Professional Documents
Culture Documents
Zatita RM(Firewalls)
www.BesplatniSeminarskiRadovi.com
SADRAJ
POGLAVLJE I 1. ta su firewall-oli.............................................................................................1
POGLAVLJE II 2. Podjela potencijalnih napadaa.........................................................................3 Zatita lokalne mree od tetnon djelovanja 'napadaa'...................................3 Zatita od tetnog djelovanja lokalnih korisnika..............................................4 Naplatna rampa ......................................................................................... 5 Osnovne koncepcije firewall skeniranja paketa.............................................. 7 Statiko filtriranje paketa (eng. stateless inspection).............................................. 7 Filtriranje paketa zavisno o vrsti protkola...................................................... 7 Filtriranje paketa zavisno o IP adresama odredita tj izvorita...................... 7 Filtriranje paketa zavisno o odredinim tj izvorinim portovima ................. 7 Filtriranje paketa zavisno o ruti usmjeravanja paketa (Eng.Source routing) ... 8 Filtriranje paketa zavisno o broju fragmentiranog paketa.............................. 8 Osnovne firewall konfiguracije ..................................................................... 9 Dual-Homed gateway .................................................................................... 9 Screened host gateway..................................................................................... 10 Virtualne privatne mree (VPN-Virtual private networks).............................11 Konfiguracija mree bez servera ...................................................................12 Konfiguracija mree sa jednim serverom i jednim firewalom ......................12 Konfiguracija mree sa serverima i dva firewall-a ..................................14 Konfiguracija mree sa demilitarizovanom zonom .........................................15 Firewall-i zasnovani na hostu ..........................................................................16 Izolacijske mree ...............................................................................................17
2.1 2.2 2.3 2.4 2.4.1 2.4.2 2.4.3 2.4.4 2.4.5 2.4.6
2.5
POGLAVLJE III
Halted firewall-i................................................................................................20 Uopteno o halted firewallu...............................................................................21 Prednost halted firewall-a .................................................................................22 Nedostaci halted firewall-a................................................................................23 Firewall programi za personalne raunare.........................................................24 Zakljuak...........................................................................................................26 Literatura ..........................................................................................................27
POGLAVLJE I
1. UVOD
1.1.TA SU FIREWALL-OLI? Firewall je sigurnosni element smjeten izmeu neke lokalne mree i javne mree (Interneta), a koji je dizajniran kako bi zatitio povjerljive, korporativne i korisnike podatke od neautoriziranih korisnika, (blokiranjem i zabranom prometa po pravilima koje definira usvojena sigurnosna politika). Nije nuno da svi korisnici u LAN-u imaju jednaka prava pristupa Internet mrei.Postavjanjem Firewall ureaja izmeu dva ili vie mrenih segmenata moe se kontrolirati i prava pristupa pojedinih korisnika pojedinim djelovima mree. U takvom sluaju
Firewall je dizajniran da doputa pristup valjanim zahtjevima, a blokira sve ostale. Firewall ujedno predstavlja idealno rjeenje za kreiranje Virtualne Privatne mree jer stvarajui virtualni tunel kroz koji putuju kriptirani podaci. (omoguuje sigurnu razmjenu osjetljivih podataka meu dislociranim korisnici)Firewall je servis (koji se tipino sastoji od firewall ureaja i Policy-a ( pravilnika o zatiti), koji omoguuje korisniku filtriranje odreenih tipova mrenog prometa sa ciljem da povea sigurnost i prui odreeni nivo zatite od provale. Osnovna namjena Firewall-a je da sprei neautorizovani pristup sa jedne mree na drugu. U sutini, ovo znai zatitu unutranje mree od Internet-a. Ako va sistem raspolae Firewall-om, to znai da je odluka o tome ta je dozvoljeno, a ta nije - ve donijeta. Ove odluke su u direktnoj vezi sa politikom sigurnosti vaeg informacionog sistema. Pri planiranju ponude informacionih servisa, politika sigurnosti odreuje opcije konfiguracije servisa. Osnova rada Firewall-a je u ispitivanju IP paketa koji putuju izmeu klijenta i servera, ime se ostvaruje kontrola toka informacija za svaki servis po IP adresi i portu u oba smjera.Za Firewall je tipian i kompromis izmeu sigurnosti i lake upotrebe. Stav da "sve to nije dozvoljeno je zabranjeno" zahteva da se svaki novi servis individualno omoguava. Firewall je odgovoran za vie vanih stvari unutar informacionog sistema: Mora da implementira politiku sigurnosti. Ako odreeno svojstvo nije dozvoljeno, Firewall mora da onemogui rad u tom smislu. Firewall treba da belei sumnjive dogaaje. Firewall treba da upozori administratora na pokuaje proboja i kompromitovanja politike sigurnosti. U nekim sluajevima Firewall moe da obezbedi statistiku korienja. Firewall moe biti softverski ili hardverski. Softverski firewall omoguuje zatitu jednog raunara , osim u sluaju kada je isti raunar predodreen za zatitu itave mree. Hardverski firewall omoguuje zatitu itave mree ili odreenog broja raunara. Za ispravan rad firewall-a, potrebno je precizno odrediti niz pravila koja definiraju kakav mreni promet je doputen u pojedinom mrenom segmentu. Takvom politikom se odreuje nivo zatite koji se eli postii implementacijom firewall usluge.
POGLAVLJE II
2. PODJELA POTENCIJALNIH 'NAPADAA' 2.1. ZATITA LOKALNE MREE OD TETNOG DJELOVANJA 'NAPADAA' Firewalli koji nemaju vrste i stroge politike prema dolaznim paketima podloni su razliitim vrstama napada. Ukoliko firewall ne podrava kreiranje virtualnih privatnih mrea, a organizacija eli omoguiti pristup sa odreenih IP adresa lokalnoj mrei, mogue je konfigurirati firewall da proputa pakete sa tono odreenim izvorinim IP adresama. Ali takav nain postavljanja sadri brojne nedostatke. Na primjer napada se moe domoi paketa te saznati logiku adresu sa kojom je dozvoljeno spajanje na lokalnu mreu. Nakon toga napada moe kreirati pakete kojim kao izvorinu stavlja logi ku adresu raunara kojem je dozvoljeno spajanje i tako pomou posebno prilagoenih paketa nanijeti tetu lokalnoj mrei. Firewall je potrebno konfigurisati tako da onemoguava razliite postojee napade. Veina dananjih proizvoaa firewalla ponosno istie na koje napade
su njihovi firewalli otporni, ali nove vrste napada se svakodnevno razvijaju i sve su kompliciraniji i kompleksniji. Ipak svaki firewall bi trebao biti otporan na poznate napade kao to su sljedei navedeni.
Address Spoofing napad omoguava da paket bude proslijeen sa vanjskog okruenja na neko od internih raunara ukoliko napada kao izvorinu adresu uzme neku od adresa unutar lokalne mree. U tom sluaju firewall je moda konfigurisan da omoguava prolazak paketa i time ciljni raunar moe primiti posebno prilagoeni paket. Da bi se ovakva vrsta napada onemoguila potrebno je onemoguiti prosljeivanje paketa koji kao izvorinu adresu imaju neku od lokalnih adresa, a kao ulazno okruenje ono okruenje koje je spojeno na Internet. Smurf napad spada u grupu napada koje imaju za cilj onemoguavanje rada pojedinih servera i raunara, tzv. DoS napad (eng. Denial of Service). Napada odailje ICMP echo request paket na broadcast adresu cijele lokalne mree. Time su adresirana svi raunari unutar lokalne mree. Kao odredite navodi se ciljni raunar koji se eli onesposobiti velikim brojem odgovora. Za odbranu od ovakve vrste napada dovoljno je u konfiguracijskoj datoteci firewalla onemoguiti broadcast paket.
Syn-Flood napad zasniva se na napadaevom slanju velikog broja poetnih konekcijskih TCP paketa koji imaju postavljenu SYN zastavicu, i ignoriranjem TCP odgovora sa postavljenim SYN i ACK zastavicama. Time su resursi ciljanog raunara zaokupljeni odgovaranjem na pakete. Da bi se sprijeio ovakav oblik napada potrebno je ograniiti na firewallu broj dolazeih TCP paketa. Port-Scanner napad zasniva se na otkrivanju otvorenih TCP i UDP portova slanjem SYN ili FIN paketa na ciljane portove i ekanjem na RST odgovor. Potrebno je ograniiti broj takvih ispitivanja. Ping-of-Death napad moe uzrokovati ruenje operativnog sistema, ukoliko se na raunar usmjeri veliki broj ICMP echo zahtjeva. Najbolje rjeenje je onemoguavanje echo-request paketa, a alternativo rjeenje je ogranienje broja ICMP echo zahtjeva.
Prilikom konfigurisanja firewalla najvea se panja posveuje obradi dolaznih paketa. Danas sve vie komercijalnih firewalla omoguava bolju kontrolu rada uposlenika. Oni su konfigurisani na nain da ne dozvoljavaju lokalnim korisnicima pristup odreenim materijalima. To mogu biti porno web stranice, web stranice koje propagiraju mrnju, web stranice za skidanje raznih video i audio zapisa itd... S obzirom na injenicu da takve stranice sve ee nastaju potrebno je osvjeavati podatke unutar firewalla, tj. imati pretplatu kod distributera takvih informacija. Organizacijama je danas veoma bitno da ogranie svojim uposlenicima preveliku slobodu na Internetu kako zaposlenici ne bi nanijeli tetu ugledu organizacije posjeivanjem odreenih web stranica (npr. djeja pornografija), ali i neobavljanjem
posla za koji su zadueni. Pri uvoenju restrikcija potrebno je paziti da se ne pretjera sa ogranienjima, to bi moglo imati kontraefekt kod uposlenika . Uposlenici bi u takvoj situaciji bili u nemogunosti da pristupe materijalima koji im pomau pri radu, ili bi takav tretman kod njih uzrokovao tzv. pasivni otpor prema radu. Prilikom konfiguracije firewalla mogue je primijeniti razliita pravila ogranienja spajanja lokalnih korisnika na Internet. Prvi koncept bio bi da se prema svim korisnicima lokalne mree jednako odnosi, tj. da su svi u istom poloaju. Isto tako mogue je lokalna raunara svrstati u klase zavisno o njihovim IP adresama. Na taj nain mogue je samo jednom sektoru unutar organizacije omoguiti nesmetani pristup Internetu, a ostalim ogranien ili nikakav. Firewall moe biti konfigurisan na nain da proputa sve pakete osim paketa koji su usmjereni prema raunarima sa odreenim IP adresama u Internetu. Na tim se raunarima nalaze materijali koji nisu potrebni uposlenicima (porno materijali, audio zapisi, itd...). Mogue je primijeniti i drugaiji princip filtriranja paketa. Proputaju se paketi koji su namijenjeni samo raunarima koji imaju tono odreene IP adrese, a svi ostali paketi koji dolaze sa lokalne mree ne prosljeuju se. Takav koncept mogu primijeniti organizacije koje svojim uposlenicima dozvoljavaju pristup samo prema raunarima na kojima se nalaze podaci bitni za rad uposlenika. 2.3. "NAPLATNA RAMPA" Onog trenutka kada se poruka "Veryfing User Name and Password" ukloni sa ekrana i pone da odbrojava nae vrijeme na Internetu, na provajder nam je dodijelio jedinstvenu adresu koju u tom trenutku imamo samo mi na Internetu i niko drugi - to je tzv. Ip adresa ili niz od 4 broja izmedju 0 i 255 razdvojenih takom (npr. 213.240.4.100). Postoji mnogo raunara na Internetu koji su prikaeni 24h i imaju svoju IP adresu koja se ne mijenja, ali veina nas, koji se prikaimo s vremena na vrijeme da razmijenimo potu ili prosurfujemo Internetom dobijamo tzv. dinamicku IP adresu (svaki provajder ih ima nekoliko i kada se neko prikai dobije prvu slobodnu). Ove adrese (odnosno brojevi) nam mogu pomoi da identifikujemo sagovornika, jer se za one stalne tano zna kome pripadaju dok se za dinamike vodi evidencija kod provajdera kome su bile dodeljene u odredjenom trenutku. Kada elimo da pristupimo nekom raunaru, sve to je potrebno je da otkucamo njegovu adresu, ali da bi nam prekratili muke, uvedeni su tzv. DNS (Domain Name Server) raunari koji prevode adrese u IP adresu i obrnuto. Sama adresa nije dovoljna, jer je potrebno obezbijediti posebne kanale za komunikaciju kako ne bi dolo do zabune. Zbog toga su uvedeni portovi -zamislimo ih kao autoput na ulazu u grad sa 65536 traka (koliko god pomisao na puevske brzine u domaim uslovima ometa sliku autoputa) i dva raunara se uvek dogovoraju kojim e se trakama odvijati saobraaj. Poto je standardizacija uvek poeljna, portovi sa brojevima manjim od 1024 su rezervisani i imaju specijalnu namjenu (znai samo za posebna "vozila") dok su oni preostali namenjeni korisnicima. Tako npr. kada skidamo neke fajlove sa ftp servera, na raunar e dotinom slati sve komande samo na port 21, a dotini e ih samo tamo i oekivati; fajlovi e pristizati na neki proizvoljni port na naem raunaru (sa brojem veim od 1024) - ponekad i na vie odjednom. To objanjava kako je mogue istovremeno surfovati na tri stranice, skidati nekoliko fajlova, slati i primati potu i atovati. Problem je to mi sa obinim Windowsom nemamo nikakvu kontrolu nad saobraajem preko portova - podaci ulaze i izlaze a mi nemate pojma ni odakle su doli ni gdje idu . Zato je potrebno postaviti "naplatnu rampu" i "saobraajce" - a to je upravo firewall. Sve to stie sa Interneta (ili lokalne mreze) ili odlazi sa naeg raunara, prolazi preko firewalla i dotini program odluuje (uz nau pomo) da li e to smeti da proe ili ne. Nekima je opet najvea zabava u ivotu da takvim nepaljivim ljudima obriu sve na raunaru ili urade neku slinu podlost. A kako oni znaju da li su neka vrata otvorena i koja su to od onih 65536? Jedan nain je da u na raunar ubace virus ili trojanskog konja (preko e-maila, pomou programa u koje je zamaskiran uljez ili lino instalirajui program na naem raunaru) koji e otvoriti neki unaprijed odredjeni port. Sve to zatim
preostaje dotinom hakeru je da krene da adresira sve raunare kod nekog provajdera (rekli smo da svaki provajder ima nekoliko IP adresa koje dodeljuje svojim korisnicima a hakeri znaju u kom se opsegu kreu te adrese) i da uz pomo odgovarajueg softwarea provjeri da li je taj port otvoren. To se naziva TCP Port Scaning i uglavnom nije tetno po na raunar (naravno -ako nemamo trojanca i imamo firewall). Drugi nain je da pokua na silu da upadne kroz neki od portova - to se naziva Denial of Service attack (skraceno DoS attack). Radi se o tome da je neke programe mogue toliko zbuniti suvie velikim podatkom ili dovoljnim brojem ponavljanja neke instrukcije da se on jednostavno srui i sa sobom povue ceo Windows, ili da pone da izvrava neke instrukcije koje inae ne bi sproveo u "normalnom" stanju (poput hipnotisanog oveka). U takve programe spadaju i nai browseri, programi za potu, chat i mnogi drugi. I sam Windows esto nee odoljeti napadima na neki port sa brojem ispod 1024 i tako e se na raunar, hteli mi to ili ne, pretvoriti u ftp, POP3, telnet ili neki drugi server koji je u slubi dotinog hakera. Svaki dobar firewall e prepoznati bilo koji od opisanih napada i sprijeiti napadaa da bilo ta preduzme (nee mu dozvoliti pristup preko odredjenog porta iako je ovaj otvoren). Glavni problem prilikom korienja firewalla je prepoznati da li je dotina IP adresa prijateljska ili ne, dali je port koji se upravo otvorio pod kontrolom nekog virusa ili to na browser uspostavlja komunikaiju sa HTTP serverom i sl. Neki to odrade automatski i preduzmu odgovarajue akcije ako se radi o napadu, a nama poalju odgovarajue obavetenje (BlackICE), dok drugi rade poluautomatski i odmah prijave svaku sumnjivu stvar i od korisnika zahtevaju da odlui ta dalje (ATGuard). Nedostatak prvih je to prijavljuju dosta lanih uzbuna (ak i samog korisnika okarakteriu kao napadaa), a nedostatak drugih je to je korisnik glavni krivac kada bez razloga izblokira neki svoj program ili stvori suvie filtera pa ne moze da uspostavi vezu sa nekim serverom. Cijela umjenost rada sa ovim programima se dakle sastoji u razlikovanju normalne komunikacije od bezazlenih skeniranja portova, zaglupljivanja servera (kada pokuaju da nam poalju podatke na neki drugi port pored onog dogovorenog), pokuaja upada u na raunar kada neki virus uspostavi vezu sa svojim gazdom i pokuaja nekog hakera da brutalnom silom uleti u na raunar.
Vrsta protokola:1.IP adrese odredita i izvorita 2.Odredini tj. izvorini port 3.Informacije o tablici usmjeravanja paketa 4.Broj fragmentiranog paketa 2.4.2 Filtriranje paketa zavisno o vrsti protokola
Protokolno filtriranje paketa zasniva se na sadraju IP protokolnog polja. Protokol koji se koristi unutar paketa odreuje da li paket treba proslijediti ili ne. Neki od protokola su: 1.User Datagram Protocol (UDP)
2.Transmission Control Protocol (TCP) 3.Internet Control Message Protocol (ICMP) 4.Internet Group Management Protocol (IGMP) 2.4.3 Filtriranje paketa zavisno o IP adresama odredita tj. izvorita
Filtriranje zavisno o IP adresama omoguava zabranu konekcija od ili prema odreenim raunarima i/ili mreama, zavisno o nihovim IP adresama. Ukoliko administrator eli zatiti mreu od neovlatenih zlonamjernih napadaa, on moe zabraniti promet mrenih paketa koje kao odredite imaju odreene IP adrese. To je poprilino beskorisno jer napadai mogu promijeniti IP adrese. Zbog toga je puno bolje dozvoliti pristup mrei samo odreenim paketima koji kao odredite imaju odreene sigurne IP adrese. Normalno ukoliko se napada domogne i tog popisa on moe paketima pridruiti kao odredinu IP adresu neku iz tog popisa.
2.4.4
Prilikom spajanja jednog raunara na drugo i jedan I drugi koriste odreene pristupne portove. Sve ukupni broj pristupnih portova je 65536. Prva 1024 porta su rezervirana za odreene aplikacije i ne mogu se koristiti za neke druge. Primjerice HTTP koristi port 80, FTP port 20 i 21, DNS port 53 itd... Administrator zavisno o aplikacijama moe ograniiti pristup mrenim paketima. Neki aplikacijski protokoli su izrazito osjetljivi na mrene napade pa je potrebno onemoguiti pristup istima (Telnet, NetBIOS Session, POP, NFS, X Window, ...). Ti portovi su osobiti osjetljivi na napad zbog velikog nivoa kontrole koju pruaju napadau. Neki drugi portovi mogu biti iskoriteni da bi se unitile odreene bitne informacije. Takav port je DNS. 2.4.5 Filtriranje paketa zavisno o ruti usmjeravanja paketa (eng. Source Routing)
Source routing je proces odreivanja tono odreene rute kojom paket treba proi prilikom putovanja prema cilju odnosno prilikom povratnog putovanja. Source routing je originalno koriten za analiziranje i testiranje, ali se u dananje vrijeme koristi od strane napadaa. Napadai postavljanjem bilo koje IP adrese u polje za izvorite mogu omoguiti da im se povratni paket vrati, stavljajui svoju vlastitu IP adresu. Pri tome oni mogu odrediti tonu stazu kojom paket treba proi, ili odrediti ciljna raunala do kojih paket treba doi. 2.4.6 Filtriranje paketa zavisno o broju fragmentiranog paketa
U dananjim mreama prevelike poruke se prenose ralanjene (fragmentirane) u manje pakete. Veliina paketa za prijenos koritenjem ustaljenog IEEE 802.3 standarda jer ograniena sa maksimalnom veliinom od 1500 okteta. Poetno fragmentirana poruka na izvoritu moe se jo dodatno fragmentirati na usmjerivaima preko kojih ta poruka prelazi. Tako ralanjeni paketi se povezuju na odreditu u odaslanu poruku. Mogue je na firewall-u izvesti filtriranje, na nain da se odbacuje poetni fragmentirani paket koji jedini sadri port aplikacije, i da se pretpostavi na osnovu te logike da e svi ostali paketi biti beskorisni jer nee niti doi do aplikacije. Takvo filtriranje je danas beskorisno jer napadai mogu prvom odaslanom fragmentiranom paketu umjesto rednog broja 0 dodijeliti redni broj 1. Na taj nain bi poruka na kraju stigla do eljene aplikacije.
Dual-Homed Gateway ("meu-sistemski") je Firewall koji se sastoji od raunara sa najmanje dva mrena adaptera. Ovakav sistem se normalno konfigurie tako da se paketi ne rutiraju direktno sa jedne mree (Internet) na drugu mreu (Intranet). Raunari na Internet-u mogu da komuniciraju sa Firewall-om, kao i raunari sa unutranje mree, ali je direktan saobraaj blokiran.Glavna mana Dual-Homed Gateway-a je injenica da blokira direktni IP saobraaj u oba pravca. Ovo dovodi do ne mogunosti rada svih programa koji zahtevaju direktnu putanju TCP/IP paketa. Da bi se reio ovaj problem, Dual-Homed Gateway raunari izvravaju programe pod nazivom Proxy, da bi prosledili pakete izmeu dve mree. Umesto da direktno razgovaraju, klijent i server "priaju" sa Proxy-jem, koji radi na bastion hostu. Poeljno je da Proxy bude transparentan za korisnike. 2.5.2 SCREENED HOST GATEWAY
Screened Host Gateway ("zaklonjeni") je Firewall koji se sastoji od bar jednog rutera i bastion hosta sa jednostrukim mrenim interfejsom. Ruter se tipino konfigurie da blokira sav saobraaj do unutranje mree tako da je bastion host jedini raunar kome se moe spolja pristupiti. Za razliku od Dual-Homed Gateway-a, Screened Host Gateway ne forsira sav saobraaj kroz bastion host; pomou konfiguracije rutera mogue je da se otvore "rupe" u Firewall-u, tako da postoji prolaz i do drugih raunara u okviru unutranje mree.Bastion host je zatien ruterom. Ruter se konfigurie tako da dozvoli saobraaj samo za odreene portove na bastion hostu. Dalje, ruter se moe konfigurisati tako da dozvoljava saobraaj samo sa odreenih spoljnih raunara. esto
je da se ruter konfigurie tako da se dozvoljava prolaz svih konekcija koje su potekle sa unutranje mree. Ovakva konfiguracija omoguava korisnicima da koriste sve standardne mrene funkcije pri komunikaciji sa spoljnom mreom bez korienja Proxy servisa. 2.5.3 VIRTUELNE PRIVATNE MREE (VPN - Virtual Private Networks) Virtualne privatne mree (tzv. enkripcijski tuneli) omoguavaju sigurno spajanje dvije fiziki odvojene mree preko Interneta bez izlaganja podataka neautoriziranim korisnicima. Zadatak vatrozida je da omogui sigurno stvaranje virtualne veze nekog udaljenog raunala sa zatienom mreom.
Primjer uspostavljanja VPN-a izmeu dvije lokalne mree Nakon to je jednom uspjeno uspostavljena, virtualna privatna mrea je zatiena od neovlatenih iskoritenja sve dok su enkripcijske tehnike sigurne. Koncept VPN-a omoguava udaljenim korisnicima na nezatienoj strani da direktno adresiraju raunala unutar lokalne mree, to drugim korisnicima nije mogue zbog Network Address Translation-a i filtriranja paketa. Brzina kojom takvi udaljeni raunri komuniciraju sa lokalnim raunarima mnogo je sporija od one koju raunari u lokalnoj mrei koriste. Razlog tome je njihova fizika udaljenost i oslonjenost na brzinu Interneta, ali i procesi enkripcije podataka, filtriranja paketa na firewall-u, i dekripcije originalnih podataka. Kako bi udaljeni korisnici uspjeno proli fazu spajanja na lokalnu mreu potrebno je da se uspjeno obavi autentifikacija istih. Ta autentifikacija mora biti kriptirana da bi se sprijeila kraa podataka od strane napadaa i iskoritenje istih. 2.5.4 KONFIGURACIJA MREE BEZ SERVERA U sluajevima kada organizacija koja koristi vatrozid ne prua nikakve usluge korisnicima Interneta, vatrozid je dovoljno konfigurirati na nain da proputa samo pakete koji naputaju lokalnu mreu, i pakete koji dolaze kao povratne informacije na temelju uspostavljenih veza.
Primjer konfiguracije mree bez servera Ova konfiguracija u odnosu na konfiguracije mrea sa serveraiteljima je prvenstveno jednostavnija za konfigurirati, ali i sigurnija za lokalnu mreu. Ali danas je takva mrea izrazito neuinkovita gledano sa poslovne i informacijske strane. Organizacije sve ee ne koncentriraju sve zaposlenike i rad na jednom mjestu, ve ih rasporeuju po udaljenim lokacijama. U sluajevima kad je potrebno ostvariti vezu udaljenih lokacija, mogue je uz danu konfiguraciju jedino primijeniti fiziko povezivanje udaljenih LAN-ova to je za veinu organizacija ipak preskupo. Zbog toga je ovakva restriktivna konfiguracija rjea kod veih organizacija, ali ea kod kunih ureda.
2.5.5 KONFIGURACIJA MREE SA JEDNIM SERVEROM I JEDNIM FIREWALLOM Ukoliko organizacija treba imati servere onda je potrebno konfigurirati mreu i firewall na kompleksniji nain od prethodno opisanog. Lokalna mrea moe biti konfigurisana na nain da se koristi samo jedan firewall i serveri unutar lokalne mree ili izvan lokalne mree. Ako je lokalna mrea konfigurisana na nain da su serveri locirani izvan lokalne mree, konfiguracija lokalne mree i firewall-a moe u potpunosti biti jednaka kao u sluaju mree bez servera. Takva konfiguracija koja ne dozvoljava prolazak paketa prema zatienoj mrei, ukoliko oni nisu dio neke prethodno uspostavljene veze, osigurava i dalje maksimalnu sigurnost za raunare locirana u lokalnoj mrei. Ali raunari locirani izvan lokalne mree, koji rade kao serveri izloena su razliitim napadima. Zlonamjerni napadai su u mogunosti da izvedu DoS (eng. Denial of Service) napad, pri kojem se ostalim korisnicima Interneta, ali i lokalne mree onemoguava koritenje usluga servera. Za organizaciju je ak puno gore od spomenutog napada ukoliko napadai modificiraju podatke koji se nalaze na serveru. Primjerice napadai mogu podvaljivati lane obavijesti serveriima, ili ak programe koji su virusi. Time napadai mogu uvelike natetiti ugledu organizacije.
Primjer konfiguracije mree sa serverima lociranim izvan lokalne mree U sluaju kada je lokalna mrea konfigurisana na nain da su serveri locirani unutar lokalne mree, konfiguracija lokalne mree i firewall-a je sloenija. Osim dolaznih paketa koji su dio uspostavljene veze potrebno je omoguiti i prolazak poetnih paketa
2.5.6 KONFIGURACIJA MREE SA SERVERIMA I DVA FIREWALL-a Ukoliko organizacija treba lokalnu mreu sa serverima onda su prola dva opisana rjeenja neadekvatna jer omoguavaju razliite napade. Koritenjem dva firewall-a, spreavaju se razliiti oblici napada koji bi inae bili mogui. Kao to je vidljivo sa slike , prvi firewall se spaja na Internet i mreu servera, tzv. vanjska lokalna mrea. Izmeu mree servera i lokalne mree smjeta se drugi firewall.
Primjer konfiguracije mree sa serverom lociranim izmeu dva firewalla Politike proputanja paketa koju firewalli primjenjuju su razliite. Firewall koji titi unutarnju lokalnu mreu proputa samo one pakete prema unutranjoj lokalnoj mrei samo one pakete koji su dio neke uspostavljene veze. Firewall koji je spojen na Internet mora uz te pakete proputati i pakete koji su namijenjeni serverima.
2.5.7 KONFIGURACIJA MREE SA DEMILITARIZOVANOM ZONOM U prethodnom primjeru konfiguracije mree potrebno je koristiti ak dva firewalla. Time se usporava brzina prenosa podataka jer podaci prolaze dvije obrade, ali i cijena cjele mree jer je potrebno iskoristiti jedan raunar kao firewall. Rjeenje za spomenuti problem je koritenje konfiguracije sa demilitariziranom zonom, koja prua jednaku funcionalnost, ali bru i jeftiniju od prethodno opisane. Firewallu pomou kojeg se filtrira mreni promet pridjeljena su dvije mree: interna lokalna mrea i mrea servera, tzv. demilitarizirana zona.
Primjer konfiguracije mree sa demilitariziranom zonom Na firewallu je potrebno postaviti takvu konfiguraciju koja e proputati na interfejs prema unutranjoj lokalnoj mrei samo pakete koji su dio uspostavljene veze. Prema serverima je potrebno omoguiti slanje poetnih paketa i sa unutarnje lokalne mree, i sa Interneta.
U ovom se sluaju koristi raunar umjesto routera. To nudi mnogo vie mogunosti praenja aktivnosti koje se odvijaju preko firewalla. Dok firewall zasnovan na routeru nadgleda pakete na IP razini, hostovi prenose kontrolu na nivou aplikacije. Da bi se osigurali od potencijalnih problema koji bi se mogli pojaviti zbog propusta u implementaciji sigurnosti u uobiajenoj programskoj podrci za mrene usluge, firewalli zasnovani na hostovima obino koriste posebne verzije programe koji pruaju podrku potrebnim servisima. To su najee ogoljene verzije originalnih programa koje su zbog svoje kratkoe puno jednostavnije za odravanje, pa je i manja mogunost za sluajne propuste (bugove) koji naruavaju sigurnost.
Osnovni nedostatak takvih firewalla je potreba za posebnom programskom podrkom za svaki od servisa koji treba podrati za mreu "iza" firewalla. Kao dodatna mjera zatite najee se koristi kombinacija zatite na nivou aplikacije i filtrirajueg routinga kojega takoer obavlja sam host ili vanjski router.
2.5.9 IZOLACIJSKE MREE Izolacijske mree su vrlo sline firewallima zasnovanim na hostu, osim to se izmeu privatne mree i Interneta ne postavlja host nego mrea. Meutim, ta se mrea moe sastojati i od samo jednog vora konfiguriranog tako da i jedna i druga mrea moe pristupiti izolacijskoj mrei, ali istovremeno tako da izolacijska mrea ne proputa direktan promet izmeu privatne mree i Interneta. Glavna prednost izolacijske mree je u tome to omoguava jednostavnije postavljanje i dodjeljivanje novih Internet adresa, naroito kod velikih privatnih mrea koje bi se inae morale znatno rekonstruisati. To u osnovi znai da raunari "iza" izolacijske mree ne moraju imati adrese koje su poznate raunarima na Internetu. Na taj nain se moe prikljuiti cijela mrea raunara "iza" firewalla na Internet koritenjem samo jedne Internet adrese.
-14-
POGLAVLJE III
3.1 PRAKTIIN PRIMJER REALNE KONFIGURACIJE Firewall-A Bezjbedno povezivanje mree na Internet je ostvareno koritenjem posveenog uredaja za zatitu Cisco 515 Firewall. Ovaj uredaj predstavlja Cisco-vo reenje koje prua veoma visok nivo sigurnosti za mala i srednja preduzeca. PIX platforma u potpunosti podrava implementaciju IPSec-a i formiranje VPN tunela izmedu dva PIX-a, izmedu PIX -a i Cisco VPN rutera kao i izmedu PIX -a i Cisco Secure VPNklijenta. PIX -515 sa softverom sa ogranicenom licencom ima dovoljno snage za vie od 50000 istovremenih konekcija i propusni opseg do 170Mbps. Tri mrena adaptera, koje uredaj posjeduje, omoguavaju kreirenje privatne zone u kojoj se nalazi lokalna raunarska mrea kompanije, demilitarizovane zone u kojoj su smeteni javni web, mail i dns serveri i javne zone za vezu ka Internet provajderu.
Izmedu interfejsa se obavlja translacija adresa. Unutranja mrea ima privatne adrese, DMZ zona ima RFC 1918 adrese, a spoljna mrea ima legalne registrovane adrese ( 212.62.52.128/27 ). Konfiguracija firewall-a je takva da je zabranjen sav saobracaj osim onog koji se eksplicitno dozvoli. Sa spoljne mree mora biti proputen Web, DNS i Mail ka odgovarajucim javnim serverima koji su smeteni uDMZ-u. To se postie statickim mapiranjem adresa servera i upotrebom odgovarajucih access lista: static (dmz,outside) 212.62.53.130 DMZ_adresa_DNS_servera netmask 255.255.255.255 0 0 static (dmz,outside) 212.62.53.132 DMZ_adresa_WWW_servera netmask 255.255.255.255 0 0 access-list outside-intf permit tcp any host 212.62.53.130 eq smtp access-list outside-intf permit udp any host 212.62.53.130 eq domain access-list outsideintf permit tcp any host 212.62.53.130 eq domain access-list outside-intf
-15-
permit tcp any host 212.62.53.132 eq www access-group outside-intf in interface outside Sav ostali saobracaj iz spoljanje mree ka DMZ-u je zabranjen. Iz DMZ-a ka spoljanjoj mrei je proputen samo Mail i DNS sa Mail i DNS servera: access-list dmz-intf permit tcp host DMZ_adresa_DNS_servera any eq smtp access-list dmz-intf permit tcp host DMZ_adresa_DNS_servera any eq domain access-list dmz-intf permit udp host DMZ_adresa_DNS_servera any eq domain access-group dmz-intf in interface dmz to se tice komunikacije izmedu DMZ-a i privatne zone, iz DMZ-a je proputen jedinoMail sa javnog Mail servera ka internom kompanijskom serveru za elektronsku potu. Iz privatnog dela, dozvoljen je DNS saobracaj sa Proxy servera ka DNS serveru I Mail konekcije od internog ka javnom Mail serveru. Ovim tehnickom reenju, izlazak korisnika na Internet je predviden iskljucivo preko Proxy servera. Prema tome moraju biti proputeni odgovarajuci portovi sa Proxyservera ka javnoj zoni. U obrnutom smeru, od javne ka privatnoj zoni, zabranjen je sav saobracaj. Veoma korisna opciju koju PIX podrava je dodatna zatita javnog SMTP servera podizanjem "Mail Guard"-a komandom: fixup protocol smtp Na ovoj nacin SMTP server moe primiti samo RFC 821 komande: HELO, RCPT, DATA, RSET, NOOP i QUIT. Sve druge komande bivaju odbacene sa: "500 command unrecognized" odgovorom. Takode, svi karakteri u SMTP baneru, osim "0" i "2" se menjaju u "*". Karakteristican baner izgleda ovako:
220 **************************************************22*****2002***********0*00
"Fixup protocol" komande koje mogu menjati servise i protokole na aplikativnom nivou primenju se i za ftp, http, h323, rsh, rtsp, sip i sqlnet protokole.
-16-
ostaje samo jezgra (kernel) operativnog sistema budui da su svi procesi ugaeni tokom halt sekvence. Halted firewall je obian Linux firewall realiziran pomou Linux alata za filtriranje paketa (IP Chains ili IP Tables) kod kojeg se modifikacijama halt sekvence postiglo zadravanje funkcija za filtriranje paketa i u halt stanju. Nakon to je raunar ulo u halt stanje, sve njegove funkcije (osim funkcija za filtriranje paketa) su ugaene i raunar radi iskljuivo kao firewall. To je vrlo povoljno sa sigurnosnih aspekata zato to su napadi prilikom kojih napada dobiva root ovlatenja nad raunarom u potpunosti onemogueni (raunar je, gledano od strane korisnika, potpuno "mrtvo"). U pogledu DoS napada, halted firewall nema nikakvih prednosti (ali niti mana) u odnosu na obian firewall baziran na Linux alatima za filtriranje paketa (IP Chains i IP Tables). Detalji o instalaciji i konfiguraciji halted firewalla pomou IP Tables programskog paketa opisani su u sljedeem poglavljima.
-17-
-18-
raunaru nema dovoljno memorije. Preporua se da se kod realizacije halted firewalla koristi raunar s minimalno 256Mb RAM memorije (za mree do 10 raunara). Za vee mree potrebno je koristiti raunar s 512Mb RAM memorije ili vie.
-19-
ZoneAlarm/ZoneAlarmPro je vrlo "prijateljski" raspoloen prema korisnicima. Upozorenja su opisna. Mozda ba i nije najbolji za profesionalce, jer se cini vrlo jednostavan. Za pocetnike, nema boljeg programa. ZoneAlarm je jedini firewall koji osim pokusaja ulaska u vas racunar posmatra i programe koji salje informacije sa naeg raunara. To je vrlo bitno ako sluajno imamo trojanskog konja. Svaki program e da bude blokiran ako pokua da se spoji na internet. Onda mi moemo odluiti da li da dozvolite vezu, da je dozvolite samo jedan put ili da nikada ne dozvolite da se taj program spoji na internet. Kasnije se moemo predomisliti i promjenuti odobrenja. Takoe, ZoneAlarm ima dugme koje kada ga stisnemo, trenutno blokira svu vezu s internetom. Jedino bolje rjeenje je da iskljuimo kompjuter. BlackICE Defender Najveci razlog zbog koga je na cijeni ovaj firwall je da ne samo da blokira napade, nego ih pamti i otkriva informacije o napadau. Veina programa se oslanja na informacije koje se lako mogu otkriti, ali ba i nisu korisne, BlackICE pokuava (i vrlo esto uspijeva) da otkrije IP adresu napadaa. Nakon toga imamo opciju da poaljemo te informacije napadeevom internet servisu. Poslje toga cesto usljedi iskljucenje korisnika. Losa osobina BlackICE_a je da ga je se teko rijeiti ako ga vie ne elimo. McAfee.com Personal Firewall je online servis sa malo opcija koje moemo mijenjati da slui naim potrebama. Ipak, obavlja glavne dunosti to i nije loe za 30 dolara. Svake godine, nakon plaanja te cijene, moemo zavriti sa sve boljim programom, tako da se nebi trebali aliti. U drugu ruku, dobar program bi trebao da traje vie od godinu dana. Preporuuje se korisnicima ostalih McAfee proizvoda, kao i firmama da bi lake izlazili na kraj sa svim programima (firewall, anti-virus, system tools...). -20-
Norton Personal Firewall2001(2002)Najnovija verzija je malo skupa ($50), ali s time dobijamo mnotvo funkcija koje moemo "krojiti" po svojoj elji. Razni stepeni sigurnosti i sigurnosna pravila koja moemo mijenajti su glavne karakteristike ovog programa. Zatita nae privatnosti, koja ne dolazi sa ostalim programima koje spominjemo je vrlo dobra funkcija koju nebi trebali zanemariti. Na primjer, moemo unijeti svoje ime, prezime, adresu ili broj telefona, i te informacije e biti spreene da se alju putem internet aplikacija (ali ne i e-mail). Sygate Personal Firewall ima mogunost "zatvaranja" portova ako programi koji obino koriste te izlaze nisu aktivni. Takodje imamo i mogunost postavljanja razliitog stepena sigurnosti za razliito doba dana. Tako da kad odemo na posao, a ne elimo iskljuiti PC, moemo postaviti veu sigurnost kada nismo tu . Slicno BlackICE Defender_u, imamo mogunost otkrivanja uljeza kao i tehnike koju su koristili pri pokuaju ulaska u na raunar. Tiny Personal FirewallI iako se zove "tiny" (slob. prev. "maleni"/"sitni"), ovaj firewall ide ruku-pod-ruku sa ostalima na tritu.. Koristi manje resursa naeg raunara nego ostali programi. Nedostatak je da nije razumljiv poetnicima. Upozorenja su veoma sloena koja ak i napredni korisnici ne mogu razumjeti. Takodje ima mogunost "udaljene" administracije, tako da kompanije mogu imati centralizovan pristup svakom racunaru u mrezi i mijenjati nivo zatite za svakog korisnika posebno.
3.4 ZAKLJUAK
U dananje vrijeme kada je Internet potreban i vaan resurs u svim organizacijama veoma je bitno posvetiti odreenu panju raunarskoj sigurnosti. Pri tome firewall-i imaju veliku ulogu jer tite organizacije od brojnih zlonamjernih korisnika Interneta. Oni su prva brana koju napada mora proi kako bi dospio do eljenog cilja, zatienih raunara. Odabir eljenog firewall-a sve je tei emu pridonosi i sve vei broj nuenih firewall-a. Ti firewall-i mogu biti komercijalni ili besplatni. Komercijalni obino nude lake konfiguracije i vei broj mogunosti. Besplatni su obino beskorisni bez strunjaka koji bi ih konfigurisali i odravali. Osim podjele na komercijalne i besplatne vatrozidi se mogu podijeliti i na one zasnovane na Windows operativnim sistemima , te na firewall-e zasnovane na Unix/Linux operativnim sistemima . Perfomanse i mogunosti su im u osnovi jednake i neki proizvoai firewall-a izrauju firewall-e koji rade na oba operativna sistema . Zavisno o potrebama organizacija ili korisnika mogue je konfigurisati lokalnu mreu i firewall koji lokalnu mreu titi od neovlatenih zlonamjernih korisnika na razliite naine. Pri tome mogue je koristiti razliita rjeenja, bilo sklopovska ili programska.
LITERATURA
-21-
1.Andrew S. Tanenbaum, Computer Networks, Third edition, Prentice-Hall, Inc., 1996. 2.James F. Kurose, Keith W. Ross, Computer Networking: A TopDown Approach Featuring the Internet, Addison Weslez, 2001
3. http://gislab.elfak.ni.ac.yu/ 4. http://cs.elfak.ni.ac.yu/sr/postgraduates 5. http://www.google.com/
www.BesplatniSeminarskiRadovi.com
-22-