Professional Documents
Culture Documents
Diploma Aldi
Diploma Aldi
Diploma Aldi
555555555555555555555555555555555555555555555555555555555
1
Mirënjohje
Në përfundim të vitit të tretë në shkollën e lartë private “Vitrina” ndiej nevojën dhe
detyrimin për të falenderuar të gjithë personat, të cilët kanë mundësuar arsimimin tim në
këtë shkollë.Ndiej mirënjohje për të gjithë ata persona që më kanë mbështëtur në këtë
rrugëtim.I jam mirënjohës të gjithë pedagogëve për përkrahjen dhe punën e tyre të
palodhur.
2
Abstrakti
3
Fjalët kyçe
Platforma,filtrim,rutera,server’at,NAT,SNAT,HNAT,PAT,rrjeta DMZ,VPN,internet,etj
4
Përmbajtje
Mirnjohje......................................................................................................2
Abstrakt.......................................................................................................3
Fjalët kyçe...................................................................................................4
Hyrja..........................................................................................................5-6
Hyrje………………………………………………………………………………8-9
KAPITULLI I
KAPITULLI II
5
2.7.1. SNAT (Static Network Address Translation)…………..…………............24
2.7.2. HNAT (Hiding Network Address Translation)……..……………………...25
2.7.3. PAT (Port Address Translation)…………………….……………………...25
2.8. Firewall’et host-based..……………………………………………….............26
2.9. Firewall’et private/aplikimet e firewall’it privat……………………………….27
KAPITULLI III
3. Mjediset e firewall’it…………………………………………………..................30
6
KAPITULLI IV
KAPITULLI V
5. Administrimi i firewall’it...................................................................................52
PËFUNDIME……………………………………………………………..……………58
METEDOLOGJIJA…………………….………………………………………..........60
REFERENCA.....................................................................................................63
SHTOJCA………………….………………………………………..........................64
7
Hyrje
Kompjuterat u bënë gjithnjë e më të përdorshëm në jetën e njeriut. Një pjesë shumë e
madhe e njerëzve kanë në shtëpitë e tyre ose në punë një personal kompjuter.
Si rrjedhojë e përhapjes mjaft të madhe të kompjuterave lindi si domosdoshmëri
komunikimi midis kompjuterave për nevojat nga më të ndryshmet. Këto nevoja fillojnë
që me domosdoshmërinë për transferim elektronik të tëdhënave e deri me
telekomandim të njësive elektronike për qëllime nga më të ndryshmet. Lindja fillimisht e
rrjetave shumë të vegjel lokal duke përfshirë ndoshta edhe një dhomë të vetme dhe
kuptimi real i domosdoshmerisë së transferimit të të dhënave në mënyrë të shpejtë, të
sigurtë dhe shumë të saktë coi në një zhvillim të shpejtë si të shtrirjes së rrjetit
kompjuterik ashtu edhe në teknologjinë e këtyre rrjetave. Një shembull domethënës
është internet’i.
Të gjitha këto që u shprehën më sipër kanë cuar në një varësi të madhe të njeriut nga
eficenca dhe gadishmëria e rrjetave kompjuterike. Kështu që del i rëndësishëm fakti që
rrjeti kompjuterik të jetë gjithmonë në gjendje pune dhe gadishmërie të plotë për të
gjitha shërbimet që ai është në gjendje të ofrojë. Por këto rrjeta kompjuterike duhet të
jenë kategorikishtë të mbrojtur nga sulmet e jashtme dhe të brendshme, sepse me
rritjen dhe zhvillimin e këtyre rrjetave kompjuterike nuk ngelen prapa pa u zhvilluar
sulmet dhe viruset e ndryshme. Kujtojmë këtu që ka instituticione, bisnese dhe qoftë
edhe njerëz të vacantë që punën dhe ekzistencën e tyre e kanë të varur pikërisht nga
eficenca, siguria dhe saktësia e rrjetave kompjuterike.
Në pjesën e parë jepet një përshkrim i përgjithshëm mbi firewall’in.
Pjesa e dytë përmban një inspektim të protokollit OSI (Open Systems Interconnect) dhe
e përdor këtë për të përshkruar një numër të ndryshëm platformash firewall’i, duke
përfshirë firewall’et e filtrimit të paketave, firewall’et e inspektimit të gjendjes dhe
firewall’et e aplikimit proxy.
Pjesa e tretë përshkruan disa mjedise firewall’i, komponentë të kombinuar që formojnë
një solucion firewall’i. Ajo përmban sygjerime për pikëpamjen e firewall’it dhe i përshtat
ato për të punuar në ndërthurje me tools’e sigurie të tjera. Pjesa e tretë gjithashtu
përshkruan aspekte të tjera të firewall’it modern të tillë si VPN’të (Virtual Private
8
Network), përkthimi i adresës IP, etj.
Pjesa e katërt dhe e pestë përmban informacion të detajuar zakonisht për ata që
administrojnë firewall’et dhe konfigurojnë sigurimet e firewall’it. Pjesa e katërt
përshkruan sigurinë e firewall’it, si duhet të përshtatet në një strukturë sigurimi të
përgjithshëm dhe pastaj paraqet një sygjerim minimal sigurie. Pjesa e pestë tregon
sygjerime për implementimin dhe drejtimin e administrimit të firewall’it. Në fund jepet
dhe terminologjia e përdorur në këtë dokument. Në materialin e mëposhtëm jepen edhe
terma në gjuhën angleze për arsye se këto terma kanë lindur nga kjo gjuhë, gjenden
dhe njihen në literaturën ndërkombëtare si të tillë por edhe sepse shpesh herë nuk kanë
një përkthim standart, kuptimplotë dhe ekzakt në gjuhën tonë.
9
KAPITULLI I
10
KAPITULLI II
Firewall’et e rrjetave janë pajisje ose sisteme që kontrollojnë rrjedhën e trafikut të rrjetit
midis rrjetave duke mbajtur qëndrime të ndryshme. Në të shumtën e aplikimeve
moderne firewall’et dhe mjediset e firewall’eve janë diskutuar në kontekstin e lidhjeve të
internetit dhe të protokollit TCP/IP. Sidoqoftë, firewall’et kanë zbatueshmëri në mjediset
e rrjetave që nuk përfshijnë lidhjen e internetit. Për shembull, shumë rrjeta vënë në
punë firewall’e që të kufizojnë lidhjet për tek dhe nga rrjetat e brendshme duke shërbyer
me shumë funksione të ndjeshme të tilla si mbajtje llogarish ose personeli i
departamentit. Duke vënë në punë firewall’et për të kontrolluar lidhjet për këto hapësira,
një organizatë mund të parandalojë akseset e paautorizueshme tek sistemet dhe
burimet përkatëse brenda hapësirave më të ndjeshme. Përfshirja e firewall’eve të
duhur ose mjediseve të firewall’eve mund të parandalojë një shtresë shtesë të sigurisë
që në rastin e kundërt nuk do ishte e mundshme.
11
Figura 2.1: Modeli OSI
Gjenden disa lloje platforma firewall’esh aktualisht të mundshme nga shitësit. Një
mënyrë e të krahasuarit të aftësisë të platformës së firewall’it është duke kontrolluar
aspektet e modelit OSI’it që secila platformë e firewall’it të dhënë është e mundshme të
fuksionojë.
12
• Shtresa e Prezantimit – Ofron një varietet kodimi dhe funksione bisedimi që janë të
aplikueshme nga shtresa e aplikimit. Këto funksione garantojnë që informacioni i
dërguar nga shtresa e aplikimit të njërit sistem të jetë e lexueshme nga shtresa e
aplikimit të sistemit tjetër. Një shembull i funksionit të kodimit është kodimi i të
dhënave përpara nga shtresa e prezantimit përpara largimit nga stacioni burim dhe
dekodimi nga shtresa e prezantimit në stacionin burim, përpara se ti dërgohet
shtresës së aplikimit. Formati i kodit dhe komunikimit zbatohet për tekst, figurë, zë
dhe video.
• Shtresa Data Link - Inkapsulon informacionin e shtresës së rrjetit në një PDU që quhet
frame. Koka e frame përmban informacione të nevojshme për të kryer funsione të
Data-Link. Lexon informacionin e kontrollit e dhënë nga shtresa analoge në njësinë
13
burim. Heq informacionin e kontrollit nga frame.
14
(Dynamic Host Configuration Protocol), VPN’të (Virtual Private Networks), etj.
Firewall’e të reja suportojnë DHCP për të caktuar adresat IP për ato adresa (të
sistemeve) që do të jenë subjekt i kontrollit të sigurisë së firewall’eve dhe të
thjeshtëzojnë administrimin e rrjetit. Specifikimi i DHCP’së është tani thuajse i
mbështetur në të gjithë bizneset dhe në sistemet e funksionimit të klientit dhe është
gjerësisht i përdorshëm sepse e bën administrimin e rrjetit të adresave të IP’së më të
lehtë.
15
Firewall’et e filtrimit të paketave janë zakonishtë të pozicionuar brenda infrastrukturës të
rrjetit TCP/IP; megjithatë, ato gjithashtu mund të pozicionohen në cdo infrastrukturë
rrjeti që mbështetet tek shtresa 3, duke përfshirë rrjetat IPX (Novell NetWare).
Firewall’et e filtrimit të paketave dhe router’at gjithashtu mund të filtrojnë trafikun e rrjetit
të bazuar në disa karakteristika të atij trafiku, të tillë si nëse paketa është e protokollit të
shtresës 3 mund të ishte ICMP (Internet Control Message Protocol) – sulmuesat e kanë
përdorur këtë protokoll për të përmbytur rrjetat me trafik, në këtë mënyrë krijojnë sulmet
DDOS (Distributed Denial-Of-Service). Firewall’et e filtrimit të paketave gjithashtu kanë
aftësi të bllokojnë sulmet e tjera që marrin avantazh në të metat e protokollit TCP/IP.
16
Figura 2.4: Filtruesi i paketave i përdorur si router kufitar
Figura 2.4 paraqet një filtrues paketash që përdoret si router kufitar. Router’i pranon
paketa nga lidhja e rrjetit të pabesueshëm, i cili në mënyrë tipike do të ishte një router
tjetër i zotëruar ose i kontrolluar nga ISP (Internet Service Provider). Router’i që bën
kontroll aksesi duke u pajtuar me sigurimin, bllokon SNMP (Simple Network
Management Protocol), lejon HTTP (Hypertext Transport Protocol), etj. Ai pastaj kalon
paketat në firewall’e të tjerë më të fuqishëm për më shumë kontroll aksesi dhe filtron
operacione në shtresat më të larta të modelit OSI. Figura 2.4 gjithashtu tregon një rrjet
më pak të besueshëm të brendshëm midis router’it kufitar dhe një firewall’i të
brendshëm, ndonjëherë të referuar si rrjeti i jashtëm DMZ (DeMilitarized Zone).
17
të gjithë funksionet e mundshme bashkë me atë aplikacion do të bëhen të lejuesheme.
18
Figura 2.5: Shtresat OSI të adresuara nga inspektimi i gjendjes
19
firewall’it është i paaftë të kalojë paketat në rrjet nëpërmjet sistemit të firewall’it.
Cdo aplikacion sigurimi individual, gjithashtu referohet si një faktor sigurimi, ndërfaqet e
drejtpërdrejta me kontrollin e aksesit të firewall’it përpiqen të kufizojnë nëse një pjesë e
dhënë e trafikut të rrjetit mund të bëhet e lejueshme për të kaluar firewall’in. Cdo faktor
sigurimi ka aftësinë të kërkojë autentifikimin për cdo përdorues individual të rrjetit. Ky
autentifikim përdoruesi mund të marri forma të ndryshme, duke përfshirë të
mëposhtmet:
20
portat e rrjetit.
Një tjetër avantazh është që firewall’et application-proxy lejojnë administratorët e
sigurimit të zbatojnë cfarëdolloj tipi autentifikimi të përdoruesit që është i mendimit të
duhur për një iniciativë infrastrukturore të dhënë. Aplikacionet proxy janë të aftë të
autentifikojnë drejtpërdrejt përdoruesit, si për tiu kundërvënë firewall’eve të filtrimit të
paketave dhe firewall’eve të inspektimit të gjendjes të cilët normalisht autentifikimi i
përdoruesve bazohet në adresën e shtresës së rrjetit të sitemit që ata janë. Aftësitë e
autentifikimit të qenësishme në arkitekturën e aplikimit proxy, janë superiore nga
firewall’et e filtrimit të paketave dhe firewall’et e inspektimit të gjendjes.
Përfundimishtë, firewall’et e aplikimit proxy nuk janë thjesht mekanizma të shtresës 3,
ata mund të bëhen më pak të cenueshëm nga sulmet.
21
termat e suportimit për aplikacione dhe protokolle rrjeti të reja. Faktori i aplikacionit
specifik proxy është i nevojshëm për cdo tip trafik rrjeti që ka nevojë të kolojë një
firewall. Shumica e tregëtarëve të firewall’eve të aplikimit proxy sigurojnë mjete të
përgjithshëm sigurimi për të suportuar protokolle ose aplikacione rrjeti të pacaktuara.
Gjithsesi, këto mjete të përgjithshme priren të mohojnë shumë nga fuqitë e arkitekturës
se aplikimit proxy dhe ato thjesht lejojnë trafik në “tunel” drejt firewall’it.
Server’at proxy të dedikuar ndryshe nga firewall’et e aplikimit proxy ata ruajnë kontroll
sigurimi të trafikut por ato nuk përmbajnë aftësi firewall’i. Ata janë në mënyrë tipike të
vendosur mbrapa platformës së firewall’it tradicional për këtë arsye. Në përdorimin tipik,
një firewall kryesor mund të pranojë trafik të brendshëm, të vendosë cili aplikacion është
duke u bërë objektiv, dhe pastaj mos ndërhyjë në trafikun e serverit autoritar të duhur,
një e-mail server’i të autorizuar. Server’i i autorizuar në mënyrë tipike do të plotësonte
funksionet e filtrimit ose logimit në trafik dhe pastaj do e dërgonte atë në sistemet e
brendshëme. Një serever i autorizuar gjithashtu mund të pranonte trafikun e jashtëm
direkt nga sistemet e brendshme, filtronte ose logonte trafikun dhe pastaj t’ia kalonte atë
firewall’it për shpërndarje të jashtme. Një shembull i këtij do të ishte një vendosje e
autorizuar e HTTP mbrapa firewall’it; përdoruesit do të kishin nevojë të lidheshin tek ky
autorizim gjatë rrugës për tu lidhur me web server’at e jashtëm. Në mënyrë tipike,
server’at proxy të dedikuar janë përdorur për të zvogëluar punën të ngarkuar në firewall
dhe për të kryer filtrime dhe logime më të specializuara që përndryshe do të ishte e
vështirë të kryhej nga vetë firewall’i.
Ashtu si firewall’et e aplikimit proxy, autorizimet e dedikuara lejojnë një organizatë të
zbatojë kërkesat e përdoruesve të autentifikuar ashtu si filtrimet dhe logimet e tjera në
cdo trafik që përshkon server’in e autorizuar. Ndërlikimet janë që një organizatë mund
të kufizojë trafiun e jashtëm të disa vendeve ose mund të kontrollonte të gjitha e-mail’et
e jashtme për viruse ose të kufizojë përdoruesit e brendshëm nga shkruajtja tek web
server’i i organizatës. Ekspertët e sigurimit kanë konstatuar që shumë probleme
22
sigurimi përsëriten përbrenda një organizate; serverat e autorizuar mund të asistojnë në
pengimin e sulmeve kryesore të brendshme ose sjelljeve keqdashëse. Në të njëjtën
kohë, filtrimi i trafikut të jashtëm do të vendosë një ngarkesë më të madhe në firewall
dhe do të shtonte kostot e administrimit.
Figura 2.8 paraqet një diagramë të thjeshtë të një rrjeti që përdor server’at proxy të
dedikuar për HTTP dhe e-mail të vendosur mbrapa një sistemi tjetër firewall’i. Në këtë
rast, e-mail’i i autorizuar mund të bëhej porta SMTP e organizatës për e-mail’in e
jashtëm. Firewall’i kryesor do të dorzojë e-mail’in e brendshëm tek proxy për skanim,
dhe pastaj e-mail’i mund të bëhej i mundshëm tek përdoruesit e brendshëm me disa
mënyra. HTTP’ja proxy do të merrej me lidhjet e jashtme tek web server’at e jashtëm
dhe ndoshta filtrim për kapacitete aktive.
23
funksionalitete të filtrimit të paketave themelore për të siguruar mbështetje më të mirë
për aplikacionet e bazuara në UDP (User Datagram Protocol).
Gjithashtu, shumë tregetarë të firewall’eve të filtrimit të paketave dhe të firewall’eve të
inspektimit të gjendjes kanë implementuar funksionalitete të aplikimit proxy bazë për të
kompesuar disa nga të metat lidhur me platformat e firewall’eve të tyre. Në shumë
raste, tregetarët e firewall’eve të filtrimit të paketave ose të firewall’eve të inspektimit të
gjendjes implementojnë aplikacione proxy për të siguruar logim trafik rrjeti të
përmirësuar dhe autentifikim përdoruesi tek firewall’et e tyre.
Pothuajse të gjithë tregetarët kryesorë të firewall’eve kanë futur hibridizim në produktet
e tyre në disa mënyra, modele, ose forma, kështu që nuk është gjithmonë e thjeshtë të
vendosësh cili produkt firewall’i specifik është më i përshtatshmi për një aplikacion të
dhënë. Hibridizimi i platformave të firewall’it e bën vlerësimin e produktit me parablerje
pjesë e një projekt firewall’i të rëndësishëm.
24
Në SNAT, cdo sistem i brendshëm në një rrjet privat ka një korrespondues të jashtëm,
adrese IP të rutueshme lidhur me të. Kjo teknikë e vacantë është përdorur rrallë,
pikërisht në pamjaftueshmëri të burimeve të mundshme të adresave IP. Me SNAT është
e mundur të vendosim burimet mbrapa (brenda) firewall’it, ndonëse ruajnë aftësinë për
të siguruar akses përzgjedhës tek përdoruesit e jashtëm. Me fjalë të tjera, një sistem i
jashtëm mund të aksesonte një web server të brendshëm, adresa e të cilit ka qenë
planifikuar me SNAT. Firewall’i do të kryente planifikimet në cdo drejtim, të jashtëm ose
të brendshëm.
Ka dy dallime kryesore midis PAT dhe HNAT. Së pari, PAT nuk e ka të nevojshme të
përdori adresën IP të ndërfaqes të firewall’it të jashtëm për të gjithë trafikun e rrjetit; një
tjetër adresë mund të krijohet për këtë qëllim. Së dyti, me PAT, është e mundur të
25
vendosësh burimet mbrapa një sistemi firewall’i dhe akoma i bën ato selektivisht të
lejueshme tek përdoruesit e jashtëm. Ky akses është i përkryer në avancimin e lidhjeve
të brendshme në disa numra porte tek hoste specifike.
PAT punon duke përdorur adresën e portës së klientit për të identifikuar lidhjet e
brendshme. Për shembull, nqs një sistem mbrapa një firewall’i duke përdorur PAT ishte
në telnet jashtë një sistemi në internet, sistemi i jashtëm do të shikonte një lidhje nga
ndërfaqja e jashtme e firewall’it, përmes portës burim të klientit. Kur sistemi i jashtëm i
përgjigjet lidhjes së rrjetit, ai do të përdorte informacionin e adresimit të mësipërm. Kur
firewall’i PAT do të merte përgjigjen, do të dukej tek porta burim e klientit i mbrojtur nga
sistemi remote dhe i bazuar në atë portë burim, ai do të përcaktonte cili sistem i
brendshëm do të kërkohej në sesion.
Në termat e fuqive dhe dobësive, cdo tip NAT’i ka zbatueshmëri në disa situata. SNAT
ofron fleksibilitet të madh, por si i shpallur më përpara, SNAT nuk është normalisht
praktik. Teknologjia HNAT ishte një hap i përkohshëm në zhvillimin e teknologjisë NAT
dhe është i përdorur rrallë sepse PAT ofron përvec vecorive të mësipërme dhe ato
ekzistuese në HNAT përderisa ka të njëjtat dizajne themelore dhe konsiderata
inxhinierike.
Firewall’et janë të përdorshëm në disa sisteme operative të tillë si Linux’i; ata mund të
përdoren që të sigurojnë vetëm host’in individual. Kjo mund të jetë e dobishme për
përdorim me server’at e brendshëm; për shembull një web server i brendshëm mund të
vendoset në një sistem që ekzekuton një firewall host-based. Kjo përmban disa
avantazhe, duke përfshirë të mëposhtmet:
26
firewall’et host-based i kryejnë këto funksione.
27
• Kabëll modemi të rutimit WAN.
• Rrjet lokal rutimi.
• Rrjet hub.
• Rrjet swich.
• Server DHCP (Dynamic Host Configuration Protocol).
• Mjet i menaxhimit të rrjetit.
• Mjet i aplikacionit proxy.
Duke përfshirë këto komponente infrastrukture në një aplikacion firewall’i, lejon një
organizatë të vendosë zgjidhje efektive duke konsistuar në një pjesë të vetme
hardware’i.
Megjithëse firewall’eve private dhe aplikacioneve të firewall’it privat i mungojnë disa nga
avantazhet, tiparet e shkallës së mesme të platformave tradicionale të firewall’it, ato
akoma mund të formojnë një pjesë efektive të gjendjes së plotë të sigurisë të një
organizate. Në termat e strategjisë së pozicionimit, firewall’et private dhe aplikacionet e
firewall’it privat normalisht adresojnë problemet e lidhjes lidhur me punët nga shtëpia
ose filialet e zyrave. Gjithsesi, disa organizata përdorin këto pajisje në intranet’in
organizativ, duke praktikuar një mbrojtje në strategji të thellë. Firewall’et private dhe
aplikacionet e firewall’it privat gjithashtu mund të përdoren për të kufizuar VPN’të.
Administrimi i pajisjes ose aplikimit është një faktor i rëndësishëm kur përcaktohet ose
zgjidhet një firewall privat/aplikacion firewall’i privat. Teorikisht, një firewall privat ose një
aplikacion firewall’i privat duhet ti japë organizatës ose agjensisë aftesinë të detyrojë
përcaktimin e qëndrimit të sigurisë në të gjitha sistemet që lidhen me ato rrjeta dhe
sisteme.
Administrimi i firewall’eve privat ose aplikacioneve të firewall’eve privat duhet të jetë i
centralizuar nëqoftëse është e mundur. Nga ana tjetër, administrimi i centralizuar lejon
një organizatë ose agjensi të zbatojë sigurimin e mbrojtjes të saj dhe qëndrimin në
sisteme që janë të lidhura në distancë. Mënyra më e mirë për të realizuar këtë
funksionim është të krijosh një profil konfigurimi sigurie që shoqëron një përdorues
fundor tek cdo sistem të loguar brenda, nga ai përdorues. Në këtë mënyrë, mbrojtja e
28
sigurisë së organizatës ose agjensisë do të jetë gjithmonë nën efekt kur përdoruesi
është duke aksesuar burimet e llogaritjeve të korporatës ose agjensisë.
Por për sa i perket përdoruesve remote që lidhen tek server’i i një organizate dhe në
kohë të tjera lidhen me ISP’të komerciale? Pretendimi i qëndrimit të sigurisë së ISP’së
komerciale është më pak i kufizuar nga organizatat, rreziku i infektimit të kompjuterit me
një virus ose sulm tjetër është më i madh dhe komunikimi me një kompjuter të infektuar
tek rrjeti i organizatës mund të fuste virusin në atë rrjet. Ky është një problem, sepse
shumë përdorues shtëpishë shfrytëzojnë kompjuterat e tyre personal njëlloj për punë
dhe funksionet që nuk janë lidhur me punën.
Zgjidhja e fundit është të përdorësh kompjutera individualë; për shembull, një
organizatë do të jepte laptop’a në shtëpitë e përdoruesve që mund ti përdorin vetëm për
funksionet e punës dhe që nuk mund të lidhen me rrjetat e organizatave të tjera. Kjo gjë
do të fuste rrjeta shtëpie. Secili laptop duhet të përfshijë një firewall privat dhe një
software anti-virusi.
Nëqoftëse një zgjidhje e tillë nuk është e mundshme, atëherë firewall’i privat duhet të
përdoret gjithë kohës dhe duhet të konfigurohet më tepër në kuadrot e kufizuesit që ka
mandat nga organizata.
29
KAPITULLI III
3. Mjediset e firewall’it
Mjedisi i firewall’it është një term i përdorur për të përshkruar strukturën e sistemeve
dhe componentët që janë të përfshirë në sigurimin ose mbështetjen e komplet
funksionalitetit të firewall’it në një pikë të dhënë në rrjet. Një mjedis firewall’i i thjeshtë
mund të konsistojë në një firewall filtrues paketash dhe asgjë më tepër. Në një
kompleks më të madh dhe mjedis sigurie, ai mund të konsistojeë në disa firewall’e, të
autorizuar, dhe topologji specifike për mbështetje të sistemeve dhe sigurisë. Në pjesët e
mëposhtme tregohen me hollësi topologjitë e sistemeve dhe të rrjetit të përdorura në
popullaritet në mjedise firewall’i.
Principi KISS është dicka që duhet të jetë i pari dhe kryesori në mendjen e një
projektuesi mjedisi firewall’i. Në thelb, më e thjeshta e zgjidhjes së firewall’it, siguria më
e përshtatshme që do të jetë dhe më e lehta do të jetë administrimi. Kompleksiteti në
dizenjim dhe funksionim shpesh të con në gabime konfigurimi.
Përdorimi i pajisjeve të rrjetit ashtu si kanë qënë në origjinë në këtë kontekst kjo do të
30
thotë të mos nxjerrësh firewall’in jashtë pajisjeve që nuk do të thotë akoma për
përdorimin e firewall’it. Për shembull, router’at janë për rutimin; kapaciteti i filtrimit të
paketave të tyre nuk është qëllimi i tyre themelor, dhe dallimi nuk duhet kurrë të
humbasë në dizenjimin e tyre të një implementimi firewall’i. Duke u mbështetur vetëm
tek router’at të sigurosh aftësinë e firewall’it është e rrezikshme; ata mund të
keqkonfigurohen shume lehtë. Switch’et e rrjetit janë një tjetër shembull; kur përdoren
për të bërë switch trafikun e firewall’it jashtë mjedisit të një firewall’i, ata janë të
prekshëm nga sulmet që mund të pengojnë funksionalitetin e switch’it. Në shumë raste,
firewall’et hibrid dhe aplikimet e firewall’it janë zgjidhjet e vetme më të mira sepse ata
janë optimizuar të jenë firewall’e kryesore.
31
ndërtohen mjediset e firewall’it, por cdo rrjet dhe organizatë ka kërkesat dhe vecantitë e
unifikimit vetjak.
Rrjetat DMZ shërbejnë si pika ndalimi për sistemet e kompjuterit dhe burimet që kanë
nevojë të bëhen të aksesueshëm nga brenda ose nga jashtë, por ato nuk duhet të
vendosen në rrjetat e mbrojtur të brendshëm. Për shembull, një organizate do të
përdorte një firewall router’i kufitar dhe dy firewall’e të brendshëm, dhe vendos të gjithë
32
server’at e aksesueshëm nga jashtë në periferi, ose DMZ të jashtëm midis router’it dhe
firewall’it të parë. Router’i kufitar do të filtronte paketa dhe siguronte mbrojtje për
server’at, dhe firewall’i i parë do të siguronte kontroll aksesi dhe mbrojtje për server’at
në rast se ata do të sulmoheshin. Organizata mund të vendoste server’a të tjerë të
aksesueshëm nga brenda në DMZ të vendosura në brendësi midis dy firewall’eve të
brendshëm; firewall’et mund të siguronin mbrojtje dhe kontroll aksesi për server’at, duke
i mbrojtur të dy ata nga sulmet e brendshme dhe të jashtme. Kjo gjë është paraqitur në
figuren 3.1.
Rrjetat DMZ janë në mënyrë tipike të implementuar si switch’e rrjeti që qëndrojnë midis
dy firewall’eve ose midis një firewall’i dhe një router’i kufitar. Nga natyra e specializuar e
rrjetave DMZ, ato në mënyrë tipike shërbejnë si pika ndalimi për sistemet që kërkojnë
ose kujdesen për lidhje të brendshme. Për shembull, shpesh është një ide e mirë të
vendosësh server’a me akses të dobet dhe VPN në rrjetat DMZ. Duke vendosur këto
sisteme në rrjetat DMZ zvogëlohet mundësia që sulmet më pak të mundshëm të jenë të
aftë të përdorin ato si drejtuesa për të hyrë në rrjetat private. Gjithashtu, duke vendosur
këta server’a në rrjetat DMZ lojojnë firewall’et të shërbejnë si mjet shtesë për
kontrollimin e akseseve të rregullta të përdoruesve që lidhen me këto sisteme.
33
Një konfigurim rrjeti DMZ është ashtuquajtur “fazë shërbimi” konfigurimi firewall’i, sic
është treguar në figuren 3.2. Në fazën e shërbimit të konfigurimit, një firewall është
ndërtuar me tre ndërfaqe rrjeti të ndryshme. Një ndërfaqe rrjeti shtohet tek router’i
kufitar, një tjetër ndërfaqe rrjeti shtohet në një pikë lidhjeje të brendshme të tillë si një
switch rrjeti, dhe ndërfaqja e rrjetit të tretë formon rrjetin DMZ. Ky konfigurim i
nënshtrohet firewall’it në një shtim rreziku të degradimit të shërbimit gjatë një sulmi DOS
(Denial of Service) drejtuar tek server’at të vendosur në DMZ. Në një konfigurim rrjeti
DMZ standart, një sulm DOS kundër një DMZ – burim i caktuar i tillë si një web server
do të ndikojë mundësisht vetëm tek burimi objektiv. Në një etapë shërbimi konfigurim
rrjeti DMZ, firewall’i jep goditjen kryesore të cdo sulmi DOS sepse ai duhet të kontrollojë
cdo trafik rrjeti përpara se trafiku të arrijë DMZ’në. Kjo mund të ndikojë trafikun drejt
organizatës nëqoftëse, për shembull, server’i web i organizatës është nën ndikimin e
sulmit.
Nj tjetër gjë e vlefshme për firewall’et dhe mjediseve të firewall’it është struktura VPN.
Një VPN është ndërtuar në majë të rrjetave komunikuese që ekzistojnë dhe
protokolleve duke përdorur protokolle shtesë dhe zakonisht, enkriptim. Nëqoftëse
VPN’ja është enkriptuar, ajo mund të përdoret si një zgjerim i brendshëm, rrjeti të
mbrojtur.
Në të shumtën e rasteve, VPN’të janë përdorur për të siguruar lidhje rrjeti të sigurta
përmes rrjetave që nuk janë të besuar. Për shembull, teknologjia VPN është gjithnjë e
më shumë e përdorur në fushën e sigurimit të aksesit të përdoruesit remote tek rrjetat
organizativ nëpërmjet internet’it global. Ky aplikacion i dhënë është duke u shtuar në
popullaritet bashkë me shpenzimet lidhur me lehtësirat e implementimit privat të aksesit
remote, të tillë si modemi. Me perdorimin e teknologjisë VPN, një organizatë blen një
lidhje të vetme tek internet’i global, dhe ajo lidhje përdoret për të lejuar akseset e
përdoruesve remote në rrjetat privat të ndryshëm dhe burimet. Kjo lidhje e vetme
34
internet’i gjithashtu mund të përdoret për të siguruar shumë tipe të tjera shërbimesh. Si
rezultat, ky mekanizëm është konsideruar të jetë kosto-efektshmëri.
Teknologjia VPN shpesh përdoret për të krijuar rrjeta të sigurtë midis organizatave ose
agjensive, sic është treguar në figurën 3.3.
Në shkallën e protokollit, janë disa zgjidhje të mundshme për një VPN moderne. E para,
dhe ndoshta aktualisht më e përdorura është një strukturë protokollesh e njohur si
IPSec (Internet Protocol Security). Standartet ISPec përbehen nga tiparet e sigurisë
IPv6 varur nga IPv4, versioni IP përdoret sot në internet.
Në shumë raste, vendosja e serverit VPN tek firewall’i është pozicioni më i mirë për këtë
funksion. Vendosja e tij mbrapa firewall’it do të kërkonte që trafiku VPN të kalontë jashtë
përmes firewall’it të enkriptuar dhe pastaj firewall’i është i paaftë të shqyrtojë trafikun,
përbrenda ose përjashtë, dhe kryen kontroll aksesi ose kërkon për viruse. Figura 3.3
paraqet një VPN që është kufizuar nga një firewall, duke siguruar një zgjerim të
arsyeshëm të rrjetave të mbrojtur të brendshëm.
35
Funksionalitetet e avancuara VPN bëhen më një cmim. Për shembull, nëqoftëse një
trafik VPN është enkriptuar, do të ketë një zvogelim të krahasueshëm në përformance
tek:
3.4. Intranet’et
Një intranet është një rrjet që përdor të njëjtat tipe shërbimesh, aplikacionesh dhe
protokollesh ekzistuese në një implementim internet’i, pa përfshirë lidhjet e jashtme. Për
shembull, një rrjet duke përdorur protokollin TCP/IP, bashkë me HTTP për përhapje
informacioni do të konsiderohej një intranet. Në figuren 3.4, rrjetat e mbrojtur të
brendshëm janë shembuj konfigrimesh intranet’i.
36
Shumë organizata aktualisht përdorin disa tipe intranet’i, megjithëse ato mund të mos
referohen tek rrjeti si të tillë. Përbrenda rrjetit të brendshëm (intranet), shumë intranet’e
të vegjël mund të krijohen nga përdorimi i firewall’eve të brendshëm. Për shembull, një
organizatë mund të mbrojë rrjetin e vet personal me një firewall të brendshëm dhe rrjeti i
mbrojtur rezultues mund të referohet si intranet personel.
3.5. Extranet’et
Një extranet është zakonisht një lidhje e dy intranet’eve përmes internet’it. Extranet’i
lejon tek përdoruesat remote kufizueshmëri, kontroll aksesi përmes disa formave të
autentifikuara dhe enkriptim të tillë si të mbrojtur nga një VPN.
Extranet’et kanë thuajse të gjitha karakteristikat e intranet’eve, përvec se extranet’et
janë dizenjuar të ekzistojnë jashtë një mjedisi firewall’i. Më saktësishtë, qëllimi i një
extranet’i është të sigurojë akses tek informacioni i ndikueshëm potencialisht tek
përdoruesit remote specifik ose organizatave, por në të njëjtën kohë refuzon akses në
përgjithësi tek përdoruesit dhe sistemet e jashtëm. Extranet’et përdorin protokollet
TCP/IP, me të njëjtat shërbime dhe aplikacione standarte.
Shumë organizata dhe agjensi aktualisht përdorin extranet’e për të komunikuar me
klientet. Brenda një extranet’i, alternativat janë të mundshme për të zbatuar shkallët e
ndryshueshmërisë së autentifikimit dhe enkriptimit. Figura 3.4 paraqet një shembull
teknologjië të një extranet’i.
37
3.6. Komponentët e infrastrukturës: hub’et dhe switch’et
IDS’të janë dizenjuar për të informuar dhe në disa raste pëngjojnë hyrjet e
38
paautorizuara në një burim ose sistem të rrjetizuar. Shumë sisteme zbulimi të
ndërhyrjeve janë gjithashtu të aftë të bashkëveprojnë me firewall’et për të sjellë një
element reagues në përgatitje të shërbimeve të sigurisë së rrjetit. Firewall’et që
bashkëveprojnë me sistemet e zbulimit të ndërhyrjeve janë të aftë të përgjigjen
automatikisht për perceptimin e kërcënimeve remote, pa vonesat lidhur me një reagim
njerëzor. Për shembull, nëqoftëse një sistem zbulimi të ndërhyrjeve dedekton një sulm
DOS (Denial Of Service) në progres, ai mund të informojë disa firewall’e të caktuar të
bllokojnë automatikisht burimin e sulmit.
DNS’ja është kritike tek cdo mjedis që përdoret në internet. Nga natyra e ndjeshme e
këtij shërbimi, masat e sigurisë speciale janë të justifikuara.
Së pari, DNS’të e brendshme duhet të mbahen të vecuar nga DNS’të e jashtme. Për
shembull, një DNS që është e aksesuesheme tek e gjithë bota nuk duhet të përmbaje
hyrje për sistemet që nuk mund të shtrihen nga bota e jashtme, me ëerjashtimin e
mundshëm të përdoruesve remote që janë të autorizuar. Lejimi si hyrjet private për të
ekzistuar në një DNS të jashtme shërben vetëm për të siguruar një listë të planifikuar
për një sulm remote. Një organizatë duhet të mbrojë në mënyrë të vacantë DNS’të e
brendshme dhe të jashtme. Kjo praktikë, e njohur si split DNS, garanton që sistemet
private të brendshëm janë ndonjeherë të njëmendet me individët e brendshëm të
organizatës.
39
direkt i një organizate. Rreziku kryesor me lejimin e transferimeve në zonën pritë është
tek modifikimi i informacionit të DNS’së. Për shembull, nëqoftëse nëe server lejon
transeferime në zonën prite ose të kufizuar, është e mundshme për një sulm remote të
modifikojë informacionin e DNS’së në atë server. Figura 3.5 paraqet një shembull split
DNS. Server’i i brendshëm DNS do të fillojë të gjejë emrat e sistemeve të brendshëm,
kështu që ato sisteme të brendshme do të lidhen me të tjerë sisteme të brendshëme,
me të gjithë sistemet në DMZ dhe kusurin e internet’it. Serveri DNS i jashtëm do të
lejonte sistemet e jashtëm për të zgjidhur emrat për firewall’in kryesor, veten e tij dhe
sistemet në DMZ’në e jashtme, por jo rrjetin e brendshëm. Si rezultat, këto sisteme
vetëm do të behëshin të dallueshëm për kusurin e internet’it.
40
Vendi se ku do vendoseë serverat në mjedisin e firewall’it varet nga shumë faktore,
duke perfshirë numrat e DMZ’ve, akseset e duhura të brendshme dhe të jashtme për
vendosjen e server’ave në DMZ dhe sasinë e trafikut. Për vendosjen e server’it janë të
nevojshme pikat e mëposhtme:
Web server’at e aksesueshëm nga jashtë, ashtu si direktoritë e server’ave ose DNS’ja
e server’ave, mund të vendosen në një DMZ të jashtme që është midis një router’i
kufitar dhe një firewall’i kryesor. Router’i kufitar mund të sigurojë disa kontrolle aksesi
dhe duke filtruar për server’at dhe firewall’i kryesor mund të kufizojë lidhjet nga server’at
tek sitemet e brendshëme, i cili mund të përsëritej nëqoftëse server’at janë të
depërtueshëm.
41
3.9.2. VPN dhe server’at Dail-in
Këto server’a më mirë janë të vendosur në një DMZ të jashtmë, kështu që trafiku i tyre
kalon përmes firewall’it. Një sygjerim konfigurimi është të vendosësh server’in në
platformën e firewall’it, kështu që trafiku i drejtuar për jashtë mund të enkriptohet mbasi
ai të jetë filtruar dhe trafiku i drejtuar për brenda mund të dekriptohet dhe ky i filtruar nga
firewall’i. Server’i dial-in duhet të vendoset në një DMZ të jashtme për të njëjtat arsye.
Web server’at e aksesueshëm nga brenda, server’at e-mail dhe direktoritë e server’ave
mund të vendosen në një DMZ të brendshme që është midis dy firewall’eve të dedikuar;
më kryesorin që është i brendshëm dhe me firewall’in e brendshëm duke e ndarë
DMZ’në nga rrjeti i mbrojtur. Vendsja e këtyre sistemeve në një DMZ të brendshme
siguron mbrojtje nga kërcenimet e jashtme dhe të brendshme. Nëqoftëse një HTTP e
autorizuar është përdorur për trafikun HTTP të drejtuar për jashtë, duke vendosur këtë
sistem në një DMZ të brendshme siguron më shumë siguri nga kërcënimet e
brendshme dhe të jashtme.
Disa firewall’e mund të përdoren për të pranuar e-mail, që është lidhja SMTP. Një
konfigurim i populluar përfshin përdorimin e firewall’it kryesor (a) të pranojë lidhjet
SMTP dhe (b) pastaj i kalon ato në një server e-mail’i të dedikuar që pozicionohet në
një DMZ të brendshme. Kjo eliminon nevojën që firewall’i të shqyrtojë e-mail’in për
përmbajtje aktive.
Nëqoftëse përdoruesit kanë nevojë të aksesojnë e-mail’in nga rrjetat e jashtëm, për
shembull kur udhetojmë ose në konferenca, një metodë për mbrojtjen e-mail server’it të
42
organizatës nga akseset direkt të jashtme është të ekzekutosh një SSL të autorizuar në
firewall’in kryesor. Firewall’i kryesor do të dërgonte lidhjen SSL në e-mail server’in e
brendshëm, i cili do të dorëzonte e-mail’in tek web’i. Zgjidhja ndalon akseset direkte të
jashtme tek server’i mail.
Si përmbledhje, figura 3.6 paraqet një shembull mjedisi firewall’i me një DMZ të
brendshme dhe të jashtme, disa server’a dhe disa pajisje të tjera. Në këtë shembull,
server’i VPN është kombinuar me firewall’in kryesor dhe server’i dial’in është
pozicionuar midis router’it kufitar/filtruesin e paketave dhe firewall’it kryesor. Server’at e
tjerë të aksesueshëm nga jashtë janë pozicionuar në DMZ’në e jashtme. Të gjithë
server’at e tjerë të brendshëm janë pozicionuar në DMZ’në e brendshme, të mbrojtur të
dy nga kërcënimet e brendshme dhe të jashtme.
43
KAPITULLI IV
44
ndikimi nëqoftëse të dhënat e ndjeshme janë rrezikuar. Qëllimi është për të kuptuar dhe
për të vlerësuar këto elemente priortare për të themluar një sigurim firewall’i.
Sigurimet implementohen cdo ditë, por këto sigurime janë vërtët të kontrolluara dhe të
verifikuara. Pothuajse për të gjithë kompanite ose agjensitë, firewall’i dhe mbrojtja e
sigurisë duhet të verifikohet në cdo tre muaj.
Në shumë raste, sigurimi i firewall’it mund të verifikohet duke përdorur metodologjinë e
mëposhtme:
Organizatat shfrytezojnë tools’e që cmojnë konfigurimin e pajisjeve duke u përpjekur që
të kryejnë funksione që duhet të jenë të ndaluara. Megjithëse ky shqyrtim mund të
kompletohet me tools’e domaini publik, shumë organizata, kryesishtë ato subjekte për
të rregulluar nevojat do të zgjidhnin për të përdorur tools’e komerciale.
Qëllimi është, të jëtë e sigurtë që firewall’et janë konfigurur në mënyrë të përpiktë ashtu
si duhet të jenë ata, bazuar në sigurinë e shkruar. Është gjithashtu e rëndësishme që
vetë sistemi i firewall’it të jetë i testuar duke përdorur tools’e të vlerësimit të sigurisë.
Këto tools’e duhet të përdoren për të kontrolluar sistemin e funksionimit themelor të
firewall’it, ashtu si dhe implementimi i software’it të firewall’it. Si më parë, këto tools’e
vlerësimi mund të jenë domain’e publike ose komerciale (ose të dyja).
45
4.3. Përafrimi i implementimit të firewall’it
Platformat e firewall’it komerciale përdorin një nga dy mekanizmat për konfigurim dhe
veprime mirbajtjeje.
46
Mekanizmi i parë është konfigurimi CLI (command-line), i cili i mundëson një
administratori të konfigurojë firewall’in duke shtypur komanda në një command promt.
Kjo teknikë është e prirur për gabime pikërisht nga shtypja e gabimeve. Avantazhi
primar në konfigurimin CLI (command-line) është që një administrator i kualifikuar dhe
me eksperiencë mund të konfigurojë firewall’in dhe reagon ndaj situatave emergjente
më shpejt se sa me një nderfaqe grafike.
Mekanizmi i dytë (dhe më i rendomti) për konfigurimin e firewall’it është përmes një
ndërfaqe grafike përdoruesi. Ndërfaqet grafike janë të thjeshta dhe i mundësojnë një
administratori fillestar të konfigurojë sisteme të avancuar në një sasi kohe të
arsyeshme. Cështja më madhore me ndërfaqet grafike është konfigurimi i imtësishëm.
Në shumë platforma firewall’i modernë, ka funksione të mundshme tek firewall’i që nuk
mund të konfigurohet duke përdorur ndërfaqe grafike. Në këto rrethana duhet të
përdoret një ndërfaqe CLI (command-line).
Për më teper, kujdesi kryesor duhet të tregohet për të garantuar që i gjithë trafiku i rrjetit
lidhur me menaxhimin e sistemit të firewall’it të jetë siguruar. Për ndërfaqet me bazë
web’i, kjo siguri ka mundësi të implementohet përmes SSL’së (Secure Sockets Layer),
bashkë me një user ID dhe password’i.
Siguria fizike e firewall’it, për mjediset e firewall’it ndonjëherë nuk vihet re. Nëqoftëse
pajisjet janë vendosur në një ambjent jo të sigurtë, ato janë të prekshëme për tu
dëmtuar nga cdo gjë dhe në rrezikun më të lartë nga dëmtimet aksidentale. Kështu që,
pajisjet firewall duhet të sigurohen mbrapa “dyerve” të mbyllura. Disa organizata
vendosin mjediset e firewall’it të tyre në pajisje që janë të sigurta, të kompletuar me
ruajtje dhe alarme fizike sigurimi.
Një tjetër faktor në sigurimin fizik është kualiteti elektrik dhe lidhjet e rrjetit. Pajisjet
firewall duhet të kenë mbështetje në furnizimin me energji dhe mundësisht lidhje të
tepërta me rrjetat e jashtëm. Ajri i kondicionuar dhe ajri i filtruar është gjithashtu në
mënyre tipike një kërkesë.
47
Së fundi, pajisja firewall duhet të jetë e mbrojtur sic është e arsyeshme nga fatkeqësitë
natyrore të tillë si zjarri.
48
agjensi do të kufizojë fushën e një analize tek një mjedis i dhënë ose strukture
sistemesh.
Një depërtim blind është një vlerësim ku ndërrimi i informacionit minimal ndeshet më
përpara në krye të vlerësimit. Kjo është si pasojë e organizatës ose skuadrës që duke
drejtuar vlerësimin të marrë të gjithë informacionin lidhur me drejtimin e vleresimit,
bashkë me kohën e përmbajtjes së vlerësimit. Kjo përpjekje zbulimi fillestar bën një
analizë depërtimi blind me shumë të vështirë se sa një depërtim seeded. Gjithashtu,
rezultatet e një depërtimi blind janë më shumë reale.
Kjo pjesë paraqet një topologji firewall’i të thjeshtë dhe një bashkësi rregullash bazuar
në kërkesat e mëposhtme:
• I gjithë trafiku i brendshëm drejtohet për jashtë tek të gjithë site’et përmes firewall’eve
dhe router’it kufitar.
• SMTP’ja (e-mail’i) e brendshme drejtohet tek firewall’i kryesor ku ai ndodhet në një
server proxy dhe pastaj tek e-mail’et e klientëve të jashtëm.
• Trafiku HTTP (web) i jashtëm drejtohet tek firewall’i i brendshëm ku ai ndodhet në një
server HTTP proxy dhe pastaj tek website’et e jashtme.
• Lidhjet e brendshëme nga sistemet remote drejtohen tek porta VPN e firewall’it ku
ndodhet në sistemet e brendshme.
• I gjithë trafiku tjetër i brendshëm bllokohet.
filtronte kapacitete aktive të tille si kontrollet Java TM , Javascript ose ActiveX® dhe
lidhjet log të drejtuara për jashtë. Aplikacioni SMTP do të kontrollonte të gjitha ndalimet
49
e e-mail’it për viruse dhe do izolonte pjesën e infektuar sipas nevojës.
Mjedisi i firewall’it për këtë rrjet është treguar në figuren 4.1. Një rrjet DMZ’je i jashtëm
do të lidhej me internet’in nëpërmjet një filtrues paketash që shërben si një router kufitar
– paragrafi 2.2 shpjegon në mënyrë të hollësishme se përse përdorimi i një filtruesi
paketash është i preferueshëm. Firewall’i kryesor do të përmbante një porte VPN për
përdoruesit remote; të tillë përdorues do të kishin nevojë për software VPN që të lidhen
me firewall’in. E-mail’et e brendshëme do të lidheshin në fillim me firewall’in kryesor i cili
ndodhet tek një server aplikacioni të vendosur në një DMZ të brendshme. Trafiku web i
jashtëm do të lidhej me trafikun e brendshëm i cili do ta kalonte atë në një aplikacion
HTTP të vendosur në një DMZ të brendshme.
Firewall’et e brendshëm dhe kryesore do të përdornin teknologji kontrollimi, megjithëse
kjo nuk është përdorur në këtë shembull. Firewall’i kryesor do të kryente veprimet e
mëposhtme:
50
autorizuar.
• Kalon lidhjet kufi SMTP të brendshme dhe të dhënat tek sever’i, ku të dhënat mund të
filtrohen dhe mund të shpërndahen tek sistemet destinacion.
• Bën rutimin e trafikut HTTP të drejtuar për jashtë nga HTTP’ja proxy dhe rutimin e
trafikut SMTP të drejtuar për jashtë nga SMTP’ja proxy.
• Më pas refuzon trafikun tjetër të drejtuar për jashtë, HTTP dhe SMTP.
• Më pas lejon trafikun tjetër të drejtuar për jashtë.
Firewall’i brendshëm do të pranonte trafikun e drejtuar për brenda vetëm nga firewall’i
kryesor dhe dy aplikacione të autorizuara. Vec kësaj, do të pranonte trafikun SMTP dhe
HTTP nga proxy’t, jo nga firewall’i kryesor. Së fundi, do të lejonte të gjithë lidhjet e
drejtuara për jashtë nga sistemet e brendshme.
Për ta bërë këtë shembull më të zbatueshëm në një mjedis të lartë sigurie, disa gjera do
të ndyshonin duke përfshirë të mëposhtëmet:
51
KAPITULLI V
5. Administrimi i firewall’it
Roli sensitiv që i është dhënë firewall’eve, mënyra në të cilën ata janë menaxhuar dhe
ruhen është kritike.
Metoda më e zakonshme për dëmtimin e një firewall’i është të fitosh avantazh tek
burimet që janë të mundsheme për administrimin remote të firewall’it. Kjo mënyrë tipike
përfshin akses të shfrytëzuar tek konsola e sistemit operativ ose akses tek një ndërfaqe
administrative grafike.
Për këtë arsye, aksesi tek konsola e sitemit operativ dhe ndonjë ndërfaqe administrative
grafike duhet të kontrollohet me kujdes. Metoda më popullore për kontrollim aksesi
është përmes përdorimit të enkriptimit dhe/ose autentifikimit të përdoruesit dhe duke
kufizuar akses me adresën IP. Shumë ndërfaqe grafike për menaxhimin e firewall’it
përfshijnë disa forma të enkriptimit të brendshëm. Ato të cilat zakonisht nuk mund të
sigurohen përdorin enkriptimin SSL (Secure Sockets Layer). SSL’ja zakonishtë do të
jetë një funksion për ato ndërfaqe administrative grafike që mbështeten tek HTTP’ja për
prezantim ndërfaqeje.
Për autentifikimin e përdoruesit ekzistojnë disa variante. Së pari, shumë ndërfaqe
menaxhimi firewall’i përfshijnë disa forma të autentifikimit të brendshëm. Në shumë
raste, kjo përfshin një userID dhe password individual që duhet të futet në aksesin e
ndërfaqes. Në raste të tjera, kjo mund të përfshijë një account administrues të vetëm
dhe password’in korespondues të tij. Në raste akoma të tjera, disa firewall’e mund të
suportojnë autentifikimin e bazuar në shenja ose forma të tjera të autentifikimeve të
52
fuqishme. Koto dy format e dyta të autentifikimit në mënyre tipike rrethojnë server’a të
53
• Shërbime ose aplikacione të papërdorura në rrjet duhet të fshihen. Shërbimet e
papërdorura janë zakonishtë objekt sulmi tek firewall’et sepse shumë administratore
neglizhojnë të implementojnë default – kufizues në kontrollet e aksesit të firewall’it. Plus
kësaj, shërbimet dhe aplikacionet e papërdorura në rrjet janë të mundshëm për tu
ekzekutuar duke përdorur konfigurimet default, të cilët janë zakonisht më pak të sigurt
nga fabrikimi – konfiguracione shërbimi ose aplikimi të gatshme.
• Ndërfaqet e rrjetit fizik të papërdorura duhet të fshihen nga “foletë” e server’it.
Nuk ka përgjigje të thjeshtë kundrejt pyetjes: Cfarë është një incident sigurie?
Në përgjithësi, një incident sigurie është cdo ngjarje në të cilën akseset individuale të
paautorizuara ose orvatja për të hyre në sistemet e kompjuterave në të cilat nuk kanë
privilegje. Ashpërsia e incidentit mund të ndryshojë dhe është e vështirë për kompanite
dhe agjensitë individule të bëjnë një përcaktim të incidentit të sigurisë.
Në mesin e shkallës së ashpërsisë, një incident sigurie mund të mari formën e
tentativave aktive në përmirësimin e akseseve të paautorizuara në një sistem ose
sistemesh kompjuterash. Në pjesën më të lartë të ashpërsisë cdo përpjekje e
suksesshme përmirësohet në aksesin e paautorizuar tek një burim ose sistem. Këto
raste kanë potencialin të pengojnë disponueshmërinë e burimeve të produktit dhe
prandaj janë marë seriozisht. Kur janë të njëmendët, disa organizata ose agjensi
përpiqen të ndjekin “autorin e krimit”. Në të gjitha rastet, incidentet duhet të jenë të
raportuara.
Në esencë, saktësia e një incidenti sigurie do të përcaktohet nga mbrojtja e sigurisë
individuale të organizatës.
Gjatë një incidenti sigurie, administratorët kanë disa përgjegjësi. Në një botë ideale,
restaurimi i aksesit të produktit mund të marrë arsye duke mos ndikuar në evidencën e
nevojshme të ndjekjes penalisht të një autori krimi të supozuar, por kjo nuk është
gjithmonë e mundshme. Të varur në mbrojtjen e sigurisë në përfundimet tek një
organizatë ose agjensi, administratorët e sigurisë ose të sistemit gjithashtu kanë
54
përgjegjësi të tjera. Në përgjithësi, këto pergjegjësi do të zbulohen nga disa entite
menaxhimi.
Firewall’et mund të japin një perspektivë kritike në kontekst të një incidenti sigurie –
ngjarje korrelacioni. Koncepti i një ngjarje korrelacioni përfshin faktin që firewall’et janë
në një pozicion unik, kështu thuajse të gjithë sulmet network-based duhet të
përshkrojnë një firewall që të arrijnë në rrjet. Kjo e vendos firewall’in në një pozicion unik
në të paturin “lajthitje” në aktivitet e paautorizuara. Për këtë arsye, të gjithe firewall’et
dhe gjithë sistemet e tjerë të loguar, të tillë si sistemet e zbulimit të ndërhyrjeve duhet
teë përdorin sinkronizim kohe. Mekanizmi më i rëndomtë për sinkronizim kohe është
NTP’ja (Netwok Time Protocol). Kur të gjithë sistemet nuk kanë një përcaktim kohor,
është e mundshme të rikrijosh etapat e një incidenti sigurie.
Administrimi dhe mirëmbajtja e backup’eve janë pika kyce të cdo sigurim administrimi
firewall’i. Të gjithë firewall’ve duhet ti bëhet backup përpara se të dalin në shitje.
Si një princip i përgjithshëm, të gjithë firewall’eve që i bëhet backup duhet ti bëhet
backup i plotë.
Zakonisht nuk është e mundur të përdorësh një skemë të duhur backup’i të centralizuar
tek kontrolli i aksesit të firewall’it. Gjithashtu, duke lejuar akses tek një server backup’i të
centralizuar që me sa duket është vendosur mbrapa firewall’it do të paraqeste një rrezik
të madh në fshehtësinë e backup’eve.
Është gjithashtu e përshtatshme (megjithëse nuk është e mundur gjithmonë) të
shpërndahen firewall’e që kanë të gjithë filesistem’et të hedhura në CDROM.
55
përcaktuar për të mbrojtur sisteme administrimi telefoni. Në lartësinë e duhur po
përmirësohet software’i administrimit PBX (Private Branch Exchange), firewall’e për
këtë funksion janë bërë të rëndësishëm.
Tradicionalisht, ëburimet PBX janë menaxhuar duke përdorur terminale text. Brenda
disa viteve të fundit, prapseprapë është bërë e zakonshme për shitësat e PBX’eve të
inkludojnë software’e administrimi që kërkojnë shtresen 3 për të menaxhuar sistemet.
Kjo tip kërkese është kryesisht e nevojshme për gjeneratën e re, sistemet PBX. Në fakt,
nuk është tek të gjithë e pazakonshme për sistemet më të reja PBX për të implementuar
modularitet përmes përdorimit të lidhjeve të rrjetit të shtresës 3 midis nyjeve PBX.
Një firewall PBX në mënyrë tipike siguron funksionalitet të ngjashëm me një firewall
internet’i duke zbatuar një siguri mbrojtjeje të specifikuar mbi përdorimin e linjave të
telefonit në një organizatë. Për shembull, firewall’i mund të zbatojë rregullat e
mëposhtme në një strukturë linjash:
56
nuk sigurojnë një autentifikim dhe identifikim të fortë, dhe përdoruesit janë shpesh
neglizhuesa në zgjedhjen e password’eve të fortë. Firewall’i PBX siguron një pikë
kryesore për administrimin e sigurisë së linjës s telefonatës.
57
PËRFUNDIME
3. Një mjedis firewall’i i thjeshtë mund të konsistojë në një firewall filtrues paketash
58
Një VPN është ndërtuar në majë të rrjetave komunikuese që ekzistojnë
dhe protokolleve duke përdorur protokolle shtesë dhe zakonisht,
enkriptim.Në të shumtën e rasteve, VPN’të janë përdorur për të siguruar
lidhje rrjeti të sigurta përmes rrjetave që nuk janë të besuar.
59
METEDOLOGJIA
Router’i kufitar: Një router kufitar vendoset në kufirin e organizatës të një rrjeti të
jashtëm. Në kontekst të këtij dokumenti, një router kufitar është konfigurar që të jetë një
firewall filtrues paketash.
DMZ (Demilitarized Zone): Një rrjet i krijuar duke u lidhur me dy firewall’e. Sistemet që
janë të aksesueshëm nga jashtë por që kanë nevojë për mbrojtje zakonisht vendosen
në rrjetat DMZ.
Intranet: Një intranet është nj rrjet i brendshëm i një organizatë, por ato përdorin të
njëjtat protokolle si rrjetat e jashtëm të organizatës. Cdo rrjet organizativ që përdor
protokollin TCP/IP është një intranet.
Extranet: Një extranet është një rrjet virtual i krijuar me lidhjen e dy intranet’eve. Një
organizatë që lidhet me një VPN krijon një extranet duke lidhur bashkë intranet’et e vet
për të formuar një rrjet virtual.
Platforma firewall: Një platforme firewall është një pajisje sistemi në të cilën është
implementuar një firewall. Një shembull i një platforme firewall’i është një sistem operimi
komercial që ekzekutohet në një PC.
IPSec: Një standart që përbëhet nga tiparet e sigurisë IPv6. Tiparet e sigurisë IPSec
sigurojnë konfidencialitet dhe integritet të të dhënave.
60
ISP (Internet Service Provider): Një entitet që kujdeset peë një lidhje rrjeti të internet’it
global.
NAT (Network Address Translation), PAT (Port Address Translation): Përdoren për të
fshehur adresat e sistemit të brendshëm nga një rrjet i jashtëm duke planifikuar adresat
e brendshme tek adresat e jashtme, duke planifikuar adresat e brendshme tek një
adresë e vetme e jashtme ose duke përdorur numrat e portës për të lidhur adresat e
sistemit të jashtëm me sistemet e brendshme.
SOHO (Small Office/Home Office): Një akronim zakonisht i përdorur për klasifikimin e
pajisjeve për përdorim në mjedise zyrash të vogla dhe shtëpi.
SSL (Secure Sockets Layer): Bazohet në kriptografinë kyce publike që përdoret për të
prohuar një sesion kriptografië që është privat tek një web server.
VPN (Virtual Private Network): Përdoret tek një lidhje të mirë dyrrjetëshe ose një rrjeti
dhe një sistem klienti, mbi një rrjet të pasigurtë të tillë si internt’i. Një VPN në mënyre
tipike përdor enkriptimin për të siguruar lidhjen.
Mjedisi i firewall’it: Një mjedis firewall’i është një grumbullim sistemesh tek një pikë në
rrjet që së bashku përbëjnë një implementim firewall’i. Një mjedis firewall’i do të
konsistonte në një pajisje ose shumë pajisje të tillë si disa firewall’e, me ndërhyrjen e
sistemeve të zbulimit.
ICMP (Internet Control Message Protocol): Ky protokoll është në të njëjtën shtresë OSI
me protokollin IP dhe përdoret për të përcaktuar itineraret e rutimit.
61
skemën bazuar në klasat A, B dhe C. Adresat CIDR zvogëlojnë përmasat e tabelave të
rutimit dhe bëjnë më shumë adresa IP të mundshme brenda organizatave. CIDR është
krijuar për të ndihmuar në thjeshtëzimin e problemeve lidhur me shterimin e adresave
IP.
PBX (Private Branch eXchange): Është nëe rrjet telefoni privat që përdoret brenda një
organizate.
62
REFERENCAT
2. Librat Cisco
3. Internet’i
- www.ripe.com
- www.nanog.com
63
SHTOJCA
64