Firewall, objavljivanje, pristup

i prosleivanje portova

Anela Zurnai 2010/200697

Aleksandar Stojadinovi 2010/200943

Opti model zatite

Poslednjih godina, pitanje
zatite u okviru
raunarskih mrea dobija
sve vie na znaaju
Svaki propust koji je
povezan sa zatitom u
okviru sistema povezanih
na Internet moe imati
veoma velike negativne
posledice

Kod savremenih raunarskih

sistema primenjuje se
vienivovski sistem zatite, i
to:
na nivou mree
na nivou opeartivnog
sistema
na nivou aplikacije
na nivou baza podataka
kao proceduralna zastita

Opti model zatite

Svaki sistem zatite sastoji
se od:
skupa objekata
skupa subjekata
pravila kojima se
definie odredjena
politika zatite

Logika mrena barijera (firewall)

Ureaj ili konstrukcija
ureaja koja namee
politiku izmeu dve
raunarske mree
(segmenata mree)

Logika mrena barijera (firewall)

Osnova rada je da blokiraju
konekcije na bazi politike
Firewallovi su u sutini
barijere - kontroliu
saobraaj na mrenom
nivou, te imaju ogranien
skup podataka sa kojima
mogu da rade

Mogu se nai u obliku

softverskih/hardverskih
proizvoda

Istorijat Logikih mrenih barijera

Prvi firewall sistemi
(stateless inspection
firewalls) su bili
jednostavni filteri paketa,
pa to ostaje kljuna
funkcija.
Presretanje rutiranih
paketa na mrenom, I
analiziranje informacija o
protokolu(3-7) sloj

Analiziranje informacije o
stanju veze (da li pakete
treba blokirati ili propustiti)

Stateless Inspection Firewall

Logika mrena barijera (firewall)

Tok procesa filtriranja paketa

Barijere na aplikativnom sloju

Barijere na aplikativnom
sloju poznate su pod
nazivom alikativne mrene
kapije (gateway), ili proksi
(proxy)
Proxy barijere imaju ulogu
da posreduju izmeu 2
hosta, ali sui m performance
manje. Namenjeni su za
analizu rada specifinih
servisa I protokola (npr.
HTTP, FTP I SMTP)

Proxy server
Proxy serveri funkcioniu
vrlo slino aplikativnim,
gateway barijerama, sa
tom razlikom das u
usmereni na kontrolu
konekcija iz internih RM.
Omoguava da se u
potpunosti zabrani protok
na sloju mree, odnosno
da se dozvoli saobraaj sa
protokolima vieg slija
(HTTP, FTP, SMTP).

Proxy server
Proxy zahtevaju autentifikaciju
krajnjih korisnika, vre
restrikciju kontrole pristupa(na
bazi koncepta najmanjih
privilegija), I loguju kontrolne
tragove. Jedan od
najznaajnijih proxy servera
jeste svakako Web proxy server
, koji izmeu ostalog skladiti u
cache memoriji sadraj koji je
trenutno potreban klijentu. Na
taj nain, snimanjem na lokalni
disk, ubrzavaju pristup web
sadrajima.

Poznato je da neki proxy

server modifikuju sadraj koji
preuzimaju na Intreneta, kako
bi ga to bolje prilagodili
klijentima ili kompresuje
podatke za PDA ureaje,
mobilne telefoni itd. (npr.
Opera turbo)

Kategorizacija
Postoji vie tipova firewall sistema:
1. U zavisnosti od toga u kom obliku su realizovani, moemo
ih podeliti na namenske ureaje i raunarski softver:

Namenski firewall-ovi tite raunarske mree, pre nego

to zatite pojedinane raunare. Sa druge strane,
raunarski softver postaje korisniki softver, ili postaje
sastavni do jezgra operativnog sistema.

Kategorizacija
2. U odnosu na to kakve mogunosti nude,tj. Koje slojeve TCP/IP
modela podravaju I koje informacije moe dobiti nakon
komunikacije, moemo ih podeliti na:

Sisteme prve generacije- rade na pra etiri sloja TCP/IP

modela; najvia jedinica iz koje se mogu dobiti informacije
je port;
Sisteme druge generacije- statefull firewall; podruije rada
nije ogranieno;
Sisteme tree generacije- mogu da koriste paramentre
aplikatvnog sloja (prodigy based firewall).

Kategorizacija
3. U zavisnosti od uloge koju imaju dele se na mrene I line.

Lini kontroliu mreni saobraaj od I do kompjutera,

dozvoljavajui I ili ne komunikaciju baziranu na politici
zatite. Mreni mogu tititi lokalnu mreu od nekih
spoljnih mrea, ali I mogu se nai na vie taaka u istoj
lokanloj mrei, ne bi li titili njene segmente.

Comodo Firewall

Sistemski zahtevi
Minumum:
* Windows XP (SP2 ili novije) & 533MHz
procesor ili jae
* 64 MB RAM
* 55 MB prostora na hard disku za 32bitnu verziju i 75 MB za 64-bitnu verziju
Preporueno (za novije verzije):
* Windows Vista ili 7 & 1GHz procesor ili
jae
* 512 MB RAM
* 400 MB prostora na hard disku

Instalacija

Podeavanje i karakteristike Comoda

Firewall Events & Stealth Ports

Podeavanje ponaanja firewall-a

Mrena bezbednosna politika

Mrena bezbednosna politika

Mrena bezbednosna politika

Firewall obavetenja

Comodo Dragon

Prosleivanje portova
Prosleivanje portova sluzi za
prosleivanje paketa sa
odreenih definisanih
portova sa javne IP adrese na
bilo koju adresu u lokalnoj
mrei

Port Forwarding nakaeni ureaji

Port Forwarding / Port Triggering

Literatura
[1] Eizabet D. Zwicky, Simon Cooper & D. Brent
Chapman, Buidling Internet Firewalls, O'Reilly Media,
Second Edition, June 2000.
[2] Richard A. Deal (2004); "Cisco Router Firewall
Security", Cisco Press
[3] http://en.wikipedia.org/wiki/Firewall_(computing)
[4] Pfleeger, P.Charles, Pfleeger Lawrence Shari,
Security in Computing, 3rd.ed, Prentice Hall
Professional Techical Reference, 2003