Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Firewall-realizacija na MicroTIK routeru

1,007 views

Published on

Published in: Education, Technology
 • Be the first to comment

 • Be the first to like this

Firewall-realizacija na MicroTIK routeru

 1. 2. MikroTikRouterOSFirewall IP/Firewall/L7 Firewall NAT Firewall Filters Firewall Address List Firewall Mangle
 2. 3. Firewall je bezbjednosni hardverski ili softverski uređaj, najčešće smješten između lokalne mreže i javne mreže (Interneta), čija je namjena da štiti podatke u mreži od neautorizovanih korisnika (blokiranjem i zabranom pristupa po pravilima koje definiše usvojena bezbjednosna politika). Vatrozid (Windows Firewall) čini vaše računalo sigurnijim ograničavajući promet koji dolazi na vaše računalo s drugih računala. Daje vam uvid u podatke na vašem računalu i pruža svojevrsnu liniju obrane od drugih korisnika i/ili programa koji se žele spojiti na vaše računalo bez vašeg dopuštenja. Vatrozid možete shvatiti kao vrstu polupropusne barijere koja zaustavlja promet informacija prema vašem računalu te prema definiranim parametrima određuje što će propustiti, a što blokirati.
 3. 4. Na kojem principu radi vatrozid (firewall)? Postupak u kojem se netko na internetu ili mreži pokušava spojiti na vaše računalo se naziva „netraženi zahtjev“ (unsolicited request). Svaki put kada vaše računalo zaprimi netraženi zahtjev, vatrozid (firewall) blokira spajanje. Međutim, ako koristite program kao što je klijent za komunikaciju u realnom vremenu gdje je potrebno primati informacije s Interneta ili mreže, vatrozid (firewall) će vas pitati treba li blokirati ili dopustiti spajanje. Ako odaberete opciju dopuštanja, vatrozid (firewall) će ulazne informacije te vrste promatrati kao tzv. iznimke, odnosno „iznimni promet“. Jednom definirana iznimka ostaje vrijediti sve do ju izričito ne promijenite. Drugim riječima, kada jednom dopustite ulaz informacija putem klijenta za komunikaciju u realnom vremenu, vatrozid (firewall) će zapamtiti tu postavku i neće vas svaki put pitati isto pitanje.
 4. 5. Firewall implementira filtriranje paketa i time osigurava funkcije sigurnosti koje se također koriste za upravljanje podatkovnim tokovima od rutera i kroz ruter. Zajedno sa Network Address Translation, koristi se i za prevenciju neautorizovanog pristupa susjednim mrežama, kao i pristupa samom ruteru, kao filteru odlaznog saobraćaja. RouterOS obezbjeđuje inteligentni firewall, što znači da vrši inteligentu ‘inspekciju’ paketa i vodi evidenciju o stanju mrežnih konekcija koje ‘prolaze’ kroz njega. Također podržava izvorni i odredišni NAT (Source and Destination Network Access Translation), NAT pomagače za popularne aplikacije i UPnP. Firewall obezbjeđuje funkcije za korištenje internih konekcija, rutiranje i označavanje paketa. Može vršiti filtriranje prema IP adresi, rangu adrese, portu, rangu porta, IP protokolu, DSCP-u i drugim parametrima, također podržava statičke i dinamičke adresne liste i može označavati pakete prema uzorku iz njihovog sadržaja., koji je specificiran u regularnim izrazima, koji predstavljaju označavanje na nivou 7. RouterOS firewall-a također podržava IPv6. MikroTic RouterOS Firewall je postavljen između mreže kompanije i javne mreže, efektvno štiteći vaše računare od zlonamjernih hakerskih aktivnosti, i kontrolišući podatkovne tokove koji dolaze na ruter, tokove unutar rutera i one koji napuštaju ruter. MikroTik RouterOS firewall omogućava filtriranje i funkcije sigurnosti. MikroTik RouterOS Firewall
 5. 6. Aplikacije: Zaštita rutera od neovlaštenog pristupa Moguće je nadgledati konekcije prema adresi, koje su usmjerene prema samom ruteru i dozvoliti pristup samo određenim hostovima na određene TCP portove rutera. Firewall kontroliše sve informacije koje dolaze sa interneta i upozorava i blokira pokušaje ometanja prema određenim pravilima koja su podešena od strane korisnika. Zaštita korisnikovog hosta Moguće je nadgledati konekcije prema adresi, koje su usmjerene prema korisnikovoj mreži, i dozvoliti pristup samo određenim hostovim i servisima. Također se može omogućiti korisnicima efektivnu i proaktivnu odbranu od zlonamjernih napada. Korištenje maskiranja za skrivanje privatne mreže iza jedne eksterne adrese . Sve konekcije sa privatnih adresa mogu biti maskirane, tako da izgledaju kao da dolaze sa jedne eksterne adrese. Firewall će se ponašati kao gateway za cijelu vašu mrežu da omogući poslovnim mrežama da dijele jednu, sigurnu konekciju prema internetu. Provedba Internet Usage Policy iz korisnikove mreže Firewall omogućava da kontrolu konekcije sa korisnikove mreže i obezbjeđuje detaljne statistike saobraćaja za sve linkove. Prioritetiziranje saobraćaja Moguće je označavati pakete prema prioritetu da bi se osigurala najbrža konekcija za najvažnije pakete. Ovim se garantuje da sve grupe uvijek dobiju odgovarajući propusni opseg i osigurava se kontrolisani protok mrežnog saobraćaja, čime se spriječava “izgladnjivanje” tokova. Osiguravanje redova čekanja za odlazne pakete Ovim se postiže limitiranje brzine konekcije za određen grupe paketa. Hijerarhija klasa omogućava izgradnju fleksibilne i veoma logične reprezentacije korisnikovog saobraćaja.
 6. 7. IP/Firewall/L7
 7. 9. IP Firewall Dijagram
 8. 10. Firewall NAT <ul><li>Firewall NAT pravila su organizirana također, u lancima. Postoje dva zadana lanca: </li></ul><ul><li>dstnat – procesirani promet poslan prema ruteru i kroz ruter, prije nego što ga dijeli na &quot;ulaz&quot; i &quot;prema naprijed&quot; lanac firewall filtera. </li></ul><ul><li>srcnat – procesirani promet poslan iz usmjerivača i kroz usmjerivač, nakon što ga spaja sa &quot;izlaz&quot; i &quot;prema naprijed&quot; lanac firewall filtera. </li></ul>• NAT se koristi da osigura IP adresu kao i za translaciju do destionacijskih IP adresa. Prvi paket toka prolazi NAT pravilo, drugi paketi tog toka automatski su NAT-ovani s istim djelovanjem (akcijom) kao i prvi. • NAT je jedan od alata koji omogućuju korisniku da kontrolira tok podataka prema, od i kroz njegov računar na način na koji on to želi.
 9. 11. <ul><li>Poznate su sljedeće NAT akcije: • Accept - paket je prihvaćen i prošao je kroz NAT bez poduzimanja bilo kakve akcije • Jump - skok na lanac utvrđene vrijednosti jump-target argumenta • Return - povratak na prethodni lanac, gdje se skok dogodio • Log - loguje pakete koji se podudaraju • Passthrough - zanemaruje ovo pravilo i otići na sljedeće </li></ul><ul><li>Add-dst-address-list -dodaje odredišnu adresu paketa u navedenu adresnu listu (popis) </li></ul><ul><li>Add-src-address-list - dodaje izvorišnu adresu paketa u navedenu adresnu listu (popis) </li></ul>• Add-dst-address-list -dodaje odredišnu adresu paketa u navedenu adresnu listu (popis) • Add-src-address-list - dodaje izvorišnu adresu paketa u navedenu adresnu listu (popis) • Add-dst-address-list -dodaje odredišnu adresu paketa u navedenu adresnu listu (popis) • Add-src-address-list - dodaje izvorišnu adresu paketa u navedenu adresnu listu (popis) • Add-dst-address-list -dodaje odredišnu adresu paketa u navedenu adresnu listu (popis) • Add-src-address-list - dodaje izvorišnu adresu paketa u navedenu adresnu listu (popis) • Add-dst-address-list -dodaje odredišnu adresu paketa u navedenu adresnu listu (popis) • Add-src-address-list - dodaje izvorišnu adresu paketa u navedenu adresnu listu (popis)
 10. 13. Firewall Filters <ul><li>Alat za filtriranje paketa koji pruža sigurnosne funkcije. </li></ul><ul><li>Sastoje se od niza IF-THEN pravila </li></ul><ul><li>Paketi se procesiraju kroz odr. pravila </li></ul><ul><li>Pravila su organizirana u lance: </li></ul><ul><ul><ul><li>Zadani lanci (ulaz, izlaz naprijed) </li></ul></ul></ul><ul><ul><ul><li>Korisnički definirani lanci (zbog brzine) </li></ul></ul></ul><ul><li>Akcije: accept, drop, jump, reject, return,passthrough... </li></ul><ul><li>Ako paket ne ispuni sva If-then pravila šalje se na sljedeće pravilo. </li></ul><ul><li>Ako paket zadovolji sva pravila navedene aktivnosti će biti izvedene na njemu. </li></ul>
 11. 18. Spriječavanje kompletnog saobraćaja određene grupe
 12. 20. Firewall Address List
 13. 21. Firewall Mangle <ul><li>Firewall mangle omogućava markiranje IP paketa posebnim oznakama u svrhu budućeg procesiranja. </li></ul><ul><li>Mangle funkcionalnost se koristi da bi se modificirala neka polja u IP zaglavlju (ToS,TTL) </li></ul><ul><li>Paketi se zatim procesiraju na osnovu datih pravila i ako je zadovoljeno pravilo, izvodi se odgovarajuća akcija nad odr. paketom, a ako nije, paket “skače” do sljedećeg pravila </li></ul>
 14. 22. <ul><li>Najprije se napravi parametar, kao što je src. Ili dst. adresa i postavi se oznaka na taj paket. </li></ul><ul><li>Vrste oznaka: </li></ul><ul><ul><ul><li>Označavanje toka </li></ul></ul></ul><ul><ul><ul><li>Označavanje konekcije </li></ul></ul></ul><ul><ul><ul><li>Označavanje rutiranja </li></ul></ul></ul>
 15. 23. <ul><li>ACCEPT – paket je prihvaćen i nad njim se ne poduzim nikakva akcija </li></ul><ul><li>JUMP – skok do lanca koji je određen vrijednošću argumenta mete skoka </li></ul><ul><li>RETURN – vrati se na prethodni lanac sa kojeg je izvršen prethodni skok </li></ul><ul><li>LOG – propusti pakete koji se podudaraju </li></ul><ul><li>PASTHROUGH – ignoriši ovo pravilo i idi na sljedeće </li></ul><ul><li>ADD-DST-TO-ADDRESS-LIST </li></ul><ul><li>ADD-SRC-TO-ADDRESS-LIST </li></ul>
 16. 24. ZAKLJUČAK <ul><li>Firewall podržava filtriranje, označavanje paketa i sigurnosne funkcije koje se koriste za upravljanje tokovima podataka prema ruteru, kroz i od rutera. </li></ul><ul><li>Firewall Network Address Translation koristi se kao sigurnosni alata za sprečavanje neovlaštenog pristupa mrežama. </li></ul><ul><li>Mrežni firewall onemogućuje prijetnje osjetljivim podacima unutar mreže, upade koji mogu rezultirati krađom i distribucijom privatnih podataka, mjenjanjem ili uništavanjem vrijednih podataka, ili brisanjem cijelog hard diska. </li></ul><ul><li>Firewall se koristi kao sredstvo za sprečavanje ili minimiziranje sigurnosnih rizika svojstvenih povezivanju s drugim mrežama. </li></ul><ul><li>MikroTik RouterOS provodi velik broj firewalling opcija, kao i mogućnosti maskiranja, koji omogućuje skrivanje određene mrežne infrastrukture od vanjskog svijeta. </li></ul>
 17. 25. ZAKLJUČAK <ul><li>MikroTik RouterOS Firewallom je vrlo lako upravljati! </li></ul><ul><li>Sistemska arhitektura mogućuje jednostavnu konfiguraciju Network Address Translation (NAT-a), transparentnih proxija i preusmjeravanja. </li></ul><ul><li>Pravila Firewall filtriranja su grupisana zajedno u lanaca. To omogućava sistemu puno lakše upravljanje, koristeći manji broj pravila za kreiranje mnogo preciznijeg firewalling-a. </li></ul>

×