Firewall

Un firewall separa doua regiuni ale unui sistem IT restrictionand traficul care poate trece intre ele. Cel mai intalnit exemplu este accesul la internet, unde un firewall poate tine la distanta traficul daunator care vine din internet, spre exemplu hackerii, viermii si anumite tipuri de virusi, precum si in sens invers, poate impiedica participarea calculatorului la un atac impotriva altora, fara vointa sau cunostiinta utilizatorului.

Oricare firewall este potential vulnerabil la atacuri de tip DoS cauzate de volumul de trafic. Aceasta poate duce la izolarea celor doua retele de o parte si de cealalta a firewall-ului. in unele cazuri impactul poate fi redus prin implementarea unor reguli de filtrare suplimentare pentru a reduce traficul ostil. Atacuri de tip DoS mai sofisticate pot exploata proprietati ale protocolului (sau defecte de implementare) pentru a cauza intreruperea serviciului folosind o banda relativ redusa.

Majoritatea firewall-urilor pot genera inregistrari avand mai multe sau mai putine detalii. Un principiu de baza ar fi ca aceste inregistrari ar trebui inspectate in mod regulat, dar rareori se intampla acest lucru. Din pacate, inregistrarile unui firewall sunt cel mai des folosite intr-o investigatie ulterioara dupa ce un incident s-a produs.

Exista doua mari categorii de firewall-uri: hardware si software.

2. Firewall-uri hardware

Un firewall harware este un dispozitiv care conecteaza doua (sau cateodata mai multe) segmente de retea si restrictioneaza traficul dintre retele. Cel mai simplu tip este denumit filtru de pachete si permite reguli care specifica care pachete pot trece in functie de tipul pachetului si de adresele si porturile sursa si destinatie. Acest gen de regula poate fi implementata de oricare router modern dar este limitat de faptul ca fiecare pachet este considerat izolat si nu exista conceptul de sesiune (posibila continuare cu o secventa de pachete nu este modelata). In ciuda acestei limitari, filtrarea pachetelor la echipamentele de rutare este valoroasa deoarece poate reduce volumul de trafic pe care trebuie sa il proceseze echipamentele mai sofisticate.

Firewall-urile mai sofisticate au o mai buna intelegere a protocoalelor si astfel pot aplica teste mai stricte asupra datelor care intra sau ies. Chiar daca datele au un format corespunzator tot ar putea fi nedorite; poate deoarece transporta un virus sau alt fel de malware sau este e-mail de tip spam. Unele firewall-uri integreaza verificari ale datelor aditionale, specifice protocolului cum ar fi verificari de virusi sau spam. Multe dintre aceste teste depind intr-o masura, mai mica sau mai mare, de folosirea semnaturilor pentru a detecta tipuri cunoscute de amenintari. Aceste semnaturi trebuie sa fie pastrate la curent si in plus, nu pot oferi protectie impotriva amenintarilor nou aparute pana cand semnatura adecvata nu este creata si raspandita.

O arhitectura alternativa muta unele din verificarile specifice protocolului sub incidenta serverelor aflate in zona protejata de firewall; de exemplu filtrarea de virusi si spam poate fi facuta pe serverul de mail. Este important sa intelegem ce poate face un anume tip de firewall pentru a putea suplimenta filtrarile altundeva in retea unde este nevoie.

Nu in ultimul rand trebuie tinut cont de faptul ca in general exista o legatura stransa intre puterea de filtrare, viteza si costurile unui echipament firewall.

3. Firewall-uri software

Firewall-urile software sunt instalate pe calculatorul care trebuie protejat si limiteaza conexiunile care sunt acceptate intre aplicatiile care ruleaza pe calculator si reteaua (retelele) la care calculatorul este conectat. Este posibil pentru un firewall software sa identifice care aplicatie doreste sa faca o conexiune, care vrea sa trimita sau sa primeasca date. Aceasta se traduce prin posibilitatea implementarii unor reguli care sa permita unor aplicatii sa se conecteze la porturile lor specifice si sa le refuze accesul celor neinregistrate. De exemplu, accesul la serverul de mail local ar putea fi restrictionat pentru un anume tip de client e-mail.

Cea mai mare problema cu firewall-urile software este ca ruleaza pe aceeasi platforma hardware ca si aplicatiile pe care trebuie sa le controleze si sa le protejeze. Acest neajuns face ca si in eventualitatea in care un atac de tip DoS este blocat complet de catre fierwall, atacul va consuma din resursele aceleasi platforme pe care ruleaza si aplicatiile ce trebuiesc protejate putand face executia si raspunsul acestora foarte lente.

Firewall-urile software sunt componente care au drepturi de acces dintre cele mai inalte si de cele mai multe ori sunt parte ale kernelului sistemului de operare unde nu exista un control efectiv al accesului. Din aceasta cauza exploatarea defectelor unui firewall-ului vor conduce in general la compromiterea completa a sistemului.

Folosirea firewall-urilor software ca singura metoda de protectie nu este recomandata pentru echipamentele importante dar reprezinta o solutie foarte buna in conjunctie cu firewall-urile hardware deoarece pot implementa un nivel superior de control al aplicatiilor individuale. Firewall-urile software pot restrictiona accesul catre alte calculatoare din retea,