ZATITA RAUNARSKIH MREA

Tema: Firewall

Banja Luka, 2012.

Predmet: Zatita raunarskih mrea

_________

____

Tema: Firewall

Sadraj Error! Bookmark not defined. Uvod ........................................................................................................................................................................................... 3 Osnovni pojmovi......................................................................................................................................................................... 4 Principi rada...4 Statiko filtriranje paketa (eng. stateless inspection) .................................................................................................................. 4 Filtriranje paketa zavisno o vrsti protokola ................................................................................................................................. 5 Filtriranje paketa zavisno o IP adresama odredita tj. izvorita .................................................................................................. 5 Filtriranje paketa zavisno o odredinim tj. izvorinim portovima ............................................................................................... 5 Filtriranje paketa zavisno o ruti usmjeravanja paketa (eng. Source Routing) ............................................................................. 6 Filtriranje paketa zavisno o broju fragmentiranog paketa ........................................................................................................... 6 Dinamiko filtriranje paketa (eng. stateful inspection) ............................................................................................................... 7 Vrste napada...8 Vanjski napadi ............................................................................................................................................................................ 8 Odlazni promet ........................................................................................................................................................................... 9 Hardverski firewall..10 Dual-Homed Gateway .............................................................................................................................................................. 10 Screened Host Gateway .............................................................................................................Error! Bookmark not defined. Softverski Firewall...11 Halted firewall ...........................................................................................................................Error! Bookmark not defined. Prednosti halted firewall ............................................................................................................Error! Bookmark not defined. Nedostaci halted firewall ...........................................................................................................Error! Bookmark not defined. Windows firewall ...................................................................................................................................................................... 14 ZoneAlarm/ZoneAlarmPro ....................................................................................................................................................... 15 Black Ice Defender ................................................................................................................................................................... 15 Norton Personal Firewall .......................................................................................................................................................... 16 Sygate Personal Firewall ........................................................................................................................................................... 16 Tiny Personal Firewall .............................................................................................................................................................. 16 Kerio Personal Firewall ............................................................................................................................................................ 16 Linkovi.............E rror! Bookmark not defined.

2 / 17

Predmet: Zatita raunarskih mrea

_________

____

Tema: Firewall

Uvod Firewall (bukvalan prevod vatrozid) je sigurnosni element (mreni ureaj ili program) smjeten izmeu neke lokalne mree i javne mree (Interneta), a koji je dizajniran kako bi zatitio povjerljive, korporativne i korisnike podatke od neautoriziranih korisnika (blokiranjem i zabranom prometa po pravilima koje definie usvojena sigurnosna politika). Nije nuno da svi korisnici u LAN-u imaju jednaka prava pristupa Internet mrei. Postavljanjem firewall-a izmeu dva ili vie mrenih segmenata mogu se kontrolisati i prava pristupa pojedinih korisnika pojedinim dijelovima mree. U takvom sluaju firewall je dizajniran da doputa pristup valjanim zahtjevima, a blokira sve ostale. Firewall ujedno predstavlja idealno rjeenje za kreiranje Virtualne Privatne mree jer stvarajui virtualni tunel kroz koji putuju kriptovani podaci omoguuje sigurnu razmjenu osjetljivih podataka meu dislociranim korisnicima. Firewall moe biti softverski ili hardverski. Softverski firewall titi jedn PC, osim u sluaju kada je taj PC predodreen za zatitu itave mree. U tom sluaju, firewall je postavljen na odreenom PC-u koje je spojen na dvije mree: zatienu i nezatienu. Pri tome je vano napomenuti da je brzina mrenog prometa smanjena jer se vre razliite provjere paketa. Zbog toga je bitno da se koristi PC koji je pogodn za brzo filtriranje paketa. Kao alternativa firewall-u koji je isti program instaliran na odreenom PC danas se sve vie koriste hardverski firewall. Kod hardverskog firewall-a maksimizira se brzina provjere mrenih paketa, ali se i olakava konfiguracija samog firewall-a. Za ispravan rad firewall-a, potrebno je precizno odrediti niz pravila koja odreuju kakav promet je doputen, a kakav zabranjen. Osnova rada firewall-a je u ispitivanju IP paketa koji putuju izmeu klijenta i servera, ime se ostvaruje kontrola toka informacija za svaki servis po IP adresi i portu u oba smjera. Za firewall je tipian i kompromis izmeu sigurnosti i lake upotrebe. Stav "sve to nije dozvoljeno je zabranjeno" zahtijeva da se svaki novi servis individualno omoguava. Firewall je odgovoran za vie vanih stvari unutar informacionog sistema:

firewall mora implementirati politiku sigurnosti. Ako odreeno svojstvo nije dozvoljeno, firewall mora onemoguiti rad u tom smislu. 3 / 17

Predmet: Zatita raunarskih mrea

_________

____

Tema: Firewall

firewall treba biljeiti sumnjive dogaaje firewall treba upozoriti administratora na pokuaje proboja i kompromitovanja politike sigurnosti u nekim sluajevima firewall moe omoguiti statistiku koritenja

Osnovni pojmovi Za razumijevanje rada firewall-a potrebno je poznavati tri struna pojma, a to su IP adrese i TCP i UDP portovi. IP adresa: Sve to je povezano na Internet ima barem jednu jedinstvenu IP adresu. To moe biti adresa raunara ili routera preko kojeg je lokalna mrea spojena na Internet. Svaki paket koji putuje Internetom u sebi sadri svoju izvorinu i svoju odredinu IP adresu, tako da se zna od koga je paket poslan i kome je poslan. TCP i UDP portovi: Korisnik putem razliitih programa (ftp, mail, http, chat, msn) koristi razne sadraje na Internetu koji se prenose u obliku TCP ili UDP paketa. Da bi se razlikovali paketi razliitih programa, svaki program ima svoj port (vrata, prolaz, kanal) po kojem alje i prima pakete; tako npr. FTP koristi portove 20 i 21, HTTP port 80, itd. to je manje portova ostavljeno otvoreno i to je manje adresa kojima ste dozvolili pristup, to je mogunost zlonamjernog pristupa raunaru manja. Prilikom podeavanja firewall-a potrebno je paljivo razmotriti koji promet smatramo poeljnim, a koji ne, pa e dobro konfigurisan firewall automatski doputati aplikacijama pristup Internetu ili pristup pojedinim posluiteljima preko definisanih protokola i portova i obrnuto. Principi rada Statiko filtriranje paketa (eng. stateless inspection) Filtriranje paketa osnovni je dio svakog firewall-a. U tom se dijelu odluuje treba li mreni paket biti proslijeen na drugu mreu ili ne. Pri tome se kod statikog filtriranja pregledavaju razliiti podaci: 4 / 17

Predmet: Zatita raunarskih mrea

_________

____

Tema: Firewall

Vrsta protokola IP adrese odredita i izvorita Odredini tj. izvorini port Informacije o tabeli usmjeravanja paketa Broj fragmentovanog paketa

Filtriranje paketa zavisno o vrsti protokola Protokolno filtriranje paketa zasniva se na sadraju IP protokolnog polja. Protokol koji se koristi unutar paketa odreuje da li paket treba proslijediti ili ne. Neki od protokola su:

User Datagram Protocol (UDP) Transmission Control Protocol (TCP) Internet Control Message Protocol (ICMP) Internet Group Management Protocol (IGMP)

Filtriranje paketa zavisno o IP adresama odredita tj. izvorita Filtriranje zavisno o IP adresama omoguava zabranu konekcija od ili prema odreenim raunarima i/ili mreama, zavisno o njihovim IP adresama. Ukoliko administrator eli zatiti mreu od neovlatenih zlonamjernih napadaa, on moe zabraniti promet mrenih paketa koje kao odredite imaju odreene IP adrese. To je poprilino beskorisno jer napadai mogu promijeniti IP adrese. Zbog toga je puno bolje dozvoliti pristup mrei samo odreenim paketima koji kao odredite imaju odreene sigurne IP adrese. Normalno ukoliko se napada domogne i tog popisa on moe paketima pridruiti kao odredinu IP adresu neku iz tog popisa. Filtriranje paketa zavisno o odredinim tj. izvorinim portovima Prilikom spajanja jednog raunara na drugi, i jedn i drugi raunar koristi odreene pristupne portove. Sveukupni broj pristupnih portova je 65536. Prva 1024 porta su rezervisana za odreene aplikacije i ne mogu se koristiti za neke druge. Primjer: HTTP koristi port 80, FTP port 20 i 21, DNS port 53 itd... Administrator zavisno od aplikacija moe ograniiti

5 / 17

Predmet: Zatita raunarskih mrea

_________

____

Tema: Firewall

pristup mrenim paketima. Neki aplikacijski protokoli su izrazito osjetljivi na mrene napade pa je potrebno onemoguiti pristup istima (Telnet, NetBIOS Session, POP, NFS, X Window, ...). Ti portovi su osobiti osjetljivi na napad zbog velike razine kontrole koju pruaju napadau. Neki drugi portovi mogu biti iskoriteni da bi se unitile odreene bitne informacije. Takav port je DNS. Filtriranje paketa zavisno o ruti usmjeravanja paketa (eng. Source Routing) Source routing je proces odreivanja tono odreene rute kojom paket treba proi prilikom putovanja prema cilju odnosno prilikom povratnog putovanja. Source routing je originalno koriten za analiziranje i testiranje, ali se u dananje vrijeme koristi od strane napadaa. Napadai postavljanjem bilo koje IP adrese u polje za izvorite mogu omoguiti da im se povratni paket vrati, stavljajui svoju vlastitu IP adresu. Pri tome oni mogu od rediti tonu stazu kojom paket treba proi, ili odrediti ciljna raunara do kojih paket treba doi. Filtriranje paketa zavisno o broju fragmentovanog paketa U dananjim mreama prevelike poruke se prenose ralanjene (fragmentovane) u manje pakete. Veliina paketa za prenos koritenjem ustaljenog IEEE 802.3 standarda jer ograniena sa maksimalnom veliinom od 1500 okteta. Poetno fragmentovane poruka na izvoritu moe se jo dodatno fragmentovati na usmjerivaima preko kojih ta poruka prelazi. Tako ralanjeni paketi se povezuju na odreditu u odaslanu poruku. Mogue je na firewall-u izvesti filtriranje, na nain da se odbacuje poetni fragmentovani paket koji jedini sadri port aplikacije, i da se pretpostavi zavisno toj logici da e svi ostali paketi biti beskorisni jer nee ni doi do aplikacije. Takvo filtriranje je danas beskorisno jer napadai mogu prvom odaslanom fragmentovanom paketu umjesto rednog broja 0 dodijeliti redni broj 1. Na taj nain bi poruka na kraju stigla do eljene aplikacije.

6 / 17

Predmet: Zatita raunarskih mrea

_________

____

Tema: Firewall

Dinamiko filtriranje paketa (eng. stateful inspection) Uobiajeni nain provjere mrenih paketa od strane firewall-a, tzv. stateless inspection, sadri velik broj propusta i sigurnosnih rupa. Tim nainom provjere paketi se analiziraju kao jedinke i nije mogue utvrditi da li oni pripadaju nekoj postojeoj vezi ili su to poetni paketi. Nasuprot tome, tzv. stateful inspection provjera mrenih paketa omoguava detaljniju analizu paketa. Mogue je utvrditi da li su paketi dijelovi neke uspostavljene veze ili ne. Za razliku od statikog filtriranja paketa koje analizira pakete samo na temelju njihovih zaglavlja, stateful inspection registruje i sve uspostavljene konekcije izmeu pojedinih mrenih okruenja, te na temelju njihovih stanja vri provjere. Stateful inspection firewall zbog toga mora odravati tablele stanja u kojima su odreenim vezama pridruene odreena stanja. Zbog toga se odluke o filtriranju donose na temelju ne samo administratorski definisanih pravila (tzv. statiko filtriranje), ve i na temelju sadraja prethodno proslijeenih paketa (tzv. dinamiko filtriranje). Problem kod firewall-a koji obavljaju statiku filtriranje je u tome to veina njih ostavlja otvorenim sve pristupne mrene portove iznad adrese 1024. Ti portovi su ostavljeni otvorenima zato to se odgovori sa nezatiene mree primaju na njima dok su portovi ispod rezervisani za druge protokole i aplikacije. Ali ostavljanje otvorenih tih portova predstavlja veliki sigurnosni nedostatak za firewall jer je mogue u trenucima kada firewall ima otvoren odreeni port i odreena aplikacija ga koristi da neovlateni korisnik poalje prilagoeni mreni paket na otvoreni port, i firewall baziran na statikom filtriranju ne moe sprijeiti takav upad paketa. Firewall sa podranim stateful inspection-om radi na drugaijem principu. On ne dozvoljava promet nikakvih paketa sa nezatiene mree osim onih koji pristupaju otvorenim portovima. Za razliku od statikog filtriranja, portovi iznad 1024 su zatvoreni, a otvaraju se samo kada je rije o uspostavljenoj vezi koju je uspostavilo raunar sa zatiene mree. Normalno mogue je dozvoliti i pristup portovima iznad 1024, ali time nestaju dobra svojstva dinamikog filtriranja (stateful inspection) naspram statikog filtriranja (stateless inspection).

7 / 17

Predmet: Zatita raunarskih mrea

_________

____

Tema: Firewall

Primjer za rad stateful inspection-a je sljedei: ukoliko se korisnik iz zatiene mree odlui spojiti na vanjsku nezatienu mreu, firewall e mu to dozvoliti. Svi paketi koje korisnik sa svog raunara alje na mreu dio su uspostavljene (eng. established) veze. Svi paketi koje korisnik prima na svoje raunar sa nezatiene mree takoer su dio established veze i firewall ih proputa na odreeni port. Ali ukoliko neko raunar iz nezatiene mree pokua poslati paket na raunar na zatienoj mrei, taj paket biti e dio nove (eng. new) veze i firewall nee dozvoliti prosljeivanje. Vrste napada Vanjski napadi Firewalli koji nemaju vrste i stroge politike prema dolaznim paketima podloni su razliitim vrstama napada. Ukoliko firewall ne podrava kreiranje virtualnih privatnih mrea, a organizacija eli omoguiti pristup sa odreenih IP adresa lokalnoj mrei, mogue je konfigurisati firewall da proputa pakete sa tono odreenim izvorinim IP adresama. Ali takav nain postavljanja sadri brojne nedostatke. Na primjer, napada se moe domoi paketa te saznati logiku adresu sa kojom je dozvoljeno spajanje na lokalnu mreu. Nakon toga napada moe kreirati pakete kojima, kao izvorinu, stavlja logiku adresu raunara kojem je dozvoljeno spajanje i tako pomou posebno prilagoenih paketa nanijeti tetu lokalnoj mrei. Firewall je potrebno konfigurisati tako da onemoguava razliite postojee napade. Veina dananjih proizvoaa firewall-a ponosno istie na koje napade su njihovi firewall otporni, ali nove vrste napada se svakodnevno razvijaju i sve su komplikovaniji i kompleksniji. Ipak svaki firewall bi trebao biti otporan na poznate napade kao to su sljedei navedeni: Address Spoofing napad omoguava da paket bude proslijeen sa vanjskog okruenja na nekoje od internih raunara ukoliko napada kao izvorinu adresu uzme neku od adresa unutar lokalne mree. U tom sluaju firewall je moda konfigurisan da omoguava prolazak paketa i time ciljni raunar moe primiti posebno prilagoeni paket. Da bi se ovakva vrsta napada onemoguila potrebno je onemoguiti prosljeivanje paketa koji kao izvorinu adresu imaju neku od lokalnih adresa, a kao ulazno okruenje ono okruenje koje je spojeno na Internet. 8 / 17

Predmet: Zatita raunarskih mrea

_________

____

Tema: Firewall

Smurf napad spada u grupu napada koje imaju za cilj onemoguavanje rada pojedinih servera i raunara, tzv. DoS napad (eng. Denial of Service). Napada odailje ICMP echo request paket na broadcast adresu cijele lokalne mree. Time su adresirana svi raunari unutar lokalne mree. Kao odredite navodi se ciljni raunar koje se eli onesposobiti velikim brojem odgovora. Za odbranu od ovakve vrste napada dovoljno je u konfiguracijskoj datoteci firewall-a onemoguiti broadcast paket. Syn-Flood napad zasniva se na napadaevom slanju velikog broja poetnih konekcijskih TCP paketa koji imaju postavljenu SYN zastavicu, i ignorisanjem TCP odgovora sa postavljenim SYN i ACK zastavicama. Time su resursi ciljanog raunara zaokupljeni odgovaranjem na pakete. Da bi se sprijeio ovakav oblik napada potrebno je ograniiti na firewall broj dolazeih TCP paketa. Port-Scanner napad zasniva se na otkrivanju otvorenih TCP i UDP portova slanjem SYN ili FIN paketa na ciljane portove i ekanjem na RST odgovor. Potrebno je ograniiti broj takvih ispitivanja. Ping-of-Death napad moe uzrokovati ruenje operativnog sistema, ukoliko se na raunaro usmjeri veliki broj ICMP echo zahtjeva. Najbolje rjeenje je onemoguavanje echo -request paketa, a alternativo rjeenje je ogranienje broja ICMP echo zahtjeva. Odlazni promet Prilikom konfigurisanja firewall-a najvea se panja posveuje obradi dolaznih paketa. Danas sve vie komercijalnih firewall-a omoguava bolju kontrolu rada zaposlenih. Oni su konfigurisani na nain da ne dozvoljavaju lokalnim korisnicima pristup odreenim materijalima. To mogu biti porno web stranice, web stranice koje propagiraju mrnju, web stranice za skidanje raznih video i audio zapisa itd... S obzirom na injenicu da takve stranice sve ee nastaju potrebno je osvjeavati podatke unutar firewall-a, tj. imati pretplatu kod distributera takvih informacija. Organizacijama je danas vrlo bitno da ogranie svojim zaposlenicima preveliku slobodu na Internetu kako ne bi nanijeli tetu ugledu organizacije posjeivanjem odreenih web 9 / 17

Predmet: Zatita raunarskih mrea

_________

____

Tema: Firewall

stranica (npr. djeja pornografija), ali i neobavljanjem posla za koji su zadueni. Pri uvoenju restrikcija potrebno je paziti da se ne pretjera sa ogranienjima, to bi moglo imati kontraefekt kod zaposlenika. Zaposlenici bi u takvoj situaciji bili u nemogunosti da pristupe materijalima koji im pomau pri radu, ili bi takav tretman kod njih uzrokovao tzv. pasivni otpor prema radu. Prilikom konfiguracije firewall-a mogue je primijeniti razliita pravila ogranienja spajanja lokalnih korisnika na Internet. Prvi koncept bio bi da se prema svim korisnicima lokalne mree jednako odnosi, tj. da su svi u istom poloaju. Isto tako mogue je lokalna raunare svrstati u klase zavisno o njihovim IP adresama. Na taj nain mogue je samo jednom sektoru unutar organizacije omoguiti nesmetani pristup Internetu, a ostalima ogranien ili nikakav. Firewall moe biti konfigurisan na nain da proputa sve pakete osim paketa koji su usmjereni prema raunarima sa odreenim IP adresama na Internetu. Na tim se raunarima nalaze materijali koji nisu potrebni zaposlenicima (porno materijali, audio zapisi, itd...). Mogue je primijeniti i drugaiji princip filtriranja paketa. Proputaju se paketi koji su namijenjeni samo raunarima koji imaju tono odreene IP adrese, a svi ostali paketi koji dolaze sa lokalne mree ne prosljeuju se. Takav koncept mogu primijeniti organizacije koje svojim zaposlenicima dozvoljavaju pristup samo prema raunarima na kojima se nalaze podaci bitni za rad zaposlenih.
Hardverski firewall

Dual-Homed Gateway ("meu-sistemski") je firewall koji se sastoji od raunara sa najmanje dva mrena adaptera. Ovakav sistem se normalno konfigurie tako da se paketi ne routaju direktno sa jedne mree (Internet) na drugu mreu (Intranet). Raunari na Internet-u mogu da komuniciraju sa firewall-om, kao i raunari sa unutranje mree, ali je direktan promet blokiran. Glavna mana Dual-Homed Gateway-a je injenica da blokira direktni IP promet u oba pravca. Ovo dovodi do nemogunosti rada svih programa koji zahtijevaju direktnu putanju TCP/IP paketa. Da bi se rijeio ovaj problem, Dual-Homed Gateway raunara izvravaju programe pod nazivom Proxy, da bi proslijedili pakete izmeu dvije mree. Umjesto da direktno razgovaraju, klijent i posluitelj "priaju" sa Proxy-jem, koji radi na bastion hostu. Poeljno je da Proxy bude transparentan za korisnike.

10 / 17

Predmet: Zatita raunarskih mrea

_________

____

Tema: Firewall

Screened Host Gateway ("zaklonjeni") je firewall koji se sastoji od barem jednog routera i bastion hosta sa jednostrukim mrenim izgledom. Router se tipino konfigurie da blokira sav promet do unutranje mree tako da je bastion host jedini raunar kome se moe izvana pristupiti. Za razliku od Dual-Homed Gateway-a, Screened Host Gateway ne forsira sav saobraaj kroz bastion host; pomou konfiguracije routera mogue je da se otvore "rupe" u firewall-u, tako da postoji prolaz i do drugih raunara u okviru unutranje mree. Bastion host je zatien routerom. Router se konfigurie tako da dozvoli promet samo za odreene portove na bastion hostu. Dalje, router se moe konfigurisati tako da dozvoljava promet samo sa odreenih vanjskih raunara. esto je da se router konfigurie tako da se dozvoljava prolaz svih konekcija koje su potekle sa unutranje mree. Ovakva konfiguracija omoguava korisnicima da koriste sve standardne mrene funkcije pri komunikaciji sa vanjskom mreom bez koritenja Proxy servisa.

Softverski firewall Halted firewall Halted firewall nije gotov proizvod, odnosno nije ga mogue nabaviti u obliku programskog paketa ili konfiguracije. To je samo ideja kako poboljati sigurnosne karakteristike firewall-a baziranog na Linux alatima za filtriranje paketa (IP Chains i IP Tables)1. Ideja halted firewall-a bazira se na postupku gaenja raunara s Linux operativnim sistemom. Na modernim operativnim sistemima nije mogue jednostavno ugasiti napajanje raunara prilikom gaenja. U pravilu, raunar prije samog prekidanja napajanja mora obaviti neke radnje kao to su spremanje zaostalih podataka na hard disk i sl., tako da se gaenje raunara mora pokrenuti zadavanjem odreene naredbe operativnom sistemu. U Linux-u se gaenje raunara pokree naredbama shutdown - h ili halt (ove naredbe su ekvivalentne).

http://linuxmafia.com/faq/Security/halted-firewalls.html

11 / 17

Predmet: Zatita raunarskih mrea

_________

____

Tema: Firewall

Nakon upisivanja jedne od ove dvije naredbe, na raunaru se pokree halt sekvenca, tj. dogaa se sljedee:

raunar prelazi u runlevel 0, izvravaju se sve skripte iz /etc/rc0.d direktorija (ove skripte su zaduene za gaenje svih servisa i posluitelja pokrenutih na raunaru),

gase se svi trenutno aktivni procesi, odspajaju (engl. unmount) se svi datoteni sistemi, gase se sva mrena zaglavlja, miu se svi vanjski moduli iz jezgre (kernel) operativnog sistema. Nakon to su napravljene sve navedene radnje, tj. nakon to je zavrila halt sekvenca, na

raunaru se moe iskljuiti napajanje (kod raunara s ATX kuitima, to se radi automatski). Stanje u kojem se raunar nalazi nakon zavretka halt sekvence, a prije gaenja napajanja, naziva se halted. U halted stanju raunar je, gledano od strane korisnika, "mrtvo", tj. na njemu se ne moe nita raditi jer su svi procesi, diskovi i mrena opcije ugaene. Ali budui da su procesor i memorija jo uvijek prikljueni na napajanje, procesor i dalje izvrava instrukcije koje se nalaze u memoriji. U halted stanju u memoriji ostaje samo jezgra (kernel) operativnog sistema budui da su svi procesi ugaeni tokom halt sekvence. Halted firewall je obian Linux firewall realizovan pomou Linux alata za filtriranje paketa (IP Chains ili IP Tables) kod kojeg se modifikacijama halt sekvence postiglo zadravanje funkcija za filtriranje paketa i u halt stanju. Nakon to je raunar ulo u halt stanje, sve njegove funkcije (osim funkcija za filtriranje paketa) su ugaene i rauna r radi iskljuivo kao firewall. To je vrlo povoljno sa sigurnosnih aspekata zato to su napadi prilikom kojih napada dobiva root ovlatenja nad raunrom u potpunosti onemogueni (raunar je, gledano od strane korisnika, potpuno "mrtvo"). U pogledu DoS napada, halted firewall nema nikakvih prednosti (ali niti mana) u odnosu na obian firewall baziran na Linux alatima za filtriranje paketa (IP Chains i IP Tables).

12 / 17

Predmet: Zatita raunarskih mrea Prednosti halted firewall-a

_________

____

Tema: Firewall

Osnovna prednost halted firewall-a je injenica da firewall radi na raunaru koji je, gledano od strane korisnika, "mrtvo". Na firewall-u u halted stanju nisu pokrenuti nikakvi servisi koji bi mogli posluiti za neovlateno dobivanje root ovlatenja na samom firewall-u. Firewall je u cijelosti baziran na Linux operativnom sistemu i realizovan je pomou standardnih Linux alata za filtriranje paketa (IP Tables) koji su standardno ukljueni u sve distribucije Linux-a. Programska podrka kojom je firewall realizovan je besplatna i dolazi u sklopu distribucije tako da ju nije potrebno skidati s Interneta. IP tables programski paket se i dalje razvija, dodaju mu se nove funkcije tako da se oekuje da e mogunosti firewall-a realizovanog pomou njega u budunosti biti vee. Osim navedenog, velika prednost halted firewall-a je i njegova jednostavnost kao i cijena. ak i neiskusniji korisnici mogu vrlo lako i brzo svladati cjelokupnu sintaksu IP Tables programa. Na taj nain mogu se kreirati firewall koji u potpunosti odgovaraju korisnikovim potrebama. Takoer, halted firewall je besplatan i za njegovu izvedbu nije potrebno veliko novano ulaganje. Nedostaci halted firewall-a Nedostaci halted firewall-a proizlaze iz same ideje rada firewall-a na raunaru koje je u halted stanju. Budui da na firewall-u za vrijeme rada nije mogue pokrenuti nikakav korisniki program ili servis, logovanjem dogaanja na firewall-u nije mogue. Isto tako, administrator ne moe pratiti dogaanja na firewall-u u realnom vremenu i ne postoji mogunost da se obavijesti administratora o neregularnim aktivnostima na firewall-u. Isto tako nije mogua niti udaljena administracija i nadzor. Administracija firewall-a nije mogua ni za vrijeme normalnog rada. Da bi se unijele promjene u pravila za filtriranje paketa, raunar je potrebno ponovno pokrenuti (za vrijeme pokretanja raunara firewall je izvan funkcije) i nakon unosa promjena, ponovo vratiti u halted stanje. Na firewall-u su za vrijeme normalnog rada (u halted stanju) ugaeni hard diskovi tako da nema mogunosti privremene pohrane podataka na swap disk. Ovo moe biti veliki problem na mreama s velikim prometom jer moe doi do zaguenja firewall-a ako u raunaru nema dovoljno memorije. Preporua se da se kod realizacije halted firewall-a koristi raunar s minimalno 256MB RAM memorije (za

13 / 17

Predmet: Zatita raunarskih mrea

_________

____

Tema: Firewall

mree do 10 raunara). Za vee mree potrebno je koristiti raunar s 512MB RAM memorije ili vie. Windows firewall Automatski se instalira sa Service Packom 2 operativnog sistema Windows XP, ali se moe onemoguiti njegov rad. Windows firewall nije univerzalan i uopten sistem s jednim skupom pravila, koji se moe samo ukljuiti ili iskljuiti. Raspoloiva su tri osnovna naina rada:

Ukljuen bez izuzetaka Ukljuen s izuzetcima Iskljuen Nakon instaliranja, Windows firewall se ukljuuje s izuzecima za sve postojee veze, te

e se s izuzecima ukljuivati i za sve nove veze. Windows firewall omoguuje odabiranje programa koji mogu primati podatke putem mrene veze. Ako otkrije nepozvani dolazni promet, prikazuje se upozorenje. To se upozorenje moe vidjeti pri pokretanju programa koji zahtijeva dvosmjernu interakciju s vaim raunarom i daje na raspolaganje 3 izbora:

Dopustiti izvoenje programa pri emu se program dodaje u listu izuzetaka firewall-a Blokirati program zauvijek Blokirati program samo ovaj put

Listu programa i otvorenih prikljunica takoer moemo dodati runo u listu programa ili prikljunica koje Windows firewall proputa. ZoneAlarm/ZoneAlarmPro To je vrlo "prijateljski" prema korisnicima raspoloen firewall. Upozorenja su opisna. Moda ba i nije najbolji za profesionalce, jer se ini vrlo jednostavan. S druge strane, za poetnike nema boljeg programa. ZoneAlarm je jedini firewall koji osim pokuaja ulaska u va raunar posmatra i programe koji alju informacije sa raunara. To je vrlo bitno ako sluajno imamo instaliranog trojanskog konja. On e blokirati svaki program koji se pokuava 14 / 17

Predmet: Zatita raunarskih mrea

_________

____

Tema: Firewall

spojiti na internet. U trenutku prvog blokiranja nekog programa moemo odluiti hoemo li dozvoliti vezu programu samo jedan put, svaki put ili pak da nikada ne dozvolimo tom programu da se spoji na internet. Kasnije se moemo predomisliti i promijeniti odobrenja. Takoer, Zone Alarm (i Zone Alarm Pro) ima dugme koje kada stisnemo, trenutno blokira svu vezu s internetom. Zone Alarm je besplatna verzija Zone Alarm Pro-a i kao takva ima manje mogunosti (Zone Alarm Pro uz standardne firewall mogunosti prua i zatitu od spywarea, zatitu od krae identiteta, zatitu privatnosti, blokira tetne poruke u e-mail porukama i slanje istih, te prua tzv. Triple Defense Firewall - zatita od malwarea, onemoguava daljnji rad programa koji pokuavaju poiniti tetne aktivnosti, te sprjeava neeljene promjene u operativnom sistemu i internet pregledniku)2. Black Ice Defender Najvei razlog zbog koga je na cijeni ovaj firewall je taj to on, ne samo da blokira napade, nego ih pamti i otkriva informacije o napadau. Veina programa se oslanja na informacije koje se lako mogu otkriti, ali ba i nisu korisne. Black Ice Defender pokuava (i vrlo esto uspijeva) da otkrije IP adresu napadaa. Nakon toga imamo opciju da poaljemo te informacije napadaevom internet servisu. Poslije toga esto uslijedi iskljuenje korisnika. Loa osobina Black Ice-a je ta to ga se teko rijeiti ako ga vie ne elimo3. Norton Personal Firewall Sa njim dobivamo mnotvo funkcija koje moemo "krojiti" po svojoj elji. Razni stepeni sigurnosti i sigurnosna pravila koja moemo mijenjati su glavne karakteristike Norton Personal Firewall-a. Zatita nae privatnosti, koja ne dolazi sa ostalim programima koje spominjemo je vrlo dobra funkcija koju ne bi trebali zanemariti4.

http://www.zonelabs.com http://www.networkice.com http://www.symantec.com

15 / 17

Predmet: Zatita raunarskih mrea Sygate Personal Firewall

_________

____

Tema: Firewall

On ima mogunost "zatvaranja" portova ako programi koji obino koriste te izlaze nisu aktivni. Takoer, imamo i mogunost postavljanja razliitih stepena sigurnosti za razliito doba dana. Tako da kad odemo na posao, a ne elimo iskljuiti PC, moemo postaviti veu sigurnost kada nismo tu. Slino Black Ice Defender-u, Sygate Personal Firewall ima mogunost otkrivanja uljeza kao i tehnike koje su koritene pri pokuaju ulaska u na raunar5. Tiny Personal Firewall Iako se zove "tiny" (eng. za "maleni", "sitni"), ovaj firewall ide ruku-pod-ruku sa ostalima na tritu. Koristi manje resursa naeg raunara nego ostali programi. Nedostatak je taj to nije razumljiv poetnicima. Upozorenja su veoma sloena koja ak i napredni korisnici ne mogu razumjeti. Takoer, Tiny Personal Firewall ima mogunost "udaljene" administracije, tako da organizacije mogu imati centralizovan pristup svakom raunaru u mrei i mijenjati nivo zatite za svakog korisnika posebno6. Kerio Personal Firewall To je lini firewall koji omoguava zatitu linih raunara na vie razina. Network security modul osigurava uobiajenu funkcionalnost firewall-a kroz mogunost filtriranja TCP/IP prometa. Osim tog standardnog modula, Kerio Personal Firewall u sebi integrira i Application integrity modul za ouvanje integriteta aplikacija, Privacy protection modul za zatitu korisnika od pop-up prozora, spyware programa, online oglasa i krae kolaia (eng. cookie), te Intrusion detection modul za detekciju i blokiranje napada. Takoer, predefinisano je omoguen tzv. stealth nain rada koji sakriva zatieni raunar od potencijalnih napadaa, a biljeenje aktivnosti je rijeeno vrlo kvalitetno i na vie razina7.

http://www.sygate.com http://www.tinysoftware.com http://www.kerio.com

16 / 17

Predmet: Zatita raunarskih mrea Linkovi

_________

____

Tema: Firewall

1.http://linuxmafia.com/faq/Security/halted-firewalls.html 2.http://www.zonelabs.com 3.http://www.networkice.com 4.http://www.symantec.com

5.http://www.sygate.com

6.http://www.tinysoftware.com

7.http://www.kerio.com

17 / 17