Full Version : Firewalls:
gordan54 >>Bezbijednost >>Firewalls:


<< Prev | Next >>

The Legolas- 11-19-2006
Dok ovo pishem radim na svome forumu tutorijale i objasnjenja za neke stvari vezano za Informacione Tehnologije Sigurnost i Zastitu.
Samim time resio sam da podelim jedan deo od stvari koje se nalaze na mome forumu a koji ce ja se nadam za jedno 4 meseca biti podignut i na internetu i imacete koristi i od njega.

koristio sam literaturu nebi li se podsetio nekih stvari tako da cu ovom prilikom da vam napishem tutorijal koji sam napisao i na svome forumu.


Firewall je pronadjen pre nekoliko godina i sada sluzi kao stub strategija informacione sigurnosti mnogih organizacija. Iako je Firewall fundamentalno veoma vazan, neka organizacija koja se oslanja na Firewall da popuni svoju sigurnost radi to glupo. Firewall nije neprobojan u stvari skoro da su mnoge najpopularnije platforme Firewalla postale zrtva nekih problema koji su dugo mucili operativne sisteme i aplikacije.


Sta je Firewall:

Firewall je bilo koji uredjaj koji se koristi kao mrezni nivo mehanizma pristupa kontroli za odredjenu mrezu ili skup mreza. u mnogim slucajevima, Firewall se koristi da zastiti unutrasnje mreze od pristupa spolja. Medjutim, Firewalls mogu se takodje koristiti da kreiraju sigurnije pakete u unutrasnjosti LAN za veoma osetljive funkcije kao sto je placanje, proces isplate i R&D sistema. Oni nisu ograniceni na perifernu upotrebu. uredjaji Firewall su usamljeni racunari ruteri ili (uredjaji) Firewall. Uredjaji Firewall su obicno privatni hardwarski uredjaji, cesto pokrenuti na odabraim ili privatni OS. CISKO PIX serija je dobar primer uredjaja Firewalls.

Firewalls su dizajnirani da sluze kao kontrolne tacke prema i iz vase mreze. Oni izvode konekcione zahteve kao sto ih primaju. Firewalls proveravaju da li treba ili ne treba da se dozvoli mrezni saobracaj sto se bazira na predefinisanom skupu pravila ili nacela. Samo zahtevi konekcije iz autorizovanih hostova prema autorizovanim odredistima se procesiraju. Ostali konekcioni zahtevi se odbacuju.

Karakteristike Firewalls:

Mogu se analizirati preko dolazecih paketa iz razlicitih protocola. Bazirajuci se na tu analizu Firewall moze preuzeti razlicite akcije. Imaju zbog toga mogucnost izvodjenja uslovnih izracunavanja ("ako se naidje na ovaj paket uradicu ovo"). Ove uslovne konstrukcije se nazivaju pravilima. generalno, kada podignete Firewall, snabdevate ga pravilima koja odgovaraju nacelima pristupa vasem racunaru ili firmi.

Na primer: Zelite da samo jedan racunar iz vase mreze ima pristup FTP sajtu. Da biste primenili ovo nacelu, obezbedjujete vasem Firewallu pravilo, u ovom slucaju pravilo je da se zahtevi konekcije za ostalim racunarima prema FTP sajtu zabrane. U ovom slucaju odredjuju se koje seme privilegije na mrezama odgovaraju operativnim sistemima.

Na primer: Windows NT omogucava vam da specifirate koji korisnici mogu pristupiti datom fajlu ili direktorijumu. Ovo je diskretan pristup kontroli na nivou operativnog sistema. Slicno, Firewalls omogucavaju vam da primenite takvu kontrolu pristupa na umrezenim radnim stanicama ili Web sajtu. Medjutim proveravanje pristupa je samo deo onoga sto mogu savremeni Firewalls da urade. Poslednjih godinua prodavci Firewalls poceli su da implementiraju prilaz na osobine razvoja, a to znaci da su mnogi prodavci odbacili svaku osobinu osimu svojim ponudama Firewalls.

Neke dodatne karakteristike ukljucuju:

Filtriranje sadrzaja:

Neke organizacije zele da zaustave svoje korisnike da pretrazuju odredjene Web sajtove, bazirane na elektronskoj posti, pornografske sajtove, i tako dalje. osobine filtriranja sadrzaa i servisi mogu da pomognu blokiranje ovih sajtova, kao i da zastitie neke tipove ActiveX i Java bazirane kodove i aplete. Konacno, filtriranje sadrzaja moze raditi neke antivirusne provere, iako je dobra ideja da se poseduje Antivirusni proizvodi na PC i Serverima elektronske poste.

Virtualno Privatno Umrezavanje (VPN - Virtual Private Network):

VPN se koristi da se prosledi saobracaj iz tacke A do tacke B sigurno. Obicno preko hosta mreza (kao sto je internet). Iako postoji sirok opseg posvecenih VPN uredjajima u prodaji danas prodavcni kao sto je CISKO su izbacili VPN servise u svojim ponudama Firewalla. Mnogi proizvodi Firewalla sada nude ovu funkcionalnost, kao i u LAN-prema LAN i tako dalje.

Prevodjenje mrezne adrese (NAT - Network Adress Translation):

Prevodjenje mreze adrese se cesto koristi za mapiranje ilegalnih ili rezervisanih blokova adrese. Na primer: Mapiranje 10.0.100.3 prema 206.246.131.227. Iako NAT nije neophodna osobina sigurnosti, prvi NAt uredjajikoji su se pojavili u kooperativnim okruzenjima su obicno proizvodi Firewalla.

Balansiranje - Ucitavanje:

Vise od generickoh termina nego bilo sta drugo, balansiranje ucitavanja je vestina segmentiranja saobracaja u distribuiranju. Iako je Firewall balansiranja ucitavanja jedna stvar, neki proizvodi Firewalla sada podrzavaju karakteristike koje ce pomoci vama da usmerite WEB i FTP saobracaj pri distribuiranju.

Tolerancija nedostataka:

Neki od savremenih Firewallskao sto je CISKO PIX i NOKIA/Chekpoint kombinacija podrzava neke slicne komplikovane osobine. Cesto se nazivaju high-availbility (HA) funkcionalnost, napredne karakteristike tolerancije nedostatka cesto dozvoljavaju Firewalls da se pokrenu u paru, sa jednim uredjajem koji funkcionise u ispravnosti ako drugi otkaze.

Otkrivanje upada:

Termin (otkrivanje upada) moze se oznacavati na mnoge stvari, ali u ovom slucaju neki prodavci pocinju da integrisu sasvim razlicit tip proizvoda sa svojom ponudom Firewalla. Iako ovo ne znaci kreiranje problema samog po sebi, ljudi treba da su oprezni o vrsti radne norme koja se namece njihovom Firewallu. Takodje on kreira pojedinacnu tacku neuspeha sa stanovnistva tacke sigurnosti.

Firewalls bazirani na paketu filtriranja:

Firewalls filtriranje paketa tipicno se rutiraju za mogucnostima paketne filtracije. koriscenjem osnovnog rutera filtriranja paketa, mozete odobriti ili zabraniti pristup vasem sajtu, baziranjem na nekoliko promenjilvih.

- Adresa izvora
- Adresa odredista
- Protkol
- Broj porta

Firewalls bazirani na ruteru su popularni jer se lako implementiraju. Sta vise, ruteri nude integraciono resenje. Ako se vasa mreza stalno konektuje na Internet, bice vam potreban ruter. Sa druge strane, Firewalls bazirani na ruteru imaju nekoliko mana. Oicno nisu pripremljeni u upravljanju trenutnim tipovima napada Denial of Service. Mnoge od taktika Denial of Service na Internetu danas se baziraju na unistavanju paketa. SYN proticanje ili pojavljivanje drugih TCP/IP anomalija. Osnovni ruteri nisu dizajnirani za upravljanje tim tipovima napada. Drugo, neki ruteri nizeg nivoa nemogu da sacuvaju trag stanja sesije podataka, sledi onda prisiljavanje da se zadrze svi portovi iznad 1024 otvoreni za upravljanje TCP sesije i posebnim pregovorima sesije. Koriscenje ACL (Access Control List) na ruterima viseg nivoa koji podrzavaju kranje zauzete mreze moze doprineti degradaciji performansi i vecem ucitavanju CPU. Medjutim za sporije konekcije na nizem nivou rutera normalno filtriranje paketa nece opteretiti ruter za neki znacajan stepen.

Firewalls bazirani na potpunom paketu filtriranja:

Filtriranje potpunog paketa izgradjen je prema konceptu filtriranja paketa i ima nekoliko koraka. Firewalls su izgradjeni na modelu koji vodi evidenciju o sesijama i konekcijama u unutrasnjim tabelama stanja i moze prema tome reargovati. Ovi Firewalls mogu otkriti anomalne situacije koje narusavaju standarde protokola koje ne moze da otkrije obican filter paketa. Ovo dozvoljava potpunom Firewallu da blokira napade koje moze filter paket da propusti. Zbog ovoga, proizvodi bazirani na potpunom filtriranju paketa su dizajnirali da zastitie od odredjenih tipova DoS napada, i da povecaju zastitu posti baziranoj na SMTP i izbor drugih posebnih karakteristika sigurnosti.

Posto su Firewalls bazirani na potpunom filtriranju paketa, oni tragaju za stanjima sesije, portovi iznad 1024 se zadrzavaju zatvorenim kao sto se podrazumeva i samo su otvoreni visi portovi.
Jednostavnije je nego sto zvuci, pa je ovo razlog zasto mnogi Administratori razmatraju potpuno filtriranje paketa za minimum koji je potreban tehnologiji koja ce implementirati u svojim resenjima Firewalla.

Firewalls bazirani na proksiju:

Firewalls koji su bazirani na proksiju uvek su bili sporiji nego oni koji su bazirani na potpunom filtriranju paketa. Pored toga ima problem performanse, resenje bazirano na proksiju takodje poseduje adaptvine metode.

To je to za sada od mene.


Free Forum Hosting by Forumer.comTM!