Firewall namena, princip rada, predlog

8/7/2019 Firewall namena, princip rada, predlog

http://slidepdf.com/reader/full/firewall-namena-princip-rada-predlog 1/16

Firewall namena, princip rada,predlog izbora

Duan Veljovi NRT 27/09

Visoka kola elektrotehnike i raunarstva



ta je Firewall?

Firewall je deo hardvera ili softvera koji u sklopu raunarske mree

ima mogunost da sprei nepropisni prenos podataka preko mree

koji je zabranjen od strane Policy(pravilnik o zatiti).

Firewall ima zadatak da kontrolie protok podataka izmeu razliitih

zona u raunarskoj mrei. Obino se Internet zona smatra

nesigurnom, dok se lokalna mrea smatra relativno sigurnom.

Firewall se brine da na raunar ne dospe tetni kod (virus, crv itd.)

sa globalne mree - Interneta. Laiki reeno, Firewall spreava

viruse da dospeju na raunar, ali ih ne moe leiti, odnosno ukloniti.



Uloga firewall-a

Mora da implementira politiku sigurnosti. Ako odreeno svojstvo

nije dozvoljeno,

Firewall mora da onemogui rad u tom smislu.

Firewall treba dab

elei sumnjive dogaaje. Firewall treba da upozori administratora na pokuaje proboja I

kompromitovanja politike sigurnosti.

U nekim sluajevima Firewall moe da obezbedi statistiku

korienja.



Hardverski firewall

Hardverski Firewall omoguuje zatitu itave mree ili odreenog

broja raunara.

Nije nuno da svi korisnici u LAN-u imaju jednaka prava pristupa

Internet mrei.

Firewall je dizajniran da doputa pristup valjanim zahtevima, a

blokira sve ostale.



Lini firewall(softverski)

Lini Firewall je tradicionalno vrsta softvera instalirana na raunaru

krajnjeg korisnika koji kontrolie komunikaciju prema i sa raunara,

dozvoljavajui ili zabranjujui komunikaciju prema sigurnosnomprofilu.

Jo jedna razlika u odnosu na konvencionalne Firewall-e je da lini

Frewall moe kontrolisati komunikaciju na nain da pita korisnika

svaki put kada se pokua uspostaviti konekcija, i moe 'uiti' putem

odgovora, ustanovljavajui koji Internet saobraaj korisnik elipustiti od/prema raunaru.



Napadi od kojih se treba uvati...

Firewall je potrebno konfigurisati tako da onemoguava razliite

postojee napade.

a) Address Spoofing

b) S murf

c) Syn flood

d) Port Scanner

e) Ping of death

f) Ostali...



Portovi kanali komunikacije

IP adresa ili niz od 4 broja izmedju 0 i 255 razdvojenih takom (npr.

213 240.4.100). tzv. dinamiku IP adresu (svaki provajder ih ima

nekoliko i kada se neko prikai dobije prvu slobodnu). Sama adresa

nije dovoljna, jer je potrebno obezbediti posebne kanale za

komunikaciju kako ne bi dolo do zabune

Zbog toga su uvedeni portovi. Poto je standardizacija uvek

poeljna, portovi sa brojevima manjim od 1024 su rezervisani i

imaju specijalnu namenu (znai samo za posebna "vozila") dok su

oni preostali namenjeni korisnicima.

ftp (21),http (80), ssl (22),telnet (23)

Zato je potrebno administrirati i postaviti "naplatnu rampu" i

"saobraajce" - a to upravo radi Firewall.



Filtriranje paketa

Statistiko filtriranje paketa

Filtriranje paketa zavisno po vrsti protokola

Filtriranje paketa zavisno po IP adresama

Filtriranje paketa zavisno o ruti usmeravanja paketa

Filtriranje paketa zavisno po broju fragmenta paketa



Hardverski firewall - Dual-Homed Gateway

Dual-Homed Gateway ("meu-sistemski") je Firewall koji se sastoji

od raunara sa najmanje dva mrena adaptera. Ovakav sistem se

normalno konfigurie tako da se paketi ne rutiraju direktno sa jedne

mree (Internet) na drugu mreu (Intranet). Raunari na Internet-u

mogu da komuniciraju sa Firewall-om, kao i raunari sa unutranje

mree, ali je direktan saobraaj blokiran.



Screened host gateway

Screened Host Gateway ("zaklonjeni") je Firewall koji se sastoji od

bar jednog rutera i bastion hosta sa jednostrukim mreniminterfejsom. Ruter se tipino konfigurie da blokira sav saobraaj do

unutranje mree tako da je bastion host jedini raunar kome se

moe spolja pristupiti.



Virtuelne privatne mree (VPN - Virtual

Private Networks)

Virtuelne privatne mree (tzv. enkripcijski tuneli) omoguavaju

sigurno spajanje dve fiziki odvojene mree preko Interneta bez

izlaganja podataka neautoriziranim korisnicima



Konfiguracija mree sa jednim serverom i

jednim Firewal-om

Izvan lokalne mree Unutar lokalne mreze



Konfiguracija mree sa jednim

serverom i dva Firewall-a



Konfiguracija mree sa dimilitarizovanom

zonom



Softverski Firewall

Halted Firewall

Windows Firewall

ZomeAlarm/YoneAlarmPro Black Ice Defender

Norton Personal Firewall

Sygate Personal Firewall

Tinz Personal Firewall

Kerio Personal Firewall



Zakljuak

U dananje vreme kada je Internet potreban i vaan resurs u

svim organizacijama veoma je bitno posvetiti odreenu

panju raunarskoj sigurnosti. Pri tome Firewall-i imaju veliku

ulogu jer tite organizacije od brojnih zlonamernih korisnikaInterneta. Oni su prva brana koju napada mora proi kako bi

dospeo do eljenog cilja, zatienih raunara.

Documents

Firewall namena, princip rada, predlog