Konfiguracija firewall-a i zaštita lokalne mreže

1

Sadržaj:

1. UVOD--------------------------------------------------------------------------------------------------------------------------3

1.1.ŠTA SU FIREWALL-OLI?-----------------------------------------------------------------------------------------------3

2.PODELA POTENCIJALNIH 'NAPADAČA'---------------------------------------------------------------------------------5

2.1. ZAŠTITA LOKALNE MREŽE OD ŠTETNOG DELOVANJA 'NAPADAČA'--------------------------------------5

2.1.1.Address Spoofing------------------------------------------------------------------------------------------------5
2.1.2.Smurf---------------------------------------------------------------------------------------------------------------6
2.1.3.Syn-Flood----------------------------------------------------------------------------------------------------------6
2.1.4.Port-Scanner------------------------------------------------------------------------------------------------------6
2.1.5.Ping-of-Death-----------------------------------------------------------------------------------------------------6

2.2.ZAŠTITA OD ŠTETNOG DJELOVANJA LOKALNIH KORISNIKA------------------------------------------------7
2.3. "NAPLATNA RAMPA"------------------------------------------------------------------------------------------------8
2.4 OSNOVNE KONCEPCIJE FIREWALL SKENIRANJA PAKETA--------------------------------------------------11

2.4.1 Statičko filtriranje paketa (eng. stateless inspection)-------------------------------------------------11
2.4.2.Filtriranje paketa zavisno o vrsti protokola-------------------------------------------------------------11
2.4.3.Filtriranje paketa zavisno o IP adresama odredišta tj. izvorišta------------------------------------12
2.4.4.Filtriranje paketa zavisno o odredišnim tj. izvorišnim portovima---------------------------------12
2.4.5.Filtriranje paketa zavisno o ruti usmjeravanja paketa (eng. Source Routing)------------------13
2.4.6.Filtriranje paketa zavisno o broju fragmentiranog paketa------------------------------------------13

2.5.OSNOVNE FIREWALL KONFIGURACIJE-------------------------------------------------------------------------14

2.5.1 DUAL-HOMED GATEWAY------------------------------------------------------------------------------------14
2.5.2 SCREENED HOST GATEWAY---------------------------------------------------------------------------------14
2.5.3 VIRTUELNE PRIVATNE MREŽE (VPN – Virtual Private Networks)----------------------------------15
2.5.4 KONFIGURACIJA MREŽE BEZ SERVERA-------------------------------------------------------------------16
2.5.5 KONFIGURACIJA MREŽE SA JEDNIM SERVEROM I JEDNIM FIREWALLOM-----------------------16
2.5.6 KONFIGURACIJA MREŽE SA SERVERIMA I DVA FIREWALL-a----------------------------------------18
2.5.7 KONFIGURACIJA MREŽE SA DEMILITARIZOVANOM ZONOM---------------------------------------18
2.5.8 FIREWALL-I ZASNOVANI NA HOSTU-----------------------------------------------------------------------19
2.5.9 IZOLACIJSKE MREŽE-------------------------------------------------------------------------------------------20

3.Poglavlje III------------------------------------------------------------------------------------------------------------------20

3.1.PRAKTIČIN PRIMJER REALNE KONFIGURACIJE Firewall-A-------------------------------------------------20
3.2.HALTED FIREWALL-i-------------------------------------------------------------------------------------------------22

3.2.1.UOPŠTENO O HALTED FIREWALLU------------------------------------------------------------------------24
3.2.2 PREDNOST HALTED FIREWALL-a---------------------------------------------------------------------------25

2

3.2.3.NEDOSTACI HALTED FIREWALL-a--------------------------------------------------------------------------26

3.2.3.1.FIREWALL PROGRAMI ZA PERSONALNE RAČUNARE--------------------------------------------27

3.2.3.1.1.ZoneAlarm/ZoneAlarmPro-----------------------------------------------------------------------28
3.2.3.1.2.BlackICE Defender---------------------------------------------------------------------------------28
3.2.3.1.3.McAfee.com-----------------------------------------------------------------------------------------29
3.2.3.1.4.Norton Personal------------------------------------------------------------------------------------29
3.2.3.1.5.Sygate Personal-------------------------------------------------------------------------------------30
3.2.3.1.6.Tiny Personal----------------------------------------------------------------------------------------30

4.ZAKLJUČAK------------------------------------------------------------------------------------------------------------------31
5.LITERATURA---------------------------------------------------------------------------------------------------------------- 32

4

Firewall je odgovoran za više važnih stvari unutar informacionog sistema:



Mora da implementira politiku sigurnosti. Ako određeno svojstvo 
nije dozvoljeno, Firewall mora da onemogući rad u tom smislu. 



Firewall treba da beleži sumnjive događaje. 



Firewall   treba   da   upozori   administratora   na   pokušaje   proboja   i 
kompromitovanja politike sigurnosti. 



U   nekim   slučajevima   Firewall   može   da   obezbedi   statistiku 
korišćenja. 

Firewall može biti softverski ili hardverski. 

Softverski firewall omogućuje zaštitu jednog računara , osim u slučaju kada 

je isti računar predodređen za zaštitu čitave mreže. 

Hardverski firewall omogućuje zaštitu čitave mreže ili određenog broja 

računara. 

Za ispravan rad firewall-a, potrebno je precizno odrediti niz pravila koja 

definišu kakav mrežni promet je dopušten u pojedinom mrežnom segmentu. 
Takvom politikom se određuje nivo zaštite koji se želi postići implementacijom 
firewall usluge.

5

2.PODELA POTENCIJALNIH 'NAPADAČA' 

2.1. ZAŠTITA LOKALNE MREŽE OD ŠTETNOG 
DELOVANJA 'NAPADAČA' 

Firewalli koji nemaju čvrste i stroge politike prema dolaznim paketima 

podložni su različitim vrstama napada. 

Ukoliko   firewall   ne   podržava   kreiranje   virtualnih   privatnih   mreža,   a 

organizacija želi omogućiti pristup sa određenih IP adresa lokalnoj mreži, moguće 
je konfigurisati firewall da propušta pakete sa tačno određenim izvorišnim IP 
adresama. 

Ali takav način postavljanja sadrži brojne nedostatke. 

Na primer napadač se može domoći paketa te saznati logičku adresu sa 

kojom   je   dozvoljeno   spajanje   na   lokalnu   mrežu.   Nakon   toga   napadač   može 
kreirati pakete kojim kao izvorišnu stavlja logičku adresu računara kojem je 
dozvoljeno spajanje i tako pomoću posebno prilagođenih paketa naneti štetu 
lokalnoj mreži.

 
Firewall je potrebno konfigurisati tako da onemogućava različite postojeće 

napade. 

Većina današnjih proizvođača firewalla ponosno ističe na koje napade su 

njihovi firewalli otporni, ali nove vrste napada se svakodnevno razvijaju i sve su 
komplikovaniji i kompleksniji. 

Ipak svaki firewall bi trebao biti otporan na poznate napade kao što su 

sledeći navedeni. 

2.1.1.Address Spoofing

• Address Spoofing napad omogućava da paket bude prosleđen sa vanjskog 

okruženja na neko od internih računara ukoliko napadač kao izvorišnu adresu 
uzme neku od adresa unutar lokalne mreže. 

U tom slučaju firewall  je možda konfigurisan da omogućava prolazak 

paketa i time ciljni računar može primiti posebno prilagođeni paket. 

7

2.2.ZAŠTITA OD ŠTETNOG DJELOVANJA LOKALNIH 
KORISNIKA 

Prilikom   konfigurisanja   firewalla   najveća   se   pažnja   posvećuje   obradi 

dolaznih paketa. 

Danas sve više komercijalnih firewalla omogućava bolju kontrolu rada 

uposlenika.   Oni   su   konfigurisani   na   način   da   ne   dozvoljavaju   lokalnim 
korisnicima pristup određenim materijalima. To mogu biti porno web stranice, 
web stranice koje propagiraju mržnju, web stranice za skidanje raznih video i 
audio zapisa itd... 

S obzirom na činjenicu da takve stranice sve češće nastaju potrebno je 

osvežavati podatke unutar firewalla, tj. imati pretplatu kod distributera takvih 
informacija. 

Organizacijama je danas veoma bitno da ograniče svojim uposlenicima 

preveliku   slobodu   na   Internetu   kako   zaposlenici   ne   bi   naneli   štetu   ugledu 
organizacije posećivanjem određenih web stranica (npr. dječja pornografija), ali i 
neobavljanjem posla za koji su zaduženi. 

Pri uvođenju restrikcija potrebno je paziti da se ne pretera sa ograničenjima, 

što bi moglo imati kontraefekt kod uposlenika . Uposlenici bi u takvoj situaciji bili 
u nemogućnosti da pristupe materijalima koji im pomažu pri radu, ili bi takav 
tretman kod njih uzrokovao tzv. pasivni otpor prema radu.

 
Prilikom   konfiguracije   firewalla   moguće   je   primeniti   različita   pravila 

ograničenja spajanja lokalnih korisnika na Internet. 

Prvi koncept bio bi da se prema svim korisnicima lokalne mreže jednako 

odnosi, tj. da su svi u istom položaju. 

Isto tako moguće je lokalna računara svrstati u klase zavisno o njihovim IP 

adresama. Na taj način moguće je samo jednom sektoru unutar organizacije 
omogućiti nesmetani pristup Internetu, a ostalim ograničen ili nikakav.

 
Firewall može biti konfigurisan na način da propušta sve pakete osim 

paketa koji su usmereni prema računarima sa određenim IP adresama u Internetu. 
Na tim se računarima nalaze materijali koji nisu potrebni uposlenicima (porno 
materijali, audio zapisi, itd...).