complete guide firewall
Dubinski pregled vatrozida s klasičnim primjerima:
Istražili smo Sve o usmjerivačima u našem prethodnom tutorialu u ovom Vodiči za mrežne treninge za sve .
U ovom današnjem modernom sustavu komunikacije i umrežavanja, upotreba Interneta uvelike se razvila u gotovo svim sektorima.
Ovaj rast i korištenje interneta donijeli su nekoliko blagodati i olakšali svakodnevnu komunikaciju u osobne i organizacijske svrhe. Ali s druge strane, izašao je sa sigurnosnim problemima, problemima hakiranja i drugim vrstama neželjenih smetnji.
Da bi se mogao nositi s tim problemima, potreban je uređaj koji bi trebao imati mogućnost zaštite računala i imovine tvrtke od tih problema.
Što ćete naučiti:
- Uvod u vatrozid
- Softver protiv hardverskog vatrozida
- Mrežne prijetnje
- Zaštita vatrozida
- Vatrozid i OSI referentni model
- Suočavanje s unutarnjim prijetnjama
- DMZ
- Komponente vatrozidnog sustava
- Postavljanje komponenata
- Administracija i upravljanje vatrozidom
- Kategorije vatrozida
- Vrste softvera vatrozida
- Zaključak
- Preporučena literatura
Uvod u vatrozid
Koncept vatrozida predstavljen je kako bi se osigurao proces komunikacije između različitih mreža.
Vatrozid je softver ili hardverski uređaj koji ispituje podatke iz nekoliko mreža, a zatim im dopušta ili blokira komunikaciju s vašom mrežom, a taj postupak regulira skup unaprijed definiranih sigurnosnih smjernica.
U ovom uputstvu istražit ćemo različite aspekte vatrozida i njegovih aplikacija.
Definicija:
Vatrozid je uređaj ili kombinacija sustava koji nadzire protok prometa između različitih dijelova mreže.Vatrozidkoristi se za zaštitu mreže od gadnih ljudi i zabranu njihovog djelovanja na unaprijed definiranim graničnim razinama.
Vatrozid se ne koristi samo za zaštitu sustava od vanjskih prijetnji, već prijetnja može biti i unutarnja. Stoga nam je potrebna zaštita na svakoj razini hijerarhije mrežnih sustava.
Dobar vatrozid trebao bi biti dovoljan da se nosi i s unutarnjim i s vanjskim prijetnjama i da se može baviti zlonamjernim softverom poput crva od stjecanja pristupa mreži. Također omogućava vašem sustavu da zaustavi prosljeđivanje nezakonitih podataka drugom sustavu.
Na primjer , vatrozid uvijek postoji između privatne mreže i interneta koji je javna mreža, pa filtrira pakete koji ulaze i izlaze.
Vatrozid kao prepreka Internetu i LAN-u
Odabir preciznog vatrozida presudan je za izgradnju sigurnog mrežnog sustava.
Vatrozid osigurava sigurnosni uređaj za dopuštanje i ograničavanje prometa, provjeru autentičnosti, prijevod adresa i sigurnost sadržaja.
Osigurava 365 * 24 * 7 zaštitu mreže od hakera. To je jednokratno ulaganje za bilo koju organizaciju i samo joj trebaju pravovremena ažuriranja da bi ispravno funkcionirali. Primjenom vatrozida nema potrebe za panikom u slučaju mrežnih napada.
Softver protiv hardverskog vatrozida
Primjer osnovne mreže vatrozida
Hardverski vatrozid štiti cijelu mrežu organizacije koja je koristi samo od vanjskih prijetnji. U slučaju da je zaposlenik organizacije povezan na mrežu putem svog prijenosnog računala, tada ne može iskoristiti zaštitu.
S druge strane, softverski vatrozid pruža sigurnost temeljen na hostu, jer se softver instalira na svaki od uređaja povezanih na mrežu, čime sustav štiti od vanjskih, ali i unutarnjih prijetnji. Najviše ga koriste mobilni korisnici za digitalnu zaštitu slušalice od zlonamjernih napada.
Mrežne prijetnje
Popis mrežnih prijetnji nalazi se u nastavku:
- Crvi, uskraćivanje usluge (DoS) i trojanski konji nekoliko su primjera mrežnih prijetnji koje se koriste za rušenje računalnih mrežnih sustava.
- Virus trojanskog konja vrsta je zlonamjernog softvera koji izvršava dodijeljeni zadatak u sustavu. Ali zapravo, pokušavao je ilegalno pristupiti mrežnim resursima. Ovi virusi ako se ubrizgaju u vaš sustav daju hakeru pravo da hakira vašu mrežu.
- To su vrlo opasni virusi jer čak mogu uzrokovati pad vašeg računala i mogu daljinski modificirati ili izbrisati vaše ključne podatke iz sustava.
- Računalni crvi vrsta su zlonamjernog softvera. Oni troše propusnost i brzinu mreže da bi ih prenijeli na druga računala mreže. Oštećuju računala oštećujući ili u potpunosti modificirajući bazu podataka računala.
- Crvi su vrlo opasni jer mogu uništiti šifrirane datoteke i pričvrstiti se e-poštom te se na taj način mogu prenositi u mrežu putem interneta.
Zaštita vatrozida
U malim mrežama svaki naš mrežni uređaj možemo osigurati osiguravajući da su instalirane sve softverske zakrpe, onemogućene neželjene usluge i da je sigurnosni softver pravilno instaliran unutar njega.
U ovoj je situaciji, kao što je također prikazano na slici, softver vatrozida montiran na svaki stroj i poslužitelj i konfiguriran na takav način da samo navedeni promet može ulaziti i izlaziti iz uređaja. Ali ovo djeluje učinkovito samo u malim mrežama.
Zaštita vatrozida u maloj mreži
U velikoj mreži gotovo je gotovo nemoguće ručno konfigurirati zaštitu vatrozida na svakom čvoru.
Centralizirani sigurnosni sustav rješenje je za pružanje sigurne mreže velikim mrežama. Uz pomoć primjera, na donjoj je slici prikazano da se rješenje vatrozida nameće samim usmjerivačem i postaje jednostavno rukovanje sigurnosnim politikama. Politike prometa ulaze i izlaze na uređaj i njima može upravljati samo jedan uređaj.
kako mogu otvoriti bin datoteku u sustavu Windows 10
To cjelokupni sigurnosni sustav čini isplativim.
Zaštita vatrozida u velikim mrežama
Vatrozid i OSI referentni model
Vatrozidni sustav može raditi na pet slojeva OSI-ISO referentnog modela. Ali većina njih radi na samo četiri sloja, tj. Sloju podatkovne veze, mrežnom sloju, transportnom sloju i slojevima aplikacije.
Broj slojeva koji obavija vatrozid ovisi o vrsti vatrozida koji se koristi. Veći broj slojeva koje pokriva učinkovitiji će biti rješenje vatrozida za rješavanje svih vrsta sigurnosnih problema.
Suočavanje s unutarnjim prijetnjama
Većina napada na mrežu događa se iznutra u sustavu, pa bi se rad sa svojim vatrozidnim sustavom trebao osigurati i od unutarnjih prijetnji.
U nastavku je opisano nekoliko vrsta unutarnjih prijetnji:
# 1) Zlonamjerni cyber napadi najčešća su vrsta unutarnjeg napada. Administrator sustava ili bilo koji zaposlenik iz IT odjela koji ima pristup mrežnom sustavu može podmetnuti neke viruse kako bi ukrao ključne mrežne podatke ili oštetio mrežni sustav.
Rješenje za rješavanje problema je nadgledanje aktivnosti svakog zaposlenika i čuvanje interne mreže korištenjem više slojeva lozinke za svaki od poslužitelja. Sustav se također može zaštititi davanjem pristupa sustavu što je moguće manjem broju zaposlenika.
#dva) Bilo koje računalo domaćin unutarnje mreže organizacije može preuzeti zlonamjerni internetski sadržaj s nedostatkom znanja o preuzimanju virusa, također s njim. Stoga bi domaćinski sustavi trebali imati ograničen pristup internetu. Sva nepotrebna pregledavanja trebaju biti blokirana.
# 3) Propuštanje podataka s bilo kojeg računala hosta putem pogona olovke, tvrdog diska ili CD-ROM-a također predstavlja mrežnu prijetnju sustavu. To može dovesti do presudnog curenja baze podataka organizacije prema vanjskom svijetu ili konkurentima. To se može kontrolirati onemogućavanjem USB priključaka host uređaja tako da ne mogu izvaditi nikakve podatke iz sustava.
Preporučena literatura => Vrhunski softverski alati za zaključavanje putem USB-a
DMZ
Demilitariziranu zonu (DMZ) koristi većina sustava vatrozida za zaštitu imovine i resursa. DMZ-ovi su raspoređeni kako bi vanjskim korisnicima omogućili pristup resursima kao što su poslužitelji e-pošte, DNS poslužitelji i web stranice bez otkrivanja interne mreže. Ponaša se kao međuspremnik između različitih segmenata u mreži.
Svakoj regiji u sustavu vatrozida dodijeljena je razina sigurnosti.
Na primjer , nisko, srednje i visoko. Obično promet teče s više na nižu razinu. No, da bi se promet kretao s niže na višu razinu, primjenjuju se drugačiji skup pravila filtriranja.
Da biste omogućili prometu da se premjesti s niže razine sigurnosti na višu razinu sigurnosti, treba biti precizan u pogledu vrste prometa koji je dozvoljen. Precizno otključavamo sustav vatrozida samo za onaj promet koji je neophodan, sve ostale vrste prometa bit će blokirane konfiguracijom.
Vatrozid se postavlja za odvajanje različitih dijelova mreže.
Različita sučelja su kako slijedi:
- Veza na Internet, dodijeljena s najnižom razinom sigurnosti.
- Veza na DMZ dodijeljena je srednjoj sigurnosti zbog prisutnosti poslužitelja.
- Veza do organizacije koja se nalazi na udaljenom kraju, dodijeljena je srednjoj sigurnosti.
- Najveća sigurnost dodijeljena je internoj mreži.
Zaštita vatrozida s DMS-om
Pravila dodijeljena organizaciji su:
- Dopušten je pristup visokoj do niskoj razini
- Pristup od niske do visoke razine nije dopušten
- Pristup na ekvivalentnoj razini također nije dopušten
Korištenjem gore navedenog skupa pravila, promet kojem je dopušteno da automatski prolazi kroz vatrozid je:
- Interni uređaji za DMZ, udaljenu organizaciju i internet.
- DMZ za udaljenu organizaciju i internet.
Bilo koja druga vrsta protoka prometa je blokirana. Prednost takvog dizajna je u tome što budući da su Internetu i udaljenoj organizaciji dodijeljene jednake sigurnosne razine, promet s Interneta koji nije u stanju odrediti organizaciju koja sama pojačava zaštitu i organizacija neće moći besplatno koristiti Internet (štedi novac).
Druga je prednost što pruža slojevitu sigurnost, pa ako haker želi hakirati interne resurse, prvo mora hakirati DMZ. Hackerov zadatak postaje sve teži što sustav čini sustavom mnogo sigurnijim.
Komponente vatrozidnog sustava
Građevni elementi dobrog vatrozidnog sustava su sljedeći:
- Usmjerivač na obodu
- Vatrozid
- VPN
- IDS
# 1) Usmjerivač na obodu
Glavni razlog njegove upotrebe jest pružanje veze na sustav javnog umrežavanja poput interneta ili prepoznatljive organizacije. Izvodi usmjeravanje paketa podataka slijedeći odgovarajući protokol usmjeravanja.
Također omogućuje filtriranje prijevoda paketa i adresa.
# 2) Vatrozid
Kao što je prethodno rečeno, također je njegova glavna zadaća osigurati različite razine sigurnosti i nadzire promet između svake razine. Većina vatrozida postoji u blizini usmjerivača kako bi pružio sigurnost od vanjskih prijetnji, ali ponekad je prisutan u unutarnjoj mreži i radi zaštite od unutarnjih napada.
# 3) VPN
Njegova je funkcija osigurati sigurnu vezu između dva stroja ili mreže ili stroja i mreže. To se sastoji od šifriranja, provjere autentičnosti i osiguranja pouzdanosti paketa. Omogućuje siguran daljinski pristup mreži, povezujući tako dvije WAN mreže na istoj platformi, a pritom nisu fizički povezane.
# 4) IDS
Njegova je funkcija identificirati, spriječiti, istražiti i razriješiti neovlaštene napade. Haker može napasti mrežu na razne načine. Može izvršiti DoS napad ili napad sa stražnje strane mreže putem neovlaštenog pristupa. IDS rješenje trebalo bi biti dovoljno pametno da se nosi s tim vrstama napada.
IDS rješenje je dvije vrste, mrežnu i hostovnu. Mrežno rješenje IDS-a mora biti vješto na takav način kad god se primijeti napad, može pristupiti sustavu vatrozida i nakon prijave u njega može konfigurirati učinkovit filtar koji može ograničiti neželjeni promet.
IDS rješenje temeljeno na hostu vrsta je softvera koji se pokreće na host uređaju kao što je prijenosno računalo ili poslužitelj i koji uočava prijetnju samo protiv tog uređaja. IDS rješenje trebalo bi pažljivo pregledati mrežne prijetnje i pravovremeno ih prijaviti te poduzeti potrebne mjere protiv napada.
Postavljanje komponenata
Razgovarali smo o nekoliko glavnih blokova sustava vatrozida. Sada razgovarajmo o smještaju ovih komponenata.
U nastavku uz pomoć primjera ilustriram dizajn mreže. Ali ne može se u potpunosti reći da je to cjelokupni sigurni mrežni dizajn, jer svaki dizajn može imati određena ograničenja.
Usmjerivač s osnovnim značajkama filtriranja koristi se kada promet prodire u mrežu. Postavljena je IDS komponenta za identificiranje napada koje perimetralni usmjerivač nije mogao filtrirati.
Promet time prolazi kroz vatrozid. Vatrozid je pokrenuo tri razine sigurnosti, nisku za Internet znači vanjska strana, srednju za DMZ i visoku za unutarnju mrežu. Pravilo koje se slijedi je da se dopušta promet s Interneta samo do web poslužitelja.
Ostatak protoka prometa s niže na višu stranu ograničen je, međutim, dopušten je veći do niži protok prometa, tako da administrator koji boravi u internoj mreži za prijavu na DMZ poslužitelj.
Ukupan primjer dizajna sustava vatrozida
U ovaj je dizajn ugrađen i interni usmjerivač koji interno usmjerava pakete i izvodi akcije filtriranja.
Prednost ovog dizajna je u tome što ima tri sloja sigurnosti, usmjerivač perimetra za filtriranje paketa, IDS i vatrozid.
Nedostatak ove postavke je taj što se IDS ne pojavljuje u unutarnjoj mreži, pa stoga ne može lako spriječiti unutarnje napade.
Važne činjenice o dizajniranju:
- Na granici mreže treba koristiti vatrozid za filtriranje paketa kako bi se povećala sigurnost.
- Svaki poslužitelj koji je izložen javnoj mreži poput Interneta bit će smješten u DMZ. Poslužitelji koji imaju ključne podatke bit će opremljeni vatrozidnim softverom utemeljenim na hostu. Uz ove na poslužiteljima, treba onemogućiti sve neželjene usluge.
- Ako vaša mreža ima kritične poslužitelje baze podataka kao što su HLR poslužitelj, IN i SGSN koji se koristi u mobilnim operacijama, tada će se implementirati višestruki DMZ.
- Ako vanjski izvori, poput udaljenih organizacija, žele pristupiti vašem poslužitelju smještenom u unutarnju mrežu sigurnosnog sustava, tada koristite VPN.
- Za ključne unutarnje izvore, kao što su istraživanje i razvoj ili financijski izvori, IDS bi se trebao koristiti za praćenje i rješavanje internih napada. Odvojenim nametanjem razina sigurnosti može se pružiti dodatna sigurnost unutarnjoj mreži.
- Za usluge e-pošte, sve odlazne e-poruke prvo bi trebale proći kroz DMZ poslužitelj e-pošte, a zatim neki dodatni sigurnosni softver kako bi se mogle izbjeći interne prijetnje.
- Za dolaznu e-poštu, uz DMZ poslužitelj, antivirusni, neželjeni softver i softver zasnovan na hostu trebaju biti instalirani i pokrenuti na poslužitelju svaki put kada pošta uđe na poslužitelj.
Administracija i upravljanje vatrozidom
Sada smo odabrali gradivne dijelove našeg sustava vatrozida. Sad je došlo vrijeme za konfiguriranje sigurnosnih pravila na mrežni sustav.
Sučelje naredbenog retka (CLI) i grafičko korisničko sučelje (GUI) koriste se za konfiguriranje softvera vatrozida. Na primjer , Cisco proizvodi podržavaju obje vrste metoda konfiguracije.
Danas se u većini mreža za konfiguriranje usmjerivača, vatrozida i VPN atributa koristi Upravitelj sigurnosnih uređaja (SDM), koji je također Ciscov proizvod.
Da bi se implementirao sustav vatrozida, učinkovita administracija je vrlo bitna za nesmetano izvođenje postupka. Ljudi koji upravljaju sigurnosnim sustavom moraju biti majstori u svom poslu jer nema prostora za ljudske pogreške.
Treba izbjegavati bilo koju vrstu konfiguracijskih pogrešaka. Kad god se izvrše ažuriranja konfiguracije, administrator mora ispitati i dvaput provjeriti cijeli postupak tako da ne ostavlja prostor za rupe i hakere da ga napadnu. Administrator bi trebao koristiti softverski alat za ispitivanje izvršenih izmjena.
Bilo koje velike promjene konfiguracije u sustavima vatrozida ne mogu se izravno primijeniti na velike mreže u tijeku, jer ako ne uspiju, mogu dovesti do velikog gubitka mreže i izravnog omogućavanja ulaska neželjenog prometa u sustav. Stoga prvo to treba obaviti u laboratoriju i ispitati ishode ako se pronađu rezultati u redu, onda možemo primijeniti promjene u mreži uživo.
Kategorije vatrozida
Na temelju filtriranja prometa postoje mnoge kategorije vatrozida, neke su objašnjene u nastavku:
# 1) Vatrozid za filtriranje paketa
To je vrsta usmjerivača koji ima sposobnost filtriranja ono malo supstance iz podatkovnih paketa. Kad se koristi filtriranje paketa, pravila se klasificiraju na vatrozidu. Ova pravila iz paketa saznaju koji je promet dopušten, a koji nije.
# 2) Državni vatrozid
Naziva se i dinamičkim filtriranjem paketa, on provjerava status aktivnih veza i koristi te podatke kako bi saznao koji od paketa treba biti dopušten kroz vatrozid, a koji ne.
Vatrozid pregledava paket do aplikacijskog sloja. Praćenjem podataka sesije poput IP adrese i broja porta podatkovnog paketa može pružiti snažnu sigurnost mreži.
Također pregledava i dolazni i odlazni promet, pa je hakerima bilo teško miješati se u mrežu pomoću ovog vatrozida.
# 3) Proxy vatrozid
Oni su također poznati kao zaštitni zidovi pristupnika. Vatrozid s statusom nije u stanju zaštititi sustav od napada utemeljenih na HTTP-u. Stoga je na tržištu predstavljen proxy vatrozid.
Uključuje značajke inspekcije sa stanjem, plus mogućnost pomne analize protokola aplikacijskog sloja.
Tako može nadzirati promet s HTTP-a i FTP-a i otkriti mogućnost napada. Stoga se vatrozid ponaša kao proxy, što znači da klijent inicira vezu s vatrozidom, a vatrozid zauzvrat inicira samostalnu vezu s poslužiteljem na strani klijenta.
Vrste softvera vatrozida
Nekoliko najpopularnijih softvera vatrozida koje organizacije koriste za zaštitu svojih sustava spomenuto je u nastavku:
gdje mogu streaming anime besplatno
# 1) Comodo vatrozid
Pregledavanje virtualnog Interneta za blokiranje neželjenih skočnih oglasa i prilagođavanje DNS poslužitelja zajedničke su značajke ovog vatrozida. Virtualni kiosk koristi se za blokiranje nekih postupaka i programa bježanjem i prodiranjem u mrežu.
U ovom vatrozidu, osim što slijedi dugi postupak definiranja priključaka i drugih programa koje treba dopustiti i blokirati, bilo koji program može biti dopušten i blokiran samo pregledavanjem programa i klikom na željeni izlaz.
Comodo killswitch je također poboljšana značajka ovog vatrozida koja ilustrira sve tekuće procese i olakšava blokiranje bilo kojeg neželjenog programa.
# 2) AVS vatrozid
Vrlo je jednostavno za provedbu. Štiti vaš sustav od gadnih izmjena i dopuna registra, skočnih prozora i neželjenih reklama. URL-ove za oglase također možemo izmijeniti u bilo kojem trenutku i možemo ih i blokirati.
Također ima značajku roditeljske kontrole, koja je dio dopuštanja pristupa samo određenoj skupini web lokacija.
Koristi se u sustavima Windows 8, 7, Vista i XP.
# 3) Netdefender
Ovdje možemo lako istaknuti izvornu i odredišnu IP adresu, broj porta i protokol koji su dopušteni i nisu dopušteni u sustavu. Možemo dopustiti i blokirati FTP za upotrebu i ograničenje u bilo kojoj mreži.
Također ima skener porta koji može vizualizirati koji se može koristiti za protok prometa.
# 4) PeerBlock
Iako blokira pojedinačnu klasu programa definiranih u računalu, on blokira ukupnu klasu IP adresa koja spada u određenu kategoriju.
Ovu značajku primjenjuje blokiranjem dolaznog i odlaznog prometa definiranjem skupa zabranjenih IP adresa. Stoga mreža ili računalo koje koriste taj skup IP-ova ne mogu pristupiti mreži, a također interna mreža ne može poslati odlazni promet tim blokiranim programima.
# 5) Vatrozid za Windows
Najčešći vatrozid koji koriste korisnici sustava Windows 7 je ovaj vatrozid. Omogućuje pristup i ograničenje prometa i komunikacije između mreža ili mreže ili uređaja analizom IP adrese i broja priključka. Prema zadanim postavkama dopušta sav odlazni promet, ali dopušta samo onaj dolazni promet koji je definiran.
# 6) Juniper Firewall
Kleka je sama po sebi organizacija umrežavanja i dizajnira razne vrste usmjerivača i filtre vatrozida. U živoj mreži poput pružatelja usluga mobilne telefonije Juniper izrađuje vatrozid kako bi zaštitio svoje mrežne usluge od različitih vrsta prijetnji.
Oni štite mrežne usmjerivače i dodatni dolazni promet i neprihvatljive napade iz vanjskih izvora koji mogu prekinuti mrežne usluge i upravljati prometom koji će se prosljeđivati s kojeg sučelja usmjerivača.
Provodi po jedan ulazni i izlazni filtar vatrozida na svako dolazno i odlazno fizičko sučelje. Ovo filtrira neželjene podatkovne pakete slijedeći pravila definirana na dolaznom i odlaznom sučelju.
Prema zadanim postavkama konfiguracije vatrozida, odlučuje se koji će se paketi prihvatiti, a koji odbaciti.
Zaključak
Iz gornjeg opisa različitih aspekata vatrozida zaključit ćemo da je za prevladavanje vanjskih i unutarnjih mrežnih napada uveden koncept vatrozida.
Vatrozid može biti hardver ili softver koji će slijedeći određeni skup pravila zaštititi naš mrežni sustav od virusa i drugih vrsta zlonamjernih napada.
Ovdje smo također istražili različite kategorije vatrozida, komponente vatrozida, dizajniranje i implementaciju vatrozida, a zatim i neki od poznatih softvera vatrozida koji smo koristili za primjenu u mrežnoj industriji.
Preporučena literatura
- LAN VS WAN Vs MAN: Točna razlika između vrsta mreže
- TCP / IP model s različitim slojevima
- Sve o usmjerivačima: Vrste usmjerivača, tablica usmjeravanja i IP usmjeravanje
- Sve o preklopnicima sloja 2 i sloja 3 u mrežnom sustavu
- Vodič za masku podmreže (podmreže) i Kalkulator podmreže IP
- Što je mreža širokog područja (WAN): Primjeri mreže WAN uživo
- Važni protokoli aplikacijskog sloja: DNS, FTP, SMTP i MIME protokoli
- IPv4 vs IPv6: Koja je točna razlika