Predgovor:
Dobrodosli u moj prvi post koji nas priprema za polaganje CCNA ispita. U narednim postovima detaljno cemo obradjivati svaku temu koju Cisco trazi da bi mogli uspjesno poloziti test i dobiti certifikat. U danasnjem tekstu pisem o osnovnim komponentama jedne enterprise mreze:
- Firewall
- Access point
- Wireless controller
Naravno, pisat cemo engleskim rjecnikom tako da necemo gubiti vrijeme prevodeci firewall u vatrozid, access point u pristupnu tacku i slicno. Podrazumijevam da svi znamo sta svaki od ovih pojmova znaci. Isto tako kada god naidjemo na engleski pojam koji se koristi u IT svijetu, npr Route Poisoning, necu ga prevoditi na nas jezik jer to ne bi imalo nikakvog smisla.
Firewall je dizajniran da spriječi neautorizovan pristup našoj mreži. On je network security uređaj koji prati ulazni i izlazni mrežni saobraćaj i odlučuje da li smije ili ne smije propustiti taj saobraćaj unutra ili vani na Internet. Firewall to radi na osnovu pravila koje mu mrežni administrator postavi. Ovi uređaji prave sigurnosnu barijeru između naše sigurne mreže i nesigurnog Interneta.Firewall može biti hardverski, softverski ili oboje.
Tipovi firewall-a:
Stateful Inspection Firewall - Kada kažemo da je nešto stateful, misli se da čuva ili pohranjuje informacije koje dolaze do njega. Unstateful firewall bi bio onaj koji kada do njega dodje paket sa Interneta, on bi ga samo pustio unutra ili blokirao, ali ne bi ostavio trag za administratora kako bi analizirao koji tip paketa je ušao u mrežu, kada, odakle, kroz koji port, koji protokol, i slično. Stateful Inspection Firewall prati sve aktivnosti od početka konekcije do njenog zatvaranja. Ovakvo filterovanje podataka se prije puštanja u promet provjeri od strane administratora, postave se određena pravila tako da firewall zna šta raditi kada baš taj tip paketa dođe do njega. Jako često se koristi u modernom vremenu dok je unstateful firewall postao prošlost.
ASA (Adaptive Security Appliances) - ASA je uređaj koji kombinuje firewall, antivirus, IPS (Intrusion Prevention System) i VPN (Virtual Private Network). Znači sve u jednom Cisco ASA Firewallu kojeg ćemo sretati u budućnosti. Sve ove opcije nude bezbjednost mreže i spriječavanje napada prije nego se proširi po infrastrukturi.
NGFW (Next Generation Firewall) - NGFW je firewall koji u sebi ima integrisane određene funkcionalnosti kao što su aplikacijski firewall (nešto slično kao što imamo na računarima tipa Avast, Avira itd) s tim što ovaj aplikacijski firewall ima duboku inspekciju paketa, prati i pohranjuje sve što dođe i prođe kroz mrežu. Također, NGFW posjeduje i IPS koji spriječava problem prije nego se proširi po infrastrukturi. Sa druge strane, imamo i IDS (Intrusion Detection System) koji detektuje virus, malware ili bilo što što ne smije doći u mrežu, ali, detektuje ga onda kada se on već nađe unutar topologije tako da se IDS izbjegava koristiti baš zbog tog razloga jer ne spriječava već detektuje.
NGIPS (Next Generation Intrusion Prevention System) - Napredni threat protection sistem koji omogućava brzo detektovanje, blokiranje, pohranjivanje ili logovanje i korekcija problema tj. intrudera.
Osobine firewall-a:
Firewalli se ponašaju slično kao ACLs (Access Lists) u kojima podešavamo promet koji smije ili ne smije ući ili izaći iz mreže. Na ovaj način pričamo o dosta sigurnijoj radnoj okolini firme. Firewall koristi sljedeća pravila kako bi pravio odluke šta uraditi sa nadolazećim paketom:
- upoređuje izvornu (source) i destinacijsku (destination) IP adresu
- upoređuje izvorni i destinacijski TCP ili UDP port
- prati aplikacijsko kretanje kroz mrežu (ukoliko pronađe nešto sumnjivo, blokirat će ostali saobraćaj koji dolazi sa te source IP adrese)
- loguje sve informacije i pravi odluke o filterovanju budućih paketa na osnovu prethnodnih podataka koje je sačuvao o toj IP adresi.
- razlikuje tipove saobraćaja i protokole koje koriste (ICMP ili TCP/IP)
Dobar primjer firewalla u akciji bi bio DoS napad koji koristi otvorene portove na serveru. Recimo da statefull firewall koristi logiku da svake minute u prosjeku primi 100 TCP konekcija. Odjednom, u mrežu počinju stizati hiljade i hiljade requesta na server (DoS napad) u što manjem roku, i dolazi do toga da server prima te requeste do te mjere da ne može više izdržati i dolazi do rušenja CPU i RAM memorije. Firewall može spriječiti ovakve napade tako što gleda prosjek TCP zahtjeva npr u minuti. Tako da sljedeći put ako se za minutu pojavi 10.000 requesta u minuti, on ih neće propuštati do servera jer zna da to nije normalna pojava.
Gdje se nalazi firewall:
Firewall se instalira na samom ulazu u mrežu. Sa slike ispod vidimo da se firewall mora instalirati odmah poslije rutera. Mnogi bi se pitali zašto ne bi postavili firewall prije rutera? Odgovor je jednostavan. Taj ruter je pre-konfigurisan od strane ISP-a, vašeg servis provajdera kome plaćate internet. Bez tog rutera, koji u sebi ima modem, ISP ne bi mogao znati gdje se taj ruter nalazi jer je prije njega postavljen firewall. Dakle, prvo saobraćaj sa Interneta mora doći do rutera, i onda kada prođe dalje, firewall će filtrirati taj saobraćaj i odlučiti da li može ili ne može ući u mrežu.
Firewall, na tom mjestu, ima potpunu kontrolu i može filtrirati svaki paket, propuštajući one koji su dozvoljeni, blokirajući one koji su potencijalno opasni.
Firewall zone:
Sigurnosne zone su još jedan pojam vezan za firewall. Uzmimo primjer jedne kompanije koja ima korisnike koji redovno izlaze na Internet i povezuju se sa serverima širom svijeta. Problem nastaje kada ta konekcija korisnika firme i Interneta može biti iskorištena za napad ili propust nekog od napadača unutar mreže. Recimo da se radnik naše kompanije spojio na server i želi da downloaduje PDF dokument koji mu je bitan kako bi pokazao svom šefu da zna da radi svoj posao. Ta konekcija njegovog računara i servera gdje se nalazi PDF dokument može biti fatalna jer, ukoliko server nije dovoljno siguran, može doći do third-party konekcije nekog od napadača i tog korisnika. Firewall ima sposobnost da odobri samo izlaz na Internet i zabrani ulaz sa Interneta u mrežu. Slika ispod detaljno objašnjava ovaj proces.
Firewall također može odvojiti mrežu na različite inside/outside zone. Na primjer, DMZ (Demilitarized zone) se može postaviti tako da su serveri javno dostupni korisnicima. DMZ saobraćaj bi bio odvojen od unutrašnje privatne mreže dok bi se severi mogli koristiti kao usluga korisnicima sa Interneta. DMZ je odlična stvar jer spriječava da korisnici iz vanjskog svijeta, prilikom pristupanja podataka sa servera, pokušaju napasti, iz unutrašnjosti mreže, ostale inside korisnike/računare.
According to best practices, what is the proper placement of a firewall?
A. Only between the internal network and the Internet
B. At key security boundaries
C. In the DMZ
D. Only between the DMZ and the Internet
B. Firewalls should always be placed at key security boundaries, which can be the Internet and your internal network. However, proper placement is not exclusive to the boundaries of the Internet and internal networks. For example, it could be placed between two internal networks, such as R&D and guest networks.
Which is a false statement about firewalls?
A. Firewalls can protect a network from external attacks.
B. Firewalls can protect a network from internal attacks.
C. Firewalls can provide stateful packet inspection.
D. Firewalls can control application traffic.
B. Firewalls cannot provide protection from internal attacks on internal resources. They are designed to protect networks from external attacks or attacks emanating from the outside or directed toward the Internet.
Which of the following options is not a consideration for the management of a firewall?
A. All physical access to the firewall should be tightly controlled.
B. All firewall policies should be documented.
C. Firewall logs should be regularly monitored.
D. Firewalls should allow traffic by default and deny traffic explicitly.
A. All physical access to a firewall should be controlled tightly so that it is not tampered with, which could allow external threats to enter the network. This control should include vendors and approved administrators. Physical access to the firewall is a security principal and therefore not a consideration for the management of a firewall.
What is the reason firewalls are considered stateful?
A. Firewalls keep track of the zone states.
B. Firewalls keep accounting on the state of packets.
C. Firewalls track the state of a TCP conversation.
D. Firewalls transition between defense states.
C. Firewalls keep track of the TCP conversation via the SYN-SYN/ACK-ACK threeway handshake. This is done so that a DoS attack such as a SYN flood can be mitigated.
You have an Adaptive Security Appliance (ASA) and two separate Internet connections via different providers. How could you apply the same policies to both connections?
A. Place both connections into the same zone.
B. Place each connection into an ISP zone.
C. Apply the same ACL to both of the interfaces.
D. Each connection must be managed separately.
A. ASA allow for zones to be created and the connections applied to the zones. This methodology allows for security rules to be applied uniformly to the outside zone.
Why should servers be placed in the DMZ?
A. So that Internet clients can access them
B. To allow access to the Internet and the internal network
C. To allow the server to access the Internet
D. To restrict the server to the Internet
B. Servers should be placed in the DMZ so they can access both the inside zone and outside zone. This will allow a server such as a web server to allow client access from the Web (outside). Rules could also be applied so that the server (for example, a database server) could allow access to data from within the internal network (inside).
Which type of device will detect but not prevent unauthorized access?
A. Firewall
B. IPS
C. IDS
D. Honey pots
C. An IDS, or intrusion detection system, will detect unauthorized access. However, it will not prevent unauthorized access. It is a form of audit control in a network.
When a firewall matches a URI, it is operating at which layer?
A. Layer 7
B. Layer 5
C. Layer 4
D. Layer 3
A. When a firewall matches a Uniform Resource Identifier (URI), such as a URL, it is operating at layer 7. This is known as a web application firewall, or WAF.
When dealing with firewalls, the term trusted network is used to describe what?
A. Internal network
B. The Internet
C. The DMZ
D. A network with SSL
The internal network is defined by the firewall. Anything protected by the firewall on the internal network is considered to be the trusted network.
Dobrodosli u moj prvi post koji nas priprema za polaganje CCNA ispita. U narednim postovima detaljno cemo obradjivati svaku temu koju Cisco trazi da bi mogli uspjesno poloziti test i dobiti certifikat. U danasnjem tekstu pisem o osnovnim komponentama jedne enterprise mreze:
- Firewall
- Access point
- Wireless controller
Naravno, pisat cemo engleskim rjecnikom tako da necemo gubiti vrijeme prevodeci firewall u vatrozid, access point u pristupnu tacku i slicno. Podrazumijevam da svi znamo sta svaki od ovih pojmova znaci. Isto tako kada god naidjemo na engleski pojam koji se koristi u IT svijetu, npr Route Poisoning, necu ga prevoditi na nas jezik jer to ne bi imalo nikakvog smisla.
Firewall
Firewall je dizajniran da spriječi neautorizovan pristup našoj mreži. On je network security uređaj koji prati ulazni i izlazni mrežni saobraćaj i odlučuje da li smije ili ne smije propustiti taj saobraćaj unutra ili vani na Internet. Firewall to radi na osnovu pravila koje mu mrežni administrator postavi. Ovi uređaji prave sigurnosnu barijeru između naše sigurne mreže i nesigurnog Interneta.Firewall može biti hardverski, softverski ili oboje.
Tipovi firewall-a:
Stateful Inspection Firewall - Kada kažemo da je nešto stateful, misli se da čuva ili pohranjuje informacije koje dolaze do njega. Unstateful firewall bi bio onaj koji kada do njega dodje paket sa Interneta, on bi ga samo pustio unutra ili blokirao, ali ne bi ostavio trag za administratora kako bi analizirao koji tip paketa je ušao u mrežu, kada, odakle, kroz koji port, koji protokol, i slično. Stateful Inspection Firewall prati sve aktivnosti od početka konekcije do njenog zatvaranja. Ovakvo filterovanje podataka se prije puštanja u promet provjeri od strane administratora, postave se određena pravila tako da firewall zna šta raditi kada baš taj tip paketa dođe do njega. Jako često se koristi u modernom vremenu dok je unstateful firewall postao prošlost.
ASA (Adaptive Security Appliances) - ASA je uređaj koji kombinuje firewall, antivirus, IPS (Intrusion Prevention System) i VPN (Virtual Private Network). Znači sve u jednom Cisco ASA Firewallu kojeg ćemo sretati u budućnosti. Sve ove opcije nude bezbjednost mreže i spriječavanje napada prije nego se proširi po infrastrukturi.
NGFW (Next Generation Firewall) - NGFW je firewall koji u sebi ima integrisane određene funkcionalnosti kao što su aplikacijski firewall (nešto slično kao što imamo na računarima tipa Avast, Avira itd) s tim što ovaj aplikacijski firewall ima duboku inspekciju paketa, prati i pohranjuje sve što dođe i prođe kroz mrežu. Također, NGFW posjeduje i IPS koji spriječava problem prije nego se proširi po infrastrukturi. Sa druge strane, imamo i IDS (Intrusion Detection System) koji detektuje virus, malware ili bilo što što ne smije doći u mrežu, ali, detektuje ga onda kada se on već nađe unutar topologije tako da se IDS izbjegava koristiti baš zbog tog razloga jer ne spriječava već detektuje.
NGIPS (Next Generation Intrusion Prevention System) - Napredni threat protection sistem koji omogućava brzo detektovanje, blokiranje, pohranjivanje ili logovanje i korekcija problema tj. intrudera.
Osobine firewall-a:
Firewalli se ponašaju slično kao ACLs (Access Lists) u kojima podešavamo promet koji smije ili ne smije ući ili izaći iz mreže. Na ovaj način pričamo o dosta sigurnijoj radnoj okolini firme. Firewall koristi sljedeća pravila kako bi pravio odluke šta uraditi sa nadolazećim paketom:
- upoređuje izvornu (source) i destinacijsku (destination) IP adresu
- upoređuje izvorni i destinacijski TCP ili UDP port
- prati aplikacijsko kretanje kroz mrežu (ukoliko pronađe nešto sumnjivo, blokirat će ostali saobraćaj koji dolazi sa te source IP adrese)
- loguje sve informacije i pravi odluke o filterovanju budućih paketa na osnovu prethnodnih podataka koje je sačuvao o toj IP adresi.
- razlikuje tipove saobraćaja i protokole koje koriste (ICMP ili TCP/IP)
Dobar primjer firewalla u akciji bi bio DoS napad koji koristi otvorene portove na serveru. Recimo da statefull firewall koristi logiku da svake minute u prosjeku primi 100 TCP konekcija. Odjednom, u mrežu počinju stizati hiljade i hiljade requesta na server (DoS napad) u što manjem roku, i dolazi do toga da server prima te requeste do te mjere da ne može više izdržati i dolazi do rušenja CPU i RAM memorije. Firewall može spriječiti ovakve napade tako što gleda prosjek TCP zahtjeva npr u minuti. Tako da sljedeći put ako se za minutu pojavi 10.000 requesta u minuti, on ih neće propuštati do servera jer zna da to nije normalna pojava.
Gdje se nalazi firewall:
Firewall se instalira na samom ulazu u mrežu. Sa slike ispod vidimo da se firewall mora instalirati odmah poslije rutera. Mnogi bi se pitali zašto ne bi postavili firewall prije rutera? Odgovor je jednostavan. Taj ruter je pre-konfigurisan od strane ISP-a, vašeg servis provajdera kome plaćate internet. Bez tog rutera, koji u sebi ima modem, ISP ne bi mogao znati gdje se taj ruter nalazi jer je prije njega postavljen firewall. Dakle, prvo saobraćaj sa Interneta mora doći do rutera, i onda kada prođe dalje, firewall će filtrirati taj saobraćaj i odlučiti da li može ili ne može ući u mrežu.
Firewall, na tom mjestu, ima potpunu kontrolu i može filtrirati svaki paket, propuštajući one koji su dozvoljeni, blokirajući one koji su potencijalno opasni.
Firewall zone:
Sigurnosne zone su još jedan pojam vezan za firewall. Uzmimo primjer jedne kompanije koja ima korisnike koji redovno izlaze na Internet i povezuju se sa serverima širom svijeta. Problem nastaje kada ta konekcija korisnika firme i Interneta može biti iskorištena za napad ili propust nekog od napadača unutar mreže. Recimo da se radnik naše kompanije spojio na server i želi da downloaduje PDF dokument koji mu je bitan kako bi pokazao svom šefu da zna da radi svoj posao. Ta konekcija njegovog računara i servera gdje se nalazi PDF dokument može biti fatalna jer, ukoliko server nije dovoljno siguran, može doći do third-party konekcije nekog od napadača i tog korisnika. Firewall ima sposobnost da odobri samo izlaz na Internet i zabrani ulaz sa Interneta u mrežu. Slika ispod detaljno objašnjava ovaj proces.
Firewall također može odvojiti mrežu na različite inside/outside zone. Na primjer, DMZ (Demilitarized zone) se može postaviti tako da su serveri javno dostupni korisnicima. DMZ saobraćaj bi bio odvojen od unutrašnje privatne mreže dok bi se severi mogli koristiti kao usluga korisnicima sa Interneta. DMZ je odlična stvar jer spriječava da korisnici iz vanjskog svijeta, prilikom pristupanja podataka sa servera, pokušaju napasti, iz unutrašnjosti mreže, ostale inside korisnike/računare.
CCNA PITANJA SA ISPITA:
According to best practices, what is the proper placement of a firewall?
A. Only between the internal network and the Internet
B. At key security boundaries
C. In the DMZ
D. Only between the DMZ and the Internet
B. Firewalls should always be placed at key security boundaries, which can be the Internet and your internal network. However, proper placement is not exclusive to the boundaries of the Internet and internal networks. For example, it could be placed between two internal networks, such as R&D and guest networks.
Which is a false statement about firewalls?
A. Firewalls can protect a network from external attacks.
B. Firewalls can protect a network from internal attacks.
C. Firewalls can provide stateful packet inspection.
D. Firewalls can control application traffic.
B. Firewalls cannot provide protection from internal attacks on internal resources. They are designed to protect networks from external attacks or attacks emanating from the outside or directed toward the Internet.
Which of the following options is not a consideration for the management of a firewall?
A. All physical access to the firewall should be tightly controlled.
B. All firewall policies should be documented.
C. Firewall logs should be regularly monitored.
D. Firewalls should allow traffic by default and deny traffic explicitly.
A. All physical access to a firewall should be controlled tightly so that it is not tampered with, which could allow external threats to enter the network. This control should include vendors and approved administrators. Physical access to the firewall is a security principal and therefore not a consideration for the management of a firewall.
What is the reason firewalls are considered stateful?
A. Firewalls keep track of the zone states.
B. Firewalls keep accounting on the state of packets.
C. Firewalls track the state of a TCP conversation.
D. Firewalls transition between defense states.
C. Firewalls keep track of the TCP conversation via the SYN-SYN/ACK-ACK threeway handshake. This is done so that a DoS attack such as a SYN flood can be mitigated.
You have an Adaptive Security Appliance (ASA) and two separate Internet connections via different providers. How could you apply the same policies to both connections?
A. Place both connections into the same zone.
B. Place each connection into an ISP zone.
C. Apply the same ACL to both of the interfaces.
D. Each connection must be managed separately.
A. ASA allow for zones to be created and the connections applied to the zones. This methodology allows for security rules to be applied uniformly to the outside zone.
Why should servers be placed in the DMZ?
A. So that Internet clients can access them
B. To allow access to the Internet and the internal network
C. To allow the server to access the Internet
D. To restrict the server to the Internet
B. Servers should be placed in the DMZ so they can access both the inside zone and outside zone. This will allow a server such as a web server to allow client access from the Web (outside). Rules could also be applied so that the server (for example, a database server) could allow access to data from within the internal network (inside).
Which type of device will detect but not prevent unauthorized access?
A. Firewall
B. IPS
C. IDS
D. Honey pots
C. An IDS, or intrusion detection system, will detect unauthorized access. However, it will not prevent unauthorized access. It is a form of audit control in a network.
When a firewall matches a URI, it is operating at which layer?
A. Layer 7
B. Layer 5
C. Layer 4
D. Layer 3
A. When a firewall matches a Uniform Resource Identifier (URI), such as a URL, it is operating at layer 7. This is known as a web application firewall, or WAF.
When dealing with firewalls, the term trusted network is used to describe what?
A. Internal network
B. The Internet
C. The DMZ
D. A network with SSL
The internal network is defined by the firewall. Anything protected by the firewall on the internal network is considered to be the trusted network.