| e-gradiva | SERŠ Maribor | O projektu | Besednjak | ||||||
 |
|||||||||
| Osnove | Skladi | Topologije | Mediji | Pristopne | LAN | Omrežni | Transportni | Povezovanje | Varnost | Storitve | Varnost | Sistemi | Strežniki | |||||||||
| e-gradiva | SERŠ Maribor | O projektu | Besednjak | ||||||
|
|||||||||
| Osnove | Skladi | Topologije | Mediji | Pristopne | LAN | Omrežni | Transportni | Povezovanje | Varnost | Storitve | Varnost | Sistemi | Strežniki | |||||||||
V tej učni vsebini boste spoznali:
Požarni zid ščiti lokalno omrežje
Celoten svet predstavlja potencialno nevarnost za zasebno omrežje. Danes je povezava v internet vsekakor dobrodošla, če že ne nujno potrebna. S tveganjem se moramo sprijazniti.
Rešitev za zmanjšanje tveganja je požarni zid. Požarni zid (angl. firewall) je strojna ali programska oprema, ki je načrtovana zato, da prepreči neavtoriziran dostop iz zunanjega sveta. Kdorkoli je priključen v internet, mora poskrbeti za neko vrsto požarnega zidu. Prav tako se lahko požarni zid uporabi v lokalnem intranetu, na primer v šoli se loči administrativni del omrežja od pedagoškega.
Microsoft ponuja program Defender za delovne postaje
Požarni zid predstavlja osnovno zaščito med dvema omrežjema (ali računalnikoma), ki nadzorujeta medsebojno izmenjavo prometa in določata, kateri promet dovoljujeta in katerega ne. Požarni zidovi lahko uporabljajo mnogo različnih načinov in kriterijev za ocenjevanje prometa in njegovega sprejemanja. Nekateri požarni zidovi so namenske strojne naprave, lahko zelo drage in namestitev običajno opravi profesionalec.
Običajno so požarni zidovi usmerjevalniki, ki imajo nameščeno dodatno programsko opremo, ki nadzoruje prihajajoči in odhajajoči promet. Uporabljajo se kot prepreka med javnim in zasebnim omrežjem, ki dovoljuje ali preprečuje določen promet. Pogosto so edina stična točka med tema omrežjema.
Drug tip požarnih zidov je programska oprema, ki se uporablja na osebnih računalnikih. Pogosto je programska oprema za osebno ali šolsko uporabo brezplačna.
Požarni zidovi na več načinov analizirajo omrežni promet in določajo potencialno nevarnost. Večina uporablja več metod, da storitev deluje kar se da najbolje.
Paketno filtriranje je najosnovnejša vrsta požarnega zidu. Ko pride paket v omrežni vmesnik, se lahko začne analiziranje prispelega paketa. Paket se lahko spusti tudi do višjih slojev referenčnega modela ISO/OSI, kjer se lahko odločijo preprečiti nadaljnjo pot paketom. Paketi se filtrirajo na podlagi naslednjih značilnosti:
Paketno filtriranje je običajno značilnost običajnih usmerjevalnikov. To pomeni, da je njegova implementacija relativno enostavna in cenovno ugodna. Paketno filtriranje ne vpliva na propustnost usmerjevalnikov, razen v primeru izbora velikega števila vrat. Usmerjevalnik mora pregledati vsak paket posebej in kompleksni filtri upočasnijo delovanje omrežja. Za dobro paketno filtriranje je potrebno poznavanje protokolnega sklada TCP/IP. Uporaba paketnega filtriranja pomeni sodelovanje v bitki z napadalci, ki želijo v vaše omrežje.
NAT zamenja IP številko v datagramu
Network Address Translation (NAT) je tehnika na omrežnem sloju, ki zaščiti omrežje pred internetom z maskiranjem naslovov IP. Če ste povezani v internet, je potrebno imeti za vsako postajo v omrežju registriran naslov IP, da lahko računalniki komunicirajo. Računalniki se v internetu prepoznajo na podlagi naslova IP. To pomeni, da lahko kdorkoli iz interneta dostopa do računalnika in z nekaj triki tudi do virov v tem računalniku. To zna biti neprijetno. NAT to preprečuje in omogoča dodeljevanje neregistriranih naslovov računalnikom v omrežju. Obstajajo posebne skupine naslovov, ki se ne uporabljajo v internetu in z dodeljevanjem teh naslovov se ne naredi nobene škode.
Po poimenovanjem računalnikov s privatnimi naslovi IP v lokalnem omrežju, ti računalniki niso dostopni računalnikom zunaj tega omrežja. To pomeni, da tudi spletni strežnik ne more pošiljati podatkov v to omrežje. Uporabniki lahko samo pošiljajo pakete v internet. To pa ni dobro in zakaj bi tako naredili?
Da bo komunikacija z zunanjim svetom normalna, je potrebno, da ima usmerjevalnik, ki zagotavlja dostop v internet nameščen NAT. NAT paketom, ki pridejo do njega iz lokalnega omrežja, zamenja naslov pošiljatelja s svojim lastnim naslovom in ga s tem naslovom pošlje v internet. Ko se pošlje odgovor na poslan paket, NAT kot posrednik ponovno zamenja naslov in ga pošlje v lokalno omrežje. Ker je usmerjevalnik z NAT edini računalnik, ki ima registriran naslov IP, je zato edini, ki je potencialno izpostavljen nevarnosti.
NAT je priljubljena rešitev in je vgrajena v mnoge požarne zidove, od preprostih in cenenih do zapletenih in dragih. Pogosto so strežniki NAT, požarni zid in posredniški strežninik nameščeni na istem računalniku, ki tako nadzoruje celotno dogajanje med javnim in zasebnim omrežjem.
Požarni zid je strojni ali programski izdelek, ki izolira del omrežja, da ga zavaruje pred vdori zunanjih procesov. V večini primerov se za varovanje zasebnih omrežij pred vdori iz spleta uporabljajo požarni zidovi različnih tehnik, da zagotovijo varnost. Dovoljujejo določene vrste prometa v omrežje.
Nekatere izmed teh tehnik vsebujejo filtriranje paketov in prevode spletnih naslovov (NAT). To uporabljamo le za namestitve v velikih omrežjih, sedaj so pa tukaj tudi manjši produkti požarnih zidov, razviti za varovanje manjših omrežij in posameznih računalnikov pred internetnimi vdori.
Izvedbo projekta je omogočilo sofinanciranje Evropskega socialnega sklada Evropske unije in Ministrstva za šolstvo in šport.