Movatterモバイル変換

[0]ホーム
URL:

Prijeđi na sadržaj
Wikipedija
Pretraga

Vatrozid

Izvor: Wikipedija
Ilustracija gdje se može vatrozid locirati na mreži.
Protokmrežnih paketa krozNetfilter, modul kernelaLinuxa.
Gufw je grafički front-end za nekomplikovani vatrozid, koji je zapravo wrapper zanetfilter.

Vatrozid,sigurnosna stijena[1],zaštitni zid ilifajerval[2] (engleski:firewall) je mrežni sigurnosnisistem koji upravlja ulazni i izlazni mrežni saobraćaj osnovan na skupu primijenjenih pravila. Vatrozid ostvaruje barijeru između povjerljive, sigurne unutarnje mreže i druge mreže (npr. Internet) za koju se pretpostavlja da nije sigurna i povjerljiva.[3] Vatrozidovi postoje kao softver koji se pokreće na hardveru opće svrhe i kao hardverska primjena. Većina vatrozida koja je zasnovana na vatrozidovima također nudi ostale funkcionalnosti internoj mreži koju štite, poput uloge kaoDHCP server za tu mrežu.

Većina osobnih računarskihoperativnih sistema sadržava softverske vatrozide za zaštitu protiv prijetnji sa javnog Interneta. Većinarutera koji šalju podatke između mreža sadrže vatrozidne komponente i, obrnuto, većina vatrozida može obaviti osnovne funkcije rutera.[4][5]

Historija

[uredi |uredi kod]

Pojamvatrozid sprva je označavao zid koji teži ograničiti vatru ili potencijalnu vatru unutar zgrade. Kasnija upotreba označava jednake strukture, poput lima koji odvaja motorni prostor vozila ili letjelice od prostora za putnike.

Vatrozid tehnologija se pojavila kasnih 1980-tih kada je Internet bio veoma nova tehnologija u smislu svoje globalne upotrebe i povezanosti. Prethodnici vatrozidima za mrežnu sigurnost bili su ruteri korišteni kasnih 1980-tih:[6]

Prva generacija: filteri paketa

[uredi |uredi kod]

Prvi papir objavljen u vezi sa vatrozidnom tehnologijom bio je u 1988, kada su inženjeri firmeDigital Equipment Corporation (DEC) razvili filterski sistem poznat kaofilter paketa vatrozid. Ovaj veoma osnovni sistem bio je prva generacija onoga što je danas visoko umiješana i tehnička mogućnost internet sigurnosti. U kompanijiAT&T Bell Labs,Bill Cheswick iSteve Bellovin nastavljali su svoje istraživanje u filterima paketa i razvili radni model za svoju vlastitu kompaniju zasnovanu na njihovoj originalnoj ideji arhitekture prve generacije.[9]

Paketni filteri vrše ulogu inspekcijom "paketa" koji su premještani između računara na Internetu. Ako se paket slaže sa skupom filtrirajućih pravila filtera paketa, paketni filter će ispustiti (tiho odbaciti) paket ili ga odbaciti (odbaciti, te poslati "poruku greške" izvoru).

Ovaj tip filtriranja paketa ne posvećuje pažnju bilo da je paket dio postojećeg toka saobraćaja (npr. ne sačuvava informacije ili "stanje" konekcije). Umjesto toga, filtrira svaki paket zasnovan jedino na informacijama koje se sadržeu samom paketu (najčešće koristeći kombinaciju izvora paketa i destinacijske adrese, svog protokola, i, zaTCP iUDP promet,broj porta).

Protokoli TCP i UDP sastavljaju većinu komunikacije preko Interneta, te zbog toga što TCP i UDP saobraćaj dogovorno koristi dobro poznate portove za određene tipove saobraćaja, "bez-stanja" paketni filter može razlikovati između, i tako kontrolirati, te tipove saobraćaja (kao što je pregledanje Interneta, daljinsko printanje, prijenos emaila, prijenos datoteka), sve dok strojevi na obje strane paketnog filtera koriste jednake nestandardne portove.[10]

Vatrozidovi paketnog filtriranja rade uglavnom na prva tri slojaOSI modela, što znači da je većina rada najviše urađeno između mreže i fizičkih slojeva, sa malko "provirivanja" u transportni sloj radi na shvatanju izvora i odredišnih brojeva porta.[11] Kada paket dolazi od pošiljaoca i filtrira se kroz vatrozid, uređaj provjerava sličnosti sa bilo kojim od paketa koji filtriraju te su podešeni u vatrozidu, a zatim ispušta ili odbija paket skladno s tim. Kada paket prolazi kroz vatrozid, on filtrira paket prema protokol/port brojnoj bazi (GSS). Naprimjer, ako pravilo u vatrozidu postoji da blokira telnet pristup, tada će vatrozid blokirati TCP protokol za broj porta 23.[12]

Druga generacija: "stateful" filteri

[uredi |uredi kod]

Od 1989–1990. tri kolege saAT&TBell Laboratories, Dave Presetto, Janardan Sharma i Kshitij Nigam, razvili su drugu generaciju vatrozida, nazivajući ihCircuit-level gateway-ovi.[13]

Vatrozidovi druge generacije vrše rad na njihovom prethodniku prve generacije ali operiraju do sloja 4 (transportni sloj) OSI modela. Ovo se dobija zadržavanjem paketa sve dok dovoljno informacija nije dostupno da napravi sud od svom stanju.[14] Poznato kaostateful paketna inspekcija, snima sve veze koje prolaze kroz to i određuje da li je paket početak nove veze, dio postojeće veze, ili pak nije paket ijedne veze. Kroz statička pravila koja su korištena, ova pravila mogu sadržavatistanje veze kao jedan od svojih testnih kriterija.

Određenidenial-of-service napadi bombardiraju vatrozid sa hiljadama lažnih veznih paketa u pokušaju da ga prevladaju punjenjem njegovog stanja vezne memorije.[15]

Treća generacija: aplikativni sloj

[uredi |uredi kod]

Marcus Ranum, Wei Xu i Peter Churchyard razvili su aplikativni vatrozid poznat kao Firewall Toolkit (FWTK). U junu 1994, Wei Xu je proširio FWTK sa poboljšanjem Kernela od IP filtera i socket transparenta. Ovo je bilo poznato kao prvi transparentni aplikativni vatrozid, izdat kao komercijalni proizvod brenda Gauntlet firewall naTrusted Information Systems. Gauntlet firewall je rangiran prvim od skupine broj 1 vatrozida tokom 1995–1998.

Ključna korist filtriranja aplikativnog nivoa je taj da on "razumije" određene aplikacije i protokole (poputFile Transfer Protocola (FTP),Domain Name Systema (DNS) iliHypertext Transfer Protocola (HTTP)). Ovo je korisno jer je u mogućnosti da otkrije ako ijedna neželjena aplikacija pokušava zaobići vatrozid na dozvoljenom portu, ili otkriti ako se protokol zloupotrebljava u bilo koje štetnom načinu. Od 2012, tzv. next-generation firewall (NGFW) nije ništa drugo nego "proširena" ili "produbljena" inspekcija u aplikacijskom nivou. Naprimjer, postojećadeep packet inspekcija modernih vatrozida može biti proširena da sadržava i) Preventivni sistem intruzije (IPS); ii) Integracija korisničkog identiteta (povezivanje ID-ova sa IP ili MAC adresama radi "reputacije"); i/ili iii)Web Application Firewall (WAF). WAF napadi mogu biti primijenjeni u alatu "WAF Fingerprinting utilizing timing side channels" (WAFFle).[16]

Tipovi

[uredi |uredi kod]

Postoje različiti tipovi vatrozida zavisno od toga gdje komunikacija uzima mjesto, gdje je komunikacija presretnuta kao i stanje koje se prati.[17]

Reference

[uredi |uredi kod]
  1. FER - Zavod za elektroniku, mikroelektroniku, računalne i inteligentne sustave - Operacijski sustavi 2Arhivirano 2009-06-07 naWayback Machine-u Tihomir Katić: Sigurnosna zaštitna stijena (vatrozid)
  2. http://www.microsoft.com/language/en-us/Search.aspx?sString=firewall&langID=bs-Latn-ba Microsoft Terminology Collection and Translations in Localized Microsoft Products for Bosnian
  3. Oppliger, Rolf (May 1997). „Internet Security: FIREWALLS and BEYOND”. Communications of the ACM 40 (5): 94. DOI:10.1145/253769.253802. 
  4. „What is Firewall?”. Arhivirano izoriginala na datum 2015-02-12. Pristupljeno 2015-02-12. 
  5. Definition ofFirewall,Check Point Resources
  6. 6,06,16,2Ingham, Kenneth; Forrest, Stephanie (2002). „A History and Survey of Network Firewalls” (PDF). Pristupljeno 2011-11-25. 
  7. [1]Arhivirano 2014-07-14 naWayback Machine-u Firewalls by Dr.Talal Alkharobi
  8. RFC 1135 The Helminthiasis of the Internet
  9. Ingham, Kenneth; Forrest, Stephanie (2002). „A History and Survey of Network Firewalls” (PDF). str. 4. Pristupljeno 2011-11-25. 
  10. TCP vs. UDP By Erik Rodriguez
  11. William R. Cheswick, Steven M. Bellovin, Aviel D. Rubin (2003). "Google Books Link".Firewalls and Internet Security: repelling the wily hacker
  12. Aug 29, 2003Virus may elude computer defensesArhivirano 2015-09-21 naWayback Machine-u by Charles Duhigg, Washington Post
  13. Proceedings of National Conference on Recent Developments in Computing and Its Applications, August 12–13, 2009. I.K. International Pvt. Ltd.. 2009-01-01. Pristupljeno 2014-04-22. 
  14. Conway, Richard (204). Code Hacking: A Developer's Guide to Network Security. Hingham, Massachusetts: Charles River Media. str. 281. ISBN 1-58450-314-9. 
  15. Chang, Rocky (October 2002). „Defending Against Flooding-Based Distributed Denial-of-Service Attacks: A Tutorial”. IEEE Communications Magazine 40 (10): 42–43. DOI:10.1109/mcom.2002.1039856. 
  16. „WAFFle: Fingerprinting Filter Rules of Web Application Firewalls”. 2012. 
  17. „Firewalls”. MemeBridge. Pristupljeno 13 June 2014. 
Izvor:https://sh.wikipedia.org/w/index.php?title=Vatrozid&oldid=41443956
Kategorije:
Sakrivena kategorija:
[8]ページ先頭
©2009-2025 Movatter.jp