Zaštitni zid

Iz Vikipedije, slobodne enciklopedije
Jump to navigation Jump to search
Pojednostavljen prikaz funkcije jednog hardverskog zaštitnog zida; Crvene nule i jedinice su štetni kod, dok su zelene nule i jedinice ono što korisnik stvarno hoće da vidi na računaru

Zaštitni zid (engl. firewall, u prevodu vatreni zid, vatrobran, vatrozid) je hardver ili softver koji u sklopu računarske mreže ima mogućnost da spreči nepropisni ili neželjeni prenos podataka preko mreže koji je zabranjen od strane sigurnosne politike postavljene na mreži.[1]

Zaštitni zid ima zadatak da kontroliše (dozvoljava ili odbija) protok podataka između različitih zona u računarskoj mreži. Zone se dele na osnovu količine poverenja u bezbednost nekog dela mreže. Obično se zona interneta smatra nesigurnom, dok se lokalna mreža smatra relativno sigurnom. Najbitniji cilj je ostvarivanje normalnog odnosa između ove dve zone, tako da jedna ne naškodi drugoj.

Najčešće, zaštitni zid se brine da sa globalne mreže — interneta — na računar ne dospe štetni kod (virus, crv itd). Zaštitni zid sprečava viruse da dospeju na računar, ali ih ne leči, odnosno ne uklanja.[2]

Zaštitni zid ne može raditi sam, i najčešće zahteva iskusnijeg korisnika koji će odobravati ili zabranjivati pristup nekoj mrežnoj aktivnosti. Zaštitni zid je najosnovnija komponenta koja čini sigurnu računarsku mrežu, koja je uslov normalnog rada, kako na internetu, tako i na lokalnoj mreži.

Osnovne koncepcije skeniranja paketa[uredi]

Primer zaštitne mreže u jednoj računarskoj mreži

Statičko filtriranje paketa[uredi]

Filtriranje paketa (engl. stateless inspection) osnovni je deo svakog zaštitnog zida. U tom se delu odlučuje da li mrežni paket treba biti prosleđen na drugu mrežu ili ne. Pri tome se kod statičkog filtriranja pregledaju različiti podaci:[3]

Vrsta protokola:

  • IP adrese odredišta i izvorišta
  • Odredišni tj. izvorišni port
  • Informacije o tablici usmeravanja paketa
  • Broj fragmentiranog paketa

Filtriranje paketa u zavisnosti od vrsti protokola[uredi]

Protokolno filtriranje paketa zasniva se na sadržaju IP protokolnog polja. Protokol koji se koristi unutar paketa određuje da li paket treba proslediti ili ne.

Neki od protokola su:

Filtriranje paketa u zavisnosti od IP adresa odredišta tj. izvorišta[uredi]

Filtriranje, u zavisnosti od IP adresa omogućava zabranu konekcija od ili prema određenim računarima i/ili mrežama, u zavisnosti od njihovih IP adresa. Ukoliko administrator želi zaštiti mrežu od neovlaštenih zlonamernih napadača(virusa), on može zabraniti promet mrežnih paketa koje kao odredište imaju određene IP adrese. To je poprilično beskorisno jer napadači mogu promeniti IP adrese. Zbog toga je puno bolje dozvoliti pristup mreži samo određenim paketima koji kao odredište imaju određene sigurne IP adrese. Normalno ukoliko se napadač domogne i tog popisa on može paketima pridružiti kao odredišnu IP adresu neku iz tog popisa.

Filtriranje paketa u zavisnosti od odredišnih tj. izvorišnih portova[uredi]

Prilikom spajanja jednog računara sa drugim, i jedan i drugi koriste određene pristupne portove. Sve ukupni broj pristupnih portova je 65536. Prvih 1024 porta su rezervisana za određene aplikacije i ne mogu se koristiti za neke druge. Kao naprimer HTTP[6] koristi port 80, FTP[7] port 20 i 21, DNS[8] port 53 itd... Ti portovi su posebno osetljivi na napad zbog velikog nivoa kontrole koju pružaju napadaču. Neki drugi portovi mogu biti iskorišćeni da bi se uništile određene bitne informacije. Takav port je DNS.

Filtriranje paketa u zavisnosti od rute usmeravanja paketa[uredi]

Filtriranje paketa zavisno od rute usmeravanja paketa (engl. Source Routing) je proces određivanja tačno određene rute kojom paket treba proći prilikom putovanja prema cilju odnosno prilikom povratnog putovanja. Originalno je korišćen za analiziranje i testiranje, ali se u današnje vreme koristi od strane napadača. Napadači postavljanjem bilo koje IP adrese u polje za izvorište mogu omogućiti da im se povratni paket vrati, stavljajući svoju vlastitu IP adresu. Pri tome oni mogu odrediti tačnu stazu kojom paket treba proći, ili odrediti ciljne računare do kojih paket treba doći.

Filtriranje paketa u zavisnosti od broja fragmentiranih paketa[uredi]

U današnjim mrežama prevelike poruke se prenose raščlanjene (fragmentirane) u manje pakete. Veličina paketa za prenos korišćenjem ustaljenog IEEE 802.3[9] standarda je ograničena sa maksimalnom veličinom od 1500 okteta. Početno fragmentirana poruka na izvorištu može se još dodatno rasparčati na usmerivačima preko kojih ta poruka prelazi. Tako raščlanjeni paketi se povezuju na odredištu u poslatu poruku. Moguće je na zaštitni zid izvesti filtriranje, na način da se odbacuje početni fragmentirani paket koji jedini sadrži port aplikacije i da se pretpostavi na osnovu te logike da će svi ostali paketi biti beskorisni jer neće doći do aplikacije. Takvo filtriranje je danas beskorisno jer napadači mogu prvom poslatom rasparčanom paketu umesto rednog broja 0 dodeliti redni broj 1. Na taj način bi poruka na kraju stigla do željene aplikacije.

Osnovne konfiguracije zaštitnog zida[uredi]

Među-sistemski prolaz[uredi]

Među-sistemski prolaz

Među-sistemski prolaz (eng. Dual-Homed Gateway) je zaštitni zid koji se sastoji od računara sa najmanje dva mrežna adaptera. Ovakav sistem se normalno konfiguriše tako da se paketi ne rutiraju direktno sa jedne mreže (internet) na drugu mrežu (intranet). Računari na internetu mogu da komuniciraju sa zaštitni zidom, kao i računari sa unutrašnje mreže, ali je direktan saobraćaj blokiran. Glavna mana među-sistemskog prolaza je činjenica da blokira direktni IP saobraćaj u oba pravca. Ovo dovodi do nemogućnosti rada svih programa koji zahtevaju direktnu putanju TCP/IP paketa. Da bi se rešio ovaj problem, računari izvršavaju programe pod nazivom proksi[10], da bi prosledili pakete između dve mreže. Umesto da direktno razgovaraju, klijent i server "pričaju" sa proksijem, koji radi na utvrđenom host-u. Poželjno je da proksi bude transparentan za korisnike.

Zaklonjeni prolaz[uredi]

Zaklonjeni prolaz

Zaklonjeni prolaz (eng. Screened Host Gateway) je zaštitni zid koji se sastoji od bar jednog ruter i utvrđenog hosta sa jednostrukim mrežnim interfejsom. Ruter se tipično konfiguriše da blokira sav saobraćaj do unutrašnje mreže tako da je utvrđeni host jedini računar kome se može spolja pristupiti. Za razliku od među-sistemskog prolaza, zaklonjeni prolaz ne forsira sav saobraćaj kroz utvrđeni host; pomoću konfiguracije rutera moguće je da se otvore "rupe" u zaštitnom zidu, tako da postoji prolaz i do drugih računara u okviru unutrašnje mreže. Utvrđeni host je zaštićen ruterom. Ruter se konfiguriše tako da dozvoli saobraćaj samo za određene portove na utvrđenom hostu. Dalje, ruter se može konfigurisati tako da dozvoljava saobraćaj samo sa određenih spoljnih računara. Često je da se ruter konfiguriše tako da se dozvoljava prolaz svih konekcija koje su potekle sa unutrašnje mreže. Ovakva konfiguracija omogućava korisnicima da koriste sve standardne mrežne funkcije pri komunikaciji sa spoljnom mrežom bez korišćenja proksi servisa.

Virtualne privatne mreže[uredi]

Virtualna privatna mreža

Virtualne privatne mreže (eng. VPN - Virtual Private Networks) su takozvani enkripcijski tuneli koji omogućavaju sigurno spajanje dve fizički odvojene mreže preko interneta bez izlaganja podataka ne autoriziranim korisnicima. Zadatak zaštitnog zid je da omogući sigurno stvaranje virtualne veze nekog udaljenog računala sa zaštićenom mrežom. Nakon što je jednom uspešno uspostavljena, virtualna privatna mreža je zaštićena od neovlaštenih korišćenja sve dok su enkripcijske tehnike sigurne.[11] Koncept virtualne privatne mreže omogućava udaljenim korisnicima na ne zaštićenoj strani da direktno adresiraju računare unutar lokalne mreže, što drugim korisnicima nije moguće zbog preslikavanje mrežne adrese i filtriranja paketa. Brzina kojom takvi udaljeni računri komuniciraju sa lokalnim računarima mnogo je sporija od one koju računari u lokalnoj mreži koriste. Razlog tome je njihova fizička udaljenost i oslonjenost na brzinu interneta, ali i procesi gde je potrebna enkripcija podataka, filtriranja paketa na zaštitnom zidu, i dekripcije originalnih podataka. Kako bi udaljeni korisnici uspešno prošli fazu spajanja na lokalnu mrežu potrebno je da se uspešno obavi autentifikacija istih. Ta autentifikacija mora biti kriptovana da bi se sprečila krađa podataka od strane napadača i iskorišćenje istih.

Reference[uredi]

  1. ^ „Iza vatrenog zida”. Svet Kompijutera. Pristupljeno 6. 5. 2017. 
  2. ^ Zaštitni zid (PDF). Pristupljeno 6. 5. 2017. 
  3. ^ „Konfiguracije filtritranja paketa”. Link Univerzitet. Pristupljeno 6. 5. 2017. 
  4. ^ „UDP protokol”. Link Univerzitet. Pristupljeno 6. 5. 2017. 
  5. ^ TCP/IP protokol (PDF). Pristupljeno 6. 5. 2017. 
  6. ^ „HTTP protokol”. Tehnička škola Pirot. Pristupljeno 6. 5. 2017. 
  7. ^ „FTP protokol”. Link Univerzitet. Pristupljeno 6. 5. 2017. 
  8. ^ „DNS protokol”. Link Univerzitet. Pristupljeno 6. 5. 2017. 
  9. ^ „IEE 802.3”. IEE 802.3 oficijalni sajt. Pristupljeno 6. 5. 2017. 
  10. ^ Proksi (PDF). Pristupljeno 6. 5. 2017. 
  11. ^ Krajinović, mr. Nenad. Virtualne privatne mreže (PDF). Pristupljeno 6. 5. 2017. 

Spoljašnje veze[uredi]