1 / 37

VPN dhe Firewall

VPN dhe Firewall. Rreziqet e lidhjeve te hapura. Kompromentohet sekreti i informacioneve on-line Difuzioni i informacioneve nga jashte brenda ( viruse , worms , etj Detyra : te mbahen brenda bitet e mire dhe te lihen jashte bitet e keqinj . Metoda : Perdorimi i IPsec.

nora
Download Presentation

VPN dhe Firewall

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. VPN dhe Firewall

  2. Rreziqet e lidhjeve te hapura • Kompromentohetsekreti i informacioneve on-line • Difuzioni i informacionevengajashtebrenda (viruse, worms, etj Detyra: te mbahenbrendabitete mire dhe te lihenjashtebitete keqinj. Metoda : Perdorimi i IPsec.

  3. IPsec • Metoda mbron te dhenat tranzit midis rrjetave te sigurte • Nuk mund te mbaje larg LAN-eve bitet e keqinj • Kalohet ne Firewall • Organizata ka mjaft kompjuter qe kerkojne te komunikojne ne Internet, por trafiku kalon vetem nepermjet nje porte (firewall)

  4. Cfare eshte nje firewall • Nje pike kontrolli dhe monitorimi • Lidh rrjeta me kritere te ndryshme besueshmerie • Imponon kufizime ndaj sherbimeve te rrjetave disponibel • Vetem trafik i autorizuar pershkon rrjetin • Ekzekuton kontroll dhe verifikon aksese • Eshter i mbrojtur nga sulmet

  5. Cfare eshte nje firewall • Kontrollon banden • Kontrollon trafikun nga jashte brenda rrjetit • Lojra, pornografi, aktivitete jo te organizates,etj. • Privacy • Fsheh burimet e rrjetit dhe permasat e verteta te rrjetit

  6. Kufizimet e Firewall • Nuk mbrojne nga sulmet qe arrijne te kalojne • Nuk mbrojne nga sulmet e brendshme • Nuk mbrojne nga transferimi i viruseve dhe worm

  7. Firewalls packet filters

  8. Packet filters • Ekzaminon cdo pakete IP dhe perdor rregulla per autorizimin ose ndalimin e kalimit • Rregullat bazohen mbi treguesin e burimit , destinacionit , porten e burimit, te destinacionit, flag, etj • Politika qe ndiqet: • Cdo gje qe nuk shprehet e ndalua, eshte e lejuar • Cdo gje qe nuk shprehet e lejuar, eshte e ndaluar

  9. Shembuj rregullash • Mund te bllokoje kerkesa lidhjeje TCP te ardhura nga rrjeta te jashtme (gjithe SYN te ardhur nga jashte, skartohen) • Paketa te ardhura nga brenda te destinuar ne porten 80(www) pranohen. • Gjithashtu paketa nga brenda drejt portes 25(smtp) (per paketa UDP nuk ka menyre kontrolli per bisedimet aktive ose te aplikohen rregulla mbi adresen e burimit)

  10. NAT • Network Address Translation • Jane krijuar per te zgjidhur problemin e konsumimit te adresave IP • Gjithashtu mund te filtrohen mesazhet

  11. NAT adresat

  12. NAT- akseset

  13. Aksese te njekohshme

  14. Probleme • Supozojme qe nje adrese globale mund te suportoje dhjetra hoste • Web • Kur kemi aksese te njekohshme • Perdorim i portave NAPT

  15. Perdorimi aktual

  16. Aksese te njekohshme

  17. Aksese te njekohshme

  18. NAT avantazhe • Ndalon akses nga jashte brenda • Fshihet numri i hosteve ne rrjetin e brendshem • Filtron informacionin per rrjetin brenda

  19. Firewall stateless dhe stateful • Firewall fillimisht kane qene pa gjendje • Packet filter • IP spoofing • Firewall moderne jane stateful • Mbajne listen e fluksit te pranuar

  20. Fire wall stateful packet filter • Ekzaminon cdo pakete dhe mban gjendjen e bashkebisedimit • Pranon paketat qe vijne nga jashte vetem kur bisedat qe nisin nga brendA MBAJNE INFORMACION MBI SEKSIONIN KLIENT SERVER • VERIFIKON CDO PAKETE NESE I PERKET SEKSIONIT TE AUTORIZUAR Permireson cilesine per te dalluar paketa anormale

  21. Aplikim ne nivel gateway

  22. Aplikim ne nivel gateway proxy • Perdor nje aplikacion specifik • Ka akses te plote ne protokoll • Perdorues kerkon sherbim • Kerkesa pranohet ose refuzohet • Kerkesat e pranuara marrin sherbim • Ka nevoje per proxy server per cdo sherbim

  23. Fire wall circuit level gateway • Realizon dy koneksione TCP • Imponon siguri duke kufizuar koneksione te autorizuarta

  24. Si te aksesojme nga jashte ? • Si te menaxhojme serverat e rrjetit qe duhet te arrihen nga jashte?(server i postes SMTP duhet te marre mail nga internet, siti web duhet te jete i aksesueshem,…..) • Zgjidhje : hapim nje vrime ne firewall qe dergon trafikun e destinuar ne porten 25 ne serverin e postes, e njejta gje edhe per WWW • A eshte e mjaftueshme?

  25. Si te aksesojme nga jashte? • Hapja e nje vrime mund te krijoje probleme: • Trafiku i ardhur nga jashte mund te shkoje drejt portes 25 te serverit smtp ose 80 te web serverit por: • Software ne keto makina jane te thyeshem • Nje hacker mund te marre kontrollin e makines dhe mund te beje cfare te doje os ete sulmoje rrjetin e brendshem

  26. Si te aksesojme nga jashte? • Krijojme nje zone te cmilitarizuar • Serverat qe duhet te arrihen nga jashte jane ne nje zone speciale te hapur te quajtur DMZ • Mund te jete me disa nivele DMZ • Perdoruesit e jashtem mund te aksesojne deri tek DMZ por jo ne rrjetin e brendshem • Duhet bere kujdes ne trafikun qe kalon DMZ, ne se nje hacker merr kontrollin e serverit ne DMZ , nuk duhet te hyje ne rrjetin e brendshem

  27. IP tables

  28. Konfigurimi

  29. Konfigurimi

  30. Rregullat e kalimit • Te vlefshme per paketat qe hyjne dhe dalinnga rrjeti • Cdo pakete duhet te kaloje nje ose me teper hallka • Mund te ndryshoje destinacionin duke perdorur NAT

  31. Konfigurimi • Firewall kadykomponente • Dyroutera – bejnefiltrimin e paketave • Gateway aplikativ Packetfiltereshtenje router standart i pajisur me funksioneshtese • Inspektohetcdopakete ne mberritjedhe ne dalje • Paketatqenukkanestandarte te vendosura , skartohen • Packetfiltermenaxhohennepermjettabelave te konfiguruarangaadministratori me burimedhedestinacione te aksesueshme • Burimidhedestinacionikanenje IP dhenje porte

  32. VPN-Rrjeta private virtuale • Per lidhjen ne rrjet te organizatave me shtrirje te madhe gjeografike • Rrjet privat- rrjet i ndertuar nga kompjuter te nje organizate mbi rrjeta telefonike tre marre me qira. • Jane te sigurta • Kane kosto te larte – problemi kryesor!

  33. Zyra 1 Zyra 2 Rrjet privat me linja me qira Linja me qira Zyra 3

  34. VPN Zyra 1 FIREWALL Zyra 2 INTERNET Zyra 3

  35. VPN • Lejojnembivendosjen e rrjetavembirrejtapublikepashkelursigurine e rrjetave private • Quhen virtuale sepsenukjanerrjeta te vertete. • Arkitektura e VPN mbi Internet: • Cdozyrekanje firewall • Krijohetnjetunel • PerdoretnjeIPsec per tunneling • Perdoretautentifikimi me shifrim • Eshtekrijuarnjesistemautonom • Garantohetintegritet , sekret

  36. vazhdim • Cdokopje firewall negocion per njestartup te parametrave te AS • Sherbimet • Modalitetet • Celesat • Protokollet Vpnfillojnedhembarojne me firewall Sigurohetndarja e rrjetitprivatngarrjeti internet Njepakete e rrjetitvpndallonngapaketat e tjerangaheaderIPsecmbi IP, RouteratinjorojneIpsec Jane transparente , njihenvetemngaadministratori i rrjetitqekonfigurondhemenaxhonVPN-te

  37. fund

More Related