Professional Documents
Culture Documents
Firewall U Praksi
Firewall U Praksi
Uploaded by
stefan125Original Title
Copyright
Available Formats
Share this document
Did you find this document useful?
Is this content inappropriate?
Report this DocumentCopyright:
Available Formats
Firewall U Praksi
Firewall U Praksi
Uploaded by
stefan125Copyright:
Available Formats
DEO l
lnternet
Obuhvocene leme:
Koko rodi lnlernel
Koko rodi lirewoll (mreno borijero}
Ko hokerise
Molivocije hokero
Osnove ICP/lP prolokolo
ICP/lP prolokoli viseg nivoo
Koko hokeri eksploolisu slobosli ICP/lP prolokolo
Koko lunkcionise silrovonje
Koko silrovonje obezbeduje bezbednosl no lnlernelu
Koko silrovonje obezbeduje mehonizom zo dokozivonje
idenlilelo korisniko
NACl1E 8EZ KCNTPCLlSANlH GPANlCA NE MCGU CSlGUPATl 8EZ8EDNCST N1lHC\lH
siunovnIku, nIiI mogu spiecIiI pIjuckunje I kiudu. Mieze bez koniioIIsunog
piIsiupu ne mogu omogucIiI sIguinosi III piIvuinosi poliunjenIl poduiuku, nIiI
mogu sucuvuiI miezne iesuise od lukeiske ekspIouiucIje.
KomunIkucIonu elIkusnosi koju Inieinei omogucuvu je piouziokovuIu
musovno piIkIjucenje piIvuinIl miezu dIiekino nu Inieinei. DIiekine Inieinei
konekcIje oIuksuvuju lukeiImu du ekspIouiIsu piIvuine miezne konekcIje. Pie
posiojunju Inieineiu, jedInI nucIn kojI je omogucuvuo lukeiImu du se povezu od
kuce nu piIvuinu miezu bIo je dIiekino bIiunje ieIelonskog bioju modemom
pieko juvne ieIelonske mieze. PIiunju bezbednosiI duIjInskog piIsiupu nIje
posvecIvuno mnogo puznje.
Kudu povezujeie Vusu piIvuinu miezu nu Inieinei, VI je zupiuvo povezujeie
dIiekino su svIm diugIm miezumu koje su iienuino piIkIjucene nu Inieinei. Ne
posiojI ceniiuInu iucku koniioIe bezbednosiI - zupiuvo, bezbednosi uopsie nIje
piIsuinu.
FIiewuIII se koiIsie zu kieIiunje koniioInIl iucuku bezbednosiI (clekpoInis),
nu giunIcumu piIvuinIl miezu. Nu ovIm koniioInIm iuckumu lIiewuIII IspIiuju
sve pukeie kojI pioIuze Izmedu piIvuine mieze I Inieineiu, u zuvIsnosiI od iogu
du II odgovuiuju piuvIIImu poIIiIke piogiumIiune nu lIiewuIIu. Ako je Vus
lIiewuII piopIsno konlIguiIsun, u mogucnosiI je du IspIiu svukI pioiokoI kome je
dozvoIjen pioIuz, u du ne sudizI ozbIIjnIje gieske. Tuko ce Vusu miezu bIiI
posiedenu nepoiiebnIl iIzIku.
Posioje nu sioiIne iuspoIozIvIl lIiewuII pioIzvodu kuo I mnosivo iuzIIcIiIl
ieoiIju siiucnjuku zu bezbednosi o iome kuko iiebu koiIsiIiI lIiewuIIe u cIIju
osIguiunju Vuse mieze. Ovo pogIuvIje ce se buvIiI deiuIjnIm IsiiuzIvunjem
opeiucIju geneiIckog lIiewuIIu, IsiIcucI njegove gIuvne osobIne. Tukode, bIce iecI
I o iome kuko Il iuzvIjuiI u miezumu iuzIIcIiIl veIIcInu.
1
5to je firewoII
lnlornol 4
EIementi firewoIIo
FIiewuIII odizuvuju Vusu Inieinei konekcIju sio je moguce bezbednIjom iuko sio
IspIiuju I nukon iogu odobiuvuju III odbIjuju svukI pokusuj povezIvunju Vuse
piIvuine mieze I spoIjnIl miezu, kuo sio je Inieinei. SnuznI lIiewuIII siIie Vusu
miezu nu svIm soliveiskIm sIojevImu - od sIoju povezIvunju poduiuku do
upIIkucIonog sIoju.
FIiewuIII se nuIuze nu giunIcI Vuse mieze, povezunI dIiekino nu koIu koju
omogucuju piIsiup diugIm miezumu. Iz iog iuzIogu, lIiewuIII su poznuiI kuo
pogiunIcno obezbedenje. Ovukuv koncepi pogiunIcnog obezbedenju veomu je
bIiun - bez njegu svukI losi (domucIn) nu Vusoj miezI moiuo bI sum du obuvIju
lunkcIju lIiewuIIu, bespoiiebno koiIsiecI iucunuiske iesuise I povecuvujucI
vieme poiiebno zu povezIvunje, uuieniIlIkucIju I sIliovunje poduiuku u
IokuInoj obIusiI miezu veIIkIl bizInu. FIiewuIII omogucuvuju ceniiuIIzucIju svIl
bezbednosnIl seivIsu nu spoIjnIm musInumu koje su opiImIzovune I posvecene
zuduiku zusiIie. IspIiIvunje suobiucuju nu giunIcnIm meznIm pioIuzImu je iukode
koiIsno u spiecuvunju lukeiIsunju piopusnog opsegu nu Vusoj unuiiusnjoj
miezI.
Po piIiodI, lIiewuIII kieIiuju "usku giIu" (boiiIenecks) Izmedu unuiiusnjIl I
spoIjnIl miezu. RuzIog zu io je sio svu suobiucujnu iiunzIcIju Izmedu ovIl miezu
moiu piocI kioz jednu iucku koniioIe. Ovo je muIu cenu zu bezbednosi.
S obzIiom nu io du su spoIjne zukupIjene IInIje ieIuiIvno spoie u poiedenju su
bizInumu modeinIl iucunuiu, zusioj piouziokovun lIiewuIIImu moze bIiI
kompIeino iiunspuieniun. VecInI koiIsnIku su ieIuiIvno jeliInI lIiewuII uiedujI
vIse nego dovoIjnI du se povezu su Inieinei konekcIjom T1 siunduidu. Zu
posIovne poiiebe I poiiebe ISP-u (Inieinei SeivIce PiovIdei - DobuvIjuc Inieinei
usIugu), cIjI je Inieinei suobiucuj nu mnogo vIsem nIvou, iuzvIjenu je novu visiu
eksiiemno bizIl (I skupIl) lIiewuIIovu, kojI su u mogucnosiI du opsIuze I
nujzulievnIje piIvuine mieze. PojedIne zemIje su cuk cenzuiIsuIe lIiewuIIe nu
Inieineiu.
FIiewuIII piImuino lunkcIonIsu koiIsiecI iiI osnovnu meiodu:
FiItrironje poketoDDOdbucuje TCP/IP pukeie neuuieniIlIkovunIl losiovu
kuo I pokusuje povezIvunju nu neuuieniIlIkovune seivIse.
Network Address TronsIotion (NAT)DDPievodI IP udiese unuiiusnjIl
losiovu I iuko Il skiIvu od spoIjnog piucenju. Ovuj meiod se nuzIvu I
muskIiunje IP udiese (IP uddiess musqueiudIng).
Froxy servisiDDUsposiuvIjuju konekcIje nu vIsokIm upIIkucIonIm nIvoImu zu
unuiiusnje domucIne u cIIju du se kompIeino piekIne konekcIju mieznog
sIoju Izmedu unuiiusnjIl I spoIjnIl domucInu.
Moguce je koiIscenje uieduju III seiveiu kojI obuvIjuju sumo jednu od
nuvedenIl lunkcIju; nu piImei, mozeie koiIsiIiI usmeiIvuc kojI obuvIju lIIiiIiunje
pukeiu, kuo I pioxy seivei nu zusebnoj musInI. Nu ovuj nucIn, lIIiei zu pukeie
moiu III piopusiIiI suobiucuj kioz pioxy seivei III se pioxy seivei moiu nuIuzIiI
vun Vuse mieze, bez zusiIie koju piuzu lIIiiIiunje pukeiu. Obu nucInu su opusnI-
ju od koiIscenju sumo jednog lIiewuII pioIzvodu kojI obuvIju sve bezbednosne
lunkcIje u Isio vieme. VecInu lIiewuIIu iukode obuvIju dvu podjednuko vuznu
bezbednosnu seivIsu:
5ifrovono outentifikocijoDDOmogucuvu koiIsnIcImu nu juvnIm miezumu du
dokuzu svoj IdeniIiei lIiewuIIu, u cIIju spiecuvunju piIsiupu piIvuinIm
miezumu su spoIjnIl IokucIju.
VirtuoIno privotno umrezovonje(VFN)DDUsposiuvIju bezbednu konekcIju
Izmedu dve piIvuine mieze pieko juvnog medIjumu kuo sio je Inieinei.
Ovo omogucuvu koiIscenje Inieineiu lIzIckI odvojenIm miezumu bez
zukupIjIvunju dIiekinIl IInIju. VPN-I se iukode nuzIvuju sIliovunIm
iuneIImu.
Tukode, nekI lIiewuIII obezbeduju doduine seivIse zusnovune nu pieipIuiI I
nIsu siiIkino povezunI su bezbednoscu, uII ce mnogI koiIsnIcI uvIdeiI du su
kiujnje koiIsnI:
5kenironje virusoDDPieiiuzuje doIuzece nIzove poduiuku u poiiuzI zu
vIiusImu. AzuiIiunje seivIsu IIsie vIiusu zulievu pieipIuiu kod pioIzvoducu
lIiewuIIu.
FiItrironje premo sodrzojuDDDozvoIjuvu Vum du unuiiusnjIm koiIsnIcImu
bIokIiuie piIsiup odiedenIm iIpovImu sudizuju po kuiegoiIjumu, kuo nu
piImei poinogiulIjI, sudizuju kojI piopugIiu govoi miznje III InloimucIje o
lukeiIsunju. Tienuino ukiueIne IIsie bIokIiunIl sudizuju iukode zulievuju
pieipIuiu.
Du bI obezbedIII seivIse bezbednosiI, skoio svI lIiewuIII koiIsie ove osnovne
meiode. PosiojI mnosivo lIiewuII pioIzvodu I svI onI se iukmIce zu Vus novuc.
VecInu njIl su veomu jukI pioIzvodI I iuzIIkuju se sumo u povisnIm deiuIjImu.
Osiuiuk ove sekcIje pokiIvu pei piImuinIl lunkcIju koje vecInu lIiewuIIu pokiIvu.
FiItrironje poketo
PivI Inieinei lIiewuIII su bIII jednosiuvnI lIIieiI pukeiu. FIIiiIiunje pukeiu I dunus
osiuje jednu od kIjucnIl lunkcIju dunusnjIl lIiewuIIu. FIIieiI upoieduju miezne
pioiokoIe (kuo sio je IP) I pukeie iiunspoiinIl pioiokoIu (kuo sio je TCP) su
piuvIIImu ieguIIsunIm u buzI poduiuku I piosIedju sumo one kojI poipuduju pod
kiIieiIjum specIlIkovunIl piuvIIu. FIIieiI mogu bIiI ImpIemeniIiunI III u iuieiImu
III u okvIiu TCP sieku nu seiveiu. (vIdeiI sIIku 1.1)
Slu |o irowull 5
lnlornol
5Iiko 1.1
li|rtitdnjcm lnrctncr konckcijc sc sptccdvd nczc|jcni sdootdcdj
FIIieiI ImpIemeniIiunI unuiui usmeiIvucu (iuiei) spiecuvuju du suobiucuj
sumnjIvog poiekIu siIgne do odiedIsne mieze. S diuge siiune, moduII TCP lIIieiu
jednosiuvno spiecuvuju iu specIlIcnu musInu du odgovuiu nu suobiucuj
sumnjIvog poiekIu. Svejedno, suobiucuj sumnjIvog poiekIu jos uvek moze siIcI do
mieze I nupusiI bIIo kojI iucunui. UsmeiIvucI su lIIieiImu siIie sve iucunuie nu
odiedIsnoj miezI od suobiucuju sumnjIvog poiekIu. Zbog iogu bI lIIiiIiunje nu
TCP sieku seiveiu (kuo sio je ucInjeno nu WIndows NT) iiebuIo koiIsiIiI sumo
kuo doduiuk lIIiiIiunju nu usmeiIvucImu, ne kuo I zumenu.
TIpIcno je du lIIieiI sIede ovu piuvIIu:
Odbuce doIuzece zulieve zu konekcIju, uII dozvoIe zulievImu zu IzIuznu
konekcIju du piodu.
EIImInIsu TCP pukeie upucene nu poiiove kojI ne bI iiebuIo du budu
iuspoIozIvI zu Inieinei (kuo sio je poii zu NeiBIOS sesIju), uII dozvoIjuvuju
pioIuz pukeiImu kojI bI iiebuIo du su iuspoIozIvI (kuo sio je SMTP).
VecInu lIIieiu moze iucno odiedIiI kojI suobiucuj Ide nu odiedenI
seivei - nu piImei, SMTP suobiucuj bI iiebuIo kioz poii 25 du Ide sumo
nu IP udiesu seiveiu zu posiu (muII seivei).
Zubiune zuliev zu piIsiup doIuzece konekcIje odiedenIm IP opsezImu.
TCP port 80 (Web)
TCP port 25 (Mail)
TCP port 21 (FTP)
NTserver
web server
Klijent
Klijent
Unutrasnja privatna mreza
Haker
Musterija
Udaljeni
korisnik
Spoljna javna mreza
Firewalls pravila
Dozvoljeni portovi
UFOZORENJE
1odnosluvni illori pukolu ili rulori su ukci|om illrirun|u pukolu ko|i zuhlovu|u
olvurun|o porlovu iznud T023 zu povrulno kunulo, nisu oikusno bozbodnosno musino.
Cvukvi illori pukolu no sprocuvu|u unulrusn|o korisniko ili Tro|unsko kon|o du posluvo
sorvis nu kli|onlsko| slunici kroz opsog porlovu iznud T024 i du limo |odnosluvno
slusu|u doluzoco pokusu|o zu konokci|om iz spol|nog okruzon|u. Firowulli (illori zu
inspokci|u komlolnog slun|u i bozbodnosni proxyi} olvuru|u kunulo sumo zu sorvoro ko|i
su pozvuni konokcionim pokusu|om unulur bozbodnog dolu mrozo, izuborilo ih umoslo
|odnosluvnih illoru zu pukolo ko|i no mogu upruvl|uli slun|om konokci|o.
SolIsiIcIiunI lIIieiI pioucuvuju sve konekcIje koje pioIuze kioz njIl, piI iom
iiuzecI IzdujnIcke znuke lukeiIsunju, kuo sio je nuvodenje iucne puiunje puiu
(souice iouiIng), pieusmeiuvunje ICMP pukeiu I IuzIiunje IP udiesu. KonekcIje
koje piIkuzuju ovukve kuiukieiIsiIke bIvuju odbucene.
UnuiiusnjIm kIIjeniImu je ugIuvnom dozvoIjeno du kieIiuju konekcIje ku
spoIjnIm losiovImu, u spoIjnI losiovI su uobIcujeno spiecenI u InIcIiunju
pokusuju konekcIje. Kudu unuiiusnjI losi odIucI du InIcIiu TCP konekcIju, on
suIje TCP poiuku nu IP udiesu I bioj poiiu juvnog seiveiu (nu piImei,
www.h+rcsc11.rch.80 zu konekiovunje nu web suji MIciosoliu). U InIcIiujucoj
konekcIonoj poiucI, TCP kuze uduIjenom seiveiu koju mu je IP udiesu I nu kom
poiiu sIusu odgovoi (nu piImei, 1cr1rcs1.2050).
SpoIjnI seivei iudu suIje odgovoi, iiunsmIiujucI gu do duiog poiiu gde gu
unuiiusnjI losi ocekuje. Posio lIiewuII pioveiuvu sve poduike kojI su iuzmenjenI
Izmedu iu dvu losiu, on znu du je konekcIju InIcIiuo unuiiusnjI losi, kojI je
povezun nu svoj unuiiusnjI mieznI Inieilejs, znu IP udiesu iog losiu I znu nu kom
poiiu ocekuje odgovoi. FIiewuII zuiIm pumiI du iiebu du dozvoII spoIjnom losiu,
cIju se udiesu nuIuzI u konekcIonoj poiucI, du viuiI suobiucuj nu IP udiesu
unuiiusnjeg losiu sumo nu poii kojI je odieden.
Kudu ucesnIcI u sesIjI zuivoie TCP konekcIju, lIiewuII biIse unose u svojoj
iubIIcI siunju (memoiIju u kojoj se nuIuzI siunje konekcIju) I iIme piekIdu
mogucnosi uduIjenom losiu du duIje komunIcIiu su unuiiusnjIm. UkoIIko
unuiiusnjI losi piesiune du odgovuiu pie zuivuiunju TCP konekcIje (nu piImei,
zbog piekIdu veze) III uko pioiokoI kojI je u pIiunju ne podizuvu sesIje
(nu piImei, UDP), lIiewuII ce ukIonIiI unos u iubIIcu siunju konekcIje nukon
piogiumIiunog Isieku viemenu od nekoIIko mInuiu.
FiItrironje u operotivnom sistemu
Mozdu ne znuie du vecInu veizIju UNIX-u I WIndowsu sudizI lIIiiIiunje pukeiu u
Inieilejsu TCP/IP pioiokoIu. Du bIsie koniioIIsuII piIsiup IndIvIduuInIm
seiveiImu, mozeie koiIsiIiI ovukvo lIIiiIiunje kuo doduiuk snuznom lIiewuIIu;
iukode, ovukuv nucIn lIIiiIiunju mozeie koiIsiIiI zu omogucuvunje doduinIl meiu
bezbednosiI unuiui Vuse mieze, bez doduinIl iioskovu zu lIiewuII. Kuo sio sumo
lIIiiIiunje nIje dovoIjno zu zusiIiu Vuse mieze u poipunosiI, iuko nI unuiiusnje
lIIiiIiunje opeiuiIvnog sIsiemu ne zudovoIjuvu kieIiunje kompIeino bezbednog
okiuzenju.
Slu |o irowull 7
lnlornol
Ogronicenjo u bezbednosti fiItrironjo poketo
FIIiiIiunje ne iesuvu u poipunosiI piobIem bezbednosiI nu Inieineiu. Kuo pivo,
IP udiese iucunuiu u lIIieiu su piedsiuvIjene u doIuzecem suobiucuju, sio
pojednosiuvIjuje odiedIvunje iIpu I bioju Inieinei losiovu u lIIieiu, kuo I
piucenje nupudu nu ove udiese. FIIiiIiunje ne sukiIvu IdeniIiei domucInu u
lIIieiu.
Kuo doduiuk, lIIieiI ne mogu pioveiIiI sve liugmenie jedne IP poiuke,
zusnovune nu pioiokoIImu vIseg nIvou, kuo sio su TCP zugIuvIju, Iz iuzIogu
sio zugIuvIje posiojI sumo u pivom liugmeniu. PodeIjenI liugmeniI nemuju
InloimucIje o zugIuvIju I mogu bIiI upoiedenI sumo su IP piuvIIImu, koju
uobIcujeno dozvoIjuvuju nesio suobiucuju kioz lIIiei. Ovo omogucuvu gieskumu
u odiedIsnIm IP siekovImu iucunuiu nu miezI du se ekspIouiIsu I mogu omogucIiI
komunIkucIje su TiojunskIm konjem InsiuIIiunIm negde nu miezI. SuviemenIjI
lIiewuIIovI podizuvuju poviuiuk liugmeniovunIl poduiuku u piedusnje siunje I
nukon iogu piImenu lIiewuII piuvIIu nu njIl.
Konucno, lIIieiI nIsu dovoIjno sIozenI zu pioveiu IegIiImnosiI pioiokoIu u
okvIiu pukeiu mieznog sIoju. Nu piImei, lIIieiI ne IspIiuju HTTP pukeie, sudizune
u TCP pukeiImu, iudI uividIvunju du II onI sudize eIemenie kojImu lukeiI guduju
web pieiiuzIvuc III web seivei nu kiuju Vuse konekcIje. VecInu pokusuju
modeinog lukeiIsunju zusnovunu je nu IskoiIscuvunju ovIl seivIsu vIsIl sIojevu
TCP/IP sieku, Iz iuzIogu sio su lIiewuIII goiovo eIImInIsuII uspesno lukeiIsunje
nu mieznom sIoju, uko Izuzmemo neugodne nupude iIpu "odbIjunje Izvisenju
seivIsu" (DoS, denIuI-ol-seivIce).
Windows vorijonte
Posioje iiI gIuvnu iIpu WIndows sIsiemu:
16-bIinu veizIju WIndowsu, koju zu osnovu Imu MS-DOS, ukIjucujucI
WIndows 3.0, 3.1 I 3.11.
32-bIinu veizIju WIndowsu, koju zu osnovu Imu MS-DOS, ukIjucujucI
WIndows 95, 98 I ME.
32-bIinu veizIju WIndowsu, koju se zusnIvu nu NT keineIu, ukIjucujucI
WIndows NT 3.1, 3.5, 3.51, 4.0, 2000 I XP.
Kudu kioz cIiuvu ovu knjIgu budemo koiIsiIII ieimIn "WIndows", mIsIIcemo nu
one veizIje buzIiune nu NT keineI uilIiekiuiI, ukoIIko ne nuznucImo diugucIje.
PiI zusiIiI Vuse mieze, nemojie se osIunjuiI IskIjucIvo sumo nu lIIiiIiunje
ugiudeno u Vus opeiuiIvnI sIsiem. Du bIsie podesIII lIIieie du piopusiuju sumo
one pioiokoIe koje ceie opsIuzIvuiI, iiebuIo bI du u okvIiu Vuse mieze koiIsiIie
lunkcIje lIIiiIiunju opeiuiIvnog sIsiemu. Ovo odviucu solivei od iudu nu nucIn
kojI ne ocekujeie I onemogucuvu lunkcIonIsunje Tiojunucu, cuk I uko uspeju du
se InsiuIIiuju.
Osnovno lIIiiIiunje opeiuiIvnog sIsiemu omogucuvu Vum delInIsunje
piIlvuiIjIvIl kiIieiIjumu zu svukI mieznI udupiei u Vusem iucunuiu zu doIuzece
konekcIje buzIiune nu sIedecem:
Bioj IP pioiokoIu
Bioj TCP poiiu
Bioj UDP poiiu
FIIiiIiunje se uobIcujeno ne koiIsiI zu IzIuzece konekcIje (one koje poiIcu su
Vuseg seiveiu) I posebno je delInIsuno zu svukI udupiei nu Vusem sIsiemu.
NAFOMENA
Windows2000, zu ruzliku od Windowsu NT4.0, podrzuvu illrirun|o izluzocih konokci|u.
Jedun iIpIcnI seivei podesuvu seivIse zu sIusunje nu sIedecIm poiiovImu. Du
bI ovI seivIsI piuvIIno lunkcIonIsuII, ovI poiiovI moiuju bIiI oivoienI nu lIIieiu.
JednosiuvnI TCP/IP seivIsI uobIcujeno sIusuju nu sIedecIm poiiovImu:
Port TCP/IP servis
7 Eclo
9 DIscuid
13 DuyiIme
17 Quoie ol ile duy
19 Cluiuciei geneiuioi
Inieinei seiveiI uobIcujeno sIusuju nu sIedecIm poiiovImu:
Port server
21 FIIe iiunslei pioiocoI (FTP)
23 TeInei
70 Goplei
80 WoiIdWIdWeb (HTTP)
119 NeiNews (NNTP)
22 Secuie sleII
443 Secuie HTTP (HTTPS)
Slu |o irowull 9
lnlornol 10
FujI seiveiI uobIcujeno sIusuju nu sIedecIm poiiovImu:
Port Servis
53 DomuIn Nume SeivIce (DNS seivIs, uko je InsiuIIiun)
135 RPC Locuioi SeivIce (sumo WIndows NT)
137 NeiBIOS Nume SeivIce (sumo WINS seiveiI)
139 NeiBIOS SessIon SeivIce (sumo WIndows miezu I
SMB/CIFS seiveiI)
515 LPR se koiIsiI od siiune TCP/IP piIni seivIsu, uko je
InsiuIIiun.
530 Remoie Pioceduie CuII (RPC konekcIje koje koiIsiI
WIndows NT WInLogon seivIs, kuo I mnoge diuge
miezne upIIkucIje vIsokog nIvou)
3389 WIndows TeimInuI SeivIces piIlvuiu konekcIje nu ovom
poiiu, koiIsiecI RDP pioiokoI
SeiveiI zu posiu su uobIcujeno konlIguiIsunI du sIusuju nu sIedecIm poiiovImu:
Port MaiI server
25 SImpIe MuII Tiunslei PioiocoI (iuzmenu muII
seivei - seivei)
110 Posi OllIce PioiocoI veizIju 3 (iuzmenu posie od seiveiu
ku kIIjeniu)
143 Inieinei MuII Access PioiocoI (kIIjeniov piIsiup muII
seiveiu)
UkoIIko InsiuIIiuie solivei zu diuge seivIse, moiuie se uveiIiI du je lIIiei nu
seiveiu podesen du sIusu nu poiiovImu seivIsu - u supioinom, seivIs nece iudIiI.
Od pioIzvoducu soliveiu suznujie koje poiiove koiIsie odiedenI seivIsI. Ovo se ne
odnosI nu pogiunIcne lIiewuIIe, koje bI iiebuIo konlIguiIsuiI iuko du piopusiuju
seivIs, ukoIIko numeiuvuie du juvno omogucIie iuj seivIs.
Opsto proviIo zo fiItrironje poketo
Posioje dvu osnovnu piIsiupu podesuvunju bezbednosiI.
PivI, pesImIsiIckI, gde ceie IskIjucIiI suv piIsiup osIm onog kojI je neoplodun
I diugI, opiImIsiIckI, gde ceie dozvoIIiI suv suobiucuj osIm onog zu kojI znuie du
je sieiun. U svilu bezbednosiI, iiebuIo bI du uvek Imuie pesImIsiIckI piIsiup, jei
opiImIsiIckI piIsiup pieiposiuvIju du unupied vec znuie svuku mogucu pieinju,
sio je nemoguce. UzmIie u obzIi uobIcujene piIncIpe piI koiIscenju lIIiiIiunju
pukeiu:
ZubiunIie sve pioiokoIe I udiese, u zuiIm dozvoIIie IskIjucIvo seivIse I los-
iove koje zeIIie du podizIie.
ZubiunIie sve pokusuje konekcIje ku losiovImu unuiui Vuse mieze.
DozvoIjuvujucI bIIo koju doIuzecu konekcIju, omogucuvuie lukeiImu du se
povezu su TiojunskIm konjImu III du ekspIouiIsu gieske u soliveiu seivIsu.
FIIiiIiunjem odbucujie sve ICMP iedIiekcIje I elo (pIng) poiuke. OdbucIie
sve pukeie u kojImu je nuvedenu puiunju pukeiu (souice iouiIng), jei je ovo
ieiko IegIiImun meiod povezIvunju.
OdbucIie svu spoIjnu uzuiIiunju pioiokoIu iuiIiunju (RIP,OSPF) zu
unuiiusnje iuieie. NIko vun Vuse mieze ne bI iiebuIo du emIiuje uzuiIiunju
zu RIP.
RuzmIsIIie o iome du zubiunIie liugmeniucIju vecu od nuIe, zuio sio je ovu
lunkcIju ugIuvnom zusiuieIu I podIoznu cesioj ekspIouiucIjI.
Hosiove nu kojImu se Izvisuvu nekI juvnI seivIs, kuo sio su web seiveiI III
SMTP seiveiI, posiuvIie Izvun obIusiI lIIiiIiunju pukeiu, du ne bIsie, u
pioiIvnom, oivoiIII iupe u lIIieiImu.
U zusiIiI svoje mieze se ne osIunjujie sumo nu lIIiiIiunje pukeiu.
Frevodenje odreso iz mreze (Network Address
TronsIotion - NAT)
Pievodenje udiese Iz mieze iesuvu piobIem skiIvunju unuiiusnjIl losiovu. NAT
je zupiuvo pioxy mieznog sIoju: jedun losi cInI zulieve u Ime svIl unuiiusnjIl
losiovu. Nu iuj nucIn on skiIvu njIlov IdeniIiei nu juvnoj miezI. WIndows 2000,
LInux I mnogI suviemenI UNIX opeiuiIvnI sIsiemI obezbeduju ovu lunkcIju kuo
deo sumog opeiuiIvnog sIsiemu, dok WIndows NT4.0 io ne cInI.
NAT skiIvu udiese unuiiusnjIl losiovu, konveiiujucI Il u udiesu lIiewuIIu.
FIiewuII zuiIm ponovo suIje poduike unuiiusnjIl losiovu, koiIsiecI sopsivenu IP
udiesu. KoiIscenjem TCP bioju poiiu, uspevu du piuiI koje se konekcIje nu juvnom
deIu poduduiuju su losiovImu nu piIvuinom deIu mieze. GIeduno su Inieineiu,
suv suobiucuj su Vuse mieze IzgIedu kuo du doIuzI su jednog, eksiiemno
zuposIenog iucunuiu.
NAT elIkusno skiIvu sve TCP/IP InloimucIje unuiiusnjIl losiovu od ocIju
Inieineiu. Pievodenje IP udiesu omogucuvu du koiIsiIie bIIo kojI opseg IP udiesu
nu unuiiusnjoj miezI, cuk I uko se ie udiese vec koiIsie negde nu Inieineiu.
Ovo znucI du ne moiuie du iiuzIie veIIke bIokove udiesu od ARIN-u. Tukode,
ne moiuie du ponovo dodeIjujeie miezne udiese onIm iucunuiImu koje sie
jednosiuvno piIkIjucIII nu miezu pie povezIvunju mieze nu Inieinei.
UFOZORENJE
Su NAT-om mozolo korislili bilo ko|i blok lP udrosu nu \uso| slruni irowullu, uli cuvu-
|lo so problomu ko|i mogu nusluli prislupun|om lnlornol hoslu su islom |uvnom lP
udrosom, kuo lP udrosom nokog \usog unulrusn|og rucunuru. Du bislo izbogli ovukvo
problomo, nu dolu irowullu ko|i |o povozun su \usom privulnom mrozom, korislilo roz-
orvisuno, u lo svrho, T2.T8.0.0 ili T0.0.0.0 mrozo.
Slu |o irowull 11
lnlornol 12
Konucno, NAT dozvoIjuvu muIiIpIeksIiunje jedne juvne IP udiese kioz ceIu
miezu. Mnoge muIe kompunIje se neiudo osIunjuju nu usIuge nekIl dobuvIjucu
Inieinei seivIsu, kojI su u nemogucnosiI du Im piuze veIIke bIokove udiesu zuio
sio je I njIlov sopsivenI veomu muII. Mozdu ceie zeIeiI du podeIIie jednu udiesu
dIuI-up III kubIovskog modemu, u du iuko nesio ne piIjuvIie svom dobuvIjucu
Inieinei usIugu. Ovu opcIju je mogucu koiIscenjem NAT-u.
NAT je ImpIemeniIiun sumo nu TCP/IP nIvou. Ovo znucI du skiIvenu
InloimucIju unuiui poduiuku, kojI se pienose puiem TCP/IP suobiucuju, moze
bIiI posIuiu III seivIsImu vIsIl sIojevu I iIme omogucIiI IskoiIscuvunje sIubosiI u
suobiucuju vIsIl sIojevu III zu komunIcIiunje su TiojunskIm konjem. ZnucI, Ipuk
ceie moiuiI koiIsiIiI seivIse vIsIl sIojevu, kuo sio je pioksy, iudI pievencIje
ugiozuvunju bezbednosiI seivIsu vIsIl sIojevu.
MnogI pioiokoII, iukode, ukIjucuju IP udiesu losiu u poducImu kojI se
pienose, iuko du udiesu posiuje nevuzecu kudu se ponovo upIse pioIuskom kioz
NAT. Ovo se juvIju u ukiIvnom modu FTP-u, H.323, IPSec I skoio svukom diugom
bezbednosnom pioiokoIu kojI se zusnIvu nu usposiuvIjunju sekunduinog komu-
nIkucIonog nIzu Izmedu kIIjeniu I seiveiu.
NAT je, Isio iuko, piobIem zu miezne udmInIsiiuioie kojI ce mozdu zeIeiI du
se, u udmInIsiiuiIvne svile, povezu su kIIjeniImu Izu NAT-u. Zbog iogu sio NAT
poseduje sumo jednu IP udiesu, ne posiojI mogucnosi specIlIkovunju kojeg
unuiiusnjeg kIIjeniu zeIIie du dosegneie. Ovo spiecuvu podjednuko I lukeie I
IegIiImne koiIsnIke du se konekiuju nu nekog unuiiusnjeg kIIjeniu. Nu siecu,
mnoge suviemene ImpIemeniucIje NAT-u dozvoIjuvuju kieIiunje piuvIIu zu
piosIedIvunje suobiucuju kioz poiiove, sio Ipuk omogucuvu du se povezeie su
unuiiusnjIm kIIjeniom.
Froxy
NAT iesuvu mnoge piobIeme Inieinei konekcIju, uII ne spiovodI poipunu kon-
iioIu poduiuku kioz lIiewuII. U iom sIucuju je moguce du neko uz pomoc
mieznog monIioiu piegIedu suobiucuj kojI doIuzI Iz Vuseg lIiewuIIu I nu osnovu
dobIjenIl InloimucIju zukIjucI du lIiewuII pievodI udiese diugIl musInu. HukeiI
nu ovuj nucIn mogu dobIiI InloimucIje poiiebne zu oiImunje TCP konekcIju III zu
pioIuz kioz lIiewuII Iuznom konekcIjom.
Pioxy upIIkuiIvnog sIoju ovo spiecuvu. On Vum omogucuvu du poipuno
zubiunIie pioiok poduiuku pioiokoIu mieznog sIoju I du dozvoIIie suobiucuj
sumo pioiokoIImu vIsIl sIojevu, kuo sio su HTTP, FTP I SMTP. Pioxy upIIkuiIvnog
sIoju je specIlIcno kIIjenisko-seiveisku kombInucIju zu pioiokoI kojI se koiIsiI.
Nu piImei, web pioxy je kombInucIju web seiveiu I web kIIjeniu. SeiveiskI
deo pioiokoIu pioxyu piIlvuiu konekcIje kIIjenuiu unuiiusnje mieze, dok se
kIIjeniskI deo pioiokoIu povezuje nu juvnI seivei. Kudu kIIjeniskI deo pioxyu
piImI poduike od juvnog seiveiu, seiveisku siiunu pioxy upIIkucIje suIje poduike
kiujnjem unuiiusnjem kIIjeniu. SIIku 1.2 piIkuzuje kuko se ovuj pioces odvIju.
5Iiko 1.2
Ptoxy sctvcti ptimdju zdnrcvc sd ptivdrnc mtczc i ponovo in gcnctisu nd jdvnoj
mtczi.
Pioxy seiveiI piIpuduju dvemu miezumu koje nIsu povezune iuieiImu. Kudu
kIIjeni zusiIcene mieze InIcIiu zuliev piemu seiveiu juvne mieze, pioxy seivei
pieuzImu iuj konekcIonI zuliev I povezuje se nu seivei juvne mieze u Ime
kIIjeniu zusiIcene mieze. Pioxy seivei, iukode, piosIeduje odgovoi juvnog
seiveiu kIIjeniu nu unuiiusnjoj miezI. Pioxy seiveiI piIkuzuju nezIonumeiun
nupud iIpu "covek-u-siedInI" I duju piImei kuko bI neko moguo visIiI zIonumeine
visie obiude mieznog suobiucuju.
RuzIIku Izmedu NAT I lIIieiu su jedne siiune I upIIkuiIvnIl pioxyu (kuo sio je
MIciosoli Pioxy Seivei) su diuge siiune je u iome sio su kIIjeniske upIIkucIje zu
Inieinei (uobIcujeno) unupied podesene zu komunIkucIju su pioxyem. Nu
piImei, uneiu udiesu Vuseg web pioxyu u Inieinei ExpIoiei ce piouziokovuiI du
Inieinei ExpIoiei suIje sve zulieve iom pioxy seiveiu, pie nego du sum iuziesuvu
udiese I usposiuvIju dIiekine konekcIje.
ApIIkuiIvnI pioxy ne moiu bIiI pokienui nu lIiewuIIu; bIIo kojI seivei unuiui
III Izvun Vuse mieze moze ImuiI uIogu pioxy seiveiu. Ipuk, ukoIIko zeIIie piuvu
bezbednosi nu miezI, iiebuIo bI du posiuvIie I lIiewuII I pioxy. Moiu posiojuiI I
nekI iIp lIIiiIiunju poduiuku zbog zusiIie pioxy seiveiu od nupudu usmeienIl
pieko mieznog sIoju iIpu "denIuI ol seivIce" (kuo sio je "pIng ol deuil").
Svejedno, ukoIIko se pioxy ne pokiece nu lIiewuIIu, neoplodno je du oivoiIie
kunuI kioz iuj lIiewuII. PiepoiucIjIvo je du Vus lIiewuII obuvIju I lunkcIju pioxyu.
Ovo bI spiecIIo piosIedIvunje pukeiu juvnog deIu mieze kioz Vus lIiewuII.
Filtriranje
sadrzaja
Klijent
Zahtev za stranicom
Unutrasnji
interfejs
Proxy
Spoljasnji
interfejs
Provera URL-a
Zahtev za
stranicom
Povratak
stranice
Povratak stranice
v
r
e
m
e
!avni server
Slu |o irowull 13
lnlornol 14
NekI lIiewuIII kojI obuvIjuju I lunkcIju pioxyu su solIsiIcIiunIjI od osiuIIl. NekI
Imuju lunkcIju lIIiiIiunju IP pioiokoIu I muskIiunje IP udiesu, iuko du mogu
jednosiuvno bIokIiuiI unuiiusnje konekcIone pokusuje (nu poiiu 80 u sIucuju
HTTP-u) ku uduIjenIm losiovImu, pie nego du Im je kIIjeniskI solivei konlIguiIsun
udiesumu pioxy seveiu. U iom sIucuju, lIiewuIII kojI obuvIjuju I lunkcIje pioxyu se
povezuju nu uduIjenI seivei I zulievuju poduike u Ime bIokIiunog kIIjeniu.
PiImIjenI odgovoiI se viucuju bIokIiunom kIIjeniu pu uz pomoc NAT lunkcIje
lIiewuIIu IzgIeduju kuo du su posIuiI su ukiueInog uduIjenog seiveiu. Zu pioxye kojI
iude nu ovuj nucIn se kuze du su iiunspuieninI.
Jos bezbednIjI pioxyI su u mogucnosiI du Izvode lIIiiIiunje upIIkuiIvnog sIoju
zu odiedenI suobiucuj. Nu piImei, nekI lIiewuII HTTP pioxy iiuze Juvu III AciIveX
oznuke u HTML siiunIcumu koje ukuzuju nu ugnjezdene upIeie I zuiIm Il
ukIunjuju. Ovo spiecuvu du upIei bude Izvisen nu kIIjeni kompjuieiu I eIImInIse
iIzIk sIucujnog ucIiuvunju Tiojunskog konju. Ovu visiu lIIiiIiunju je veomu vuznu
zbog iogu sio obIcno lIIiiIiunje, muskIiunje I pioxy ne mogu spiecIiI du se Vusu
miezu ugiozI, ukoIIko neko od VusIl kIIjenuiu ne ucIiu skiIvenog Tiojunskog
konju ugnjezdenog unuiui AciIveX upIeiu.
Mozdu sie piImeiIII du, kuko se penjemo uz siek mieznIl sIojevu seivIsI
bezbednosiI posiuju odiedenIjI. Nu piImei, lIIiiIiunje je specIlIcno zu IP, TCP I zuiIm
UDP. ApIIkucIje koje koiIsie IP su osiuIIm pioiokoIIkmu, kuo sio je "Bunyun VInes",
moiuju koiIsiIiI specIjuIne, skupe III neuobIcujeno iobusne lIiewuIIe.
PioxyI su nuiocIio specIlIcnI zuio sio mogu iudIiI sumo su specIlIcnIm
nuiocIiIm upIIkucIjumu. Nu piImei, moiuie posebno ImuiI pioxy soliveiske
moduIe zu HTTP, FTP, TeInei. Posio ovI pioiokoII evoIuIiuju (nuiocIio HTTP),
moiuie iedovno uzuiIiuiI odiedene pioxy soliveiske moduIe.
PosiojI mnogo pojedInucnIl pioiokoIu, kuo I pioiokoIu zu koje ne posiojI
pioxy. Pioxy ne posiojI zu vIusnIcke upIIkuiIvne pioiokoIe kuo sio je Loius Noies,
iuko du se iI pioiokoII moiuju posIuiI kioz lIIieie mieznog sIoju III du geneiIckI
TCP pioxy IzvisI uIogu pioxyu, iegeneiIsucI pukeie jednosiuvnIm iiunsleiom u
pienosu. SOCKS je specIlIcnu loimu geneiIckog pioxyu, kojI se ponekud nuzIvu
mieznI pioIuz sIoju koIu (cIicuIi-IeveI guiewuy). Iuko geneiIckI pioksI ne moze
spiecIiI nupude I sudizuje pioiokoIu, Ipuk je bezbednIjI od lIIiiIiunog
usmeiuvunju, zuio sio se pukeiI mieznog sIoju poipuno iegeneiIsu, ukIunjujucI
zIonumeine loimucIje koje lIiewuII ne deiekiuje.
U vecInI sIucujevu, iud pioxy seiveiu se visI koiIscenjem kombInucIje
pioiokoIu seiveiu I pioiokoIu kIIjenuiu nu Isioj musInI. Nu piImei, iecImo du
Imuie miezu koju nIje povezunu nu Inieinei, uII Vus WIndows seivei Imu dve
miezne kuiie od kojIl je jednu povezunu su Inieineiom, u diugu su piIvuinom
miezom. UkoIIko koiIsiIie lunkcIje ieimInuI seivIsu WIndowsu 2000 du bIsie se
povezuII su seiveiom nu njegovoj juvnoj siiunI, ondu mozeie pokienuiI kIIjeniu
ieimInuIInIl seivIsu I iIme se povezuiI su musInom koju se nuIuzI nu unuiiusnjem
deIu mieze. Ovo iudI mnogo boIje nego sio mozeie pieiposiuvIiI, uII nIje dobio
koiIsiIiI u piuksI iudI bezbednosiI mieze.
KoiIsiIie pioxy seiveie zu sve upIIkuiIvne pioiokoIe, kudu god je io moguce.
RuzmIsIIie o iome du onemogucIie sve seivIse koje pioxy ne podizuvu.
PiepoiucIjIvo je I koiIscenje pioxyu vIsIl sIojevu zbog njIlove mogucnosiI du
ukIunjuju suv IzvisnI sudizuj, kuo sio su AciIveX I Juvu upIeiI, su web siiunIcu.
VirtuoIne privotne mreze
VIiiuuIne piIvuine mieze, poznuie I kuo sIliovunI iuneII, dozvoIjuvuju bezbedno
povezIvunje dve lIzIckI odvojene mieze pieko Inieineiu. PoducI kojI se iuzmenjuju
nu ovuj nucIn su nevIdIjIvI zu neovIuscene eniIieie. VPN bI moguo bIiI piedmei
iuznIl neugodnIl nupudu, kuo sio su pokusujI iedIiekcIje, InIcIjuIIzovunje Iuzne
konekcIje III bIIo kojI diugI vId nupudu dok se usposiuvIju iuneI. AII, kudu se VPN
ImpIemeniIiu kuo IniegiuInI deo lIiewuIIu, uuieniIlIkucIju I seivIsI zu bezbednosi
lIiewuIIu se mogu IskoiIsiIiI du spiece ekspIouiucIju iuneIIiunju.
Jednom kudu su usposiuvIjenI, VPN iuneII su nepiIsiupucnI zu ekspIouiIsunje
sve dok je sIliovunje bezbedno. Nu giunIcumu su Inieineiom su smesienI
lIiewuIIovI su cIIjem du sIuze kuo odIIcne kiujnje iucke zu svukI kiuj iuneIu.
ZukIjucuk je du Vuse piIvuine mieze mogu du piopusiuju suobiucuj, podsecujucI
iuko nu dve podmieze Isiog domenu.
VPN iukode dozvoIjuvu koiIsnIcImu du udiesIiuju uduIjene unuiiusnje
losiove dIiekino po njIlovIm skiIvenIm IP udiesumu; NAT I lIIieiI pukeiu bI
spiecIII ovuko nesio ukoIIko pokusuj konekcIje doIuzI dIiekino su Inieineiu.
5AVET
Poinl-lo-Poinl Tunnoling prolokol (PPTP} zu Windows NT obozbodu|o sirovuni lunol,
koriscon|om sorvisu bozbodnosli Pomolo Accoss sorvoru. Windows 2000 obozbodu|o
podrsku zu |os suvromoni|i Luyor2 Tunnoling prolokol (L2TP} i lPSocurily (lPSoc} u
lrunsporlnom modu. \ocinu dislribuci|u Linuxu ukl|ucu|o podrsku zu sirovuno lunolo,
kuo slo |o Poinl-loPoinl prolokol (PPP} proko Socuro Sockol Luyoru (SSL}.
RudIje koiIsiIie zukupIjene IInIje umesio VPN, ukoIIko Vum iioskovI ne
piedsiuvIjuju piobIem. VPN koiIsiIie zu sve komunIkIucIje oigunIzucIonIl jedInIcu
pieko Inieineiu, uko nemuie mogucnosi du zukupIie dIiekinu IInIju III uko su
cene zukupu pieveIIke zu Vus budzei. Ako koiIsiIie VPN kuo piImuinI konekcIonI
meiod zu povezIvunje oigunIzucIonIl jedInIcu, boIje peiloimunse mozeie
ocekIvuiI koiIscenjem Isiog dobuvIjucu Inieinei usIugu nu obe siiune konekcIje jei
se, nu iuj nucIn, zuobIIuze usmeiuvunju kioz pieopieiecenu podiucju komeicIjuIne
iuzmene nu Inieineiu. NIkudu ne iuzmenjujie piIvuine InloimucIje Izmedu
oigunIzucIonIl jedInIcu pieko Inieineiu bez upoiiebe neke loime sIliovunju.
NesIliovunu zugIuvIju pukeiu sudize vuzne deIove InloimucIje o siiukiuiI Vuse
piIvuine mieze.
Slu |o irowull 15
lnlornol 1
NAFOMENA
Tohnicki gloduno, zukupl|ono lini|o su lukodo run|ivo, uli su poslodono hukoru su
lnlornolu. U slucu|u du su \usi poduci molu korporuci|sko spi|unuzo ili du zolilo du ih
sucuvulo od mogucnosli du ih drzuvu prislusku|o lrobulo bi korislili \PN nu zukupl|onim
lini|umu.
5ifrovono outentifikocijo
SIliovunu uuieniIlIkucIju dozvoIjuvu spoIjnIm koiIsnIcImu nu Inieineiu du
dokuzu svoj IdeniIiei uuioiIzovunIl koiIsnIku lIiewuIIu I du iuko oivoie
konekcIju kioz iuj lIiewuII ku unuiiusnjoj miezI. Zu sIliovunu uuieniIlIkucIju se
moze koiIsiIiI bIIo kojI bezbednosnI uuieniIlIkucIonI pioiokoI. Kudu je vezu
jednom usposiuvIjenu, onu moze, u I ne moiu, bIiI sIliovunu, sio zuvIsI od
lIiewuII piozvodu kojI se koiIsiI I od iogu du II je InsiuIIiun doduinI solivei nu
kIIjeniu u cIIju du podizuvu iuneIIiunje.
KoiIscenje sIliovune uuieniIlIkucIje je pogodno zuio sio se pojuvIjuje nu
iiunspoiinom sIoju Izmedu pukeiu soliveiu kIIjeniu I lIiewuIIu. Kudu je vezu
oivoienu, bez smeinjI ce iudIiI suv upIIkucIonI solivei I sIsiemskI solivei zu
piIjuvIjIvunje, sio Vus osIobudu koiIscenju specIjuInIl soliveiskIl pukeiu zu
podisku Vusem lIiewuIIu. NuzuIosi, sIliovunu uuieniIlIkucIju smunjuje
bezbednosi Vuseg lIiewuIIu. Zbog piIiode piocesu nusiuju sIedecI piobIemI:
FIiewuII moiu odgovoiIiI ukoIIko se pokusu povezIvunje pieko nekog poiiu.
Ovo duje lukeiImu InloimucIju o posiojunju lIiewuIIu
KonekcIju se uz pomoc ICMP-u moze pieusmeiIiI nukon sio je vezu
usposiuvIjenu, nuiocIio uko je konekcIju nesIliovunu.
Hukei kojI nudgIedu usposiuvIjunje veze moze kusnIje IuzIiuiI svoju udiesu
I zumenIiI je udiesom uuioiIzovunog koiIsnIku. TIme ce dobIiI piIsiup
miezI bez iedIiekcIje neke od posiojecIl vezu.
UkiudenI Iup-iop su odgovuiujucIm "kIjucevImu" u sebI se moze IskoiIsiIiI
zu dobIjunje piIsiupu miezI.
RudnIcI kojI iude kod kuce mogu bIiI meiu nupudu piovuInIku, jei se su
njIlovIl kompjuieiu moze piIsiupIiI miezI.
Sumu pioceduiu piocesu uuieniIlIkucIje moze bIiI poiemecenu III munje
sIguinu, dozvoIjuvujucI svukome nu Inieineiu du oivoiI iupe nu lIiewuIIu
MuIu je mogucnosi du se dogodI nekI od ovIl piobIemu. AdmInIsiiuioiI
okiuzenju su siednjIm III muIIm iIzIkom ne bI iiebuIo du Imuju piobIeme sve dok
je konekcIju sIliovunu iokom iiujunju.
Kreironje efiektivne gronicne bezbednosti
Du bIsie odizuII mInImuInI nIvo elekiIvne Inieinei bezbednosiI, iiebuIo bI du
koniioIIseie bezbednosi nu VusIm mieznIm giunIcumu, koiIsiecI lIiewuII kojI
obuvIju sve iiI osnovne njegove lunkcIje (lIIiiIiunje pukeiu, NAT I pioxy seivIs
vIsIl sIojevu). VusI lIiewuIII moiuju bIiI posvecenI IskIjucIvo peiloimunsumu
lunkcIju lIiewuIIu; Izbeguvujie du pokieceie osiuIe seivIse, kuo sio su posiu, web
III diugI juvnI seivIsI, zujedno su lIiewuIIom, osIm uko solivei zu ove seivIse I zu
lIiewuII ne doIuze od Isiog pioIzvoducu. Cuk I u iom sIucuju, piIpuzIie nu
iIzIke koje nose gieske u soliveiu seivIsu vIsIl sIojevu, zbog iogu sio se mogu
IskoiIsiIiI u svilu piemoscIvunju Vuseg lIiewuIIu. Ovo nIje sumo ieoiIju: UNIX-ov
SundmuII I Inieinei InloimuiIon SeivIce (IIS) WIndows web seivei su poznuiI po
biojnIm nupudImu iIpu "piopieiecenje buleiu". UkoIIko posiuvIie ove seivIse nu
lIiewuII, veomu Iuko Vus mogu kompiomIiovuiI.
PonovImo dukIe, jednosiuvno smunjIie bioj seivIsu nu Vusem lIiewuIIu. Ovo
iedukuje kompIeksnosi soliveiu kojI iude nu musInI I iIme smunjuje mogucnosi
pudu bezbednosiI zbog giesuku opeiuiIvnog sIsiemu III soliveiu zu bezbednosi.
U sIucuju WIndowsu, poiiebun je iud sumo nekoIIko seivIsu unuiui seivIsu
"ConiioIPuneI" du bI iucunui iudIo kuo lIiewuII. IskIjucIie sve seivIse koje Vum
seivei dozvoIjuvu du IskIjucIie I podesIie Il iuko du se pokiecu iucno. U sIucuju
LInuxu InsiuIIiujie sumo one pukeie kojI su poiiebnI zu iud lIiewuIIu III
seIekiujie opcIju zu InsiuIIiunje lIiewuIIu ukoIIko posiojI zu duiu dIsiiIbucIju.
Solivei zu InsiuIucIju ce IskIjucIiI sve seivIse kojI su nepoiiebnI zu iud lIiewuIIu.
U svukom sIucuju, ukoIIko ovo ne iudI, uvek mozeie poiiuzIiI solivei zu lIiewuII
nu nekom diugom mesiu.
GomIIunje seivIsu kuo sio su, HTTP, FTP, TeInei, Goplei I seivIs posie nu Isiu
musInu, koju se koiIsiI kuo Inieinei usmeiIvuc I lIiewuII, je oduvek piedsiuvIjuIo
Iskusenje. To se desuvu zbog iogu sio je jeliInIje I sio iukvu musInu, veiovuino,
Imu dosiu viemenu zu kompjuieisku obiudu I mnogo piosioiu nu dIsku.
NuzuIosi, muIo je opeiuiIvnIl sIsiemu dovoIjno bezbednIl I posiedenIl giesuku
u kodu du bI mogII guiuniovuiI IniegiIiei seivIsu I io du pojedInI sevIsI nece
oboiIiI lIiewuII. Veomu je moguce I io du ce se seivIsI vIsIl sIojevu pokienuiI nu
lIiewuIIu I obezbedIiI nucIn du se nekuko pievuie bezbednosnI seivIsI iog
lIiewuIIu. I nu kiuju, kuo sio je pomenuio iunIje u pogIuvIju, mnogI seivIsI
sudize okvIie zu piIjuvIjIvunje III uuiomuiskI geneiIsu siiunIce su gieskumu
IdeniIlIkujucI iuko lIiewuII pioIzvod kojI koiIsiIie. Ovo moze bIiI opusno uko
lukeiI nudu sIubosiI u Vusem lIiewuIIu. VI Ipuk zeIIie du sukiIjeie kojI opeiuiIvnI
sIsiem koiIsiI Vus lIiewuII.
Tukode, moiuie loisIiuiI lIiewuII poIIiIku koniioIe su jedne iucke. UkoIIko
Imuie vecI bioj lIiewuIIu u Vusoj kompunIjI (svukI od njIl povezuje lIIIjuIu su
Inieineiom), moiuie bIiI upsoIuino sIguinI du su IdeniIcno konlIguiIsunI. VeIIku
pomoc ovome duju osobIne soliveiu zu upiuvIjunje lIiewuIIImu nu nIvIou ceIog
pieduzecu.
Slu |o irowull 17
lnlornol 1
UFOZORENJE
Nodosluluk bilo cogu nu irowullu mozo kompromilovuli ciluvu \usu mrozu, pogolovo
uko korislilo bozbodno lunolirun|o ili zukupl|ono lini|o zu povozivun|o ili|ulu. Hukori co
so ludu po|uvili lumo gdo im |o pruzon nu|mun|i olpor.
Rozmotronje funkcionoInosti firewoIIo
VecInu udmInIsiiuioiu smuiiu du lIiewuII iiebu du bude buzIiun nu Isiom
opeiuiIvnom sIsiemu kuo I mieznI lujI seiveiI - UNIX lIiewuIII zu mieze buzIiune
nu UNIX-u, u NT lIiewuIII zu mieze buzIiune nu WIndowsu NT. CInjenIcu je du
ne posiojI iuzIog zbog kojeg bI opeiuiIvnI sIsiem lIiewuIIu bIo IsiI kuo I
opeiuiIvnI sIsiem mieze. OsIm u pojedInIm sIucujevImu, nu lIiewuIIu Ionuko
neceie pokieiuiI diuge iIpove soliveiu. Tukode, vecInu suviemenIl lIiewuIIu se
pioIzvodI kuo piekonlIguiIsunI iucunui su poipuno odgovuiujucIm opeiuiIvnIm
sIsiemom.
Posuo lIiewuIIu je du lIIiiIiu TCP/IP suobiucuj I, u vecInI sIucujevu, nece bIiI
poiiebe du se posebno podesuvu. Mozdu ce, u zuvIsnosiI od oigunIzucIje, bIiI
poiiebno du Im se podesI sumo specIlIcnu poIIiIku bezbednosiI. NekI lIiewuIII su
zusnovunI nu opeiuiIvnIm sIsiemImu kojI nIsu nI u kukuvoj vezI su UNIX-om III
WIndowsom; jednosiuvno onI odgovuiuju bIIo kojoj miezI.
DiugI, veomu vuzun lukioi u odubIiu lIiewuIIu je poznuvunje njegovog
opeiuiIvnog sIsiemu. AdmInIsiiuioi bI iiebuIo du bude upoznui su koiIsnIckIm
Inieilejsom I kuko du Ispiuvno konlIguiIse lIiewuII. VecInu lIiewuIIu buzIiunIl nu
WIndowsu je jednosiuvnIje podesIiI nego one buzIiune nu UNIX-u. MeduiIm,
veIIkI bioj UNIX lIiewuIIu je zulvuceno zbog koiIscenju Juve III web giulIckIl
Inieilejsu, koje mozeie pokienuiI su uduIjene IokucIje.
NekI pioIzvoducI lIiewuIIu ivide du su njIlovI pioIzvodI supeiIoinI u odnosu
nu WIndows III siunduidne veizIje UNIX-u, Iz iog iuzIogu sio su pioIzvodI
buzIiunI nu snuznIjoj ImpIemeniucIjI sieku TCP/IP pioiokoIu III nu, ieoiIjskI,
bezbednIjem opeiuiIvnom sIsiemu. OnI, iukode, ivide du se gieske u kodu
WIndowsu NT I UNIX-u mogu ekpIouiIsuiI zu pioIuz kioz lIiewuII. Ovo moze bIiI
IsiInu, uII iI IsiI pioIzvoducI ne mogu dokuzuiI du sIIcne gieske ne posioje I nu
njIlovIm pioIzvodImu. Ne posiojI piukiIcun nucIn nu osnovu kojeg mozeie
dokuzuiI du gieske u iuko kompIeksnom kodu ne posioje, sio znucI du
pioIzvoducI lIiewuIIu ne mogu ImuiI vecu sIguinosi nego od veIIkIl piIzvoducu
kuo sio su MIciosoli III Sun.
GIuvnu piednosi u koiIscenju sIioko iuspiosiiunjenog opeiuiIvnog sIsiemu
kuo osnove zu lIiewuII je iu sio ce kod koiIsiIiI, u nu iuj nucIn I pioveiIiI, mIIIonI
koiIsnIku. Gieske u kodu ce u ovom sIucuju bIiI Iukse pionucI, u Ispiuvke ce se
pojuvIiI mnogo bize. MuII pioIzvoducI lIiewuIIu iesko du ce iesuvuiI svoje gieske
ovuko bizo, Iz iog iuzIogu sio jednosiuvno nemuju ielnIckIl usIovu zu io. Ipuk,
uobIcujenI opeiuiIvnI sIsiemI su piedmei veceg bioju nupudu lukeiu od osiuIIl
opeiuiIvnIl sIsiemu. WIndows iipI ieske uduice nupudu zbog iogu sio je
nujiuspiosiiunjenIjI opeiuiIvnI sIsiem I zuio sio lukeiI mize MIciosoli.
Zbog ovogu je WIndows nujkompiomIiovunIjI opeiuiIvnI sIsiem, Iuko UNIX
(ukIjucujucI LInux) nemu boIju bezbednosi. MnogI lIiewuII pioIzvodI posiuvIjenI
nu siunduidne opeiuiIvne sIsieme se ne osIunjuju nu TCP/IP siekove III seivIse
vIsIl sIojevu iIl opeiuiIvnIl sIsiemu. OnI ImpIemeniIiuju sopsivenI TCP/IP siek,
iuko du mogu ImuiI kompIeinu koniioIu nud opeiucIjumu sieku. Sum opeiuiIvnI
sIsiem sIuzI kuo pIuiloimu obezbedujucI lunkcIje kuo sio su podIzunje sIsiemu,
Izvisuvunje vIse zuduiuku u Isio vieme I koiIsnIckI Inieilejs.
FIiewuII pioIzvodI se iuIIkuju u sIedecem:
ezbednostDDNekI lIiewuII pioIzvodI su neveiovuino sIubI u obuvIjunju
svog posIu, zbog iogu sio se pievIse osIunjuju nu osnovnI opeiuiIvnI sIsiem,
piepunI su giesuku koje se mogu ekspIouiIsuiI III posiojI puno sIubosiI u
pioiokoIImu zu uduIjenu uuieniIlIkucIju.
lnterfejsDDNeke lIiewuIIe je veomu iesko konlIguiIsuiI zbog iogu sio Il
moiuie udmInIsiiIiuiI pieko TeIneiu III piIkucene konzoIe, sio zulievu
ucenje nekIl skiIpiI komundne IInIje. OsiuII koiIsie veomu IniuIiIvne
giulIcke Inieilejse, kojI konlIguiIsunje cIne piIIIcno IukIm I ocIgIednIm.
FunkcionoInost u okruzenju preduzecoDDNekI lIiewuIII su sumI po sebI
ividuve, dok se diugI osIunjuju nu ceniiuIno uiedene poIIiIke bezbednosiI
zu sve lIiewuIIe u miezI.
ezbednosne metodeDDDu bI omogucIII bezbedno umiezuvunje uduIjenIl
lIIIjuIu, mnogI lIiewuIII nude veomu vuzne bezbednosne meiode, kuo sio su
VPN I sIliovunu uuieniIlIkucIju. VPN se posebno nupIucuje, iuko du je cesio
poiiebno dokupIiI doduine IIcence.
Osobine servisoDDNekI lIiewuIII nude I seivIse kuo sio su FTP, HTTP, TeInei
I diugI, iuko du ne moiuie posiuvIjuiI posebne musIne. Ove osobIne mogu
bIiI piukiIcne, uII ukoIIko se ne ImpIemeniIiuju Ispiuvno, bIce uziok
smunjIvunju bezbednosiI nu sumom lIiewuIIu. Tukode, mnogI seivIsI mogu
oikiIiI veizIju lIiewuIIu I iIme dozvoIIiI lukeiImu du IskoiIsie moguce
sIubosiI u pioIzvodu.
Bezbednosi je piImuinI kiIieiIjum zu sve lIiewuIIe. SIedecu vuznu osobInu je
Iukocu koiIscenju. Tek ondu nu ied doIuze osiuIe osobIne, peiloimunse I seivIsI.
FrobIemi koje firewoIIi ne mogu resiti
NIjednu miezu povezunu su Inieineiom ne moze bIiI poipuno sIguinu. FIiewuIII
su nuiocIio elekinI I zudizuce lukeie, uII posiojI mnogo iuzIIcIiIl nucInu zu
ekspIouiucIju mieznIl konekcIju, iuko du nIjedun meiod nIje poipuno sIguiun.
MnogI udmInIsiiuioiI giese, pieiposiuvIjujucI du ce piobIem bezbednosiI bIiI
jednosiuvno iesen IspiuvnIm posiuvIjenjem lIiewuIIu. AII io nIje iuko.
Nu piImei, iecImo du kioz Vus lIiewuII jedIno dozvoIjuvuie pioIuz posie.
Jedun od zuposIenIl dobIju poiuku od lIIIjuIe du Im posuIje .CAD duioieku puiem
e-muIIu. Poividuje iucnosi udiese u okvIiu "Fiom" I zuiIm komundom "RepIy io",
neznujucI, suIje pIsmo su piIkucenom .CAD duioiekom lukeiu kojI je IuzIiuo
e-muII zuliev.
Slu |o irowull 19
lnlornol 20
Zbog iogu sio udiese u okvIiu "Fiom" I komundI "RepIy io" ne moiuju uvek
bIiI Isie, Vus lIiewuII osiuje bespomocun u ovukvIm sIucujevImu ekspIouiucIje.
MnogI iIpIcnI koiIsnIcI nemuju Isie udiese zu "Fiom" I "RepIy io" (sIIcno kuo kudu
suIju pIsmu su vIse udiesu, u piImuju svu nu jednu).
FIiewuIII, iukode, ne mogu iesIiI piobIem zusiIie od pioiokoIu, kojImu sie
odIucIII du dozvoIIie pioIuz. Nu piImei, ukoIIko Imuie nu miezI posiuvIjen
WIndowsov IIS, kuo juvnI web seivei, Vus lIiewuII ce do njegu piopusiuiI
suobiucuj kioz poii 80. PodiuzuvujucI iIpIcnu konekcIju web pieiiuzIvucu su web
seiveiom, lukeiI ce bIiI u mogucnosiI du IskoiIsie biojne gieske IIS-u, u cIIju
dobIjunju udmInIsiiuiIvnog piIsiupu su uduIjene IokucIje. Kudu usposiuve
koniioIu nud web seiveiom, lukeiI mogu, koiIsiecI iuj web seivei, du nupudnu
Vusu unuiiusnju miezu, ukoIIko Il ne spiecI doduinu lIiewuII bezbednosnu
poIIiIku.
PosiojI jos jednu ozbIIjnu pieinju bezbednosiI Vuse mieze: skiIvenI pioIuzI nu
giunIcI su Inieineiom. ModemI nude mogucnosi du bIIo kojI koiIsnIk nu Vusoj
miezI usposiuvI vezu ieIelonskom IInIjom su sopsivenIm dobuvIjucem Inieinei
usIugu (ISP) I iuko kompIeino zuobIde Vus lIiewuII. ModemI su veomu jeliInI I
pioduju se kuo susiuvnI deo suviemenIl iucunuiu. Tukode, svI suviemenI
kIIjeniskI opeiuiIvnI sIsiemI Imuju poiiebun solivei zu podesuvunje modemu u
sIucuju povezIvunju su svojIm dobuvIjucem Inieinei usIugu. VecInu zuposIenIl
kojI poznuju iud nu iucunuiu, su svojIl iudnIl mesiu mogu piIsiupIiI Inieineiu
pieko sopsievnIl koiIsnIckIl nuIogu.
VeIIkI bioj koiIsnIku ne slvuiu du su sve IP konekcIje poiencIjuInI
bezbednosnI iIzIk. Modemske PPP konencIje su Inieineiom su dvosiiukog smeiu,
upiuvo kuo I zukupIjene IInIje. I posiojI veIIku sunsu du njIlovI kIIjeniI koiIsie
deIjenje duioieku, iuko du njIlovI iucunuiI mogu bIiI ekspIouiIsunI dIiekino su
Inieineiu.
UFOZORENJE
U rudu su irowullom, coslo so dozvol|uvu dol|on|o slumpucu i duloloku modu rudnim
slunicumu, iz log ruzlogu slo |o lo |odnosluvun i oikusun nucin pronosu poduluku.
Ukoliko |o |odun od korisnku prisulun nu mrozi, hukorimu |o omogucon pul zu
|odnosluvun pronos poduluku. Solilo so du ACL (Amoricu on Lino} nudi PPP sorvis, pu
luko ni|o nislu sigurni|i od bilo kog drugog dobuvl|ucu lnlornol uslugu.
Zusio bI se koiIsnIk odIucIo zu dIuI-up modemsku konekcIju ukoIIko poseduje
vec bizu I bezbednu Inieinei konekcIju? RuzIozI mogu bIiI sIedecI:
Vus lIiewuII ne piopusiu Inieinei ReIuy Clui (IRC), u onI zeIe du iuzgovuiuju
su piIjuieIjImu.
Mogu koiIsiIiI NeiPlone du bI bespIuino iuzgovuII su svojIm mujkumu.
Tuko du mogu koiIsiIiI "PCAnywleie" od kuce.
Zuio sio AOL koiIsiI poii kojI Vus lIiewuII ne piopusiu, u onI zeIe du
pioveie njIlov IIcnI e-muII.
Zuio sio lIIiiIiuie FTP, u onI zeIe du pieuzmu duioieku nu svoj iucunui.
Zuio sio je Vusu miezu konlIguiIsunu du bIokIiu siiunIce su poinogiulskIm
sudizujem.
KoiIsnIcI se povezuju su Inieineiom bez Vuseg znunju I iIme mogu nuiusIiI
podesenu bezbednosnu poIIiIku. Du bIsie koniioIIsuII giunIcu Vuse mieze su
Inieineiom, moiuie koniioIIsuiI sve pioIuze. Ne sme bIiI moguce usposiuvIiI nov
giunIcnI pioIuz bez Vuseg znunju. Odsiupunju od ovog piuvIIu ugiozuvuju
bezbednosi cIiuve Vuse mieze.
FoboIjsonje bezbednosti gronico
Evo nekoIIko suveiu u vezI su pieuzImunjem koniioIe nu VusIm giunIcnIm
pioIuzImu:
SmunjIie bioj konekcIju su Inieineiom nu sio je moguce munjI bioj: jednu
po svukoj IokucIjI. Mnoge veIIke oigunIzucIje dozvoIjuvuju sumo jednu vezu
su Inieineiom I io Iz gIuvnIl piedsiuvnIsiuvu oigunIzucIje. Sve osiuIe lIIIjuIe
nuvode nu iu vezu, koiIsiecI Isie FiumeReIuy IInIje kuo I zu konekcIju
unuiiusnjIl miezu. Cuk Iuko koiIsiIie VPN zu povezIvunje VusIl lIIIjuIu,
iuzmIsIIie o iome du Il usmeiIie pieko Vuseg ceniiuInog lIiewuIIu do veze
su Inieineiom - nu ovuj nucIn mozeie koniioIIsuiI poIIiIku lIiewuIIu nu
sumo jednoj musInI.
Nemojie dozvoIIiI dIuI-up konekcIje nu Inieinei. UkIonIie modeme I sve
osiuIe nekoniioIIsune uieduje zu piIsiup miezI. OnemogucIie sIobodne
COM poiiove u podesuvunjImu BIOS-u kIIjeniskIl iucunuiu I zusiIie BIOS
IozInkom du bI sie spiecIII koiIsnIke du menjuju bezbenosnu podesuvunju.
ZubiunIie nedozvoIjeno deIjenje duioieku. KoiIsiIie deIjenje poduiuku
zusnovuno nu uuieniIlIkucIjI koiIsnIku III u nujmunju iuku su IozInkumu.
UkoIIko nIje neoplodno, nemojie InsiuIIiuiI deIjenje siumpucu I poduiuku
nu kIIjeniske iucunuie. ObucIie koiIsnIke du skIudIsie sve poduike nu
mieznIm seiveiImu zu poduike I ceniiuIIzujie IzvoiIsiu kuo sio su
CD-ROM-ovI III modemI.
KonlIguiIsIie unuiiusnje kIIjeniske iucunuie IP udiesumu domenu
192.168.0.0 III 10.0.0.0, posio se one ne usmeiuvuju pieko Inieineiu.
Nu Vusem lIiewuIIu koiIsiIie NAT zu pievodenje ovIl unuiiusnjIl IP udiesu
u usmeiIve spoIjne udiese. Ovo moze spiecIiI lukeie du ekspIouiIsu
modemske konekcIje Vuse mieze.
ezbednosne opcije no gronicomo
Kudu jednom pokieneie lIiewuII nu giunIcI Izmedu Vuse mieze I Inieineiu,
nusiuce piobIem. Kuko du obezbedIie juvne seivIse poiiebne VusIm kIIjeniImu I
du u Isio vieme osIguiuie miezu od nupudu? PosiojI vIse od jednog odgovoiu nu
ovo pIiunje, u kojI je piuvI, zuvIsI u poipunosiI od siunju bezbednosiI I nIvou
poiiebnIl seivIsu.
Slu |o irowull 21
lnlornol 22
KompunIje su koiIsiIIe iuzIIcIie meiode zu zusiIiu svjIl miezu, pocevsI od
jednosiuvnIl pu sve do veomu kompIeksnIl I iIzIcnIl zu sumu bezbednosi.
TukvI meiodI ukIjucuju sIedece (u zuvIsnosiI od iIzIku bezbednosiI, od nujnIzeg
ku nujvIsem):
1. SeivIsI lIIiiIiunju pukeiu
2. Jedun lIiewuII su unuiiusnjIm juvnIm seiveiImu
3. Jedun lIiewuII su spoIjnIm juvnIm seiveiImu
4. DvosiiukI lIiewuIII III DMZ lIiewuIII
5. FIiewuIII pieduzecu
. IskIjucenje su mieze
SIedecu pogIuvIju opIsuju svukI meiod do deiuIju, kuo I ieIuiIvne iIzIke I
piobIeme.
5ervisi fiItrironjo poketo
VecInu dobuvIjucu Inieinei usIugu omogucuvu lIIiiIiunje pukeiu kuo diugocenI
doduiuk svojIm seivIsImu zu musieiIje su zukupIjenIm IInIjumu. Zu nIsku
mesecnu cenu (oko 100 doIuiu) Vus dobuvIjuc Inieinei usIugu ce podesIiI lIie-
wuII nu lIIiiIiunje suobiucuju kojI Ide ku I Izvun Vuse mieze. NekI od dobuvIjucu
nude I pioxy I NAT seiveie, uII mozeie I duIje iIzIkovuiI bezbednosne nupude od
osiuIIl musieiIju koje opsIuzuje iuj ISP. SeiIie se du I lukeiI koiIsie ISP. SIIku 1.3
IIusiiuje kuko iudI seivIs zu lIIiiIiunje pukeiu.
5Iiko 1.3
Sctvis zd ji|rtitdnjc pdkcrd
PosiojI nIz piobIemu su seivIsImu zu lIIiiIiunje nu lIiewuIIu:
FIIieiI pukeiu se mogu ekspIouiIsuiI mnogo Iukse nego kompIeinI lIiewuIII
Vusu bezbednosi je u iukumu nekog iieceg. Njegove moiIvucIje ne moiuju
uvek du se poduduiuju su VusIm, pogoiovo ukoIIko dode do IeguInIl
nesugIusIcu Izmedu Vuse kompunIje I njegu
Ne mozeie pouzduno koniioIIsuiI odgovoinosi
NIje u nujboIjem Inieiesu ISP-u du Vus obuvesiI o kompiomIiovunju Vuse
mieze
Spoljna javna mreza
Privatna mreza Internet
Unutrasnja privatna mreza
ISP
Internet Service
Provider
Firewall
Usmerivac
Reiko gde posiojI mogucnosi uIuimIiunju I upozoiuvunju
KonlIguiucIju lIIiiIiunju je iezuk udmInIsiiuiIvnI posuo piepun mogucnosiI
zu giesku. Re-konlIguiucIju Vus moze cInIiI neivoznIm ukoIIko ISP ne
poseduje kvuIIieinu ielnIcku podisku kIIjeniImu
Veiovuino sie iunjIvI I zu osiuIe kIIjenie ISP-u, smesiene u okvIiImu Isiog
lIiewuIIu
FIIieiI pukeiu koje nudI ISP Imuju sIedece piednosiI:
Nemu kupIiuInog Izduiku unupied.
Cuk I uko bI ISP lIiewuII seivIs bIo kompIeiun, io I duIje ne bI bIIu dobiu Ideju
jei piepusiuie bezbednosi Vuse mieze diugoj oigunIzucIjI. Ne znuie nIsiu o
zuposIenImu u ISP-u I ne znuie koje meie ISP moze pieduzeiI ukoIIko Iz nekog
iuzIogu Iskisne sudskI spoi Izmedu Vuse I njIlove kompunIje. Tome dodujie ove
jednosiuvne cInjenIce: vecInu IjudI lukuje, u nujmunju iuku poviemeno, I mnogI
dobiI lukeiI iude zu Ijude kojI Il mogu dovesiI u ukcIju.
LokuIno koniioIIsIie I udmInIsiiIiujie sve bezbednosne seivIse zu Vusu miezu.
Nemojie piepusiIiI odgovoinosi zu bezbednosi Vuse mieze nekoj spoIjnoj
oigunIzucIjI. Nemojie se oIuko osIunjuiI nu lIIieie pukeiu kudu zeIIie zusiIiu
bezbednosiI od Inieineiu.
Fristup so jednim firewoIIom
NujjednosiuvnIje kompIeino bezbednosno iesenje nu giunIcumu Vuse mieze je su
jednIm lIiewuIIom. Su njIm I su jednom konekcIjom nu Inieinei, ceniiuIIzujeie
iucku koniioIe. SIIku 1.4 piIkuzuje iesenje bezbednosiI su jednIm giunIcnIm
lIiewuIIom
5Iiko 1.4
Jcddn jitcwd|| sd jdvnim sctvctimd orvotcnim kd lnrctncru
Mail server
Web server
Korisnik
NTserver
Firewall
Usmerivac
Haker
Klijent
Haker
Unutrasnja privatna mreza Spoljna privatna mreza Spoljna javna mreza
NT sever
Slu |o irowull 23
lnlornol 24
Imuceie piobIem ukoIIko nusiojIie du obezbedIie seivIse kuo sio su FTP suji
III web suji III ukoIIko zeIIie du opeiIseie su seiveiom zu posiu. Tudu moiuie III
du oivoiIie konekcIju kioz Vus lIiewuII do unuiiusnjeg losiu III du IzIozIie Vus
juvnI seivei nu Inieineiu bez zusiIie lIiewuIIu. Obu meiodu su iIzIcnu.
PiobIem su posiuvIjunjem juvnIl seiveiu (kuo sio su seiveiI zu posiu) Izvun
Vuseg lIiewuIIu je sio su iIzIcnI zu lukovunje. Mozeie podesIiI ove iucunuie du
ne sudize mnogo koiIsnIl InloimucIju, uII lukeiskI pokusujI mogu Iuko
piouziokovuiI "denIuI-ol-sevIce" III u nujmunju iuku piouziokovuiI siumoiu
ukoIIko lukeiI modIlIkuju Vuse web siiunIce. SIIku 1.5 piIkuzuje juvne seiveie
unuiui lIiewuIIu
5Iiko1.5
litcwd|| sd zdsriccnim jdvnim sctvctimd i dozvo|jcnim sdootdcdjcm
PiobIem su oivuiunjem puiunje kioz Vus lIiewuII, iudI pokusuju konekcIje su
spoIjne siiune, je sio posiojI mogucnosi du neodgovuiujucI pukeiI dospeju nu
Vusu unuiiusnju miezu ukoIIko podsecuju nu pukeie kojImu je dozvoIjen pioIuz.
To, iukode, znucI du lukei kojI pokusuvu du ekspIouiIse giesku seivIsu vIsIl
sIojevu, moze dobIiI koniioIu nud iucunuiom u okvIiu Vuse mieze - sio je veomu
opusnu sIiuucIju. Iz ovog iuzIogu veIIkI bioj oigunIzucIju posiuvIju juvne seiveie
Izvun svojIl lIiewuIIu I jednosiovno ne dozvoIjuvu bIIo kukve spoIjne konekcIje
kioz lIiewuII.
Spoljna javna mreza
NT sever Web server
Firewall
Haker
Haker
Korisnik
NTserver
Klijent
Mail server
Unutrasnja privatna mreza
Dvostruki firewoIIi i demiIitorizovone zone (DMZ)
Su dvu nIvou lIiewuII pioiekcIje mozeie smunjIiI IzIugunje juvnIl seiveiu iIzIku.
U osnovI, posiuvIie jedun lIiewuII nu Vusu Inieinei konekcIju I osIguiujie iuko
web seivei. To omogucuvu juku bezbednosi, u dozvoIjuvu konekcIone pokusuje
su Inieineiu seivIsImu koje piuzuie.
Izmedu iukve mieze I Vuse unuiiusnje mieze, smesiIie diugI lIiewuII su
jucom bezbednosnom poIIiIkom koju jednosiuvno ne dozvoIjunu pokusuje su
spoIjne siiune I skiIvu IdeniIie unuiiusnjIl kIIjenuiu. SIIku 1.6 piIkuzuje dvu
nIvou zusiIie mieze su dvu lIiewuIIu
5Iiko 1.
uvd jitcwd||d posrdv|jcnd rdko dd srirc komp|crnu mtczu
NujvecI bioj lIiewuII pioIzvodu dozvoIjuvu upoiiebu demIIIiuiIzovunIl zonu,
koje omogucuvuju lunkcIonuInosi posedovunju dvu lIiewuIIu iuko sio sudize
iuzIIcIie bezbednosne poIIiIke zu svukI posiuvIjenI Inieilejs nu lIiewuIIu. Su iiI
posiuvIjenu Inieilejsu -spoIjnu miezu, unuiiusnju miezu I miezu juvnog
seiveiu - mozeie podesIiI Vusu bezbednosnu poIIiIku du bIokIiu pokusuje
konekcIje nu Vusu unuiiusnju miezu, uII mozeie I zuobIcI pojedIne pioiokoIe do
VusIl juvnIl seiveiu. Ovo omogucuvu lunkcIonuInosi dvu lIiewuIIu koiIscenjem
sumo jednog pioIzvodu. Ponekud se koiIsiI I nuzIv rtosrtuko udom|jni jitcwd||.
SIIku 1.7 piIkuzuje iiosiuko udomIjenI lIiewuII su iuzIIcIiIo podesenIm
bezbednosiImu zu svuku miezu.
Spoljna javna mreza
NT sever Web server
Korisnik
NT sever
Firewall
Firewall
Haker
Mail server
Unutrasnja privatna mreza Spoljna privatna mreza
Slu |o irowull 25
lnlornol 2
5Iiko 1.7
uMZ jitcwd|| omogucdvd tdz|iciru oczocdnosr zd tdz|icirc portcoc
NAFOMENA
Ukoliko zolilo du obozbodilo |uvno sorviso i zuslililo unulrusn|u mrozu, uvok korislilo
DMZ irowull ili dvoslruko irowullo. Svuku bozbodnosnu poliliku zuhlovu svo| sopslvoni
irowull ili mrozni inloro|s.
Enterprise firewoII
EnieipiIse lIiewuIII su pioIzvodI kojI deIe jednu ceniiuInu lIiewuII poIIiIku nu
vIse lIiewuIIu. EnieipiIse lIiewuIII Vum dozvoIjuvuju du zudizIie ceniiuInu
koniioIu bezbednosne poIIiIke, bez biIge o iome du II je poIIiIku koiekino
ImpIemeniIiunu nu svukom lIiewuIIu u Vusoj oigunIzucIjI. PoIIiIku lIiewuIIu je
obIcno zusnovunu nu bezbednosiI iudne siunIce, u zuiIm iepIIcIiunu nu svukI
lIiewuII u okvIiu Vuse oigunIzucIje, koiIsiecI neke od meiodu bezbednosne
uuieniIlIkucIje. SIIku 1.8 piIkuzuje pieuzece su vIse lIiewuIIu, po jedun nu svukoj
Inieinei konekcIjI.
Haker
Spoljna javna mreza Spoljna privatna mreza Unutrasnja privatna mreza
NT sever
NT sever
Klijent
Web server
Korisnik
Firewall
Mail server
Haker
5Iiko 1.8
\isc jitcwd||d u ptcduzccu
Diskonekcijo
Du bIsie koiIsnIcImu ponudIII seivIs nu Inieineiu I piIsiup unuiiusnjoj miezI,
nemojie povezIvuiI Vusu piIvuinu miezu nu Inieinei. NujboIje je ImuiI Il
odvojene. SIIku 1.9 piIkuzuje unuiiusnju miezu koju nIje povezunu su
Inieineiom.
5Iiko 1.9
3czocdnosni modc| diskonckcijc nudi ndjvccu zdsriru od upddd sd lnrctncrd.
Spoljna javna mreza
NT sever
NT sever
Web server
Korisnik
Web klijent
(Usmerivac)
Haker
Klijent
Haker
Mail server
Unutrasnja privatna mreza Spoljna privatna mreza
INTERNACICNALNA KCRPCRACI!A
Malasya
proizvodnja
USA
marketin
i prodaja
velika ritanija
finansije i
administracija
!apan
R & D
Internet
Slu |o irowull 27
lnlornol 2
Posio ne posiojI vezu Izmedu Inieineiu I unuiiusnje mieze, ovIm meiodom
se dobIju poipunu bezbednosi. JuvnI seiveiI zu web, FTP I posiu se nuIuze
zujedno su nekoIIko kIIjenuiu nu muIom mieznom segmeniu, povezunom nu
Inieinei. KIIjeniske iudne siunIce sudize e-muII, news I web pieiiuzIvuce, uII ne
I oseiIjIve poduike. Du bI pioveiuvuII eIekiionsku posiu, pieiiuzIvuII web III iudIII
bIIo siu diugo nu Inieineiu, zuposIenI moiuju docI do spoIjnIl kIIjeniskIl iudnIl
siunIcu.
Ovuj meiod Imu iiI veomu vuzne piednosiI:
PiIvuinu miezu je upsoIuino bezbednu. PoducI se ne mogu sIobodno
pienosIiI Izmedu spoIjne I unuiiusnje mieze. Mozeie uzeiI u obzIi
posiuvIjunje pienosIvog medIjumu zu skIudIsienje poduiuku veIIkog
kupucIieiu nu jednom od kIIjenuiu ukoIIko posiojI poiiebu zu pienosom
veIIkIl duioieku (Ipuk, ovo moze bIiI bezbednosnI piobIem).
Poipuno je bespIuino. Ne zulievu posebun solivei I solIsiIcIiunI luidvei.
Cuk mozeie posiuvIiI zusiuieIe iucunuie nu mesio kIIjeniskIl iudnIl
siunIcu.
PiedsiuvIju piIiodun nucIn du spiecIie zuposIene u gubIjenju viemenu nu
suilovunje po webu I skIdunju sudizuju su Inieineiu piouziokujucI iIme
nesiubIInosi sIsiemu.
I nuiuvno, posiojI jednu veIIku smeinju: zuposIenI mize ovuj nucIn. OnI
moiuju piecI odiedenI pui do piIsiupnIl iudnIl siunIcu, koje su kuiukieiIsiIcno
IocIiune nu jednom ceniiuInom podiucju. Pienosenje poduiuku, iukode,
piedsiuvIju piobIem. Moze sivoiIiI iukozvunu "usku giIu" (boiiIenecks) ukoIIko
ne posiojI dovoIjun bioj piIsiupnIl siunIcu. MnogI koiIsnIcI jednosiuvno nece
koiIsiIiI juvne seivIse nu ovuj nucIn, sio smunjuje elIkusnosi eIekiionske posie I
diugIl vuznIl posIovnIl uIuiu.
I nu kiuju, meiod dIskonekcIje je nujbezbednIjI I nujneelIkusnIjI nucIn du
svoje zuposIene povezeie nu Inieinei.
UFOZORENJE
Ukoliko korislilo bozbodnosni modol diskonokci|om, mozo so dosili du \usi zuposloni
prokrso poliliku bozbodnosli i povozu so modomom nu lnlornol. 8udilo sigurni du \usu
bozbodnosnu poliliku lo sprocuvu i du zuposloni ruzumo|u zuslo slo izubruli bus ovu|
modol.
Ne povezujie svoju miezu nu juvne mieze ukoIIko posiojI nucIn du se io
Izbegne. Du bIsie povezuII svoje koiIsnIke su Inieineiom, koiIsiIie mieznI modeI
dIskonekcIjom. Du bIsie ponudIII InloimucIje o svojoj kompunIjI, koiIsiIie FTP I
web seivIse juvnIl ugencIju iudIje nego iucunuie nu unuiiusnjoj miezI. Ovukuv
nucIn Vus siedI iIzIku neovIuscenog piIsiupu Vusoj miezI.
FRlMER
Nocini koriscenjo firewoIIo
Neduvno su nus unguzovuII du Izvedemo lukeiskI nupud u cIIju pioveie zusiIie
mieze jedne kompunIje "sIuvnog Imenu", koju je unguzovuIu diugu muIiInucIonuInu
kompunIju zu zusiIiu. SeivIs bezbednosiI se susiojuo od snuzne musIne buzIiune nu
UNIX opeiuiIvnom sIsiemu posiuvIjene nu siiunI kIIjeniu, u posuo udmInIsiiucIje,
nudgIedunje lIiewuIIu I lukeiskIl nupudu se obuvIjuo su uduIjene IokucIje.
Kudu smo poceII nupud, koiIsiIII smo iiudIcIonuInu meiodu skenIiunju
poiiovu du bIsmo odiedIII siu se sve moze vIdeiI nu miezI kIIjeniu. SkenIiunje
poiiovu se Iuko deiekiuje I jedun je od nupudu zu kojI pioIzvoduc zusiIie piuzu
nudgIedunje. RezuIiui je oikiIo mogucu sIubosi (poii 139 je bIo oivoien ku
jednom od unuiiusnjIl seiveiu zbog "piomene bezbednosne poIIiIke" - vIse o
iome kusnIje). ZuiIm smo koiIsiIII jos jedun uobIcujenI meiod zu ekspIouiIsunje
ovukve sIubosiI, uuiomuisko pogudunje IozInke pieko Inieineiu, uz pomoc
uobIcujenIl IIsiI IozInkI. Ovu meiodu je, iukode, Iuko deiekiovuiI I posebno je
nuvedenu nu IIsiI lukeiskIl ielnIku zu koje pioIzvoduc seivIsu nudI
nudgIedunje I zusiIiu. LIsiu IozInkI koju smo koiIsiIII su specIjuIno kieIiuII lukeiI
unuIIzom sioiIne lIIjudu ekspIouiIsunIl koiIsnIckIl nuIogu. HukeiI su kieIiuII
IIsiu piemu siuiIckom iungIiunju uobIcujenosiI IozInkI I po iom iedosIedu
nupiuvIII IIsiu. Dok smo mI jos uvek objusnjuvuII kIIjeniu nemogucosi pogudunju
ovom meiodom ukoIIko se koiIsie sIozene IozInke, nus skenei zu uuiomuisko
pogudunje IozInke je vec, uz pomoc geneiIsune IIsie, pogodIo IokuInu
udmInIsiiuioisku IozInku. Kudu smo piegIeduII sudizuj luid dIsku njIlovog web
seiveiu, kompIeiIiuII smo Izvesiuj. KIIjeni je jos uvek cekuo obuvesienje seivIsu
zu nudgIedunje bezbednosiI. Obuvesienje nIkudu nIje siIgIo. Nupokon, nus kIIjeni
je odusiuo od cekunju pozIvu posIe dve nedeIje I oipusiIo piovujdeiu usIuge.
U jednom diugom sIucuju, jos jednu nusu musieiIju se osIunjuIu nu seivIs
lIIiiIiunju pukeiu svog ISP-u. FIimu kIIjeniu je bIIu jos uvek muIu I neiuzvIjenu,
iuko du se nuIuzIo u sIubIjoj lInunsIskoj sIiuucIjI. MI se nIsmo mnogo iome
pioiIvIII .
Kuo deo nusIl seivIsu zu njegu, piuvIII smo peiIodIcne lukeiske nupude nu
njegov seivei du bIsmo se iIme osIguiuII du ne posiojI Iuk meiod zu ekspIouiucIju
kojIm se moze dobIiI piIsiup. Nukon sio smo poividIII Ispiuvnosi usIuge
nekoIIko puiu, jedun sken je pokuzuo IznenudnI pud seivIsu, oikiIvujucI poiiove
NeiBIOS sesIje njIlovog NT seiveiu Inieineiu. MupIiuII smo dIiekino jedun diujv
nu njIlovom seiveiu pieko Inieineiu!
PunIcnI pozIv njIlovom ISP-u je poividIo du je Iz nekog iuzIogu lIIiei bIo
IskIjucen. ISP num nIje moguo objusnIiI zusio se ovo desIIo I koIIko je dugo
lIIiei bIo IskIjucen. Jednosiuvno su ponovo ukIjucIII seivIs lIIiiIiunju pukeiu I
IzvInIII se.
Slu |o irowull 29
lnlornol 30
Nus kIIjeni je odIucIo du je poiiebno du sumI udmInIsiiIiuju bezbednosi,
posio se ISP-u ocIgIedno nIje mogIo veiovuiI. Du bIsmo smunjIII iioskove nu
nujmunjI mogucI nIvo, piepoiucIII smo lIiewuII zusnovun nu LInux opeiuiIvnom
sIsiemu III sumo iucunui su LInux opeiuiIvnIm sIsiemom. KIIjeni se nIje bus
snuIuzIo su koiIsnIckIm Inieilejsom, pu je siogu odIucIo du piede nu iesenje
su lIiewuIIom zusnovunom nu WIndows NT opeiuiIvnom sIsiemu. NubuvIII
smo musInu koju pokiece WIndows NT WoiksiuiIon I InsiuIIiuII
CleckpoIniFIiewuII-1. Iuko je ovo iesenje skupIje, Inieilejs kojI piuzu je duIeko
IuksI zu upoiiebu. UspeII smo I du obucImo kIIjeniu udmInIsiiucIjI poIIiIke
bezbednosiI bez pomocI suveinIku, sio je doduino smunjIIo ukupne iioskove.
OnI sudu Imuju pouzdunu I bezbednu vezu su Inieineiom.
You might also like
- The Subtle Art of Not Giving a F*ck: A Counterintuitive Approach to Living a Good LifeFrom EverandThe Subtle Art of Not Giving a F*ck: A Counterintuitive Approach to Living a Good LifeRating: 4 out of 5 stars4/5 (5810)
- The 7 Habits of Highly Effective PeopleFrom EverandThe 7 Habits of Highly Effective PeopleRating: 4 out of 5 stars4/5 (353)
- The 7 Habits of Highly Effective People Personal WorkbookFrom EverandThe 7 Habits of Highly Effective People Personal WorkbookRating: 4 out of 5 stars4/5 (2515)
- The Iliad: The Fitzgerald TranslationFrom EverandThe Iliad: The Fitzgerald TranslationRating: 4 out of 5 stars4/5 (5646)
- The Odyssey: (The Stephen Mitchell Translation)From EverandThe Odyssey: (The Stephen Mitchell Translation)Rating: 4 out of 5 stars4/5 (7771)
- The Subtle Art of Not Giving a F*ck: A Counterintuitive Approach to Living a Good LifeFrom EverandThe Subtle Art of Not Giving a F*ck: A Counterintuitive Approach to Living a Good LifeRating: 4.5 out of 5 stars4.5/5 (20064)
- How to Win Friends and Influence People: Updated For the Next Generation of LeadersFrom EverandHow to Win Friends and Influence People: Updated For the Next Generation of LeadersRating: 4 out of 5 stars4/5 (2327)
- Pride and Prejudice: Bestsellers and famous BooksFrom EverandPride and Prejudice: Bestsellers and famous BooksRating: 4.5 out of 5 stars4.5/5 (20479)
- Never Split the Difference: Negotiating As If Your Life Depended On ItFrom EverandNever Split the Difference: Negotiating As If Your Life Depended On ItRating: 5 out of 5 stars5/5 (3301)
- Wuthering Heights Complete Text with ExtrasFrom EverandWuthering Heights Complete Text with ExtrasRating: 4 out of 5 stars4/5 (9955)
- The Picture of Dorian Gray (The Original 1890 Uncensored Edition + The Expanded and Revised 1891 Edition)From EverandThe Picture of Dorian Gray (The Original 1890 Uncensored Edition + The Expanded and Revised 1891 Edition)Rating: 4 out of 5 stars4/5 (9054)
- Art of War: The Definitive Interpretation of Sun Tzu's Classic Book of StrategyFrom EverandArt of War: The Definitive Interpretation of Sun Tzu's Classic Book of StrategyRating: 4 out of 5 stars4/5 (3321)
- Anna Karenina: Bestsellers and famous BooksFrom EverandAnna Karenina: Bestsellers and famous BooksRating: 4 out of 5 stars4/5 (7503)
- Habit 1 Be Proactive: The Habit of ChoiceFrom EverandHabit 1 Be Proactive: The Habit of ChoiceRating: 4 out of 5 stars4/5 (2558)
- Wuthering Heights (Seasons Edition -- Winter)From EverandWuthering Heights (Seasons Edition -- Winter)Rating: 4 out of 5 stars4/5 (9974)
- Habit 3 Put First Things First: The Habit of Integrity and ExecutionFrom EverandHabit 3 Put First Things First: The Habit of Integrity and ExecutionRating: 4 out of 5 stars4/5 (2507)
- The 7 Habits of Highly Effective PeopleFrom EverandThe 7 Habits of Highly Effective PeopleRating: 4 out of 5 stars4/5 (2570)
- American Gods: The Tenth Anniversary EditionFrom EverandAmerican Gods: The Tenth Anniversary EditionRating: 4 out of 5 stars4/5 (12954)
- Habit 6 Synergize: The Habit of Creative CooperationFrom EverandHabit 6 Synergize: The Habit of Creative CooperationRating: 4 out of 5 stars4/5 (2499)
- How To Win Friends And Influence PeopleFrom EverandHow To Win Friends And Influence PeopleRating: 4.5 out of 5 stars4.5/5 (6534)
- The Picture of Dorian Gray: Classic Tales EditionFrom EverandThe Picture of Dorian Gray: Classic Tales EditionRating: 4 out of 5 stars4/5 (9762)
- The Iliad: A New Translation by Caroline AlexanderFrom EverandThe Iliad: A New Translation by Caroline AlexanderRating: 4 out of 5 stars4/5 (5719)
