studenti.rs home page

SEMINARSKI RAD

Zaštita RM(Firewalls)

SADRŽAJ

POGLAVLJE I

1.

Šta su firewall-oli.....................................................................................1

POGLAVLJE II

2.

Podjela potencijalnih napadača................................................................3

2.1

Zaštita lokalne mreže od štetnon djelovanja 'napadača'..........................3

2.2

Zaštita od štetnog djelovanja lokalnih korisnika....................................4

2.3

Naplatna rampa     ................................................................................ 5

2.4

Osnovne koncepcije firewall skeniranja paketa.................................... 7

2.4.1 Statičko filtriranje paketa (eng. stateless inspection)............................  7
2.4.2 Filtriranje paketa zavisno o vrsti protkola............................................. 7
2.4.3 Filtriranje paketa zavisno o IP adresama odredišta tj izvorišta............   7
2.4.4 Filtriranje paketa zavisno o odredišnim tj izvorišnim portovima .......   7
2.4.5 Filtriranje paketa zavisno o ruti usmjeravanja paketa (Eng.Source routing) 

  8

2.4.6 Filtriranje paketa zavisno o broju fragmentiranog paketa....................    8
2.5

Osnovne firewall konfiguracije ............................................................   9

2.5.1 Dual-Homed gateway ...........................................................................   9
2.5.2 Screened host gateway............................................................................ 10
2.5.3 Virtualne privatne mreže (VPN-Virtual private networks)...................11
2.5.4 Konfiguracija mreže bez servera ..........................................................12
2.5.5 Konfiguracija mreže sa jednim serverom i jednim firewalom ............12
2.5.6 Konfiguracija mreže sa serverima i dva firewall-a    .........................14
2.5.7 Konfiguracija mreže sa demilitarizovanom zonom ...............................15
2.5.8 Firewall-i zasnovani na hostu .................................................................16
2.5.9 Izolacijske mreže ......................................................................................17

POGLAVLJE III

3.1

Praktičan primjer realne konfiguracije firewall-a................................   18

3.2

Halted firewall-i.......................................................................................20

3.2.1 Uopšteno o halted firewallu......................................................................21
3.2.2 Prednost halted firewall-a ........................................................................22
3.2.3 Nedostaci halted firewall-a.......................................................................23

3.3

Firewall programi za personalne računare...............................................24

3.4

Zaključak..................................................................................................26

Literatura .................................................................................................27

POGLAVLJE I

1. UVOD

background image

Firewalli koji nemaju čvrste i stroge politike prema dolaznim paketima podložni 
su različitim vrstama napada. Ukoliko firewall ne podržava kreiranje virtualnih 
privatnih  mreža,  a  organizacija želi  omogućiti  pristup  sa  određenih  IP  adresa 
lokalnoj   mreži,   moguće   je   konfigurirati   firewall   da   propušta   pakete   sa   točno 
određenim izvorišnim IP adresama. Ali takav način postavljanja sadrži brojne 
nedostatke. Na primjer napadač se može domoći paketa te saznati logičku adresu 
sa kojom je dozvoljeno spajanje na lokalnu mrežu. Nakon toga napadač može 
kreirati pakete kojim kao izvorišnu stavlja logi čku adresu računara kojem je 
dozvoljeno spajanje i tako pomoću posebno prilagođenih paketa nanijeti štetu 
lokalnoj mreži.

Firewall   je   potrebno   konfigurisati   tako   da   onemogućava   različite   postojeće 
napade. Većina današnjih proizvođača firewalla ponosno ističe na koje napade su 
njihovi firewalli otporni, ali nove vrste napada se svakodnevno razvijaju i sve su 
kompliciraniji i kompleksniji. Ipak svaki firewall bi trebao biti otporan na poznate 
napade kao što su sljedeći navedeni.

Address   Spoofing  

napad   omogućava   da   paket   bude   proslijeđen   sa 

vanjskog okruženja na neko od internih računara ukoliko napadač kao 
izvorišnu   adresu   uzme   neku   od   adresa   unutar   lokalne   mreže.   U   tom 
slučaju firewall je možda konfigurisan da omogućava prolazak paketa i 
time   ciljni   računar   može   primiti   posebno   prilagođeni   paket.   Da   bi   se 
ovakva vrsta napada onemogućila potrebno je onemogućiti prosljeđivanje 
paketa koji kao izvorišnu adresu imaju neku od lokalnih adresa, a kao 
ulazno okruženje ono okruženje koje je spojeno na Internet.

Smurf  

napad  

spada u grupu napada koje imaju za cilj onemogućavanje 

rada pojedinih servera i računara, tzv. DoS napad (eng. 

Denial of Service). 

Napadač   odašilje   ICMP   echo   request   paket   na   broadcast   adresu   cijele 
lokalne mreže. Time su adresirana svi računari unutar lokalne mreže. Kao 
odredište navodi se ciljni računar koji se želi onesposobiti velikim brojem 
odgovora.   Za   odbranu   od   ovakve   vrste   napada   dovoljno   je   u 
konfiguracijskoj datoteci firewalla onemogućiti broadcast paket.

Syn-Flood  

napad   zasniva   se   na   napadačevom   slanju   velikog   broja   početnih 

konekcijskih TCP paketa koji imaju postavljenu SYN zastavicu, i ignoriranjem 
TCP odgovora sa postavljenim SYN i ACK zastavicama. Time su resursi ciljanog 
računara zaokupljeni odgovaranjem na pakete. Da bi se spriječio ovakav oblik 
napada potrebno je ograničiti na firewallu broj dolazećih TCP paketa.

Port-Scanner  

napad   zasniva   se   na   otkrivanju   otvorenih   TCP   i   UDP   portova 

slanjem SYN ili FIN paketa na ciljane portove i čekanjem na RST odgovor. 
Potrebno je ograničiti broj takvih ispitivanja.

Ping-of-Death 

napad može uzrokovati rušenje operativnog sistema, ukoliko se na 

računar   usmjeri   veliki   broj   ICMP   echo   zahtjeva.   Najbolje   rješenje   je 
onemogućavanje echo-request paketa, a alternativo rješenje je ograničenje broja 
ICMP echo zahtjeva.

2.2.ZAŠTITA OD ŠTETNOG DJELOVANJA LOKALNIH KORISNIKA

Prilikom konfigurisanja firewalla najveća se pažnja posvećuje obradi dolaznih paketa. 
Danas sve više komercijalnih firewalla omogućava bolju kontrolu rada uposlenika. Oni 
su konfigurisani na način da ne dozvoljavaju lokalnim korisnicima pristup određenim 
materijalima. To mogu biti porno web stranice, web stranice koje propagiraju mržnju, 
web stranice za skidanje raznih video i audio zapisa itd... S obzirom na činjenicu da takve 
stranice   sve   češće   nastaju   potrebno   je   osvježavati   podatke   unutar   firewalla,   tj.   imati 
pretplatu kod distributera takvih informacija.

Organizacijama   je   danas   veoma   bitno   da   ograniče   svojim   uposlenicima   preveliku 
slobodu   na   Internetu   kako   zaposlenici   ne   bi   nanijeli   štetu   ugledu   organizacije 
posjećivanjem   određenih   web   stranica   (npr.   dječja   pornografija),   ali   i   neobavljanjem 
posla za koji su zaduženi. Pri uvođenju restrikcija potrebno je paziti da se ne pretjera sa 
ograničenjima, što bi moglo imati kontraefekt kod uposlenika . Uposlenici bi u takvoj 
situaciji bili u nemogućnosti da pristupe materijalima koji im pomažu pri radu, ili bi 
takav tretman kod njih uzrokovao tzv. pasivni otpor prema radu.

Prilikom   konfiguracije   firewalla   moguće   je   primijeniti   različita   pravila   ograničenja 
spajanja lokalnih korisnika na Internet. Prvi koncept bio bi da se prema svim korisnicima 
lokalne mreže jednako odnosi, tj. da su svi u istom položaju. Isto tako moguće je lokalna 
računara svrstati u klase zavisno o njihovim IP adresama. Na taj način moguće je samo 
jednom   sektoru   unutar   organizacije   omogućiti   nesmetani   pristup   Internetu,   a   ostalim 
ograničen ili nikakav.
Firewall može biti konfigurisan na način da propušta sve pakete osim paketa koji su 
usmjereni   prema   računarima   sa   određenim   IP   adresama   u   Internetu.   Na   tim   se 
računarima nalaze materijali koji nisu potrebni uposlenicima (porno materijali, audio 
zapisi, itd...). Moguće je primijeniti i drugačiji princip filtriranja paketa. Propuštaju se 
paketi koji su namijenjeni samo računarima koji imaju točno određene IP adrese, a svi 
ostali   paketi   koji   dolaze   sa   lokalne   mreže   ne   prosljeđuju   se.   Takav   koncept   mogu 
primijeniti   organizacije   koje   svojim   uposlenicima   dozvoljavaju   pristup   samo   prema 
računarima na kojima se nalaze podaci bitni za rad uposlenika.

2.3. "NAPLATNA RAMPA"

Onog trenutka kada se poruka "Veryfing User Name and Password" ukloni sa ekrana i 
počne da odbrojava naše vrijeme na Internetu, naš provajder nam je dodijelio jedinstvenu 
adresu koju u tom trenutku imamo samo mi na Internetu i niko drugi - to je tzv. Ip adresa 
ili niz od 4 broja izmedju 0 i 255 razdvojenih tačkom (npr. 213.240.4.100).
Postoji mnogo računara na Internetu koji su prikačeni 24h i imaju svoju IP adresu koja se 
ne mijenja, ali većina nas, koji se prikačimo s vremena na vrijeme da razmijenimo poštu 
ili prosurfujemo Internetom dobijamo tzv. dinamicku IP adresu (svaki provajder ih ima 
nekoliko i kada se neko prikači dobije prvu slobodnu). Ove adrese (odnosno brojevi) nam 
mogu   pomoći   da   identifikujemo   sagovornika,   jer   se   za   one   stalne   tačno   zna   kome 
pripadaju dok se za dinamičke vodi evidencija kod provajdera kome su bile dodeljene u 
odredjenom trenutku. Kada želimo da pristupimo nekom računaru, sve što je potrebno je 
da   otkucamo   njegovu   adresu,   ali   da   bi   nam   prekratili   muke,   uvedeni   su   tzv.   DNS 
(Domain Name Server) računari koji prevode adrese u IP adresu i obrnuto. Sama adresa 
nije dovoljna, jer je potrebno obezbijediti posebne kanale za komunikaciju kako ne bi 
došlo do zabune.
Zbog toga su uvedeni portovi -zamislimo ih kao autoput na ulazu u grad sa 65536 traka 
(koliko god pomisao na puževske brzine u domaćim uslovima ometa sliku autoputa) i 
dva   računara   se   uvek   dogovoraju   kojim   će   se   trakama   odvijati   saobraćaj.   Pošto   je 
standardizacija uvek poželjna, portovi sa brojevima manjim od 1024 su rezervisani i 
imaju   specijalnu   namjenu   (znači   samo   za   posebna   "vozila")   dok   su   oni   preostali 
namenjeni korisnicima. Tako npr. kada skidamo neke fajlove sa ftp servera, naš računar 
će dotičnom slati sve komande samo na port 21, a dotični će ih samo tamo i očekivati; 

background image

Vrsta protokola:1.IP adrese odredišta i izvorišta 2.Odredišni tj. 

izvorišni   port   3.Informacije   o   tablici 
usmjeravanja   paketa   4.Broj   fragmentiranog 
paketa

2.4.2 Filtriranje paketa zavisno o vrsti protokola

Protokolno filtriranje paketa zasniva se na sadržaju IP protokolnog polja. Protokol 
koji se koristi unutar paketa određuje da li paket treba proslijediti ili ne.
Neki od protokola su: 1.User Datagram Protocol (UDP)

2.Transmission   Control   Protocol   (TCP)   3.Internet   Control 
Message   Protocol   (ICMP)   4.Internet   Group   Management 
Protocol (IGMP)

2.4.3 Filtriranje paketa zavisno o IP adresama odredišta tj. izvorišta

Filtriranje   zavisno   o   IP   adresama   omogućava   zabranu   konekcija   od   ili   prema 
određenim   računarima   i/ili   mrežama,   zavisno   o   nihovim   IP   adresama.   Ukoliko 
administrator želi zaštiti mrežu od neovlaštenih zlonamjernih napadača, on može 
zabraniti promet mrežnih paketa koje kao odredište imaju određene IP adrese. To je 
poprilično beskorisno jer napadači mogu promijeniti IP adrese. Zbog toga je puno 
bolje dozvoliti pristup mreži samo određenim paketima koji kao odredište imaju 
određene sigurne IP adrese. Normalno ukoliko se napadač domogne i tog popisa on 
može paketima pridružiti kao odredišnu IP adresu neku iz tog popisa.

2.4.4 Filtriranje paketa zavisno o odredišnim tj. izvorišnim portovima

Prilikom   spajanja   jednog   računara   na   drugo   i   jedan   I   drugi   koriste   određene 
pristupne portove. Sve ukupni broj pristupnih portova je 65536. Prva 1024 porta su 
rezervirana za određene aplikacije i ne mogu se koristiti za neke druge. Primjerice 
HTTP koristi port 80, FTP port 20 i 21, DNS port 53 itd...

Administrator zavisno o aplikacijama može ograničiti pristup mrežnim paketima. Neki 
aplikacijski protokoli su izrazito osjetljivi na mrežne napade pa je potrebno onemogućiti 
pristup   istima   (Telnet,   NetBIOS   Session,   POP,   NFS,   X   Window,   ...).   Ti   portovi   su 
osobiti osjetljivi na napad zbog velikog nivoa kontrole koju pružaju napadaču. Neki 
drugi portovi mogu biti iskorišteni da bi se uništile određene bitne informacije. Takav 
port je DNS.

2.4.5 Filtriranje   paketa   zavisno   o   ruti   usmjeravanja   paketa   (eng.   Source

Routing)

Source   routing   je   proces   određivanja   točno   određene   rute   kojom   paket   treba   proći 
prilikom putovanja prema cilju odnosno prilikom povratnog putovanja. Source routing je 
originalno korišten za analiziranje i testiranje, ali se u današnje vrijeme koristi od strane 
napadača.   Napadači   postavljanjem   bilo   koje   IP   adrese   u   polje   za   izvorište   mogu 
omogućiti da im se povratni paket vrati, stavljajući svoju vlastitu IP adresu. Pri tome oni 
mogu odrediti točnu stazu kojom paket treba proći, ili odrediti ciljna računala do kojih 
paket treba doći.

2.4.6 Filtriranje paketa zavisno o broju fragmentiranog paketa

Želiš da pročitaš svih 22 strana?

Prijavi se i preuzmi ceo dokument.

Prijavi se Napravi nalog

Ovaj materijal je namenjen za učenje i pripremu, ne za predaju.

Slični dokumenti