securizagi accesul Ia sistem si oferi funcyia de incegistrare in jurnal pentru serviciile importante si utile de reyea, cum ar fi Telnet si FTP. Capitolul 14, ,Folosirea serului de instrumente FWTK (TIS Firewall Toolkit) este un alt capitol care prezinti detaliat un produs pe care il putefi descirca gratuit din Internet. FWTK poate fi dificil de configueat dack nu sunteti deja familiarizat cu administrarea sistemelor UNIX, inst acest capitol poate reprezenta punctal de plecate in direcyia bund, deoarece prezinti concepte importante si vi arati cum funcyioneazi fisierele de configurare, Capitolul 15, ,SOCKS*, prezintd protocolal de securitate SOCKS, care este implementat pe scart larg in produse comerciale, cum ar fi Internet Explorer, sin plus, este disponibil in bibliotecile care pot fi folosite pentra aplicail existente. fo capitalal 16, SQUID“, este prezentat un alt instrument disponibil gratuit din Internet. SQUID este un server intermediar numai pentru cache care poate fi folosit pentru a furniza controlul aecesului, dar si penteu a vi ajata si gestionay lasgimea de banda a reselei memorand copii ale obiectelor Web accesate frecvent intr-o memorie ‘cache locala. Capitclul 17, ,Utlizarea programelor jjfvad si jpcains sub Linus, diseuti despre capabiliigle de filtrare a pachetelor, incorporate in nucleulsistemului Linux, si modul in cate cele doui utilitare pot fi folosite pentru a administra aceste functi Capitolul 18, , Microsoft Proxy Server", discuth modul de instalare a acestai produs Arewall Microsoft, $i aic vei mis o scarta introducere refetitoare la modul de configurare a servicillor cu ajutorul interfefei grafice cu utilizatoral propsii serverului. fa cepitelul 19, ,.Firewall-ul Elron CommandView', este prezentat un alt produs comer- cial, de data aceasta pentru sistemul Windows NT Server. Sunt analizate modul de instalare gi probleme legate de configurarea de baz, Capitolul 20, ,Dispocitive firewall", analizeazi o piafi nowi pentru firewalls, aflati in plint dezvoltare cire incearck si fie cat mai aproape posibil de tehnologia plug-and-play, sperind si faci procesul de configurare a unui firewall o activitate uyoati pentru vutiizatonul final. in capitolul 21, ,Firewall-us si mai mule decit ati veti analiza citeva posibilitit’ pentru noi dezvoltiri in domenial securitii in Internet, cam ar noua generatie a protocolului IP, IPv6. De asemenca, veti gisi aici o discutie referitoare nu numai la protejarea retlei ‘otganizatiel dumneavoastr, ci gi la protejatea calculstoatelor de Ia domiciliu utiizate pentru accesarea refelei fn ancxa A, ,Porcuri uzuale TCP si UDP*, ves gis o scurthdiscuse despre porturile TCP 1 UDP, imprecn cu olisth de portusi general cunoscute si destiaaile acestora Anexa B, Alte instrumente de securtate pe care le putefifolosi, confine o colectie de instrumente de securitae pe care le vet gisi utile pentru & face calculatoarle din rejeaua rie. Aici este 0 adevarati jungla! Internetal este o lume fascinantl, fast au este un loc foarte prietenos. in timp, pe misuri ce sunt dezvoltate standarde si cehnologii noi, aceste lucruri s-ar putea si se schimbe. fnsi, a fel ca in toate situa in care sunt explorate domenii noi, vor aptrea inevitabil probleme cu tehnologia i cu oamenii in timp ce Internetal continu si creased int-un sitm rapid, Deoarece nu tofi oamenil pe care ii vet isi in Internet vor avea intengi bune, trebuie s fineyi cont de elementele de securitate dup’ ce conectaf ejeaua proptic la Internet. Veri gi > Pentru detalii nferitoare la diferiteletpuri de ameninfai care ax provecat recent problece i Interne, veg capital 3, , Securitate gi Internet's pagina 58. Problemele pe care probabil le-afi intlnit deja, cum ar f virusii de caleulatoare, vor fi combinate dupi ce vi conectati ls Internet. Acum, in oe si vi ingrijoreze un virus activat de pe o discheti, trebuie si vi temeti de fisirele atagate Ia posta electronica si de programele demonstrative si shareware descireate din Internet. fn loc sh vi intereseze sh ‘impiedicayi angsjai si uilizezesistemul de postl electronict al companiel pentru a hiryui tun alt angajat, trcbuic si vi intereseze daci utilizeaz8 in acclasi scop posta electronic’, ce ‘poate ajunge practic oriunde in lume. Daci afi avut pind acum probleme cu stocarea pe statile de lucra s pe serverele companiei a unor materiale nedorite, cum ar fi figiere text cu glume, articole pornografice sau alte materiale similare, asteptayi st vedeti ce se intimpli ind vi conectafi la Inteznet!16 PARTEAI Séinfelegem frewal-urle gl secuntataan Internet Utilizarea politicii de securitate a sitului ; dumneavoastra pentru proiectarea firewall-ului a tagi o strategie de firewall, ar trebui si v8 ayezafi si si vi gi Simulcast ne neni et itate a companiei respective, Putefi si folosigi aceasta politicd penteu a cep referitoare la tipurile de servicii chrora le veti permite trecerea prin firewall. Vedi si ; despre polite de securitate (act fi gsi mai multe informai despre moduli care a treba labora o polite. (te ” En aa) apd Poi te mapa fa eh pre eee é te fi wiliglt mite de proocoale eat mai multe formas despre servile de bad pentr care poate full , TCPIIR nepal 3 epee ‘in sta de protcoale TCP/IP tome 26), —_ analiza aces isi potenfialele lor capeane, pute si decidey care dintre ele Su ccc dil Sumnenonsld ie Amenintari noi impotriva securitatii care trebuie luate ‘in considerare ; : Atunei clad vi conectafi la Internet, desc © intreagi lume now cu probleme de Site batts ST Wy eee RE Spi ampee cine Denes STS eee acum trebuie si vi Ingrijoreze fiecare potential hacker = Jomel . smcal wna neces Sate reece ten ara Se i Spor en i rn special. lnsi, in realitate, aceasta nu este o profesie chiar atit de a ae = ‘prezinti exemple despre modul in care un hacker poste si foloseasci satan sie ite by Breaking Inco I" (asta a oxigina, Improving the Security of Your Site by Breaking Into Ie (trad) CAPITOLUL 1 Elemente de bazd despre frewall-uri 17 sendmail, care au fost exploatate in trecut. Cu toate ef uncle eburusi cevidengiate in acest Friel au fost mzolvate prin utlizarea de peice si programe actualzate clase og vei face o idee refestoare la ipusle de hictur care por fealzate fila cave deammeovonees oh Wak fi ptadienisiodatd. Cele mal mule dite sstemele de operate impostane winner Brezent au fost dezvoltate si folosteinigal pe calculatoare independenve eau in -efele mici. Funcpile de reea au fost adiugate si mbunkeigite in decucsul anlor, der ac ales dapoage demas care ow au fos proieetite pentru medial interconectat pos Ie dispozitie de Internet in zilele noastre. Unde pute! gs artootr? Jett sots de Famer Venera .Inrvrg te Secrlyof Your Se by Braking hi ee. spon pert Gasiene & pe mute shut Seto dn tere Dack laa runle salon x tose Care ee ea rues oc undo proba put goal Ete ecomandacaicoreace care urea irt-un domeniy care are egturt cu souratea rele cased aeet oho Hottirati ce servicii veti oferi utilizatorilor dumneavoustrii Pe unde at tcbul sf incspei stunt chad se pune problema cre nel pole une de Sgeusltste pentru res? In primo rind, decides ce tipui de serviell va tesa oa ponefi la Ssporite utlzatonlor dumneavoastl Simpl fapt cd stabil © concsivne nine aereaasteais pel anumite necesiig din partea unui grap de cen. Care eee nece occa nose comPonenti a companie! dumneavoasts va benefeia de pe uma sesslvast Celato de tie? Care sunt riscurile pe care le presupune incerrarea de atan utlizatotilor ceea ce dorese? Tera dntse metvele obignuite pentru care © companie ar dos! sk se eonccteze la Internet sunt usmitoarele: 5 Fosta electronic ~ Pentru a permite angijayor si inte in contact eu fumizori vi cliengi. ST Accesul de Ia distangi— Penta a permite angsjaglor fata deplasae si ibd acces resursele reelei LAN locale. 1 Cereetarea Ponti a ufeechipetehnice cepabiltatea dea intra nett cu colegit de le alte compan si insiagi, ¥ Asistenja telnict pentea cliengi~ Pentru a permite lenior st cevadd documen: fate Produscoe salve documente in scopul reducer inclcinl echiper eee props. 4 Prezenja pe piast ~ Pentr a realiza afsceti prin comer electronic si a permite Companiei si isi prezinte produsele prin Intemet {ns funefe de motive cae sunt valbitetn ctl dumnesvoast otf18 PARTEAI Sé nfelogam fiewal-urile gi secuitatea In Internet FTP - Protocolul FTP (File Transfer Protocol) poate fi utilizat de echipa dumnea- voastri de cercetare pentru a schimba fisiere de date cu alte situ. Un sit cw acer FTP ‘anonim ac putea fi folosit pentru a permite clienjlor dumneavoastrd si alba acces la {siere si documenta. W Telnet ~ Uslizarea scestui serviciu pentru a stabili o sesiune prin conectare de la istangh ar putea fi utili daci echipa dumneavoastri de asistengi tehnict pentru servicii client trebuie i se conccteze pe calculatoralclientului pentru a dignostica o problemi. Putefi folosi Telnet pentru a verifica sejeaua de acasi atunci cind vA aflaj lao conferingt sau intr-un sit la distangh World Wide Web (WWW) - Un server WWW poate oferi companici dummneavoasted fo prezenti de piagl in Internet, Putegi si pines cliengi la curent cu produscle sau servicile noi prin utilizarea unui sit Web. Fotosind un astfel de st, pot i prezentace cu usuringl documentatii si servicii de asistengi tebnic& online. Posta clectronica (e-mail) — Usilizind protocolal SMTP (Simple Mail Tzansport Protocol), posta electronic’ poate filiveati de pe calculaorul dumneavoastri de birow aproape oriunde in lume. Posta clectronick poate fi o metoda foarte bund de ‘comunicare rapida cu cliengi si angejai, Dact lua in considerare costal unui serviciu de post actual, nu ar trebui si fie o surprizi dact in urmitotiiclyiva ani majoritatce firmelor vor incepe sf trimiti factuti prin posta electronics, pe misuri ce tot mai mull clieng vor fi conectag Ver! gi D> Wega ols mai mare de revi fn eaptolid 2, , Introducer in sta de protcoale TCP/IP la pagina 26. Aceste servic de bazti nu sunt olistk complet cu serviciile disponibile in Internet. Ele au fost amintte aici pentru ca dumneavoastri si pute incepe si vi gindifi la modul in care dovigi st utilizagrefeaua Internet. Cand vei aveno listh de servici care credei ci vor aduce benelici companici, trebuie sf anaizas fecare serviiu in pate sisi rispunde la citeva fntrebisi, Existio forma relaiv siguet de aplicaye client sau server necesarl pentru acest serviciu? Modul in care dog si utlizag serviciul deschide o posibili bres de secusitae in rejeaua LAN proprie? Vez! gi > Deoarce majoritaten rervicilorbazate pe protocoalle TCP si UDP wiligars munmeredifrite de portanipentrn ssn prop, atu end vd gdndi a tipurile de sev pe care dori i ke fe ‘iligatorilor dumneavoastr, concultep gi Hta de portur general cunosce din Anexa A, »Portunh sale TCP gi UDP"; la pagina 317. De exemplu, politica dumneavoastek de securitate ar putea stabili ca utilizatotlor si li se permiti si stabileascd sesivai Telnet la distanyS, care s& treac prin firewall, nsi aceeagi politcd ar putea stabil si nu fie permis in aici o situate o sesiune Telnet iniiath de la istangi. Aceasta permite utilizatorilor dumneavoastri si stableascd o sesiune la distangt pe sistema! unui client, inst celor dia afari nu le este permis acest Tucra in refeaua dumneavoastrd, Putegi sk creati politici similar si pent alte servicil importante de reyea, cum ar fi FTP si SMTP, in functie de cerinfele specifice. La fel cain cazul oricirui tip de politics, indiferent dact fine sau au de securitate, existi i except. CAPITOLUL1 Elemente de baz despre firevalhuri 19 eri gi > Peni mai malt informa decpe modulin care politica de scuritae of pote gta sd prota wn Frevall propria, vey capitolal 4, Politic: de secure i fra pari seep Politi de securitate pentru firenealgisraeg Politica de firewall Dupi ce revedsti ce probleme de secusitate sunt impli , usitate sunt implicate, putegis& dezvoltag o politics de Gewal, Exist dout metode fandamentale prin eae Grewal dizatpentra ae tale prin cae firewallul poate tiizat pentra a If Permit oxic aces, mal payin cele care au fost nteris In mod specif prin reg. nterzieyi orice aves, mai putin cele care au fost permise fa mod specific prin regal, A dova strategie a gis este cea pe care ar trebui si o uilizas De ce? Privind diner-ua punct valet logs, ee ma wor speten obs mde nade peas ev eae decito sti ma mare cu ceca ce nu vel permite, De asemenes, eoarece in mod frecvent eevoliate protocoale si serviii noi pe misurd ce reyaua Intemet continu! st crctscl, nu va inl adioga comin repul nol penn a cael potleacc see ee apres, Vet rimine protejat de dezvoltiile noi pin cind vefi avea timp sf reved clementele de securitate sisi decides dac8 este caztl ck permitey protocolul sau sesviehd seme de emi i 11 protocolul sau serviciul Vor! gi > Pets mai mie ara de rl, Pr roma a: pot ema, ete 6 abc i pf art de proc fans ncena aT Tehnologii firewall Exist doud metode de baat ui ss utilaate penteu a crea un firewall de reyea fitrarea pachetclor siserereerepezentant de plea, Unoe administrator plore st nc etn aL ob! consul aceven an suc dec simple vari ale clor deus merose n lc. iecare tehnici are propville avantaje si dezavantaje, atfel ci este important S¥inglegey co esactiate cum opeteaed pent ai prota ean Pee Primele firewall-uri: Filtrarea pachetelor Pron en ee Hae a Seal eno pee a Sears El coe Beemer ce nam Petia ers nate ae Sse ae sf eres ce20 PARTEA Séinfelegem frewall-utle gi securtatea tn Internet Vea i / Pentru a focifa mai mute spre frewallarile care flee fllrana pacelelor vei cpio 5, »Filtrarea pacheielor's la pagina 95. Utilizarea portilor de aplicatie Dac un ru de pachet nu pose lua deca det pe bat infosmailor pe care gisete fn antetul pachetului, pentru a crea un firewall mai compiex p reprezentant de aplicagi. Veaisi / > Pentru mai multe informagii despre severe mprezentant yi porfide aphicafit,veg capitol 7, Porfi de pla pre iatrmdiar’ apie 132. ne hpi apenas mn rene ee elie) cee tecbantaof tare cae rlesa pe Srewal pena ainvceopia ated copene | Cran nami pd pepe Sofa epee teen eve vue ‘edn enn eh eee sap cern praia duress o Conese severe ve plnyensfiseel LAN aceon Uso nen mo Celica rcodsto coetne dec I el exes. Progaml repress eae comport sun intsmedas den ch len seve schimbind hte acess informal ule apliayel.Avantajl in sat he ee cp rama peel sau nteced tac pe bazainformajior seers pecan ob npuchcnul nu mum pe bar iaformajior dinate. Aces {nseumal ck seprezentantul de aplieate intelege metodele fundamental de comune ualizate de un anumit servic i poate fi progamat pent permit su antersiee foncfi ae seniciul, nu done st blocheve comanicafia pe baza portlu, aja cum proce fu de pachete Alte componente de firewall | tl de pacts repeenentntl de spllcage sunt meds de bat wells pent | ctea un firewall. Modul in care sunt configurate si dspozitivele intrebuingate re Sitios Complex. Gadel basin, gud de sari zona demitarizat (DMZ, | suo deed sone son ome pe cH ef te In od vent lad iscutl despre firewall-uri. Mai tirziu in accasta carte, vefi anal Becare dn sec cola inct pre Sede een ee pote arin eras damaeavoastr’. | Veal st | > Sige care wage baton st data ma atl pita Pate ck sect pen irl strat depot a emallarior’, le pagina 73. a > 0 clip ai deta despre atilgarea uni gazee bastion poate f git in cepitol 6, Ulizaea nei gad baton’, la pagina 112. CAPITOLUL 4 Elemente de bazi despre frewalluri 24 Firewall-uri hardware sau software? Construite sau achizitionate? La inceput, firewalls erau formate fn principal dina-un rater care eta configntat ea un fitra de pachete (acceptind sau refuzind pachetele pe baza informatilor din ante.) io baz de i strarorul de néjen, Pe miu ce frewall-uile au cAgtigar mai multe faneFonalicf cde mai noi au fost implementate ca programe software care rlau pe sai de toons spe Servere. Fiewall-utile si mai noi sunt create sub forma unor configura handwaze si software ambalte impreunk. Aceste cui hardware noi, denumite uneoddipoyti fraal! Gicoal appliances, por f formate din aplcagi softwace pariculare instalate pe un sistern de Sperare standard, cum as i UNIX, dupa ce a fost redus la minimal necesas. Uni productod &f peclereai chiar propel ssteme de operat, stind ed hacked vor cuoasteamfnunyit slubieiunile unui sistem de operare comercial, Vez! st > Pa aust ma mde ire male din doce fica ee isa pe pag eta yi Portes ealaresproduacor concrete, et epic 20, , Diggs fraall, le pagina 299. Ce tp de Siewall x tecbui si uaa pentru a vi protea rejeaua de calculatoare? La fel cain ural ovicire deci de achiige, ar ebui alfa oalegerebazatipeeerngle de secustate ale SSG Gumncavocsel si pe crates ofeate de Srewall Desig, ar uebui a analiza ack bogetl vi permite aching frewal-uti (i ineyinerea acest), Sar putea ca ceringele formulate de dumpeavoasti pent un fcewall si vi permit sh obtney fondu! splimentare de la cc din conducerea organiza dup cei convingey de importanya acestia Dack dispunes deo echipi de asistens tehnick pentra rege cu inal ealificare, sar putea sie suridt decade a crea un Szewal propria, utlizind ruerele gi caleulatoarele pacts de cate dispuney. Dick suntefiint-o firm mick ce tocmai se eonectesed la Internet gi ou vel expert propri este recomandat si apelay le un produecitor care vi poate fusniva bardware-ul si/san software-ul si care poate sf asigure ucriile de instalae gi asistengi tchnici necesare. Gardare sau sofevare? Constrait sau achitigionat? Pe mAsul ce vefi cit restl eaptolelor din cart si veg tacepe sh Ingelegesi modul in care faneyioneaz’ difertele produse Grewal, Mi vey da scama ef suncey intro poritie mai bun’ pentru a pune inteebari sia lua deeieil ‘nteligente. Asigurag-vi cl implica in procesul de luare a deciiei utilizatori sau disectori ais care au eunogtinge despre opera ilnce care se desflgonri in zefea. Personal fini ax putea cunoaste protocoalele sau aplicatilecare pot provoeaaparigs unot excep ii in politica dumnewvoastl de firewall Prin adunarea de la incepat a°cit mai male informasii, vex ajunge si construif un firewall mai bun, Elemente privitoare la sistemul de operare Un firewall nu trebuie sf ruleze pe acelas dip de sistem pe care fl ut TeatioP fet pe servere, De exemplu, este posibil st avey instalat tn ‘ejen sstemul ‘Windows NT ca sitem desktop standard pentru uiliztod, tot Windows NT pentea22. PARTEAI Si nfelogem firewal-urle s securitatea in Internet serverele de rejea, Accasta inseamni cl va trebui si utiliza tot Windows NT pe firewall daca dori si folosig seprezentanti de aplicayie penteu a permite clientilor dumneavoastri si acceseze servci din lternet? Nu neapirat. [Ar rebut alegeyi un frewall pe baza caractersticilor pe cae le oferd penteu a impune respectazeacesingtor din politica de secusitae a tefl dumneavoastr. : Este important inca dumnesvoase st aveyoyclegere detain a mod in ate funefioneask fcewall-ul gi sX gti cum si il configurayi corect. pacar biel cf va trebui si fy familiarizat en sisternul de operarefolosit de firewall. Daci au ingegeg stemol de operate, mecaniomele sale de seus inxtumentcle tate entra impunerea securitéqi, nu puteti fi sigur niciodati ef firewall-ul nu ¢: Tomptomis de cneva cae explonenelo lbicone (au earicterse) a respecval sistem de operate ; ,¢ exempla, software-ul firewall de eare dispuneyi sar putea si ruleze foarte bine pe un a a eel Be ed See 4 total ene in regulk fonegoneset aya cum eebuie Ine deomece ms nfl protec iereor UNIX, nu af sere’ ek un angajat nemalpumit feu ex Ser de Patol post eit de tort mea, De asemency nu af obserat ol angst, ca Strora font concdiy fst crab ace eval dimnesvoa in trex 2 flcut modificsi semnificaive in configuragiaacestuia, : : care avep incredere deplina dee ne igeleges complet modul in cate funcfioneazi? fn final, ‘na agi putea f sigur cu adevirat ef acesta lucreazi aga cum ar trebui, Ver! si gigi um studi dtaliatprivtr la problema de scaitate dn sstemale de operare UNIX, » es koe NT cll Loni te vitor adie itor pera Ia pagina 148. Scarpa sv team sa steele Windows VT, UND au sau car un al Sopra fa dee o pecent noc cae cc notre fn lc all ee eas oer e cea 2 fila nts media ex ave sida de seca, Inst ac vel din ok suds ‘efi descoperi ci toate sistemele de operare au propriile puncte slabe, Noile versiuni de Windows NT vor contine in mod sigur probleme care vor trebui rezolvate de producitor. Nici noile versiuni de UNIX si Linux nu vor fi perfecte. Cu eit este folosit pe sear mai largi un sistem de operare, eu atit vor fi mai expuse punctele slabe. Important est inst fapat 8 in sptleprodesull se gseye un fuminosreaponsai cae poate #k monltorizere descopeiten accor pur de probleme 9 se remedies pes Dac sunteti sigur ef stiptnigi bine sistemal de operare utilzat de soluyia de firewall pe Care f aleso, chiar comer ch ete aca sem de oper lize pecleulton rele desktop sau pe scrvercle din restul refelei. In numeroase cazusi intilnite in presen, refelele nu nai sunt omogene, ci seprezintl un conglomerat de mai multe tipari de sisteme de caleulatoate si de protocoale de regea | CAPITOLUL 1 Elemente de bazé despre frewalluri 23 Ce poate face un firewall Un firewall nu poste face chiar orice pentru a vi proteja refeaua de calculatoase si no ar trebui considerat 0 soluge unici pentru toate problemele dumneavoastri de securitate Este important st ngelegeyi modu in care un firewall vi protejeazt in realitate rejeaua. De asemenca, este ls fel de important $f Inyelegeyi de ee ameningisi nu vi poate apira un firewall. in general, avantajele pe cae le putey astepta de la un firewall bine constcuit sunt curmitoarele Mi Vi protejeazt impotriva protocoalelor i servicilor nesigure. M Protcjeazd informatile despre utilizaton, sisteme, adrese de refea si aplicaile care raleszi in rejeaua damneavoustri de persoanele eutioase din afararejelet Pune ladispositie evidenye de auditare (prin fisierejummal) care conjin date statistice si de securitate ce pot fi utlizate pentru a vi asigura cf rejeaua dumneavoastrd este sigur si opereaai efisient. De asemenca, un firewall bua vi permite sh configurati avertzari astfelincit si ff atengionat despre evenimentele semnificative, cum ar fio tentaiva de pltrundere format in reyea, Pune la dispositc o gestiune centralizati a securtigireelei fagi de lumen exteriont®. Pentre reyeava duroneavoast,frewall-ul este poarta cite Internet {nto tejea mate, Svar putea sf aveti mai multe conexiuni citre reelele din exterior gi, ca urmare, ‘multe irewall-usi. Inte-un astfel de ca, ar trebui si vi asigurad cd ai analizat cu atentie produscle concurente. Numeronse produse mai noi vi permit sf administrati mal multe instaliri de ficewall-uti de la aceeagi consoli de comanda. (Ce este translatere adreselor de rjea? Olt caracerisi# o unr tipurdeirewalLui, ce devin foarte ulé pe maura ce domes de adrese Internat se epuizsazs, este transferee aotesslo ds refs (network adress translation, sau NAT). Tehncoga NAT oferd@ ‘sere de avantaje de securtato pin ascundarea adraselreale de rejea a unl calculator gazd atunci cir acel aloultr face cere cfire servre din Inte. Un frenall ce ulzeazt NAT realzaazé aceasiéfuncje pin utlzarea propieladese doef iniocul adrese cleus atunc cénd ite cere ctr severe din Inert. Atune cand soseseréspunsurle la oer in componerta NAT, frowal-u pleseazh adesa real a client in pach si ‘ite repunca! mai depart a cent. Prin uiiavee(uncjl NAT, a WeDU 88 Gera excent fp C2 nu aveh nevole deci deo sing atrest pentua vi conectarefeaua LAN propel nem. Impotriva caror pericole nu va poate apara un firewall Un Grewall au vi poate apira de ameningirile din inteoral sfelei. Astfel, dack aves! un usllizator cate este hotirst si provoace dezozdine in reyeaua dumneavoastri, trebuie si VA protejati prin folosirea secusitigi de la nivelul caleulatoarelor gazdi. Un clement foarte important pe care trebuie si il lagi in seamd atunci c&nd utiliza un firewall este c& acesta ou poate avea grit prin nici un fel de vrijtorie de toate problemele de secuitate care pot exista 4n rejeaua dumneavoastei, Un firewall nn ilociete mcurile eile de scurtate gi de gestonare a sistemulei. Un Grewall nu este decit un alt nivel de securtitate. Indiferene cit de sigue afi putea crede ci este firewall-ul dumneavoastsl, nu trebuie si slie Digi securitatea de It nivelul calculatoarelor gazdi. De fap, chiar este adevisat contzariul.