SEMINARSKI RAD

Zatita RM(Firewalls)

www.BesplatniSeminarskiRadovi.com

SADRAJ
POGLAVLJE I 1. ta su firewall-oli.............................................................................................1

POGLAVLJE II 2. Podjela potencijalnih napadaa.........................................................................3 Zatita lokalne mree od tetnon djelovanja 'napadaa'...................................3 Zatita od tetnog djelovanja lokalnih korisnika..............................................4 Naplatna rampa ......................................................................................... 5 Osnovne koncepcije firewall skeniranja paketa.............................................. 7 Statiko filtriranje paketa (eng. stateless inspection).............................................. 7 Filtriranje paketa zavisno o vrsti protkola...................................................... 7 Filtriranje paketa zavisno o IP adresama odredita tj izvorita...................... 7 Filtriranje paketa zavisno o odredinim tj izvorinim portovima ................. 7 Filtriranje paketa zavisno o ruti usmjeravanja paketa (Eng.Source routing) ... 8 Filtriranje paketa zavisno o broju fragmentiranog paketa.............................. 8 Osnovne firewall konfiguracije ..................................................................... 9 Dual-Homed gateway .................................................................................... 9 Screened host gateway..................................................................................... 10 Virtualne privatne mree (VPN-Virtual private networks).............................11 Konfiguracija mree bez servera ...................................................................12 Konfiguracija mree sa jednim serverom i jednim firewalom ......................12 Konfiguracija mree sa serverima i dva firewall-a ..................................14 Konfiguracija mree sa demilitarizovanom zonom .........................................15 Firewall-i zasnovani na hostu ..........................................................................16 Izolacijske mree ...............................................................................................17

2.1 2.2 2.3 2.4 2.4.1 2.4.2 2.4.3 2.4.4 2.4.5 2.4.6
2.5

2.5.1 2.5.2 2.5.3 2.5.4 2.5.5 2.5.6 2.5.7 2.5.8 2.5.9

POGLAVLJE III

3.1 3.2 3.2.1 3.2.2 3.2.3 3.3 3.4

Praktian primjer realne konfiguracije firewall-a......................................................... 18

Halted firewall-i................................................................................................20 Uopteno o halted firewallu...............................................................................21 Prednost halted firewall-a .................................................................................22 Nedostaci halted firewall-a................................................................................23 Firewall programi za personalne raunare.........................................................24 Zakljuak...........................................................................................................26 Literatura ..........................................................................................................27

POGLAVLJE I
1. UVOD
1.1.TA SU FIREWALL-OLI? Firewall je sigurnosni element smjeten izmeu neke lokalne mree i javne mree (Interneta), a koji je dizajniran kako bi zatitio povjerljive, korporativne i korisnike podatke od neautoriziranih korisnika, (blokiranjem i zabranom prometa po pravilima koje definira usvojena sigurnosna politika). Nije nuno da svi korisnici u LAN-u imaju jednaka prava pristupa Internet mrei.Postavjanjem Firewall ureaja izmeu dva ili vie mrenih segmenata moe se kontrolirati i prava pristupa pojedinih korisnika pojedinim djelovima mree. U takvom sluaju

Firewall je dizajniran da doputa pristup valjanim zahtjevima, a blokira sve ostale. Firewall ujedno predstavlja idealno rjeenje za kreiranje Virtualne Privatne mree jer stvarajui virtualni tunel kroz koji putuju kriptirani podaci. (omoguuje sigurnu razmjenu osjetljivih podataka meu dislociranim korisnici)Firewall je servis (koji se tipino sastoji od firewall ureaja i Policy-a ( pravilnika o zatiti), koji omoguuje korisniku filtriranje odreenih tipova mrenog prometa sa ciljem da povea sigurnost i prui odreeni nivo zatite od provale. Osnovna namjena Firewall-a je da sprei neautorizovani pristup sa jedne mree na drugu. U sutini, ovo znai zatitu unutranje mree od Internet-a. Ako va sistem raspolae Firewall-om, to znai da je odluka o tome ta je dozvoljeno, a ta nije - ve donijeta. Ove odluke su u direktnoj vezi sa politikom sigurnosti vaeg informacionog sistema. Pri planiranju ponude informacionih servisa, politika sigurnosti odreuje opcije konfiguracije servisa. Osnova rada Firewall-a je u ispitivanju IP paketa koji putuju izmeu klijenta i servera, ime se ostvaruje kontrola toka informacija za svaki servis po IP adresi i portu u oba smjera.Za Firewall je tipian i kompromis izmeu sigurnosti i lake upotrebe. Stav da "sve to nije dozvoljeno je zabranjeno" zahteva da se svaki novi servis individualno omoguava. Firewall je odgovoran za vie vanih stvari unutar informacionog sistema: Mora da implementira politiku sigurnosti. Ako odreeno svojstvo nije dozvoljeno, Firewall mora da onemogui rad u tom smislu. Firewall treba da belei sumnjive dogaaje. Firewall treba da upozori administratora na pokuaje proboja i kompromitovanja politike sigurnosti. U nekim sluajevima Firewall moe da obezbedi statistiku korienja. Firewall moe biti softverski ili hardverski. Softverski firewall omoguuje zatitu jednog raunara , osim u sluaju kada je isti raunar predodreen za zatitu itave mree. Hardverski firewall omoguuje zatitu itave mree ili odreenog broja raunara. Za ispravan rad firewall-a, potrebno je precizno odrediti niz pravila koja definiraju kakav mreni promet je doputen u pojedinom mrenom segmentu. Takvom politikom se odreuje nivo zatite koji se eli postii implementacijom firewall usluge.

POGLAVLJE II
2. PODJELA POTENCIJALNIH 'NAPADAA' 2.1. ZATITA LOKALNE MREE OD TETNOG DJELOVANJA 'NAPADAA' Firewalli koji nemaju vrste i stroge politike prema dolaznim paketima podloni su razliitim vrstama napada. Ukoliko firewall ne podrava kreiranje virtualnih privatnih mrea, a organizacija eli omoguiti pristup sa odreenih IP adresa lokalnoj mrei, mogue je konfigurirati firewall da proputa pakete sa tono odreenim izvorinim IP adresama. Ali takav nain postavljanja sadri brojne nedostatke. Na primjer napada se moe domoi paketa te saznati logiku adresu sa kojom je dozvoljeno spajanje na lokalnu mreu. Nakon toga napada moe kreirati pakete kojim kao izvorinu stavlja logi ku adresu raunara kojem je dozvoljeno spajanje i tako pomou posebno prilagoenih paketa nanijeti tetu lokalnoj mrei. Firewall je potrebno konfigurisati tako da onemoguava razliite postojee napade. Veina dananjih proizvoaa firewalla ponosno istie na koje napade

su njihovi firewalli otporni, ali nove vrste napada se svakodnevno razvijaju i sve su kompliciraniji i kompleksniji. Ipak svaki firewall bi trebao biti otporan na poznate napade kao to su sljedei navedeni.

Address Spoofing napad omoguava da paket bude proslijeen sa vanjskog okruenja na neko od internih raunara ukoliko napada kao izvorinu adresu uzme neku od adresa unutar lokalne mree. U tom sluaju firewall je moda konfigurisan da omoguava prolazak paketa i time ciljni raunar moe primiti posebno prilagoeni paket. Da bi se ovakva vrsta napada onemoguila potrebno je onemoguiti prosljeivanje paketa koji kao izvorinu adresu imaju neku od lokalnih adresa, a kao ulazno okruenje ono okruenje koje je spojeno na Internet. Smurf napad spada u grupu napada koje imaju za cilj onemoguavanje rada pojedinih servera i raunara, tzv. DoS napad (eng. Denial of Service). Napada odailje ICMP echo request paket na broadcast adresu cijele lokalne mree. Time su adresirana svi raunari unutar lokalne mree. Kao odredite navodi se ciljni raunar koji se eli onesposobiti velikim brojem odgovora. Za odbranu od ovakve vrste napada dovoljno je u konfiguracijskoj datoteci firewalla onemoguiti broadcast paket.

Syn-Flood napad zasniva se na napadaevom slanju velikog broja poetnih konekcijskih TCP paketa koji imaju postavljenu SYN zastavicu, i ignoriranjem TCP odgovora sa postavljenim SYN i ACK zastavicama. Time su resursi ciljanog raunara zaokupljeni odgovaranjem na pakete. Da bi se sprijeio ovakav oblik napada potrebno je ograniiti na firewallu broj dolazeih TCP paketa. Port-Scanner napad zasniva se na otkrivanju otvorenih TCP i UDP portova slanjem SYN ili FIN paketa na ciljane portove i ekanjem na RST odgovor. Potrebno je ograniiti broj takvih ispitivanja. Ping-of-Death napad moe uzrokovati ruenje operativnog sistema, ukoliko se na raunar usmjeri veliki broj ICMP echo zahtjeva. Najbolje rjeenje je onemoguavanje echo-request paketa, a alternativo rjeenje je ogranienje broja ICMP echo zahtjeva.

2.2.ZATITA OD TETNOG DJELOVANJA LOKALNIH KORISNIKA

Prilikom konfigurisanja firewalla najvea se panja posveuje obradi dolaznih paketa. Danas sve vie komercijalnih firewalla omoguava bolju kontrolu rada uposlenika. Oni su konfigurisani na nain da ne dozvoljavaju lokalnim korisnicima pristup odreenim materijalima. To mogu biti porno web stranice, web stranice koje propagiraju mrnju, web stranice za skidanje raznih video i audio zapisa itd... S obzirom na injenicu da takve stranice sve ee nastaju potrebno je osvjeavati podatke unutar firewalla, tj. imati pretplatu kod distributera takvih informacija. Organizacijama je danas veoma bitno da ogranie svojim uposlenicima preveliku slobodu na Internetu kako zaposlenici ne bi nanijeli tetu ugledu organizacije posjeivanjem odreenih web stranica (npr. djeja pornografija), ali i neobavljanjem

posla za koji su zadueni. Pri uvoenju restrikcija potrebno je paziti da se ne pretjera sa ogranienjima, to bi moglo imati kontraefekt kod uposlenika . Uposlenici bi u takvoj situaciji bili u nemogunosti da pristupe materijalima koji im pomau pri radu, ili bi takav tretman kod njih uzrokovao tzv. pasivni otpor prema radu. Prilikom konfiguracije firewalla mogue je primijeniti razliita pravila ogranienja spajanja lokalnih korisnika na Internet. Prvi koncept bio bi da se prema svim korisnicima lokalne mree jednako odnosi, tj. da su svi u istom poloaju. Isto tako mogue je lokalna raunara svrstati u klase zavisno o njihovim IP adresama. Na taj nain mogue je samo jednom sektoru unutar organizacije omoguiti nesmetani pristup Internetu, a ostalim ogranien ili nikakav. Firewall moe biti konfigurisan na nain da proputa sve pakete osim paketa koji su usmjereni prema raunarima sa odreenim IP adresama u Internetu. Na tim se raunarima nalaze materijali koji nisu potrebni uposlenicima (porno materijali, audio zapisi, itd...). Mogue je primijeniti i drugaiji princip filtriranja paketa. Proputaju se paketi koji su namijenjeni samo raunarima koji imaju tono odreene IP adrese, a svi ostali paketi koji dolaze sa lokalne mree ne prosljeuju se. Takav koncept mogu primijeniti organizacije koje svojim uposlenicima dozvoljavaju pristup samo prema raunarima na kojima se nalaze podaci bitni za rad uposlenika. 2.3. "NAPLATNA RAMPA" Onog trenutka kada se poruka "Veryfing User Name and Password" ukloni sa ekrana i pone da odbrojava nae vrijeme na Internetu, na provajder nam je dodijelio jedinstvenu adresu koju u tom trenutku imamo samo mi na Internetu i niko drugi - to je tzv. Ip adresa ili niz od 4 broja izmedju 0 i 255 razdvojenih takom (npr. 213.240.4.100). Postoji mnogo raunara na Internetu koji su prikaeni 24h i imaju svoju IP adresu koja se ne mijenja, ali veina nas, koji se prikaimo s vremena na vrijeme da razmijenimo potu ili prosurfujemo Internetom dobijamo tzv. dinamicku IP adresu (svaki provajder ih ima nekoliko i kada se neko prikai dobije prvu slobodnu). Ove adrese (odnosno brojevi) nam mogu pomoi da identifikujemo sagovornika, jer se za one stalne tano zna kome pripadaju dok se za dinamike vodi evidencija kod provajdera kome su bile dodeljene u odredjenom trenutku. Kada elimo da pristupimo nekom raunaru, sve to je potrebno je da otkucamo njegovu adresu, ali da bi nam prekratili muke, uvedeni su tzv. DNS (Domain Name Server) raunari koji prevode adrese u IP adresu i obrnuto. Sama adresa nije dovoljna, jer je potrebno obezbijediti posebne kanale za komunikaciju kako ne bi dolo do zabune. Zbog toga su uvedeni portovi -zamislimo ih kao autoput na ulazu u grad sa 65536 traka (koliko god pomisao na puevske brzine u domaim uslovima ometa sliku autoputa) i dva raunara se uvek dogovoraju kojim e se trakama odvijati saobraaj. Poto je standardizacija uvek poeljna, portovi sa brojevima manjim od 1024 su rezervisani i imaju specijalnu namjenu (znai samo za posebna "vozila") dok su oni preostali namenjeni korisnicima. Tako npr. kada skidamo neke fajlove sa ftp servera, na raunar e dotinom slati sve komande samo na port 21, a dotini e ih samo tamo i oekivati; fajlovi e pristizati na neki proizvoljni port na naem raunaru (sa brojem veim od 1024) - ponekad i na vie odjednom. To objanjava kako je mogue istovremeno surfovati na tri stranice, skidati nekoliko fajlova, slati i primati potu i atovati. Problem je to mi sa obinim Windowsom nemamo nikakvu kontrolu nad saobraajem preko portova - podaci ulaze i izlaze a mi nemate pojma ni odakle su doli ni gdje idu . Zato je potrebno postaviti "naplatnu rampu" i "saobraajce" - a to je upravo firewall. Sve to stie sa Interneta (ili lokalne mreze) ili odlazi sa naeg raunara, prolazi preko firewalla i dotini program odluuje (uz nau pomo) da li e to smeti da proe ili ne. Nekima je opet najvea zabava u ivotu da takvim nepaljivim ljudima obriu sve na raunaru ili urade neku slinu podlost. A kako oni znaju da li su neka vrata otvorena i koja su to od onih 65536? Jedan nain je da u na raunar ubace virus ili trojanskog konja (preko e-maila, pomou programa u koje je zamaskiran uljez ili lino instalirajui program na naem raunaru) koji e otvoriti neki unaprijed odredjeni port. Sve to zatim

preostaje dotinom hakeru je da krene da adresira sve raunare kod nekog provajdera (rekli smo da svaki provajder ima nekoliko IP adresa koje dodeljuje svojim korisnicima a hakeri znaju u kom se opsegu kreu te adrese) i da uz pomo odgovarajueg softwarea provjeri da li je taj port otvoren. To se naziva TCP Port Scaning i uglavnom nije tetno po na raunar (naravno -ako nemamo trojanca i imamo firewall). Drugi nain je da pokua na silu da upadne kroz neki od portova - to se naziva Denial of Service attack (skraceno DoS attack). Radi se o tome da je neke programe mogue toliko zbuniti suvie velikim podatkom ili dovoljnim brojem ponavljanja neke instrukcije da se on jednostavno srui i sa sobom povue ceo Windows, ili da pone da izvrava neke instrukcije koje inae ne bi sproveo u "normalnom" stanju (poput hipnotisanog oveka). U takve programe spadaju i nai browseri, programi za potu, chat i mnogi drugi. I sam Windows esto nee odoljeti napadima na neki port sa brojem ispod 1024 i tako e se na raunar, hteli mi to ili ne, pretvoriti u ftp, POP3, telnet ili neki drugi server koji je u slubi dotinog hakera. Svaki dobar firewall e prepoznati bilo koji od opisanih napada i sprijeiti napadaa da bilo ta preduzme (nee mu dozvoliti pristup preko odredjenog porta iako je ovaj otvoren). Glavni problem prilikom korienja firewalla je prepoznati da li je dotina IP adresa prijateljska ili ne, dali je port koji se upravo otvorio pod kontrolom nekog virusa ili to na browser uspostavlja komunikaiju sa HTTP serverom i sl. Neki to odrade automatski i preduzmu odgovarajue akcije ako se radi o napadu, a nama poalju odgovarajue obavetenje (BlackICE), dok drugi rade poluautomatski i odmah prijave svaku sumnjivu stvar i od korisnika zahtevaju da odlui ta dalje (ATGuard). Nedostatak prvih je to prijavljuju dosta lanih uzbuna (ak i samog korisnika okarakteriu kao napadaa), a nedostatak drugih je to je korisnik glavni krivac kada bez razloga izblokira neki svoj program ili stvori suvie filtera pa ne moze da uspostavi vezu sa nekim serverom. Cijela umjenost rada sa ovim programima se dakle sastoji u razlikovanju normalne komunikacije od bezazlenih skeniranja portova, zaglupljivanja servera (kada pokuaju da nam poalju podatke na neki drugi port pored onog dogovorenog), pokuaja upada u na raunar kada neki virus uspostavi vezu sa svojim gazdom i pokuaja nekog hakera da brutalnom silom uleti u na raunar.

2.4 OSNOVNE KONCEPCIJE FIREWALL SKENIRANJA PAKETA

2.4.1 Statiko filtriranje paketa (eng. stateless inspection) Filtriranje paketa osnovni je dio svakog firewall. U tom se dijelu odluuje da li mreni paket treba biti proslijeen na drugu mreu ili ne. Pri tome se kod statikog filtriranja pregledavaju razliiti podaci:

Vrsta protokola:1.IP adrese odredita i izvorita 2.Odredini tj. izvorini port 3.Informacije o tablici usmjeravanja paketa 4.Broj fragmentiranog paketa 2.4.2 Filtriranje paketa zavisno o vrsti protokola

Protokolno filtriranje paketa zasniva se na sadraju IP protokolnog polja. Protokol koji se koristi unutar paketa odreuje da li paket treba proslijediti ili ne. Neki od protokola su: 1.User Datagram Protocol (UDP)

2.Transmission Control Protocol (TCP) 3.Internet Control Message Protocol (ICMP) 4.Internet Group Management Protocol (IGMP) 2.4.3 Filtriranje paketa zavisno o IP adresama odredita tj. izvorita

Filtriranje zavisno o IP adresama omoguava zabranu konekcija od ili prema odreenim raunarima i/ili mreama, zavisno o nihovim IP adresama. Ukoliko administrator eli zatiti mreu od neovlatenih zlonamjernih napadaa, on moe zabraniti promet mrenih paketa koje kao odredite imaju odreene IP adrese. To je poprilino beskorisno jer napadai mogu promijeniti IP adrese. Zbog toga je puno bolje dozvoliti pristup mrei samo odreenim paketima koji kao odredite imaju odreene sigurne IP adrese. Normalno ukoliko se napada domogne i tog popisa on moe paketima pridruiti kao odredinu IP adresu neku iz tog popisa.

2.4.4

Filtriranje paketa zavisno o odredinim tj. izvorinim portovima

Prilikom spajanja jednog raunara na drugo i jedan I drugi koriste odreene pristupne portove. Sve ukupni broj pristupnih portova je 65536. Prva 1024 porta su rezervirana za odreene aplikacije i ne mogu se koristiti za neke druge. Primjerice HTTP koristi port 80, FTP port 20 i 21, DNS port 53 itd... Administrator zavisno o aplikacijama moe ograniiti pristup mrenim paketima. Neki aplikacijski protokoli su izrazito osjetljivi na mrene napade pa je potrebno onemoguiti pristup istima (Telnet, NetBIOS Session, POP, NFS, X Window, ...). Ti portovi su osobiti osjetljivi na napad zbog velikog nivoa kontrole koju pruaju napadau. Neki drugi portovi mogu biti iskoriteni da bi se unitile odreene bitne informacije. Takav port je DNS. 2.4.5 Filtriranje paketa zavisno o ruti usmjeravanja paketa (eng. Source Routing)

Source routing je proces odreivanja tono odreene rute kojom paket treba proi prilikom putovanja prema cilju odnosno prilikom povratnog putovanja. Source routing je originalno koriten za analiziranje i testiranje, ali se u dananje vrijeme koristi od strane napadaa. Napadai postavljanjem bilo koje IP adrese u polje za izvorite mogu omoguiti da im se povratni paket vrati, stavljajui svoju vlastitu IP adresu. Pri tome oni mogu odrediti tonu stazu kojom paket treba proi, ili odrediti ciljna raunala do kojih paket treba doi. 2.4.6 Filtriranje paketa zavisno o broju fragmentiranog paketa

U dananjim mreama prevelike poruke se prenose ralanjene (fragmentirane) u manje pakete. Veliina paketa za prijenos koritenjem ustaljenog IEEE 802.3 standarda jer ograniena sa maksimalnom veliinom od 1500 okteta. Poetno fragmentirana poruka na izvoritu moe se jo dodatno fragmentirati na usmjerivaima preko kojih ta poruka prelazi. Tako ralanjeni paketi se povezuju na odreditu u odaslanu poruku. Mogue je na firewall-u izvesti filtriranje, na nain da se odbacuje poetni fragmentirani paket koji jedini sadri port aplikacije, i da se pretpostavi na osnovu te logike da e svi ostali paketi biti beskorisni jer nee niti doi do aplikacije. Takvo filtriranje je danas beskorisno jer napadai mogu prvom odaslanom fragmentiranom paketu umjesto rednog broja 0 dodijeliti redni broj 1. Na taj nain bi poruka na kraju stigla do eljene aplikacije.

2.5 OSNOVNE FIREWALL KONFIGURACIJE

2.5.1 DUAL-HOMED GATEWAY

Dual-Homed Gateway ("meu-sistemski") je Firewall koji se sastoji od raunara sa najmanje dva mrena adaptera. Ovakav sistem se normalno konfigurie tako da se paketi ne rutiraju direktno sa jedne mree (Internet) na drugu mreu (Intranet). Raunari na Internet-u mogu da komuniciraju sa Firewall-om, kao i raunari sa unutranje mree, ali je direktan saobraaj blokiran.Glavna mana Dual-Homed Gateway-a je injenica da blokira direktni IP saobraaj u oba pravca. Ovo dovodi do ne mogunosti rada svih programa koji zahtevaju direktnu putanju TCP/IP paketa. Da bi se reio ovaj problem, Dual-Homed Gateway raunari izvravaju programe pod nazivom Proxy, da bi prosledili pakete izmeu dve mree. Umesto da direktno razgovaraju, klijent i server "priaju" sa Proxy-jem, koji radi na bastion hostu. Poeljno je da Proxy bude transparentan za korisnike. 2.5.2 SCREENED HOST GATEWAY

Screened Host Gateway ("zaklonjeni") je Firewall koji se sastoji od bar jednog rutera i bastion hosta sa jednostrukim mrenim interfejsom. Ruter se tipino konfigurie da blokira sav saobraaj do unutranje mree tako da je bastion host jedini raunar kome se moe spolja pristupiti. Za razliku od Dual-Homed Gateway-a, Screened Host Gateway ne forsira sav saobraaj kroz bastion host; pomou konfiguracije rutera mogue je da se otvore "rupe" u Firewall-u, tako da postoji prolaz i do drugih raunara u okviru unutranje mree.Bastion host je zatien ruterom. Ruter se konfigurie tako da dozvoli saobraaj samo za odreene portove na bastion hostu. Dalje, ruter se moe konfigurisati tako da dozvoljava saobraaj samo sa odreenih spoljnih raunara. esto

je da se ruter konfigurie tako da se dozvoljava prolaz svih konekcija koje su potekle sa unutranje mree. Ovakva konfiguracija omoguava korisnicima da koriste sve standardne mrene funkcije pri komunikaciji sa spoljnom mreom bez korienja Proxy servisa. 2.5.3 VIRTUELNE PRIVATNE MREE (VPN - Virtual Private Networks) Virtualne privatne mree (tzv. enkripcijski tuneli) omoguavaju sigurno spajanje dvije fiziki odvojene mree preko Interneta bez izlaganja podataka neautoriziranim korisnicima. Zadatak vatrozida je da omogui sigurno stvaranje virtualne veze nekog udaljenog raunala sa zatienom mreom.

Primjer uspostavljanja VPN-a izmeu dvije lokalne mree Nakon to je jednom uspjeno uspostavljena, virtualna privatna mrea je zatiena od neovlatenih iskoritenja sve dok su enkripcijske tehnike sigurne. Koncept VPN-a omoguava udaljenim korisnicima na nezatienoj strani da direktno adresiraju raunala unutar lokalne mree, to drugim korisnicima nije mogue zbog Network Address Translation-a i filtriranja paketa. Brzina kojom takvi udaljeni raunri komuniciraju sa lokalnim raunarima mnogo je sporija od one koju raunari u lokalnoj mrei koriste. Razlog tome je njihova fizika udaljenost i oslonjenost na brzinu Interneta, ali i procesi enkripcije podataka, filtriranja paketa na firewall-u, i dekripcije originalnih podataka. Kako bi udaljeni korisnici uspjeno proli fazu spajanja na lokalnu mreu potrebno je da se uspjeno obavi autentifikacija istih. Ta autentifikacija mora biti kriptirana da bi se sprijeila kraa podataka od strane napadaa i iskoritenje istih. 2.5.4 KONFIGURACIJA MREE BEZ SERVERA U sluajevima kada organizacija koja koristi vatrozid ne prua nikakve usluge korisnicima Interneta, vatrozid je dovoljno konfigurirati na nain da proputa samo pakete koji naputaju lokalnu mreu, i pakete koji dolaze kao povratne informacije na temelju uspostavljenih veza.

Primjer konfiguracije mree bez servera Ova konfiguracija u odnosu na konfiguracije mrea sa serveraiteljima je prvenstveno jednostavnija za konfigurirati, ali i sigurnija za lokalnu mreu. Ali danas je takva mrea izrazito neuinkovita gledano sa poslovne i informacijske strane. Organizacije sve ee ne koncentriraju sve zaposlenike i rad na jednom mjestu, ve ih rasporeuju po udaljenim lokacijama. U sluajevima kad je potrebno ostvariti vezu udaljenih lokacija, mogue je uz danu konfiguraciju jedino primijeniti fiziko povezivanje udaljenih LAN-ova to je za veinu organizacija ipak preskupo. Zbog toga je ovakva restriktivna konfiguracija rjea kod veih organizacija, ali ea kod kunih ureda.

2.5.5 KONFIGURACIJA MREE SA JEDNIM SERVEROM I JEDNIM FIREWALLOM Ukoliko organizacija treba imati servere onda je potrebno konfigurirati mreu i firewall na kompleksniji nain od prethodno opisanog. Lokalna mrea moe biti konfigurisana na nain da se koristi samo jedan firewall i serveri unutar lokalne mree ili izvan lokalne mree. Ako je lokalna mrea konfigurisana na nain da su serveri locirani izvan lokalne mree, konfiguracija lokalne mree i firewall-a moe u potpunosti biti jednaka kao u sluaju mree bez servera. Takva konfiguracija koja ne dozvoljava prolazak paketa prema zatienoj mrei, ukoliko oni nisu dio neke prethodno uspostavljene veze, osigurava i dalje maksimalnu sigurnost za raunare locirana u lokalnoj mrei. Ali raunari locirani izvan lokalne mree, koji rade kao serveri izloena su razliitim napadima. Zlonamjerni napadai su u mogunosti da izvedu DoS (eng. Denial of Service) napad, pri kojem se ostalim korisnicima Interneta, ali i lokalne mree onemoguava koritenje usluga servera. Za organizaciju je ak puno gore od spomenutog napada ukoliko napadai modificiraju podatke koji se nalaze na serveru. Primjerice napadai mogu podvaljivati lane obavijesti serveriima, ili ak programe koji su virusi. Time napadai mogu uvelike natetiti ugledu organizacije.

Primjer konfiguracije mree sa serverima lociranim izvan lokalne mree U sluaju kada je lokalna mrea konfigurisana na nain da su serveri locirani unutar lokalne mree, konfiguracija lokalne mree i firewall-a je sloenija. Osim dolaznih paketa koji su dio uspostavljene veze potrebno je omoguiti i prolazak poetnih paketa

Primjer konfiguracije mree sa serverima lociranim unutar lokalne mree

samo prema serverima. Konfiguracija lokalne mree sa serverima lociranim unutar lokalne mree ostavlja brojne sigurnosne rupe koje vjeti napadai mogu iskoristiti. Napadai mogu iskoristiti konfiguraciju firewalla koja proputa i poetne pakete kako bi preko servera dospjeli do ostalih raunala u mrei ili barem saznali odreene informacije o njima.

2.5.6 KONFIGURACIJA MREE SA SERVERIMA I DVA FIREWALL-a Ukoliko organizacija treba lokalnu mreu sa serverima onda su prola dva opisana rjeenja neadekvatna jer omoguavaju razliite napade. Koritenjem dva firewall-a, spreavaju se razliiti oblici napada koji bi inae bili mogui. Kao to je vidljivo sa slike , prvi firewall se spaja na Internet i mreu servera, tzv. vanjska lokalna mrea. Izmeu mree servera i lokalne mree smjeta se drugi firewall.

Primjer konfiguracije mree sa serverom lociranim izmeu dva firewalla Politike proputanja paketa koju firewalli primjenjuju su razliite. Firewall koji titi unutarnju lokalnu mreu proputa samo one pakete prema unutranjoj lokalnoj mrei samo one pakete koji su dio neke uspostavljene veze. Firewall koji je spojen na Internet mora uz te pakete proputati i pakete koji su namijenjeni serverima.

2.5.7 KONFIGURACIJA MREE SA DEMILITARIZOVANOM ZONOM U prethodnom primjeru konfiguracije mree potrebno je koristiti ak dva firewalla. Time se usporava brzina prenosa podataka jer podaci prolaze dvije obrade, ali i cijena cjele mree jer je potrebno iskoristiti jedan raunar kao firewall. Rjeenje za spomenuti problem je koritenje konfiguracije sa demilitariziranom zonom, koja prua jednaku funcionalnost, ali bru i jeftiniju od prethodno opisane. Firewallu pomou kojeg se filtrira mreni promet pridjeljena su dvije mree: interna lokalna mrea i mrea servera, tzv. demilitarizirana zona.

Primjer konfiguracije mree sa demilitariziranom zonom Na firewallu je potrebno postaviti takvu konfiguraciju koja e proputati na interfejs prema unutranjoj lokalnoj mrei samo pakete koji su dio uspostavljene veze. Prema serverima je potrebno omoguiti slanje poetnih paketa i sa unutarnje lokalne mree, i sa Interneta.

2.5.8 FIREWALL-I ZASNOVANI NA HOSTU

U ovom se sluaju koristi raunar umjesto routera. To nudi mnogo vie mogunosti praenja aktivnosti koje se odvijaju preko firewalla. Dok firewall zasnovan na routeru nadgleda pakete na IP razini, hostovi prenose kontrolu na nivou aplikacije. Da bi se osigurali od potencijalnih problema koji bi se mogli pojaviti zbog propusta u implementaciji sigurnosti u uobiajenoj programskoj podrci za mrene usluge, firewalli zasnovani na hostovima obino koriste posebne verzije programe koji pruaju podrku potrebnim servisima. To su najee ogoljene verzije originalnih programa koje su zbog svoje kratkoe puno jednostavnije za odravanje, pa je i manja mogunost za sluajne propuste (bugove) koji naruavaju sigurnost.

Osnovni nedostatak takvih firewalla je potreba za posebnom programskom podrkom za svaki od servisa koji treba podrati za mreu "iza" firewalla. Kao dodatna mjera zatite najee se koristi kombinacija zatite na nivou aplikacije i filtrirajueg routinga kojega takoer obavlja sam host ili vanjski router.

2.5.9 IZOLACIJSKE MREE Izolacijske mree su vrlo sline firewallima zasnovanim na hostu, osim to se izmeu privatne mree i Interneta ne postavlja host nego mrea. Meutim, ta se mrea moe sastojati i od samo jednog vora konfiguriranog tako da i jedna i druga mrea moe pristupiti izolacijskoj mrei, ali istovremeno tako da izolacijska mrea ne proputa direktan promet izmeu privatne mree i Interneta. Glavna prednost izolacijske mree je u tome to omoguava jednostavnije postavljanje i dodjeljivanje novih Internet adresa, naroito kod velikih privatnih mrea koje bi se inae morale znatno rekonstruisati. To u osnovi znai da raunari "iza" izolacijske mree ne moraju imati adrese koje su poznate raunarima na Internetu. Na taj nain se moe prikljuiti cijela mrea raunara "iza" firewalla na Internet koritenjem samo jedne Internet adrese.

-14-

POGLAVLJE III
3.1 PRAKTIIN PRIMJER REALNE KONFIGURACIJE Firewall-A Bezjbedno povezivanje mree na Internet je ostvareno koritenjem posveenog uredaja za zatitu Cisco 515 Firewall. Ovaj uredaj predstavlja Cisco-vo reenje koje prua veoma visok nivo sigurnosti za mala i srednja preduzeca. PIX platforma u potpunosti podrava implementaciju IPSec-a i formiranje VPN tunela izmedu dva PIX-a, izmedu PIX -a i Cisco VPN rutera kao i izmedu PIX -a i Cisco Secure VPNklijenta. PIX -515 sa softverom sa ogranicenom licencom ima dovoljno snage za vie od 50000 istovremenih konekcija i propusni opseg do 170Mbps. Tri mrena adaptera, koje uredaj posjeduje, omoguavaju kreirenje privatne zone u kojoj se nalazi lokalna raunarska mrea kompanije, demilitarizovane zone u kojoj su smeteni javni web, mail i dns serveri i javne zone za vezu ka Internet provajderu.

Izmedu interfejsa se obavlja translacija adresa. Unutranja mrea ima privatne adrese, DMZ zona ima RFC 1918 adrese, a spoljna mrea ima legalne registrovane adrese ( 212.62.52.128/27 ). Konfiguracija firewall-a je takva da je zabranjen sav saobracaj osim onog koji se eksplicitno dozvoli. Sa spoljne mree mora biti proputen Web, DNS i Mail ka odgovarajucim javnim serverima koji su smeteni uDMZ-u. To se postie statickim mapiranjem adresa servera i upotrebom odgovarajucih access lista: static (dmz,outside) 212.62.53.130 DMZ_adresa_DNS_servera netmask 255.255.255.255 0 0 static (dmz,outside) 212.62.53.132 DMZ_adresa_WWW_servera netmask 255.255.255.255 0 0 access-list outside-intf permit tcp any host 212.62.53.130 eq smtp access-list outside-intf permit udp any host 212.62.53.130 eq domain access-list outsideintf permit tcp any host 212.62.53.130 eq domain access-list outside-intf

-15-

permit tcp any host 212.62.53.132 eq www access-group outside-intf in interface outside Sav ostali saobracaj iz spoljanje mree ka DMZ-u je zabranjen. Iz DMZ-a ka spoljanjoj mrei je proputen samo Mail i DNS sa Mail i DNS servera: access-list dmz-intf permit tcp host DMZ_adresa_DNS_servera any eq smtp access-list dmz-intf permit tcp host DMZ_adresa_DNS_servera any eq domain access-list dmz-intf permit udp host DMZ_adresa_DNS_servera any eq domain access-group dmz-intf in interface dmz to se tice komunikacije izmedu DMZ-a i privatne zone, iz DMZ-a je proputen jedinoMail sa javnog Mail servera ka internom kompanijskom serveru za elektronsku potu. Iz privatnog dela, dozvoljen je DNS saobracaj sa Proxy servera ka DNS serveru I Mail konekcije od internog ka javnom Mail serveru. Ovim tehnickom reenju, izlazak korisnika na Internet je predviden iskljucivo preko Proxy servera. Prema tome moraju biti proputeni odgovarajuci portovi sa Proxyservera ka javnoj zoni. U obrnutom smeru, od javne ka privatnoj zoni, zabranjen je sav saobracaj. Veoma korisna opciju koju PIX podrava je dodatna zatita javnog SMTP servera podizanjem "Mail Guard"-a komandom: fixup protocol smtp Na ovoj nacin SMTP server moe primiti samo RFC 821 komande: HELO, RCPT, DATA, RSET, NOOP i QUIT. Sve druge komande bivaju odbacene sa: "500 command unrecognized" odgovorom. Takode, svi karakteri u SMTP baneru, osim "0" i "2" se menjaju u "*". Karakteristican baner izgleda ovako:
220 **************************************************22*****2002***********0*00

"Fixup protocol" komande koje mogu menjati servise i protokole na aplikativnom nivou primenju se i za ftp, http, h323, rsh, rtsp, sip i sqlnet protokole.

3.2 . HALTED FIREWALL-i

Halted firewall nije gotov proizvod, odnosno nije ga mogue nabaviti u obliku programskog paketa ili sklopovske konfiguracije. To je samo ideja kako poboljati sigurnosne karakteristike firewalla baziranog na Linux alatima za filtriranje paketa (IP Chains i IP Tables). Ideja halted firewalla bazira se na postupku gaenja raunara s Linux operativnim sistemom. Na modernim operativnim sistemima nije mogue jednostavno ugasiti napajanje raunara prilikom gaenja. U pravilu, raunar prije samog prekidanja napajanja mora obaviti neke radnje kao to su spremanje zaostalih podataka na hard disk i sl., tako da se gaenje raunara mora pokrenuti zadavanjem odreene naredbe operativnom sistemu. U Linux-u se gaenje raunara pokree naredbama shutdown -h ili halt (ove naredbe su ekvivalentne). Nakon upisivanja jedne od ove dvije naredbe na raunaru se pokree halt sekvenca, tj. deava se sljedee: o raunar prelazi u runlevel 0, o izvravaju se sve skripte iz /etc/rc0.d direktorija (ove skripte su zaduene za gaenje svih servisa i servera pokrenutih na raunaru), gase se svi trenutno aktivni procesi, odspajaju (engl. unmount) se svi datoteni sustavi, gase se sva mrena suelja, miu se svi vanjski moduli iz jezgre (kernel) operativnog sistema. Nakon to su napravljene sve navedene radnje, tj. nakon to je zavrila halt sekvenca, na raunaru se moe iskljuiti napajanje (kod raunara s ATX kuitima se to radi automatski). Stanje u kojem se raunar nalazi nakon zavretka halt sekvence, a prije gaenja napajanja, naziva se halted. U halted stanju raunar je, gledano od strane korisnika, "mrtvo", tj. na njemu se ne moe nita raditi jer su svi procesi, diskovi i mreni iterfejsi ugaeni. Ali budui da su procesor i memorija jo uvijek prikljueni na napajanje, procesor i dalje izvrava instrukcije koje se nalaze u memoriji. U halted stanju u memoriji

-16-

ostaje samo jezgra (kernel) operativnog sistema budui da su svi procesi ugaeni tokom halt sekvence. Halted firewall je obian Linux firewall realiziran pomou Linux alata za filtriranje paketa (IP Chains ili IP Tables) kod kojeg se modifikacijama halt sekvence postiglo zadravanje funkcija za filtriranje paketa i u halt stanju. Nakon to je raunar ulo u halt stanje, sve njegove funkcije (osim funkcija za filtriranje paketa) su ugaene i raunar radi iskljuivo kao firewall. To je vrlo povoljno sa sigurnosnih aspekata zato to su napadi prilikom kojih napada dobiva root ovlatenja nad raunarom u potpunosti onemogueni (raunar je, gledano od strane korisnika, potpuno "mrtvo"). U pogledu DoS napada, halted firewall nema nikakvih prednosti (ali niti mana) u odnosu na obian firewall baziran na Linux alatima za filtriranje paketa (IP Chains i IP Tables). Detalji o instalaciji i konfiguraciji halted firewalla pomou IP Tables programskog paketa opisani su u sljedeem poglavljima.

3.2.1 UOPTENO O HALTED FIREWALLU

Halted firewall je softverski firewall koji se moe implementirati na klasinom raunaru i nije vezan za sklopovski specifina rjeenja. Sklopovska konfiguracija raunara na koje je firewall instaliran odreuje performanse samog firewalla (to se najvie odnosi na brzinu rada i propusnost firewalla). Firewall je realiziran pomou Linux alata za filtriranje paketa (IP Tables) koji imaju ugraenu podrku za NAT i stateful inspection, ali im nedostaje podrka za VPN tehnologiju i podrka za VLAN-ove. Programska podrka pomou koje je firewall realiziran je besplatna i dolazi standardno sa svim Linux distribucijama. Minimalni sklopovski zahtjevi koji se preporuaju su sljedei: procesor brzine 800 MHz, 1 GB HARD diska, 256 MB RAM memorije i dvije ili vie mrenih kartica. Zbog injenice da firewall radi u halted stanju u kojem su hard diskovi iskljueni, zahtjevi na veliinu hard diska nisu veliki. S druge strane, budui da u halted radu firewalla nema tvrdih diskova (nema ni swap diska), za vee mree (vie od 10 raunara) potrebno je osigurati dovoljno RAM memorije kako bi firewall mogao obraditi cjelokupni mreni promet. Isto tako, za vee mree potrebno je koristiti i bre procesore. Propusnost firewalla zavisi od koritenog sklopovlja. U sluaju da se koristi procesor brzine 500 MHz s 256Mb RAM memorije, firewall ima propusnost od 80Mbps. Prilikom ispitivanja firewall je bio spojen na javnu raunarsku mreu, a iza njega su se nalazile dvije zone, interna i DMZ u kojima su postavljena raunara s Linux Debian operacijskim sistemom . Testirani ureaj konfigurisan je sa tri Ethernet okruenja : vanjsko - spojeno na javnu mreu, unutaranje - spojeno na internu mreu i DMZ spojeno na tienu DMZ zonu. Kako je tokom testiranja simulirano stvarno pregledavanje mogunosti ureaja, server koji se nalazi iza ureaja, a koji je spojen na DMZ okruenje izmeu ostaloga je imao dignut Web server (Apache 1.3.24), prema kojem je s javne mree bila uspostavljena statika ruta s pripadajuom javnom adresom. S druge strane na unutarnje suelje spojeno je raunar koje je predstavljalo internu mreu.

-17-

Prikaz spajanja testiranog firewalla na Internet.

Osim opisane konfiguracije, za omoguavanje konekcije sa vanjske mree na DMZ zonu koritene su i tehnika virtualnih adresa i Proxy ARP koji su u potpunosti podrani od strane IP Tables alata. Prilikom koritenja tehnike virtualnih adresa svi legitimni paketi pristigli na vanjskom okruenju , na port 80, preusmjeravali su se prema Web serveru na adresi 192.168.200.2. 3.2.2 PREDNOST HALTED FIREWALL-a Osnovna prednost halted firewalla je injenica da firewall radi na raunaru koje je, gledano od strane korisnika, "mrtvo". Na firewallu u halted stanju nisu pokrenuti nikakvi servisi koji bi mogli posluiti za neovlateno dobivanje root ovlatenja na samom firewallu. Firewall je u cijelosti baziran na Linux operativnom sistemu i realiziran je pomou standardnih Linux alata za filtriranje paketa (IP Tables) koji su standardno ukljueni u sve distribucije Linux-a. Programska podrka kojom je firewall realiziran je besplatna i dolazi u sklopu distribucije tako da ju nije potrebno skidati s Interneta. IP tables programski paket se i dalje razvija, dodaju mu se nove funkcije tako da se oekuje da e mogunosti firewalla realiziranog pomou njega u budunosti biti vee. Osim navedenog, velika prednost halted firewalla je i njegova jednostavnost kao i cijena. ak i neiskusniji korisnici mogu vrlo lako i brzo svladati cjeloukupnu sintaksu iptables programa. Na taj nain mogu se kreirati firewalli koji u potpunosti odgovaraju korisnikovim potrebama. Takoer, halted firewall je besplatan i za njegovu izvedbu nije potrebno veliko novano ulaganje. 3.2.3 NEDOSTACI HALTED FIREWALL-a Nedostaci halted firewalla proizlaze iz same ideje rada firewalla na raunaru koje je u halted stanju. Budui da na firewallu za vrijeme rada nije mogue pokrenuti nikakav korisniki program ili servis, logiranje dogaanja na firewallu nije mogue. Isto tako, administrator ne moe pratiti dogaanja na firewallu u realnom vremenu i ne postoji mogunost da se obavijesti administratora o neregularnim aktivnostima na firewallu. Isto tako nije mogua niti udaljena administracija i nadzor. Administracija firewalla nije mogua za vrijeme normalnog rada. Da bi se unijele promjene u pravila za filtriranje paketa, raunar je potrebno ponovno pokrenuti (za vrijeme pokretanja raunara firewall je izvan funkcije) i nakon unosa promjena, ponovo vratiti u halted stanje. Na firewallu su za vrijeme normalnog rada (u halted stanju) ugaeni hard diskovi tako da nema mogunosti privremene pohrane podataka na swap disk. Ovo moe biti veliki problem na mreama s velikom prometom jer moe doi do zaguenja firewalla ako u

-18-

raunaru nema dovoljno memorije. Preporua se da se kod realizacije halted firewalla koristi raunar s minimalno 256Mb RAM memorije (za mree do 10 raunara). Za vee mree potrebno je koristiti raunar s 512Mb RAM memorije ili vie.

-19-

3.3 FIREWALL PROGRAMI ZA PERSONALNE RAUNARE

Sa gledita korisnika osobnog raunara firewall ima zadatak da kontrolie i ograniava pristup RAUNARU sa Interneta ili lokalne mree. Njegova ideja je da na osobnom RAUNARU mogu pristupiti samo oni kojima smo i dopustili da rade samo ono to smo im dopustili, a da svi ostali budu onemogueni i da njihovi pokuaji budu zabiljeeni. Sad se postavlja pitanje kako sve to funkcionie . Za razumijevanje rada firewall sistema potrebno je objasniti dva pojma, a to su IP adrese i TCP i UDP portovi. Sve to je povezano na Internet ima barem jednu jedinstvenu IP adresu. To moe biti adresa naeg raunara ili routera preko kojeg je naa lokalna mrea spojena na Internet. Svaki paket koji putuje Internetom u sebi nosi svoju izvorinu i svoju odredinu IP adresu, tako da se zna od koga je paket poslan i kome je poslan. Drugi pojam su portovi TCP i UDP. Korisnik putem mnogobrojnih programa (http, ftp, chat, ICQ, MSN, mail) koristi razne sadraje na Internetu. Pitanja i odgovori prenose se u obliku TCP ili UDP paketa. Da bi se razlikovali paketi od razliitih programa ,svaki program ima svoj "kanal" port po kojem alje i prima pakete, pa tako npr. FTP koristi portove 20 i 21, Telnet port 23, HTPP port 80, ICQ portove 1508 i 1509. Na ovaj nain korisnik putem firewall sistema(programa) moe dozvoliti/zabraniti promet sa odreenih adresa i ograniiti rad odreenih programa dozvoljavajui rad samo na odreenim portovima.

ZoneAlarm/ZoneAlarmPro je vrlo "prijateljski" raspoloen prema korisnicima. Upozorenja su opisna. Mozda ba i nije najbolji za profesionalce, jer se cini vrlo jednostavan. Za pocetnike, nema boljeg programa. ZoneAlarm je jedini firewall koji osim pokusaja ulaska u vas racunar posmatra i programe koji salje informacije sa naeg raunara. To je vrlo bitno ako sluajno imamo trojanskog konja. Svaki program e da bude blokiran ako pokua da se spoji na internet. Onda mi moemo odluiti da li da dozvolite vezu, da je dozvolite samo jedan put ili da nikada ne dozvolite da se taj program spoji na internet. Kasnije se moemo predomisliti i promjenuti odobrenja. Takoe, ZoneAlarm ima dugme koje kada ga stisnemo, trenutno blokira svu vezu s internetom. Jedino bolje rjeenje je da iskljuimo kompjuter. BlackICE Defender Najveci razlog zbog koga je na cijeni ovaj firwall je da ne samo da blokira napade, nego ih pamti i otkriva informacije o napadau. Veina programa se oslanja na informacije koje se lako mogu otkriti, ali ba i nisu korisne, BlackICE pokuava (i vrlo esto uspijeva) da otkrije IP adresu napadaa. Nakon toga imamo opciju da poaljemo te informacije napadeevom internet servisu. Poslje toga cesto usljedi iskljucenje korisnika. Losa osobina BlackICE_a je da ga je se teko rijeiti ako ga vie ne elimo. McAfee.com Personal Firewall je online servis sa malo opcija koje moemo mijenjati da slui naim potrebama. Ipak, obavlja glavne dunosti to i nije loe za 30 dolara. Svake godine, nakon plaanja te cijene, moemo zavriti sa sve boljim programom, tako da se nebi trebali aliti. U drugu ruku, dobar program bi trebao da traje vie od godinu dana. Preporuuje se korisnicima ostalih McAfee proizvoda, kao i firmama da bi lake izlazili na kraj sa svim programima (firewall, anti-virus, system tools...). -20-

Norton Personal Firewall2001(2002)Najnovija verzija je malo skupa ($50), ali s time dobijamo mnotvo funkcija koje moemo "krojiti" po svojoj elji. Razni stepeni sigurnosti i sigurnosna pravila koja moemo mijenajti su glavne karakteristike ovog programa. Zatita nae privatnosti, koja ne dolazi sa ostalim programima koje spominjemo je vrlo dobra funkcija koju nebi trebali zanemariti. Na primjer, moemo unijeti svoje ime, prezime, adresu ili broj telefona, i te informacije e biti spreene da se alju putem internet aplikacija (ali ne i e-mail). Sygate Personal Firewall ima mogunost "zatvaranja" portova ako programi koji obino koriste te izlaze nisu aktivni. Takodje imamo i mogunost postavljanja razliitog stepena sigurnosti za razliito doba dana. Tako da kad odemo na posao, a ne elimo iskljuiti PC, moemo postaviti veu sigurnost kada nismo tu . Slicno BlackICE Defender_u, imamo mogunost otkrivanja uljeza kao i tehnike koju su koristili pri pokuaju ulaska u na raunar. Tiny Personal FirewallI iako se zove "tiny" (slob. prev. "maleni"/"sitni"), ovaj firewall ide ruku-pod-ruku sa ostalima na tritu.. Koristi manje resursa naeg raunara nego ostali programi. Nedostatak je da nije razumljiv poetnicima. Upozorenja su veoma sloena koja ak i napredni korisnici ne mogu razumjeti. Takodje ima mogunost "udaljene" administracije, tako da kompanije mogu imati centralizovan pristup svakom racunaru u mrezi i mijenjati nivo zatite za svakog korisnika posebno.

3.4 ZAKLJUAK
U dananje vrijeme kada je Internet potreban i vaan resurs u svim organizacijama veoma je bitno posvetiti odreenu panju raunarskoj sigurnosti. Pri tome firewall-i imaju veliku ulogu jer tite organizacije od brojnih zlonamjernih korisnika Interneta. Oni su prva brana koju napada mora proi kako bi dospio do eljenog cilja, zatienih raunara. Odabir eljenog firewall-a sve je tei emu pridonosi i sve vei broj nuenih firewall-a. Ti firewall-i mogu biti komercijalni ili besplatni. Komercijalni obino nude lake konfiguracije i vei broj mogunosti. Besplatni su obino beskorisni bez strunjaka koji bi ih konfigurisali i odravali. Osim podjele na komercijalne i besplatne vatrozidi se mogu podijeliti i na one zasnovane na Windows operativnim sistemima , te na firewall-e zasnovane na Unix/Linux operativnim sistemima . Perfomanse i mogunosti su im u osnovi jednake i neki proizvoai firewall-a izrauju firewall-e koji rade na oba operativna sistema . Zavisno o potrebama organizacija ili korisnika mogue je konfigurisati lokalnu mreu i firewall koji lokalnu mreu titi od neovlatenih zlonamjernih korisnika na razliite naine. Pri tome mogue je koristiti razliita rjeenja, bilo sklopovska ili programska.

LITERATURA

-21-

1.Andrew S. Tanenbaum, Computer Networks, Third edition, Prentice-Hall, Inc., 1996. 2.James F. Kurose, Keith W. Ross, Computer Networking: A TopDown Approach Featuring the Internet, Addison Weslez, 2001
3. http://gislab.elfak.ni.ac.yu/ 4. http://cs.elfak.ni.ac.yu/sr/postgraduates 5. http://www.google.com/

www.BesplatniSeminarskiRadovi.com

-22-