e-gradiva          SERŠ Maribor O projektu Besednjak
  logotip  
Osnove |  Skladi |  Topologije |  Mediji |  Pristopne |  LAN |  Omrežni |  Transportni |  Povezovanje |  Varnost |  Storitve |  Varnost |  Sistemi |  Strežniki

Varnost v omrežju

Varnost v omrežju

Požarni zid

Posredniški strežnik

Protivirusna zaščita

Varnostne kopije

Varnostne kopije

Požarni zid

V tej učni vsebini boste spoznali:

Požarni zid
Požarni zid ščiti lokalno omrežje

Dokument z besedilom PDF

Celoten svet predstavlja potencialno nevarnost za zasebno omrežje. Danes je povezava v internet vsekakor dobrodošla, če že ne nujno potrebna. S tveganjem se moramo sprijazniti.

animacija

Rešitev za zmanjšanje tveganja je požarni zid. Požarni zid (angl. firewall) je strojna ali programska oprema, ki je načrtovana zato, da prepreči neavtoriziran dostop iz zunanjega sveta. Kdorkoli je priključen v internet, mora poskrbeti za neko vrsto požarnega zidu. Prav tako se lahko požarni zid uporabi v lokalnem intranetu, na primer v šoli se loči administrativni del omrežja od pedagoškega.

Microsoft Defender
Microsoft ponuja program Defender za delovne postaje

Požarni zid predstavlja osnovno zaščito med dvema omrežjema (ali računalnikoma), ki nadzorujeta medsebojno izmenjavo prometa in določata, kateri promet dovoljujeta in katerega ne. Požarni zidovi lahko uporabljajo mnogo različnih načinov in kriterijev za ocenjevanje prometa in njegovega sprejemanja. Nekateri požarni zidovi so namenske strojne naprave, lahko zelo drage in namestitev običajno opravi profesionalec.

animacija

Običajno so požarni zidovi usmerjevalniki, ki imajo nameščeno dodatno programsko opremo, ki nadzoruje prihajajoči in odhajajoči promet. Uporabljajo se kot prepreka med javnim in zasebnim omrežjem, ki dovoljuje ali preprečuje določen promet. Pogosto so edina stična točka med tema omrežjema.

Drug tip požarnih zidov je programska oprema, ki se uporablja na osebnih računalnikih. Pogosto je programska oprema za osebno ali šolsko uporabo brezplačna.

Požarni zidovi na več načinov analizirajo omrežni promet in določajo potencialno nevarnost. Večina uporablja več metod, da storitev deluje kar se da najbolje.

Paketno filtriranje

Paketno filtriranje je najosnovnejša vrsta požarnega zidu. Ko pride paket v omrežni vmesnik, se lahko začne analiziranje prispelega paketa. Paket se lahko spusti tudi do višjih slojev referenčnega modela ISO/OSI, kjer se lahko odločijo preprečiti nadaljnjo pot paketom. Paketi se filtrirajo na podlagi naslednjih značilnosti:

strojni (MAC) naslov
Paketno filtriranje temelji na prepoznavanju strojnega naslova. Dovoljuje na primer sprejem paketov, ki prihajajo samo iz določenega omrežja (ali dela omrežja). Pogosto na ta način preprečujemo dostop iz interneta (naslov usmerjevalnika).
naslov IP
Za paketno filtriranje se lahko uporabi naslov IP. Dovoli se samo promet, ki je v določenem obsegu naslovov IP. Pri takšnem primeru se preprečuje na primer dostop do določenih naslovov IP v internetu.
prepoznavanje protokolov
Požarni zid temelji na protokolu, ki prenaša podatke. Prepreči se na primer prenos paketov s protokolom UDP.
številke vrat
Požarni zid lahko filtrira promet na podlagi številke izvornih ali ciljnih vrat v paketu transportnega sloja. Temu tudi pravimo storitveno filtriranje. Številke vrat določajo aplikacijo, ki tvori pakete. Na primer, požarni zid na strežniku dovoljuje samo promet na vratih 110 in 25 (številki vrat za prihajajočo in odhajajočo pošto). Če strežnih preprečuje promet na vratih 80, se s tem prepreči uporabo spletnih storitev.

Paketno filtriranje je običajno značilnost običajnih usmerjevalnikov. To pomeni, da je njegova implementacija relativno enostavna in cenovno ugodna. Paketno filtriranje ne vpliva na propustnost usmerjevalnikov, razen v primeru izbora velikega števila vrat. Usmerjevalnik mora pregledati vsak paket posebej in kompleksni filtri upočasnijo delovanje omrežja. Za dobro paketno filtriranje je potrebno poznavanje protokolnega sklada TCP/IP. Uporaba paketnega filtriranja pomeni sodelovanje v bitki z napadalci, ki želijo v vaše omrežje.

NAT

NAT zamenja IP številko v datagramu
NAT zamenja IP številko v datagramu

animacija

Network Address Translation (NAT) je tehnika na omrežnem sloju, ki zaščiti omrežje pred internetom z maskiranjem naslovov IP. Če ste povezani v internet, je potrebno imeti za vsako postajo v omrežju registriran naslov IP, da lahko računalniki komunicirajo. Računalniki se v internetu prepoznajo na podlagi naslova IP. To pomeni, da lahko kdorkoli iz interneta dostopa do računalnika in z nekaj triki tudi do virov v tem računalniku. To zna biti neprijetno. NAT to preprečuje in omogoča dodeljevanje neregistriranih naslovov računalnikom v omrežju. Obstajajo posebne skupine naslovov, ki se ne uporabljajo v internetu in z dodeljevanjem teh naslovov se ne naredi nobene škode.

Po poimenovanjem računalnikov s privatnimi naslovi IP v lokalnem omrežju, ti računalniki niso dostopni računalnikom zunaj tega omrežja. To pomeni, da tudi spletni strežnik ne more pošiljati podatkov v to omrežje. Uporabniki lahko samo pošiljajo pakete v internet. To pa ni dobro in zakaj bi tako naredili?

Da bo komunikacija z zunanjim svetom normalna, je potrebno, da ima usmerjevalnik, ki zagotavlja dostop v internet nameščen NAT. NAT paketom, ki pridejo do njega iz lokalnega omrežja, zamenja naslov pošiljatelja s svojim lastnim naslovom in ga s tem naslovom pošlje v internet. Ko se pošlje odgovor na poslan paket, NAT kot posrednik ponovno zamenja naslov in ga pošlje v lokalno omrežje. Ker je usmerjevalnik z NAT edini računalnik, ki ima registriran naslov IP, je zato edini, ki je potencialno izpostavljen nevarnosti.

NAT je priljubljena rešitev in je vgrajena v mnoge požarne zidove, od preprostih in cenenih do zapletenih in dragih. Pogosto so strežniki NAT, požarni zid in posredniški strežninik nameščeni na istem računalniku, ki tako nadzoruje celotno dogajanje med javnim in zasebnim omrežjem.

Zaključek

vprašanjanja vprašanje

Požarni zid je strojni ali programski izdelek, ki izolira del omrežja, da ga zavaruje pred vdori zunanjih procesov. V večini primerov se za varovanje zasebnih omrežij pred vdori iz spleta uporabljajo požarni zidovi različnih tehnik, da zagotovijo varnost. Dovoljujejo določene vrste prometa v omrežje.

Nekatere izmed teh tehnik vsebujejo filtriranje paketov in prevode spletnih naslovov (NAT). To uporabljamo le za namestitve v velikih omrežjih, sedaj so pa tukaj tudi manjši produkti požarnih zidov, razviti za varovanje manjših omrežij in posameznih računalnikov pred internetnimi vdori.

Sofinaciranje projekta in pravice

Izvedbo projekta je omogočilo sofinanciranje Evropskega socialnega sklada Evropske unije in Ministrstva za šolstvo in šport.