Curs 12 - Filtre de pachete

1. Protectia retelelor locale

Restrictionarea pachetelor IP consta in blocarea unor pachete, in functie de:

• adresa IP sursa si destinatie
• interfata (placa de retea) de intrare si de iesire
• adresa fizica a sursei (in cazul unei retele care are asa ceva, de ex. Ethernet)
• protocolul (TCP, UDP, ICMP)
• protul sursa si destinatie
• starea conexiunii (in cazul TCP)

Pentru pachetele respinse, se pot configura actiuni:

• inregistrarea intr-un fisier jurnal (posibil si pentru pachetele admise)
• ignorarea pachetului (ca si cand nu ar fi fost primit)
• trimiterea inapoi a unui pachet de informare (ICMP destination unreachable sau TCP reset)

Restrictionarea pachetelor IP are ca scop:

• impiedicarea impersonarii calculatoarelor din reteaua locala de catre intrusi din afara
• interzicerea accesului din exterior la anumite servicii. Astfel, in cazul unei spargeri, spargatorul fiind din interior poate fi gasit mai usor si pedepsit.
• fortarea anumitor servicii pe anumite cai, in scopul evitarii congestiei, supravegherii sau taxarii - de exemplu, fortarea traficului http printr-un proxy

2. Translatarea adreselor

NAT = Network Address Translation

Translatarea adreselor consta in inlocuirea, dupa anumite reguli, a adresei sursa sau a adresei destinatie a unui pachet.

In general este necesara interceptarea si translatarea inversa a adreselor pachetelor de raspuns la un pachet cu adresa translatata. Din acest motiv, translatara adreselor se poate face doar pe masinile ce actioneaza ca gateway, si doar daca se pot identifica pachetele de raspuns - de exemplu, functioneaza bine pentru TCP sau ICMP echo, dar nu functioneaza bine pentru UDP.

Utilizari posibile:

1. Mascaradarea adreselor locale Fie o retea locala, conectata la Internet prin intermediul unui gateway. Daca un calculator local incearca deschiderea unei conexiuni catre un calculator din Internet, gateway-ul va modifica adresa sursa punand IP-ul propriu si un port (local) ales de el; totodata va marca intr-o tabela faptul ca portul ales este pentru IP-ul local original, si portul corespunzator. Raspunsul va fi adresat gateway-ului - calculatorul din Internet crezand ca rererea a fost emisa de gateway. Gateway-ul va prelua raspunsul si va modifica adresa destinatie punand IP-ul si portul calculatorului local.

   In consecinta, calculatorul local are impresia ca discuta direct cu calculatorul din Internet, iar calculatorul din Internet are impresia ca discuta cu gateway-ul.

   Metoda permite ca adresele IP locale sa nu fie vizibile in Internet. Avantaje: securitate sporita, si posibilitatea de-a folosi adrese care nu sunt unice, cu conditia ca ele sa nu fie folosite in alta parte in Internet-ul vizibil. Exista disponibile in acest scop adresele: 10.*.*.*, 172.16.*.* - 172.31.*.* si 192.168.*.* ; acestea nu pot fi folosite pentru calculatoare vizibile in Internet, insa pot fi folosite pentru calculatoare din retele locale care pot accesa servere din Internet.

2. proxy transparent - presupune un mecanism analog pentru translatarea adresele destinatie catre serverul proxy

3. Tunelarea

Nu este propriu-zis filtrarea pachetelor.

Tunelare inseamna trimiterea pachetelor cu antet cu tot in formatul unei retele ca date utile peste o alta retea - de alt tip sau chiar de acelasi tip.

Daca exista doua retele neconectate direct, dar exista o retea - incompatibila - care le-ar putea uni, se poate crea o legatura virtuala intre gateway-urile celor doua retele si tunela prin aceasta legatura pachetele. In felul acesta se poate crea o VPN (Virtual Private Network) legand doua subretele cu adrese private (de genul 192.168.*.*) distincte tuneland pachetele prin Internet.

Retele de calculatoare