Firewall
FirewallSemir eliUvodFirewall (bukvalan prevod vatrozid) je
sigurnosni element (mreni ureaj ili program) smjeten izmeu neke
lokalne mree i javne mree (Interneta), a koji je dizajniran kako bi
zatitio povjerljive, korporativne i korisnike podatke od
neautoriziranih korisnika (blokiranjem i zabranom prometa po
pravilima koje definie usvojena sigurnosna politika). Nije nuno da
svi korisnici u LAN-u imaju jednaka prava pristupa Internet mrei.
Postavljanjem firewall-a izmeu dva ili vie mrenih segmenata mogu se
kontrolisati i prava pristupa pojedinih korisnika pojedinim
dijelovima mree. U takvom sluaju firewall je dizajniran da doputa
pristup valjanim zahtjevima, a blokira sve ostale. UvodFirewall moe
biti softverski ili hardverski. Softverski firewall titi jedn PC,
osim u sluaju kada je taj PC predodreen za zatitu itave mree. U tom
sluaju, firewall je postavljen na odreenom PC-u koje je spojen na
dvije mree: zatienu i nezatienu. Pri tome je vano napomenuti da je
brzina mrenog prometa smanjena jer se vre razliite provjere paketa.
Zbog toga je bitno da se koristi PC koji je pogodn za brzo
filtriranje paketa. Kao alternativa firewall-u koji je isti program
instaliran na odreenom PC danas se sve vie koriste hardverski
firewall. Kod hardverskog firewall-a maksimizira se brzina provjere
mrenih paketa, ali se i olakava konfiguracija samog firewall-a. Za
ispravan rad firewall-a, potrebno je precizno odrediti niz pravila
koja odreuju kakav promet je doputen, a kakav zabranjen.
Osnovni pojmoviZa razumevanje rada firewall-a potrebno je
poznavati tri struna pojma, a to su IP adrese i TCP i UDP portovi.
IP adresa: Sve to je povezano na Internet ima barem jednu
jedinstvenu IP adresu. To moe biti adresa raunara ili routera preko
kojeg je lokalna mrea spojena na Internet. TCP i UDP portovi:
Korisnik putem razliitih programa (ftp, mail, http, chat, msn)
koristi razne sadraje na Internetu koji se prenose u obliku TCP ili
UDP paketa. Da bi se razlikovali paketi razliitih programa, svaki
program ima svoj port (vrata, prolaz, kanal) po kojem alje i prima
pakete; tako npr. FTP koristi portove 20 i 21, HTTP port
80.Principi radaStatiko filtriranje paketa (eng. stateless
inspection)Filtriranje paketa osnovni je dio svakog firewall-a. U
tom se dijelu odluuje treba li mreni paket biti proslijeen na drugu
mreu ili ne. Pri tome se kod statikog filtriranja pregledavaju
razliiti podaci: Vrsta protokola IP adrese odredita i izvorita
Odredini tj. izvorini port Informacije o tabeli usmjeravanja paketa
Broj fragmentovanog paketa
Vrste napada
Vanjski napadi Firewalli koji nemaju vrste i stroge politike
prema dolaznim paketima podloni su razliitim vrstama napada.
Ukoliko firewall ne podrava kreiranje virtualnih privatnih mrea, a
organizacija eli omoguiti pristup sa odreenih IP adresa lokalnoj
mrei, mogue je konfigurisati firewall da proputa pakete sa tono
odreenim izvorinim IP adresama. Ali takav nain postavljanja sadri
brojne nedostatke. Na primjer, napada se moe domoi paketa te
saznati logiku adresu sa kojom je dozvoljeno spajanje Nakon toga
napada moe kreirati pakete kojima, kao izvorinu, stavlja logiku
adresu raunara kojem je dozvoljeno spajanje i tako pomou posebno
prilagoenih paketa nanijeti tetu lokalnoj mreina lokalnu mreu.
Hardverski Firewall Dual-Homed Gateway ("meu-sistemski") je
firewall koji se sastoji od raunara sa najmanje dva mrena adaptera.
Ovakav sistem se normalno konfigurie tako da se paketi ne routaju
direktno sa jedne mree (Internet) na drugu mreu (Intranet). Raunari
na Internet-u mogu da komuniciraju sa firewall-om, kao i raunari sa
unutranje mree, ali je direktan promet blokiran. Glavna mana
Dual-Homed Gateway-a je injenica da blokira direktni IP promet u
oba pravca. Ovo dovodi do nemogunosti rada svih programa koji
zahtijevaju direktnu putanju TCP/IP paketa. Da bi se rijeio ovaj
problem, Dual-Homed Gateway raunara izvravaju programe pod nazivom
Proxy, da bi proslijedili pakete izmeu dvije mree. Umjesto da
direktno razgovaraju, klijent i posluitelj "priaju" sa Proxy-jem,
koji radi na bastion hostu. Poeljno je da Proxy bude transparentan
za korisnike.
Hardverski firewallScreened Host Gateway ("zaklonjeni") je
firewall koji se sastoji od barem jednog routera i bastion hosta sa
jednostrukim mrenim izgledom. Router se tipino konfigurie da
blokira sav promet do unutranje mree tako da je bastion host jedini
raunar kome se moe izvana pristupiti. Za razliku od Dual-Homed
Gateway-a, Screened Host Gateway ne forsira sav saobraaj kroz
bastion host; pomou konfiguracije routera mogue je da se otvore
"rupe" u firewall-u, tako da postoji prolaz i do drugih raunara u
okviru unutranje mree. Bastion host je zatien routerom. Router se
konfigurie tako da dozvoli promet samo za odreene portove na
bastion hostu. Softverski firewallHalted firewall nije gotov
proizvod, odnosno nije ga mogue nabaviti u obliku programskog
paketa ili konfiguracije. To je samo ideja kako poboljati
sigurnosne karakteristike firewall-a baziranog na Linux alatima za
filtriranje paketa. Ideja halted firewall-a bazira se na postupku
gaenja raunara s Linux operativnim sistemom. Na modernim
operativnim sistemima nije mogue jednostavno ugasiti napajanje
raunara prilikom gaenja. U pravilu, raunar prije samog prekidanja
napajanja mora obaviti neke radnje kao to su spremanje zaostalih
podataka na hard disk i sl., tako da se gaenje raunara mora
pokrenuti zadavanjem odreene naredbe operativnom sistemu.
Softverski firewallPrednosti halted firewall-aOsnovna prednost
halted firewall-a je injenica da firewall radi na raunaru koji je,
gledano od strane korisnika, "mrtvo". Na firewall-u u halted stanju
nisu pokrenuti nikakvi servisi koji bi mogli posluiti za neovlateno
dobivanje root ovlatenja na samom firewall-u. Firewall je u
cijelosti baziran na Linux operativnom sistemu i realizovan je
pomou standardnih Linux alata za filtriranje paketa (IP Tables)
koji su standardno ukljueni u sve distribucije Linux-a. Programska
podrka kojom je firewall realizovan je besplatna i dolazi u sklopu
distribucije tako da ju nije potrebno skidati s Interneta. IP
tables programski paket se i dalje razvija, dodaju mu se nove
funkcije tako da se oekuje da e mogunosti firewall-a realizovanog
pomou njega u budunosti biti vee. Softverski firewall Nedostaci
halted firewall-a Nedostaci halted firewall-a proizlaze iz same
ideje rada firewall-a na raunaru koje je u halted stanju. Budui da
na firewall-u za vrijeme rada nije mogue pokrenuti nikakav
korisniki program ili servis, logovanjem dogaanja na firewall-u
nije mogue. Isto tako, administrator ne moe pratiti dogaanja na
firewall-u u realnom vremenu i ne postoji mogunost da se obavijesti
administratora o neregularnim aktivnostima na firewall-u. Isto tako
nije mogua niti udaljena administracija i nadzor. Administracija
firewall-a nije mogua ni za vrijeme normalnog rada. Da bi se
unijele promjene u pravila za filtriranje paketa, raunar je
potrebno ponovno pokrenuti (za vrijeme pokretanja raunara firewall
je izvan funkcije) i nakon unosa promjena, ponovo vratiti u halted
stanje. Windows Firewall Automatski se instalira sa Service Packom
2 operativnog sistema Windows XP, ali se moe onemoguiti njegov rad.
Windows firewall nije univerzalan i uopten sistem s jednim skupom
pravila, koji se moe samo ukljuiti ili iskljuiti. Raspoloiva su tri
osnovna naina rada: Ukljuen bez izuzetakaUkljuen s
izuzetcimaIskljuenNakon instaliranja, Windows firewall se ukljuuje
s izuzecima za sve postojee veze, te e se s izuzecima ukljuivati i
za sve nove veze. Windows firewall omoguuje odabiranje programa
koji mogu primati podatke putem mrene veze. Ako otkrije nepozvani
dolazni promet, prikazuje se upozorenje. Windows
firewallZoneAlarm/ZoneAlarmPro To je vrlo "prijateljski" prema
korisnicima raspoloen firewall. Upozorenja su opisna. Moda ba i
nije najbolji za profesionalce, jer se ini vrlo jednostavan. S
druge strane, za poetnike nema boljeg programa. ZoneAlarm je jedini
firewall koji osim pokuaja ulaska u va raunar posmatra i programe
koji alju informa cije sa raunara. Black Ice Defender Najvei razlog
zbog koga je na cijeni ovaj firewall je taj to on, ne samo da
blokira napade, nego ih pamti i otkriva informacije o napadau.
Veina programa se oslanja na informacije koje se lako mogu otkriti,
ali ba i nisu korisne. Windows FirewallZbog stalne prisutnosti na
Internetu, najve su izloeni korisnici ADSL-a, Cable Interneta i
stalnih veza, ali ni ostali korisnici Interneta nisu van opasnosti.
Svjedoci smo sve vee Internet opasnosti od virusa i krae privatnih
podataka. Firewall zatita je neizostavna u takvim sluajevima. Kada
se koristi ispravno firewall sprjeava neovlateno korienje i pristup
korisnikoj mrei. Glavni zadatak mu je paljivo analizirati ulazne i
izlazne podatke mree temeljeno na korisnikim postavkama. Zapravo
odigrava vanu ulogu bilo koje mree postavljajui zatitne barijere
protiv vanjskih napada. Za kune korisnike sklopovski firewall nije
potreban uz ve instaliran programski firewall, ali za koje ele
zatititi vie raunara u mrei sklopovski firewall je strogo
preporuljiv. Dakako, postoje i firewall-i koji dolaze u sklopu sa
antivirusnim programima. Primjeri antivirusnih programa sa
firewall-om: ESET Smart Security, Comodo Internet Security, AVG
Anti-Virus plus Firewal, Avast Internet Security, Norton Internet
Security.
Hvala na panji
