Edukira joan

Suebaki (informatika)

Artikulu hau "Kalitatezko 2.000 artikulu 12-16 urteko ikasleentzat" proiektuaren parte da
Wikipedia, Entziklopedia askea
Firewall» orritik birbideratua)

Artikulu hau informatikari buruzkoa da; beste esanahietarako, ikus «Suebaki (basoa)».

Firewall, suhesi edo suebakia oinarrizko aldez aurretiko neurria da, sareko segurtasuna hobetzeaz gain, kontrolerako eta zentsurarako erabili daitekeena. Gaur egun ordenagailuak etengabe daude Internetera konektaturik, milaka programa arriskutsu eta kaltegarrien eskuetatik gertu. Hauek ordenagailua gainkargatzen dute, izorratzera heldu arte. Ez badugu suhesi bezalako oinarrizko segurtasunik ordenagailuan, datuak baita etxeko sarea hondatu daiteke. Dena dela, suebakiak ez dira segurtasun arazo guztientzako soluzio.

Zer dira suebakiak?

[aldatu | aldatu iturburu kodea]
Firewallaren egitura
Firewallaren egitura

Suebaki hardware edo softwareen elementuak dira politika konfigurazioaren arabera hauen arteko komunikazioa onartu edo debekatzen dutenak. Horretarako PCaren eta Interneten arteko sarrera-irteera fluxua kontrolatzen dute, eskatu ez diren loturak blokeatuz, programen instalazio ezkutuak ekidinez eta pop-up eta publizitatea bezalakoak batzuetan blokeatuz.

Kokapena normalean organizazioaren barne sarearen konexio puntua eta kanpo sareko konexio puntuaren arteko lotunea da, normalean Internet dena. Horrela babesten da ordenagailua Internetetik datozen gure ordenagailura sartzeko saiakeretatik. Iragazki bezala funtzionatzen duen saretik sarerako komunikazio kontrolatzaile honek ez du antibirusaren funtzioa egiten, ez baitu hauen eraso guztietatik ordenagailua babesten ezta kutsatuta egonez gero arazoa ezabatzen.

Lehenago esan bezala bi motatako elementuak izan daitezke; hardwarerako (dispositibo fisikorako bitartez) edo softwarerako (babestu nahi den PCan instalatutako programa informatiko baten bitartez).

Suebaki Motak
Suebaki Motak

Suebaki hardwareak

[aldatu | aldatu iturburu kodea]

Produktu independente edo banda zabaleko routerrekin batera eros daitezke. Kanpoko eraso forma ia guztientzat baliagarria da, babes ona eskaintzen du.

Zoritxarrez, birus, har eta troiakoen kontra software suebaki baino ahulagoa da, posta elektroniko mezuetan ez baititu harrak detektatzen esaterako.

Enpresa eremuetan hauek erabiltzen dira barne sarea kanpo saretik babesteko.

Suebaki softwareak

[aldatu | aldatu iturburu kodea]

Suebaki software on batek zure ordenagailua kanpoko batek kontrolatu edo bertara kanpotik sartzeko saiakeretatik babesten du. Gainera, babes gehigarria izango du; troiakoen kontra eta e-mailetako harren kontra jokatuko du.

Honen alde txarra ordenagailuan instalatuta dagoena bakarrik babesten duela da, ez du babesten sarea.

Hau normalean etxeko giroan erabiltzen da, horretarako bereziak diren programak erabiliz edo sistema eragileak dakarren programa konfiguratuz.

Nola funtzionatzen du?

[aldatu | aldatu iturburu kodea]

Segurtasun maila finkatzeko erabiltzen dira. Maila hau erabiltzaileak ematen dituen baimenen arabera neurtzen da. Behin eginda denborarekin konfiguratu egiten da, berrikusketa bakoitzean ez dugu birkonfiguratu behar, erabiltzaileak jarritako baimenak errespetatu egiten dira. Internet konektatzerakoan edo konektatu gabe ere programa lanean arituko da. Exekutatzen den lehenengo momentuan programa baliteke mantso ibiltzea, bai erabiltzailea bai programa bata besteari ohitu behar direlako. Erabiltzaileak programa nola erabili ikasi behar du eta programak ze baimen dituen leku bakoitzeko “ikasi” behar duelako. Maiztasun handiz erabiltzen ditugun baimenak azkenean arau bezala definitzen ditu programak eta orduan azkarrago ibiliko da.

Esaterako orrialde batera sartzeko baimena ez badugu eta bertara sartu behar izanez gero, badaukagu murriztapen hori aldatzeko aukera, eta horrela konektatzen garen bakoitzean ez dugu suhesiko konfigurazioan aldaketarik egin behar.

Zein teknika erabiltzen dira?

[aldatu | aldatu iturburu kodea]

Suebaki teknika ezberdin batzuk daude, askotan teknika bat edo gehiago erabiltzen ditu suebaki bakoitzak. Hona hemen teknika nagusiak:

Pakete iragazketa

[aldatu | aldatu iturburu kodea]

Iragazkidun Routerrak erabiltzen dira eta arauetan oinarritutako sarrera kontrol politikak. Routerrak paketeak iragazi egiten ditu honako irizpideak jarraituz: erabilitako protokoloak, jatorri eta helburuko IP helbideak eta TCP-UDP atakak, jatorrikoa eta helburukoa. Irizpide hauek malgutasun handia ematen diote datu trafikoari. Bi konputagailuen arteko komunikazioa mugatuz (IP helbideari ezker), zehaztu daiteke zein makinen artean dagoen baimenduta komunikazioa.

Pakete filtrazioak protokolo eta atakei esker zilegitzen ditu zein zerbitzu dauden erabilgarri erabiltzailearentzako eta zein ataketatik.

Suebaki teknika mota honek, Garraiaketa mailak eta OSI sare eredua erabiltzen ditu, bere funtzionamendua helbide filtrazioan oinarrituta dagoelako. Beti konektatua daude sarearen bi perimetroetan.

Merke lortu daiteke, maila altuko desbahikuntza eta erabiltzaileentzako gardena da. Aldiz ez ditu OSI mailaren goi kapak babesten, zaila da filtro protokolo eta atakak itzultzea, sare pribatuen topologiak ez ditu ezkutatzen, auditoria eta jardueren erregistroen gaitasunak mugatuta daude eta azkenik, ez dute segurtasun politika konplexurik jasaten.

Aplikazioen Proxy-Gateways

[aldatu | aldatu iturburu kodea]
Aplikazioen Proxy-Gateways

Pakete filtrazioen ahultasunak saihesteko, aplikazio software bat sortu zuten konexioak filtratzeko helburua betetzeko. Aplikazio hauek Proxy zerbitzari bezala ezagutzen dira eta exekutatzen den makinari aplikazio Gateway edo Bastion Host deitzen zaie.

Proxya Nodo Bastionean instalatzen da, zerbitzari eta bezero arteko bitarteko bezala funtzionatzen du. Erabiltzaile batek zerbitzu batek erabili behar duenean, Proxyren bitartez egiten du. Honek eskaera zerbitzariari egiten dio eta emaitza bezeroari itzuli egiten dio. Bere funtzioa sare trafikoa ikertzea da segurtasun arauak hausten dituen edozein gauza bilatuz.

Dual-Homed Host

[aldatu | aldatu iturburu kodea]
Dual-Homed Host

Barne eta kanpo perimetroetara konektatuta dauden dispositiboak dira eta ez diete IP paketeei pasatzen uzten. Horregatik esaten da, “IP-Forwarding desaktibatua”-rekin jokatzen dutela.

Barne erabiltzaileak kanpo zerbitzu bat erabili nahi badu lehenago suebakira konektatu behar da, non Proxyak bere eskaerari kasu egingo dion, eta suebakiak dituen konfigurazioen arabera eskatutako zerbitzuari konektatuko zaio eta zubi bezala egingo du zerbitzu eta erabiltzaile artean. Hau da, bi konexio erabiltzen dira, bat barne makinatik suhesira eta beste bat hemendik kanpo zerbitzua duen makinara.

Screened Host

[aldatu | aldatu iturburu kodea]
Screened Host

Kasu honetan Bastion Host duen routera eta pakete filtrazioko segurtasun maila nagusiaren arteko konbinazioa erabiltzen da. Bastionean, kanpotiko sarbide bakarra, aplikazio proxya exekutatzen da eta bakarrik onartzen dira zerbitzu gutxi batzuk.

Screened subnet

[aldatu | aldatu iturburu kodea]
Screened subnet

Diseinu hau eraso gehien dituen eta ahulena den suhesiaren aldea isolatzen saiatzen da, Bastion Nodoa. Horretarako zonalde desmilitartua definitzen da(DMZ), horrela arrotz bat gure makinan sartzen bada ez du azpi-sare babestura guztiz sartzea lortuko.

Honako eskeman bi bideratzaile, bi router, erabiltzen dira; bata barnekoa eta bestea kanpokoa. Kanpoko bideratzailearen misioa nahi ez dugun trafikoa setiatzea da bi zentzuetan. Barne bideratzaileak berdina egiten du barne sarearekin eta DMZrekin.

Posiblea da DMZ maila bat baino gehiago izatea bideratzaile gehiago gehituz, baina bakoitzak arau ezberdinak izanda, bestela mailak bakar batek sinplifikatuko liratekeelako.

Pakete azterketa

[aldatu | aldatu iturburu kodea]

Suebaki mota honek pakete guztiak ikuskatzen ditu baita bere jatorri eta helburua. Sare geruzatik aplikazioenera arte ezartzen da. Normalean aplikazio konplexuetan eta testuinguruari sentikorra den segurtasuna behar deneko kasuetan instalatzen da.

Suhesi pertsonalak

[aldatu | aldatu iturburu kodea]

Suebaki hauek erabiltzaile finalei zuzendutako aplikazioak dira, zalantzazko kanpo sare batera modu seguru batean konektatu nahi dutenei zuzenduta.

Zer Nolako Politika Jarraitzen Da Diseinatzerakoan?

[aldatu | aldatu iturburu kodea]

Suhesia diseinatzean, aditasun nagusiak muga eta kapazitatean jarriz egin behar dira, baina ere kontutan izan behar ditugu mehatxuak eta ahultasunak kanpoko zalantzazko sare batean sartzen bagara.

Lehen pausoan, babestu behar ditugun puntuak ezagutzea segurtasun arauak ongi finkatzeko. Ere garrantzitsua da errekurtso bakoitzean babestu behar den erabiltzaileak definitzea.

Normalean, edozein segurtasun politika erantzun behar dituen oinarrizko galderak honakoak dira:

  • Zer babestu nahi dut?

Barne sareko elementu guztiak (Hardware, software, datuak).

  • Nortaz babestu?

Kanpoko edozein sarrera ez onartuaz eta beste hainbat barne eraso aurreikusi daitezkeenak. Konfiantza maila defini daiteke, kanpo erabiltzaile zerbitzu batzuen baimenak emateko selektiboki aukeratzen dira.

  • Nola babestu?

Hauxe izan daiteke galderarik zailena, antolaketan nahi diren monitorizazio, kontrol eta erantzun mailak ezartzeko norakoa hartzen duelako. Hurrengo estrategiak eta paradigmak jarraitu egiten ditu:

Segurtasun paradigmak

[aldatu | aldatu iturburu kodea]

1.Onargarria: Ukatuta dagoen trafikoa izan ezik beste guztia onartu egiten du. Arriskutsuak diren zerbitzuak kasu-kasu isolatuko ditu. 2.Murrizgarria: Onartuta dagoen trafikoa izan ezik beste guztia ez da onartuko. Suebaki trafiko guztia mututu egiten du eta beharrezkoak diren zerbitzuak bakarrik trebatuko egingo ditu. Politika murrizgarriak segurtasun handiagoa dauka, zailagoa delako trafiko akats larriagoak edukitzea.

Segurtasun estrategia

[aldatu | aldatu iturburu kodea]

1.Paranoikoa: Dena kontrolatzen du eta lehenetsitako aukera legez, ez du ezer baimentzen. 2.Zuhurra: Dena kontrolatu eta gertatzen dena ezagutzen da. 3.Onargarria: Kontrolatzen da baina gehiegi onartzen da. 4.Promiskuoa: Ez da ezer kontrolatzen eta dena baimentzen da.

  • Zenbat kostatuko du?

Zenbat babestu nahi den arabera egin behar den inbertsioa estimatu behar da.

Zeintzuk dira erabiltzearen onurak?

[aldatu | aldatu iturburu kodea]

Suhesiek bi sareen arteko sarbidea maneiatzen dute, hau existituko ez balitz, konputagailu guztiak egongo lirateke kanpoko arriskuetatik gertu.

Sistema hau bikaina da eraso saiakera bat gertatuz gero erabiltzailea abisatzeko, eta erabiltzailea izango da abisu hauei jaramon egin beharko diena, ez egitekotan bere erantzukizuna izango da.

Suebaki erabiltzearen beste arrazoi bat azken urteotako IP helbide krisia izango litzateke. Hori dela eta, intranetek klaserik gabeko helbideak hartu dituzte, zeintzuk Internetera “helbide itzultzaile” baten bidez irteten diren, eta hauek edozein suhesietan egon daitezke.

Sare trafikoak “kontsumitutako” banda zabaleraren estatistikak eramateko, parte hartu duten prozesuak ezagutzeko ere garrantzitsua litzateke, horrela sare administratzaileak prozesu determinatuen erabilera murriztu dezake, ahalik eta banda zabalera gehien aprobetxatuz.

Beste funtzio batzuk ere betetzen dituzte:

  • Ezezagunetatik babestu: Organizazio batzuen sare segmentu determinatu batzuetara sartzea bakarrik da posible egitea baimendutako organizazioko makinetako beste segmentu batzuetatik edo Internetetik.
  • Informazio pribatuaren babesa: Informaziora heltzeko maila ezberdinak definitzeko erosotasuna ematen digu, horrela organizazio bateko erabiltzaile bakoitzak bakarrik izango du bere funtzioetarako beharrezkoa den informazioan sartzeko baimena, beste edozein mailatako informaziora ezingo delarik heldu.
  • Sarbide optimizazioa: Barruko sareko elementuak identifikatzen ditu eta haien arteko komunikazioa optimizatzen du, ahalik eta komunikazio zuzenena egin ahal izateko. Honek segurtasuna birkonfiguratzen laguntzen du.

Kuriositate moduan, azpimarragarria da, gobernu batzuek haien herrialdeetan zentsura instrumentu moduan erabiltzen dutela, P2P sareetako deskargak neutralizatzeko. Txinak dagoeneko aplikatu du eta Europan, Espainiak bezala, beste herrialde batzuek ere erabiltzea proposatu dute.

Zein arrisku saihets ditzake suhesi batek?

[aldatu | aldatu iturburu kodea]
  • Interneten isilpean instalatutako programen instalazio eta exekuzioa adibidez ActiveX edo Java aplikazioen bitartez, hauek erabiltzailearen datu pertsonalak beste leku batzuetara transferitu ditzaketelako.
  • Hirugarrengoei sarbidea ematea Windowsen konfigurazioan akatsak edukitzeagatik (adibidez NetBIOS).
  • Iragarki edo jarraipen elementuen instalazioa, cookieak esaterako.
  • Troiakoak: Ezkutuko aplikazioak saretik deskargatzen direnak eta hirugarrengo pertsonengatik erabiliak izan daitezkeenak datu pertsonalak lortzeko.
  • Banda zabaleraren murrizketa banner, pop-up, leku ez eskatuak eta beharrezkoak ez diren beste datu batzuen trafikoak konexioa moteltzen duelako.
  • Spywareak
  • Hirugarrengoek telefono sarea erabiltzea ekiditen du, Dialersen bidez.

Ba al du mugarik suhesiak?

[aldatu | aldatu iturburu kodea]

Gauza guztiek bezala, suebakiek ere mugak dituzte. Arazo nagusia suhesiak babestu ez ditzakeen eremua ezezagun batek topatzea da. Ez dira sistema adimendunak, diseinatzaileak sartu dizkion parametroen arabera jokatzen dute. Beraz, pakete bat bere parametroek markatzen dutenetik at badago,hau da, ez badu arriskutsutzat definituta, zuzenean pasatzen utziko dio. Arriskutsuena pakete hau ezezaguna izatea litzateke, eta Back Doors, atzeko ateak, zabalik uztea, hau da eremu berri bat irekitzea eta hasierako erasoa egon delako froga ezabatzea.

Beste muga bat gizakien kontrakoa ez dela da, hau da ezezagun batek organizazio batera sartzea lortzen badu eta pasahitza asmatzen badu edo suhesiak babesten ez dituen eremuak aurkitzen baditu, informazio hau sarean zehar banatu dezake suebakia konturatu gabe.

Suhesiak ez ditu software filtrazioen kontrako tresnarik ezta birusengatik kutsatutako fitxategiak detektatzeko ere. Suebakia zaurgarria da, ez du babesten barne sarean dagoen jendea. Hobeto egiten du lan barne defentsa batekin osatzen badugu.

Zein suhesi da gomendagarria ene Linuxerako?

[aldatu | aldatu iturburu kodea]

Firestarter GNU/Linux sistema eragilean instalatu ditzakegun suebakien artean erabileran eta konfiguratzeko sinpleena eta erabilerraza da. Gainera Open Source da, hau da, kode librea eta guztiz doakoa da., eta GNU/GPL lizentziapean dago.

Firestarter instalatzea oso erraza da, lehenik eta behin gure errepositorioari galdetu behar diogu, ea aplikazioa aurkitzen duen. Gero web orrialde bat bilatu behar dugu aplikazioa jaisteko, adibidez, erabili dezakegu www.fs-securuty.com , bertan aurkituko ditugu hainbat bertsio, hainbat distribuzioetarako eta gainera dagoeneko testatuak.

Instalazioa ere zuzenean terminaletik egin dezakegu. Aurreko pausoan bezala errepositorioan dagoen begiratu behar dugu honako agindua emanez: #apt-cache search firestarter. Gero Behin aurkituta sudo apt-get install firestarter egingo dugu. Horrela gure ordenagailuan instalatuta izango dugu suebaki hau.

Kanpo estekak

[aldatu | aldatu iturburu kodea]