Alapadatok
Év, oldalszám:2002, 4 oldal
Nyelv:magyar
Letöltések száma:819
Feltöltve:2004. június 19.
Méret:112 KB
Intézmény:
-
Megjegyzés:
Csatolmány:-
Letöltés PDF-ben:Kérlek jelentkezz be!
Értékelések
 |
sony88 | 2011. augusztus 29. |
|---|---|---|
Tökéletes 
Szakdolgozathoz felhasználható  |
||
Tartalmi kivonat
A tűzfalak jelentősége Miért van szükségünk tűzfalra ? Ma már nem igazán kérdés hogy szükség van rá, ezért ennek használatát mindenki számára egyértelművé és elfogadhatóvá lehet tenni. A tűzfalak az első lépcsős frontvonalban lévő védelmi funkciót látják el. Az első pofonokat ők kapják, és nekik kell állni a sarat Az esetek nagy többségében (70%) ez igaz is, de tudnunk kell, hogy ez csak a minimum megoldás, nem az elégséges védelem. Amikor kilépünk a világhálóra, egyetlen egy cím megnyitásával több 10.000 portot teszünk láthatóvá. Mi a teendő? Be kell zárni az összes olyan bejáratot, amire nincs szükségünk, és csak azokat az ajtókat kell kinyitni, amire a munkához szükségünk van. A megnyitott kapukhoz pedig biztonsági őröket kell állítanunk. Ez a tűzfal Ha ezzel megvagyunk, vagyis minden ablakra rácsot tettünk, a nem használt ajtókat bezártuk és a lehetséges bejárathoz biztonsági őrt
állítottunk, akkor az elsődleges védelmet megoldottuk. Ez már tulajdonképpen elég is lehetne,ha tudjuk azonosítani, hogy ki lép be a rendszerünkbe. De hogy a rendszeren belül mit csinál, tényleg az-e aminek látszik, azt csak akkor fogjuk tudni, ha folyamatosan , és nyomon követjük a bejövő adatokat. Ezt a funkciót látják el a behatolás védelmi rendszerek. Mi az a tűzfal ? Nézzük meg közelebbről mi is a tűzfal. Mint már a bevezetőben említettem sokan misztikus ködösítéssel próbálják ezt az eszközt egy fekete dobozba zárt világhoz hasonlítani. Pedig ez is csak egy számítógép speciálisan erre a célra kifejlesztett program. A recept nagyon egyszerű Vegyél egy számítógépet. Rakjál bele hálózati kártyákat és telepítsd rá a tűzfal programot Nyilvánvaló hogy a számítógép kiválasztásánál figyelembe kell venni a kiválasztott tűzfal program erőforrás igényét, és a támogatott eszközöket. Ha nagyon gyors műveleti
sebességű processzort és sok memóriát igényel, akkor az mindenképpen gyanús. Az én értelmezésem szerint azt jelenti, hogy sebezhető, a közismert Hacker technológiával túlterhelhető, és azért van nagyon gyors számítógépre szükség, mert el lehet árasztani olyan mennyiségű információval, amit már nem tud feldolgozni. A következő lépcsőben a hálózati kártyákat válasszuk ki A támogatási skála ugyan széles, de néhányat a sebessége miatt a gyártó nem ajánl. A felhasznált hálózati kártyák száma attól függ, milyen rendszert akarunk védeni, kialakítani. Külső-belső védelem (Internet/Intranet) 2 db, Internet szerver elérés 3 db, Intranet szétválasztás esetén pedig 3 darabnál több hálózati kártyára van szükségünk. Sok esetben nem említik meg azt a tényt, hogy a tűzfalak nem csak a külső hálózattól való leválasztásra alkalmasak, hanem a belső szervezeti egységek (Intranet – pl.: pénzügy, jogi osztály
stb) biztonságos védelmére is használhatók Ha később ilyen célra is szeretnénk használni a tűzfalat, akkor vegyük figyelembe a bővíthetőséget. Ha a hardver –a vas – megvan, akkor már csak a szoftvert kell kiválasztani és feltelepíteni. Az igazi tűzfalak nagy többségben Unix, FreeBSD, Linux alapúak. Ezekből a stabil, megbízható több felhasználós operációs rendszerből kidobják a felesleges részeket, és csak a működéshez szükséges minimumot, tartják meg. Erre a magra fejlesztenek ki egy speciális tűzfal szoftvert, aminek csak az a funkciója, hogy a hálózati kártyák (hálózatok) közötti forgalmat, szűrést, védelmet ellássa. Leegyszerűsítve ez egy speciális operációs rendszer Ez az oka annak, hogy a tűzfalak más célra nem használhatók. Sok esetben nem a gép a speciális, hanem maga a program External Network - Külső hálózat Külső hálózatnak nevezzük a nem védett hálózatot. Ennek a hálózatnak nincs
címfordítása Ilyen tipikus külső hálózat az Internet. Természetesen a legtöbb tűzfal a belső hálózat intranetes tűzfalaként is alkalmazható. Ha az Internethez kapcsoljuk, akkor a külső hálózati címnek regisztráltnak kell lennie. A tűzfalak nem nyújtanak védelmet a külső hálózaton elhelyezett számítógépek számára. Protected Network - Védett hálózat Védett hálózatnak nevezzük azt a hálózati szegmenst, amely a tűzfal mögé van elrejtve. Természetesen ez a hálózat is minden esetben hozzá van kapcsolva a tűzfal rendszeréhez. Az összes tulajdonság, amit a védett hálózathoz rendelünk hozzá, természetesen érvényes az összes hálózatra, amely ehhez a védett hálózathoz kapcsolódik. Minden egyes számítógép legyen, az munkaállomás vagy szerver, és a hozzájuk tartozó IP címek el vannak rejtve a külső és a Magán Szolgáltatói Hálózat számára. Alapértelmezésben a rendszer úgy van beállítva, hogy a védett
hálózat szerverei nem érhetőek el a külső és a Magán Szolgáltatói szféra számára. Ha azt akarjuk, hogy a védett hálózat szerverei és annak szolgáltatásai elérhetőek legyenek, akkor azt a csatorna (Tunnel) opció beállítással érhetjük el. Private Service Network - Magán Szolgáltatói Hálózat PSN=DMZ Magán Szolgáltatói Hálózatot (gyakran demilitarizált zónának is nevezett) egy opcionális a szolgáltatás, amelyet logikailag a külső és a védett hálózat közé helyezünk el. Ez egy elméleti elhelyezés, valójában logikailag közelebb áll a védett hálózathoz, és annak minden számítógépe számára elérhető. Visszafelé ez már nem igaz, mert alapértelmezésben a védett hálózat nem érhető el a Magán Szolgáltatói Hálózatról. Alapbeállításként a Magán Szolgáltatói Hálózat szerverei nem elérhetőek a külső hálózatról, de a védett hálózatról igen. Ennek megfelelően ha a Magán Szolgáltatói Hálózat
szervereinek szolgáltatásait – WEB szerver, FTP szerver, Levelező szerver, stb. - elérhetővé akarjuk tenni a külső hálózat számára, akkor a csatorna szolgáltatást kell használnunk. Amennyiben a védett hálózatot szeretnénk távolról karbantartani, konfigurálni akkor célszerű a magán szolgáltatói hálózat csatorna kiosztásán keresztül ezt megoldani. Ahhoz, hogy a magán szolgáltatói szegmenst létre tudjunk hozni, a tűzfalnak szüksége van egy harmadik hálózati kártyára, amelyet erre a célra konfigurálunk le. Mivel a magán szolgáltatói zóna rejtett ezért nem szükséges regisztrált IP cím használata (lehet nem regisztrált belső cím). Network Interface - Hálózati kártya A tűzfal által támogatott hálózati kártyák közül bármelyiket használhatjuk sebességtől és topológiától függetlenül. A tűzfalak természetesen nem csak homogén hálózati kártyákkal képesek működni, hanem egyidejűleg különböző
kártyák is lehetnek a rendszerben. Ebben az esetben a rendszer áthidaló funkciót használ a különböző típusú kártyák között. Külső hálózati kártyának nevezzük azt a hálózati kártyát, amely a külső hálózathoz van kapcsolva. A külső hálózati kártyának regisztrált IP címének kell lennie. A tűzfal egyetlen regisztrált IP címmel képes működni. A külső hálózati kártyához virtuálisan 100 IP címet rendelhetünk hozzá az IP címfedés (IP Aliasing) funkcióval. Protected Network Interface - Védett hálózati kártya Védett hálózati kártya a védett hálózathoz kapcsolódik. A védett hálózati kártyának nem szükséges regisztrált IP címet adni (RFC 1918 – szabványú címek használata javasolt). Természetesen itt is alkalmazhatjuk az IP címfedés funkciót. Private Service Network Interface - Magán Hálózati Interfész A Magán Szolgáltatói Hálózati kártya opcionális, ami azt jelenti, hogy nélküle is képes a
tűzfal működni. Ha a rendszer használata során tervezi a publikus információk megjelenítését, mint például Internet szerver, akkor mindenképpen javasolt a harmadik hálózati kártya behelyezése erre a célra. Sok konfigurációs esetben nincs szükségünk a Magán Szolgáltatói Hálózati kártyára Ilyen eset például Intranetes leválasztás vagy csak Internet elérés (kimenő forgalom). A magán szolgáltatói hálózati kártyának a működéshez nincs szüksége regisztrált IP cím használatára (RFC 1918 – szabványú címek használata javasolt). Itt is alkalmazhatjuk az IP címfedés funkciót. Tunnels - Csatornák A tűzfal csatorna funkciója azt a célt szolgálja, hogy a külső hálózat számítógépe inicializálni tudjon TCP vagy UDP protokollt és ezzel elérjen a különben rejtett, láthatatlan szerverek szolgáltatásait. Ez az IP cím és a hozzá tartozó port (szolgáltatás – az inicializáló számítógép csatornájához)
leképzésével történik. Közismert csatornák: SMTP (email-levelezés), FTP, WWW, SQL net és Telnet. Az egyes csatornákat a magán szolgáltatói és védett hálózatok szervereihez rendelhetjük hozzá. NAT - Címfordítás A hálózati címfordítás a tűzfal rendszer egyik alapvető elsődleges funkciója. A tűzfal hálózati címfordítás funkciója állandóan aktív és két formában lehetséges: dinamikus és statikus címfordításként. Az alapértelmezett címfordítás a dinamikus több egyre séma, ami azt jelenti hogy a védett és a Magán Szolgáltatói Hálózat összes számítógépének IP címe egy IP címre kerül átfordításra. Ez az egy IP cím pedig a külső hálózati kártya elsődleges IP címe Másik címfordítási lehetőség a statikus címfordítási módszer, amit a tűzfalban címleképzésnek (Mapping) nevezünk. A címleképzési módszer lehetőséget ad a tűzfal "rendszergazdájának" arra, hogy egy hálózati címet
vagy tartományt statikus módon rendeljen hozzá a rendszer külső hálózati címéhez (vagy fedett címéhez). IP Aliasing - IP címfedés Az IP címfedés olyan lehetősége a tűzfalnak, hogy egy hálózati kártyához több IP címet rendelhetünk hozzá. Több IP cím hozzárendelés lehetséges bármely hálózati kártyához legyen az védett, magán szolgáltatói vagy külső hálózati kártya. Ez a funkció különösen akkor hasznos, amikor a külső hálózati kártyához több IP címet rendelünk hozzá, és a magán szolgáltató vagy a védett hálózat ugyan azt a szolgáltatást (portot) igényli a csatorna létrehozásához (például több WEB szerver). A rendszer hálózati kártyánként 100 IP címet tud lekezelni A külső hálózati kártyán természetesen mindig regisztrált címnek kell lennie, ha Internethez kapcsolódik. A megadott virtuális IP címnek nem kell azonos tartományban lennie. Ez akkor hasznos, amikor a tűzfal a különböző
hálózatok között útválasztóként működik a logikai hálózati csomagok forgalmazásában. Mapping - Leképzés A hálózati címleképzés akkor hasznos funkciója a tűzfalnak, amikor statikusan egy IP címet vagy tartományt hozzá akarunk rendelni a külső hálózati kártya címéhez. Ebben az esetben természetesen működik a hálózati címfordítás funkció. Tipikus eset, amikor a külső hálózat célszámítógéphez akarunk hozzárendelni IP címet. Ez a címleképzés addig nem használható, amíg a külső hálózati kártyához címfedéssel nem rendeltünk hozzá további IP címeket, mivel addig alapértelmezésben a védett hálózat összes IP címe dinamikusan kerül címfordításra a valós külső hálózati kártyához hozzárendelt címre. A rendszerben összesen 100 címleképzést alkalmazhatunk. Készítette: Hriczkó Dániel 2002.1125
állítottunk, akkor az elsődleges védelmet megoldottuk. Ez már tulajdonképpen elég is lehetne,ha tudjuk azonosítani, hogy ki lép be a rendszerünkbe. De hogy a rendszeren belül mit csinál, tényleg az-e aminek látszik, azt csak akkor fogjuk tudni, ha folyamatosan , és nyomon követjük a bejövő adatokat. Ezt a funkciót látják el a behatolás védelmi rendszerek. Mi az a tűzfal ? Nézzük meg közelebbről mi is a tűzfal. Mint már a bevezetőben említettem sokan misztikus ködösítéssel próbálják ezt az eszközt egy fekete dobozba zárt világhoz hasonlítani. Pedig ez is csak egy számítógép speciálisan erre a célra kifejlesztett program. A recept nagyon egyszerű Vegyél egy számítógépet. Rakjál bele hálózati kártyákat és telepítsd rá a tűzfal programot Nyilvánvaló hogy a számítógép kiválasztásánál figyelembe kell venni a kiválasztott tűzfal program erőforrás igényét, és a támogatott eszközöket. Ha nagyon gyors műveleti
sebességű processzort és sok memóriát igényel, akkor az mindenképpen gyanús. Az én értelmezésem szerint azt jelenti, hogy sebezhető, a közismert Hacker technológiával túlterhelhető, és azért van nagyon gyors számítógépre szükség, mert el lehet árasztani olyan mennyiségű információval, amit már nem tud feldolgozni. A következő lépcsőben a hálózati kártyákat válasszuk ki A támogatási skála ugyan széles, de néhányat a sebessége miatt a gyártó nem ajánl. A felhasznált hálózati kártyák száma attól függ, milyen rendszert akarunk védeni, kialakítani. Külső-belső védelem (Internet/Intranet) 2 db, Internet szerver elérés 3 db, Intranet szétválasztás esetén pedig 3 darabnál több hálózati kártyára van szükségünk. Sok esetben nem említik meg azt a tényt, hogy a tűzfalak nem csak a külső hálózattól való leválasztásra alkalmasak, hanem a belső szervezeti egységek (Intranet – pl.: pénzügy, jogi osztály
stb) biztonságos védelmére is használhatók Ha később ilyen célra is szeretnénk használni a tűzfalat, akkor vegyük figyelembe a bővíthetőséget. Ha a hardver –a vas – megvan, akkor már csak a szoftvert kell kiválasztani és feltelepíteni. Az igazi tűzfalak nagy többségben Unix, FreeBSD, Linux alapúak. Ezekből a stabil, megbízható több felhasználós operációs rendszerből kidobják a felesleges részeket, és csak a működéshez szükséges minimumot, tartják meg. Erre a magra fejlesztenek ki egy speciális tűzfal szoftvert, aminek csak az a funkciója, hogy a hálózati kártyák (hálózatok) közötti forgalmat, szűrést, védelmet ellássa. Leegyszerűsítve ez egy speciális operációs rendszer Ez az oka annak, hogy a tűzfalak más célra nem használhatók. Sok esetben nem a gép a speciális, hanem maga a program External Network - Külső hálózat Külső hálózatnak nevezzük a nem védett hálózatot. Ennek a hálózatnak nincs
címfordítása Ilyen tipikus külső hálózat az Internet. Természetesen a legtöbb tűzfal a belső hálózat intranetes tűzfalaként is alkalmazható. Ha az Internethez kapcsoljuk, akkor a külső hálózati címnek regisztráltnak kell lennie. A tűzfalak nem nyújtanak védelmet a külső hálózaton elhelyezett számítógépek számára. Protected Network - Védett hálózat Védett hálózatnak nevezzük azt a hálózati szegmenst, amely a tűzfal mögé van elrejtve. Természetesen ez a hálózat is minden esetben hozzá van kapcsolva a tűzfal rendszeréhez. Az összes tulajdonság, amit a védett hálózathoz rendelünk hozzá, természetesen érvényes az összes hálózatra, amely ehhez a védett hálózathoz kapcsolódik. Minden egyes számítógép legyen, az munkaállomás vagy szerver, és a hozzájuk tartozó IP címek el vannak rejtve a külső és a Magán Szolgáltatói Hálózat számára. Alapértelmezésben a rendszer úgy van beállítva, hogy a védett
hálózat szerverei nem érhetőek el a külső és a Magán Szolgáltatói szféra számára. Ha azt akarjuk, hogy a védett hálózat szerverei és annak szolgáltatásai elérhetőek legyenek, akkor azt a csatorna (Tunnel) opció beállítással érhetjük el. Private Service Network - Magán Szolgáltatói Hálózat PSN=DMZ Magán Szolgáltatói Hálózatot (gyakran demilitarizált zónának is nevezett) egy opcionális a szolgáltatás, amelyet logikailag a külső és a védett hálózat közé helyezünk el. Ez egy elméleti elhelyezés, valójában logikailag közelebb áll a védett hálózathoz, és annak minden számítógépe számára elérhető. Visszafelé ez már nem igaz, mert alapértelmezésben a védett hálózat nem érhető el a Magán Szolgáltatói Hálózatról. Alapbeállításként a Magán Szolgáltatói Hálózat szerverei nem elérhetőek a külső hálózatról, de a védett hálózatról igen. Ennek megfelelően ha a Magán Szolgáltatói Hálózat
szervereinek szolgáltatásait – WEB szerver, FTP szerver, Levelező szerver, stb. - elérhetővé akarjuk tenni a külső hálózat számára, akkor a csatorna szolgáltatást kell használnunk. Amennyiben a védett hálózatot szeretnénk távolról karbantartani, konfigurálni akkor célszerű a magán szolgáltatói hálózat csatorna kiosztásán keresztül ezt megoldani. Ahhoz, hogy a magán szolgáltatói szegmenst létre tudjunk hozni, a tűzfalnak szüksége van egy harmadik hálózati kártyára, amelyet erre a célra konfigurálunk le. Mivel a magán szolgáltatói zóna rejtett ezért nem szükséges regisztrált IP cím használata (lehet nem regisztrált belső cím). Network Interface - Hálózati kártya A tűzfal által támogatott hálózati kártyák közül bármelyiket használhatjuk sebességtől és topológiától függetlenül. A tűzfalak természetesen nem csak homogén hálózati kártyákkal képesek működni, hanem egyidejűleg különböző
kártyák is lehetnek a rendszerben. Ebben az esetben a rendszer áthidaló funkciót használ a különböző típusú kártyák között. Külső hálózati kártyának nevezzük azt a hálózati kártyát, amely a külső hálózathoz van kapcsolva. A külső hálózati kártyának regisztrált IP címének kell lennie. A tűzfal egyetlen regisztrált IP címmel képes működni. A külső hálózati kártyához virtuálisan 100 IP címet rendelhetünk hozzá az IP címfedés (IP Aliasing) funkcióval. Protected Network Interface - Védett hálózati kártya Védett hálózati kártya a védett hálózathoz kapcsolódik. A védett hálózati kártyának nem szükséges regisztrált IP címet adni (RFC 1918 – szabványú címek használata javasolt). Természetesen itt is alkalmazhatjuk az IP címfedés funkciót. Private Service Network Interface - Magán Hálózati Interfész A Magán Szolgáltatói Hálózati kártya opcionális, ami azt jelenti, hogy nélküle is képes a
tűzfal működni. Ha a rendszer használata során tervezi a publikus információk megjelenítését, mint például Internet szerver, akkor mindenképpen javasolt a harmadik hálózati kártya behelyezése erre a célra. Sok konfigurációs esetben nincs szükségünk a Magán Szolgáltatói Hálózati kártyára Ilyen eset például Intranetes leválasztás vagy csak Internet elérés (kimenő forgalom). A magán szolgáltatói hálózati kártyának a működéshez nincs szüksége regisztrált IP cím használatára (RFC 1918 – szabványú címek használata javasolt). Itt is alkalmazhatjuk az IP címfedés funkciót. Tunnels - Csatornák A tűzfal csatorna funkciója azt a célt szolgálja, hogy a külső hálózat számítógépe inicializálni tudjon TCP vagy UDP protokollt és ezzel elérjen a különben rejtett, láthatatlan szerverek szolgáltatásait. Ez az IP cím és a hozzá tartozó port (szolgáltatás – az inicializáló számítógép csatornájához)
leképzésével történik. Közismert csatornák: SMTP (email-levelezés), FTP, WWW, SQL net és Telnet. Az egyes csatornákat a magán szolgáltatói és védett hálózatok szervereihez rendelhetjük hozzá. NAT - Címfordítás A hálózati címfordítás a tűzfal rendszer egyik alapvető elsődleges funkciója. A tűzfal hálózati címfordítás funkciója állandóan aktív és két formában lehetséges: dinamikus és statikus címfordításként. Az alapértelmezett címfordítás a dinamikus több egyre séma, ami azt jelenti hogy a védett és a Magán Szolgáltatói Hálózat összes számítógépének IP címe egy IP címre kerül átfordításra. Ez az egy IP cím pedig a külső hálózati kártya elsődleges IP címe Másik címfordítási lehetőség a statikus címfordítási módszer, amit a tűzfalban címleképzésnek (Mapping) nevezünk. A címleképzési módszer lehetőséget ad a tűzfal "rendszergazdájának" arra, hogy egy hálózati címet
vagy tartományt statikus módon rendeljen hozzá a rendszer külső hálózati címéhez (vagy fedett címéhez). IP Aliasing - IP címfedés Az IP címfedés olyan lehetősége a tűzfalnak, hogy egy hálózati kártyához több IP címet rendelhetünk hozzá. Több IP cím hozzárendelés lehetséges bármely hálózati kártyához legyen az védett, magán szolgáltatói vagy külső hálózati kártya. Ez a funkció különösen akkor hasznos, amikor a külső hálózati kártyához több IP címet rendelünk hozzá, és a magán szolgáltató vagy a védett hálózat ugyan azt a szolgáltatást (portot) igényli a csatorna létrehozásához (például több WEB szerver). A rendszer hálózati kártyánként 100 IP címet tud lekezelni A külső hálózati kártyán természetesen mindig regisztrált címnek kell lennie, ha Internethez kapcsolódik. A megadott virtuális IP címnek nem kell azonos tartományban lennie. Ez akkor hasznos, amikor a tűzfal a különböző
hálózatok között útválasztóként működik a logikai hálózati csomagok forgalmazásában. Mapping - Leképzés A hálózati címleképzés akkor hasznos funkciója a tűzfalnak, amikor statikusan egy IP címet vagy tartományt hozzá akarunk rendelni a külső hálózati kártya címéhez. Ebben az esetben természetesen működik a hálózati címfordítás funkció. Tipikus eset, amikor a külső hálózat célszámítógéphez akarunk hozzárendelni IP címet. Ez a címleképzés addig nem használható, amíg a külső hálózati kártyához címfedéssel nem rendeltünk hozzá további IP címeket, mivel addig alapértelmezésben a védett hálózat összes IP címe dinamikusan kerül címfordításra a valós külső hálózati kártyához hozzárendelt címre. A rendszerben összesen 100 címleképzést alkalmazhatunk. Készítette: Hriczkó Dániel 2002.1125
Pesten született, 1827. május 7-én. Apja, Vajda Endre feltehetően Kulcsár István lapszerkesztő szolgálatában állt Pesten, itt vette feleségül Veleczky Lídia szobalányt, s itt született fiuk.Rövidesen a Fejér megyei Válra költöztek, ahol az apa az Ürményi-család birtokán főerdész volt. Így a költő gyermekkorát a mindig idillinek látott, községtől távoli
