Zaštita mreže - vatrozid

Vatrozid u općenitom smislu podrazumijeva uređaj koji nadzire, te na temelju zadanih pravila, propušta ili odbacuje mrežni promet. Ukoliko se razmatra primjena takvog uređaja, vatrozidi se dijele na:

  • poslovne podrazumijevaju sklopovsko ili programsko rješenje (ili kombinaciju) koje od potencijalno štetnog prometa štiti cijelu poslovnu mrežu na način da se sav promet mreže preusmjerava kroz poseban uređaj namijenjen samo toj svrsi, te
  • osobne – u pravilu programsko rješenje koje štiti korisničko računalo na kojem se nalazi.

Glavna razlika ova dva tipa je dakle u namjeni, a ne u tehnološkoj izvedbi.

Vatrozid promet filtrira na više slojeva, ovisno o namjeni i potrebi (linkto: tcp/ip stack). Najčešće se promet filtrira na IP i transportnom (TCP, UDP ...) sloju, međutim moguće je definirati pravila filtriranja i za nižisloj podatkovne poveznice (Ethernet ...) i za viši – aplikacijski sloj (HTTP, SMTP ...). Složenost samog filtriranja ovisi o sloju filtriranja, pa tako filtriranje na višim slojevima omogućuje „pametnije“ filtriranje (viši slojevi sadrže više meta-podataka koji omogućuju selektivnije filtriranje), dok je s druge strane postupak filtriranja na nižim slojevima brži.

Glavne mogućnosti i zadaci vatrozida jesu:

  • prijava neovlaštenog pokušaja spajanja na računalo (od strane vanjskih mrežnih servisa),
  • određivanje lokalnih mrežnnih servisa kojima je dopuštena mrežna interakcija,
  • spriječavanje detektiranja otvorenih mrežnih priključaka od strane udaljenih potencijalnih napadača (na način da odbacuje nezatraženi mrežni promet, tj. promet koji nije iniciran s korisničkog računala),
  • nadziranje lokalnih mrežnih servisa,
  • zaustavljanje neovlaštenog odlaznog prometa lokalnih mrežnih servisa te
  • pružanje informacija o aplikaciji koja zahtjeva mrežnu komunikaciju.

Vatrozidi su obično prva i temeljna metoda povećavanja sigurnosti računalnog sustava.

U većinu osobnih vatrozida ugrađen je i osnovni sustav za detekciju i sprječavanje neovlaštenog ulaza na računalo.

Comodo vatrozid

Comodo vatrozid (eng. firewall) je dio skupa alata tvrtke Comodo koji se koriste za zaštitu korisničkih računala. U paketu se osim vatrozida još nalaze i antivirusni sustav te IPS – sustav za sprječavanje upada na sustav (eng. intrusion prevention system). Vatrozid je, međutim, jedini od navedenih alata u potpunosti besplatan. Trenutna inačica alata jest 5.5. izdana 4.7.2011. Alat je dostupan na Windows (XP, Vista, 7) operativnim sustavima.

Nakon instalacije alat se pokreće automatski (u trenutku podizanja operativnog sustava). Nakon pokretanja, alat u pozadini nadzire mrežne konekcije i analizira promet.

alt

Slika 1. Sumarni ekran alata.

Alat u svom osnovnom načinu rada funkcionira tako da korisnika pri svakoj uspostavi veze pita da li je dotična komunikacija dozvoljena. Ukoliko korisnik dopusti komunikaciju, program koji ju je zatražio dodaje se u listu programa kojima se vjeruje te Comodo više ne upituje korisnika u slučaju pokušaja stvaranja konekcije od strane istog (sada povjerljivog) programa.

alt

Slika 2. Upit korisnika u sigurnost pokušaja konekcije

Napredniji način rada omogućuje korisniku da definira pravila propuštanja mrežnog prometa. Korisnik je u mogućnosti kreirati pravila koja propuštaju ili odbijaju promet ovisno o:

  • transportnom protokolu,
  • skupovima vrata (eng. port),
  • odredištu odlaznog prometa,
  • aplikaciji koja uspostavlja vezu te
  • zonama (korisnički definiranim grupama mrežnih lokacija).

alt

Slika 3. Pregled pravila filtriranja

Korisniku je ponuđena mogućnost uvida u trenutne odlazne i dolazne mrežne veze sa pripadajućim informacijama (odredišna i ishodišna IP adresa, količina prometa, aplikacija koja prima/šalje podatke i sl.)

alt

Slika 4. Prikaz aktivnih veza

Alat omogućava i pregled značajnih događaja (eng. events) u radu vatrozida. Tako, primjerice, alat  prikazuje instance odbijenog prometa ili pokušaje spajanja nepoznate aplikacije na vanjsku mrežu (pri čemu se upituje korisnika o dozvoli).

alt

Slika 5. Prikaz događaja u radu vatrozida.

ZoneAlarm

Još jedno programsko rješenje za filtriranje prometa jest ZoneAlarm. Alat je vlasničkog karaktera, no besplatan za osobnu uporabu. Također je dostupan samo na Windows platformama.

Za razliku od Comodo vatrozida, alat je siromašnijeg sučelja, no ne i mogućnosti. Drugim riječima, alat je u mogućnosti filtrirati promet jednakim kriterijima kao i Comodo, međutim korisniku ne pruža jednak uvid u rad sustava i kontrolu nad sustavom. Jedini način postavljanja ponašanja sustava temelji se na predefiniranim standardnim pravilima koje korisnik nadograđuje odgovorima na događaje (slično kao i kod Comodo vatrozida).

iptables/pf

Budući da na operativnim sustavima POSIX obitelji (Linux, BSD i sl.) sustav za filtriranje prometa dolazi kao dio mrežnog podsustava samog OSa, eliminirana je potreba za vanjskim programskim rješenjima. Također, u većinu Linux/BSD distribucija orijentiranih krajnjim korisnicima, predinstaliran je i popratni program za olakšano definiranje pravila filtriranja mrežnog prometa (kako korisnik nebi morao poznavati detaljnu sintaksu pisanja pravila). Takvi sustavi za filtriranje prometa (ovisno o korištenoj distribuciji sustava), već posjeduju početne postavke za filtriranje prometa. Ukoliko korisnik sam želi definirati dodatna pravila, može to učiniti preko komandne linije ili preko već spomenutih popratnih programa uz pomoć grafičkog sučelja. Međutim, preporučljivo je prethodno proučiti dokumentaciju korištenog sustava, kako bi korsnik bio siguran da izmjenom početnih pravila neće ugroziti sustav.

Idi na vrh