Professional Documents
Culture Documents
informacionit,
Siguria ne rrjet
Pajisjet standarde te rrjetave
Pajisjet ne rrejt mund te klasifikohen ne baze te funksionit te tyre ne
modelin OSI. Ne 1978 organizata ndërkombëtare e standardeve (ISO)
publikoi një bashkësi specifikimesh qe kishte për qellim përshkrimin sesi
pajisje te tipeve te ndryshme mund te lidheshin ne rrjet. ISO kishte për
qellim te tregonte se ajo çfarë ndodh gjate transmetimit te informacionit
nga një nyje e rrjetit ne tjetrën, mund te shpjegohet dhe kuptohet duke e
pare dhe konceptuar ketë transmetim si një seri hapash te lidhura me njëra
tjetrën. Duke pare çfarë ndodh ne njërën shtrese dhe si lidhen shtresa
aktuale me atë paraardhëse dhe pasardhëse, mund ta beje me te lehte te
kuptuarit e rrjedhjes s e informacionit ne rrjeta. ISO e quajti këtë model
OSI(Open System Interconnection). Baza e modelit OSI është shtresa e
modelit dhe secila shtrese komunikon dhe ka dijeni për ekzistencën e
vetëm te shtresës paraardhëse dhe pasardhëse. Ne çdo shtrese detyra te
caktuara realizohen ne rrjet.
Pajisjet standarde te rrjetave, Switch
Rrjetat e para lokale (LAN) përdornin HUB, një pajisje rrjeti qe bënte te
mundur lidhjen e disa nyjeve ne rrjet ne mënyrë qe këto nyje te funksionin
si një segment i vetëm ne rrjet. Hubet punojnë ne shtresën e pare te
modelit OSI (fizike), qe do te thotë se nuk lexonin ose interpretonin te
dhënat qe kalonin ne to duke analizuar p.sh adresat fizike (MAC).
Funksioni i HUB ishte te merrte sinjalin elektrik qe vinte nga nyjet e rrjetit
dhe ta përcillte ketë ne secilin nga nyjet e lidhura ne rrjet. Çdo pajisje duke
analizuar adresën fizike destinacion përcaktonte nëse frame i dërguar
ishte për atë ose jo. Përveç se një HUB rriste trafikun ne rrjet, nga ana e
sigurisë ishte një pajisje jo e sigurte. Një ndërhyrës mund te instalonte një
program HW ose një pajisje HW ne një nga nyjet e lidhura me HUB dhe te
analizonte dhe dekodonte trafikun ne rrjet duke përdorur një analizues
protokollesh (protocol analyzer). Rezultati i këtij sulmi ishte leximi i faqeve
web, kapja e fjalëkalimeve te pashifruara, leximi i emalive etj.
Switch eshë një pajisje me inteligjente se HUB dhe operon ne shtresen e
dyte te modelit OSI duke ruajtur adresën fizike te nyjës qe është lidhur ne
një porte te caktuar. Switch lexon adresën fizike destinacion te një kornize
qe mbërrin ne switch dhe e përcjell kornizën ne portën e duhur. Një kornize
mund te jete Unicast( e destinuar për një pajisje specifike) ose Broadcast(
e destinuar për te gjitha nyjet e switch). Adresa destinacion e broadcast
është FF-FF-FF-FF-FF-FF. Switch përmirëson sigurinë, sepse ne krahasim
me HUB, një program analizues i frameve do te lexonte vetëm framet e
nyjes ku është instaluar programi.
Pajisjet standarde te rrjetave, Switch
Ne një switch është i nevojshëm monitorimi i trafikut nga administratori i
rrjetit. Një nga teknikat është ajo e “port mirroring” qe i lejon administratorit
te rrjetit te kopjoje trafikun nga një ose disa porte drejt një porte te dedikuar
ne switch. Një metode e dyte është instalimi i një rrjeti TAP (Test Access
Point dhe përdoret ne rrejte me një trafik te larte.
Switch, Sulmet e ndryshme
Firewallet tradicionale
Këto lloj firewallesh bazohen ne një bashkësi instruksionesh për te
kontrolluar veprimet e marra. Bashkësia e rregullave përmbajnë
informacione si:
• Adresa burim si p.sh adresa IP, adresa fizike MAC, emri i hostit. Adresa
burimi mund te jete edhe një range adresash si edhe kombinim i IP,
MAC dhe hostit.
• Adresa destinacion. Është adresa destinacion e paketës qe mbërrin ne
firewall. Është e ngjashme me adresën burim persa i përket
kombinimeve te IP, MAC dhe host.
Firewalls
Firewallet tradicionale vazhdim
• Porta burim është porta TCP nga e cila po dërgohen paketat. Porta
burim mund te jete një porte specifike (p.sh porta 25), një kombinim
portash (0-100) ose te gjitha portat e mundshme.
• Porta destinacion është porta destinacion e paketës qe mbërrin ne
firewall.
• Protokolli. Përcakton protokollin e përdorur gjate transmetimit te
paketave. P.sh ne shtresën Transport te modelit OSI; TCP, UDP.
• Drejtimi i komunikimit. Drejtimi i paketave; Ne hyrje, ne dalje ose te dyja
• Lloji i vendimit. Është vendimi qe merr firewall ne baze te konfigurimeve
te bëra, si p.sh; Lejo, Shkatërro, Refuzo etj.
Konfigurimet e një firewall ruhen një file tekst ose ne një databaze te
brendshme dhe lexohen nga firewall gjate ndezjes se tij. Ne ketë mënyre
Firewallet tradicionale janë statike dhe me pak elastike ndaj ndryshime ne
rrjet. Mund te konsiderohen is te tipit IF-THEN; pra nëse plotësohet kushtet
ose rregullat e IF, atëherë ekzekutohen vendimet e THEN (lejim ose
bllokim)
Firewallet e aplikacioneve
Këto lloj firewallesh janë me “inteligjente” dhe marrin vendim bazuar ne
nivele me te larte te modelit OSI dhe kryesisht ne shtresën e aplikimit.
Njihen ndryshe edhe firewalle te gjeneratës tjetër. Vendimet e marra te
këtij firewalli bazohen ne llojin e aplikimit dhe jo ne rregullat e tipit
Firewalls
tradicional si porta apo IP. Një tip firewall është firewall i aplikimeve web i
cili është i specializuar ne inspektimin e aplikimeve qe përdorin protokollin
http (https). Një firewall i tille bën dallimin midis një faqeje web qe mund te
jete social Network ose faqe bastesh sportive apo faqe me përmbajtje
vetëm për te rritur, ose një faqe për Storage online, bën dallimin midis
upload dhe download duke lejuar download por bllokon upload.
VPN
VPN (virtual private Network) është një teknologji qe u lejon përdoruesve te
autorizuar te përdorin një rrjet te pasigurte (si p.sh internet) si te ishte një rrjet
privat i sigurte. Kjo arrihet nëpërmjet shifrimit te gjithë te dhënave midis pajisjes
dhe rrjetit privat. Dy janë tipet e VPN ne varësi te nyjes fillestare:
Client-toSite (ose remote-access VPN ose user-to-LAN). Ne ketë lloj VPN, një
përdorues lidhet me rrjetin privat, ku si pike hyrje për trafikun VPN është zakonisht
routeri kryesor, ose mund te jete një software(Ose HW) i ndodhur pas routerit.
Klienti i lidhur me VPN behet pas verifikimit të kredencialeve bëhet pjesë e LAN.
Site-toSite. Ne ketë lloj VPN behet lidhja midis dy rrjeteve te ndryshëm, Si pika
fundore shërbejnë routerat e dy rrjetave.
Metodat e monitorimit
Monitorimi nënkupton ekzaminimin e trafikut ne rrjet, aktivitetin e transaksioneve,
ose sjelljen e një sistemi te caktuar për te përcaktuar një anomali te mundshme qe
lidhet me sigurinë e informacionit. Katër janë metodologjitë: monitorim i anomalive,
monitorimi bazuar ne signature, monitorimi bazuar ne sjellje, monitorimi heuristik.
IPS
IPS eshë një IDS qe ndërmerr edhe një hap me tej ne parandalimin e hyrjeve. Një
IPS përveç se çon alarme tek administratoret e rrjetit dhe te sigurisë, çon dhe një
mesazh ne firewall duke e instruktuar për te bllokuar kërcënimin( p.sh bllokim i një
porte te caktuar). IPS është një IDS aktive ne sensin qe ndërmerr vendime për te
parandaluar kërcënimet krahasuar me IDS qe vetëm raporton një kërcenim te
mundshëm. IDS vendoset ne një linje me firewallin kryesor.
NAT dhe PAT
NAT ose Network Adress Transalation zëvendëson IP private te një rrjeti ne një IP
publike. P.sh për IP private qe janë te parutueshme, shërbimi i NAT zëvendëson
ketë IP me IP publike te ruterit.
VLAN
Lanet virtuale mundësojnë ndarjen logjike te përdoruesve te cilët mund te jene
te lidhur ne switche te ndryshme (ne kate te ndryshme te një godine p.sh). Vlan
caktohen ne nivel porte te një switch-i dhe vete switch tagon portën e switch
me një numër qe njihet si ID e Vlan. P.sh Vlan1, Vlan2 e kështu me rrudhë. Ne
kat mënyre mund te ofrohet siguri e ngjashme si ne subnetimin për shkak te
izolimit te trafikut. Trafiku nga dy servera ne Vlane te ndryshme kalojnë ne
default gateway nga ku mund te inspektohet nga firewall ose IDS.