PUNIM DIPLOME

“SIGURIA E FIREWOLLEVE DHE FIREWALL’I”

PUNOI: Aldi Toska UDHEHEQËSI I DIPLOMËS:Prf.Dr Fatmir Basholli

555555555555555555555555555555555555555555555555555555555

1
 Mirënjohje

Në përfundim të vitit të tretë në shkollën e lartë private “Vitrina” ndiej nevojën dhe
detyrimin për të falenderuar të gjithë personat, të cilët kanë mundësuar arsimimin tim në
këtë shkollë.Ndiej mirënjohje për të gjithë ata persona që më kanë mbështëtur në këtë
rrugëtim.I jam mirënjohës të gjithë pedagogëve për përkrahjen dhe punën e tyre të
palodhur.

2
 Abstrakti

Firewall’et moderne janë më të mundshëm të punojnë në lidhje me tools’a të tillë si

e-mail’et, kapaciteti i skanimeve për viruset dhe për aplikimet e dëmshme për kodet.
Por firewall’et, të vetëm nuk sigurojnë mbrojtjen komplet nga problemet e mbartura nga
internet’i. Si rezultat, ata janë vetëm një pjesë e informacionit total të sigurisë të
programit. Përgjithësishtë firewall’et janë parë si gjëja më e rëndësishme për mbrojtjen,
sidoqoftë do të jetë më mirë ti shikojmë ato si më pak të rëndësishme për sa i përket
mbrojtjes së një organizate.

3
 Fjalët kyçe

Platforma,filtrim,rutera,server’at,NAT,SNAT,HNAT,PAT,rrjeta DMZ,VPN,internet,etj

4
 Përmbajtje

Mirnjohje......................................................................................................2
Abstrakt.......................................................................................................3
Fjalët kyçe...................................................................................................4
Hyrja..........................................................................................................5-6

Hyrje………………………………………………………………………………8-9

KAPITULLI I

1. Prezantim i përgjithshëm i firewall’eve.......................................................10

KAPITULLI II

2. Vështrim i përgjithshëm mbi platformat e firewall’eve.................................11

2.1. Vështrim i përgjithshëm në teknologjinë e firewall’it.................................11

2.2. Firewall’et e filtrimit të paketave................................................................12
2.2.1. Router’at kufitare…………………………………………………………….16
2.2.2. Të metat themelore lidhur me filtrimin e paketave……………………….17
2.3. Firewall’et e inspektimit të gjendjes...……………………………….............18
2.4. Firewall’et application-proxy…...….……………………………………….....19
2.5. Server’at proxy të dedikuar……………………………………………………22
2.6. Teknologjitë e firewall’it hibrid…………………………………….…………..23
2.7. NAT (Netwok Address Translation)…………………………………............24

5
2.7.1. SNAT (Static Network Address Translation)…………..…………............24
2.7.2. HNAT (Hiding Network Address Translation)……..……………………...25
2.7.3. PAT (Port Address Translation)…………………….……………………...25
2.8. Firewall’et host-based..……………………………………………….............26
2.9. Firewall’et private/aplikimet e firewall’it privat……………………………….27

KAPITULLI III

3. Mjediset e firewall’it…………………………………………………..................30

3.1. Porosi për ndërtimin e mjediseve të firewall’it………………………............30

3.1.1. Mbaje atë të thjeshtë…………………………………………………………30
3.1.2. Përdori pajisjet ashtu si janë menduar për tu pëdorur.............................30
3.1.3. Krijo mbrojtje të lartë................................................................................31
3.1.4. Kushtoji vëmendje kërcënimeve të brendshme.......................................31
3.2. Rrjetat DMZ................................................................................................32
3.2.1. Sherbimi i fazës së konfigurimit...............................................................33
3.3. VPN (Virtual Private Network)....................................................................34
3.3.1. Vendosja e serverave VPN.....................................................................35
3.4. Intranet’et....................................................................................................36
3.5. Extranet’et...................................................................................................37
3.6. Komponentët e infrastrukturës: hub’et dhe switch’et...................................38
3.7. IDS (Intrusion Detection Systems)……………………………………............38
3.8. DNS (Domain Name Service)………………………………………………….39
3.9. Vendosja e server’ave në mjediset e firewall’it............................................40
3.9.1. Serverat e aksesueshëm nga jashtë........................................................41
3.9.2. VPN dhe server’at dial-in..........................................................................42
3.9.3. Server’at e brendshëm..............................................................................42
3.9.4. Server’at mail...........................................................................................42

6
KAPITULLI IV

4. Mbrojtja e sigurisë së firewall’it......................................................................44

4.1. Sigurimi i firewall’it.......................................................................................44

4.2. Testimi i sigurisë së firewall’it......................................................................45
4.3. Përafrimi i implementimit të firewall’it..........................................................46
4.4. Mirëmbajtja dhe menaxhimi i firewall’it........................................................46
4.5. Siguria fizike e mjedisit të firewall’it.............................................................47
4.6. Rishikim periodik të informimit të mbrojtjes së sigurisë...............................48
4.7. Një topologji dhe bashkësi rregullash të thjeshta........................................49

KAPITULLI V

5. Administrimi i firewall’it...................................................................................52

5.1. Aksesi në platformën e firewall’it.................................................................52

5.2. Ndërtimi i sistemit të funksionimit të platformës së firewall’it.......................52
5.3. Incidentet e sigurisë.....................................................................................53
5.4. Backup’et e firewall’it...................................................................................55
5.5. Funksione specifike të firewall’eve…………………………………………….55
5.6. Shembull i një lidhjeje firewall’i me Internet’in………………………………..57

PËFUNDIME……………………………………………………………..……………58
METEDOLOGJIJA…………………….………………………………………..........60
REFERENCA.....................................................................................................63

SHTOJCA………………….………………………………………..........................64

7
 Hyrje
Kompjuterat u bënë gjithnjë e më të përdorshëm në jetën e njeriut. Një pjesë shumë e
madhe e njerëzve kanë në shtëpitë e tyre ose në punë një personal kompjuter.
Si rrjedhojë e përhapjes mjaft të madhe të kompjuterave lindi si domosdoshmëri
komunikimi midis kompjuterave për nevojat nga më të ndryshmet. Këto nevoja fillojnë
që me domosdoshmërinë për transferim elektronik të tëdhënave e deri me
telekomandim të njësive elektronike për qëllime nga më të ndryshmet. Lindja fillimisht e
rrjetave shumë të vegjel lokal duke përfshirë ndoshta edhe një dhomë të vetme dhe
kuptimi real i domosdoshmerisë së transferimit të të dhënave në mënyrë të shpejtë, të
sigurtë dhe shumë të saktë coi në një zhvillim të shpejtë si të shtrirjes së rrjetit
kompjuterik ashtu edhe në teknologjinë e këtyre rrjetave. Një shembull domethënës
është internet’i.
Të gjitha këto që u shprehën më sipër kanë cuar në një varësi të madhe të njeriut nga
eficenca dhe gadishmëria e rrjetave kompjuterike. Kështu që del i rëndësishëm fakti që
rrjeti kompjuterik të jetë gjithmonë në gjendje pune dhe gadishmërie të plotë për të
gjitha shërbimet që ai është në gjendje të ofrojë. Por këto rrjeta kompjuterike duhet të
jenë kategorikishtë të mbrojtur nga sulmet e jashtme dhe të brendshme, sepse me
rritjen dhe zhvillimin e këtyre rrjetave kompjuterike nuk ngelen prapa pa u zhvilluar
sulmet dhe viruset e ndryshme. Kujtojmë këtu që ka instituticione, bisnese dhe qoftë
edhe njerëz të vacantë që punën dhe ekzistencën e tyre e kanë të varur pikërisht nga
eficenca, siguria dhe saktësia e rrjetave kompjuterike.
Në pjesën e parë jepet një përshkrim i përgjithshëm mbi firewall’in.
Pjesa e dytë përmban një inspektim të protokollit OSI (Open Systems Interconnect) dhe
e përdor këtë për të përshkruar një numër të ndryshëm platformash firewall’i, duke
përfshirë firewall’et e filtrimit të paketave, firewall’et e inspektimit të gjendjes dhe
firewall’et e aplikimit proxy.
Pjesa e tretë përshkruan disa mjedise firewall’i, komponentë të kombinuar që formojnë
një solucion firewall’i. Ajo përmban sygjerime për pikëpamjen e firewall’it dhe i përshtat
ato për të punuar në ndërthurje me tools’e sigurie të tjera. Pjesa e tretë gjithashtu
përshkruan aspekte të tjera të firewall’it modern të tillë si VPN’të (Virtual Private

8
Network), përkthimi i adresës IP, etj.
Pjesa e katërt dhe e pestë përmban informacion të detajuar zakonisht për ata që
administrojnë firewall’et dhe konfigurojnë sigurimet e firewall’it. Pjesa e katërt
përshkruan sigurinë e firewall’it, si duhet të përshtatet në një strukturë sigurimi të
përgjithshëm dhe pastaj paraqet një sygjerim minimal sigurie. Pjesa e pestë tregon
sygjerime për implementimin dhe drejtimin e administrimit të firewall’it. Në fund jepet
dhe terminologjia e përdorur në këtë dokument. Në materialin e mëposhtëm jepen edhe
terma në gjuhën angleze për arsye se këto terma kanë lindur nga kjo gjuhë, gjenden
dhe njihen në literaturën ndërkombëtare si të tillë por edhe sepse shpesh herë nuk kanë
një përkthim standart, kuptimplotë dhe ekzakt në gjuhën tonë.

9
 KAPITULLI I

1. Prezantim i përgjithshëm i firewall’eve

Teknologjia e firewall’it ka patur një përmirësim të madh deri sa ai u prezantua në vitet

1990. Teknologjia më e hershme e firewall’it filloi me paketa të thjeshta filtruese të
firewall’it dhe pati një progres më të sofistikuar të firewall’eve të aftë për ekzaminimin e
shumëfishtë të shtresave të aktivitetit të rrjetit dhe kapacitetit. Si interneti që u zhvillua
në modernizim, duke komplikuar rrjetat e sotme, siguria e internetit filloi të jetë shumë
problematike, kështu që sulmet tani me vërejtjet e rendomta duhet të konsiderohen si
pjesë e të bërit biznes. Tani teknologjia e firewall’eve është një standart pjesë e cdo
organizate rrjeti. Ditët e sotme përdoruesit e thjeshtë në fushën e reklames dhe lidhjet
kabëll/DSL në mënyrë rutinë përdorin firewall’e personale dhe firewall’e zbatimi.
Firewall’et moderne janë më të mundshëm të punojnë në lidhje me tools’a të tillë si
e-mail’et, kapaciteti i skanimeve për viruset dhe për aplikimet e dëmshme për kodet.
Por firewall’et, të vetëm nuk sigurojnë mbrojtjen komplet nga problemet e mbartura nga
internet’i. Si rezultat, ata janë vetëm një pjesë e informacionit total të sigurisë të
programit. Përgjithësishtë firewall’et janë parë si gjëja më e rëndësishme për mbrojtjen,
sidoqoftë do të jetë më mirë ti shikojmë ato si më pak të rëndësishme për sa i përket
mbrojtjes së një organizate.

10
 KAPITULLI II

2. Vështrim i përgjithshëm mbi platformat e firewall’it

Koncepti i rrjetave të firewall’eve ka qenë debatuar dhe diskutuar që prej zanafillës së

kërkesave të sigurimit të lidhjeve. Ky kapitull përmban një përshkrim të aftësive të
firewall’eve dhe pastaj përshkruan lloje të ndryshme firewall’esh në detaje.

2.1. Vështrim i përgjithshëm në teknologjinë e firewall’it

Firewall’et e rrjetave janë pajisje ose sisteme që kontrollojnë rrjedhën e trafikut të rrjetit
midis rrjetave duke mbajtur qëndrime të ndryshme. Në të shumtën e aplikimeve
moderne firewall’et dhe mjediset e firewall’eve janë diskutuar në kontekstin e lidhjeve të
internetit dhe të protokollit TCP/IP. Sidoqoftë, firewall’et kanë zbatueshmëri në mjediset
e rrjetave që nuk përfshijnë lidhjen e internetit. Për shembull, shumë rrjeta vënë në
punë firewall’e që të kufizojnë lidhjet për tek dhe nga rrjetat e brendshme duke shërbyer
me shumë funksione të ndjeshme të tilla si mbajtje llogarish ose personeli i
departamentit. Duke vënë në punë firewall’et për të kontrolluar lidhjet për këto hapësira,
një organizatë mund të parandalojë akseset e paautorizueshme tek sistemet dhe
burimet përkatëse brenda hapësirave më të ndjeshme. Përfshirja e firewall’eve të
duhur ose mjediseve të firewall’eve mund të parandalojë një shtresë shtesë të sigurisë
që në rastin e kundërt nuk do ishte e mundshme.

11
Figura 2.1: Modeli OSI

Gjenden disa lloje platforma firewall’esh aktualisht të mundshme nga shitësit. Një
mënyrë e të krahasuarit të aftësisë të platformës së firewall’it është duke kontrolluar
aspektet e modelit OSI’it që secila platformë e firewall’it të dhënë është e mundshme të
fuksionojë.

Modeli OSI është një abstraksion i komunikimeve të rrjetit ndërmjet sistemeve të

kompjuterave dhe pajisjeve të rrjetit.
Një përshkrim i modelit OSI në figureën 2.1 tregon një bashkësi të shtresave.
Komponentet e shtresave të ilustruara janë vetëm për qëllime diskutimi dhe nuk do të
thotë që të kuptohet cdo marëdhënie strukturore. Si një përmbledhje e shkurtër, modeli
OSI ekziston në pjesën më të madhe që të thjeshtëzojë procesin e të kuptuarit se si
sistemi i kompjuterit komunikon në një rrjet.

• Shtresa e Aplikimit – Këtu përdoruesi kontakton me kompjuterin. Protokolli në këtë

shtresë identifikon komunikimet partnere, përcakton disponueshmërinë e burimeve dhe
sinkronizon komunikimin. Dy celësat e përdorur për implementimin e shtresës së
aplikimit janë TCP/IP dhe OSI.

12
• Shtresa e Prezantimit – Ofron një varietet kodimi dhe funksione bisedimi që janë të
aplikueshme nga shtresa e aplikimit. Këto funksione garantojnë që informacioni i
dërguar nga shtresa e aplikimit të njërit sistem të jetë e lexueshme nga shtresa e
aplikimit të sistemit tjetër. Një shembull i funksionit të kodimit është kodimi i të
dhënave përpara nga shtresa e prezantimit përpara largimit nga stacioni burim dhe
dekodimi nga shtresa e prezantimit në stacionin burim, përpara se ti dërgohet
shtresës së aplikimit. Formati i kodit dhe komunikimit zbatohet për tekst, figurë, zë
dhe video.

• Shtresa e Sesionit – Stabilizon, menaxhon dhe përfundon komunikimin e sesioneve

midis entiteteve të shtresës së prezantimit. Komunikimi sezional konsiston në
shërbimin e kërkuar dhe shërbimin e përgjigjur midis aplikimeve të lokalizuara në
pjesë të ndryshme të rrjetit.

• Shtresa e Transportit – Është përgjegjëse për shërbimin ndaj shtresës së aplikimit të

datagram’eve të komunikimit. Truri i protokolleve të shtresës së transportit është
TCP dhe UDP (User Datagram Protocol). Kjo shtresë është e njohur edhe si shtresa
Host-to-Host Transport.

• Shtresa e Rrjetit – Përcakton si të transportojë trafik midis pjesëve që nuk janë të

lidhur lokalisht. Kemi dy pjesë informacioni që përdoren për arkivim. Adresat llogjike
të shoqëruara me stacionet burim dhe destinacion si dhe rrugën (path-in) nëpër rrjet
për të arritur destinacionin e kërkuar. Kemi dy lloje paketash: Paketa e shtresës së
të dhënave dhe paketa të zonës së routimit. Routerat janë përgjegjës për të
përcaktuar cfarë rrjetesh ekzistojnë dhe si t’i gjejë ato. Për të arritur këtë përdoren
skema llogjike adresimi.

• Shtresa Data Link - Inkapsulon informacionin e shtresës së rrjetit në një PDU që quhet
frame. Koka e frame përmban informacione të nevojshme për të kryer funsione të
Data-Link. Lexon informacionin e kontrollit e dhënë nga shtresa analoge në njësinë

13
 burim. Heq informacionin e kontrollit nga frame.

• Shtresa Fizike - Specifikon paisjet elektrike, procedurat dhe funksionet për

aktivizimin,mirëmbatjen dhe c’aktivizimin e linkut fizik midis fundit të sistemeve.
Sfecifikon karakteristikat sic janë niveli i tensionit,shpejtësia e rrjedhjes së të
dhënave, distanca maksimale dhe natyra fizike e lidhësve.

Firewall’et moderne operojnë në modelin e shtresave OSI të mëposhtëme sic janë

paraqitur në figureën 2.2.

Figura 2.2: Shtresat OSI që operojnë tek firewall’et moderne

Firewall’at themelore do të operojnë në një numër më të vogël shtresash; shumë

firewall’e më të avancuar do të mbulojnë një numër më të madh shtresash. Në termat e
funksionimit aftësia e firewall’eve për kontrollimin e një numri më të madh shtresash
janë më shumë efektive dhe tërësore. Shtresa plotësuese mbulon gjithashtu shtimin e
konfigurimit të paraqitur në firewall; duke shtuar shtresën e të qenit të informuar, lejon
firewall’in të rregullojë aplikacionet dhe protokollet e avancuara. Duke shtuar shtresat,
një firewall mund të kontrollojë, gjithashtu të lejojë firewall’in për të parandaluar
shërbimet që janë shumë të orientuar nga përdoruesi, të tillë si vërtetësia e përdoruesit.
Nga pavarësia e arkitekturës së firewall’it, mund të jenë shumë shërbime të mundshme
për tu shtuar. Disa nga këto shërbime janë: NAT (Network Address Translation), DHCP

14
(Dynamic Host Configuration Protocol), VPN’të (Virtual Private Networks), etj.

Firewall’e të reja suportojnë DHCP për të caktuar adresat IP për ato adresa (të
sistemeve) që do të jenë subjekt i kontrollit të sigurisë së firewall’eve dhe të
thjeshtëzojnë administrimin e rrjetit. Specifikimi i DHCP’së është tani thuajse i
mbështetur në të gjithë bizneset dhe në sistemet e funksionimit të klientit dhe është
gjerësisht i përdorshëm sepse e bën administrimin e rrjetit të adresave të IP’së më të
lehtë.

2.2. Firewall’et e filitrimit të paketave

Më themelorja, tipi kryesor i firewall’it është quajtur filtrues paketash. Firewall’et e

filtrimit të paketave në thelb janë pajisje të rutimit që përfshijnë funksionalitetin e
kontrollit të aksesit për adresat e sistemit dhe sesionet e komunikimit. Funksionaliteti i
kontrollit të aksesit të një firewall’i të filtrimit të paketave është drejtuar nga një strukturë
e direktivave kolektive e referuar si një bashkësi rregullash.

Në format e tyre më themelore, filtrimi i paketave operon tek shtresa 3 (Network) e

modelit OSI.

Figura 2.3: Shtresat OSI të adresuara nga filtruesit e paketave

15
Firewall’et e filtrimit të paketave janë zakonishtë të pozicionuar brenda infrastrukturës të
rrjetit TCP/IP; megjithatë, ato gjithashtu mund të pozicionohen në cdo infrastrukturë
rrjeti që mbështetet tek shtresa 3, duke përfshirë rrjetat IPX (Novell NetWare).
Firewall’et e filtrimit të paketave dhe router’at gjithashtu mund të filtrojnë trafikun e rrjetit
të bazuar në disa karakteristika të atij trafiku, të tillë si nëse paketa është e protokollit të
shtresës 3 mund të ishte ICMP (Internet Control Message Protocol) – sulmuesat e kanë
përdorur këtë protokoll për të përmbytur rrjetat me trafik, në këtë mënyrë krijojnë sulmet
DDOS (Distributed Denial-Of-Service). Firewall’et e filtrimit të paketave gjithashtu kanë
aftësi të bllokojnë sulmet e tjera që marrin avantazh në të metat e protokollit TCP/IP.

2.2.1. Router’at kufitare

Firewall’et e filtrimit të paketave kanë dy fuqi kryesore: shpejtesinë dhe fleksibilitetin.

Derisa filtrimet e paketave në përgjithësi nuk kontrollojnë të dhëna mbi shtresën 3 të
modelit OSI, ato mund të operojnë shumë shpejt. Në të njëjtën mënyrë, derisa shumica
e protokolleve të rrjetit modern mund të jenë përshtatur duke përdorur shtresën 3 dhe
më poshtë, firewall’et e filtrimit të paketave mund të përdoren për të siguruar thuajse
cdo lloj komunikim rrjeti ose potokolli. Kjo natyrshmëri lejon firewall’et e filtrimit të
paketave të jenë pozicionuar thuajse në cdo infrastrukturë rrjeti. Një pikë e rëndësishme
është që shpejtësia dhe fleksibiliteti i tyre, ashtu si aftësia për të penguar sulmet DDOS,
i bëjnë ato ideale për vendosje në kufinjtë më të largët me një rrjet të pabesueshëm.
Filtrimi i paketave, referohet si një router kufitar, mund të pengojë disa sulme, ndoshta
filtron protokollet e padëshiruar, kryen kontrollin e aksesit të thjeshtë, dhe pastaj kalon
trafikun tek firewall’et e tjerë që kontrollojnë shtresat e larta të modelit OSI.

16
Figura 2.4: Filtruesi i paketave i përdorur si router kufitar

Figura 2.4 paraqet një filtrues paketash që përdoret si router kufitar. Router’i pranon
paketa nga lidhja e rrjetit të pabesueshëm, i cili në mënyrë tipike do të ishte një router
tjetër i zotëruar ose i kontrolluar nga ISP (Internet Service Provider). Router’i që bën
kontroll aksesi duke u pajtuar me sigurimin, bllokon SNMP (Simple Network
Management Protocol), lejon HTTP (Hypertext Transport Protocol), etj. Ai pastaj kalon
paketat në firewall’e të tjerë më të fuqishëm për më shumë kontroll aksesi dhe filtron
operacione në shtresat më të larta të modelit OSI. Figura 2.4 gjithashtu tregon një rrjet
më pak të besueshëm të brendshëm midis router’it kufitar dhe një firewall’i të
brendshëm, ndonjëherë të referuar si rrjeti i jashtëm DMZ (DeMilitarized Zone).

2.2.2. Të metat themelore lidhur me filtrimin e paketave

Firewall’et e filtrimit të paketave gjithashtu kanë disa mangësi:

• Sepse firewall’et e filtrimit të paketave nuk kontrollojnë të dhënat në shtresat më të

larta, ato nuk mund të parandalojnë sulmet që përdorin funksione me aplikacione
specifike. Për shembull, një firewall i filtrimit të paketave nuk mund të ndalojë komandat
specifike të aplikimeve; nëse një firewall filtrues paketash lejon një aplikacion të dhënë,

17
të gjithë funksionet e mundshme bashkë me atë aplikacion do të bëhen të lejuesheme.

• Për arsye të informacionit të limituar të mundshëm tek firewall’i, funksionaliteti i logimit

i paraqitur tek firewall’et e filtrimit të paketave është i limituar.

• Shumica e firewall’eve të filtrimit të paketave nuk suportojnë skema të avancuara të

autentifikimit të perdoruesve. Disa herë, ky kufizim është kryesisht i përshtatshëm në
mungesën e funksionalitetit të shtresës më të lartë nga firewall’i.

• Ata janë zakonisht të cënueshëm nga sulmet që kanë avantazh në problemet e

karakteristikave të protokollit TCP/IP.

Si pasojë, firewall’et e filtrimit të paketave janë shumë të përshtatshëm për mjedise me

shpejtësi të lartë ku logimi dhe autentifikimi i përdoruesit me burimet e rrjetit nuk janë të
rëndësishme.

2.3. Firewall’et e inspektimit të gjendjes

Firewall’et e inspektimit të gjendjes janë filtrues paketash që përmbajnë informacione

suplementare të të dhënave të modelit OSI tek shtresa 4 sic është paraqitur në figuren
2.5.
Inspektimi i gjendjes evuloi nga nevoja për të përshtatur disa vecori të protokollit TCP/IP
që e bën pozicionimin e firewall’it të vështirë. Kur një aplikacion TCP krijon një sesion
me një sistem host në distancë, një portë është gjithashtu e krijuar në sistemin burim
për qëllimin e marrjes së trafikut të rrjetit nga sistemi destinacion.

18
Figura 2.5: Shtresat OSI të adresuara nga inspektimi i gjendjes

Firewall’et e filtrimit të paketave duhet të lejojnë trafikun e rrjetit të drejtuar përbrenda në

të gjitha këto porta për lidhjet connection-oriented që të vijnë paketat e kthimit nga
sistemi destiacion.
Një firewall i inspektimit të gjendjes ndryshon nga një firewall filtrues paketash nga fakti
që është më i dobishëm ose i zbatueshëm vetem tek infrasturkturat e rrjetit TCP/IP.

Firewall’et e inspektimit të gjendjes mund të akomodojnë protokollet e rrjetave të tjerë

në të njëjtën mënyrë si filtruesit e paketave, por teknologjia aktuale e firewall’eve të
inspektimit të gjendjes është e përshtatshme vetëm tek TCP/IP. Për këtë arsye, shumë
tekste klasifikojnë firewall’et e inspektimit të gjendjes si peëfaqësim të funksionaliteteve
të firewall’eve të filtrimit të paketave.

2.4. Firewall’et application-proxy

Firewall’et application-proxy janë firewall’e të avancuar që kombinojnë kontrollin e

aksesit të shtresave të ulta me funksionalitetin e shtresave të larta (shtresa 7 – shtresa
e aplikacionit).
Firewallet application-proxy nuk kërkojnë një rutim në shtresën 3 (shtresa e rrjetit) midis
ndërfaqeve të brendshme dhe të jashtme të firewall’it; software’i i firewall’it kryen
rutimin. Në këtë ngjarje software’i application-proxy ndërpret funksionimin, sistemi i

19
firewall’it është i paaftë të kalojë paketat në rrjet nëpërmjet sistemit të firewall’it.

Figura 2.6: Shtresat OSI të adresuara nga firewall’et e application-proxy

Cdo aplikacion sigurimi individual, gjithashtu referohet si një faktor sigurimi, ndërfaqet e
drejtpërdrejta me kontrollin e aksesit të firewall’it përpiqen të kufizojnë nëse një pjesë e
dhënë e trafikut të rrjetit mund të bëhet e lejueshme për të kaluar firewall’in. Cdo faktor
sigurimi ka aftësinë të kërkojë autentifikimin për cdo përdorues individual të rrjetit. Ky
autentifikim përdoruesi mund të marri forma të ndryshme, duke përfshirë të
mëposhtmet:

• User ID dhe autentifikim password’i

• Autentifikimin e shenjes hardware ose software
• Autentifikimin e adresës burim
• Autentifikimin biometrik

Firewall’et application-proxy kanë avantazhe të shumta mbi firewall’et e filtrimit të

paketave dhe firewall’et e inspektimit të gjendjes. Së pari, firewall’et application-proxy
zakonisht kanë më shumë aftësi logimi më të gjerë të përshtatshme tek firewall’i duke u
bërë të aftë për të kontrolluar paketën e plotë të rrjetit më mirë se vetëm adresat dhe

20
portat e rrjetit.
Një tjetër avantazh është që firewall’et application-proxy lejojnë administratorët e
sigurimit të zbatojnë cfarëdolloj tipi autentifikimi të përdoruesit që është i mendimit të
duhur për një iniciativë infrastrukturore të dhënë. Aplikacionet proxy janë të aftë të
autentifikojnë drejtpërdrejt përdoruesit, si për tiu kundërvënë firewall’eve të filtrimit të
paketave dhe firewall’eve të inspektimit të gjendjes të cilët normalisht autentifikimi i
përdoruesve bazohet në adresën e shtresës së rrjetit të sitemit që ata janë. Aftësitë e
autentifikimit të qenësishme në arkitekturën e aplikimit proxy, janë superiore nga
firewall’et e filtrimit të paketave dhe firewall’et e inspektimit të gjendjes.
Përfundimishtë, firewall’et e aplikimit proxy nuk janë thjesht mekanizma të shtresës 3,
ata mund të bëhen më pak të cenueshëm nga sulmet.

Figura 2.7: Mjetet tipike proxy

Funksionalitetet e avancuara të firewall’eve të aplikimit proxy gjithashtu kanë disa

disavantazhe kur krahasohen me firewall’et e filtrimit të paketave ose firewall’et e
inspektimit të gjendjes. Së pari, për shkak të “të qenit të informuar të paketave plot” e
gjetur në aplikacionet proxy, firewall’i është i detyruar të shpenzojë plotësisht një bit të
kohës duke lexuar dhe duke interpretuar cdo paketë. Për këtë arsye firewall’et e
aplikimit proxy nuk janë përgjithësisht të përshtatur mirë me aplikacionet real-time. Të
reduktosh ngarkesën në firewall, një server proxy i dedikuar mund të përdoret për të
siguruar më pak shërbime që nuk ndikohen nga koha të tillë si e-mail dhe shumica e
trafiqeve web.
Një disavatazh tjetër është që firewall’et e aplikimit proxy priren të jenë të limituar në

21
termat e suportimit për aplikacione dhe protokolle rrjeti të reja. Faktori i aplikacionit
specifik proxy është i nevojshëm për cdo tip trafik rrjeti që ka nevojë të kolojë një
firewall. Shumica e tregëtarëve të firewall’eve të aplikimit proxy sigurojnë mjete të
përgjithshëm sigurimi për të suportuar protokolle ose aplikacione rrjeti të pacaktuara.
Gjithsesi, këto mjete të përgjithshme priren të mohojnë shumë nga fuqitë e arkitekturës
se aplikimit proxy dhe ato thjesht lejojnë trafik në “tunel” drejt firewall’it.

2.5. Server’at proxy të dedikuar

Server’at proxy të dedikuar ndryshe nga firewall’et e aplikimit proxy ata ruajnë kontroll
sigurimi të trafikut por ato nuk përmbajnë aftësi firewall’i. Ata janë në mënyrë tipike të
vendosur mbrapa platformës së firewall’it tradicional për këtë arsye. Në përdorimin tipik,
një firewall kryesor mund të pranojë trafik të brendshëm, të vendosë cili aplikacion është
duke u bërë objektiv, dhe pastaj mos ndërhyjë në trafikun e serverit autoritar të duhur,
një e-mail server’i të autorizuar. Server’i i autorizuar në mënyrë tipike do të plotësonte
funksionet e filtrimit ose logimit në trafik dhe pastaj do e dërgonte atë në sistemet e
brendshëme. Një serever i autorizuar gjithashtu mund të pranonte trafikun e jashtëm
direkt nga sistemet e brendshme, filtronte ose logonte trafikun dhe pastaj t’ia kalonte atë
firewall’it për shpërndarje të jashtme. Një shembull i këtij do të ishte një vendosje e
autorizuar e HTTP mbrapa firewall’it; përdoruesit do të kishin nevojë të lidheshin tek ky
autorizim gjatë rrugës për tu lidhur me web server’at e jashtëm. Në mënyrë tipike,
server’at proxy të dedikuar janë përdorur për të zvogëluar punën të ngarkuar në firewall
dhe për të kryer filtrime dhe logime më të specializuara që përndryshe do të ishte e
vështirë të kryhej nga vetë firewall’i.
Ashtu si firewall’et e aplikimit proxy, autorizimet e dedikuara lejojnë një organizatë të
zbatojë kërkesat e përdoruesve të autentifikuar ashtu si filtrimet dhe logimet e tjera në
cdo trafik që përshkon server’in e autorizuar. Ndërlikimet janë që një organizatë mund
të kufizojë trafiun e jashtëm të disa vendeve ose mund të kontrollonte të gjitha e-mail’et
e jashtme për viruse ose të kufizojë përdoruesit e brendshëm nga shkruajtja tek web
server’i i organizatës. Ekspertët e sigurimit kanë konstatuar që shumë probleme

22
sigurimi përsëriten përbrenda një organizate; serverat e autorizuar mund të asistojnë në
pengimin e sulmeve kryesore të brendshme ose sjelljeve keqdashëse. Në të njëjtën
kohë, filtrimi i trafikut të jashtëm do të vendosë një ngarkesë më të madhe në firewall
dhe do të shtonte kostot e administrimit.

Figura 2.8: Konfigurimi application-proxy

Figura 2.8 paraqet një diagramë të thjeshtë të një rrjeti që përdor server’at proxy të
dedikuar për HTTP dhe e-mail të vendosur mbrapa një sistemi tjetër firewall’i. Në këtë
rast, e-mail’i i autorizuar mund të bëhej porta SMTP e organizatës për e-mail’in e
jashtëm. Firewall’i kryesor do të dorzojë e-mail’in e brendshëm tek proxy për skanim,
dhe pastaj e-mail’i mund të bëhej i mundshëm tek përdoruesit e brendshëm me disa
mënyra. HTTP’ja proxy do të merrej me lidhjet e jashtme tek web server’at e jashtëm
dhe ndoshta filtrim për kapacitete aktive.

2.6. Teknologjitë e firewall’it hibrid

Sukseset e fundit në projektimin e infrastrukturës së rrjetit dhe sigurimit të informacionit

kanë shkaktuar një “turbullim të linjave” që modifikon disa platforma firewall’i të
diskutuara më përpara. Si rezultat i këtij suksesi, produktet e firewall’it të tanishëm
përmbajnë funksionalitete nga disa klasifikime të ndryshme të platformave të firewall’it.
Për shembull, shumë tregetarë të firewall’eve të aplikimit proxy kanë implementuar

23
funksionalitete të filtrimit të paketave themelore për të siguruar mbështetje më të mirë
për aplikacionet e bazuara në UDP (User Datagram Protocol).
Gjithashtu, shumë tregetarë të firewall’eve të filtrimit të paketave dhe të firewall’eve të
inspektimit të gjendjes kanë implementuar funksionalitete të aplikimit proxy bazë për të
kompesuar disa nga të metat lidhur me platformat e firewall’eve të tyre. Në shumë
raste, tregetarët e firewall’eve të filtrimit të paketave ose të firewall’eve të inspektimit të
gjendjes implementojnë aplikacione proxy për të siguruar logim trafik rrjeti të
përmirësuar dhe autentifikim përdoruesi tek firewall’et e tyre.
Pothuajse të gjithë tregetarët kryesorë të firewall’eve kanë futur hibridizim në produktet
e tyre në disa mënyra, modele, ose forma, kështu që nuk është gjithmonë e thjeshtë të
vendosësh cili produkt firewall’i specifik është më i përshtatshmi për një aplikacion të
dhënë. Hibridizimi i platformave të firewall’it e bën vlerësimin e produktit me parablerje
pjesë e një projekt firewall’i të rëndësishëm.

2.7. NAT (Network Address Translation)

Teknologjia e NAT (Network Address Translation) ishte zhvilluar në përgjigje të dy

problemeve madhore në projektimin e rrjetit dhe sigurisë. Së pari, NAT është një tools
efektiv për “fshehjen” e skemës adresim-rrjeti ekzistuese mbrapa një mjedisi firewall’i.
Në esencë, NAT lejon një organizatë të vendosë një skemë adresimi prej zgjedhjes së
saj mbrapa një firewall’i, i cili akoma ruan aftësinë për tu lidhur me burimet e jashtme
përmes firewall’it. Së dyti, mundësia e shterimit të adresave IP ka bërë që disa
organizata të përdorin NAT për planifikimin e mos-shkatërimit të adresave IP në një
strukturë më të vogël të adresave lagale.

NATështë i përkryer në tre mënyra:

2.7.1. SNAT (Static Network Address Translation)

24
Në SNAT, cdo sistem i brendshëm në një rrjet privat ka një korrespondues të jashtëm,
adrese IP të rutueshme lidhur me të. Kjo teknikë e vacantë është përdorur rrallë,
pikërisht në pamjaftueshmëri të burimeve të mundshme të adresave IP. Me SNAT është
e mundur të vendosim burimet mbrapa (brenda) firewall’it, ndonëse ruajnë aftësinë për
të siguruar akses përzgjedhës tek përdoruesit e jashtëm. Me fjalë të tjera, një sistem i
jashtëm mund të aksesonte një web server të brendshëm, adresa e të cilit ka qenë
planifikuar me SNAT. Firewall’i do të kryente planifikimet në cdo drejtim, të jashtëm ose
të brendshëm.

2.7.2. HNAT (Hiding Network Address Translation)

Me HNAT të gjitha sistemet mbrapa një firewall’i ndajnë të njëjtat adresa IP të

rutueshme të jashtme. Pra, me një HNAT, pesë mijë sisteme mbrapa firewall’it do të
ngjajnë akoma si një sistem i vetëm. Kjo mënyrë e NAT është mjaft e rëndomtë, por ajo
ka nje të metë të madhe, në të nuk është e mundur për ti bërë burimet e mundshme tek
përdoruesit e jashtëm që ndonjëher ato janë vendosur mbrapa një firewall’i që e përdor
atë. Planifikimi në dështime nga sistemet e jashtëme në sistemet e brendshëme nuk
është i mundur, kështu që sistemet që duhet të jenë të aksesueshëm tek sistemet e
jashtme nuk duhet të kenë adresat e planifikuara të tyre. Një tjetër dobësi e kësaj pjese
implementim NAT’i është që një firewall duke përdorur këtë model NAT’i duhet
zakonishtë të përdorë adresën e ndërfaqes së jashtme të tij si “zevendësues” ose
adresat e përkthyera për të gjithë sistemet dhe burimet që qëndrojnë mbrapa tij. Kjo
nevojë priret të ndikojë tek fleksibiliteti i këtij mekanizmi.

2.7.3. PAT (Port Address Translation)

Ka dy dallime kryesore midis PAT dhe HNAT. Së pari, PAT nuk e ka të nevojshme të
përdori adresën IP të ndërfaqes të firewall’it të jashtëm për të gjithë trafikun e rrjetit; një
tjetër adresë mund të krijohet për këtë qëllim. Së dyti, me PAT, është e mundur të

25
vendosësh burimet mbrapa një sistemi firewall’i dhe akoma i bën ato selektivisht të
lejueshme tek përdoruesit e jashtëm. Ky akses është i përkryer në avancimin e lidhjeve
të brendshme në disa numra porte tek hoste specifike.
PAT punon duke përdorur adresën e portës së klientit për të identifikuar lidhjet e
brendshme. Për shembull, nqs një sistem mbrapa një firewall’i duke përdorur PAT ishte
në telnet jashtë një sistemi në internet, sistemi i jashtëm do të shikonte një lidhje nga
ndërfaqja e jashtme e firewall’it, përmes portës burim të klientit. Kur sistemi i jashtëm i
përgjigjet lidhjes së rrjetit, ai do të përdorte informacionin e adresimit të mësipërm. Kur
firewall’i PAT do të merte përgjigjen, do të dukej tek porta burim e klientit i mbrojtur nga
sistemi remote dhe i bazuar në atë portë burim, ai do të përcaktonte cili sistem i
brendshëm do të kërkohej në sesion.
Në termat e fuqive dhe dobësive, cdo tip NAT’i ka zbatueshmëri në disa situata. SNAT
ofron fleksibilitet të madh, por si i shpallur më përpara, SNAT nuk është normalisht
praktik. Teknologjia HNAT ishte një hap i përkohshëm në zhvillimin e teknologjisë NAT
dhe është i përdorur rrallë sepse PAT ofron përvec vecorive të mësipërme dhe ato
ekzistuese në HNAT përderisa ka të njëjtat dizajne themelore dhe konsiderata
inxhinierike.

2.8. Firewall’et host-based

Firewall’et janë të përdorshëm në disa sisteme operative të tillë si Linux’i; ata mund të
përdoren që të sigurojnë vetëm host’in individual. Kjo mund të jetë e dobishme për
përdorim me server’at e brendshëm; për shembull një web server i brendshëm mund të
vendoset në një sistem që ekzekuton një firewall host-based. Kjo përmban disa
avantazhe, duke përfshirë të mëposhtmet:

• Aplikimi i serverit është i mbrojtur më mirë se, nqs ai do të ekzekutohej vetëm;

serverat e brendshëm duhet të jenë të mbrojtur dhe nuk duhet të supozohen të sigurtë
nga sulmi sepse ato janë mbrapa firewall’it kryesor.
• Një firewall dhe subnet i vecuar nuk është i nevojshëm për sigurimin e serverit,

26
firewall’et host-based i kryejnë këto funksione.

Firewall’et host-based në mënyrë tipike sigurojnë aftësinë kontroll-aksesi për të kufizuar

trafikun tek dhe nga serverat që ekzekutohen në host, dhe ka zakonisht disa logime të
mundshme të limituara. Megjithëse një firewall host-based është më pak i përshtatshëm
për trafik të lartë, mjedise të larta sigurie, në mjediset e brendshme të rrjetit ose
shërbimet shtëpiake ata ofrojnë një siguri të lartë zakonisht me një kosto të ulët. Një
disavantazh i firewall’eve host based është që ata duhet patjetër të administrohen më
vete, dhe mbas një numri të caktuar ai bëhet më i lehtë dhe më pak i kushtueshëm tek
një vend i thjeshtë të gjithë server’at mbrapa një konfigurimi firewall’i të dedikuar.
2.9. Firewall’et private/aplikimet e firewall’it privat

Sigurimi i kompjuterave personal në shtëpi është tani po aq i rëndësishëm sa sigurimi i

tyre në zyrë; shumë njerëz punojnë nga shtëpia dhe operojnë të dhëna në organizatë.
Shumë përdoruesa që kanë të lidhur një ISP (Internet Service Provider), mund të kenë
një mbrojtje firewall’i të vogël të mudshme sepse ISP’ja ka për të akomoduar
potencialisht shumë siguri mbrojtjeje të ndryshme. Kështu që, firewall’et personale janë
bërë të zhvilluar për të siguruar mbrojtje për sistemet remote dhe të kryejnë shumë
funksione të njëjta si firewall’et e mëdhenjë.
Këto produkte janë në mënyrë tipike të implementuara në një nga dy konfigurimet. Njëra
nga këto konfigurime është një firewall privat, i cili është i instaluar në sistem që do të
thotë të mbrojë; firewall’et private zakonisht nuk ofrojnë mbrojtje në sistemet ose
burimet e tjerë. Gjithashtu, firewall’et private në mënyrë tipike nuk mbrojnë kontrollet
mbi trafikun e rrjetit që është duke përshkruar një sistem kompjuteri – ata mbrojnë
vetëm sisteme kompjuteri që janë instaluar në të.
Konfigurimi i dytë ëshë quajtur një aplikim firewall’i privat, i cili është në koncept shumë i
ngjashëm me firewall’in tradicional. Në shumë raste, aplikimet e firewall’it privat janë
dizenjuar për të mbrojtur rrjeta të vegjël të tillë si rrjetat që mund të gjenden në zyra
shtëpiake. Këto aplikime zakonisht ekzekutohen në hardware speciale dhe bashkojnë
disa forma të tjera të componentëve infrastrukturore të rrjetit në shtim tek vetë firewall’i,
duke përfshirë të mëposhtmet:

27
• Kabëll modemi të rutimit WAN.
• Rrjet lokal rutimi.
• Rrjet hub.
• Rrjet swich.
• Server DHCP (Dynamic Host Configuration Protocol).
• Mjet i menaxhimit të rrjetit.
• Mjet i aplikacionit proxy.

Duke përfshirë këto komponente infrastrukture në një aplikacion firewall’i, lejon një
organizatë të vendosë zgjidhje efektive duke konsistuar në një pjesë të vetme
hardware’i.
Megjithëse firewall’eve private dhe aplikacioneve të firewall’it privat i mungojnë disa nga
avantazhet, tiparet e shkallës së mesme të platformave tradicionale të firewall’it, ato
akoma mund të formojnë një pjesë efektive të gjendjes së plotë të sigurisë të një
organizate. Në termat e strategjisë së pozicionimit, firewall’et private dhe aplikacionet e
firewall’it privat normalisht adresojnë problemet e lidhjes lidhur me punët nga shtëpia
ose filialet e zyrave. Gjithsesi, disa organizata përdorin këto pajisje në intranet’in
organizativ, duke praktikuar një mbrojtje në strategji të thellë. Firewall’et private dhe
aplikacionet e firewall’it privat gjithashtu mund të përdoren për të kufizuar VPN’të.
Administrimi i pajisjes ose aplikimit është një faktor i rëndësishëm kur përcaktohet ose
zgjidhet një firewall privat/aplikacion firewall’i privat. Teorikisht, një firewall privat ose një
aplikacion firewall’i privat duhet ti japë organizatës ose agjensisë aftesinë të detyrojë
përcaktimin e qëndrimit të sigurisë në të gjitha sistemet që lidhen me ato rrjeta dhe
sisteme.
Administrimi i firewall’eve privat ose aplikacioneve të firewall’eve privat duhet të jetë i
centralizuar nëqoftëse është e mundur. Nga ana tjetër, administrimi i centralizuar lejon
një organizatë ose agjensi të zbatojë sigurimin e mbrojtjes të saj dhe qëndrimin në
sisteme që janë të lidhura në distancë. Mënyra më e mirë për të realizuar këtë
funksionim është të krijosh një profil konfigurimi sigurie që shoqëron një përdorues
fundor tek cdo sistem të loguar brenda, nga ai përdorues. Në këtë mënyrë, mbrojtja e

28
sigurisë së organizatës ose agjensisë do të jetë gjithmonë nën efekt kur përdoruesi
është duke aksesuar burimet e llogaritjeve të korporatës ose agjensisë.
Por për sa i perket përdoruesve remote që lidhen tek server’i i një organizate dhe në
kohë të tjera lidhen me ISP’të komerciale? Pretendimi i qëndrimit të sigurisë së ISP’së
komerciale është më pak i kufizuar nga organizatat, rreziku i infektimit të kompjuterit me
një virus ose sulm tjetër është më i madh dhe komunikimi me një kompjuter të infektuar
tek rrjeti i organizatës mund të fuste virusin në atë rrjet. Ky është një problem, sepse
shumë përdorues shtëpishë shfrytëzojnë kompjuterat e tyre personal njëlloj për punë
dhe funksionet që nuk janë lidhur me punën.
Zgjidhja e fundit është të përdorësh kompjutera individualë; për shembull, një
organizatë do të jepte laptop’a në shtëpitë e përdoruesve që mund ti përdorin vetëm për
funksionet e punës dhe që nuk mund të lidhen me rrjetat e organizatave të tjera. Kjo gjë
do të fuste rrjeta shtëpie. Secili laptop duhet të përfshijë një firewall privat dhe një
software anti-virusi.
Nëqoftëse një zgjidhje e tillë nuk është e mundshme, atëherë firewall’i privat duhet të
përdoret gjithë kohës dhe duhet të konfigurohet më tepër në kuadrot e kufizuesit që ka
mandat nga organizata.

29
 KAPITULLI III

3. Mjediset e firewall’it

Mjedisi i firewall’it është një term i përdorur për të përshkruar strukturën e sistemeve
dhe componentët që janë të përfshirë në sigurimin ose mbështetjen e komplet
funksionalitetit të firewall’it në një pikë të dhënë në rrjet. Një mjedis firewall’i i thjeshtë
mund të konsistojë në një firewall filtrues paketash dhe asgjë më tepër. Në një
kompleks më të madh dhe mjedis sigurie, ai mund të konsistojeë në disa firewall’e, të
autorizuar, dhe topologji specifike për mbështetje të sistemeve dhe sigurisë. Në pjesët e
mëposhtme tregohen me hollësi topologjitë e sistemeve dhe të rrjetit të përdorura në
popullaritet në mjedise firewall’i.

3.1. Porosi për ndërtimin e mjediseve të firewall’it

Ka katër parime që duhet të mbahen shënim, të shkruara në paragrafët e mëposhtme:

3.1.1. Mbaje atë të thjeshtë

Principi KISS është dicka që duhet të jetë i pari dhe kryesori në mendjen e një
projektuesi mjedisi firewall’i. Në thelb, më e thjeshta e zgjidhjes së firewall’it, siguria më
e përshtatshme që do të jetë dhe më e lehta do të jetë administrimi. Kompleksiteti në
dizenjim dhe funksionim shpesh të con në gabime konfigurimi.

3.1.2. Përdori pajisjet ashtu si janë menduar për tu përdorur

Përdorimi i pajisjeve të rrjetit ashtu si kanë qënë në origjinë në këtë kontekst kjo do të

30
thotë të mos nxjerrësh firewall’in jashtë pajisjeve që nuk do të thotë akoma për
përdorimin e firewall’it. Për shembull, router’at janë për rutimin; kapaciteti i filtrimit të
paketave të tyre nuk është qëllimi i tyre themelor, dhe dallimi nuk duhet kurrë të
humbasë në dizenjimin e tyre të një implementimi firewall’i. Duke u mbështetur vetëm
tek router’at të sigurosh aftësinë e firewall’it është e rrezikshme; ata mund të
keqkonfigurohen shume lehtë. Switch’et e rrjetit janë një tjetër shembull; kur përdoren
për të bërë switch trafikun e firewall’it jashtë mjedisit të një firewall’i, ata janë të
prekshëm nga sulmet që mund të pengojnë funksionalitetin e switch’it. Në shumë raste,
firewall’et hibrid dhe aplikimet e firewall’it janë zgjidhjet e vetme më të mira sepse ata
janë optimizuar të jenë firewall’e kryesore.

3.1.3. Krijo mbrojtje të lartë

Mbrojtja e lartë përfshin krijimin e shtresave të sigurisë si kundërvënie të një shtrese.

Kufiri më i ulët Magionat është një shembull i përsosur se cfarë nuk duhet të bësh në
mjediset e firewall’it: vendos të gjithë mbrojtjen tënde tek firewall’i. Aty ku disa firewall’e
mund të përdoren, ata duhet të përdoren. Aty ku router’at mund të konfigurohen për të
siguruar disa kontrolle aksesi ose filtrime, ata duhet të konfigurohen. Nqs një sistem
operimi server’i mund të ketë disa aftësi firewall’i, përdore atë.

3.1.4. Kushtoji vëmendje kërcënimeve të brendshme

Së fundi, vëmendja tek kërcënimet e jashtme në përjashtim të kërcënimeve të

brendshme lë rrjetin e gjerë të hapur nga sulmi i brendshëm. Ndonëse mund të jetë e
vështirë ta mendosh për kolegët e punës por, parashtrohet si një mundësi kërcënimi.
Prandaj, sisteme të rëndësishëm të tillë si web’i i brendshëm dhe serverat e e-mail’it
ose sistemet financiare duhet të vendosen mbrapa firewall’eve të brendshëme ose
mjediseve DMZ.
Si një paralajmërim në diskutimin e mësipërm, duhet të mbahet shënim si shprehje, “të
gjithë rregullat mund të thyhen“, patjetër kushto vëmendje kur ndërtohen mjediset e
firewall’it. Dizenjuesit e firewall’it duhet të respektojnë rregullat e mësipërme kur

31
ndërtohen mjediset e firewall’it, por cdo rrjet dhe organizatë ka kërkesat dhe vecantitë e
unifikimit vetjak.

3.2. Rrjetat DMZ

Implementimi i mjedisit të firewall’it më i zakonshëm është i njohur si një rrjet DMZ

(DeMilitarized Zone). Një rrjet DMZ është krijuar jashtë një rrjeti që lidhet me dy
firewall’e; kur dy ose më shumë firewall’e ekzistojnë në një mjedis, rrjetat që lidhen me
firewall’et mund të jenë rrjetat DMZ.

Figura 3.1: Një mjedis firewall’i DMZ

Rrjetat DMZ shërbejnë si pika ndalimi për sistemet e kompjuterit dhe burimet që kanë
nevojë të bëhen të aksesueshëm nga brenda ose nga jashtë, por ato nuk duhet të
vendosen në rrjetat e mbrojtur të brendshëm. Për shembull, një organizate do të
përdorte një firewall router’i kufitar dhe dy firewall’e të brendshëm, dhe vendos të gjithë

32
server’at e aksesueshëm nga jashtë në periferi, ose DMZ të jashtëm midis router’it dhe
firewall’it të parë. Router’i kufitar do të filtronte paketa dhe siguronte mbrojtje për
server’at, dhe firewall’i i parë do të siguronte kontroll aksesi dhe mbrojtje për server’at
në rast se ata do të sulmoheshin. Organizata mund të vendoste server’a të tjerë të
aksesueshëm nga brenda në DMZ të vendosura në brendësi midis dy firewall’eve të
brendshëm; firewall’et mund të siguronin mbrojtje dhe kontroll aksesi për server’at, duke
i mbrojtur të dy ata nga sulmet e brendshme dhe të jashtme. Kjo gjë është paraqitur në
figuren 3.1.

Rrjetat DMZ janë në mënyrë tipike të implementuar si switch’e rrjeti që qëndrojnë midis
dy firewall’eve ose midis një firewall’i dhe një router’i kufitar. Nga natyra e specializuar e
rrjetave DMZ, ato në mënyrë tipike shërbejnë si pika ndalimi për sistemet që kërkojnë
ose kujdesen për lidhje të brendshme. Për shembull, shpesh është një ide e mirë të
vendosësh server’a me akses të dobet dhe VPN në rrjetat DMZ. Duke vendosur këto
sisteme në rrjetat DMZ zvogëlohet mundësia që sulmet më pak të mundshëm të jenë të
aftë të përdorin ato si drejtuesa për të hyrë në rrjetat private. Gjithashtu, duke vendosur
këta server’a në rrjetat DMZ lojojnë firewall’et të shërbejnë si mjet shtesë për
kontrollimin e akseseve të rregullta të përdoruesve që lidhen me këto sisteme.

Figura 3.2: Konfigurimi DMZ i fazës së shërbimit

3.2.1. Shërbimi i fazës së konfigurimit

33
Një konfigurim rrjeti DMZ është ashtuquajtur “fazë shërbimi” konfigurimi firewall’i, sic
është treguar në figuren 3.2. Në fazën e shërbimit të konfigurimit, një firewall është
ndërtuar me tre ndërfaqe rrjeti të ndryshme. Një ndërfaqe rrjeti shtohet tek router’i
kufitar, një tjetër ndërfaqe rrjeti shtohet në një pikë lidhjeje të brendshme të tillë si një
switch rrjeti, dhe ndërfaqja e rrjetit të tretë formon rrjetin DMZ. Ky konfigurim i
nënshtrohet firewall’it në një shtim rreziku të degradimit të shërbimit gjatë një sulmi DOS
(Denial of Service) drejtuar tek server’at të vendosur në DMZ. Në një konfigurim rrjeti
DMZ standart, një sulm DOS kundër një DMZ – burim i caktuar i tillë si një web server
do të ndikojë mundësisht vetëm tek burimi objektiv. Në një etapë shërbimi konfigurim
rrjeti DMZ, firewall’i jep goditjen kryesore të cdo sulmi DOS sepse ai duhet të kontrollojë
cdo trafik rrjeti përpara se trafiku të arrijë DMZ’në. Kjo mund të ndikojë trafikun drejt
organizatës nëqoftëse, për shembull, server’i web i organizatës është nën ndikimin e
sulmit.

3.3. VPN (Virtual Private Network)

Nj tjetër gjë e vlefshme për firewall’et dhe mjediseve të firewall’it është struktura VPN.
Një VPN është ndërtuar në majë të rrjetave komunikuese që ekzistojnë dhe
protokolleve duke përdorur protokolle shtesë dhe zakonisht, enkriptim. Nëqoftëse
VPN’ja është enkriptuar, ajo mund të përdoret si një zgjerim i brendshëm, rrjeti të
mbrojtur.
Në të shumtën e rasteve, VPN’të janë përdorur për të siguruar lidhje rrjeti të sigurta
përmes rrjetave që nuk janë të besuar. Për shembull, teknologjia VPN është gjithnjë e
më shumë e përdorur në fushën e sigurimit të aksesit të përdoruesit remote tek rrjetat
organizativ nëpërmjet internet’it global. Ky aplikacion i dhënë është duke u shtuar në
popullaritet bashkë me shpenzimet lidhur me lehtësirat e implementimit privat të aksesit
remote, të tillë si modemi. Me perdorimin e teknologjisë VPN, një organizatë blen një
lidhje të vetme tek internet’i global, dhe ajo lidhje përdoret për të lejuar akseset e
përdoruesve remote në rrjetat privat të ndryshëm dhe burimet. Kjo lidhje e vetme

34
internet’i gjithashtu mund të përdoret për të siguruar shumë tipe të tjera shërbimesh. Si
rezultat, ky mekanizëm është konsideruar të jetë kosto-efektshmëri.

Figura 3.3: Shembull VPN

Teknologjia VPN shpesh përdoret për të krijuar rrjeta të sigurtë midis organizatave ose
agjensive, sic është treguar në figurën 3.3.
Në shkallën e protokollit, janë disa zgjidhje të mundshme për një VPN moderne. E para,
dhe ndoshta aktualisht më e përdorura është një strukturë protokollesh e njohur si
IPSec (Internet Protocol Security). Standartet ISPec përbehen nga tiparet e sigurisë
IPv6 varur nga IPv4, versioni IP përdoret sot në internet.

3.3.1. Vendosja e serverave VPN

Në shumë raste, vendosja e serverit VPN tek firewall’i është pozicioni më i mirë për këtë
funksion. Vendosja e tij mbrapa firewall’it do të kërkonte që trafiku VPN të kalontë jashtë
përmes firewall’it të enkriptuar dhe pastaj firewall’i është i paaftë të shqyrtojë trafikun,
përbrenda ose përjashtë, dhe kryen kontroll aksesi ose kërkon për viruse. Figura 3.3
paraqet një VPN që është kufizuar nga një firewall, duke siguruar një zgjerim të
arsyeshëm të rrjetave të mbrojtur të brendshëm.

35
Funksionalitetet e avancuara VPN bëhen më një cmim. Për shembull, nëqoftëse një
trafik VPN është enkriptuar, do të ketë një zvogelim të krahasueshëm në përformance
tek:

(a) sasia e trafikut që rrjedh përmes VPN’së.

(b) tipi/gjatësia të enkriptuar bëhen të përdorura.

Kryerja e enkriptimit në hardware do të shtonte përformancën gjithsesi. Për disa DMZ,

trafiku suplementar lidhur me VPN’të mund të kërkojë kapacitet shtesë duke planifikuar
dhe burimet.

3.4. Intranet’et

Një intranet është një rrjet që përdor të njëjtat tipe shërbimesh, aplikacionesh dhe
protokollesh ekzistuese në një implementim internet’i, pa përfshirë lidhjet e jashtme. Për
shembull, një rrjet duke përdorur protokollin TCP/IP, bashkë me HTTP për përhapje
informacioni do të konsiderohej një intranet. Në figuren 3.4, rrjetat e mbrojtur të
brendshëm janë shembuj konfigrimesh intranet’i.

Figura3.4: VPN/Extranet lidhur me dy intranet’e

36
Shumë organizata aktualisht përdorin disa tipe intranet’i, megjithëse ato mund të mos
referohen tek rrjeti si të tillë. Përbrenda rrjetit të brendshëm (intranet), shumë intranet’e
të vegjël mund të krijohen nga përdorimi i firewall’eve të brendshëm. Për shembull, një
organizatë mund të mbrojë rrjetin e vet personal me një firewall të brendshëm dhe rrjeti i
mbrojtur rezultues mund të referohet si intranet personel.

Që kur intranet’et shfrytezojnë të njëjtat protokolle dhe shërbime aplikacioni, ekzistuese

në internet, shumë nga ceshtjet e sigurisë të pandara në implementimet e internet’it
janë gjithashtu ekzistuese në implementimet e intranet’it. Prandaj, intranet’et janë në
mënyre tipike të implementuar mbrapa mjediseve të firewall’it.

3.5. Extranet’et

Një extranet është zakonisht një lidhje e dy intranet’eve përmes internet’it. Extranet’i
lejon tek përdoruesat remote kufizueshmëri, kontroll aksesi përmes disa formave të
autentifikuara dhe enkriptim të tillë si të mbrojtur nga një VPN.
Extranet’et kanë thuajse të gjitha karakteristikat e intranet’eve, përvec se extranet’et
janë dizenjuar të ekzistojnë jashtë një mjedisi firewall’i. Më saktësishtë, qëllimi i një
extranet’i është të sigurojë akses tek informacioni i ndikueshëm potencialisht tek
përdoruesit remote specifik ose organizatave, por në të njëjtën kohë refuzon akses në
përgjithësi tek përdoruesit dhe sistemet e jashtëm. Extranet’et përdorin protokollet
TCP/IP, me të njëjtat shërbime dhe aplikacione standarte.
Shumë organizata dhe agjensi aktualisht përdorin extranet’e për të komunikuar me
klientet. Brenda një extranet’i, alternativat janë të mundshme për të zbatuar shkallët e
ndryshueshmërisë së autentifikimit dhe enkriptimit. Figura 3.4 paraqet një shembull
teknologjië të një extranet’i.

37
3.6. Komponentët e infrastrukturës: hub’et dhe switch’et

Përvec router’eva dhe firewall’eve, pajisjet e infrastrukturës të tillë si hub’et dhe

switch’et sigurojnë lidhje midis sistemeve. Më e thjeshta e kësaj lidhje pajisjesh është
rrjeti përqendrues, ose hub’i. Hub’et janë pajisje që funksionojnë në shtresën 1 të
modelit OSI. Me fjalë të tjera, nuk ka inteligjencë reale në rrjetin e hub’eve; ata
ekzistojnë vetëm për të siguruar pikat e ndalimit fizik për burimet ose sistemet e
rrjetizuar.
Ka disa të meta lidhur me rrjetin e hub’eve. E para dhe kryesorja, rrjeti i hub’eve lejojn
cdo pajisje të lidhur me to për të parë destinacionin e trafikut të rrjetit ose nga është
krijuar, cdo pajisje tjetër lidhur me atë rrjet hub’i të njëjtë. Për këtë arsye, rrjeti i hub’eve
nuk duhet të përdoret për të ndërtuar rrjeta DMZ ose mjedise firewall’i.
Një pajisje me infrastrukturë më të avancuar është rrjeti switch. Switch’et e rrjetit janë
pajisje të shtresës 2, që do të thotë që ato aktualisht përdorin inteligjencë bazë në
sigurimin e pikave të ndalimit për sistemet ose componentët e rrjetizuar. Switch’et e
rrjetave janë esencialisht ura shumëportëshe, kështu ato janë gjithashtu të aftë në
shpërndarjen e gjerësisë së brezit të rrjetit të plotë tek cdo portë fizike. Një anë tjetër e
natyrës së lidhjes së switch’eve është që sistemet e lidhura me një switch nuk mund të
përgjojnë njëri-tjetrin. Kjo aftësi mos-përgjimi e pandarë në rrjetat e switch’eve i bën ato
të dobishëm për implementimin e rrjetave DMZ dhe mjediseve të firewall’it.
Është e rëndësishme të shënohet që switch’et nuk duhet të përdoren për të siguruar
ndonjë firewall ose aftësi izolimi trafiku jashtë një mjedisi firewall’i, pikërisht si DOS
(Denial Of Service)-si sulmet që mund ti bëjnë switch’et ti përmbytin rrjetat e lidhur me
paketa. Edhe, aftësia e pandarë e rrjetit të switch’eve që është sigurimi i izolimit të
subnet’it, gjithashtu mund të ndikojë se si IDS’të (Intrusion Detection Systems) duhet të
shpërndahen dhe të implementohen.

3.7. IDS (Intrusion Detection Systems)

IDS’të janë dizenjuar për të informuar dhe në disa raste pëngjojnë hyrjet e

38
paautorizuara në një burim ose sistem të rrjetizuar. Shumë sisteme zbulimi të
ndërhyrjeve janë gjithashtu të aftë të bashkëveprojnë me firewall’et për të sjellë një
element reagues në përgatitje të shërbimeve të sigurisë së rrjetit. Firewall’et që
bashkëveprojnë me sistemet e zbulimit të ndërhyrjeve janë të aftë të përgjigjen
automatikisht për perceptimin e kërcënimeve remote, pa vonesat lidhur me një reagim
njerëzor. Për shembull, nëqoftëse një sistem zbulimi të ndërhyrjeve dedekton një sulm
DOS (Denial Of Service) në progres, ai mund të informojë disa firewall’e të caktuar të
bllokojnë automatikisht burimin e sulmit.

3.8. DNS (Domain Name Service)

DNS’ja është kritike tek cdo mjedis që përdoret në internet. Nga natyra e ndjeshme e
këtij shërbimi, masat e sigurisë speciale janë të justifikuara.
Së pari, DNS’të e brendshme duhet të mbahen të vecuar nga DNS’të e jashtme. Për
shembull, një DNS që është e aksesuesheme tek e gjithë bota nuk duhet të përmbaje
hyrje për sistemet që nuk mund të shtrihen nga bota e jashtme, me ëerjashtimin e
mundshëm të përdoruesve remote që janë të autorizuar. Lejimi si hyrjet private për të
ekzistuar në një DNS të jashtme shërben vetëm për të siguruar një listë të planifikuar
për një sulm remote. Një organizatë duhet të mbrojë në mënyrë të vacantë DNS’të e
brendshme dhe të jashtme. Kjo praktikë, e njohur si split DNS, garanton që sistemet
private të brendshëm janë ndonjeherë të njëmendet me individët e brendshëm të
organizatës.

Së dyti, është gjithashtu e nevojshme të kontrollosh tipet e aksesit të cdo DNS’je të

dhënë. Në parim, aplikacioni DNS mund të operojë duke përdorur dy transporte IP të
ndryshme: përdoruesi përdor UDP’në (User Datagram Protocol) dhe DNS’në, për
komunikimin me server’in përdor TCP’në (Transmission Control Protocol). Lidhjet DNS
duke përdorur TCP’në janë gjithashtu të njohura si transferime zone. Aksesi në një
DNS duke përdorur TCP’në duhet të kufizohet vetëm tek ato DNS që janë tek kontrolli

39
direkt i një organizate. Rreziku kryesor me lejimin e transferimeve në zonën pritë është
tek modifikimi i informacionit të DNS’së. Për shembull, nëqoftëse nëe server lejon
transeferime në zonën prite ose të kufizuar, është e mundshme për një sulm remote të
modifikojë informacionin e DNS’së në atë server. Figura 3.5 paraqet një shembull split
DNS. Server’i i brendshëm DNS do të fillojë të gjejë emrat e sistemeve të brendshëm,
kështu që ato sisteme të brendshme do të lidhen me të tjerë sisteme të brendshëme,
me të gjithë sistemet në DMZ dhe kusurin e internet’it. Serveri DNS i jashtëm do të
lejonte sistemet e jashtëm për të zgjidhur emrat për firewall’in kryesor, veten e tij dhe
sistemet në DMZ’në e jashtme, por jo rrjetin e brendshëm. Si rezultat, këto sisteme
vetëm do të behëshin të dallueshëm për kusurin e internet’it.

Figura 3.5: Shembull ndarjeje DNS

3.9. Vendosja e server’ave në mjediset e firewall’it

40
Vendi se ku do vendoseë serverat në mjedisin e firewall’it varet nga shumë faktore,
duke perfshirë numrat e DMZ’ve, akseset e duhura të brendshme dhe të jashtme për
vendosjen e server’ave në DMZ dhe sasinë e trafikut. Për vendosjen e server’it janë të
nevojshme pikat e mëposhtme:

• Ruaj server’at e jashtëm me një router kufitar/filtrues paketash.

• Mos vendos server’at e aksesueshëm nga jashtë në rrjetat e mbrojtura.

• Vendos server’at e brendshëm mbrapa firewall’eve të brendshëm si ndjeshmëria e

tyre dhe aksesi i kërkuar.

• Izolo server’at që sulmet tek server’at të mos dëmtojnë kusurin e rrjetit.

Paragrafët e mëposhtëm përmbajnë disa sygjerime për vendosjen specifike të

server’ave dhe sistemeve. Derisa vendosja e server’ave do të jetë e vendosur nga cdo
kërkesë specifike e organizatës, cdo përpjekje për kërcenime nga jashtë ose nga
brenda do të bënte të mundur mbrojtjen e sigurisë së server’ave dhe do izolonte sulmet
tek server’at, kështu që pjesa tjetër e mbetur e organizatës nuk do të cenohej.

3.9.1. Server’at e aksesueshëm nga jashtë

Web server’at e aksesueshëm nga jashtë, ashtu si direktoritë e server’ave ose DNS’ja
e server’ave, mund të vendosen në një DMZ të jashtme që është midis një router’i
kufitar dhe një firewall’i kryesor. Router’i kufitar mund të sigurojë disa kontrolle aksesi
dhe duke filtruar për server’at dhe firewall’i kryesor mund të kufizojë lidhjet nga server’at
tek sitemet e brendshëme, i cili mund të përsëritej nëqoftëse server’at janë të
depërtueshëm.

41
3.9.2. VPN dhe server’at Dail-in

Këto server’a më mirë janë të vendosur në një DMZ të jashtmë, kështu që trafiku i tyre
kalon përmes firewall’it. Një sygjerim konfigurimi është të vendosësh server’in në
platformën e firewall’it, kështu që trafiku i drejtuar për jashtë mund të enkriptohet mbasi
ai të jetë filtruar dhe trafiku i drejtuar për brenda mund të dekriptohet dhe ky i filtruar nga
firewall’i. Server’i dial-in duhet të vendoset në një DMZ të jashtme për të njëjtat arsye.

3.9.3. Server’at e brendshëm

Web server’at e aksesueshëm nga brenda, server’at e-mail dhe direktoritë e server’ave
mund të vendosen në një DMZ të brendshme që është midis dy firewall’eve të dedikuar;
më kryesorin që është i brendshëm dhe me firewall’in e brendshëm duke e ndarë
DMZ’në nga rrjeti i mbrojtur. Vendsja e këtyre sistemeve në një DMZ të brendshme
siguron mbrojtje nga kërcenimet e jashtme dhe të brendshme. Nëqoftëse një HTTP e
autorizuar është përdorur për trafikun HTTP të drejtuar për jashtë, duke vendosur këtë
sistem në një DMZ të brendshme siguron më shumë siguri nga kërcënimet e
brendshme dhe të jashtme.

3.9.4. Server’at Mail

Disa firewall’e mund të përdoren për të pranuar e-mail, që është lidhja SMTP. Një
konfigurim i populluar përfshin përdorimin e firewall’it kryesor (a) të pranojë lidhjet
SMTP dhe (b) pastaj i kalon ato në një server e-mail’i të dedikuar që pozicionohet në
një DMZ të brendshme. Kjo eliminon nevojën që firewall’i të shqyrtojë e-mail’in për
përmbajtje aktive.
Nëqoftëse përdoruesit kanë nevojë të aksesojnë e-mail’in nga rrjetat e jashtëm, për
shembull kur udhetojmë ose në konferenca, një metodë për mbrojtjen e-mail server’it të

42
organizatës nga akseset direkt të jashtme është të ekzekutosh një SSL të autorizuar në
firewall’in kryesor. Firewall’i kryesor do të dërgonte lidhjen SSL në e-mail server’in e
brendshëm, i cili do të dorëzonte e-mail’in tek web’i. Zgjidhja ndalon akseset direkte të
jashtme tek server’i mail.
Si përmbledhje, figura 3.6 paraqet një shembull mjedisi firewall’i me një DMZ të
brendshme dhe të jashtme, disa server’a dhe disa pajisje të tjera. Në këtë shembull,
server’i VPN është kombinuar me firewall’in kryesor dhe server’i dial’in është
pozicionuar midis router’it kufitar/filtruesin e paketave dhe firewall’it kryesor. Server’at e
tjerë të aksesueshëm nga jashtë janë pozicionuar në DMZ’në e jashtme. Të gjithë
server’at e tjerë të brendshëm janë pozicionuar në DMZ’në e brendshme, të mbrojtur të
dy nga kërcënimet e brendshme dhe të jashtme.

Figura 3.6: Konspekt i një shembulli mjedisi firewall’i

43
 KAPITULLI IV

4. Mbrojtja e sigurisë së firewall’it

Mbrojtja e sigurisë është thelbësore për aktivitetin e lidhjeve dhe të marrëdhënieve më

jashtë, kjo siguri duhet të sundoje mbi cdo gjë.
Pa një sigurim firewall’i, administratorët dhe organizatat janë “me mbrojtje fluturake”.
Firewall’et mund të jenë komplekse dhe të ndërlikuar për ti administruar dhe incidentet e
mbrojtjes mund të ndodhin cdo ditë. Pa një sigurim, të komandosh implementimin e
firewall’it dhe administrimin, vetë firewall’i mund të bëhet një problem sigurie. Kjo pjesë
paraqet hapat për të krijuar një sigurim firewall’i dhe pastaj duke u ndjekur nga një
shembull. Ajo përmban rekomandime për testimin e sigurisë dhe periodikisht
update’imin e sigurisë.

4.1 Sigurimi i firewall’it

Një sigurim firewall’i dikton se si firewall’i duhet të manovrojë aplikacionet e trafikut të

tillë si web’i, e-mail’i ose telnet’i. Sigurimi duhet të përshkruajë se si firewall’i duhet të
menaxhohet dhe update’ohet.
Përpara se të krijohet sigurimi i firewall’it, disa forma rreziku duhet të kryhen në
aplikacionet që janë të nevojshme për kryerjen e misionit të organizatës. Rezultatet e
kësaj analize do të përfshjnë një listë të aplikacioneve dhe se si ato aplikacione do të
ruhen. Procesi i krijimit të kësaj liste nuk është dhe aq i detajuar këtu, gjithsesi, të jep
njohjen dhe diturinë mbi cënueshmërinë lidhur me cdo aplikacion dhe me metodat e
përdorimit të ruajtjes së aplikacioneve. Analiza e rrezikut infastrukturor të tekonologjisë
së organizatës duhet të matet bazuar mbi një vleresim të elementëve të mëposhtëm:
kërcenimet, cënueshmërite dhe kundërmasat në vend të zbutjes së cënueshmërive dhe

44
ndikimi nëqoftëse të dhënat e ndjeshme janë rrezikuar. Qëllimi është për të kuptuar dhe
për të vlerësuar këto elemente priortare për të themluar një sigurim firewall’i.

Hapat në krijimin e një sigurimi firewall’i janë si më poshtë:

• Identifikimi i aplikacioneve të firewall’it është menduar i nevojshëm.

• Identifikimi i cënueshmrive lidhur me aplikacionet.
• Anlizat kosto-përfitim të metodave për ruajtjen e aplikacioneve.
• Krijimi i formës së trafikut të aplikacioneve duke treguar metoda mbrojtjeje.
• Krijimi i një strukture rregullash firewall’i, bazuar në formën e trafikut të aplikacioneve.

4.2. Testimi i sigurisë së firewall’it

Sigurimet implementohen cdo ditë, por këto sigurime janë vërtët të kontrolluara dhe të
verifikuara. Pothuajse për të gjithë kompanite ose agjensitë, firewall’i dhe mbrojtja e
sigurisë duhet të verifikohet në cdo tre muaj.
Në shumë raste, sigurimi i firewall’it mund të verifikohet duke përdorur metodologjinë e
mëposhtme:
Organizatat shfrytezojnë tools’e që cmojnë konfigurimin e pajisjeve duke u përpjekur që
të kryejnë funksione që duhet të jenë të ndaluara. Megjithëse ky shqyrtim mund të
kompletohet me tools’e domaini publik, shumë organizata, kryesishtë ato subjekte për
të rregulluar nevojat do të zgjidhnin për të përdorur tools’e komerciale.
Qëllimi është, të jëtë e sigurtë që firewall’et janë konfigurur në mënyrë të përpiktë ashtu
si duhet të jenë ata, bazuar në sigurinë e shkruar. Është gjithashtu e rëndësishme që
vetë sistemi i firewall’it të jetë i testuar duke përdorur tools’e të vlerësimit të sigurisë.
Këto tools’e duhet të përdoren për të kontrolluar sistemin e funksionimit themelor të
firewall’it, ashtu si dhe implementimi i software’it të firewall’it. Si më parë, këto tools’e
vlerësimi mund të jenë domain’e publike ose komerciale (ose të dyja).

45
4.3. Përafrimi i implementimit të firewall’it

Kur implementohen firewall’et dhe siguria e firewall’it, organizatat duhet të vendosin

nëse implementimi i firewall’it të jetë si një aplikim apo në majë të një sistemi operativ
komercial. Derisa ky vendim do të jetë kryesisht i vendosur nga organizata ose kërkesat
e agjensisë, duhet të konsiderohen cështjet e mëposhtme:
Së pari, në terma të përgjithshme, aplikimi bazuar tek firewall’et nuk ndikohet nga
cënueshmëritë e mbrojtjes lidhur me sistemet e funksionimit themelor. Aplikimi bazuar
tek firewall’et përgjithësisht përdor teknologjinë ASIC (Application-Specific Integrated
Circuit) me software’in e firewall’it aktual që ka të bëjë me ASIC’et. Këto firewall’e
gjithashtu priren të bëhen më të shpejtë nga firewall’et e implementuar në majë të
sistemeve operative komerciale.
Avantazhi i implementimit të firewall’eve në majë të sistemeve operative komerciale,
është fleksibiliteti. Nëqoftëse një mjedis kërkon rritjen e performancës, organizatat
mund të blejnë një sistem më të madh në të cilin do të ekzekutojnë software’in e
firewall’it. Shumë aplikacione nuk e ofrojnë këtë nivel fleksibiliteti.
Dizavantazhi më i madh i implementimit të firewall’eve në majë të sistemve operative
komerciale është prania potenciale e cënueshmërive që mund të “minojnë”
qëndrueshmërinë e mbrojtjes të vetë platformës së firewall’it. Nga shumë factorë që
firewall’et komerciale mund të jenë dëmtuar, dëmtimi ndihmohet nga cënueshmëritë e
sistemit operativ themelor. Mjeshtëri e madhe është e nevojshme në sigurimin e
sistemit operativ themelor dhe në “mbajtjen në këmbë” të tij.
Ky vendim duhet të bëhet bazuar në kostot përkatëse, ashtu si llogaritjet e kërkesave të
ardhshme.

4.4. Mirëmbajtja dhe menaxhimi i firewall’it

Platformat e firewall’it komerciale përdorin një nga dy mekanizmat për konfigurim dhe
veprime mirbajtjeje.

46
Mekanizmi i parë është konfigurimi CLI (command-line), i cili i mundëson një
administratori të konfigurojë firewall’in duke shtypur komanda në një command promt.
Kjo teknikë është e prirur për gabime pikërisht nga shtypja e gabimeve. Avantazhi
primar në konfigurimin CLI (command-line) është që një administrator i kualifikuar dhe
me eksperiencë mund të konfigurojë firewall’in dhe reagon ndaj situatave emergjente
më shpejt se sa me një nderfaqe grafike.
Mekanizmi i dytë (dhe më i rendomti) për konfigurimin e firewall’it është përmes një
ndërfaqe grafike përdoruesi. Ndërfaqet grafike janë të thjeshta dhe i mundësojnë një
administratori fillestar të konfigurojë sisteme të avancuar në një sasi kohe të
arsyeshme. Cështja më madhore me ndërfaqet grafike është konfigurimi i imtësishëm.
Në shumë platforma firewall’i modernë, ka funksione të mundshme tek firewall’i që nuk
mund të konfigurohet duke përdorur ndërfaqe grafike. Në këto rrethana duhet të
përdoret një ndërfaqe CLI (command-line).
Për më teper, kujdesi kryesor duhet të tregohet për të garantuar që i gjithë trafiku i rrjetit
lidhur me menaxhimin e sistemit të firewall’it të jetë siguruar. Për ndërfaqet me bazë
web’i, kjo siguri ka mundësi të implementohet përmes SSL’së (Secure Sockets Layer),
bashkë me një user ID dhe password’i.

4.5. Siguria fizike e mjedisit të firewall’it

Siguria fizike e firewall’it, për mjediset e firewall’it ndonjëherë nuk vihet re. Nëqoftëse
pajisjet janë vendosur në një ambjent jo të sigurtë, ato janë të prekshëme për tu
dëmtuar nga cdo gjë dhe në rrezikun më të lartë nga dëmtimet aksidentale. Kështu që,
pajisjet firewall duhet të sigurohen mbrapa “dyerve” të mbyllura. Disa organizata
vendosin mjediset e firewall’it të tyre në pajisje që janë të sigurta, të kompletuar me
ruajtje dhe alarme fizike sigurimi.
Një tjetër faktor në sigurimin fizik është kualiteti elektrik dhe lidhjet e rrjetit. Pajisjet
firewall duhet të kenë mbështetje në furnizimin me energji dhe mundësisht lidhje të
tepërta me rrjetat e jashtëm. Ajri i kondicionuar dhe ajri i filtruar është gjithashtu në
mënyre tipike një kërkesë.

47
Së fundi, pajisja firewall duhet të jetë e mbrojtur sic është e arsyeshme nga fatkeqësitë
natyrore të tillë si zjarri.

4.6. Rishikim periodik të informimit të mbrojtjes së sigurisë

Si me cdo tip sigurimi, informacionet e mbrojtjes së sigurisë duhet të kalojnë rishikim

periodik për të garantuar saktësi. Praktika më e mirë e ndjekur është që informacionet e
mbrojtjes së sigurisë duhet të rishikohen dhe rifreskohen cdo dy herë në vit.
Një trajtim zyrtar për administrimin se cilat sheërbime janë të lejueshme përmes
firewall’it duhet të jenë të implementuara. Për shembull, kur aplikacione të reja janë
bërë të konsideruara, një fushe kontrolli konfiguracioni duhet të vlerësojë shërbime të
reja përpara se administratorët e firewall’it të jenë zyrtarisht të informuar për të
implementuar shërbimin. Në mënyrë alternative, kur një aplikacion është përmirësuar,
rregullorja e firewall’it, zyrtarishtë duhet të ndryshohet. Ky trajtim shton disa rreptësi dhe
disiplinë në implementimin e sigurisë së firewall’it, duke minimizuar prezencën e vjetër
dhe potenciale të rregullave të pasigurta.
Instalimet e firewall’it ashtu si sistemet dhe burimet e tjera duhet të kontrollohen
sistematikishtë dhe periodikishtë. Rishikimet periodike duhet të përfshijne kontrollet
aktuale dhe llogaritjet e cënueshmërisë së produktit dhe componentët e infrastrukturës
rezervë, sistemet e kompjuterit dhe disa tipe të tjerë burimesh.
Është njëlloj e barabartë që kompanitë ose agjensitë me lidhje Internet’i të përdorin
masa shtesë për të garantuar siguri të tepërt të këtyre mjediseve. Këto kontrolle ose
vleresime të specializuara janë njohur si anliza depërtimi. Analizat depërtuese duhet të
përdoren në shtesë, jo në vend të një program kontrolli konvencional. Analizat
depërtuese mund te jenë “seeded” ose “blind”.
Një depërtim seeded është një analizë depërtimi në të cilën organizata ose skuadra
duke drejtuar kontrollin e njohurive është siguruar me rrjetin e caktuar dhe me sistemin
e informacionit të mëparshëm në ekzekutimin e veprimit. Sepse ky lloj veprimi nuk
kërkon ndonjë teknike zbulimi të avancuar në pjesën e ekzistencës së ekzekutimit të
testimit. Gjithashtu një depërtim seeded mund të përdoret kur një organizatë ose

48
agjensi do të kufizojë fushën e një analize tek një mjedis i dhënë ose strukture
sistemesh.
Një depërtim blind është një vlerësim ku ndërrimi i informacionit minimal ndeshet më
përpara në krye të vlerësimit. Kjo është si pasojë e organizatës ose skuadrës që duke
drejtuar vlerësimin të marrë të gjithë informacionin lidhur me drejtimin e vleresimit,
bashkë me kohën e përmbajtjes së vlerësimit. Kjo përpjekje zbulimi fillestar bën një
analizë depërtimi blind me shumë të vështirë se sa një depërtim seeded. Gjithashtu,
rezultatet e një depërtimi blind janë më shumë reale.

4.7 Një topologji dhe bashkësi rregullash të thjeshta

Kjo pjesë paraqet një topologji firewall’i të thjeshtë dhe një bashkësi rregullash bazuar
në kërkesat e mëposhtme:

• I gjithë trafiku i brendshëm drejtohet për jashtë tek të gjithë site’et përmes firewall’eve
dhe router’it kufitar.
• SMTP’ja (e-mail’i) e brendshme drejtohet tek firewall’i kryesor ku ai ndodhet në një
server proxy dhe pastaj tek e-mail’et e klientëve të jashtëm.
• Trafiku HTTP (web) i jashtëm drejtohet tek firewall’i i brendshëm ku ai ndodhet në një
server HTTP proxy dhe pastaj tek website’et e jashtme.
• Lidhjet e brendshëme nga sistemet remote drejtohen tek porta VPN e firewall’it ku
ndodhet në sistemet e brendshme.
• I gjithë trafiku tjetër i brendshëm bllokohet.

Në realitet kjo listë do të ishte më e gjatë dhe më specifike. Në këtë shembull,

aplikacioni HTTP do të fshihte faqet web për arsye performance dhe gjithashtu do te

filtronte kapacitete aktive të tille si kontrollet Java TM , Javascript ose ActiveX® dhe
lidhjet log të drejtuara për jashtë. Aplikacioni SMTP do të kontrollonte të gjitha ndalimet

49
e e-mail’it për viruse dhe do izolonte pjesën e infektuar sipas nevojës.

Figura 4.1: Model mjedisi firewall’i

Mjedisi i firewall’it për këtë rrjet është treguar në figuren 4.1. Një rrjet DMZ’je i jashtëm
do të lidhej me internet’in nëpërmjet një filtrues paketash që shërben si një router kufitar
– paragrafi 2.2 shpjegon në mënyrë të hollësishme se përse përdorimi i një filtruesi
paketash është i preferueshëm. Firewall’i kryesor do të përmbante një porte VPN për
përdoruesit remote; të tillë përdorues do të kishin nevojë për software VPN që të lidhen
me firewall’in. E-mail’et e brendshëme do të lidheshin në fillim me firewall’in kryesor i cili
ndodhet tek një server aplikacioni të vendosur në një DMZ të brendshme. Trafiku web i
jashtëm do të lidhej me trafikun e brendshëm i cili do ta kalonte atë në një aplikacion
HTTP të vendosur në një DMZ të brendshme.
Firewall’et e brendshëm dhe kryesore do të përdornin teknologji kontrollimi, megjithëse
kjo nuk është përdorur në këtë shembull. Firewall’i kryesor do të kryente veprimet e
mëposhtme:

• Lejon përdoruesit e jashtëm të lidhen me server’in VPN, ku ata duhet të jenë të

50
autorizuar.
• Kalon lidhjet kufi SMTP të brendshme dhe të dhënat tek sever’i, ku të dhënat mund të
filtrohen dhe mund të shpërndahen tek sistemet destinacion.
• Bën rutimin e trafikut HTTP të drejtuar për jashtë nga HTTP’ja proxy dhe rutimin e
trafikut SMTP të drejtuar për jashtë nga SMTP’ja proxy.
• Më pas refuzon trafikun tjetër të drejtuar për jashtë, HTTP dhe SMTP.
• Më pas lejon trafikun tjetër të drejtuar për jashtë.

Firewall’i brendshëm do të pranonte trafikun e drejtuar për brenda vetëm nga firewall’i
kryesor dhe dy aplikacione të autorizuara. Vec kësaj, do të pranonte trafikun SMTP dhe
HTTP nga proxy’t, jo nga firewall’i kryesor. Së fundi, do të lejonte të gjithë lidhjet e
drejtuara për jashtë nga sistemet e brendshme.
Për ta bërë këtë shembull më të zbatueshëm në një mjedis të lartë sigurie, disa gjera do
të ndyshonin duke përfshirë të mëposhtëmet:

• Server’at DNS të brendshëm dhe të jashtëm do të shtoheshin për të fshehur sistemet

e brendshme.
• PAT dhe NAT do të përdoreshin për të ndihmuar fshehjen e sistemeve të brendshëm.
• Trafiku i drejtuar për jashtë nga sistemet e brendshëm do të filtrohej, duke përfshirë
trafikun e mundshëm tek site’et e diskutueshme ose për shërbime i cili ligjmërisht është
i pasigurt ose për arsye të sigurimit e administrimit.
• Firewall’et e shumëfishtë do të përdoreshin për rritje performance.

51
 KAPITULLI V

5. Administrimi i firewall’it

Roli sensitiv që i është dhënë firewall’eve, mënyra në të cilën ata janë menaxhuar dhe
ruhen është kritike.

5.1. Aksesi në plarformën e firewall’it

Metoda më e zakonshme për dëmtimin e një firewall’i është të fitosh avantazh tek
burimet që janë të mundsheme për administrimin remote të firewall’it. Kjo mënyrë tipike
përfshin akses të shfrytëzuar tek konsola e sistemit operativ ose akses tek një ndërfaqe
administrative grafike.
Për këtë arsye, aksesi tek konsola e sitemit operativ dhe ndonjë ndërfaqe administrative
grafike duhet të kontrollohet me kujdes. Metoda më popullore për kontrollim aksesi
është përmes përdorimit të enkriptimit dhe/ose autentifikimit të përdoruesit dhe duke
kufizuar akses me adresën IP. Shumë ndërfaqe grafike për menaxhimin e firewall’it
përfshijnë disa forma të enkriptimit të brendshëm. Ato të cilat zakonisht nuk mund të
sigurohen përdorin enkriptimin SSL (Secure Sockets Layer). SSL’ja zakonishtë do të
jetë një funksion për ato ndërfaqe administrative grafike që mbështeten tek HTTP’ja për
prezantim ndërfaqeje.
Për autentifikimin e përdoruesit ekzistojnë disa variante. Së pari, shumë ndërfaqe
menaxhimi firewall’i përfshijnë disa forma të autentifikimit të brendshëm. Në shumë
raste, kjo përfshin një userID dhe password individual që duhet të futet në aksesin e
ndërfaqes. Në raste të tjera, kjo mund të përfshijë një account administrues të vetëm
dhe password’in korespondues të tij. Në raste akoma të tjera, disa firewall’e mund të
suportojnë autentifikimin e bazuar në shenja ose forma të tjera të autentifikimeve të

52
fuqishme. Koto dy format e dyta të autentifikimit në mënyre tipike rrethojnë server’a të

përqëndruar të tillë si RADIUS dhe TACACS/TACACS+ 19 . Si RADIUS dhe

TACACS/TACACS+19 mbrojnë përdoruesin e jashtëm dhe shërbimet e autentifikuara

nga komponentët e infrastrukturës së rrjetit dhe sistemet e kompjuterit. RADIUS dhe

TACACS/TACACS+19 gjithashtu mund të jenë të integruar me zgjidhjet bazuar në

shenja për rritjen e sigurisë administrative.

5.2. Ndërtimi i sistemit të funksionimit të platformës së firewall’it

Një tjetër faktor në menaxhimin e mjedisit të firewall’it të suksesshëm është konsistenca

e platformës. Platformat firewall duhet të implementohen në sisteme që përmbajnë
ndërtime sistemi funksionimi që janë tepër të sigurtë nga ana e aplikacioneve të
sigurimit. Firewall’et nuk duhet të vendosen kurrë në sisteme të ndërtuar me të gjitha
opsionet e mundshme të instaluara.
Ndërtimi i sistemit të funksionimit të firewall’it duhet të bazohet në tiparet e strukturave
minimale. Të gjitha tiparet e sitemit operativ të panevojshme duhet të fshihen nga trupi
prioritar të implementimit të firewall’it, vecanërisht përpiluesit. Të gjitha pjesët e sistemit
operativ të përshtatshme duhet të përdoren përpara ndonjë instalimi të componentëve
të firewall’it.
Ndërtimi i sistemit operativ nuk duhet të mbështet pikërishtë në modifikime të bëra nga
procesi i instalimit të firewall’it. Paketat ose modulet e software’it të huaj mund të mos
fshihen gjatë procesit të instalimit.
Disa probleme që nuk vihen re tek firewall’i janë si më poshtë:

• Protokolle të papërdorura në rrjet duhet të fshihen nga ndërtimi i sistemit operativ të

firewall’it. Protokolle të papërdorur në rrjetizim potencialisht mund të përdoren për të
prishur mjedisin e firewall’it. Së fundmi, duke caktivizuar protokollet e papërdorur,
garantohet që sulmet në firewall duke përdorur teknikat e enkapsulimit të protokollit nuk
do të jenë efektive.

53
• Shërbime ose aplikacione të papërdorura në rrjet duhet të fshihen. Shërbimet e
papërdorura janë zakonishtë objekt sulmi tek firewall’et sepse shumë administratore
neglizhojnë të implementojnë default – kufizues në kontrollet e aksesit të firewall’it. Plus
kësaj, shërbimet dhe aplikacionet e papërdorura në rrjet janë të mundshëm për tu
ekzekutuar duke përdorur konfigurimet default, të cilët janë zakonisht më pak të sigurt
nga fabrikimi – konfiguracione shërbimi ose aplikimi të gatshme.
• Ndërfaqet e rrjetit fizik të papërdorura duhet të fshihen nga “foletë” e server’it.

5.3. Incidentet e sigurisë

Nuk ka përgjigje të thjeshtë kundrejt pyetjes: Cfarë është një incident sigurie?
Në përgjithësi, një incident sigurie është cdo ngjarje në të cilën akseset individuale të
paautorizuara ose orvatja për të hyre në sistemet e kompjuterave në të cilat nuk kanë
privilegje. Ashpërsia e incidentit mund të ndryshojë dhe është e vështirë për kompanite
dhe agjensitë individule të bëjnë një përcaktim të incidentit të sigurisë.
Në mesin e shkallës së ashpërsisë, një incident sigurie mund të mari formën e
tentativave aktive në përmirësimin e akseseve të paautorizuara në një sistem ose
sistemesh kompjuterash. Në pjesën më të lartë të ashpërsisë cdo përpjekje e
suksesshme përmirësohet në aksesin e paautorizuar tek një burim ose sistem. Këto
raste kanë potencialin të pengojnë disponueshmërinë e burimeve të produktit dhe
prandaj janë marë seriozisht. Kur janë të njëmendët, disa organizata ose agjensi
përpiqen të ndjekin “autorin e krimit”. Në të gjitha rastet, incidentet duhet të jenë të
raportuara.
Në esencë, saktësia e një incidenti sigurie do të përcaktohet nga mbrojtja e sigurisë
individuale të organizatës.
Gjatë një incidenti sigurie, administratorët kanë disa përgjegjësi. Në një botë ideale,
restaurimi i aksesit të produktit mund të marrë arsye duke mos ndikuar në evidencën e
nevojshme të ndjekjes penalisht të një autori krimi të supozuar, por kjo nuk është
gjithmonë e mundshme. Të varur në mbrojtjen e sigurisë në përfundimet tek një
organizatë ose agjensi, administratorët e sigurisë ose të sistemit gjithashtu kanë

54
përgjegjësi të tjera. Në përgjithësi, këto pergjegjësi do të zbulohen nga disa entite
menaxhimi.
Firewall’et mund të japin një perspektivë kritike në kontekst të një incidenti sigurie –
ngjarje korrelacioni. Koncepti i një ngjarje korrelacioni përfshin faktin që firewall’et janë
në një pozicion unik, kështu thuajse të gjithë sulmet network-based duhet të
përshkrojnë një firewall që të arrijnë në rrjet. Kjo e vendos firewall’in në një pozicion unik
në të paturin “lajthitje” në aktivitet e paautorizuara. Për këtë arsye, të gjithe firewall’et
dhe gjithë sistemet e tjerë të loguar, të tillë si sistemet e zbulimit të ndërhyrjeve duhet
teë përdorin sinkronizim kohe. Mekanizmi më i rëndomtë për sinkronizim kohe është
NTP’ja (Netwok Time Protocol). Kur të gjithë sistemet nuk kanë një përcaktim kohor,
është e mundshme të rikrijosh etapat e një incidenti sigurie.

5.4. Backup’et e firewall’it

Administrimi dhe mirëmbajtja e backup’eve janë pika kyce të cdo sigurim administrimi
firewall’i. Të gjithë firewall’ve duhet ti bëhet backup përpara se të dalin në shitje.
Si një princip i përgjithshëm, të gjithë firewall’eve që i bëhet backup duhet ti bëhet
backup i plotë.
Zakonisht nuk është e mundur të përdorësh një skemë të duhur backup’i të centralizuar
tek kontrolli i aksesit të firewall’it. Gjithashtu, duke lejuar akses tek një server backup’i të
centralizuar që me sa duket është vendosur mbrapa firewall’it do të paraqeste një rrezik
të madh në fshehtësinë e backup’eve.
Është gjithashtu e përshtatshme (megjithëse nuk është e mundur gjithmonë) të
shpërndahen firewall’e që kanë të gjithë filesistem’et të hedhura në CDROM.

5.5. Funksione specifike të firewall’eve

Shumë shpesh, firewall’et janë implementuar për të mbrojtur sisteme speciale të

caktuar. Megjithëse nuk është perfekt, një shembull i mirë do të ishte për firewall’et e

55
përcaktuar për të mbrojtur sisteme administrimi telefoni. Në lartësinë e duhur po
përmirësohet software’i administrimit PBX (Private Branch Exchange), firewall’e për
këtë funksion janë bërë të rëndësishëm.
Tradicionalisht, ëburimet PBX janë menaxhuar duke përdorur terminale text. Brenda
disa viteve të fundit, prapseprapë është bërë e zakonshme për shitësat e PBX’eve të
inkludojnë software’e administrimi që kërkojnë shtresen 3 për të menaxhuar sistemet.
Kjo tip kërkese është kryesisht e nevojshme për gjeneratën e re, sistemet PBX. Në fakt,
nuk është tek të gjithë e pazakonshme për sistemet më të reja PBX për të implementuar
modularitet përmes përdorimit të lidhjeve të rrjetit të shtresës 3 midis nyjeve PBX.
Një firewall PBX në mënyrë tipike siguron funksionalitet të ngjashëm me një firewall
internet’i duke zbatuar një siguri mbrojtjeje të specifikuar mbi përdorimin e linjave të
telefonit në një organizatë. Për shembull, firewall’i mund të zbatojë rregullat e
mëposhtme në një strukturë linjash:

• Gjithmonë lejon telefonatat e emergjencës.

• Refuzon modem’et hyrëse.
• Refuzon modem’et dalëse.
• Lejon të gjithë trafikun tjetër.

Në ngjashmëri me firewall’in e filtrimit të paketave në rrjet, një firewall PBX punon në

filtrimin e telefonatave bazuar në karakteristika të tillë si: telefonon numrin e telefonit
burim, telefonon numrin e telefonit destinacion, bllokon disa tipe telefonatash, etj.
Firewall’et PBX sigurojnë një kompletim të rëndësishëm tek një firewall rrjeti, meqenëse
një nga cënueshmëritë më të mbingarkuara në organizata është aksesi dial-up. Shpesh,
përdoruesit konfigurojnë desktop’et e PC’ve (Personal Computer) të tyre duke lejuar
aksesin modem kur përdoruesi është në udhetim ose duke punuar nga shtëpia.
Nëqoftëse organizata ka një siguri të përbashkët si modem’et, një domethënie
precedente e përdoruesve mund të cënojë sigurinë. Shumë software’e aksesi remote

56
nuk sigurojnë një autentifikim dhe identifikim të fortë, dhe përdoruesit janë shpesh
neglizhuesa në zgjedhjen e password’eve të fortë. Firewall’i PBX siguron një pikë
kryesore për administrimin e sigurisë së linjës s telefonatës.

5.6. Shembull i një lidhjeje firewall’i me internet’in

Figura 5.1: Shembull i një lidhjeje firewall’i me internet’in

57
 PËRFUNDIME

1. Teknologjia më e hershme e firewall’it filloi me paketa të thjeshta filtruese të

firewall’it dhe pati një progres më të sofistikuar të firewall’eve të aftë për ekzaminimin
e shumëfishtë të shtresave të aktivitetit të rrjetit dhe kapacitetit.Përgjithësishtë
firewall’et janë parë si gjëja më e rëndësishme për mbrojtjen.
2. Firewall’et e rrjetave janë pajisje ose sisteme që kontrollojnë rrjedhën e trafikut të
rrjetit midis rrjetave duke mbajtur qëndrime të ndryshme. Modeli OSI është një
abstraksion i komunikimeve të rrjetit ndërmjet sistemeve të kompjuterave dhe
pajisjeve të rrjetit. Firewall’et e filtrimit të paketave në thelb janë pajisje të rutimit që
përfshijnë funksionalitetin e kontrollit të aksesit për adresat e sistemit dhe sesionet e
komunikimit. Firewall’et e filtrimit të paketave kanë dy fuqi kryesore: shpejtesinë dhe
fleksibilitetin. Firewall’et application-proxy janë firewall’e të avancuar që kombinojnë
kontrollin e aksesit të shtresave të ulta me funksionalitetin e shtresave të larta.
 NAT (Network Address Translation) është një tools efektiv për “fshehjen” e
skemës adresim-rrjeti ekzistuese mbrapa një mjedisi firewall’i.

NATështë i përkryer në tre mënyra:

1. SNAT (Static Network Address Translation)

2. HNAT (Hiding Network Address Translation)
3. PAT (Port Address Translation)

3. Një mjedis firewall’i i thjeshtë mund të konsistojë në një firewall filtrues paketash

Porosi për ndërtimin e mjediseve të firewall’it

1. Mbaje atë të thjeshtë

2. Përdori pajisjet ashtu si janë menduar për tu përdorur
3. Krijo mbrojtje të lartë
4. Kushtoji vëmendje kërcënimeve të brendshme.

58
  Një VPN është ndërtuar në majë të rrjetave komunikuese që ekzistojnë
dhe protokolleve duke përdorur protokolle shtesë dhe zakonisht,
enkriptim.Në të shumtën e rasteve, VPN’të janë përdorur për të siguruar
lidhje rrjeti të sigurta përmes rrjetave që nuk janë të besuar.

 Një intranet është një rrjet që përdor të njëjtat tipe shërbimesh,

aplikacionesh dhe protokollesh ekzistuese në një implementim internet’i,
pa përfshirë lidhjet e jashtme.

 Një extranet është zakonisht një lidhje e dy intranet’eve përmes internet’it.

Extranet’i lejon tek përdoruesat remote kufizueshmëri, kontroll aksesi
përmes disa formave të autentifikuara dhe enkriptim të tillë si të mbrojtur
nga një VPN.
 Hub’et janë pajisje që funksionojnë në shtresën 1 të modelit OSI. Me fjalë
të tjera, nuk ka inteligjencë reale në rrjetin e hub’eve.
 Switch’et e rrjetit janë pajisje të shtresës 2, që do të thotë që ato aktualisht
përdorin inteligjencë bazë në sigurimin e pikave të ndalimit për sistemet
ose componentët e rrjetizuar. Është e rëndësishme të shënohet që
switch’et nuk duhet të përdoren për të siguruar ndonjë firewall ose aftësi
izolimi trafiku jashtë një mjedisi firewall’i, pikërisht si DOS (Denial Of
Service)-si sulmet që mund ti bëjnë switch’et ti përmbytin rrjetat e lidhur
me paketa. Një anë tjetër e natyrës së lidhjes së switch’eve është që
sistemet e lidhura me një switch nuk mund të përgjojnë njëri-tjetrin.
 IDS (Intrusion Detection Systems) janë dizenjuar për të informuar dhe në
disa raste pëngjojnë hyrjet e paautorizuara në një burim ose sistem të
rrjetizuar.
4. Pjesa e katërt përshkruan sigurinë e firewall’it, si duhet të përshtatet në një strukturë
sigurimi të përgjithshëm dhe pastaj paraqet një sygjerim minimal sigurie.

5. Pjesa e pestë tregon sygjerime për implementimin dhe drejtimin e administrimit të

firewall’it.

59
 METEDOLOGJIA

Router’i kufitar: Një router kufitar vendoset në kufirin e organizatës të një rrjeti të
jashtëm. Në kontekst të këtij dokumenti, një router kufitar është konfigurar që të jetë një
firewall filtrues paketash.

DMZ (Demilitarized Zone): Një rrjet i krijuar duke u lidhur me dy firewall’e. Sistemet që
janë të aksesueshëm nga jashtë por që kanë nevojë për mbrojtje zakonisht vendosen
në rrjetat DMZ.

Intranet: Një intranet është nj rrjet i brendshëm i një organizatë, por ato përdorin të
njëjtat protokolle si rrjetat e jashtëm të organizatës. Cdo rrjet organizativ që përdor
protokollin TCP/IP është një intranet.

Extranet: Një extranet është një rrjet virtual i krijuar me lidhjen e dy intranet’eve. Një
organizatë që lidhet me një VPN krijon një extranet duke lidhur bashkë intranet’et e vet
për të formuar një rrjet virtual.

Platforma firewall: Një platforme firewall është një pajisje sistemi në të cilën është
implementuar një firewall. Një shembull i një platforme firewall’i është një sistem operimi
komercial që ekzekutohet në një PC.

IDS (Intrusion Detestion System): Një aplikacion software’i që mund të implementohet

në sisteme operative host ose si pajisje rrjeti për të vëzhguar për sulme.

IPSec: Një standart që përbëhet nga tiparet e sigurisë IPv6. Tiparet e sigurisë IPSec
sigurojnë konfidencialitet dhe integritet të të dhënave.

60
ISP (Internet Service Provider): Një entitet që kujdeset peë një lidhje rrjeti të internet’it
global.

MIME (Multipurpose Internet Mail Extensions): Një mekanizëm i zgjatshëm për

e-mail. Ekzistojnë variacione nga më të ndryshmet te tipeve MIME.

NAT (Network Address Translation), PAT (Port Address Translation): Përdoren për të
fshehur adresat e sistemit të brendshëm nga një rrjet i jashtëm duke planifikuar adresat
e brendshme tek adresat e jashtme, duke planifikuar adresat e brendshme tek një
adresë e vetme e jashtme ose duke përdorur numrat e portës për të lidhur adresat e
sistemit të jashtëm me sistemet e brendshme.

SOHO (Small Office/Home Office): Një akronim zakonisht i përdorur për klasifikimin e
pajisjeve për përdorim në mjedise zyrash të vogla dhe shtëpi.

SSL (Secure Sockets Layer): Bazohet në kriptografinë kyce publike që përdoret për të
prohuar një sesion kriptografië që është privat tek një web server.

VPN (Virtual Private Network): Përdoret tek një lidhje të mirë dyrrjetëshe ose një rrjeti
dhe një sistem klienti, mbi një rrjet të pasigurtë të tillë si internt’i. Një VPN në mënyre
tipike përdor enkriptimin për të siguruar lidhjen.

Mjedisi i firewall’it: Një mjedis firewall’i është një grumbullim sistemesh tek një pikë në
rrjet që së bashku përbëjnë një implementim firewall’i. Një mjedis firewall’i do të
konsistonte në një pajisje ose shumë pajisje të tillë si disa firewall’e, me ndërhyrjen e
sistemeve të zbulimit.

ICMP (Internet Control Message Protocol): Ky protokoll është në të njëjtën shtresë OSI
me protokollin IP dhe përdoret për të përcaktuar itineraret e rutimit.

CIDR (Classless Inter-Domain Routing): Është një skemë adresimi IP që rivendos

61
skemën bazuar në klasat A, B dhe C. Adresat CIDR zvogëlojnë përmasat e tabelave të
rutimit dhe bëjnë më shumë adresa IP të mundshme brenda organizatave. CIDR është
krijuar për të ndihmuar në thjeshtëzimin e problemeve lidhur me shterimin e adresave
IP.

PBX (Private Branch eXchange): Është nëe rrjet telefoni privat që përdoret brenda një
organizate.

62
 REFERENCAT

1. Guidelines on Firewalls and Firewall Policy

Authors: John Wack, Ken Cutler, Jamie Pole

2. Librat Cisco

3. Internet’i
- www.ripe.com
- www.nanog.com

63
 SHTOJCA

Figura 2.1: Modeli OSI

Figura 2.2: Shtresat OSI që operojnë tek firewall’et moderne
Figura 2.3: Shtresat OSI të adresuara nga filtruesit e paketave
Figura 2.4: Filtruesi i paketave i përdorur si router kufitar
Figura 2.5: Filtruesi i paketave i përdorur si router kufitar
Figura 2.6: Shtresat OSI të adresuara nga firewall’et e application-proxy
Figura 2.7: Mjetet tipike proxy
Figura 2.8: Konfigurimi application-proxy
Figura 3.1: Një mjedis firewall’i DMZ
Figura 3.2: Konfigurimi DMZ i fazës së shërbimit
Figura 3.3: Shembull VPN
Figura3.4: VPN/Extranet lidhur me dy intranet’e
Figura 3.5: Shembull ndarjeje DNS
Figura 3.6: Konspekt i një shembulli mjedisi firewall’i
Figura 4.1: Model mjedisi firewall’i
Figura 5.1: Shembull i një lidhjeje firewall’i me internet’in

64