2. MikroTikRouterOSFirewall IP/Firewall/L7 Firewall NAT Firewall
Filters Firewall Address List Firewall Mangle 3. Firewall je
bezbjednosni hardverski ili softverski ureaj,najee smjeten izmeu
lokalne mree i javne mree (Interneta), ija je namjena da titi
podatke u mrei od neautorizovanih korisnika (blokiranjem i
zabranompristupa po pravilima koje definie usvojena bezbjednosna
politika). Vatrozid (Windows Firewall) ini vae raunalo sigurnijim
ograniavajui promet koji dolazi na vae raunalo s drugih raunala.
Daje vam uvid u podatke na vaem raunalu i prua svojevrsnu liniju
obrane od drugih korisnika i/ili programa koji se ele spojiti na
vae raunalo bez vaeg doputenja. Vatrozid moete shvatiti kao vrstu
polupropusne barijere koja zaustavlja promet informacija prema vaem
raunalu te prema definiranim parametrima odreuje to e propustiti, a
to blokirati. 4. Na kojem principu radi vatrozid (firewall)?
Postupak u kojem se netko na internetu ili mrei pokuava spojiti na
vae raunalo se naziva netraeni zahtjev (unsolicited request). Svaki
put kada vae raunalo zaprimi netraeni zahtjev, vatrozid (firewall)
blokira spajanje. Meutim, ako koristite program kao to je klijent
za komunikaciju u realnom vremenu gdje je potrebno primati
informacije s Interneta ili mree, vatrozid (firewall) e vas pitati
treba li blokirati ili dopustiti spajanje. Ako odaberete opciju
doputanja, vatrozid (firewall) e ulazne informacije te vrste
promatrati kao tzv. iznimke, odnosno iznimni promet. Jednom
definirana iznimka ostaje vrijediti sve do ju izriito ne
promijenite. Drugim rijeima, kada jednom dopustite ulaz informacija
putem klijenta za komunikaciju u realnom vremenu, vatrozid
(firewall) e zapamtiti tu postavku i nee vas svaki put pitati isto
pitanje. 5. Firewall implementira filtriranje paketa i time
osigurava funkcije sigurnosti koje se takoer koriste za upravljanje
podatkovnim tokovima od rutera i kroz ruter. Zajedno sa Network
Address Translation, koristi se i za prevenciju neautorizovanog
pristupa susjednim mreama, kao i pristupa samom ruteru, kao filteru
odlaznog saobraaja.RouterOS obezbjeuje inteligentni firewall, to
znai da vri inteligentu inspekciju paketa i vodi evidenciju o
stanju mrenih konekcija koje prolaze kroz njega. Takoer podrava
izvorni i odredini NAT (Source and Destination Network Access
Translation),NAT pomagae za popularne aplikacije i UPnP.Firewall
obezbjeuje funkcije za koritenje internih konekcija, rutiranje i
oznaavanje paketa. Moe vriti filtriranje prema IP adresi, rangu
adrese, portu, rangu porta, IP protokolu, DSCP-u i drugim
parametrima, takoer podrava statike i dinamike adresne liste i moe
oznaavati pakete prema uzorku iz njihovog sadraja., koji je
specificiran u regularnim izrazima, koji predstavljaju oznaavanje
na nivou 7. RouterOS firewall-atakoer podrava IPv6.MikroTic
RouterOS Firewall je postavljen izmeu mree kompanije i javne mree,
efektvno titei vae raunare od zlonamjernih hakerskih aktivnosti, i
kontroliui podatkovne tokove koji dolaze na ruter, tokove unutar
ruterai one koji naputaju ruter.MikroTik RouterOS firewall omoguava
filtriranje i funkcije sigurnosti. MikroTik RouterOS Firewall 6.
Aplikacije: Zatita rutera od neovlatenog pristupa Mogue je
nadgledati konekcije prema adresi, koje su usmjerene prema samom
ruteru i dozvoliti pristup samo odreenim hostovima na odreene TCP
portove rutera.Firewall kontrolie sve informacije koje dolaze sa
interneta i upozorava i blokira pokuaje ometanja prema odreenim
pravilima koja su podeena od strane korisnika. Zatita korisnikovog
hosta Mogue je nadgledati konekcije prema adresi, koje su usmjerene
prema korisnikovoj mrei, i dozvoliti pristup samo odreenim hostovim
i servisima. Takoer se moe omoguiti korisnicimaefektivnu i
proaktivnu odbranu od zlonamjernih napada.Koritenje maskiranja za
skrivanje privatne mree iza jedne eksterne adrese .Sve konekcije sa
privatnih adresa mogu biti maskirane, tako da izgledaju kao da
dolaze sa jedne eksterne adrese. Firewall e se ponaati kao gateway
za cijelu vau mreu da omogui poslovnim mreama da dijele jednu,
sigurnu konekciju prema internetu. Provedba Internet Usage Policy
iz korisnikove mree Firewall omoguava da kontrolu konekcije sa
korisnikove mree i obezbjeuje detaljne statistike saobraaja za sve
linkove. Prioritetiziranje saobraaja Mogue je oznaavati pakete
prema prioritetu da bi se osigurala najbra konekcija za najvanije
pakete.Ovim se garantujeda sve grupe uvijek dobiju odgovarajui
propusni opseg i osigurava se kontrolisani protok mrenog saobraaja,
ime se sprijeava izgladnjivanje tokova.Osiguravanje redova ekanja
za odlazne pakete Ovim se postie limitiranje brzine konekcije za
odreen grupe paketa. Hijerarhija klasa omoguava izgradnju
fleksibilne i veoma logine reprezentacije korisnikovog saobraaja.
7. IP/Firewall/L7 8. 9. IP Firewall Dijagram 10. Firewall NAT
- Firewall NAT pravila su organizirana takoer, u lancima. Postoje
dva zadana lanca:
- dstnat procesiranipromet poslan prema ruteru i kroz ruter,
prije nego to ga dijeli na "ulaz" i "prema naprijed" lanac firewall
filtera.
- srcnat procesiranipromet poslan iz usmjerivaa i kroz usmjeriva,
nakon to ga spaja sa "izlaz" i "prema naprijed" lanac firewall
filtera.
NAT se koristi da osigura IP adresu kao i za translaciju do
destionacijskih IP adresa. Prvi paket toka prolazi NAT pravilo,
drugi paketi tog toka automatski su NAT-ovani s istim djelovanjem
(akcijom) kao i prvi. NAT je jedan od alata koji omoguuju korisniku
da kontrolira tok podataka prema, od i kroz njegov raunar na nain
na koji on to eli. 11.
- Poznate su sljedee NAT akcije: Accept- paket je prihvaen i
proao je kroz NAT bez poduzimanja bilo kakve akcijeJump- skok na
lanac utvrene vrijednosti jump-target argumenta Return- povratak na
prethodni lanac, gdje se skok dogodioLog- loguje pakete koji se
podudarajuPassthrough- zanemaruje ovo pravilo i otii na
sljedee
- Add-dst-address-list-dodaje odredinu adresu paketa u navedenu
adresnu listu (popis)
- Add-src-address-list- dodaje izvorinu adresu paketa u navedenu
adresnu listu (popis)
Add-dst-address-list-dodaje odredinu adresu paketa u navedenu
adresnu listu (popis)Add-src-address-list- dodaje izvorinu adresu
paketa u navedenu adresnu listu (popis) Add-dst-address-list-dodaje
odredinu adresu paketa u navedenu adresnu listu
(popis)Add-src-address-list- dodaje izvorinu adresu paketa u
navedenu adresnu listu (popis) Add-dst-address-list-dodaje odredinu
adresu paketa u navedenu adresnu listu (popis)Add-src-address-list-
dodaje izvorinu adresu paketa u navedenu adresnu listu (popis)
Add-dst-address-list-dodaje odredinu adresu paketa u navedenu
adresnu listu (popis)Add-src-address-list- dodaje izvorinu adresu
paketa u navedenu adresnu listu (popis) 12. 13. Firewall
Filters
- Alat za filtriranje paketa koji prua sigurnosne funkcije.
- Sastoje se od niza IF-THEN pravila
- Paketi se procesiraju kroz odr. pravila
- Pravila su organizirana u lance:
-
-
- Zadani lanci (ulaz, izlaz naprijed)
-
-
- Korisniki definirani lanci (zbog brzine)
- Akcije: accept, drop, jump, reject, return,passthrough...
- Ako paket ne ispuni sva If-then pravila alje se na sljedee
pravilo.
- Ako paket zadovolji sva pravila navedene aktivnosti e biti
izvedene na njemu.
14. 15. 16. 17. 18. Sprijeavanje kompletnog saobraaja odreene
grupe 19. 20. Firewall Address List 21. Firewall Mangle
- Firewall mangle omoguava markiranje IP paketa posebnim oznakama
u svrhu budueg procesiranja.
- Mangle funkcionalnost se koristi da bi se modificirala neka
polja u IP zaglavlju (ToS,TTL)
- Paketi se zatim procesiraju na osnovu datih pravila i ako je
zadovoljeno pravilo, izvodi se odgovarajua akcija nad odr. paketom,
a ako nije, paket skae do sljedeeg pravila
22.
- Najprije se napravi parametar, kao to je src. Ili dst. adresa i
postavi se oznaka na taj paket.
23.
- ACCEPT paket je prihvaen i nad njim se ne poduzim nikakva
akcija
- JUMP skok do lanca koji je odreen vrijednou argumenta mete
skoka
- RETURN vrati se na prethodni lanac sa kojeg je izvren prethodni
skok
- LOG propusti pakete koji se podudaraju
- PASTHROUGH ignorii ovo pravilo i idi na sljedee
24. ZAKLJUAK
- Firewallpodrava filtriranje,oznaavanje paketai sigurnosne
funkcije koje se koriste za upravljanje tokovima podataka prema
ruteru, kroz i od rutera.
- FirewallNetwork Address Translation koristi se kao sigurnosni
alata za spreavanje neovlatenog pristupa mreama.
- Mreni firewall onemoguuje prijetnje osjetljivim podacima unutar
mree, upade koji mogu rezultirati kraom i distribucijom privatnih
podataka, mjenjanjem ili unitavanjem vrijednih podataka, ili
brisanjem cijelog hard diska.
- Firewall se koristi kao sredstvo za spreavanje ili
minimiziranje sigurnosnih rizika svojstvenih povezivanju s drugim
mreama.
- MikroTik RouterOS provodi velik broj firewalling opcija, kao i
mogunosti maskiranja, koji omoguuje skrivanje odreene mrene
infrastrukture od vanjskog svijeta.
25. ZAKLJUAK
- MikroTik RouterOS Firewallom je vrlo lako upravljati!
- Sistemska arhitekturamoguuje jednostavnu konfiguraciju Network
Address Translation (NAT-a), transparentnih proxija i
preusmjeravanja.
- Pravila Firewall filtriranja su grupisana zajedno u lanaca. To
omoguava sistemu puno lake upravljanje, koristei manji broj pravila
za kreiranje mnogo preciznijeg firewalling-a.
