studenti.rs home page

           VISOKA POSLOVNA ŠKOLA STRUKOVNIH STUDIJA BLACE

SEMINARSKI RAD

PREDMET: Prakticna Nastava II

Tema: Zastitni Zid

Mentor:Branislav Bogdanovic 

  

  

Student:Milica Percic

br. indeksa:12/446r

         

  

  

Blace, 2018.

SADRŽAJ

POGLAVLJE I

1.

Šta su firewall-oli...............................................................................................1

POGLAVLJE II

2.

Podela potencijalnih napadača...........................................................................2

2.1

Zaštita lokalne mreže od štetnih delovanja 'napadača'......................................2

2.2

Zaštita od štetnog delovanja lokalnih korisnika................................................3

2.3

Naplatna rampa     .......................................................................................... 4

2.4

Osnovne firewall konfiguracije ...................................................................... 5

2.5       Dual-Homed gateway .....................................................................................  6 
2.5.1 Screened host gateway......................................................................................7
2.5.2 Virtualne privatne mreže (VPN-Virtual private networks).............................8

POGLAVLJE III

3.1

Praktičan primer realne konfiguracije firewall-a

........................................   

9

3.2

Halted firewall-i..................................................................................................10

3.3

Firewall programi za personalne računare..........................................................11

3.4

Zaključak.............................................................................................................12

Literatura ............................................................................................................13

2

background image

2.1. ZAŠTITA LOKALNE MREŽE OD ŠTETNOG DELOVANJA 'NAPADAČA'

Firewalli koji nemaju čvrste i stroge politike prema dolaznim paketima podložni 
su različitim vrstama napada. Ukoliko firewall ne podržava kreiranje virtualnih 
privatnih mreža, a organizacija želi omogućiti pristup sa određenih IP adresa 
lokalnoj mreži, moguće je konfigurirati firewall da propušta pakete sa točno 
određenim izvorišnim IP adresama. Ali takav način postavljanja sadrži brojne 
nedostatke. Na primjer napadač se može domoći paketa te saznati logičku 
adresu sa kojom je dozvoljeno spajanje na lokalnu mrežu. Nakon toga napadač 
može kreirati pakete kojim kao izvorišnu stavlja logi čku adresu računara kojem 
je dozvoljeno spajanje i tako pomoću posebno prilagođenih paketa nanijeti štetu 
lokalnoj mreži.

Firewall je potrebno konfigurisati tako da onemogućava različite postojeće 
napade. Većina današnjih proizvođača firewalla ponosno ističe na koje napade 
su njihovi firewalli otporni, ali nove vrste napada se svakodnevno razvijaju i sve 
su kompliciraniji i kompleksniji. Ipak svaki firewall bi trebao biti otporan na 
poznate napade kao što su sljedeći navedeni.

Address Spoofing 

napad omogućava da paket bude proslijeđen sa 

vanjskog okruženja na neko od internih računara ukoliko napadač kao 
izvorišnu adresu uzme neku od adresa unutar lokalne mreže. U tom 
slučaju firewall je možda konfigurisan da omogućava prolazak paketa i 
time ciljni računar može primiti posebno prilagođeni paket. Da bi se 
ovakva vrsta napada onemogućila potrebno je onemogućiti prosljeđivanje 
paketa koji kao izvorišnu adresu imaju neku od lokalnih adresa, a kao 
ulazno okruženje ono okruženje koje je spojeno na Internet.

Smurf 

napad 

spada u grupu napada koje imaju za cilj onemogućavanje 

rada pojedinih servera i računara, tzv. DoS napad (eng. 

Denial of 

Service). 

Napadač odašilje ICMP echo request paket na broadcast 

adresu cijele lokalne mreže. Time su adresirana svi računari unutar 
lokalne mreže. Kao odredište navodi se ciljni računar koji se želi 
onesposobiti velikim brojem odgovora. Za odbranu od ovakve vrste 
napada dovoljno je u konfiguracijskoj datoteci firewalla onemogućiti 
broadcast paket.

Syn-Flood 

napad zasniva se na napadačevom slanju velikog broja početnih 

konekcijskih TCP paketa koji imaju postavljenu SYN zastavicu, i ignoriranjem 
TCP odgovora sa postavljenim SYN i ACK zastavicama. Time su resursi ciljanog 
računara zaokupljeni odgovaranjem na pakete. Da bi se spriječio ovakav oblik 
napada potrebno je ograničiti na firewallu broj dolazećih TCP paketa.

Port-Scanner 

napad zasniva se na otkrivanju otvorenih TCP i UDP portova 

slanjem SYN ili FIN paketa na ciljane portove i čekanjem na RST odgovor. 
Potrebno je ograničiti broj takvih ispitivanja.

Ping-of-Death 

napad može uzrokovati rušenje operativnog sistema, ukoliko se 

na računar usmjeri veliki broj ICMP echo zahtjeva. Najbolje rješenje je 

4

Želiš da pročitaš svih 13 strana?

Prijavi se i preuzmi ceo dokument.

Prijavi se Napravi nalog

Ovaj materijal je namenjen za učenje i pripremu, ne za predaju.

Slični dokumenti