Siguria e

informacionit,
Siguria ne rrjet
 Pajisjet standarde te rrjetave
Pajisjet ne rrejt mund te klasifikohen ne baze te funksionit te tyre ne
modelin OSI. Ne 1978 organizata ndërkombëtare e standardeve (ISO)
publikoi një bashkësi specifikimesh qe kishte për qellim përshkrimin sesi
pajisje te tipeve te ndryshme mund te lidheshin ne rrjet. ISO kishte për
qellim te tregonte se ajo çfarë ndodh gjate transmetimit te informacionit
nga një nyje e rrjetit ne tjetrën, mund te shpjegohet dhe kuptohet duke e
pare dhe konceptuar ketë transmetim si një seri hapash te lidhura me njëra
tjetrën. Duke pare çfarë ndodh ne njërën shtrese dhe si lidhen shtresa
aktuale me atë paraardhëse dhe pasardhëse, mund ta beje me te lehte te
kuptuarit e rrjedhjes s e informacionit ne rrjeta. ISO e quajti këtë model
OSI(Open System Interconnection). Baza e modelit OSI është shtresa e
modelit dhe secila shtrese komunikon dhe ka dijeni për ekzistencën e
vetëm te shtresës paraardhëse dhe pasardhëse. Ne çdo shtrese detyra te
caktuara realizohen ne rrjet.
 Pajisjet standarde te rrjetave, Switch
Rrjetat e para lokale (LAN) përdornin HUB, një pajisje rrjeti qe bënte te
mundur lidhjen e disa nyjeve ne rrjet ne mënyrë qe këto nyje te funksionin
si një segment i vetëm ne rrjet. Hubet punojnë ne shtresën e pare te
modelit OSI (fizike), qe do te thotë se nuk lexonin ose interpretonin te
dhënat qe kalonin ne to duke analizuar p.sh adresat fizike (MAC).
Funksioni i HUB ishte te merrte sinjalin elektrik qe vinte nga nyjet e rrjetit
dhe ta përcillte ketë ne secilin nga nyjet e lidhura ne rrjet. Çdo pajisje duke
analizuar adresën fizike destinacion përcaktonte nëse frame i dërguar
ishte për atë ose jo. Përveç se një HUB rriste trafikun ne rrjet, nga ana e
sigurisë ishte një pajisje jo e sigurte. Një ndërhyrës mund te instalonte një
program HW ose një pajisje HW ne një nga nyjet e lidhura me HUB dhe te
analizonte dhe dekodonte trafikun ne rrjet duke përdorur një analizues
protokollesh (protocol analyzer). Rezultati i këtij sulmi ishte leximi i faqeve
web, kapja e fjalëkalimeve te pashifruara, leximi i emalive etj.
Switch eshë një pajisje me inteligjente se HUB dhe operon ne shtresen e
dyte te modelit OSI duke ruajtur adresën fizike te nyjës qe është lidhur ne
një porte te caktuar. Switch lexon adresën fizike destinacion te një kornize
qe mbërrin ne switch dhe e përcjell kornizën ne portën e duhur. Një kornize
mund te jete Unicast( e destinuar për një pajisje specifike) ose Broadcast(
e destinuar për te gjitha nyjet e switch). Adresa destinacion e broadcast
është FF-FF-FF-FF-FF-FF. Switch përmirëson sigurinë, sepse ne krahasim
me HUB, një program analizues i frameve do te lexonte vetëm framet e
nyjes ku është instaluar programi.
 Pajisjet standarde te rrjetave, Switch
Ne një switch është i nevojshëm monitorimi i trafikut nga administratori i
rrjetit. Një nga teknikat është ajo e “port mirroring” qe i lejon administratorit
te rrjetit te kopjoje trafikun nga një ose disa porte drejt një porte te dedikuar
ne switch. Një metode e dyte është instalimi i një rrjeti TAP (Test Access
Point dhe përdoret ne rrejte me një trafik te larte.
 Switch, Sulmet e ndryshme

Tipi sulmit Përshkrimi Mbrojtja

Mijëra adresa fizike burim FAKE dërgohen

MAC flooding Përdor një switch qe bllokon një
drejt switch duke ezaururar burimet e
(Përmbytja e tabelave porte qe ka trafik nga shume adresa
switch (memorien) dhe duke e kthyer
te adresave MAC) fizike. Port Security.
praktikisht ketë te fundit ne një HUB.

Nëse dy nyje kane te njëjtën adrese fizike,

një frame mund te çohet tek secila prej
“Port Security”. Vetëm një adrese
Spoofing i një adrese tyre. Një sulmues mund te ndryshoje
fizike mund t’i caktohet një porte ne
fizike adresën fizike qe te përputhet me adresën
switch.
fizike te viktimës. Njihet si sulmi “Man in
the middle”.

Është një sulmi i tipit “Man in the middle”.

Helmimi i tabelës Sipas këtij sulmi është pretendimi se MAC Përdorimi i një pajisje te monitorimit
ARP adresa e routerit është Adresa fizike e ARP.
keqbërësit..

Switch është i mbyllur ne

Port mirroring Pajisja e keqbërësit lidhet me port mirror. DATACENTER me akses fizik te
kontrolluar.

Akses i kufizuar dhe i kontrolluar ne

Network tap TAP lidhe me rrjetin
rrjet.
Switch, Spoofing i adresës fizike
 Ruterat
Një router punon ne shtresën e trete te modelit OSI. Një router rrugëton te
dhënat bazuar ne adresën logjike IP destinacion. Për sa i përket sigurisë
një router mund te ndihmoje ne sigurinë e te dhënave ne rrjet, pasi ai
filtron rrjete te ndryshme bazuar ne ID e rrjetit, bllokon rrjete qe kane
adresa IP jo te vlefshme, ndalon IP broadcast.
 Proxy
Një Proxy është një person i autorizuar te veproje si zëvendësues ose
agjent ne vend te një personi tjetër.
Ne rrjetë kompjuterike ideja është e njëjte. Proxy është një pajisje ose një
aplikim (ne shume e raste është edhe pajisje edhe aplikim) tek i cili
drejtohen te gjitha kërkesat e përdoruesve dhe me pas proceson kërkesën
për llogari te përdoruesit.

Një përdorues çon një kërkesë p.sh

http drejt Proxy dhe është Proxy ai
fillimisht shikon ne cache për
vendodhjen e faqe. Ne rast se faqja
nuk është ne cache, Proxy përdor IP e
tij për t’u lidhur me webserver dhe pasi
merr informacionin nga webserver, ia
kalon përdoruesit. Proxy mund te
përdorë filtra te ndryshëm sigurie si
antivirus, antispam etj.
 Proxy
Disa nga avantazhet e Proxy:
1. Rritje e shpejtësisë për shkak te ruajtjes se informacionit ne cache.
2. Ulje e bandwith te përdorur, pra edhe e kostos për shkak te cache.
3. Përmirësim ne menaxhim dhe siguri. Proxy mund te bllokoje faqe ne
varësi te kategorive si p.sh site pornografike, baste sportive, faqe me
reputacion te ulet, skanim te faqeve për viruse dhe programe
dëmtuese. Gjithashtu një Proxy fsheh IP e përdoruesit te brendshme
dhe ekspozon vetëm IP e tij.
 Reverse Proxy
Një reverse Proxy nuk u shërben klientëve për një trafik te caktuar (http, ftp
etj.), por ruton kërkesat drejt serverit te duhur. Për një përdorues te
jashtëm, adresa IP e reverse Proxy është IP finale për shërbimet e
kërkuara, pra vetëm Proxy mund te aksesoje serverat e brendshëm.
 Firewalls
Puna e një firewall, pavarësisht se shërben për mbrojtien e një kompjuteri
te vetëm, apo për mbrojtien e një rrjeti kompjuterash, konsiston ne
inspektimin ne nivel paketash te trafikut dhe bllokimin ose lejimin e këtyre
te fundit. Firewallet te tipit HW, janë te vendosur jashtë perimetrit te
sigurisë se një rrjeti për te shërbyer si mbrojte e pare ndaj rreziqeve ne
internet.
Filtrimi i paketave ne firewall behet
ne dy mënyra:
1. Filtrim pa gjendje
2. Filtrim me gjendje
Filtrimi pa gjendje filtron paketat
bazuar ne kushtet e vendosura nga
administratori. P.sh bllokon trafikun
drejt një IP te caktuar. Ne filtrimin me
gjendje ruhet një gjendje e
sesionit(lidhjes) dhe vendimi për
bllokimin ose jo jepet ne baze te
kushteve te vendosura nga
administratori si edhe nga lidhja e
vendosur midis një rrjeti te
brendshëm dhe një rrjeti te jashtëm.
 Firewalls
Një firewall mund te ndërmarrë disa veprime gjate inspektimit te një
pakete:
Lejon (allow) paketën: Paketa lejohet te kaloje ne pjesën tjetër te rrjetit
Shkatërron paketën(drop): Nuk lejon qe paketa te kaloje ne anën tjetër.
Asnjë njoftim nuk i dërgohet përdoruesit.
Refuzon(reject) paketen: Nuk lejon qe paketa te kaloje ne anen tjeter dhe
dergon derguesit nje mesazh qe destinacioni është i paarritshëm.

Firewallet tradicionale bazohen ne një bashkësi rregullash, kurse me

modernet janë te bazuar ne një bashkësi aplikacionesh.

Firewallet tradicionale
Këto lloj firewallesh bazohen ne një bashkësi instruksionesh për te
kontrolluar veprimet e marra. Bashkësia e rregullave përmbajnë
informacione si:
• Adresa burim si p.sh adresa IP, adresa fizike MAC, emri i hostit. Adresa
burimi mund te jete edhe një range adresash si edhe kombinim i IP,
MAC dhe hostit.
• Adresa destinacion. Është adresa destinacion e paketës qe mbërrin ne
firewall. Është e ngjashme me adresën burim persa i përket
kombinimeve te IP, MAC dhe host.
 Firewalls
Firewallet tradicionale vazhdim
• Porta burim është porta TCP nga e cila po dërgohen paketat. Porta
burim mund te jete një porte specifike (p.sh porta 25), një kombinim
portash (0-100) ose te gjitha portat e mundshme.
• Porta destinacion është porta destinacion e paketës qe mbërrin ne
firewall.
• Protokolli. Përcakton protokollin e përdorur gjate transmetimit te
paketave. P.sh ne shtresën Transport te modelit OSI; TCP, UDP.
• Drejtimi i komunikimit. Drejtimi i paketave; Ne hyrje, ne dalje ose te dyja
• Lloji i vendimit. Është vendimi qe merr firewall ne baze te konfigurimeve
te bëra, si p.sh; Lejo, Shkatërro, Refuzo etj.
Konfigurimet e një firewall ruhen një file tekst ose ne një databaze te
brendshme dhe lexohen nga firewall gjate ndezjes se tij. Ne ketë mënyre
Firewallet tradicionale janë statike dhe me pak elastike ndaj ndryshime ne
rrjet. Mund te konsiderohen is te tipit IF-THEN; pra nëse plotësohet kushtet
ose rregullat e IF, atëherë ekzekutohen vendimet e THEN (lejim ose
bllokim)
Firewallet e aplikacioneve
Këto lloj firewallesh janë me “inteligjente” dhe marrin vendim bazuar ne
nivele me te larte te modelit OSI dhe kryesisht ne shtresën e aplikimit.
Njihen ndryshe edhe firewalle te gjeneratës tjetër. Vendimet e marra te
këtij firewalli bazohen ne llojin e aplikimit dhe jo ne rregullat e tipit
 Firewalls
tradicional si porta apo IP. Një tip firewall është firewall i aplikimeve web i
cili është i specializuar ne inspektimin e aplikimeve qe përdorin protokollin
http (https). Një firewall i tille bën dallimin midis një faqeje web qe mund te
jete social Network ose faqe bastesh sportive apo faqe me përmbajtje
vetëm për te rritur, ose një faqe për Storage online, bën dallimin midis
upload dhe download duke lejuar download por bllokon upload.
 VPN
VPN (virtual private Network) është një teknologji qe u lejon përdoruesve te
autorizuar te përdorin një rrjet te pasigurte (si p.sh internet) si te ishte një rrjet
privat i sigurte. Kjo arrihet nëpërmjet shifrimit te gjithë te dhënave midis pajisjes
dhe rrjetit privat. Dy janë tipet e VPN ne varësi te nyjes fillestare:

Client-toSite (ose remote-access VPN ose user-to-LAN). Ne ketë lloj VPN, një
përdorues lidhet me rrjetin privat, ku si pike hyrje për trafikun VPN është zakonisht
routeri kryesor, ose mund te jete një software(Ose HW) i ndodhur pas routerit.
Klienti i lidhur me VPN behet pas verifikimit të kredencialeve bëhet pjesë e LAN.

Site-toSite. Ne ketë lloj VPN behet lidhja midis dy rrjeteve te ndryshëm, Si pika
fundore shërbejnë routerat e dy rrjetave.

Pajisjet fundore te tunelit VPN janë përgjegjëse për shifrimin, enkapsulimin,

autentikimin e trafikut VPN. Klientët VPN nuk kane nevoje për programe te
veçanta, pasi i gjithë procesi është transparent për ta. Për transmetimet VPN
përdoren disa protokolle “tunelimi” qe shërbejnë për enkapsulimin e paketave
gjate procesit te transmetimit VPN:
 VPN
Client-to-Site përdor si protokoll tunelimi:

PPTP (point to point tunneling protocol)

L2TP/IPSEC (layer 2 tunneling protocol with IPSEC);i përdoruar kryesisht ne
pajisjet cisco.
SSTP(secure socket tunneling protocol)
IKEv2 (ose IPSEC)
Protokollet e tunelimi mund te kombinohen me disa protokolle autentifikimi

Site-to-Site përdor këto protokolle:

GRE(generic routing protocol)
IPSEC. IPSEC ka dy nen-protokolle:
ESP (encapsulated security payload) . Përdor një çelës simetrik për transmetimin
e te dhënave.
AH (authentication header). Krijon një hash për një pakete te caktuar duke fshehur
disa informacione nga header i paketës si p.sh IP e dërguesit etj.
 Internet content filters
Janë pajisje HW dhe SW qe shërbejnë për monitorimin, filtrimin e trafikut
http/https. Si filtrues te trafikut http, ato mund te ndalojnë afishimin e faqeve te
caktuara bazuar ne filtra dhe rregulla te caktuara. Gjithashtu bëjnë monitorimin e
përmbajtjeve te faqeve për malware, adware, rootkits, spyware, viruse etj.
Disa nga funksionalitet baze:
1. Filtrim ne baze te URL. Bllokim te faqeve bazuar ne URL e faqeve. P.sh
hate.com, *adult.com etj.
2. Skanim te përmbajtjes dhe parandalim te viruseve, wormeve dhe çdo lloj tjetër
malware.
3. Filtrim ne baze te profilit te faqes. P.sh ndalohet te gjitha faqet me përmbajtje
pornografike, ose faqet e basteve sportive.
4. Filtrim ne baze te reputacionit te faqes. P.sh një URL te caktuar i shënohet një
numër p.sh -3 dhe një website me numër reputacioni nga -5 deri ne -1 mund te
bllokohet ose te skanohet me tej për viruse dhe malware.
5. Filtrim te tipit te fileve. Te bllokohen p.sh te gjithë filet e ekzekutueshme (.exe
etj.) gjate shkarkimit te tyre nga përdoruesit e faqes web.
6. Raport i detajuar i trafikut te internetit nga përdorues te ndryshëm. P.sh çfarë
faqesh janë aksesuar ne një periudhe një mujore, bandwith i konsumuar etj.
 Parandalimi i hyrjeve te paautorizuara
Një IDS (Intrusion Detection System) mund te detektojë një sulm sapo ai ndodh.
IDS përdor metodologji te ndryshme për monitorimin e sulmeve. Një IDS mund te
instalohet ne një host lokal ose ne rrjet. Një zgjerim i IDS është IPS (Intrusion
Prevention System)

Metodat e monitorimit
Monitorimi nënkupton ekzaminimin e trafikut ne rrjet, aktivitetin e transaksioneve,
ose sjelljen e një sistemi te caktuar për te përcaktuar një anomali te mundshme qe
lidhet me sigurinë e informacionit. Katër janë metodologjitë: monitorim i anomalive,
monitorimi bazuar ne signature, monitorimi bazuar ne sjellje, monitorimi heuristik.

1. Monitorimi i anomalive është projektuar për te dedektuar anomalitë statistikore.

Se pari ndërtohet një bashkësi aktivitetesh normale dhe krahasohen me te
dhënat ne kohe reale. Ne rast se ka një devijim te madh nga linja baze e
përcaktuar, ngrihet një alarm. Avantazhi i kësaj metode është se mund te gjeje
anomalitë pa analizuar shkakun e kësaj anomalie. Kjo metode mund te japë
shume raste FalsePositive (pra qe rezultati i vendimit është i gabuar kur nuk ka
anomali), pasi sjellja e një sistemi mund te ndryshoje.
2. Metoda e dyte është skanimi i trafikut ne rrjet dhe krahasimi i te dhënave pas
skanimit me modele te njohura; e ngjashme me skanimin e një antivirusi për
malware. Një nga te metat e kësaj metode është se databaza e signature duhet
te behet update shpesh dhe mund te rritet ne madhësi, si dhe kjo metode nuk
gjen variantet e ndryshme qe mund te ketë një signature.
 Parandalimi i hyrjeve te paautorizuara
Metodat e monitorimit
3. Monitorimi i sjelljes përpiqet te anashkaloje dobësitë e dy metodave te para. Kjo
metode përdor si standard te monitorimit proceset “normalë” dhe veprimet mbi këto
procese. Ne mënyre te vazhdueshme analizohen sjellja e programeve dhe
proceseve te programeve te ndryshme dhe njofton përdoruesin për ndonjë sjellje te
“gabuar” te proceseve te ndryshme. Është vete përdoruesi qe merr një vendim te
bllokoje ose jo procesin.
4. Njihet si metoda heuristike dhe bazohet ne teknikat eksperimentale. Monitorimi
heuristik përdor një algoritëm për te përcaktuar nëse një kërcenim ekziston. P.sh tre
metodat e para mund te mos japin përgjigje për ndonjë kërcenim te mundshëm ne
rastin e një aplikimi qe skanon shume porta ne rrjet kurse metoda heuristike jep një
alarm si një kërcenim i mundshëm.

Dy janë llojet e IDS:

1. IDS i instaluar ne një host server; HIDS. HIDS është një aplikim i instaluar ne një
server dhe monitoron burimet e instaluara ne server. Gjithashtu hosti mund te
instaloje agjente ne servera te tjerë për te monitoruar shërbimet dhe mbledhur
loget nga këto hoste. HIDS monitor këto funksione:
• System callet e bëra nga aplikacionet e instaluara ne SO. HIDS monitoron
proceset, mënyrën e thirrjes dhe veprimet qe do te kryeje system call
• Aksesin ne sistemin e skedareve të përdoruesve.
• Aksesi ne regjistrin e sistemit operativ nga procese te ndryshme.
 Parandalimi i hyrjeve te paautorizuara
• Monitorimin e Input/Output për te investiguar mbi aktivitete te mundshme te
paligjshme. P.sh përdorimi i programeve te chatit nga aplikime te ndryshme kur
ky aplikim nuk është përdorur me pare nga sistemi, konsiderohet dhe raportohet
si një kërcenim i ri.
Një HIDS integrohet me antivirusin, firewallin, por ka edhe disa disavantazhe si:
• Nuk monitoroj trafikun ne rrjet, por vetëm trafikun ne server dhe ne hostet e
instaluara nga agjentet e hostit.
• Loget ruhen në serverin lokal ku është instaluar programi i IDS.
• Ul performancen e sistemit te hostit, pasi konsumon ndjeshëm burimet fizike.
2. NIDS është një IDS qe integrohet me firewallin, switchet ose ruterat kryesore dhe
monitoron dhe mbledh loget nga këto pajisje ne një server qendror. Teknikat e
vlerësimit qe përdor NIDS janë:
• Vlerësimi dhe verifikimi i protokollove; IP, TCP, UDO, ICMP
• Vlerësimi dhe verifikimi i aplikimeve; DNS, SMTP
NIDS përveç trafikut hyrës monitoron dhe trafikun dalës.

IPS
IPS eshë një IDS qe ndërmerr edhe një hap me tej ne parandalimin e hyrjeve. Një
IPS përveç se çon alarme tek administratoret e rrjetit dhe te sigurisë, çon dhe një
mesazh ne firewall duke e instruktuar për te bllokuar kërcënimin( p.sh bllokim i një
porte te caktuar). IPS është një IDS aktive ne sensin qe ndërmerr vendime për te
parandaluar kërcënimet krahasuar me IDS qe vetëm raporton një kërcenim te
mundshëm. IDS vendoset ne një linje me firewallin kryesor.
 NAT dhe PAT
NAT ose Network Adress Transalation zëvendëson IP private te një rrjeti ne një IP
publike. P.sh për IP private qe janë te parutueshme, shërbimi i NAT zëvendëson
ketë IP me IP publike te ruterit.

NAT zëvendëson IP private ne IP publike

Një variant i NAT është PAT (Port Address Translation) dhe lejon përdorimin
e një IP-e publike nga shume përdorues me IP private. NAT shton disa
elemente sigurie si p.sh duke fshehur IP private te përdoruesit te rrjetit te
brendshëm dhe shkatërrimin e paketave ne hyrje qe nuk kane qene dërguar
nga përdoruesit.
 DMZ
Te gjithë kompjuterat e një rrjeti privat qe janë te ekspozuar ne internet, pra
janë te ndare nga rrjeti i jashtëm, themi qe janë ne DMZ (demilitarized zone).
DMZ funksionon si një rrjet i ndare nga rrjeti i brendshëm.

Ne figure jepen një

webserver dhe një
mail server ne
ndërfaqen e DMZ,
kurse dy ndërfaqet e
tjera janë njëra për
Internet dhe një për
rrjetin e brendshëm.
Ne përgjithësi për te
rritur sigurinë mund te
përdoren dy firewalle
një për rrjetin e
brendshme dhe një
për DMZ.
 Subnetimi
Përveç avantazheve qe kane subnetet ne uljen e trafikut broadcast, subnetimi
ndihmon ne sigurinë e informacionit duke fshehur konfigurimin e brendshëm
te një rrjeti si edhe duke izoluar pjese te ndryshme te rrjetit nga njeri tjetri dhe
duke kontrolluar akseset nga njeri subnet tek tjetri. P.sh mund te vendoset
një akses ne router qe subneti i departamentit te juridikut mund te mos
aksesohet nga departamenti i IT .

VLAN
Lanet virtuale mundësojnë ndarjen logjike te përdoruesve te cilët mund te jene
te lidhur ne switche te ndryshme (ne kate te ndryshme te një godine p.sh). Vlan
caktohen ne nivel porte te një switch-i dhe vete switch tagon portën e switch
me një numër qe njihet si ID e Vlan. P.sh Vlan1, Vlan2 e kështu me rrudhë. Ne
kat mënyre mund te ofrohet siguri e ngjashme si ne subnetimin për shkak te
izolimit te trafikut. Trafiku nga dy servera ne Vlane te ndryshme kalojnë ne
default gateway nga ku mund te inspektohet nga firewall ose IDS.

Ushtrimet i gjeni tek fundi i kapitullit te librit ne anglisht.