INTERNACIONALI UNIVERZITET U NOVOM PAZARU

FAKULTET ZA INFORMATIKU I INFORMACIONE TEHNOLOGIJE

SEMINARSKI RAD
Predmet: PROJEKTOVANJE MRE A Tema: Firewall - za titni zid

Mentor: prof. dr.Mirsad Nukovi ass. Zoran Lon arevi

Student: Tatjana Dimitrijevi br.ind 2296 / 06

Pan evo, Novembar 2009.god. 1

FIREWALL

1. Uvod
Hardverski Firewall je deo hardvera koji u sklopu ra unarske mre e ima mogu nost da spre i nepropisni prenos podataka preko mre e koji je zabranjen od strane Policy(pravilnik o za titi). Firewall ima zadatak da kontroli e protok podataka izme u razli itih zona u ra unarskoj mre i. Obi no se Intrenet zona smatra nesigurnom, dok se lokalna mre a smatra relativno sigurnom. Najbitniji cilj je ostvarivanje normalnog odnosa izme u ove dve zone tako da jedna ne na kodi drugoj. U naj e em slu aju Firewall se brine da na ra unar ne dospe tetni kod (virus, crv itd.) sa globalne mre e - Interneta. Lai ki re eno, Firewall spre ava viruse da dospeju na ra unar, ali ih ne mo e le iti, odnosno ukloniti. Hardverski Firewall omogu uje za titu itave mre e ili odre enog broja ra unara. Firewall je sigurnosni element koji je dizajniran kako bi za titio poverljive, korporativne i korisni ke podatke od neautoriziranih korisnika (blokiranjem i zabranom prometa po pravilima koje defini e usvojena sigurnosna politika). Nije nu no da svi korisnici u LAN-u imaju jednaka prava pristupa Internet mre i. Postavljanjem Firewall ure aja izme u dva ili vi e mre nih segmenata mogu se kontrolisati prava pristupa pojedinih korisnika pojedinim delovima mre e. Firewall je dizajniran da dopu ta pristup valjanim zahtevima, a blokira sve ostale.

Ilustracija 1. Pojednostavljen prikaz funkcije jednog hardverskog Firewalla; Crvene nule i jedinice su tetni kod, dok su zelene nule i jedinice ono to korisnik stvarno ho e da vidi na ra unaru

Li ni Firewall je tradicionalno vrsta softvera instalirana na ra unaru krajnjeg korisnika koji kontroli e komunikaciju prema i sa ra unara, dozvoljavaju i ili zabranjuju i komunikaciju prema sigurnosnom profilu. Li ni Firewall se razlikuje od konvencionalnog Firewall-a zbog injenica da nema hardwarske razlike izme u Firewall softvera i korisni kih aplikacija. Li ni Firewall obi no titi samo jedan ra unar na koji je instaliran, osim u slu aju da drugi ra unari dele Internet konekciju od za ti enog ra unara. Softverski Firewall omogu ava za titu jednog ra unara, osim u slu aju kada je isti ra unar predodre en za za titu itave mre e.

Jo jedna razlika u odnosu na konvencionalne Firewall-e je da li ni Frewall mo e kontrolisati komunikaciju na na in da pita korisnika svaki put kada se poku a uspostaviti konekcija, i mo e 'u iti' putem odgovora, ustanovljavaju i koji Internet saobra aj korisnik eli pustiti od/prema ra unaru.

2. Firewall
Mo e se re i da je Firewall - servis koji se tipi no sastoji od Firewall ure aja i Policy-a (pravilnika o za titi), koji omogu uje korisniku filtriranje odre enih tipova mre nog prometa sa ciljem da pove a sigurnost i pru i odre eni nivo za tite od provale. Osnovna namena Firewall-a je da spre i neautorizovani pristup sa jedne mre e na drugu. Ako va sistem raspola e Firewall-om, to zna i da je odluka o tome ta je dozvoljeno, a ta nije - ve doneta. Ove odluke su u direktnoj vezi sa politikom sigurnosti va eg informacionog sistema. Pri planiranju ponude informacionih servisa, politika sigurnosti odre uje opcije konfiguracije servisa. Osnova rada Firewall-a je u ispitivanju IP paketa koji putuju izme u klijenta i servera, ime se ostvaruje kontrola toka informacija za svaki servis po IP adresi i portu u oba smera. Za Firewall je tipi an i kompromis izme u sigurnosti i lake upotrebe.

3. Uloga Firewall-a
Firewall je odgovoran za vi e va nih stvari unutar informacionog sistema:     Mora da implementira politiku sigurnosti. Ako odre eno svojstvo nije dozvoljeno, Firewall mora da onemogu i rad u tom smislu. Firewall treba da bele i sumnjive doga aje. Firewall treba da upozori administratora na poku aje proboja i kompromitovanja politike sigurnosti. U nekim slu ajevima Firewall mo e da obezbedi statistiku kori enja.

4. Podela potencionalnih napada a

4.1 Za tita lokalne mre e od tetnog delovanja napada a Firewall koji nema vrste i stroge politike prema dolaznim paketima podlo an je razli itim vrstama napada. Ukoliko Firewall ne podr ava kreiranje virtualnih privatnih mre a, a organizacija eli pristup sa odre enih IP adresa lokalnoj mre i, mogu e je konfigurisati propu ta pakete sa ta no odre enim izvori nim IP adresama. Ali takav na in postavljanja sadr i brojne nedostatke. Na primer napada se mo e domo i paketa i saznati logi ku adresu sa kojom je dozvoljeno spajanje na lokalnu mre u. Nakon toga napada mo e kreirati pakete kojim kao izvori nu stavlja logi ku adresu ra unara kojem je dozvoljeno spajanje i tako pomo u posebno prilago enih paketa naneti tetu lokalnoj mre i. Firewall je potrebno konfigurisati tako da onemogu ava razli ite postoje e napade. omogu iti Firewall da

Firewall bi trebao biti otporan na poznate napade kao to su :  Address Spoofing napad omogu ava da paket bude prosle en sa nepoznatog okru enja na neko od internih ra unara ukoliko napada kao izvori nu adresu uzme neku od adresa unutar lokalne mre e. Da bi se ovakva vrsta napada onemogu ila potrebno je onemogu iti prosle ivanje paketa koji kao izvori nu adresu imaju neku od lokalnih adresa, a kao ulazno okru enje ono okru enje koje je spojeno na Internet.  S murf napad spada u grupu napada koje imaju za cilj onemogu avanje rada pojedinih servera i ra unara, tj. DoS napad (eng. Denial of Service). Napada alje ICMP echo request paket na broadcast adresu cele lokalne mre e. Time su adresirani svi ra unari unutar lokalne mre e. Kao odredi te navodi se ciljni ra unar koji se eli onesposobiti velikim brojem odgovora. Za odbranu od ovakve vrste napada dovoljno je u konfiguracijskoj datoteci Firewalla onemogu iti broadcast paket.  Syn-Flood napad zasniva se na napada evom slanju velikog broja po etnih konekcijskih TCP paketa koji imaju postavljenu SYN zastavicu, i ignoriranjem TCP odgovora sa postavljenim SYN i ACK zastavicama. Time su resursi ciljanog ra unara zaokupljeni odgovaranjem na pakete. Da bi se spre io ovakav oblik napada potrebno je ograni iti na Firewallu broj dolaze ih TCP paketa.   Port-Scanner napad zasniva se na otkrivanju otvorenih TCP i UDP portova slanjem SYN ili FIN paketa na ciljane portove i ekanjem na RST odgovor. Potrebno je ograni iti broj takvih ispitivanja. Ping-of-Death napad mo e uzrokovati ru enje operativnog sistema, ukoliko se na ra unar usmeri veliki broj ICMP echo zahteva. Najbolje re enje je onemogu avanje echo-request paketa, a alternativo re enje je ograni enje broja ICMP echo zahteva. 4.2. Za tita od tetnog delovanja lokalnih korisnika

Prilikom konfigurisanja Firewalla najve a se pa nja posve uje obradi dolaznih paketa. Danas sve vi e komercijalnih Firewalla omogu ava bolju kontrolu rada korisnika. Oni su konfigurisani na na in da ne dozvoljavaju lokalnim korisnicima pristup odre enim materijalima. To mogu biti porno web stranice, web stranice koje propagiraju mr nju, web stranice za skidanje raznih video i audio zapisa itd... S obzirom na injenicu da takve stranice sve e e nastaju potrebno je osve avati podatke unutar Firewalla, tj. imati pretplatu kod distributera takvih informacija. Pri uvo enju restrikcija potrebno je paziti da se ne pretera sa ograni enjima, to bi moglo imati kontraefekt kod korisnika . Korisnici bi u takvoj situaciji bili u nemogu nosti da pristupe materijalima koji im poma u pri radu, ili bi takav tretman kod njih uzrokovao tj. pasivni otpor prema radu Prilikom konfiguracije Firewalla mogu e je primeniti razli ita pravila ograni enja spajanja lokalnih korisnika na Internet. Prvi koncept bio bi da se prema svim korisnicima lokalne mre e jednako odnosi, tj. da su svi u istom polo aju. Isto tako mogu e je lokalne ra unare svrstaviti u klase zavisno po njihovim IP adresama. Na taj na in mogu e je samo jednom sektoru unutar organizacije omogu iti nesmetani pristup Internetu, a ostalim ograni en ili nikakav.

4.3.

Administriranje

Onog trenutka kada se poruka "Veryfing User Name and Password" ukloni sa ekrana i po ne da odbrojava na e vrieme na Internetu, na provajder nam je dodelio jedinstvenu adresu koju u tom trenutku imamo samo mi na Internetu i niko drugi - to je tzv. IP adresa ili niz od 4 broja izmedju 0 i 255 razdvojenih ta kom (npr. 213 240.4.100). tzv. dinami ku IP adresu (svaki provajder ih ima nekoliko i kada se neko prika i dobije prvu slobodnu). Sama adresa nije dovoljna, jer je potrebno obezbediti posebne kanale za komunikaciju kako ne bi do lo do zabune. Zbog toga su uvedeni portovi. Po to je standardizacija uvek po eljna, portovi sa brojevima manjim od 1024 su rezervisani i imaju specijalnu namenu (zna i samo za posebna "vozila") dok su oni preostali namenjeni korisnicima. Tako npr. kada skidamo neke fajlove sa ftp servera, na ra unar e doti nom slati sve komande samo na port 21, a doti ni e ih samo tamo i o ekivati; fajlovi e pristizati na neki proizvoljni port na na em ra unaru (sa brojem ve im od 1024) - ponekad i na vi e odjednom. To obja njava kako je mogu e istovremeno surfovati na tri stranice, skidati nekoliko fajlova, slati i primati po tu i atovati. Problem je to mi sa obi nim Windowsom nemamo nikakvu kontrolu nad saobra ajem preko portova - podaci ulaze i izlaze a mi ne znamo ni odakle su do li ni gde idu Zato je potrebno administrirati i postaviti "naplatnu rampu" i "saobra ajce" - a to je upravo Firewall. Sve to sti e sa Interneta (ili lokalne mreze) ili odlazi sa na eg ra unara, prolazi preko Firewalla i doti ni program odlu uje uz na u pomo ) da li e to smeti da pro e ili ne. Nekima je opet najve a zabava u ivotu da takvim nepa ljivim ljudima obri u sve na ra unaru ili urade neku sli nu podlost. A kako oni znaju da li su neka vrata otvorena i koja su to od onih 65536? Jedan na in je da u na ra unar ubace virus ili trojanskog konja (preko e-maila, pomo u programa u koje je zamaskiran uljez ili li no instaliraju i program na na em ra unaru) koji e otvoriti neki unapred odredjeni port. Sve to zatim preostaje doti nom hakeru je da krene da adresira sve ra unare kod nekog provajdera (rekli smo da svaki provajder ima nekoliko IP adresa koje dodeljuje svojim korisnicima a hakeri znaju u kom se opsegu kre u te adrese) i da uz pomo odgovaraju eg softvera proveri da li je taj port otvoren. To se naziva TCP Port Scaning i uglavnom nije tetno po na ra unar (naravno -ako nemamo trojanca i imamo Firewall). Drugi na in je da poku a na silu da upadne kroz neki od portova - to se naziva Denial of Service attack (skraceno DoS attack). Radi se o tome da je neke programe mogu e toliko zbuniti suvi e velikim podatkom ili dovoljnim brojem ponavljanja neke instrukcije da se on jednostavno sru i i sa sobom povu e ceo Windows, ili da po ne da izvr ava neke instrukcije koje ina e ne bi sproveo u "normalnom" stanju (poput hipnotisanog oveka). U takve programe spadaju i na i browseri, programi za po tu, chat i mnogi drugi. I sam Windows esto ne e odoleti napadima na neki port sa brojem ispod 1024 i tako e se na ra unar, hteli mi to ili ne, pretvoriti u ftp, POP3, telnet ili neki drugi server koji je u slu bi doti nog hakera. Svaki dobar Firewall e prepoznati bilo koji od opisanih napada i spre iti napada a da bilo ta preduzme (ne e mu dozvoliti pristup preko odredjenog porta iako je ovaj otvoren). Glavni problem prilikom kori enja Firewalla je prepoznati da li je doti na IP adresa prijateljska ili ne, dali je port koji se upravo otvorio pod kontrolom nekog virusa ili to na browser uspostavlja komunika iju sa HTTP serverom i sl. Neki to odrade automatski i preduzmu odgovaraju e akcije ako se radi o napadu, a nama po alju odgovaraju e obave tenje (Black ICE), dok drugi rade poluautomatski i odmah prijave svaku sumnjivu stvar i od korisnika zahtevaju da odlu i ta dalje (ATGuard). Nedostatak prvih je to prijavljuju dosta la nih uzbuna ( ak i samog korisnika okarakteri u kao napada a), a nedostatak drugih je to je korisnik glavni krivac kada bez razloga izblokira neki svoj program ili stvori suvi e filtera pa ne mo e da uspostavi nekim serverom. 5

Cela ume nost rada sa ovim programima se dakle sastoji u razlikovanju normalne komunikacije od bezazlenih skeniranja portova, zaglupljivanja servera (kada poku aju da nam po alju podatke na neki drugi port pored onog dogovorenog), poku aja upada u na ra unar kada neki virus uspostavi vezu sa svojim gazdom i poku aja nekog hakera da brutalnom silom uleti u na ra unar.

5. Osnovne koncepcije Firewall skeniranja paketa

5.1. Statisti ko filtriranje paketa (stateless inspection) Filtriranje paketa osnovni je deo svakog Firewall. U tom se delu odlu uje da li mre ni paket treba biti prosle en na drugu mre u ili ne. Pri tome se kod stati kog filtriranja pregledaju razli iti podaci:      IP adrese odredi ta i izvori ta Vrsta protokola Odredi ni tj. izvori ni port Informacije o tablici usmjeravanja paketa Broj fragmentiranog paketa 5.2. Filtriranje paketa zavisno po vrsti protokola

Protokolno filtriranje paketa zasniva se na sadr aju IP protokolnog polja. Protokol koji se koristi unutar paketa odre uje da li paket treba proslijediti ili ne Neki od protokola su:  User Datagram Protocol (UDP)    Transmission Control Protocol (TCP) Internet Control Message Protocol (ICMP) Internet Group Management Protocol (IGMP) 5.3. Filtriranje paketa zavisno po IP adresama

Filtriranje zavisno po IP adresama omogu ava zabranu konekcija od ili prema odre enim ra unarima i ili mre ama, zavisno po nihovim IP adresama. Ukoliko administrator eli za titi mre u od neovla tenih zlonamernih napada a, on mo e zabraniti promet mre nih paketa koje kao odredi te imaju odre ene IP adrese. To je poprili no beskorisno jer napada i mogu promeniti IP adrese. Zbog toga je bolje dozvoliti pristup mre i samo odre enim paketima koji kao odredi te imaju odre ene sigurne IP adrese. 5.4. Filtriranje paketa zavisno po odredi nim tj. izvori nim portovima

Prilikom spajanja jednog ra unara na drugi , i jedan i drugi koriste odre ene pristupne portove, ukupni broj pristupnih portova je 65536 Prva 1024 porta su rezervisana za odre ene aplikacije i ne mogu se koristiti za neke druge. Primer HTTP koristi port 80, FTP port 20 i 21, DNS port 53 itd... Administrator zavisno po aplikacijama mo e ograni iti pristup mre nim paketima. Neki aplikacijski protokoli su izrazito osetljivi na mre ne napade pa je potrebno onemogu iti pristup istima (Telnet, NetBIOS Session, POP, NFS, X Window, ...). Ti portovi su posebno osetljivi na napad zbog velikog nivoa kontrole koju pru aju napada u. Neki drugi portovi mogu biti iskori teni da bi se uni tile odre ene bitne informacije. Takav port je DNS. 6

5.5.

Filtriranje paketa zavisno o ruti usmeravanja paketa (eng. Source Routing)

Source routing je proces odre ivanja ta no odre ene rute kojom paket treba pro i prilikom putovanja prema cilju odnosno prilikom povratnog putovanja. Napada i postavljanjem bilo koje IP adrese u polje za izvori te mogu omogu iti da im se povratni paket vrati, stavljaju i svoju vlastitu IP adresu. Pri tome oni mogu odrediti ta nu stazu kojom paket treba pro i, ili odrediti ciljne ra unare do kojih paket treba do i. 5.6. Filtriranje paketa zavisno po broju fragmenta paketa

U dana njim mre ama prevelike poruke se prenose ra lanjene (fragmentirane) u manje pakete. Veli ina paketa za prenos kori enjem IEEE 802.3 standarda jer je ograni ena sa maksimalnom veli inom od 1500 okteta. Po etno fragmentirana poruka na izvori tu mo e se jo dodatno fragmentirati na usmeriva ima preko kojih ta poruka prelazi.Tako ra lanjeni paketi se povezuju na odredi tu ,podaslanu poruku. Mogu e je na Firewall-u izvesti filtriranje, na na in da se odbacuje po etni fragmentirani paket koji jedini sadr i port aplikacije, i da se pretpostavi na osnovu te logike da e svi ostali paketi biti beskorisni jer ne e do i do aplikacije. Takvo filtriranje je danas beskorisno jer napada i mogu prvom odaslanom fragmentiranom paketu umjesto rednog broja 0 dodeliti redni broj 1. Na taj na in bi poruka na kraju stigla do eljene aplikacije.

6. Hardverski Firewall
         Dual Homed gateway Screened host gateway Virtuelne privatne mre e (VPN - Virtual Private Networks) Konfiguracija mre e bez servera Konfiguracija mre e sa jednim serverom i jednim Firewal-om Konfiguracija mre e sa jednim serverom i dva Frewall-a Konfiguracija mre e sa dimilitarizovanom zonom Firewall-i zasnovani na hostu Izolaciske mre e

6.1. Dual

Homed gateway

Dual-Homed Gateway ("me u-sistemski") je Firewall koji se sastoji od ra unara sa najmanje dva mre na adaptera. Ovakav sistem se normalno konfiguri e tako da se paketi ne rutiraju direktno sa jedne mre e (Internet) na drugu mre u (Intranet). Ra unari na Internet-u mogu da komuniciraju sa Firewall-om, kao i ra unari sa unutra nje mre e, ali je direktan saobra aj blokiran.Glavna mana Dual-Homed Gateway-a je injenica da blokira direktni IP saobra aj u oba pravca. Ovo dovodi do ne mogu nosti rada svih programa koji zahtevaju direktnu putanju TCP/IP paketa. Da bi se re io ovaj problem, Dual-Homed Gateway ra unari izvr avaju programe pod nazivom Proxy, da bi prosledili pakete izme u dve mre e. Umesto da direktno razgovaraju, klijent i server "pri aju" sa Proxy-jem, koji radi na bastion hostu. Po eljno je da Proxy bude transparentan za korisnike.

6.2.

Screened host gateway

Screened Host Gateway ("zaklonjeni") je Firewall koji se sastoji od bar jednog rutera i bastion hosta sa jednostrukim mre nim interfejsom. Ruter se tipi no konfiguri e da blokira sav saobra aj do unutra nje mre e tako da je bastion host jedini ra unar kome se mo e spolja pristupiti. Za razliku od Dual-Homed Gateway-a, Screened Host Gateway ne forsira sav saobra aj kroz bastion host; pomo u konfiguracije rutera mogu e je da se otvore "rupe" u Firewall-u, tako da postoji prolaz i do drugih ra unara u okviru unutra nje mre e. Bastion host je za ti en ruterom. Ruter se konfiguri e tako da dozvoli saobra aj samo za odre ene portove na bastion hostu. Dalje, ruter se mo e konfigurisati tako da dozvoljava saobra aj samo sa odre enih spoljnih ra unara. esto se ruter konfiguri e tako da se dozvoljava prolaz svih konekcija koje su potekle sa unutra nje mre e. Ovakva konfiguracija omogu ava korisnicima da koriste sve standardne mre ne funkcije pri komunikaciji sa spoljnom mre om bez kori enja Proxy servisa.

6.3.

Virtuelne privatne mre e (VPN - Virtual Private Networks)

Virtuelne privatne mre e (tzv. enkripcijski tuneli) omogu avaju sigurno spajanje dve fizi ki odvojene mre e preko Interneta bez izlaganja podataka neautoriziranim korisnicima. Zadatak vatrenogzida je da omogu i sigurno stvaranje virtualne veze nekog udaljenog ra unara sa za ti enom mre om.

Nakon

to je jednom uspe no uspostavljena, virtualna privatna mre a je za ti ena od neovla tenih

iskori enja, sve dok su enkripcijske tehnike sigurne. Koncept VPN-a omogu ava udaljenim korisnicima na neza ti enoj strani da direktno adresiraju ra unar unutar lokalne mre e, to drugim korisnicima nije mogu e zbog Network Address Translation-a i filtriranja paketa. Kako bi udaljeni korisnici uspe no pro li fazu spajanja na lokalnu mre u potrebno je da se uspe no obavi autentifikacija istih. Ta autentifikacija mora biti kriptirana da bi se spre ila kra a podataka od strane napada a i iskori tenje istih. 6.4. Konfiguracija mre e bez servera

U slu ajevima kada organizacija koja koristi Firewall ne pru a nikakve usluge korisnicima Interneta, Firewall je dovoljno konfigurirati na na in da propu ta samo pakete koji napu taju lokalnu mre u, i pakete koji dolaze kao povratne informacije na temelju uspostavljenih veza.

Ilustracija 2. Primer konfiguracije mre e bez servera

U slu ajevima kad je potrebno ostvariti vezu udaljenih lokacija, mogu e je uz datu konfiguraciju jedino primeniti fizi ko povezivanje udaljenih LAN-ova ku nih. 6.5. Konfiguracija mre e sa jednim serverom i jednim Firewal-om to je za ve inu organizacija ipak preskupo Zbog toga je ovakva konfiguracija re a kod ve ih organizacija, ali e a kod

Ukoliko organizacija treba da ima servere onda je potrebno konfigurisati mre u i Firewall na kompleksniji i na in od predhodnog opisa. Lokalna mre a mo e biti konfigurisana na na in da se koristi samo jedan Firewall i serveri unutar lokalne mre e ili izvan lokalne mre e. Ako je lokalna mre a konfigurisana na na in da su serveri locirani izvan lokalne mre e, konfiguracija lokalne mre e i Firewall-a mo e u potpunosti biti jednaka kao u slu aju mre e bez servera. Takva konfiguracija koja ne dozvoljava prolazak paketa prema za ti enoj mre i, ukoliko oni nisu deo neke prethodno uspostavljene veze, osigurava i dalje maksimalnu sigurnost za ra unare locirana u lokalnoj mre i. Ali ra unari locirani izvan lokalne mre e, koji rade kao serveri izlo ena su razli itim napadima. Zlonamerni napada i su u mogu nosti da izvedu DoS (eng. Denial of Service) napad, pri kojem se ostalim korisnicima Interneta, ali i lokalne mre e onemogu ava kori tenje usluga servera. Za organizaciju je ak puno gore od spomenutog napada ukoliko napada i modifikuje podatke koji se nalaze na serveru. Napada i mogu podvaljivati la na obave tenja serveriima , ili ak programe koji su virusi Time napada i mogu uveliko na tetiti ugledu organizacije.

10

Ilustracija 3. Primer konfiguracije mre e sa serverima lociranim izvan lokalne mre e

U slu aju kada je lokalna mre a konfigurisana na na in da su serveri locirani unutar lokalne mre e, konfiguracija lokalne mre e i Firewall-a je slo enija. Osim dolaznih paketa koji su deo uspostavljene veze potrebno je omogu iti i prolazak po etnih paketa samo prema serverima.

Za ti ena mre a

r***^Firew all

--------------------- [ INTERNET \_ ^ _ /

Ilustracija 4.Primer konfiguracije mre e sa serverima lociranim unutar lokalne mre e

Konfiguracija lokalne mre e sa serverima lociranim unutar lokalne mre e ostavlja brojne sigurnosne rupe koje ve ti napada i mogu iskoristiti. Napada i mogu iskoristiti konfiguraciju Firewalla koja propu ta i po etne pakete kako bi preko servera dospeli do ostalih ra unara u mre i ili barem saznali odre ene informacije o njima. 6.6. Konfiguracija mre e sa jednim serverom i dva Frewall-a

Kori tenjem dva Firewall-a, spre avaju se razli iti oblici napada koji bi ina e bili mogu i. Kao to je vidljivo sa slike , prvi Firewall se spaja na Internet i mre u servera, tzv vanjska lokalna mre a. Izme u mre e servera i lokalne mre e sme ta se drugi Firewall.

11

Ilustracija 5. Konfiguracija mre e sa jednim serverom i dva Frewall-a

Politike propu tanja paketa koju Firewalli primenjuju su razli ite. Firewall koji titi unutra nju lokalnu mre u propu ta samo one pakete prema unutra njoj lokalnoj mre i samo one pakete koji su deo neke uspostavljene veze. Firewall koji je spojen na Internetom mora uz te pakete propu tati i pakete koji su namenjeni serverima

6.7.

Konfiguracija mre e sa dimilitarizovanom zonom

U prethodnom primeru konfiguracije mre e potrebno je koristiti ak dva Firewalla. Time se usporava brzina prenosa podataka jer podaci prolaze dve obrade, ali i cena cele mre e jer je potrebno iskoristiti jedan ra unar kao Firewall. Re enje za spomenuti problem je kori tenje konfiguracije sa demilitariziranom zonom, koja pru a jednaku funcionalnost, ali br u i jeftiniju od prethodno opisane. Firewallu pomo u kojeg se filtrira mre ni promet dodeljene su dve mre e:   Interna lokalna mre a i Mre a server , tzv. demilitarizirana zona.

Ilustracija 6. Interna lokalna mre a i mre a server

Na Firewallu je potrebno postaviti takvu konfiguraciju koja e propu tati na interfejs prema unutra njoj lokalnoj mre i samo pakete koji su deo uspostavljene veze. Prema serverima je potrebno omogu iti slanje po etnih paketa i sa unutarnje lokalne mre e, i sa Interneta.

12

6.8.

Firewall-i zasnovani na hostu

U ovom se slu aju koristi ra unar umesto routera. To nudi mnogo vi e mogu nosti pra enja aktivnosti koje se odvijaju preko Firewalla. Dok Firewall zasnovan na routeru nadgleda pakete na IP prazini, hostovi prenose kontrolu na novim aplikacijama Da bi se osigurali od potencijalnih problema koji bi se mogli pojaviti zbog propusta u implementaciji sigurnosti u uobi ajenoj programskoj podr ci za mre ne usluge, Firewalli zasnovani na hostovima obi no koriste posebne verzije programa koji pru aju podr ku potrebnim servisima. To su naj e e ogoljene verzije orginalnih programa koje su zbog svoje kratko e puno jednostavnije za odr avanje, pa je i manja mogu nost za slu ajne propuste (bagove koji naru avaju sigurnost. Osnovni nedostatak takvih Firewalla je potreba za posebnom programskom podr kom za svaki od servisa koji treba podr ati za mre u "iza" Firewalla. Kao dodatna mera za tite naj e e se koristi kombinacija za tite na nivou aplikacije i filtriraju eg routinga kojega tako e obavlja sam host ili router. 6.9. Izolacijske mre e

Izolacijske mre e su vrlo sli ne Firewallima zasnovanim na hostu, osim to se izme u privatne mre e i Interneta ne postavlja host nego mre a. Me utim, ta se mre a mo e sastojati i od samo jednog vora konfigurisanog tako da i jedna i druga mre a mo e pristupiti izolacijskoj mre i, ali istovremeno tako da izolacijska mre a ne propu ta direktan promet izme u privatne mre e i Interneta. Glavna prednost izolacijske mre e je u tome to omogu ava jednostavnije postavljanje i dodeljivanje novih Internet adresa, naro ito kod velikih privatnih mre a koje bi se ina e morale znatno rekonstruisati. To u osnovi zna i da ra unari "iza" izolacijske mre e ne moraju imati adrese koje su poznate ra unarima na Internetu. Na taj na in se mo e priklju iti cela mre a ra unara "iza" Firewalla na Internet , kori tenjem samo jedne Internet adrese.

7. Softverski Firewall
        Halted Firewall Windows Firewall ZomeAlarm/YoneAlarmPro Black Ice Defender Norton Personal Firewall Sygate Personal Firwall Tinz Personal Firewall Kerio Personal Firewall 7.1. Halted Firewalli Ideja Halted Firewalla bazira se na postupku ga enja ra unara s Linux operativnim sistemom. Na modernim operativnim sistemima nije mogu e jednostavno ugasiti napajanje ra unara prilikom ga enja. U pravilu, ra unr pre samog prekidanja napajanja mora obaviti neke radnje kao to su spremanje zaostalih podataka na hard disk i sl., tako da se ga enje ra unara mora pokrenuti zadavanjem odre ene naredbe operativnom sistemu. U Linux-u se ga enje ra unara pokre e naredbama shutdown - h ili halt (ove naredbe su ekvivalentne). 13

7.2.

Windows Firewall

Automatski se instalira sa Service Packom 2 operativnog sistema Windows XP, ali se mo e onemogu iti njegov rad. Windows Firewall nije univerzalan s jednim skupom pravila, koji se mo e samo uklju iti ili isklju iti. Raspolo iva su tri osnovna na ina rada: y y y uklju en bez uslova, uklju en s uslovima, isklju en.

Nakon instaliranja, Windows Firewall se uklju uje s uslovima za sve postoje e veze, te e se s uslovima uklju ivati i za sve nove veze. Windows Firewall omogu uje odabiranje programa koji mogu primati podatke putem mre ne veze. Ako otkrije nepozvani dolazni promet, prikazuje se upozorenje. To se upozorenje mo e videti pri pokretanju programa koji zahteva dvosmernu interakciju s va im ra unarom i daje na raspolaganje 3 izbora: y y y dopustiti izvo enje programa pri emu se program dodaje u listu iznimki Firewalla, blokirati program zauvek, blokirati program samo ovaj put. 7.3. ZoneAlarm/ZoneAlarmPro

To je vrlo "prijateljski" prema korisnicima raspolo en Firewall. Upozorenja su opisna. Mo da ba i nije najbolji za profesionalce, jer se ini vrlo jednostavan. S druge strane, za po etnike nema boljeg programa. ZoneAlarm je jedini Firewall koji osim poku aja ulaska u va e ra unar posmatra i programe koji alju informacije sa ra unara. To je vrlo bitno ako slu ajno imamo instaliranog trojanskog konja. On e blokirati svaki program koji se poku ava spojiti na Internet. U trenutku prvog blokiranja nekog programa mo emo odlu iti ho emo li dozvoliti vezu programu samo jedan put, svaki put ili pak da nikada ne dozvolimo tom programu da se spoji na internet. Kasnije se mo emo predomisliti i promijeniti odobrenja. Tako e, Zone Alarm (i Zone Alarm Pro) ima dugme koje kada stisnemo, trenutno blokira svu vezu s Internetom. Zone Alarm je besplatna verzija Zone Alarm Pro-a i kao takva ima manje mogu nosti (Zone Alarm Pro uz standardne Firewallne mogu nosti pru a i za titu od spywarea, za titu od kra e identiteta, za titu privatnosti, blokira tetne privitke u e-mail porukama i slanje istih, pru a tzv. Triple Defense Firewall - za tita od malwarea, onemogu ava daljnji rad programa koji poku avaju po initi tetne aktivnosti, te sprje ava ne eljene promjene u operacijskom sustavu i Internet pretra iva u). 7.4. Black Ice Defender

Najve i razlog zbog koga je na ceni ovaj Firewall je taj to on, ne samo da blokira napade, nego ih pamti i otkriva informacije o napada u. Ve ina programa se oslanja na informacije koje se lako mogu otkriti, ali ba i nisu korisne. Black Ice Defender poku ava (i vrlo esto uspeva) da otkrije IP adresu napada a. Nakon toga imamo opciju da po aljemo te informacije napada evom Internet servisu. Posle toga esto usledi isklju enje korisnika. Lo a osobina Black Ice-a je ta to ga se te ko re iti ako ga vi e ne elimo. 7.5. Norton Personal Firewall

Sa njim dobijamo mno tvo funkcija koje mo emo "krojiti" po svojoj elji. Razni stepeni sigurnosti i sigurnosna pravila koja mo emo menjati su glavne karakteristike Norton Personal Firewall-a. Za tita na e privatnosti, koja ne dolazi sa ostalim programima koje spominjemo je vrlo dobra funkcija koju ne bi trebali zanemariti. 7.6. Sygate Personal Firewall

On ima mogu nost "zatvaranja" portova ako programi koji obi no koriste te izlaze nisu aktivni. Tako e, imamo i mogu nost postavljanja razli itih stepena sigurnosti za razli ito doba dana. Tako da kad 14

odemo na posao, a ne elimo isklju iti PC, mo emo postaviti ve u sigurnost kada nismo tu. Sli no Black Ice Defender-u, Sygate Personal Firewall ima mogu nost otkrivanja uljeza kao i tehnike koje su kori ene pri poku aju ulaska u na e ra unar. 7.7. Tiny Personal Firewall

Iako se zove "tiny" (eng. za "maleni", "sitni"), ovaj Firewall ide ruku-pod-ruku sa ostalima na tr i tu. Koristi manje resursa na eg ra unara nego ostali programi. Nedostatak je taj to nije razumljiv po etnicima. Upozorenja su veoma slo ena koja ak i napredni korisnici ne mogu razumjeti. Tako e, Tiny Personal Firewall ima mogu nost "udaljene" administracije, tako da firme mogu imati centralizovan pristup svakom ra unaru u mre i i menjati nivo za tite za svakog korisnika posebno. 7.8. Kerio Personal Firewall

To je li ni Firewall koji omogu ava za titu personalnih ra unara na vi e novoa. Network security modul osigurava uobi ajenu funkcionalnost Firewalla kroz mogu nost filtriranja TCP/IP prometa. Osim tog standardnog modula, Kerio Personal Firewall u sebi integri u i Application integrity modul za o uvanje integriteta aplikacija, Privacy protection modul za za titu korisnika od pop-up prozora, spyware programa, online oglasa i kra e kola i a (eng. cookie), te Intrusion detection modul za detekciju i blokiranje napada. Tako e, predefinisano je omogu en tzv. stealth na in rada koji sakriva za ti en ra unar od potencijalnih napada a, a bele enje aktivnosti je re eno vrlo kvalitetno i na vi e nivoa.

8. Zaklju ak:

Uloga i potreba Firewall-a u dana njici

U dana nje vreme kada je Internet potreban i va an resurs u svim organizacijama veoma je bitno posvetiti odre enu pa nju ra unarskoj sigurnosti. Pri tome Firewall-i imaju veliku ulogu jer tite organizacije od brojnih zlonamernih korisnika Interneta. Oni su prva brana koju napada mora pro i kako bi dospeo do eljenog cilja, za ti enih ra unara. Odabiranje eljenog Firewall-a sve je te i emu doprinosi i sve ve i broj nu enih Firewall-a. Ti Firewall-i mogu biti komercijalni ili besplatni. Komercijalni obi no nude lak e konfiguracije i ve i broj mogu nosti. Besplatni su obi no beskorisni bez stru njaka koji bi ih konfigurisali i odr avali. Osim podele na komercijalne i besplatne Firewall -ovi se mogu podeliti i na one zasnovane na Windows operativnim sistemima , te na Firewall-e zasnovane na Unix/Linux operativnim sistemima . Perfomanse i mogu nosti su im u osnovi jednake i neki proizvo a i Firewall-a izra uju Firewall-e koji rade na oba operativna sistema . Zavisno o potrebama organizacija ili korisnika mogu e je konfigurisati lokalnu mre u i Firewall koji lokalnu mre u titi od novla enih zlonamernih korisnika na razli ite na ine. Pri tome mogu e je koristiti razli ita re enja, bilo hardverska ili softverska.

15

SADR AJ

Uvod Firewall Uloga Firewall-a Podela potencionalnih napada a 4.1. Za tita lokalne mre e od tetnog delovanja napada a 4.2. Za tita od tetnog delovanja lokalnih korisnika 4.3. Administriranje 5. Osnovne koncepcije Firewall skeniranja paketa 5.1. Statisti ko filtriranje paketa (stateless inspection) 5.2. Filtriranje paketa zavisno po vrsti protokola 5.3 .Filtriranje paketa zavisno po IP adresama 5.4 .Filtriranje paketa zavisno po odredi nim tj. izvori nim portovima 5.5. Filtriranje paketa zavisno o ruti usmeravanja paketa (eng. Source Routing) 5.6. Filtriranje paketa zavisno po broju fragmenta paketa 6. Hardverski Firewall 6.1.Dual Homed gateway 6.2. Screened host gateway 6.3. Virtuelne privatne mre e (VPN - Virtual Private Networks) 6.4. Konfiguracija mre e bez servera 6.5. Konfiguracija mre e sa jednim serverom i jednim Firewal-om 6.6. Konfiguracija mre e sa jednim serverom i dva Frewall-a 6.7. Konfiguracija mre e sa dimilitarizovanom zonom 6.8. Firewall-i zasnovani na hostu 6.9. Izolacijske mre e 7. Softverski Firewall 7.1. Halted Firewalli 7.2. Windows Firewall 7.3. ZoneAlarm/ZoneAlarmPro 7.4. Black Ice Defender 7.5. Norton Personal Firewall 7.6. Sygate Personal Firewall 7.7. Tiny Personal Firewall 7.8. Kerio Personal Firewall 8. Zaklju ak: Uloga i potreba Firewall-a u dana njici

1. 2. 3. 4.

2 3 3 2 2 3 4 6 5 6 5 5 6 6 6 6 7 8 8 9 10 11 12 12 12 12 13 13 13 13 13 14 14 14

16

Literatura
1. http://sr.wikipedia.org/wiki/%D0%97%D0%B0%D1%88%D1%82%D0%B8%D1 %82%D0%BD%D0%B8_%D0%B7%D0%B8%D0%B4 2. http://hakovanje.dzaba.com/custom.html 3. http://en.wikipedia.org/wiki/Firewall_(networking) 4. http://info300.net/FedoraFirewall/ 5. http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_configuration _example09186a008089f467.shtml 6. http://www.cert.hr/plainhtmlpage.php?id=25&lang=hr 7. http://www.doboj.com/dnnsite/doboj/Internet/FirewallsVatreniZidovi/tabid/233/lan guage/en-US/Default.aspx 8. http://www.all-internet-security.com/top_10_Firewall_software.html 9. http://personal-Firewall-software-review.toptenreviews.com/

17