ADMIMISTRIMI I RRJETEVE 53 SISTEMI OPERATIV ......53 Windows Server Sem_2 b.s. Admimistrimi i...

51 Përmbajtja

Sem_2 b.s.

ADMIMISTRIMI I RRJETEVE .................................................................................................. 53

SISTEMI OPERATIV WINDOWS 2003 ..................................................................................... 53

Autentikimi dhe autorizimi si metoda sigurie në Win 2000 ................................................................. 53

Verifikimi i identitetit ............................................................................................................................................. 54

Sistemet për ruajtjen e të dhënave (fajllave) ........................................................................................... 55

Sistemi per kriptimin e fajllave (EFS – Encrypted file system) .................................................. 55

IPSec .......................................................................................................................................................................................... 55

PKI (Public Key Infrastructure) ............................................................................................................................ 56

Direktoriumi Aktiv (Active Directorium) ......................................................................................................... 56 Instalimi i Direktoriumit Aktiv ........................................................................................................................ 59 Menaxhimi me Group Policy (rregullat e grupi) ....................................................................................... 70 Konfigurimi i rregullave të grupit ................................................................................................................. 71

Siguria e serverit. Mbrojtja e Web faqeve në Internet...................................................................... 75

Nevoja për çështje sigurie ........................................................................................................................................ 75

Sigurimi SSL.......................................................................................................................................................................... 75

Cilat Web faqe janë të mbrojtura ? ..................................................................................................................... 77

Dërgimi i mesazhit “e-mail” ...................................................................................................................................... 78

Sigurimi i email-it me SSL ........................................................................................................................................ 79

Mbrojtja nga “e-mail”-at e rrezikshëm në nivelin e Browser -ëve ................................................ 81

Këndellja pas “katastrofave” dhe krijimi i kopjeve rezervë ............................................................ 83 Përse me kriju kopje rezervë ? .......................................................................................................................... 83 Përmbajtja e kopjeve rezervë ............................................................................................................................... 83 Kopjet rezervë ................................................................................................................................................................ 83

Firewall-i .............................................................................................................................................................................. 96 Ç‟është firewall –i ? ................................................................................................................................................ 96 Si ta bëjmë Firewallin të përshtatshëm ....................................................................................................... 98 Përzgjedhja e firewallit ......................................................................................................................................... 98

Routerat hardverik ........................................................................................................................................................... 99

Routerat “pa tela” ......................................................................................................................................................... 100

Proxy server........................................................................................................................................................................ 100

52 Përmbajtja

Sem_2 b.s.

ISA Serveri (Internet Security and Acceleration Server) ................................................................. 102

Rrjeti Virtual Privat .................................................................................................................................................. 104

Intraneti dhe Ekstraneti ........................................................................................................................................... 106

Listat e qasjes (Access Lists) ............................................................................................................................. 113

Tipet e ACL-eve ................................................................................................................................................................ 113

NAT (Network Adress Translation) ........................................................................................................................ 114

Paisjet dhe teknologjitë në lidhjet ajrore (wireless) ...................................................................... 117

Përparësitë dhe kufizimet e teknologjive ajrore .................................................................................... 119

Standardet e WLAN-ave .................................................................................................................................................. 121

Paisjet e rrjeteve ajror ........................................................................................................................................... 122

Sigurimi në rrjetet ajror (WLAN) ........................................................................................................................ 124

Kufizimi i qasjes në rrjet ajror ........................................................................................................................ 126

53 Windows Server

Sem_2 b.s.

Admimistrimi i rrjeteve

Për rrjetet kompjuterike, me qëllim të sigurimit të saj më të mirë, aplikohen

sisteme operative speciale, për server. Dihet se serverët janë kompjuterë më

të fuqishëm, më të shpejtë dhe me resurse më të mëdha. Kompania Microsoft në

vazhdimësi ka zhvilluar softvere për rrjete kompjuterike me qëllim të

sigurimit të tyre, administrimit, ofrimit të shërbimeve për klientët etj.

Njihet sistemi operativ Windows server NT, pastaj pasuesi Windows server

2000, e më vonë versioni Windows server 2003. Në vazhdim do të njihem me

disa nga objektet që këta sisteme operative përdorin për punën e tyre.

Sistemi Operativ Windows 2003

Windows 2003 ofron një komplet shërbimesh për siguri, si:

Mbështetë protokolet Kerberos për autentikim

Sistemin e kriptimit për fajlla

Protokolin për siguri në Internet (IPSec) dhe

Shërbimin e Direktoriumit Aktiv

Modeli i sigurimit që ofron Windows 2003, paraqet një infrastrukturë solide

për sigurim të rrjetit brenda kompanisë (institucionit) dhe në Internet.

Autentikimi dhe autorizimi si metoda sigurie në Win 2003

Siguria në Windows 2003 bazohet në modelin e autentikimit dhe autorizimit.

Autentikimi është proces që përdoret për dëshmimin e identitetit të

entitetit. Entitet mund të jetë: shfrytëzuesi, kompjuteri ose shërbimi i

caktuar. Kompjuterët dhe shërbimet autentikohen kur të komunikojnë me

serverët. Autentikimi p.sh. mund të bëhet me emër të parapaguesit dhe të

fjalëkalimit (account name dhe password).

Autorizimi është process që pason pas autentikimit. Autorizimi është e drejta

për të marrë ndojnë shërbim, për t‟iu qasur ndonjë resursi, ose për të kryer

ndonjë veprim.

54 Windows Server

Sem_2 b.s.

Kerberos V51 protokoli është metoda e autentikimit e nënkuptuar (standarde).

Kjo metodë mund të shfrytëzohet nga secili klient që është antarë i domenit

të caktuar.

Metoda e dytë e autentikimit është përmes certifikatës (CA) të marrur nga

ndonjë autoritet që i ndanë ato. Prandaj në konfigurim duhet të shënohet emri

i autoritetit të tillë.

Verifikimi i identitetit

Kur të paraqiteni për punë në rrjet kompjuterik, ju ende nuk e keni të

drejtën për qasje në resurse të rrjetës, por jeni në “pritje” (disa

milisekunda) derisa resurset e rrjetit ta bëjnë identifikimin tënd.

Modelet e identifikimit mund të jenë dy llojesh:

Identifikimi dyshkallësh - nënkupton që shfrytëzuesi ose paisja duhet t„ia

prezentojnë dy elemente - mekanizmit për verifikimin e identitetit.

Emrin e shfrytëzuesit (identifikatori i shfrytëzuesi, ang. user name)

Fjalëkalimi (shifra, ang. password)

Shembull tjetër i verifikimit dyshkallësh të identitetit është me përdorimin

e kartelës intelegjente, e cila përdorët para se të ipen user name dhe

password (një siguri shtesë).

Që të dy shembujt e treguar nuk ofrojnë siguri 100% - she, sepse keqbërësit

ose mund të “vjedhin” informatat për identifikim ose edhe vet kartelën

intelegjente, prandaj edhe pse ofrohet siguri e mirë ajo nuk është 100% !

Identifikimi njëshkallësh - Është metodë më e sigurtë dhe më praktike.

Shfrytëzuesi duhet të mbajë mend vetëm një parametër - fjalëkalimin.

Shfrytëzuesi nuk ka nevojë të mbajë në mend edhe emrin identifikues sepse

ekzistojnë metoda tjera për këtë fazë, si: karakteristika biometrike – ta

themi: shenjat e gishtit, rrjeta e kapilareve të syrit, ose zëri. Pra së pari

1 Protokoli Kerberos për autentikim përdorë sistemin e biletave. Ky system i biletave shfrytëzon dy tipe biletash: biletat për hyrje dhe biletat për shfrytëzim.

Biletat , në fakt janë pakete të kriptuara të të dhënave, e të cilat i formon (gjeneron) qendra për

dhënjen e çelësave (KDC – Key Distribution Center). Çdo njësi për siguri (domen) duhet të ketë një qendër

të tillë (KDC). Ato bileta iu ndahen anëtarëve të domenit.

Kerberosi, bazohet në sistemin simetrik të shifrimt, d.m.th. shfrytëzon çelësat privat, të cilët i

disponojnë vetëm ata dy që komunikojnë mes veti.

Pasi që shfrytëzuesi “hyn” në domen (me biletën për hyrje – e cila përmbanë informatat për te), ai ende

nuk ka arritur deri te shërbimi i kërkuar. Per këtë duhet edhe një procedurë tjetër e identifikimit

(bileta për shfrytëzim)

Emri “kerberos” ka kuptim nga Mitologjia greke, ku kerberi ka qenë një qen që ka ruajtur portën e Hadit

(bota e të vdekurve). Ai ka qenë qen me tri koka. Kjo ka shtyrë që të përdoret ky term pasi që edhe vet

procedura e identifikimit të shfrytëzuesit kërkon tri koka, e ato janë: klienti (shfrytëzuesi), serveri

(ofruesi i shërbimit) dhe ndërmjetësuesi (KDC – Key Distribution Center).

Mos me hy në detaje se si rrjedh procedura e identifikimit për të shfrytëzuar resurset e serverit, KDC

është ai autoritet i cili me ndarjen e çelësave, bënë ndërmjetësimin në mes të klientit dhe serverit për

identifikim.

55 Windows Server

Sem_2 b.s.

bëhet identifikimi në bazë të njëres prej karakteristikave të cekura e më

pastaj vjen faza e fjalëkalimit.

Sistemet për ruajtjen e të dhënave (fajllave)

Për të bërë sigurimin e fajllave, duhet ditur se si janë të ruajtur fajllat

në Sistemin Operativ.

Sistemi i fajllave është metodë për ruajtjen e të dhënave. Sistemi operativ

përdorë sistemin e fajllave për ruajtjen e të dhënave në hard diskun e

kompjuterit. Ky sistem bënë kontrollimin si dhe determinon mënyrën e ruajtjes

së të dhënave.

Windowsi 2003 mbështet shumë sisteme të fajllave (FAT32 – File Allocation

Table, NTFS4 – NeW Technology Filing System 4, NTFS5 - NeW Technology Filing

System 5).

Sistemi NTFS5 ofron përparësi në krahasim me sistemin FAT, sepse është më i

sigurtë. Ky system ka mundësi të kontrolloj qasjen në fajllat e ruajtur në

hard disk.

Sistemi per kriptimin e fajllave (EFS – Encrypted file system)

EFS ofron mundësi për kriptimin e fajllave në sistemin e fajllave NTFS. EFS

është një shërbim i integruar që mundëson administrimin më të lehtë me fajlla

dhe njëkohësisht më të vështirë për ta sulmuar (atakuar).

EFS bazohet në kriptimin me çelës publik dhe shfrytëzon standardin X për

kriptim (DESX) si një algoritëm për kriptim. Standard i tij për Amerikë është

128 bita kurse standardi ndërkombëtar 40 bita.

EFS siguron siguri të të dhënave, dhe lejon vetëm pronarin e fajllave t‟i

qaset atij ! Për këtë shfrytëzuesi përdorë certifikaten digjitale me çelës

publik dhe me çelës privat.

IPSec

Nga vet fjala IPSec (IP Security) shihet se ky është një mekanizëm mbrojtës i

i IP-së (Internet Protocol), për siguri maksimale gjatë komunikimit në

rrjetin më të pasigurtë – Internetin.

Mbrojtja me shifrim, e cila aplikohet në nivelin e IP-së, vendoset në mes të

dy kompjuterëve që komunikojnë. Për mënyrën e kriptimit thuhet se është “end-

to-end” (në mes dy pikave fundore), që do të thotë se secili paket i të

dhënave mbetet i kriptuar deri sa të arrijë në destinacion dhe vetëm ai,

pranuesi mund ta dekriptoj atë. Paketet e kriptuar kalojnë lirshëm nëpër

Router-ët që hasin gjatë “rrugës” së tyre për në destinacion.

56 Windows Server

Sem_2 b.s.

Algoritmet për kriptim të sigurtë (MD-5 ose SHA-1) garantojnë që të dhënat

nuk janë ndryshuar gjatë transmetimit.

IPSec vepron në katër nivele:

kriptim dhe enkapsulim

identifikim i shfrytëzuesit dhe pengimi i falsifikimit të përmbajtjes së

paketeve

menaxhimi me çelësat e sigurisë, dhe

nënshkrimi digjital dhe certifikati digjital.

Në këtë mënyrë arrihet që IP-të e dërguesit dhe të marrësit të mbeten të

“maskuara”, të mëshehura.

PKI (Public Key Infrastructure)2

Infrastruktura për çelësa publik (PKI), është një tërësi e shërbimeve dhe

komponenteve që përdoret:

Për krijimin e sigurisë gjatë shkëmbimit të postës elektronike, si në

Internet ashtu edhe në Intranet

Që të mbrojë vendndodhjen e Web-it dhe transakcionet që kryhen me

klientët (shitjet e ndryshme p.sh.)

Për mbrojtjen e zgjëruar, të përforcuar, të sistemit për enkriptim të

fajllave (EFS)

Që të mundësoj shfrytëzimin e kartelave intelegjente, etj.

Direktoriumi Aktiv (Active Directorium)

Windows 2003 Server disponon me shërbimin e direktoriumit që quhet Active

Directorium (AD) - Direktoriumi Aktiv. AD është kombinim i direktoriumit dhe

i shërbimeve. Në fakt direktoriumi është një depo fizike që përmbanë objekte

të ndryshme, derisa shërbimet mundësojnë që resurset e direktoriumit të

shfrytëzohen. Ky kombinim mundëson që objektet e rrjetit që janë të ruajtura,

2 Ajo kryen këto funksione:

Menaxhimi me çelësa – PKI gjeneron çelësa të rinj, i kontrollon dhe i largon të vjetrit

Deklarimi (publikimi) i çelësave – PKI mbanë në evidencë të gjithë çelësat: edha ata që vlejnë

edhe ata që më nuk vlejnë. Çelësi shpallet i pavlerëshëm nësë konstatohet se është keqpërdorur ose

“vjedhur” (njëlloj sikur bankat që i bëjnë zhvlerësimin e kartelave bankare të vjedhura)

Shfrytëzimi i çelësave – PKI iu ofron aplikacioneve dhe shfrytëzuesve mënyrë të thjeshtë të

përdorimit të tyre. Përdorimi i çelësave është me rëndësi të madhe për siguri sa më të madhe të

organizatës ose kompanisë.

57 Windows Server

Sem_2 b.s.

të shfrytëzohen nga shfrytëzuesit e autorizuar ose nga grupet e

shfrytëzuesëve.

AD në fakt paraqet një bazë të dhënash e cila përmbanë informacione për

resurset në rrjetë dhe bënë njëkohësisht organizimin, menaxhimin dhe

kontrollimin e qasjes në resurse. Do të numërojmë vetëm disa nga përparësitë

e AD-së

Paraqitja e “njëfishtë” (single sign – on SSO) – kur përmes protokolit

Kerberos shfrytëzuesi identifikohet njëherë, atëherë atij i lejohen të

gjitha shërbimet e parapara për te (përmes grupit që i takon)

Dirigjimi me ndërrime brenda sistemit – përmes shërbimit Group Policy

(rregullat-politikat e grupit) mundësohet dirigjimi i ndërrimeve brenda

sistemit (të drejtat, kufizimet), si dhe ruhen të dhënat për

shfrytëzuesit dhe kompjuterët

AD-ja është një rezervoar univerzal i të dhënave, përmes të cilit në

mënyrë standarde mund të keni qasje në të gjitha objektet e rrjetit

sikur se janë: aplikacionet, shërbimet, kompjuterët, shfrytëzuesit dhe

proceset, dhe atë në tërë rrjetin lokal.

AD – ja i siguron administratorit të rrjetit një pikë të vetme të

administrimit, për të gjitha objektet e rrjetit. AD-ja gjithashtu

përmbanë informata për menaxhim (group policy), certifikata, si dhe

objekte shtesë si: aplikacione, printerë e paisje tjera.

AD-ja përdor këto komponente logjike:

Objektet – janë komponente të AD-së (në të vërtetë paraqesin instancat e

klasave të krijuara), që tregojnë organizimin e AD-së. Objektet në fakt janë

informata dhe resurse të organizuara që mund të shfrytëzohen.

Atributet – janë karakterikstikat e objekteve

Ekzistojnë katër përbërës (elemente) themelorë që e ndërtojnë strukturën e

një AD-je:

Site (Sajti) – vendi në rrjet që mban serverët aktiv të AD-së. Mund të

përmbaj një ose më shumë IP subnete3. Këto subnete janë të lidhur mes

veti me shpëjtësi të madhe (bandwidth) dhe me koneksion të sigurtë. Kur

sajti definohet si një grumbull subnetesh, administratori mund të bëj

konfigurimin e AD-së. Prandaj kur ndonjë shfrytëzues logohet

(ndërlidhet) në rrjet, si klient i AD-së, ai mund të gjej serverët e AD-

së dhe t‟i shfrrytëzoj ata.

3 Subnetet kontrollohen nga routerët, të cilët komunikojnë në mes veti dhe ndërojnë një rrjetë më të madhe me ç’rast bashkshfrytëzohen resurset

e deponuara në serverët e përbashkët !

58 Windows Server

Sem_2 b.s.

Domain (Domeni)4 – është bërthama e strukturës logjike të AD-së. Domeni

është në fakt një rrethinë e sigurtë. Ai paraqet një grup logjik të

kompjuterëve, serverëve dhe paisjeve tjera hardverike, të definuar nga

administratori, e të cilët bashkëshfrytëzojnë databazën e njejtë

(resurset). Domeni ofron qasje për një klient (user) ose grup klientësh

(group) që mirëmbahen nga administratori i sistemit (rrjetit).

Forest (druri) – Domenet janë të organizuar në strukturë hierarkike që

quhet forest (pyll-dru). Struktura fillon me domenin që quhet domeni

rrënjë i forestit (root domain). Domenet janë të aranzhuara në formën që

i përngjanë drurit familjar (gjyshër, prindër, fëmijë,…. – trungu

familjar !).

Dy qëllimet e forestit janë: 1. Të thjeshtësoj menaxhimin e më shumë

domeneve dhe 2. Të thjeshtësoj ndërveprimin (interakcionin) e klientit

(user-it) me direktorium.

Organizational Unit – OU (Njësia organizative) – Kontejner i objekteve

të cilat administratori i AD -së i përdorë për të bërë organizimin e

objekteve brenda domenit. Një OU mund të përmbajë objekte siq janë:

shfrytëzues (user), grupe (user account), serverë, kompjuterë, printer

dhe aplikacione.

Aftësia e AD-së, që të bëj qendërzimin (centralizimin) e administrimit dhe

kontrollimin e resuresve, është shumë me rëndësi për të krijuar një sistem të

sigurtë. AD-ja përdor OU –it për të organizuar resurset (burimet) e rrjetit

në hierarki(degëzim) logjike. AD mban informacione për klientët dhe resurset

në një lokacion si dhe i mundëson administratorit të rrjetit të bëj

përditësimin (update) e informatave lehtësisht. Klienti, për t‟iu qasur

ndonjë resursi në rrjet, duhet vetëm njëherë të identifikohet dhe pastaj të

gjitha veprimet dhe programet e lejuara per te, mund t‟i përdor. Kështu që

nuk ka nevojë për çdo shfrytëzim të ndojnë resursi ose paisje të

identifikohet - kontrollohet (check-ohet).

4 Domeni (ang. Domain), ose domeni i rrjetit është bashkësi logjike brenda rrjetit që ka kontroll në të gjitha resurset brenda vetvehtes. Mund të

ketë lidhje me Internet si dhe të jetë i arritshëm nga largësia.

Karatkeristikë e domenit është grupi i rregullave për siguri të cilat mbrojnë resurset brenda tij. Qasja në domen bëhet në nivelin e Aplikacionit të

OSI Modelit. Identifikimi për qasje në domen mundësohet përmes softverit interaktiv i cili mundëson që manualisht (përmes tastierës) të tregoni

identidetin tuaj ose edhe me kartelë intelegjente - përmes paisjes përkatëse që mundëson një gjë të tillë (lexuesit).

Me domene dirigjojnë kontrollerët e domenëve (ang. Domain controllers). Ata mbajnë baza të shënimeve në bazë të së cilave verifikohet

identiteti i shfrytëzuesit përmes fjalëkalimit. Ky proces quhet verifikimi i identitetit (ang. Authentication).

59 Windows Server

Sem_2 b.s.

Instalimi i Direktoriumit Aktiv

Puna e parë dhe shumë e rëndësishme në instalimin e Direktoriumit Aktiv të

Windowsit 2003 Server, është planifikimi i drejtë i zbatimit të DNS-it.

Direktoriumi Aktiv nuk mund të ekzistoi pa DNS. Edhepse DNS-i, për thjeshtësi

instalohet gjatë instalimit të Direktoriumit Aktiv, preferohet në bazë të

përvojave të tjerëve që DNS të instalohet para se të bëhet instalimi i

Direktoriumit Aktiv.

Prandaj nëse supozojmë se sistemi operativ Windows 2003 Server5) është i

instaluar 6) , puna e parë që duhet bërë është instalimi i DNS –it. Kjo rrjedh

kështu:

Duhet bërë së pari shtimi i shërbimit të DNS-it nga opsioni Windows

Components që arrihet përmes shtegut: Add/Remove Programs në Control Panel si

më poshtë:

Zgjedhja e komponentes DNS (çekimi)

5 Në trajtim është paraqitur instalimi i Windows 2000 Server, i cili është i njejtë me instalimin e versionit 2003

6 Instalimi i Windows 2003 Server bëhet njëlloj sikur instalimi i Windows 2000 Profesional ose Windows XP !

60 Windows Server

Sem_2 b.s.

Hapi ardhshëm është konfigurimi i zonës së DNS-it. Emri i zonës së DNS-it

është me rëndësi, dhe përgjithësisht sugjerohet një emër “privat” (jo emri

publik i kompanisë p.sh. )

Procedura vazhdon duke klikuar me të djathtin në: Forward Lookup Zones sipas

figurës më poshtë dhe bëhet emërtimi i zonës së DNS –it.

Pasi të bëhet emërtimi i DNS-it vazhdohet me procedurën si më poshtë. Duhet

pasur kujdes që të përzgjedhet opsioni: Standard Primary

61 Windows Server

Sem_2 b.s.

Në mënyrë që ky server, të shërbej si DNS server, duhet bërë konfigurimi me

IP. Duke shkuar tek vetitë (Properties) e TCP/IP – së, IP –ja e serverit

duhet të bëhet edhe IP e DNS serverit (fig. poshtë). Kjo fazë e konfigurimit

është shumë me rëndësi dhe nuk bën të kapërcehet !

62 Windows Server

Sem_2 b.s.

Pasi që kjo fazë është kompletuar, tash është e mundshme të fillohet me

instalimin e Direktoriumit Aktiv, duke e ekzekutuar komandën dcpromo nga

komanda Run, si më poshtë.

Vazhdon procedura si më poshtë, duke e zgjedhur opcionion si më poshtë:

Domain controller for e new domain.

63 Windows Server

Sem_2 b.s.

Duhet pasur kujdes që kur të përzgjedhet emri për domenin e Direktoriumit

Aktiv, të jetë saktësisht i njejti sikur për zonën e DNS-it që është bërë më

heret !

Vazhdon procedura për krijimin e domenit të ri “babë” (rrënjë) ose atij

“fëmij” (degë). Zgjedhet opsioni për krijimin e domenit të ri të pavarur

(rrënjë).

Hapat e ardhshëm janë të paraqitur me figura – kuptimi i të cilave kuptohet

nga teksti që përmbanë secila prej tyre.

64 Windows Server

Sem_2 b.s.

65 Windows Server

Sem_2 b.s.

66 Windows Server

Sem_2 b.s.

67 Windows Server

Sem_2 b.s.

68 Windows Server

Sem_2 b.s.

69 Windows Server

Sem_2 b.s.

Pasi që është bërë instalimi i Direktoriumit Aktiv, nga ky server mund të

arrihet Interneti pasi ky është konfiguruar si DNS server. Pasi që në

Internet ekziston kierarhia e DNS-ave sipas zonave, DNS ynë duhet të

konfigurohet ashtu që për domenet (Web faqet) për të cilët nuk i din IP-të,

duhet të kërkoj ndihmë nga DNS-ët e nivelit më të lartë. Në fletën Forwarders

konfiromhet butoni Enable forwarders dhe shkruhet IP-a e DNS serverit një

nivel më lartë se DNS –i ynë . Për çdo Web faqe për të cilën DNS ynë nuk e

din IP-in, i bënë kërkesë DNS-it të nivelit më të lartë (207.236.176.10 sipas

figurës) ti dal në ndihmë dhe t‟ia gjej ! Në Internet ekziston rrjeta e DNS-

ave ku secili prej tyre e ka dikend “kompetent” për t‟ia zgjidhur “problemin”

e gjetjes së IP-së.

70 Windows Server

Sem_2 b.s.

Tash pasi është bërë instalimi i Direktoriumit Aktiv si dhe i DNS serverit,

të gjithë klientët e brendshëm (userat - shfrytëzuesit) mund të futen në

domen dhe t‟i nënshtohen rregullave të domenit, të cilat i cakton

administratori.

Menaxhimi me Group Policy (rregullat e grupi)

Rregullat e grupit (Group policy) mund të aplikohen në usera (shfrytëzues)

ose në konfigurime të kompjuterit. Administratorët mund të përdorin këtë

vegël që të definojnë dhe të kontrollojnë se si resurset e rrjetit , sistemi

operativ dhe programet operojnë për usera dhe kompjuterë në një organizatë.

Në një ambient ku ka Direktorium Aktiv, vetitë e rregullave të grupit i

shoqërohen ndonjë kontejneri të Direktoriumit Aktiv siq është: sajti, domeni

ose njësia organizative. Vetitë zbatohen në usera ose në kompjuterë që i

takojnë atij kontejneri. Vetitë e rregullave të grupit, trashëgohen nga sajti

71 Windows Server

Sem_2 b.s.

në domen dhe në fund nga domeni në njësi organizative. Por rregullat mund të

bllokohen në secilin nivel: sajt, domen ose njësi organizative.

Rregullat e grupit vlejnë për të gjithë kompjuterët dhe userat e kontejnerit

të selektuar. Megjithate, mund të përdorën filterat brenda rregullave të

grupit për ndonjë user ose kompjuter të atij kontejneri. Kjo gjë e thjeshton

administrimin për usera që kanë kërkesa të ndryshme nga i tërë grupi.7

Konfigurimi i rregullave të grupit

Si rrjedh procedura e konfigurimit të rregullave, do të paraqitet me poshtë.

Së pari bëhet hapja e Direktoriumit Aktiv ( Start / Programs / Administrativ

Tools / Active Directorium) !! dhe zgjedhet Njësia Organizative (OU) në të

cilën do të aplikohen rregullat.

7 Fushat për siguri të cilat mund të konfigurohen për kompjuterë, janë: Account policies (rregullat e kontove) – vetitë e sigurimit të kompjtuerëve që vlejnë vetëm në nivelin e

domeneve dhe ate për: rregullat e fjalëkalimeve (paswords), rregullat e daljes (mbylljes - lockout) dhe

rregullat e Kerberosit në domenet e Windowsit 2000.

Rregullat lokale (Local Policies) – përfshijnë të drejtat e userave, vetitë siguruese për kontrollin e

rregullave, si dhe opsionet siguruese.

Event Log – përfshijnë vetitë kontrolluese për aplikacione, sigurim dhe sistem, të cilave mund t’u qasemi

përmes Event Viewer.

Restricted Group – i mundëson administratorit të caktoj rregulla për grupe me ndikim siq është

Adminstratori i Ndërmarrjes p.sh.

System services – kontrollon ngritjen e sistemit dhe qasjen në shërbimet e sistemit.

Registry – përdoret për kofigurimin e vetive për siguri siq është kontrolli i qasjes, auditimi dhe

objektet e sistemit.

72 Windows Server

Sem_2 b.s.

Klikohet me të djathtin mbi te dhe zgjedhet opsioni Properties

Nga tre fletet e mundshme zgjedhet fleta Group Policy

73 Windows Server

Sem_2 b.s.

Dhe përmes butonit New krijohet një objekt i ri i cili i përmbanë rregullat

që do të definohen në hapat e mëvonshëm.

Selektohet objekti i krijuar, dhe klikohet në butonin Edit

Shifet se kufizimet mund të bëhen për kompjuter (Computer Configuration)ose

për shfrytëzues (User Configuration).

Zgjedhet opsioni dhe rregulla (Në fig. Control Panel).

74 Windows Server

Sem_2 b.s.

Në dritaren e djathtë kemi mundësi të konfigurojmë rregullën e caktuar.

Klikojmë me te djathin dhe zgjedhim opsionin Properties.

Na ofertohen tri mundësi. Të mos bëjmë asnjë kofigurim (not Configured), ta Lejojmë (Enable) ose ta

ndalojmë (Disable) atë rregull.

75 Siguria në komunikim

Sem_2 b.s.

Siguria e serverit. Mbrojtja e Web faqeve në Internet

Nevoja për çështje sigurie

Nevoja për siguri, në shkëmbimet e mesazheve dhe marrjes së informatave në

Internet (web-i), është shumë e nevojshme. Në kushtet e zakonshme, pa aplikim

sigurie, paraqiten probleme gjate transmetimeve. Ti numërojmë disa nga ato:

Dobësitë që dalin si pasojë e përdorimit të formës standarde të webit janë:

E dhëna e dërguar nga klienti deri tek web serveri është e paenkriptuar

(pa shifruar); ajo është e ndijshme në përgjim, modifikim (ndryshim) dhe

ndërprerje.

Klienti nuk ka se si të sigurohet që web sajti që shfrytëzon është i

vërteti, dhe jo i rrejshëm. P.sh. duke pretenduar se është i vërteti,

ai mund të mashtrohet dhe t‟i japi “mashtruesit” informata të

rëndësishme.

Nëse klienti merr ndonjë e-mail , atëherë ai e-mail nuk është i sigurtë nga;

Përgjimi

Ndërprerja e mesazhit (mos arritja)

Modifikimi (ndryshimi) i mesazhit

Duplikimi ose ridërgimi i mesazhit

Kopjet (backup) jo të ruajtura mirë(sigururara), mund të “shihen” prej

të tjerëve

Nëse klienti ruan informacione të rëndësishme në Web server ose në bazë të të

dhënave, ato informacione gjithashtu do të jenë të rrezikuara nga:

Modifikimi (ndërrimi)

Kopjet e pasiguruara mund të shihen prej të tjerëve

Të tjerët mund të kanë qasje

Këto qështje janë shumë serioze – sidomos mundësia e madhe që të

“padëshiruarit” kanë për të ndërprerë arritjen e informacionit ose marrjen

(vjedhjen) e informacioneve shumë të rëndësishme.

Prandaj është shumë me rëndësi që të eleminohen të gjitha këto mundësi në

mënyrë që të garantohet siguria dhe sekreti i të dhënave.

Sigurimi SSL

SSL është teknologji standarde për siguri e cila krijon lidhje (link) të

shifruar (enkriptuar) në mes të Web serverit dhe browserit. Kjo lidhje

garanton që të gjitha të dhënat e përcjelluara mes Web serverit dhe browserit


Sem_2 b.s.

(klientit) mbeten private (sekrete) dhe integrale (të paprekura). SSL-i

është standard industrial dhe përdoret nga miliona Web sajte si mbrojtës në

komunikimet e tyre direkte me klientët, përmes Internetit (on-line).

Në mënyrë që të realizohet një lidhje SSL, protokoli SSL kërkon që serveri të

ketë të instaluar certifikaten digjitale. Kjo certifikatë i mundëson klientit

(Web browserit) të bëjë autentikimin e serverit para se të bëjë vendosjen e

sesionit (seances) SSL.

SSL (Secure Socket Layer) protokoli të cilin e ka zhvilluar kompania

Netscape, momentalisht është metoda më e përdorur për sigurimin e

komunikimeve në rrjete. E mbështet edhe Internet Exploreri.

SSL garanton integritet dhe intimitet të të dhënave si dhe autenticitet të

dërguesit duke shfrytëzuar kombinimin e kriptimit me çelës publik, kriptimit

simetrik dhe certifikatit digjital.

Shkëmbimi i të dhënave duke shfrytëzuar protokolin SSL rrjedh kështu:

Klienti inicon komunikimin (Tung ! – Hello)

Serveri përgjigjet dhe ia dërgon certifikaten e vet digjitale,

klientit. Serveri mund të kërkoj edhe certifikaten digjitale të klientit

për autentikim.

Klienti e verifikon certifikatën a marrur, dhe nëse i kërkohet dërgon

edhe të vehten.

Autentikimi përfundon.

Klienti i dërgon serverit çelësin e sesionit të kriptuar me çelësin

publik të serverit. Serveri e dekripton atë me çelësin e vet privat.

Kur të vendoset kontakti (sesioni), komunikimi mund të rrjedh në mënyrë

të sigurtë!

Pra:

Puna e parë për siguri është që të krijohen Web sajtet e sigurtë. Kjo do të

thotë të mirret një Certifikatë SSL dhe të instalohet ajo në Web serverin

tuaj. URL-ja e Web faqes suaj tash do të filloj me: https:// Tash klientët

tuaj mund të lidhen në Web faqen tuaj në mënyrë të sigurtë duke shfrytëzuar

URL-në e re që tregon se është një lidhje e sigurtë (për dallim nga URL-të

që fillojnë me http:// që tregojnë se lidhjet nuk janë të sigurta dhe

informatat që rrjedhin nuk kanë siguri ).

Duke shfrytëzuar Web sajtin e sigurtë keni këtë përfitim (benefit):

Të gjitha të dhënat e dërguara nga Web sajti juaj deri tek klientët tuaj janë

të enkriptuara kështuqë ato nuk mund të përgjohen, ndërprehen ose ndryshohen

gjatë transmetimit. Kjo është si një kanal i sigurtë në mes të klientit dhe

serverit në të cilin askush nuk mund të ndërhyjë (penetrojë).


Sem_2 b.s.

Cilat Web faqe janë të mbrojtura ?

Të gjitha faqet që kërkojnë nënshkrime digjitale prej klientit ose faqet që

pyesin për të dhëna personale janë të mbrojtura me enkriptimin SSL.

Në figurë është paraqitur një Web faqe, e cila ka karakteristikat e të gjitha

faqeve që janë të mbrojtura me enkriptimin (kriptimin) SSL. Këto faqe janë të

njejta sikur Web faqet tjera me këto dallimet e theksuara në figurë.

URL-ja e faqeve të mbrojtura ndërron nga: hhtp:// … në https:// …

Në këndin e djathtë të status bar –it paraqitet një dry me ngjyrë të

verdhë që simbolizon sigurinë e web faqes.

Nëse dëshiron që të shohish dhe të verifikosh

informatat mbi enkriptimin e faqes së mbrojtur,

vepro kështu:

Në Netspace – kliko në simbolin e dryrit dhe

selektoje butonin “View Certificate”

Në Internet Explorer – me klikim të dyfisht

mbi dryrin në këndin e djathtë të status

bar-it.

Në figurë është paraqitur dritarja e cila

paraqitet pas klikimit të dyfisht mbi dry. Këtu

është shfrytëzuar browseri Mozilla, i cili e

kishte teknikën e njejtë sikur Internet Explorer-


Sem_2 b.s.

i.

Këtu shihet se kjo web faqe kërkon autentikim

për ta vizituar. Identiteti i kësaj faqe

vertetohet nga VeriSign Trust Network, që në

fakt paraqet një CA.

Më poshtë mund të lexohet: se faqja është e

kriptuar para se të emetohet në Internet, si

dhe kjo e bën shumë të vështirë marrjen e

informatave nga të paautorizuarit.

Aty figuron edhe algoritmi i enkriptimit, që

është 256 bitësh.

Nëse klikojmë në butonin View, do të kemi

mundësi me e parë certifikatin të cilën e

disponon kjo Web faqe (ky server) e mbrojtur me teknologjinë SSL të

kriptimit.

Këtu shihen të dhënat si:

Emri i Web faqes, emri i organizatës, numri serik, CA (certificate

authoritet) që ka dhënë këtë certifikat, data deri kur është valid dhe SSL

certifikati i lëshuar nga CA-ja.

Dërgimi i mesazhit “e-mail”

Meqenëse zakonisht për të dërguar e-mail shfrytëzojmë shërbimet si Yahoo.com

ose Hotmail.com atëherë transportimin e e-mailit deri tek serveri SMTP e

bëjnë këto web faqe duke shfrytëzuar protokolin SMTP (simple mail transfer

protocol). Kurse browseri ynë shfrytëzon protokolin HHTP (Hiper text transfer

protocol) për të transferuar e-mailin tonë deri tek serverat e këtyre

shërbimeve (hotmail, gmail, ose yahoo).

Nëse dërgimin e e-mail-it e bëni duke shfrytëzuar programin si: Outlook të

Microsoftit, atëherë kjo kryhet drejtpërdrejtë me protokolin SMTP (shif

figurën).


Sem_2 b.s.

* Shumë shfrytëzues kanë njohuri të gabueshme në lidhje me sigurimin në

komunikimet në Internet. Një nga komunikimet e veqantë është edhe komunikimi

përmes letrave elektronike (e-mail).

Shfrytëzuesit, gabimisht mendojnë se vetëm pranuesi i e-mail-it mund ta

lexojë letrën e dërguar. E-maili në rrugën e tij të gjatë, mund të ruhet në

shumë serverë përgjatë rrugës së tij.

Nëse e-mail-i dërgohet brenda rrjetit, atëherë ai do të ruhet më së paku në

tre vende: Tek dërguesi, tek pranuesi dhe në server.

E-mail mund të krahasohet me një kartolinë e cila shkon prej dërguesit tek

pranuesi dhe të cilën mund të lexojnë të gjithë ata që e kanë në dorë.

Prandaj, nëse e-mail nuk është i kriptuar, mesazhi që bart lehtë mund të

lexohet, kopjohet përgjatë rrugës së tij nga dërguesi deri tek pranuesi.

Kujdes:Fshirja e mesazhit të e-mail-it në kompjuterin e shfrytëzuesit nuk

garanton se ndonjë kopje e tij nuk është në ndonjë ose më tepër server.

Ekzistojnë programe (software) për mbrojtjen e e-mail-ave. Ata lehtë

përdoren. Shumica prej tyre përdorin kriptimin me çelës publik dhe me

nënshkrim digjital për të ofruar mësheftësi të të dhënave dhe autentikim të

sigurtë.

Sigurimi i email-it me SSL

Gjëja më e lehtë që mund të bëni që emajli juaj të jetë i sigurtë, është që

të përdorni “email provider”-in i cili përkrahë SSL-in (Secure Socket Layer)

për serverët: WebMail, POP, IMAP dhe SMPT.


Sem_2 b.s.

1. SSL-i është kombinim i kriptimit simetrik dhe asimetrik. 8

Përparësitë e SSL-it janë të dyfishta:

Ju mund të determinoni, se a jeni të lidhur me serverin e vërtetë, dhe

Ju dhe serveri mund të komunikoni sigurtë.

Nëse gjatë komunikimit me server duke përdor SSL-in, merrni ndonjë mesazh me

vërejtje, atëherë kju mund të jetë si pasojë e këtyre rasteve:

Certifikatit SSL (p.sh. çifti i çelësave publi/privat) i ka kaluar

afati.

Disa nga informatat në certifikatë nuk përputhen me informatat që i pret

ti – p.sh. certifikata është lëshuar për ndonjë server tjetër, e jo për

ate që iu doni ta kontaktoni (Ju në mënyrë të gabuar – të pa matur jeni

lidhur tek serveri i gabuar !).

Certifikata është lëshuar nga ndonjë agjenci jo e besueshme.

Certifikatat SSL përgjithësisht lëshohen nga agjensitë e palës tretë sikur

janë: Thawte.com ose Verisign. Këto kompani të palës tretë bëjnë kontrollimin

e kompanive që bëjnë kërkesë për certifikatë dhe lëshojnë certifikata vetëm

për ato kompani që gëzojnë të drejten për to. Certifikatat përfshijnë: emrin

e kompanisë, emrin e kompanisë që i ka lëshuar certifikatën asaj, si dhe

emrin e serverit të cilit i është lëshu ajo. Kur ju lidheni me këtë SSL

server mund të verifikoni informatat e futura dhe faktin se ato informata

janë të lëshuara nga kompania e palës tretë, të cilës iu i besoni. Nëse

certifikata është valide, atëherë iu keni një shkallë të lartë të besimit se

serveri që keni kontaktuar është ai që keni kërkuar!

Duke e përdorur SSL-in për WebMail, POP, IMAP dhe SMPT ju garantohet që

komunikimet në mes të kompjuterit tuaj personal dhe kompjuterit(serverit)të

provajderit për shërbim të emajlit, janë të kriptuar. Përmbajtja e mesazheve

tuaja, emri i shfrytëzuesit dhe fjalëkalimi (user name dhe password) do të

jenë të mëshehura nga përgjuesit në mes jush dhe provajderit të shërbimit.

8 Nëse lidhesh me serverin duke përdor protokolin SSL, do të ndodhin këto veprime:

1. Serveri përdor çelësin e vet privat, që të iu dokumentoj juve që ai është serveri të cilin doni ta

kontaktoni. Kjo ju bind se nuk jeni i lidhur me ndërmjetësuesin e cili po tenton që të ndërhyj në

komunikimin tuaj.

2. I dërgoni serverit çelësin tuaj publik

3. Serveri gjeneron “çelësin sekret” dhe e dërgon atë tek ju të kriptuar, duke përdorur çelësin tënd

publik

Ju dhe serveri pastaj komunikoni duke përdorur kriptimin simetrik me “çelësin sekret” të përbashkët – të

njejtë (Kriptimi simetrik është më i shpejtë se kriptimi asimetrik).


Sem_2 b.s.

Por shërbimi SSL nuk e mbron mesazhin tuaj, kur ai e lëshon Serverin SMPT dhe

shkon ka destinacioni i tij. Kështu që edhepse nuk mbrohet me shumë siguri

mesazhi juaj, komplet mbrohet emri dhe paswordi juaj. Kjo është shumë me

rëndësi.

SSL-i është shumë lehtë me u përdorë. Kjo zakonishtë nënkupton klikimin e

disa kutizave për konfirmim (checkbox) në konfigurimin si emajl klient. Këto

masa ju mbrojnë juve dhe paswordin tuaj. Prandaj përdorimi i SSL-i për

komunikim përmes emajlit është i domosdoshëm.

Mbrojtja nga “e-mail”-at e rrezikshëm në nivelin e Browser -ëve

Windows Live Hotmail është një shërbim (servis) i cili ofron shërbimin e “e-

mail” –it dhe sigurinë ia ofron browseri Mozila Firefox.

Rrezik potencial për siguri paraqesin e-mail-at e padëshiruar dhe të

rrezikshëm (spam). Ky shërbim ofron mekanizma mbrojtës për e-mail-at e tillë.

Më poshtë do të paraqesim shkurtimisht se si mund të mbrohemi nga e-mail-at

keqbërës nëse e përdorim këtë shërbim.

Çdo e-mail që e pranoni mund ta shpallni si të sigurtë (safe) ose të pa

sigurtë (unsafe). Nëse e shpallni si të pasigurtë, ai nuk do të hapet si dhe

do t‟i ndalohet për një kohë të gjatë që t‟iu dërgoj mesazhe! Gjithashtu ai

do të marr njoftimin se adresa juaj nuk është valide! Përndryshe nëse e

vlerësoni se mesazhi duhet të jetë në rregull ose nga person i njohur atëherë

klikoni në “mark as safe” dhe ai hapet.

Mesazhet(e-mailat) që vijnë paraqiten në këtë formë:


Sem_2 b.s.

Windows Live Hotmail iu ndihmon me mekanizmat e vet që të iu bëjë më të lehtë

identifikimin e mesazheve që vijnë e që paraqesin rrezik për ju. Shiriti, në

krye të njoftimit mbi ardhjen e mesazhit, mund të ketë ngjyra të ndryshme.

Nëse ngjyra është bardhë atëherë mesazhi vie nga dikush që e ke në listen e

kontakteve, pra nga dikush i njohur. Prandaj si i tillë nuk paraqet rrezik.

Nëse ngjyra është e verdhë atëherë mesazhi vjen nga dikush që nuk është në

listen tënde, prandaj duhet pasur kujdes. Kurse

Nëse ngjyra është e kuqe atëherë duhet pasur kujdes sepse është fjala për

mesazh jo dashamirës por keqbërës.


Sem_2 b.s.

Këndellja pas “katastrofave” dhe krijimi i kopjeve rezervë

Administratori i rrjetit ka për detyrë që në rastet kur vie tek shkatërrimi i

të dhënave si rezultat ose i prishjeve hardverike ose për ndonjë arësye

tjetër, të ketë kopje rezervë të të dhënave sepse e tërë kompania ose

organizata është e varur prej ti. I tërë afarizmi dhe të dhënat shumë të

rëndësishme ruhen në hard disqet e serverëve dhe nëse nuk ka kopje rezervë

kur të vijë tek rënja e sistemit, do të krijohen probleme shumë të mëdha.

Administratorët për krijimin e kopjeve rezervë duhet të jenë të përgatitur,

të përgjegjëshëm dhe gjakëftohët. Ata duhet vazhdimisht ti avansojnë veprimet

dhe strategjinë e tyre sepse kompania varet prej tyre.

Përse me kriju kopje rezervë ?

Objektivisht, ekzistojnë dy arësye për krijimin e kopjeve rezervë, por

teknologjia në të dyja rastet është shumë e ngjashme:

Ruajtja e të dhënave për mbajtje të evidencës (p.sh., kopjet rezervë që

krijohet çdo muaj e ruhen një vit)

Regjenerimi pas katastrofave (ang. Disaster Recovery – DR) ose këndellja

e sistemit.

Duhet pas parasysh, se cilët fajlla (ose baza të të dhënave) janë vital për

organizatën dhe sa shpesh duhet riruajtur ata.

Përmbajtja e kopjeve rezervë

Shpesh administratorët zbatojnë strategjinë më të thjeshtë për ndërtimin e

kopjeve rezervë, e ajo është: krijimi i kopjeve të të gjithë fajllave në

makinë ose rrjetë dhe që të gjithë i vendosin bashkë.

Më mirë është që fajllat t‟i ndajnë në dy grupe:

fajlla sistemor – sistemi operativ dhe aplikacionet (programet). Ata

ruhen përderisa nuk ndërrohet verzioni i sistemit operativ ose ndonjë

programi, si dhe

fajlla të të dhënave – janë fajlla që ndërrohen çdo ditë si: fajlla të

programeve për përpunim të teksteve, fajlla të bazave të të dhënave,

fajllat grafik dhe konfigurues (Registar, DHCP, WINS, DNS dhe

direktoriumi aktiv – Active directory) – p.sh. për një sistem operativ

të një serveri !

Kopjet rezervë

Para se të fillohet krijimi i kopjeve rezervë, duhet dijtë se si përdoret dhe

si funksionon programi për këtë veprim.


Sem_2 b.s.

Kopja rezervë në fakt është kopje identike e një baze shënimesh (bashkë me

dokumentacion) e ruajtur në mediume memoruese, zakonisht në formë të

komprimuar. Ajo ruhet në vend të sigurtë, shpesh larg origjinalit.

Në çdo medium ku ruhen kopjet rezervë, së bashku me to ruhet edhe

dokumentacioni për ata fajlla si formë e historisë së tij ( si data e

krijimit, madhësia etj.).

Praktikë:

Krijimi i kopjes rezervë (backup) në Windows 2000 (Server + Profesional). Në

vazhdim do të paraqesim procedurën detaje e krijimit të kopjes rezervë

(backup-it) në Windows 2000.9

9 E kjo procedure duhet të jetë e ngjashme edhe në versionin XP të Windowsit.

Përmes shtegut: Start/Programs/Accessories/System Tools/Backup niset procedura për krijimin e backup-it.


Sem_2 b.s.

Fillon proqesi me mirëseardhje. Kliko Next

Nga tre opcionet zgjedhet i pari :

Backup Wizard.


Sem_2 b.s.

Bëhet përzgjedhja e folderëve, fajllave ose edhe e pjesëve komplete të diskut (drives), që do të ruhen si rezervë, me vendosjen e “kërrabzës” përpara.

Kliko Next.

Bën zgjedhjen e asaj se çka do të kopjosh. Çdo gjë në kompjuter Folderët, fajllat e selektuar, ose Vetëm fajllat sistemor. Pas përzgjedhjes së opcionit pare, kliko

Next.


Sem_2 b.s.

Zgjedhe emrin për kopje (backup). Kliko

Open

Zgjedhe vendin se ku do ta ruash backup-in, duke klikuar në Browse. Pastaj kliko

Next.

Përfundimi i proqesit.

Kliko në Finish.


Sem_2 b.s.

Proqesi i krijimit të kopjes reserve – kopjimi i fajllave në folderin e zgjedhur.

Treguesi se backup-i ka përfunduar.


Sem_2 b.s.

Restaurimi (këthimi) i kopjes rezervë (backup-it)

Me klikim në Report, do të paraqitet raporti për fajllat e kopjuar dhe ata të cilët nuk kanë mundur të kopjohen për shkak të asaj se kanë qenë të hapur – në shfrytëzim (skiped).

Nëse duam të shikojmë vendin se ku e kemi të ruajtur bacup-i shkojmë tek folder i duhur (backup) dhe e hapim. Aty shihet backupi (kopja_rezervë)

Nga tre opcionet zgjedhet opcioni i dytë: Restore Wizard, i cili nis procedurën për restaurimin e kopjes rezervë.


Sem_2 b.s.

Mirëserardhja për proqesin. Kliko në Next.

Zgjedhe folderin të cilin do të restaurosh. Kliko në Next.


Sem_2 b.s.

Nëse dëshiron që restaurimin ta bëni në folderin original, kliko

në Finish, nëse doni ta ruani në ndonjë vend tjetër atëherë kliko në

Advanced

Kliko : Alternate location dhe Next më pastaj.

Në Browse zgjedh folderin se ku don me e vendosur kopjen rezervë.


Sem_2 b.s.

Në Browse zgjedh folderin se ku don me e vendosur kopjen rezervë.

Nëse pajtohesh me zgjedhjen tënde kliko në Next, e nëse jo kliko në Browse dhe zgjedhe vendin e ri e pastaj në Next.


Sem_2 b.s.

Zgjedh opcionin për ate se si do të bëhet restaurimi. Rekomandohet opcioni i pare : Fajlat që ekzistojnë në disk të mos zëvendësohen me këta të rinjët. Next

Zgjedhe opcionin e pare dhe kliko: Next.


Sem_2 b.s.

Përdundimi i proqesit. Kliko Finish.

Nëse pajtohesh me zgjedhjen tënde kliko në OK,

Përdundimi i proqesit. Kliko Finish.

Rrjedha e procesit. Restaurimi.


Sem_2 b.s.

Rrjedha e procesit.

Nëse e hapim folderin Rezerva ku është bërë ruajtja e kopjes rezervë, shihet folder i ruajtur 2006_2007.


Sem_2 b.s.

Firewall-i

Ç’është firewall –i ?

Është thjeshtë një program – softver ose një paisje – hardver i cili ndalon –

filtron informatat të cilat vijnë përmes Internetit në rrjetin e kompjuterëve

ose vetëm në një kompjuter.

Është një masë për siguri që mbron kompjuterin ose rrjetin kompjuterik nga

qasja e paautorizuar. Fatkeqësisht në botën e sotme të kompjuterit, ka plot

hakera devijant, të zellshëm, që tentojnë të arrijnë deri tek informatat e

kompjuterit. Përpara, cak kanë qenë institucionet e mëdha, kurse sot hakerëve

iu interesojnë edhe të dhënat personale nga çdo kompjuter.

Para 5,6 vitesh ata të cilët e kanë përdorur firewallin kanë qenë bankat,

bizneset dhe veprimtaritë qeveritare. Kohërat kanë ndryshuar. Sot, për të

pasur një firewall të mire është njëlloj e rëndësishme sikur me pas një

mbrojtje antivirus.

FireWall-i mund të jetë softver, hardver, ose kombinim i të dyjave. Firewalli

i mirë do t‟i pengojë hakerët për t‟iu qasur kompjuterit. Ai gjithashtu nuk

do të lejoj që nga kompjuteri të dalin informata pa lejen tuaj. Pra

informatat personale do të jentë të sigurta. E vërteta, firewalli nuk do të

mund të pengoj ataket e virusëve por në disa rrethana mund t‟i pengojnë

virusët që të nxjerrin jashtë informata nga kompjuteri i infektuar.

Nëse qasjen ne Internet e keni përmes lidhjes DSL (broadband) ose me kabëll,

definitivisht duhet të posedoni firewall-in. Pasi lidhjet broadband janë

gjithmonë “on” dhe të përbashkëta, është më lehtë për një haker të hyj në

kompjuterin tënd.Prandaj është esencialisht e rëndësishme që kompjuterët që

përdorin këtë lloj lidhje me Internet , të disoponojnë me këso softverësh

mbrojtës.

Edhe nëse për lidhje në Internet shfrytëzoni lidhjen dial-up, firewall-i

është i mirëseardhur. Kjo për arësyen se ekzistojnë programe, si spajver dhe

adverë që janë programe invaduese dhe që “këthejnë” informata tek personi që

i ka krijuar ato. Kështuqë firewalli i mirë do t‟iu sinjalizoj për informatat

që do të “marrin rrugë” nga kompjuteri yt pa iniciativën tënde!

Mënyra më e lehtë për t‟u paisur me firewall, është përmes softverit, i cili

instalohet sikur edhe çdo program tjetër. Shumica e softverëve mbrojtës

pengojnë që informatat e paautorizuara të dalin jashtë kompjuterit. Duhet


Sem_2 b.s.

pasur kujdes para se me u paisur me softver mbrojtës se a është ai firewall

dy direkcional (dy drejtimësh). Disa nga softverët mbrojtës vetëm iu

alarmojnë kur dikush prej së jashtmi tenton të hyj në kompjuterin tënd.Këta

sofverë mbrojtës njëdirekcional nuk kontrollojnë informatat e paautorizura që

dalin nga kompjuteri.

Firewall-i i ndërtuar brenda sistemit operativ XP, fatkeqësisht është

njëdrejtimësh. Ai mund të kontrolloj vetëm informatat që vijnë nga jashtë.

Është më mire se asgjë, por për mbrojtje komplete nevojitet një firewall

bidirekcional.


Sem_2 b.s.

Si ta bëjmë Firewallin të përshtatshëm

Filtrimi i të dhënave që e bënë firewalli, mund të bëhet sipas disa

elementeve apo kritereve. Këto kritere ose kushte mund të ndërrohen sipas

nevojës. Disa nga këto janë:

IP Adresa

– Nëse një kompjuter jashtë kompanisë është duke marrë (lexu) shumë fajlla

nga serveri i kompanisë, firewall-i mund ta bllokon tërë trafikun kah ai ose

nga ai kompjuter, duke e marrë parasysh IP adresën e tij.

Emrat e domeneve (Domain name)

– Filtrimi mund të bëhet sipas emrave të domeneve. Nëse dëshirohet që një IP

të bllokohet ose të lejohet, atëherë kjo mund të bëhet edhe përmes emrit të

domenit, së cilës i takon IP –ja. Shembuj të domeneve janë: MSN, Google etj.

Protokolet

– Protokolet e caktuar mund të bllokohen (filtrohen) ose të lejohen me

firewall. Protokolet të cilët mund të menagjohen janë: IP, TCP, HTTP, FTP,

UDP, ICMP, SMTP, Telnet, SNMP etj.

Kompania p.sh. mund ta lejoj një protokoll të caktuar për disa kompjuter,

kurse për të tjerët ta ndaloj atë (p.sh. nëse ai protokol është SMTP fjala

është për e-mail. Atëherë vetëm ata kompjuter të cilëve u lejohet, kanë

mundësi ta përdorin e-majlin, kurse të tjerët jo).

Portet

– Dijmë se secili protokol ka numrin e vet të portit (p.sh. HTTP e ka 80, FTP

– 21 etj.). Me firewall p.sh. mund të bllokohet porti i caktuar për të gjithë

kompjuterët e rrjetit, përveq për disa (të rëndësishëm). Mundësitë janë të

shumta.

Teksti

– Firewall-i mund ta bllokoj edhe një tekst të caktuar. Paketet të cilat

përmbajnë atë tekst – shkatërrohen derisa tjerat lejohen.

Përzgjedhja e firewallit

Në Internet, hakerat përdorin kode malicioze (helmuese si: viruses, worms

dhe Trojan horses), që të provojnë me gjetë kompjuterë të pambrojtur.

Përderisa disa atake, sulme, janë vetëm të bezdisshëm që mund të shkaktojnë

ndonjë mashtrim, të tjerët mund të kenë qëllime malicioze – të dëmshme. Ata

mund të provojnë që të fshijnë informata nga kompjuteri yt, ta dëmtojnë

kompjuterin ose të përvetësojnë informata personale sikur: paswordi ose numri

i kartelës së kreditit.


Sem_2 b.s.

Për fat të mire, ti mund të zvogëlosh rrezikun nga infektimi duke përdorur

firewall-at. (bukvalisht.”mur i zjarrët”).

Firewall-i bënë ekzaminimin e informatave që vijnë nga Interneti dhe atyre që

shkojnë në Internet. Ai i identifikon dhe i ndalon informatat që vijnë nga

lokacione (vende) të rrezikshme ose që duken si të dyshimtë.

Kur ta aktivizoni firewall-in tuaj në mënyrë korrekte, hakerët duke kërkuar

kompjuterë të pambrojtur, nuk mund ta detektojnë (gjejnë) kompjuterin tënd.

Ekzistojnë dhe janë në dispozicion tri tipe bazike të firewall-ave. Puna e

parë është të përcaktohesh cili nga këta është më i përshtatshëm për ty !

Mundësitë për zgjedhje përfshijnë këto tipe:

Firewallat softverik, dhe

Firewallat hardverik

Routerat hardverik

Routerat “Wireless” (pa tela)

FireWall-at softverik janë zgjedhje e mirë për një kompjuter të vetëm (jo për

rrjetë kompjuterash); ata punojnë me të gjitha versionet e Windowsit (98,

ME, 2000), derisa dy versionet e fundit XP dhe Vista e kanë të inkorporuar

brenda sistemit operativ kështuqë tek ta asnjë shtesë nuk është e

domosdoshme.

Këto mbrojtje softverike janë në dispozicion nga kompani të ndryshme

softverike. Në tabelë do të paraqiten përparësitë dhe të metat e këtyre

softverëve.

Përparësitë Të metat

Nuk kërkojnë shtesë hardverike Çmim shtesë. Softverët zakonisht

kushtojnë!

Nuk ka nevojë për lidhje të re

(tela).

Instalimi dhe konfigurimi nevojitet për

aktivizim !

Opcion i mire për kompjuter të

vetëm

Për secilin kompjuter nevojitet nga

një kopje.

Routerat hardverik

Këta routera janë zgjidhje e mirë për rrjetat “shtëpiake” të cilat lidhen në

Internet.

Karakteristikat pozitive dhe negative të tyre janë ta paraqitur në tabelë:


Sem_2 b.s.

Përparësitë Të metat

Routerat kanë zakonisht më së paku

katër porte rrjeti, për të lidhur më

shumë kompjuter bashkë.

Kërkojnë vendosjen e kabllove për

lidhje, çka do të bëjnë pak rrëmujë !

Ofrojnë mbrojtje për më shumë

kompjuterë.

Routerat “pa tela”

Nëse ke planifikuar të përdorësh rrjetin wireless, të nevojitet një router

Wireless.

Përparësitë Dobësitë

Routeri Wireless të mundëson që të

lidhësh kompjuterët, laptopët,

printerët pa përdorimin e telave

(përçuesëve).

Paisjet Wireless emitojnë informatat

përmes radiovalëve, kështuqë ato

sinjale mund të pranohen prej dikujt

jashtë shtëpisë – rrjetit.

Janë të shkëlqyeshëm për lidhje të

laptopëve në rrjetë dhe Internet.

Kërkohet pagesë extra për këtë paisje.

Jo të gjithë routerat posedojnë

firewallin e instaluar, kështuqë duhet

bërë porosi e veqantë !

Instalimi i firewall-it është vetëm një masë sigurie në kërkimin nëpër

Internet. Duhet të vazhdosh ta përforcosh sigurimin e kompjuterit duke bërë

përditësime (update), duke përdorur softverë antivirus dhe antispajverë!

Proxy server

Proxy serveri është server i cili vendoset në mes të aplikacionit të

klientit, siq është p.sh. Web brovseri dhe të serverit real ku janë të

deponuara të dhënat. Ai ka qëllim sigurimin e rrjetit dhe rritjen e

shpejtësisë së Internetit.


Sem_2 b.s.

Ai i “kap” të gjitha kërkesat që i shkojnë serverit real për të parë se a mos

mundet ai vet me iu përgjegj asaj kërkese. Nëse po, atëherë nuk e len

kërkesën me shku tek serveri real por ai vet i përgjigjet klientit. E nëse

nuk e ka përgjigjen për atë kërkesë, e përcjell atë për tek serveri real.

Proxy serveri, kryesisht ka këto qëllime:

1. Përmirësimi i performansave (karakteristikave):

Proxi serveri mundet që në mënyrë dramatike të përmirësoj performansat për

grupe të shfrytëzuesëve. Sepse ai ruan rezultatet (pergjegjet) nga të gjitha

kërkesat që janë bërë gjatë një periudhe kohore të caktuar.

Ta ilustrojmë me shembull: Të marrim rastin kur dy shfrytëzues: X dh Y i

qasen Webit për ndonjë Web faqe (kërkesë) përmes proxy serverit. Të supozojmë

se shfrytëzuesi X kërkon faqen_1, të cilën edhe e “merr” përmes Proxit. Proxi

e ruan atë faqe. Pak më vonë, të njejten faqe e kërkon edhe shfrytëzuesi Y

dhe Proxi, meqë e ka ate të ruajtur menjëherë ia servon atij, duke mos e

“lënë” atë që ta drejtoj kërkesën tek serveri real.

Pasi Proxi zakonisht është në të njejtin rrjet me shfrytëzuesin Y shpejtësia

e përgjigjes është e madhe.

Proxy serverët mund të shërbejnë për qindra ose mijëra shfrytëzues. Shërbimet

e mëdha America on-line, MSN, Yahoo, p.sh. disponojnë me më shumë serverë.

2. Filtrimi i kërkesave

Proxy serverët mund gjithashtu të përdorën për filtrimin e kërkesave të

caktuara. P.sh. mund të bllokohet qasja në Web faqe të papërshtatshme.

3. Kontrollimi i shfrytëzuesëve

Shfrytëzuesit të cilët i qasen Internetit përmes Proxi serverit, mund të

kontrollohen përmes autentikimit. Ekzistojnë shumë mënyra të autentikimit si

p.sh. Sipas IP adresës, IP brezit (IP range), MAC adresës, Emrit dhe

fjalëkalimit (User Name/Password), si dhe kombinimet e tyre si: IP + User

Name / Password, MAC+ User Name / Password dhe IP + MAC.


Sem_2 b.s.

4. Menaxhimi i bandwidthit

Proxi serveri mund të ndaj - caktoj edhe bandwidthe të ndryshme për

shfrytëzuesit. Ai mund të kontrolloj performansat e Internetit duke e

kontrolluar bandwidthin dhe duke penguar “tollovinë” – ngarkesën në rrjete që

mund të shkaktohet nga shfrytëzuesit që downlodojnë fajlla. Pra e limiton

downloadin !

ISA Serveri (Internet Security and Acceleration Server)

Bizneset, kompanitë, duhet që për partnerët dhe shfrytëzuesit e shërbimeve të

tyre t‟u ofrojnë të dhëna, dokumente dhe aplikacione me mundësi të qasjes nga

largësia përmes Internetit. Këto të dhëna, aplikacone ose dokumentacione të

kompanisë duhet që të jenë të mbrojtura nga sulmet nga jashtë.

ISA Serveri 2006 p.sh. mundëson që organizatat, kompanitë, të bëjnë

sigurimin e serverëve të tyre publik, që i kanë në dispozicion për shfrytëzim

me qasje nga jashtë - përmes Internetit.

Prandaj, Në mes të Internetit dhe serverave brenda kompanisë (si Web server,

servera të të dhënave etj) vendoset ISA serveri i cili bënë “legjitimimin” e

vizitorëve të jashtëm, kështuqë në një far forme bën sigurimin e rrjetit.

(shif fig.)

ISA serveri disponon me metoda nga më të ndryshmet për autentikim, në mënyrë

që të lejoj qasje vetëm të autorizuarëve.


Sem_2 b.s.

Përdorimi i HTTP Filterit për të mundësuar Qasje të sigurtë HTTP

ISA Server i Microsoftit ofron një kontroll shumë të detajuar për komunikimin

përmes protokolit HTTP. Kjo kontroll në fakt është në formë të HTTP filterit.

Ky filter e “shoshit” tërë trafikun HTTP që kalon nëpër serverin ISA dhe

lëshon vetëm kërkesat e duhura. Ky në mënyrë të ndjeshme rritë sigurinë e Web

serverit sepse ai do të përgjigjet vetëm në kërkesat valide. Kjo mundëson

gjithashtu edhe kontrollimin e veqorive të klientëve që i qasen ISA

serverit.

Filtrimi HTTP mund të aplikohet në këto dy raste (skenare):

1. Klientët që dalin nga rrjeta e brendshme për t‟iu qasur objekteve HHTP

(Web faqeve), në rrjetin tjetër (të jashtëm), domosdo duhet të kalojnë përmes

ISA serverit. Ky bën kontrollimin dhe aplikimin e rregullave të qasjes,

gjegjësist aplikon filtrimin (ndalimin ose lejimin) për web faqet e caktuara.

2. Klientët nga Interneti që iu qasen objekteve HTTP (Web faqeve) në Web

serverin publik të kompanisë, kalojnë përmes kompjuterit që shërben si ISA

server, i cili aplikon rregullat e filtrimit.

Në të dy rastet, mund të aplikohen nivele dhe tipe të ndryshme të filtrimeve

varësisht prej kërkesave. P.sh. mund të përdoret filtrimi HTTP për të

bllokuar një shërbim në tërësi, ose për të bllokuar për një pjesë të

klientëve derisa për të tjerët është i lirë.


Sem_2 b.s.

Rrjeti Virtual Privat

Rrjeti Virtual Privat (VPN – Virtual Private Network) është rrjet privat i

konstruktuar brenda infrastrukturës së rrjetit publik, sikur është Interneti.

Nëse sypozojmë se kemi një kompani me më shumë degë të saja të shpërndara dhe

të larguara nga njërat tjetra, normalisht që degët duhet të komunikojnë

sidomos më qendrën për të shfrytëzuar të dhënat e përbashkëta ose për ti

dërguar ato. Në këtë rast mund të krijohet kjo mundësi: Duke shfrytëzuar VPN-

në repartet ose degët e kësaj kompanie mund t‟i qasen rrjetit të qendrës së

vet. Me këtë rast, përmes Internetit, ndërtohen tunele të sigurtë në mes

LAN-it të qendrës dhe atyre të degëve, respektivisht mundësohet komunikimi në

mes së kompjuterëve të degëve dhe atij në qendër (serverit, p.sh.).

VPN-ja është i sigurtë sikur edhe rrjeti privat. Përdorimi i VPN-së është më

i levërdishëm në aspektin financiar për të vendosur një lidhje “pikë për


Sem_2 b.s.

pikë” (point – to – point) në mes të dy shfrytëzuesve në distancë se sa

lidhja private ( e dedikuar).

Tri llojet kryesore të VPN-ve janë:

VPN i me qasje të gjërë (Access VPN) – mundëson qasje nga largësia për

shfrytëzues mobil (në lëvizje), zyra të vogla, telekomuterë, shtëpi,

shfrytëzuesit e një Intraneti ose Ekstraneti etj. Këtë e arrinë përmes

infrastruktures së përbashkët. Ky rrjet virtual privat përdorë teknologji të

ndryshme si: dial-up, ISDN, DSL, me kabëll etj. për t‟i lidhur në mënyrë të

sigurtë shfrytëzuesit mobil, zyret e degëve të kompanisë, telekomuterët 10)

etj.

Intraneti (Intranet)– është rrjet virtual privat i cili shfrytëzon lidhjet e

dedikuara (të posaçme) për të lidhur zyret regjionale dhe ate në distanca të

mëdha, në një rrjet të brendshëm (intern). Gjithë këtë e arrinë duke

shfrytëzuar infrastrukturën e përbashkët. Në Intranet kanë qasje vetëm

punonjësit të ndërmarrjes.

Estraneti (Extranet) – është rrjet virtual i cili shfrytëzon lidhjet e

dedikuara për t‟i lidhur partnerët afarist në një rrjet të brendshëm (intern)

duke shfrytëzuar infrastrukturën e përbashkët.

Ekstraneti ndryshon nga Intraneti në atë se lejon qasjen e shfrytëzuesëve

jashta ndërmarrjes, derisa Intraneti lejon vetëm ata brenda ndërmarjes t‟i

qasen atij.

10

telecommuter – punëtori i cili punon në shtëpi, jo në zyrë pra, prej nga i kryen të gjitha aktivitetet e veta të punës. Me këtë redukohen shpenzimet e tij, rritet siguria si dhe kursehet koha sepse që të gjitha i ka në shtëpi.


Sem_2 b.s.

Intraneti dhe Ekstraneti

Intraneti është një LAN i zakonshëm. Web serverët e Intranetit ndryshojnë

prej atyre publik. Për t‟iu qasur Web serverëve të një Intraneti të ndonjë

ndërmarrjeje ,shfrytëzuesit duhet të posedojnë leje të duhur dhe fjalëkalime

(passwords).

Intranetët janë të dizajnuar ashtu që të lejojnë shfrytëzuesit e privilegjuar

në LAN-in intern të një organizate. Web serverët janë të instaluar brenda

Intranetit. Shfrytëzuesit përmes browserëve mund t‟u qasen informacioneve

finanaciare, grafike ose të të dhënave të ndryshme nëpër ata serverë.

Ekstraneti është në fakt për nga aplikacionet dhe shërbimet që ofron

Intranet, por ai kërkon qasje më të sigurtë, dhe më të zgjëruar (përforcuar)

për shfrytëzuesit jashtë organizatës. Kjo qasje zakonisht kalon nëpër:

fjalëkalime (passëords), identifikimet e shfrytëzuesëve (user ID), si dhe në

sigurime tjera të nivelit Aplikativ (Application level).

Një Ekstranet është zgjërim i dy ose më tepër Intranetave me një ndërveprim

(interakcion) të sigurtë mes veti. Me fjalë tjera bashkëpunimi i dy ose më


Sem_2 b.s.

shumë organizatave që kanë përbrenda vetit Intranete, mund të konsiderohet si

një Ekstranet.

Protokolet e enkapsulimit në VPN

Shumica e VPN –ve bazohen në krijimin e rrjeteve private në distancë, duke

shfrytëzuar Internetin, përmes tuneleve komunikues që krijohen me këtë rast.

Në thelb, tunelimi është proces ku i tërë paketi vendoset brenda një paketi

tjetër – të jashtëm dhe transmetohet nëpër rrjet. Protokoli i paketit të

jashtëm është i kuptueshëm për rrjetin dhe pikat fundore komunikuese ( që

quhen: interfejsat e tunelit) në të cilat paketet hyjnë dhe dalin.

Tunelimi kërkon tri protokole të ndryshme:

1. Protokoli bartës (carrier protocol) - Protokoli që shfrytëzohet nga

rrjeti për bartje të informacionit (varet nga teknologjia e WAN-it që

bën bartjen ! – p.sh. TCP)

2. Protokoli i enkapsulimit (Encapsulating protocol) – Protokoli i cili e

mbëshjell informacionin origjinal (IPSec, L2F, PPTP, L2TP).

3. Protokoli adresues - udhëtues (Passenger protocol) - protokolet adresues

të informacioneve origjinale që barten (IPX, IP, NetBeui)


Sem_2 b.s.

Konstituimi i VPN – lidhjes (Në Windows XP)

Të tregojmë se si përmes sistemit operativ Windows XP mund të krijohet një

lidhje VPN përmes magjistarit (Wizard), duke i dhënë informacionet e duhura

gjate procedurës.

Shtegu: Start / Control Panel / Network and Internet Connection dhe zgjedhet:

My Network Places.

Pastaj klikohet në :View my network

connections

dhe Create e new connection me ç‟rast

paraqitet Magjistari për krijimin e

lidhjes së re


Sem_2 b.s.

Klikohet në Next

Zgjedhet opcioni i dytë dhe Next


Sem_2 b.s.

Zgjedhet opsioni: Virtual Private Network connection dhe klikohet Next.

Shkruhet emri i serverit me të cilin

do të lidheni ose emri i lidhjes dhe

klikohet Next.

Shkruhet IP adresa ose emri i hostit me

të cilin do të lidheni, dhe klikohet

Next.


Sem_2 b.s.

Konfirmimi se është kompletuar

lidhja e re VPN. Kliko në Finish.

Nevoitet emri (user name) dhe fjalëklimi

(pasword) për lidhje të sigurtë tunelore me

serverin. Meqenëse kjo lidhje është e

improvizuar atëherë këtu e nderprejmë procesin

pasi nuk mund të lidhemi realisht.

Nëse shiqojmë të gjitha lidhjet në Internet (connections), vërehet se është

shtuar edhe kjo e posa konfiguruar (dhe ikona e saj e vendosur edhe në

desktop), por e cila ka siguri sepse kërkohet user name dhe pasword –i.


Sem_2 b.s.

Nëse tash klikojmë në lidhjen:

VPN – serveri.atikos do të na

paraqitet kërkesa për logim.

Shkruhet paswordi dhe klikohet

butoni Connect për lidhje në me

serverin.


Sem_2 b.s.

Listat e qasjes (Access Lists)

Listat e qasjes së kontrollit të Cisco-s (ACL) janë objektet që përdorën më

së shumti në sistemet operative të routerëve (IOS) për:

Filtrimin e paketeve (si formë e firewall-it) dhe

Për përzgjedhjen e tipit të trafikut për përcjellje ose anlizë.

Tipet e ACL-eve

ACL –të e Ciscos janë të ndara në dy tipe: Standarde dhe të zgjëruara, për

protokole të ndryshme të nivelit tretë të OSI Modelit (Network), siq është

IP, p.sh. Çdo listë e qasjes duhet të ketë numrin e vet. Ky numer, në bazë të

vlerës që ka tregon edhe se cilit tip i takon.

Listat e qasjes të tipit standard mund të kanë numrat prej 1 deri 99 kurse

ato të zgjëruara prej 100 deri 199.Përdorimi më i shpeshtë i listave të

qasjes të tipit të zgjëruar është që të bëjë filtrimin në bazë të paketeve.

Listat standarde të qasjes - mundësojnë lejimin ose ndalimin e trafikut për

IP-të e caktuara. Caku nuk është me rëndësi. Trafiku bllokohet afër cakut.

Ja një shembull:

access-list 10 permit 192.168.3.0 0.0.0.255

Kjo lejon trafikun nga të gjitha adredsat e brezit: 192.168.3.0 deri

192.168.3.255 (permit)

Kurse trafiku për rrjetat tjera është i ndaluar edhe nëse nuk potencohet.

Sepse ai nënkuptohet. Nëse duam të shohim listat e qasjes të konfiguruara në

një router përdoret komanda, si në vijim:

show access-list 10 //të shihen listat që i takojnë numrit 10

kërkohet që të shihen listat e qasjes në Internet do të fitohet kjo pamje:

access-list 10 permit 192.168.3.0 0.0.0.255

access-list 10 deny any

Listat e qasjes të zgjëruara - iu mundësojnë lejimin ose ndalimin e paketeve

për IP adresen e destinacionit, si dhe të portit të caktuar (lloji i

trafikut). Gjithashtu mund të specifikohet edhe tipi i trafikut (ICMP.TCP,

UDP etj.).


Sem_2 b.s.

Nëse dëshirohet që të bëhet filtrim në bazë të paketeve atëherë duhet që të

aplikohet ky tip i listave të qasjes.

Shembull: Nëse administratori dëshiron të lejoj trafikun e rrjetit:

63.36.9.0 vetëm për Web faqe (HTTP) kurse tjerët t‟i bllokoj duhet të bëj

këtë kofigurim:

internal network: 63.36.9.0

access-list 101 permit tcp 63.36.9.0 0.0.0.255 any eq 80

Me kët listë të qasjes lejohet trafiku vetëm i protokollit HTTP që ka numrin

e portit 80 kurse protokolet tjera si: FTP (për fajlla), SMTP (për e-mail)

etj. Nuk lejohen.

Aktivizimi i Listave të qasjes

Pasi që bëhet konfigurimi i listës së qasjeve në router, duhet të bëhet edhe

aktvizimi i tyre. Aktivizimi duhet të bëhet në portin ku dëshirojmë ta bëjmë

filtrimin. Pra duhet “hy” në interfejs (port) dhe duhet bërë aktivizimi i

atij porti duke e “urdhëruar” që t‟i aplikoj të gjitha ndalesat dhe lejimet e

konfiguaruara sipas Listës së qasjes (nr 101 në rastin tonë!).

NAT (Network Adress Translation)

NAT- i përdoret që të lejoj shumë kompjuter të një rrjeti privat të

shfrytëzojnë një lidhje të vetme për Internet. Kompjuteri në të cilin

instalohet NAT-i, e që quhet NAT host, shërben si përkëthyes i adresave të

rrjetit. Që të konfigurohet në një kompjuter, NAT-i kërkon më së paku sistemi

operativ Windows 2000 server (e kuptohet edhe versionet e mëvonshme).

NAT – i kërkon së paku një IP adresë publike të jashtme. Të gjithë

shfrytëzuesit e rrjetit lokal të brendshëm, mune t‟i qasen Internetit duke

shfrytëzuar adresën e jashtme të NAT serverit. Kjo do të thotë që të gjitha

kërkesat për shërbime në Internet nga ky LAN, i adresohen një adrese të

vetme. Dhe krijohet përshtypja se është vetëm një kompjuter. Kjo krijon një


Sem_2 b.s.

lloj mbrojtje të rrjetit nga jashtë si dhe nje diskrecion i arkitetrurës së

brendshme.

Si punon NAT –i ?

Kur klienti don të transmetoj informacionin tek serveri në Internet, ai e

dërgon paketin. Fusha për adresë të klientit përmbanë IP-në e tij (source IP

adress) dhe numrin e portit (lloji i protokollit, p.sh. http e ka 80). Fusha

për adresën e destinaconit përmbanë IP adresën e destinaciont si dhe numrin e

portit. Pasi që kompjuteri në destinacion (serveri) është i jashtëm (jashtë

rrjetit të brendshëm), klienti e dërgon këtë paket tek NAT serveri i cili

tash luan rolin e Default Gateway-it.

NAT serveri, me këtë rast, krijon hartën e porteve (tabelen) për këtë paketë

(port mapping). Kjo hartë përfshinë: IP adresën dhe numrin e portit të

serverit në destinacion, IP adresën dhe numrin e portit të NAT serverit, si

dhe IP adresën dhe portin e klientit. Kjo hartë ruhet dhe mbahet në NAT

server.

Para se NAT serveri të përcjell paketin tek serveri në destinacion ai bën

përkëthimin e paketit. IP adresa e burimit (source) – klientit zëvendësohet

me IP adresën e NAT serverit. Si rezultat, kur serveri në destinacion e

pranon paketin, mendon se është duke komunikuar me NAT serverin. Serveri në

destinacion do t‟a adresoj përgjigjen në IP adresën e NAT serverit.

Kur NAT serveri e pranon paketin nga destinacioni, e konsulton harten e

porteve, ku e gjen destinacionin e paketit që ka arritur tek ai. Me këtë rast

ai bën përkthim reverz (të kundërt) dhe i bën zëvendësimet e duhura në paket.

Në fushën për IP të destinacionit bën zëvendësimin e adresës vet me adresën e

klientit dhe ia dërgon paketin atij.

Nëse NAT serveri nuk gjen informatat e nevojshme në harten e porteve do ta

shkatërroj paketin e arritur dhe lidhja do të ndërprehet !

NAT-i zakonisht konfigurohet në routera, me ç‟rast routeri e luan rolin e

“ndarësit” të rrjetit nga Interneti (shih.fig.)


Sem_2 b.s.

Roli i NAT –it si protokol, ka vlerë edhe më të madhe sa i përket ruajtes së

numrit të IP adresave, i cili është i kufizuar. Ai mundëson përdorimin e

adresave private në rrjetet lokale si dhe atyre publike në komunikim të

jashtëm. Routerat në përgjithësi paketet me adresa private i shkatërrojnë

kurse ato me publike i trajtojnë. E NAT- është ai i cili mundëson që një

numër më i madh i IP-ve private të dalin me numër më të vogël të IP –ve

publike.

117 Komunikimi ajror dhe siguria

Sem_2 b.s.

Paisjet dhe teknologjitë në lidhjet ajrore (wireless)

Përpos rrjeteve me tela (kabllo), ekzistojnë teknologji të ndryshme të cilat

mundësojnë transmetimin e informacioneve ndërmjet paisjeve të rrjetit pa

kabllo (tela). Këto teknologji njihen si teknologji ajrore (wireless).

Teknologjitë ajror përdorin valët elektromagnetike për bartjen e

informacioneve në mes të paisjeve. Këto valë elektromagnetike janë të

ngjashme me valët që bartin radio sinjalet nëpër ajër.

Spektri elektromagnetik përfshinë brezet valor për transmetim të radio

sinjaleve, TV sinjaleve, rrezet X dhe rrezet gama, pastaj dritën e dukshme

(që e shofim), etj. Secila prej tyre që përmendëm përdor brezin e veqantë

(specifik) të valëve elektromagnetike. Karakteristikat e valëve

elektromagnetike për bartje të sinjaleve mund të përmblidhen në vazhdim:

Disa tipe të valëve elektromagnetike nuk janë të përshtatshme për bartje

të sinjaleve.

Disa pjesë tjera të spektrit të këtyre valëve administrohen nga qeveritë

dhe u ipen organizatave në ndryshme për aplikime specifike.

Pjesë të caktuara të këtij spektri janë ndarë për përdorim publik pa

pasur nevojë për ndonjë leje ose licencë.Pjesa më e madhe e këtyre

valëve “publike” , përfshijnë valet Infra të kuqe dhe një pjesë të

valëve radio frekuencore.


Sem_2 b.s.

Rrezet Infra të kuqe (IR – Infra red)

Rrezet infra te kuqe (IR) kanë relativisht energji të vogël dhe nuk mund ti

depertojnë muret ose pengesat tjera. Ato zakonisht përdoren për lidhje dhe

bartje të të dhënave ndërmjet paisjeve kompjuterike manuale (PDA –Personal

Digital Assistant) dhe kompjuterëve (PC). Zakonisht valët IR mundësojnë

lidhjen një më një (one - to – one).

Rrezet IR, gjithashtu përdoren për lidhje të njësive të ndryshme të PC-së me

te, sikur Mausi ajror, tastiera etj. Pra përgjithësisht rrezet IR përdoren

për distanca të vogla komunikimi dhe kur paisjet “shihen” ndër veti. (Është e

mundur që të rritet distanca, dhe rrezet IR edhe të reflektohen nga objekete

– për këtë nevojiten frekueca më të larta të valëve elektromagnetike).

Valët Radio Frekuencore (RF)

Valët RF mund të depertojnë nëpër mure dhe pengesa tjera, duke mundësuar

shtrirje më të madhe se sa rrezet IR.

Breze të caktuara të valëve RF janë lënë për përdorim nga paisje të pa

licensuara, sikur: LAN-at ajror (wireless LAN), telefonat ajror (Cordless

phones). Brezet që përdoren për këto qëllime janë në frekuencat: 900 MHz, 2.4

GHz, dhe 5 GHz.

RF waves can penetrate through walls and other obstacles, allowing a much

greater range than IR.

Bluetooth-i është teknologji që shfrytëzon brezin në 2.4 GHz. Ai është i

kufizuar në shpejtësi të vogla, në shtrirje (distanca) të shkurtëra, por që

ka përparësinë e komunikimit me më shumë paisje në të njejtën kohë. Ky


Sem_2 b.s.

komunikim një-me-shumë e ka bërë teknologjinë Bluetooth metodë më të

preferuar se sa ajo e lidhjes me rreze IR p.sh. për lidhje të mausit,

tastierës dhe printerit në të njejtën kohë !

Teknolgjitë tjera të cilat shfrytëzojnë përdorimin e brezeve në frekuencat:

2.4GHz dhe 5GHz, janë rrjetat lokale ajror (wireless LAN) sipas standardeve

të ndryshme 802.11 të IEEE –së. Për dallim nga teknologjia Bluetooth,

teknologjitë e rrjetava LAN, transmetojnë sinjale të fuqisë më të madhe dhe

arrijnë distanca më të mëdha të komunikimit.

Përparësitë

dhe kufizimet

e teknologjive

ajrore

Krahasuar me

rrjetat

tradicionale

me tela, teknologjia ajror ofron shumë përparësi. Një nga përprësitë më të

mëdha është aftësia që të ofroj lidhje (qasje) në çdo kohë dhe çdo ku.

Zbatimi i gjërë i teknologjisë ajrore në hapsirat publike, iu mundësojnë

njerëzve që shumë lehtë dhe shpejtë t‟i qasen Internetit, të marrin

informata, të shkëmbejnë letra elektronike dhe fajlla.

Teknologjia ajror është më e lehtë dhe më e lirë për t‟u instalu. Çmimet për

paisjet ajror, për shtëpi dhe biznese vazhdojnë të bien. Përkundër rënjës së

çmimeve, mundësitë dhe kapacitetet e këtyre paisjeve po rriten, duke

mundësuar lidhje më të shpejta dhe më të realizueshme, ajror.

Të metat (kufizimet) e teknologjive të LAN-ave ajror

Përkundër përparësive që kanë teknologjitë e rrjetave ajror, ato i kanë edhe

disa të meta, ose probleme që paraqiten me aplikimin e tyre. Më poshtë do të

numerojmë disa nga ato:

E para, LAN-at ajror (WLAN – Wireless Local Area Network) mundësojnë që

brenda një regjioni, shumë operator të përdorin breze të radio frekuencave të


Sem_2 b.s.

palincecuara dhe në këtë mënyrë të interferojnë mes veti. Kësaj mund t‟i

shtohen edhe interferencat me furrat mikrovalore dhe telefonat ajror.

E dyta, brengë e madhe e teknologjive ajror është siguria. Këto teknologji

mundësojnë qasje për të gjithë, dhe mund të shfrytëzohet edhe prej atyre që

realisht nuk iu dedikohet.

Edhe të dhënat që transmetohen me këtë teknologji – ajror, nuk janë të

sigurta prandaj mund të bijnë në duar të padëshiruara. Për të tejkaluar këtë

problem janë zbuluar teknika për siguri gjatë transmetimit të të dhënava që

janë enkriptimi dhe autentikimi.

Kufizimet (të metat) e teknologjive ajror mund të përmblidhen në:

Interferenca – Teknologjia ajror është e ndijshme në interferencën me

paisjet tjera që prodhojnë energji elektromagnetike. Paisjet të cilat

mund të pengojnë në rrjetat ajror janë: telefonat ajror (celular),

mikrovalët, televizionet, si dhe rrjetat tjera ajror.

Siguria e të dhënave dhe e rrjetave: Teknologjia e rrjetave ajror është

dizajnuar për të ofruar qasje në transmetimin e të dhënave e jo edhe në

sigurinë e tyre gjatë transmetimit. Gjithashtu rrjetat ajror ofrojnë

qasje pa mbrojtje në to.

Teknologjia – Teknologjitë e rrjetave ajror janë duke u zhvilluar

vazhdimisht. Por aktualisht ato nuk mund të ofrojnë shpejtësitë

(bandwidth) ose sigurinë që kanë rrjetat me tela.

Tipet e rrjetave ajror

Rrjetat ajror janë të grupuara në tri kategori më të mëdha:

WPAN (Wireless Personal Area Network) – është rrjeta më e vogël ajror, e

cila përdoret për të lidhur njësitë periferike të kompjuterit si mausi,

tastiera, PDA. Të gjitha këto njësi i dedikohen një hosti dhe kjo

realizohet me rreze Infra të kuqe ose me Bluetooth.

WLAN (Wireless Local Area Network) – përdoret kryesisht për të zgjëruar

kufijntë e rrjetave lokale me tela (LAN). WLAN përdor teknologjinë RF

sipas standardeve 802.11. Shumë shfrytëzuesve iu mundësohet që përmes

paisjes të njohur si Access Point (AP), të lidhen në rrjeten me tela.

Pra AP ofron lidhjen në mes të kompjuterëve në Ethernet dhe atyre ajror

(wireless), dhe

WWAN (Wireless Wide Area Network) – mbulon hapsira shumë të gjëra. Një

shembull i mirë i këtij tipi është rrjeti i telefonisë mobile. Këto

rrjete janë të rregulluara dhe të lejuara nga agjensitë qeveritare.


Sem_2 b.s.

Përkundër kësaj ndarjeje, është e vështirë të vehen kufinj të implementimit

të tyre, sepse për dallim nga rrjetat me tela, këto rrjeta nuk kanë kufinj

preciz deri ku mund të shtrihen. Kjo shtrirje e transmetimit ajror ndërron

si rezultat i disa faktorëve. Rrjetat ajror janë të ndijshme në burime të

jashme të interferences, qofshin ato natyrore ose të ndëruara nga njeriu.

Ndërrimet e temperaturës dhe lagështisë ndikojnë në domenin – shtrirjen e

rrjetës. Gjithashtu edhe pengesat – objektet e ndërtuara mund të ndikojnë në

shtrirje.

Standardet e WLAN-ave

Një numët standardesh janë zhvilluar për të mundësuar komunikimin në mes

paisjeve ajror. Këto standarde kanë specifikat e veta që përfshijnë: brezin

radio frekuencor (RF), shtrirjen (range), bitkalimi (data rate), si

transmetohen të dhënat etj. Organizata kryesore përgjegjëse për krijimin e

standardeve teknike është IEEE.

Organizata tjetër, e njohur si WI-FI Alliance, është përgjegjëse për testimin

e paisjeve të rrjetave ajror prej prodhuesve të ndryshëm. Shenja (logo) Wi-Fi

në paisje ka kuptimin që paisja i plotëson standardet dhe mund të punoj me

paisjet tjera ne atë standard.


Sem_2 b.s.

Standardet e

teknologjive ajror

janë të paraqitur

në tabelën më

poshtë:

Paisjet e rrjeteve ajror

Pasi të zgjedhet standardi i cili do të përdoret, është me rëndësi që të

gjitha komponentet brenda WLAN-it ta përkrahin atë standard, ose më së paku

të jenë kompatibil (të përshtatshëm) me te.

Ekzistojnë komponente të ndryshme që përdoren në WLAN-a si:


Sem_2 b.s.

Klienti ajror

Është çdo paisje ( host), e cila merr pjesë në rrjetin ajror. Shumë

paisje që mund të lidhen në rrjetin tradicional me tela, mund të lidhen

edhe në WLAN nëse janë të paisur me NIC dhe software adekuat.

Mund të jetë ose fiks (statik) ose mobil (i lëvizshëm).

Klient mund të jenë laptopët, PDA-të, printerët, projektorët dhe

memoriet.

Access Point-i,

Kontrollon qasjen në mes të rrjetit me tela dhe atij ajror. P.sh.

mundëson klientat ajror të kanë qasje në rrjetin me tela dhe e kundërta.

Sillet si konvertor i mediumit, duke pranuar frame-at e Ethernet-it nga

rrjeti me tela dhe duke i shndërruar ata në frame-a të standardit 802.11

para se me i transmetur ata në WLAN. Ose: pranon frame-at 802.11 nga

WLAN dhe i konverton ata në frame-a të Ethernet-it para se me i vendos

ata në rrjetin me tela.

Mbështet lidhjet ajror brenda një hapësire të limituar, të njohur si

qelulë (cell) ose BSS (Basic Service Set).

Bridg-at ajror

Përdoren për të lidhur dy rrjeta me tela përmes linkut (lidhjes) ajror.

Mundësojnë lidhje pikë-për-pikë (point-to-point) në mes të rrjeteve, me

bitkalim të madh.

Duke shfrytëzuar radio frekuenca (RF) të palicencuara, rrjetet në

distanca prej 40 km (25 mila) mund të lidhen mes veti ajror.

Antenat

Karakterikstikat dhe përdorimi i antenave mund të përmblidhet si më poshtë:

Përdoren në Access Point-a (AP) dhe në Bridge-a ajror

E rrisin sinjalin e daljes tek paisjet ajror.

Pranojnë sinjale ajror (wireless), nga paisjet tjera – klientët

Rritja e fuqisë së sinjalit në antenë njihet si përforcim (gain)

Sa më i madh që është përforcimi në antenë, më e madhe është

distanca e transmetimit.

Antenat janë të klasifkuara në bazë të mënyrës që rrezatojnë

(emitojnë) sinjalin. Antenat direkcionale koncetrojnë forcen e


Sem_2 b.s.

sinjalit në një drejtim. Antenat omni-direkcionale janë të

dizajnuara të emitojnë në të gjitha drejtimet.

Duke e koncetruar tërë sinjalin në një drejtim, antenat

direkcionale mund të arrijnë distanca të mëdha transmetuese.

Normalisht, antenat direkcionale përdorën në bridg-a, derisa ato

omni-direkcionale në AP (Access Point).

Sigurimi në rrjetet ajror

(WLAN)

WLAN-i dhe SSID-a

Kur të ndërtohet rrjeti ajror, është me rëndësi që komponentet të lidhen në

WLAN-in e duhur. Kjo gjë arrihet duke e përdorur SSID (Service Set

Indentifier).

Çka është SSID?

Konsiderohet si emri i rrjetit. Është një string (fjalë) me më së shumti 32

karaktere, i ndjeshëm në madhësinë e tyre (case sensitive). Ajo vendoset në

kreun e frame-it (header) gjatë transmetimit ajror. SSID-a përdoret për t‟iu

treguar paisjeve ajror se cilit WLAN ato i takojnë dhe me cilat paisje tjera

mund të komunikojnë.

Pavarësisht nga tipi i WLAN-it, të gjitha paisjet ajror në një WLAN duhet të

konfigurohen me të njejtin SSID në mënyrë që të komunikojnë mes veti.


Sem_2 b.s.

Përse njerëzit i sulmojnë WLAN-at

Një nga përparësitë primare të rrjeteve ajror është lehtësia dhe thjeshtësia

e lidhjes së paisjeve. Fatkeqësisht mu kjo lehtësi e ndërlidhjes në rrjet, si

dhe fakti se informacionet transmetohen nëpër ajr, e bëjnë rrjetin tuaj të

prekshëm nga sulmet ose keqpërdorimet.

Tek lidhja ajrore, atakuesi nuk ka nevojë për lidhje fizike deri te

kompjuteri juaj ose tek ndonjë paisje tjetër e rrjetit tuaj. Është e mundshme

për një atakues të kap sinjalet nga rrjeti ajror, ngjashëm sikur kapen

sinjalet e radio stacionit. Këtë mund ta bëj ai nga çdo pozitë ku arrijnë

sinjalet e rrjetit tënd.

Nëse atakuesit, arrijnë të kenë qasje në rrjetin tënd, ata mund të

shfrytëzojnë shërbimin tënd të Internetit pa pagesë, mund t‟qasen kompjuterit

dhe të dëmtojnë fajlla, ose të vjedhin informacione personale dhe private.

Këto cënime të rrjeteve ajrore kërkojnë metoda dhe veprime sigurie për

mbrojtje të tyre. Këtu përfshihen disa veprime të thjeshta gjatë ngritjes në

punë të paisjeve të rrjetit e deri te konfigurimet më të avansuara të

sigurisë.

Një mënyrë e lehtë për t‟iu qasur rrjetit ajror është përmes emrit të rrjetit

ose ndryshe SSID-së. Të gjithë kompjuterët për t‟u lidhur në rrjet ajror

duhet ta dijnë SSID-në. Në konfigurimin standard, routerat ajror dhe Access

Point-at emitojnë SSID-në tek të gjithë kompjuterët brenda domenit të rrjetit

(broadcast). Nëse vetia “broadcast” (emitimi) është e aktivizuar (enable),

atëherë të gjithë klientët që e detektojnë rrjetin, mund të lidhen në të,

nëse nuk ka ndonjë “pengesë” sigurie.

Nëse vetia “broadcast” nuk është e aktivizuar – disable, atëherë nëse ndonjë

kompjuter tenton që të lidhet, duhet ta dijë SSID-në.

Është e kuptueshme se është me rëndësi që konfigurimet bazike – standarde të

ndërrohen. Pse?

Paisjet ajrore janë të parakonfiguara me SSID, fjalëkalim (pasword), dhe me

IP adresë. Edhe nëse vetia “broadcast” është “disable”, ekziston rreziku që

dikush që e din SSID-në, paswordin dhe IP-në e konfigurimit bazik, të hyj në

paisje dhe të bëj ndërrime sipas dëshirës!

Prandaj ndërrimet në konfigurim duhet të bëhen dhe t‟u ipen kuptime të reja:

SSID-së, paswordit, IP-së.

Këto ndërrime, vetvetiu, nuk do të mbrojnë rrjetin tënd. P.sh., SSID-a

transmetohet në tekst të pa koduar (clear text). Ka paisje të cilat kapin

sinjalet dhe lexojnë mesazhet e teksit. Pra edhe pse vetia “broadcast” e

SSID-së është “disable” dhe vlerat bazike – standarde janë ndërruar (është

bë rikonfigurimi), atakuesit mund të lexojnë emrin e rrjetit ajror, përmes

këtyre paisjeve që kapin sinjalet ajror. E tash ky informacioni i kapur mund

të shfrytëzohet për t‟u lidhur në rrjet dhe për ta shfrytëzuar atë.


Sem_2 b.s.

Ekzistojnë disa metoda për mbrojtjen e rrjeteve ajror.

Kufizimi

i qasjes

në rrjet

ajror

Filtrimi

në MAC

adresa

Një mënyrë për të kufizuar qasjen në rrjetin tënd ajror është që të

kontrollosh saktësisht cilat paisje mund ta shfrytëzojnë atë. Kjo mund të

realizohet përmes filtrimit të MAC adresave.

Ky filtrim shfrytëzon MAC adresat për të indentifikuar se cilat paisje kanë

të drejtë që të lidhen në rrjetin ajror. Kur klienti ajror tenton të lidhet,

ose të shoqërohet me ndonjë IP, ai duhet të dërgoj informatat për MAC adresën

e tij. Nëse “MAC filtrimi” është i aktivizuar, routeri ajror ose AP do të

shiqojnë listën e MAC adresave në databazë. Nëse MAC-i në fjalë gjindet në

atë bazë të dhënash, klienti do të lejohet ta shfrytëzoj rrjetin ajror.

Përndryshe rrjeti nuk do të mund të shfrytëzohet nga klienti.

Ekzistojnë ca probleme me këtë tip të sigurisë.

P.sh. kërkohet që MAC adresat e të gjitha paisjeve që do të kanë të

drejtë ta shfrytëzojnë rrjetin ajror, të regjistrohen në bazë të të

dhënave paraprakisht, dhe

Është e mundur për një atakues ta kopjoj dhe ta përdor MAC adresën e

paisjes që ka qasje !


Sem_2 b.s.

Autentikimi në rrjetin ajror

Mënyra tjetër për kontrollimin e qasjeve në rrjete është zbatimi i

autentikimit. Autentikimi është procesi i identifikimit të paisjeve që

tentojnë t‟i qasen rrjetit ajror përmes lejes.

Përdorimi i emrit të shfrytëzuesit (username) dhe të fjalëkalimit (pasword)

është forma me e zakonshme e autentikimit.

Kjo është formë e verifikimit të paisjes, dhe duhet të ndodh para se klienti

të lejohet t‟i qaset rrjetit ajror. Ekzistojnë tri tipe të autentikimit

ajror: Autentikimi i hapur, PSK dhe EAP.

Autentikimi i hapur

Në kofigurimin bazik (default), paisjet ajrore nuk e kanë autentikimin. Të

gjithë klientët kanë qasje, pavarsisht kush janë ata. Autentikimi i hapur

aplikohet vetëm në ambientet publike sikur janë shkollat, restaurantet e të

ngjashme.


Sem_2 b.s.

Autentikimi me çelësa të paracaktuar ( PSK - Pre-shared keys)

Me autentikimin PSK, që të dy, Access Point-i dhe klienti duhet të

konfigurohen me të njejtin çelës ose fjalë sekrete. AP-ja dërgon një string

me bajta (të rastësishëm). Klienti e pranon stringun, e kripton me çelësin e

tij dhe e këthen mbrapsht tek AP-ja. Access Point-i stringun e pranuar, tash

të kriptuar, e dekripton me çelësin e njejtë të paracaktuar dhe nëse stringu

i fituar është i njejtë me stringun origjinal të dërguar fillimisht, klienti

lejohet që të lidhet në rrjet.

Ky autentikim është njëdrejtimësh. Kjo do të thotë se vetëm hosti

(kompjuteri) autentikohet tek AP-ja, e jo edhe AP-ja tek hosti(klienti).

Protokoli i zgjëruar i Autentikimit ( EAP - Extensible Authentication

Protocol )

Ky protokoll i autentikimit, bën autentikim të ndërsjell ose dy drejtimësh.

Kur të software i EAP-it instalohet tek klienti, ai, klienti pra komunikon me

një server – RADIUS (Remote Authentication Dial-in User Service). Ky server

funksion ndaras nga AP-ja dhe posedon bazën e shënimeve me klienët valid që

mund t‟i qasen rrjetit. Kur të përdoret ky protokol autentikimi, shfrytëzuesi


Sem_2 b.s.

(klienti), jo vetëm hosti (kompjuteri) duhet të prezentoj emrin dhe

fjalëkalimin, të cilët krahasohen me shënimet që ekzistojnë në databazë. Nëse

të dhënat janë të vlefshme (valide) shfrytëzuesi autentikohet.

Kur të jetë i aplikueshëm autentikimi, pavarsisht nga metoda e zgjedhur,

klienti duhet që me sukses ta kaloj autentikimin, para se ai të shoqërohet 11)

me AP. Nëse p.sh. janë të aplikueshëm edhe autentikimi edhe filtrimi me MAC

adresa, atëherë së pari ndodh autentikimi. Më tutje, pasi autentikimi të jetë

i suksesshëm, AP-ja do të verifikoj MAC adresën në tabelën e adresave. Nëse

është ajo në databazë, atëherë, klienti thuhet se shoqërohet me AP-në dhe

mund të lidhet në rrjet.

Kriptimi në WLAN-a

Autentikimi dhe filtrimi në bazë të MAC adresave mund të ndalojnë atakuesit

(sulmuesit) që të lidhen në rrjetin ajror, por nuk do ti ndalojnë ata që t‟i

kapin të dhënat që transmetohen. Meqenëse nuk ekzistojnë kufinjtë e prerë të

domenit, tek rrjetet pa tela - te transmetimi ajror, është e lehtë për një

atakues të kap ose të nuhas frame-at që transmetohen.

Kriptimi është proces i transformimit (shtrembërimit) të të dhënave, kështu

që ato janë të pa përdorshme nëse kapen !

11

Associate - lidhet


Sem_2 b.s.

Protokolli WEP (Wired Equivalency Protocol)

Wired Equivalency Protocol (WEP) është një protokol i cili kripton trafikun e

rrjetit që rrjedh nëpër ajr. WEP-i përdor çelësat e para konfiguruar për

kriptimin dhe dekriptimin e të dhënave.

Çelësi i WEP-it është si string numrash dhe germash dhe përgjithësisht është

64 bitësh ose 128. Në disa raste, WEP e mbështet edhe çelësin 256 bitësh. Në

mënyrë që WEP-i të funksionoi, AP-ja, sikur edhe paisjet tjera pa tela, për

t‟iu qasur rrjetit duhet të posedojnë çelësin e njejtë të WEP-it. Pa këtë

çelës, paisjet nuk mund të kuptojnë mesazhet që transmetohen.

WEP-i është një mundësi e mirë që t‟i ndaloj atakuesit nga kapja e të

dhënave. Megjithate, WEP-i nuk është i pa thyeshëm, për arësy se çelësi është

statik (i pandryshuar) në të gjitha paisjet që e përdorin këtë protokoll

brenda një rrjeti. Ekzistojnë aplikacione, të cilat mund të shfrytëzohen nga

atakuesit për të zbuluar çelësin e Wep-it. Ketë aplikacione janë të

disponueshme në Internet. Kur një herë atakuesit e “nxjerrin” çelësin, ata

kanë qasje në të gjitha informacionet që transmetohen.

Një mundësi për të tejkaluar është që çelësi të ndërrohet në mënyrë

frekuente. Mënyra tjetër është për të përdor një formë më të avansuar dhe më

të sigurtë të kriptimit të njohur si WPA (Wi-Fi Protected Access).

Protokoli WPA (Wi-Fi Protected Access )

WPA gjithashtu përdor çelësin për kriptim prej 64 deri 256 bita. Megjithate,

WPA, për ndryshim nga WEP-i, gjeneron çelës të ri, në mënyrë dinamike, sa

herë që klienti vendos lidhje me AP-në. Për këtë arësy, WPA konsiderohet më

shumë i sigurtë se WEP-i, sepse është shumë vështirë me e thye !

Filtrimi i trafikut nëpër AP

Përveq kontrollimit të asaj se kush mund t‟i qaset WLAN-it dhe kush mund t‟i

shfrytëzoj të dhënat që transmetohen, është e vlefshme të kontrollohet edhe

lloji i trafikut që transmetohet nëpër WLAN. Kjo gjë arrihet me filtrimin e

trafikut.

Filtrimi i trafikut bllokon trafikun e padëshiruar të hyj ose të dalë nga

rrjeti. Filtrimi bëhet nga AP-ja deri sa të dhënat kalojnë nëpër te. Ai bën

filtrimin në bazë të MAC adresave ose IP adresave. Gjithashtu, filtrimi mund

të bëhet edhe sipas numrit të portit. Me këtë rast ruhet bitlëshimi

(bandwidth) dhe përmirësohet efektshmëria. Një shembull: filtrimi mund të


Sem_2 b.s.

përdoret për të bllokuar tërë trafikun e telnetit (23) për në makinën e

caktuar, siq është serveri për autentikim p.sh. Çdo tentim për të telnetuar

serverin për autentikim konsiderohet i dyshimtë dhe bllokohet.

Instalimi dhe sigurimi i AP-së

Pasi të bëhet përzgjedhja e teknologjisë së rrjetit pa tela, si dhe të

caktohet vendi i AP-së, pason instalimi dhe konfigurimi i masave siguruese të

AP-së.

Masat e sigurisë duhet të planifikohen dhe të konfigurohen para se AP-ja të

lidhet në rrjet ose në ISP (Internet Service Provider).

Disa nga masat bazike të sigurisë përfshijnë:

Ndërrimi i vlerave bazike të SSID-së, emrit dhe fjalëkalimit

Vetia “broadcast” të pasivizohet (disable)

Bëhet filtrimi në bazë të MAC adresave

Masat tjera më të avansuara, janë:

Konfigurimi i kriptimit duke përdor WEP-in ose WPA-në

Konfigurimi i autentikimit

Konfigurimi i filtrimit të trafikut.

Duhet të mbahet mend se asjnë masë sigurie e vetme nuk mund të mbaj rrjetin

ajror komplet të sigurtë. Kombinimi i më shumë teknikave do të forcojnë

sistemin mbrojtës të rrjetit.


Sem_2 b.s.

Kur të bëhet konfigurimi i klientave, është esenciale që SSID-ja duhet të

jetë e njejtë me atë të AP-së.

Gjithashtu edhe çelësi i kriptimit duhet të përputhet.

Përktheje, dhe vendose në vendin e duhur në material !

ADMIMISTRIMI I RRJETEVE 53 SISTEMI OPERATIV ......53 Windows Server Sem_2 b.s. Admimistrimi i...

Documents

Transcript of ADMIMISTRIMI I RRJETEVE 53 SISTEMI OPERATIV ......53 Windows Server Sem_2 b.s. Admimistrimi i...