Пређи на садржај

Заштитни зид

С Википедије, слободне енциклопедије
Поједностављен приказ функције једног хардверског заштитног зида; Црвене нуле и јединице су штетни код, док су зелене нуле и јединице оно што корисник стварно хоће да види на рачунару

Заштитни зид (енгл. firewall, у преводу ватрени зид, ватробран, ватрозид) је хардвер или софтвер који у склопу рачунарске мреже има могућност да спречи непрописни или нежељени пренос података преко мреже који је забрањен од стране сигурносне политике постављене на мрежи.[1]

Заштитни зид има задатак да контролише (дозвољава или одбија) проток података између различитих зона у рачунарској мрежи. Зоне се деле на основу количине поверења у безбедност неког дела мреже. Обично се зона интернета сматра несигурном, док се локална мрежа сматра релативно сигурном. Најбитнији циљ је остваривање нормалног односа између ове две зоне, тако да једна не нашкоди другој.

Најчешће, заштитни зид се брине да са глобалне мреже — интернета — на рачунар не доспе штетни код (вирус, црв итд). Заштитни зид спречава вирусе да доспеју на рачунар, али их не лечи, односно не уклања.[2]

Заштитни зид не може радити сам, и најчешће захтева искуснијег корисника који ће одобравати или забрањивати приступ некој мрежној активности. Заштитни зид је најосновнија компонента која чини сигурну рачунарску мрежу, која је услов нормалног рада, како на интернету, тако и на локалној мрежи.

Основне концепције скенирања пакета

[уреди | уреди извор]
Пример заштитне мреже у једној рачунарској мрежи

Статичко филтрирање пакета

[уреди | уреди извор]

Филтрирање пакета (енгл. stateless inspection) основни је дeо сваког заштитног зида. У том се делу одлучује да ли мрежни пакет треба бити прослеђен на другу мрежу или не. При томе се код статичког филтрирања прегледају различити подаци:[3]

Врста протокола:

  • IP адресе одредишта и изворишта
  • Одредишни тј. изворишни порт
  • Информације о таблици усмеравања пакета
  • Број фрагментираног пакета

Филтрирање пакета у зависности од врсти протокола

[уреди | уреди извор]

Протоколно филтрирање пакета заснива се на садржају IP протоколног поља. Протокол који се користи унутар пакета одређује да ли пакет треба проследити или не.

Неки од протокола су:

Филтрирање пакета у зависности од IP адреса одредишта тј. изворишта

[уреди | уреди извор]

Филтрирање, у зависности од IP адреса омогућава забрану конекција од или према одређеним рачунарима и/или мрежама, у зависности од њихових IP адреса. Уколико администратор жели заштити мрежу од неовлаштених злонамерних нападача(вируса), он може забранити промет мрежних пакета које као одредиште имају одређене IP адресе. То је поприлично бескорисно јер нападачи могу променити IP адресе. Због тога је пуно боље дозволити приступ мрежи само одређеним пакетима који као одредиште имају одређене сигурне IP адресе. Нормално уколико се нападач домогне и тог пописа он може пакетима придружити као одредишну IP адресу неку из тог пописа.

Филтрирање пакета у зависности од одредишних тј. изворишних портова

[уреди | уреди извор]

Приликом спајања једног рачунара са другим, и један и други користе одређене приступне портове. Све укупни број приступних портова је 65536. Првих 1024 порта су резервисана за одређене апликације и не могу се користити за неке друге. Као, на пример, HTTP[тражи се извор] користи порт 80, FTP[6] порт 20 и 21, DNS[7] порт 53 итд... Ти портови су посебно осетљиви на напад због великог нивоа контроле коју пружају нападачу. Неки други портови могу бити искоришћени да би се уништиле одређене битне информације. Такав порт је DNS.

Филтрирање пакета у зависности од руте усмеравања пакета

[уреди | уреди извор]

Филтрирање пакета зависно од руте усмеравања пакета (енгл. Source Routing) је процес одређивања тачно одређене руте којом пакет треба проћи приликом путовања према циљу односно приликом повратног путовања. Оригинално је коришћен за анализирање и тестирање, али се у данашње време користи од стране нападача. Нападачи постављањем било које IP адресе у поље за извориште могу омогућити да им се повратни пакет врати, стављајући своју властиту IP адресу. При томе они могу одредити тачну стазу којом пакет треба проћи, или одредити циљне рачунаре до којих пакет треба доћи.

Филтрирање пакета у зависности од броја фрагментираних пакета

[уреди | уреди извор]

У данашњим мрежама превелике поруке се преносе рашчлањене (фрагментиране) у мање пакете. Величина пакета за пренос коришћењем устаљеног IEEE 802.3[8] стандарда је ограничена са максималном величином од 1500 октета. Почетно фрагментирана порука на изворишту може се још додатно распарчати на усмеривачима преко којих та порука прелази. Тако рашчлањени пакети се повезују на одредишту у послату поруку. Могуће је на заштитни зид извести филтрирање, на начин да се одбацује почетни фрагментирани пакет који једини садржи порт апликације и да се претпостави на основу те логике да ће сви остали пакети бити бескорисни јер неће доћи до апликације. Такво филтрирање је данас бескорисно јер нападачи могу првом послатом распарчаном пакету уместо редног броја 0 доделити редни број 1. На тај начин би порука на крају стигла до жељене апликације.

Основне конфигурације заштитног зида

[уреди | уреди извор]

Међу-системски пролаз

[уреди | уреди извор]
Међу-системски пролаз

Међу-системски пролаз (енг. Dual-Homed Gateway) је заштитни зид који се састоји од рачунара са најмање два мрежна адаптера. Овакав систем се нормално конфигурише тако да се пакети не рутирају директно са једне мреже (интернет) на другу мрежу (интранет). Рачунари на интернету могу да комуницирају са заштитни зидом, као и рачунари са унутрашње мреже, али је директан саобраћај блокиран. Главна мана међу-системског пролаза је чињеница да блокира директни IP саобраћај у оба правца. Ово доводи до немогућности рада свих програма који захтевају директну путању TCP/IP пакета. Да би се решио овај проблем, рачунари извршавају програме под називом прокси[9], да би проследили пакете између две мреже. Уместо да директно разговарају, клијент и сервер "причају" са проксијем, који ради на утврђеном хост-у. Пожељно је да прокси буде транспарентан за кориснике.

Заклоњени пролаз

[уреди | уреди извор]
Заклоњени пролаз

Заклоњени пролаз (енг. Screened Host Gateway) је заштитни зид који се састоји од бар једног рутер и утврђеног хоста са једноструким мрежним интерфејсом. Рутер се типично конфигурише да блокира сав саобраћај до унутрашње мреже тако да је утврђени хост једини рачунар коме се може споља приступити. За разлику од међу-системског пролаза, заклоњени пролаз не форсира сав саобраћај кроз утврђени хост; помоћу конфигурације рутера могуће је да се отворе "рупе" у заштитном зиду, тако да постоји пролаз и до других рачунара у оквиру унутрашње мреже. Утврђени хост је заштићен рутером. Рутер се конфигурише тако да дозволи саобраћај само за одређене портове на утврђеном хосту. Даље, рутер се може конфигурисати тако да дозвољава саобраћај само са одређених спољних рачунара. Често је да се рутер конфигурише тако да се дозвољава пролаз свих конекција које су потекле са унутрашње мреже. Оваква конфигурација омогућава корисницима да користе све стандардне мрежне функције при комуникацији са спољном мрежом без коришћења прокси сервиса.

Виртуалне приватне мреже

[уреди | уреди извор]
Виртуална приватна мрежа

Виртуалне приватне мреже (енг. VPN - Virtual Private Networks) су такозвани енкрипцијски тунели који омогућавају сигурно спајање две физички одвојене мреже преко интернета без излагања података не ауторизованим корисницима. Задатак заштитног зид је да омогући сигурно стварање виртуалне везе неког удаљеног рачунара са заштићеном мрежом. Након што је једном успешно успостављена, виртуална приватна мрежа је заштићена од неовлаштених коришћења све док су енкрипцијске технике сигурне.[10] Концепт виртуалне приватне мреже омогућава удаљеним корисницима на не заштићеној страни да директно адресирају рачунаре унутар локалне мреже, што другим корисницима није могуће због пресликавање мрежне адресе и филтрирања пакета. Брзина којом такви удаљени рачунари комуницирају са локалним рачунарима много је спорија од оне коју рачунари у локалној мрежи користе. Разлог томе је њихова физичка удаљеност и ослоњеност на брзину интернета, али и процеси где је потребна енкрипција података, филтрирања пакета на заштитном зиду, и декрипције оригиналних података. Како би удаљени корисници успешно прошли фазу спајања на локалну мрежу потребно је да се успешно обави аутентификација истих. Та аутентификација мора бити криптована да би се спречила крађа података од стране нападача и искоришћење истих.

Референце

[уреди | уреди извор]
  1. ^ „Иза ватреног зида”. Свет Компијутера. Приступљено 6. 5. 2017. 
  2. ^ Заштитни зид (PDF). Приступљено 6. 5. 2017. 
  3. ^ „Конфигурације филтритрања пакета”. Линк Универзитет. Приступљено 6. 5. 2017. 
  4. ^ „УДП протокол”. Линк Универзитет. Приступљено 6. 5. 2017. 
  5. ^ ТЦП/ИП протокол (PDF). Архивирано из оригинала (PDF) 12. 07. 2018. г. Приступљено 6. 5. 2017. 
  6. ^ „ФТП протокол”. Линк Универзитет. Приступљено 6. 5. 2017. 
  7. ^ „ДНС протокол”. Линк Универзитет. Приступљено 6. 5. 2017. 
  8. ^ „ИЕЕ 802.3”. ИЕЕ 802.3 официјелни сајт. Приступљено 6. 5. 2017. 
  9. ^ Прокси (PDF). Приступљено 6. 5. 2017. 
  10. ^ Крајиновић, мр. Ненад. Виртуалне приватне мреже (PDF). Приступљено 6. 5. 2017. [мртва веза]

Спољашње везе

[уреди | уреди извор]