ADMIMISTRIMI I RRJETEVE 53 SISTEMI OPERATIV ......53 Windows Server Sem_2 b.s. Admimistrimi i...
Transcript of ADMIMISTRIMI I RRJETEVE 53 SISTEMI OPERATIV ......53 Windows Server Sem_2 b.s. Admimistrimi i...
51 Përmbajtja
Sem_2 b.s.
ADMIMISTRIMI I RRJETEVE .................................................................................................. 53
SISTEMI OPERATIV WINDOWS 2003 ..................................................................................... 53
Autentikimi dhe autorizimi si metoda sigurie në Win 2000 ................................................................. 53
Verifikimi i identitetit ............................................................................................................................................. 54
Sistemet për ruajtjen e të dhënave (fajllave) ........................................................................................... 55
Sistemi per kriptimin e fajllave (EFS – Encrypted file system) .................................................. 55
IPSec .......................................................................................................................................................................................... 55
PKI (Public Key Infrastructure) ............................................................................................................................ 56
Direktoriumi Aktiv (Active Directorium) ......................................................................................................... 56 Instalimi i Direktoriumit Aktiv ........................................................................................................................ 59 Menaxhimi me Group Policy (rregullat e grupi) ....................................................................................... 70 Konfigurimi i rregullave të grupit ................................................................................................................. 71
Siguria e serverit. Mbrojtja e Web faqeve në Internet...................................................................... 75
Nevoja për çështje sigurie ........................................................................................................................................ 75
Sigurimi SSL.......................................................................................................................................................................... 75
Cilat Web faqe janë të mbrojtura ? ..................................................................................................................... 77
Dërgimi i mesazhit “e-mail” ...................................................................................................................................... 78
Sigurimi i email-it me SSL ........................................................................................................................................ 79
Mbrojtja nga “e-mail”-at e rrezikshëm në nivelin e Browser -ëve ................................................ 81
Këndellja pas “katastrofave” dhe krijimi i kopjeve rezervë ............................................................ 83 Përse me kriju kopje rezervë ? .......................................................................................................................... 83 Përmbajtja e kopjeve rezervë ............................................................................................................................... 83 Kopjet rezervë ................................................................................................................................................................ 83
Firewall-i .............................................................................................................................................................................. 96 Ç‟është firewall –i ? ................................................................................................................................................ 96 Si ta bëjmë Firewallin të përshtatshëm ....................................................................................................... 98 Përzgjedhja e firewallit ......................................................................................................................................... 98
Routerat hardverik ........................................................................................................................................................... 99
Routerat “pa tela” ......................................................................................................................................................... 100
Proxy server........................................................................................................................................................................ 100
52 Përmbajtja
Sem_2 b.s.
ISA Serveri (Internet Security and Acceleration Server) ................................................................. 102
Rrjeti Virtual Privat .................................................................................................................................................. 104
Intraneti dhe Ekstraneti ........................................................................................................................................... 106
Listat e qasjes (Access Lists) ............................................................................................................................. 113
Tipet e ACL-eve ................................................................................................................................................................ 113
NAT (Network Adress Translation) ........................................................................................................................ 114
Paisjet dhe teknologjitë në lidhjet ajrore (wireless) ...................................................................... 117
Përparësitë dhe kufizimet e teknologjive ajrore .................................................................................... 119
Standardet e WLAN-ave .................................................................................................................................................. 121
Paisjet e rrjeteve ajror ........................................................................................................................................... 122
Sigurimi në rrjetet ajror (WLAN) ........................................................................................................................ 124
Kufizimi i qasjes në rrjet ajror ........................................................................................................................ 126
53 Windows Server
Sem_2 b.s.
Admimistrimi i rrjeteve
Për rrjetet kompjuterike, me qëllim të sigurimit të saj më të mirë, aplikohen
sisteme operative speciale, për server. Dihet se serverët janë kompjuterë më
të fuqishëm, më të shpejtë dhe me resurse më të mëdha. Kompania Microsoft në
vazhdimësi ka zhvilluar softvere për rrjete kompjuterike me qëllim të
sigurimit të tyre, administrimit, ofrimit të shërbimeve për klientët etj.
Njihet sistemi operativ Windows server NT, pastaj pasuesi Windows server
2000, e më vonë versioni Windows server 2003. Në vazhdim do të njihem me
disa nga objektet që këta sisteme operative përdorin për punën e tyre.
Sistemi Operativ Windows 2003
Windows 2003 ofron një komplet shërbimesh për siguri, si:
Mbështetë protokolet Kerberos për autentikim
Sistemin e kriptimit për fajlla
Protokolin për siguri në Internet (IPSec) dhe
Shërbimin e Direktoriumit Aktiv
Modeli i sigurimit që ofron Windows 2003, paraqet një infrastrukturë solide
për sigurim të rrjetit brenda kompanisë (institucionit) dhe në Internet.
Autentikimi dhe autorizimi si metoda sigurie në Win 2003
Siguria në Windows 2003 bazohet në modelin e autentikimit dhe autorizimit.
Autentikimi është proces që përdoret për dëshmimin e identitetit të
entitetit. Entitet mund të jetë: shfrytëzuesi, kompjuteri ose shërbimi i
caktuar. Kompjuterët dhe shërbimet autentikohen kur të komunikojnë me
serverët. Autentikimi p.sh. mund të bëhet me emër të parapaguesit dhe të
fjalëkalimit (account name dhe password).
Autorizimi është process që pason pas autentikimit. Autorizimi është e drejta
për të marrë ndojnë shërbim, për t‟iu qasur ndonjë resursi, ose për të kryer
ndonjë veprim.
54 Windows Server
Sem_2 b.s.
Kerberos V51 protokoli është metoda e autentikimit e nënkuptuar (standarde).
Kjo metodë mund të shfrytëzohet nga secili klient që është antarë i domenit
të caktuar.
Metoda e dytë e autentikimit është përmes certifikatës (CA) të marrur nga
ndonjë autoritet që i ndanë ato. Prandaj në konfigurim duhet të shënohet emri
i autoritetit të tillë.
Verifikimi i identitetit
Kur të paraqiteni për punë në rrjet kompjuterik, ju ende nuk e keni të
drejtën për qasje në resurse të rrjetës, por jeni në “pritje” (disa
milisekunda) derisa resurset e rrjetit ta bëjnë identifikimin tënd.
Modelet e identifikimit mund të jenë dy llojesh:
Identifikimi dyshkallësh - nënkupton që shfrytëzuesi ose paisja duhet t„ia
prezentojnë dy elemente - mekanizmit për verifikimin e identitetit.
Emrin e shfrytëzuesit (identifikatori i shfrytëzuesi, ang. user name)
Fjalëkalimi (shifra, ang. password)
Shembull tjetër i verifikimit dyshkallësh të identitetit është me përdorimin
e kartelës intelegjente, e cila përdorët para se të ipen user name dhe
password (një siguri shtesë).
Që të dy shembujt e treguar nuk ofrojnë siguri 100% - she, sepse keqbërësit
ose mund të “vjedhin” informatat për identifikim ose edhe vet kartelën
intelegjente, prandaj edhe pse ofrohet siguri e mirë ajo nuk është 100% !
Identifikimi njëshkallësh - Është metodë më e sigurtë dhe më praktike.
Shfrytëzuesi duhet të mbajë mend vetëm një parametër - fjalëkalimin.
Shfrytëzuesi nuk ka nevojë të mbajë në mend edhe emrin identifikues sepse
ekzistojnë metoda tjera për këtë fazë, si: karakteristika biometrike – ta
themi: shenjat e gishtit, rrjeta e kapilareve të syrit, ose zëri. Pra së pari
1 Protokoli Kerberos për autentikim përdorë sistemin e biletave. Ky system i biletave shfrytëzon dy tipe biletash: biletat për hyrje dhe biletat për shfrytëzim.
Biletat , në fakt janë pakete të kriptuara të të dhënave, e të cilat i formon (gjeneron) qendra për
dhënjen e çelësave (KDC – Key Distribution Center). Çdo njësi për siguri (domen) duhet të ketë një qendër
të tillë (KDC). Ato bileta iu ndahen anëtarëve të domenit.
Kerberosi, bazohet në sistemin simetrik të shifrimt, d.m.th. shfrytëzon çelësat privat, të cilët i
disponojnë vetëm ata dy që komunikojnë mes veti.
Pasi që shfrytëzuesi “hyn” në domen (me biletën për hyrje – e cila përmbanë informatat për te), ai ende
nuk ka arritur deri te shërbimi i kërkuar. Per këtë duhet edhe një procedurë tjetër e identifikimit
(bileta për shfrytëzim)
Emri “kerberos” ka kuptim nga Mitologjia greke, ku kerberi ka qenë një qen që ka ruajtur portën e Hadit
(bota e të vdekurve). Ai ka qenë qen me tri koka. Kjo ka shtyrë që të përdoret ky term pasi që edhe vet
procedura e identifikimit të shfrytëzuesit kërkon tri koka, e ato janë: klienti (shfrytëzuesi), serveri
(ofruesi i shërbimit) dhe ndërmjetësuesi (KDC – Key Distribution Center).
Mos me hy në detaje se si rrjedh procedura e identifikimit për të shfrytëzuar resurset e serverit, KDC
është ai autoritet i cili me ndarjen e çelësave, bënë ndërmjetësimin në mes të klientit dhe serverit për
identifikim.
55 Windows Server
Sem_2 b.s.
bëhet identifikimi në bazë të njëres prej karakteristikave të cekura e më
pastaj vjen faza e fjalëkalimit.
Sistemet për ruajtjen e të dhënave (fajllave)
Për të bërë sigurimin e fajllave, duhet ditur se si janë të ruajtur fajllat
në Sistemin Operativ.
Sistemi i fajllave është metodë për ruajtjen e të dhënave. Sistemi operativ
përdorë sistemin e fajllave për ruajtjen e të dhënave në hard diskun e
kompjuterit. Ky sistem bënë kontrollimin si dhe determinon mënyrën e ruajtjes
së të dhënave.
Windowsi 2003 mbështet shumë sisteme të fajllave (FAT32 – File Allocation
Table, NTFS4 – NeW Technology Filing System 4, NTFS5 - NeW Technology Filing
System 5).
Sistemi NTFS5 ofron përparësi në krahasim me sistemin FAT, sepse është më i
sigurtë. Ky system ka mundësi të kontrolloj qasjen në fajllat e ruajtur në
hard disk.
Sistemi per kriptimin e fajllave (EFS – Encrypted file system)
EFS ofron mundësi për kriptimin e fajllave në sistemin e fajllave NTFS. EFS
është një shërbim i integruar që mundëson administrimin më të lehtë me fajlla
dhe njëkohësisht më të vështirë për ta sulmuar (atakuar).
EFS bazohet në kriptimin me çelës publik dhe shfrytëzon standardin X për
kriptim (DESX) si një algoritëm për kriptim. Standard i tij për Amerikë është
128 bita kurse standardi ndërkombëtar 40 bita.
EFS siguron siguri të të dhënave, dhe lejon vetëm pronarin e fajllave t‟i
qaset atij ! Për këtë shfrytëzuesi përdorë certifikaten digjitale me çelës
publik dhe me çelës privat.
IPSec
Nga vet fjala IPSec (IP Security) shihet se ky është një mekanizëm mbrojtës i
i IP-së (Internet Protocol), për siguri maksimale gjatë komunikimit në
rrjetin më të pasigurtë – Internetin.
Mbrojtja me shifrim, e cila aplikohet në nivelin e IP-së, vendoset në mes të
dy kompjuterëve që komunikojnë. Për mënyrën e kriptimit thuhet se është “end-
to-end” (në mes dy pikave fundore), që do të thotë se secili paket i të
dhënave mbetet i kriptuar deri sa të arrijë në destinacion dhe vetëm ai,
pranuesi mund ta dekriptoj atë. Paketet e kriptuar kalojnë lirshëm nëpër
Router-ët që hasin gjatë “rrugës” së tyre për në destinacion.
56 Windows Server
Sem_2 b.s.
Algoritmet për kriptim të sigurtë (MD-5 ose SHA-1) garantojnë që të dhënat
nuk janë ndryshuar gjatë transmetimit.
IPSec vepron në katër nivele:
kriptim dhe enkapsulim
identifikim i shfrytëzuesit dhe pengimi i falsifikimit të përmbajtjes së
paketeve
menaxhimi me çelësat e sigurisë, dhe
nënshkrimi digjital dhe certifikati digjital.
Në këtë mënyrë arrihet që IP-të e dërguesit dhe të marrësit të mbeten të
“maskuara”, të mëshehura.
PKI (Public Key Infrastructure)2
Infrastruktura për çelësa publik (PKI), është një tërësi e shërbimeve dhe
komponenteve që përdoret:
Për krijimin e sigurisë gjatë shkëmbimit të postës elektronike, si në
Internet ashtu edhe në Intranet
Që të mbrojë vendndodhjen e Web-it dhe transakcionet që kryhen me
klientët (shitjet e ndryshme p.sh.)
Për mbrojtjen e zgjëruar, të përforcuar, të sistemit për enkriptim të
fajllave (EFS)
Që të mundësoj shfrytëzimin e kartelave intelegjente, etj.
Direktoriumi Aktiv (Active Directorium)
Windows 2003 Server disponon me shërbimin e direktoriumit që quhet Active
Directorium (AD) - Direktoriumi Aktiv. AD është kombinim i direktoriumit dhe
i shërbimeve. Në fakt direktoriumi është një depo fizike që përmbanë objekte
të ndryshme, derisa shërbimet mundësojnë që resurset e direktoriumit të
shfrytëzohen. Ky kombinim mundëson që objektet e rrjetit që janë të ruajtura,
2 Ajo kryen këto funksione:
Menaxhimi me çelësa – PKI gjeneron çelësa të rinj, i kontrollon dhe i largon të vjetrit
Deklarimi (publikimi) i çelësave – PKI mbanë në evidencë të gjithë çelësat: edha ata që vlejnë
edhe ata që më nuk vlejnë. Çelësi shpallet i pavlerëshëm nësë konstatohet se është keqpërdorur ose
“vjedhur” (njëlloj sikur bankat që i bëjnë zhvlerësimin e kartelave bankare të vjedhura)
Shfrytëzimi i çelësave – PKI iu ofron aplikacioneve dhe shfrytëzuesve mënyrë të thjeshtë të
përdorimit të tyre. Përdorimi i çelësave është me rëndësi të madhe për siguri sa më të madhe të
organizatës ose kompanisë.
57 Windows Server
Sem_2 b.s.
të shfrytëzohen nga shfrytëzuesit e autorizuar ose nga grupet e
shfrytëzuesëve.
AD në fakt paraqet një bazë të dhënash e cila përmbanë informacione për
resurset në rrjetë dhe bënë njëkohësisht organizimin, menaxhimin dhe
kontrollimin e qasjes në resurse. Do të numërojmë vetëm disa nga përparësitë
e AD-së
Paraqitja e “njëfishtë” (single sign – on SSO) – kur përmes protokolit
Kerberos shfrytëzuesi identifikohet njëherë, atëherë atij i lejohen të
gjitha shërbimet e parapara për te (përmes grupit që i takon)
Dirigjimi me ndërrime brenda sistemit – përmes shërbimit Group Policy
(rregullat-politikat e grupit) mundësohet dirigjimi i ndërrimeve brenda
sistemit (të drejtat, kufizimet), si dhe ruhen të dhënat për
shfrytëzuesit dhe kompjuterët
AD-ja është një rezervoar univerzal i të dhënave, përmes të cilit në
mënyrë standarde mund të keni qasje në të gjitha objektet e rrjetit
sikur se janë: aplikacionet, shërbimet, kompjuterët, shfrytëzuesit dhe
proceset, dhe atë në tërë rrjetin lokal.
AD – ja i siguron administratorit të rrjetit një pikë të vetme të
administrimit, për të gjitha objektet e rrjetit. AD-ja gjithashtu
përmbanë informata për menaxhim (group policy), certifikata, si dhe
objekte shtesë si: aplikacione, printerë e paisje tjera.
AD-ja përdor këto komponente logjike:
Objektet – janë komponente të AD-së (në të vërtetë paraqesin instancat e
klasave të krijuara), që tregojnë organizimin e AD-së. Objektet në fakt janë
informata dhe resurse të organizuara që mund të shfrytëzohen.
Atributet – janë karakterikstikat e objekteve
Ekzistojnë katër përbërës (elemente) themelorë që e ndërtojnë strukturën e
një AD-je:
Site (Sajti) – vendi në rrjet që mban serverët aktiv të AD-së. Mund të
përmbaj një ose më shumë IP subnete3. Këto subnete janë të lidhur mes
veti me shpëjtësi të madhe (bandwidth) dhe me koneksion të sigurtë. Kur
sajti definohet si një grumbull subnetesh, administratori mund të bëj
konfigurimin e AD-së. Prandaj kur ndonjë shfrytëzues logohet
(ndërlidhet) në rrjet, si klient i AD-së, ai mund të gjej serverët e AD-
së dhe t‟i shfrrytëzoj ata.
3 Subnetet kontrollohen nga routerët, të cilët komunikojnë në mes veti dhe ndërojnë një rrjetë më të madhe me ç’rast bashkshfrytëzohen resurset
e deponuara në serverët e përbashkët !
58 Windows Server
Sem_2 b.s.
Domain (Domeni)4 – është bërthama e strukturës logjike të AD-së. Domeni
është në fakt një rrethinë e sigurtë. Ai paraqet një grup logjik të
kompjuterëve, serverëve dhe paisjeve tjera hardverike, të definuar nga
administratori, e të cilët bashkëshfrytëzojnë databazën e njejtë
(resurset). Domeni ofron qasje për një klient (user) ose grup klientësh
(group) që mirëmbahen nga administratori i sistemit (rrjetit).
Forest (druri) – Domenet janë të organizuar në strukturë hierarkike që
quhet forest (pyll-dru). Struktura fillon me domenin që quhet domeni
rrënjë i forestit (root domain). Domenet janë të aranzhuara në formën që
i përngjanë drurit familjar (gjyshër, prindër, fëmijë,…. – trungu
familjar !).
Dy qëllimet e forestit janë: 1. Të thjeshtësoj menaxhimin e më shumë
domeneve dhe 2. Të thjeshtësoj ndërveprimin (interakcionin) e klientit
(user-it) me direktorium.
Organizational Unit – OU (Njësia organizative) – Kontejner i objekteve
të cilat administratori i AD -së i përdorë për të bërë organizimin e
objekteve brenda domenit. Një OU mund të përmbajë objekte siq janë:
shfrytëzues (user), grupe (user account), serverë, kompjuterë, printer
dhe aplikacione.
Aftësia e AD-së, që të bëj qendërzimin (centralizimin) e administrimit dhe
kontrollimin e resuresve, është shumë me rëndësi për të krijuar një sistem të
sigurtë. AD-ja përdor OU –it për të organizuar resurset (burimet) e rrjetit
në hierarki(degëzim) logjike. AD mban informacione për klientët dhe resurset
në një lokacion si dhe i mundëson administratorit të rrjetit të bëj
përditësimin (update) e informatave lehtësisht. Klienti, për t‟iu qasur
ndonjë resursi në rrjet, duhet vetëm njëherë të identifikohet dhe pastaj të
gjitha veprimet dhe programet e lejuara per te, mund t‟i përdor. Kështu që
nuk ka nevojë për çdo shfrytëzim të ndojnë resursi ose paisje të
identifikohet - kontrollohet (check-ohet).
4 Domeni (ang. Domain), ose domeni i rrjetit është bashkësi logjike brenda rrjetit që ka kontroll në të gjitha resurset brenda vetvehtes. Mund të
ketë lidhje me Internet si dhe të jetë i arritshëm nga largësia.
Karatkeristikë e domenit është grupi i rregullave për siguri të cilat mbrojnë resurset brenda tij. Qasja në domen bëhet në nivelin e Aplikacionit të
OSI Modelit. Identifikimi për qasje në domen mundësohet përmes softverit interaktiv i cili mundëson që manualisht (përmes tastierës) të tregoni
identidetin tuaj ose edhe me kartelë intelegjente - përmes paisjes përkatëse që mundëson një gjë të tillë (lexuesit).
Me domene dirigjojnë kontrollerët e domenëve (ang. Domain controllers). Ata mbajnë baza të shënimeve në bazë të së cilave verifikohet
identiteti i shfrytëzuesit përmes fjalëkalimit. Ky proces quhet verifikimi i identitetit (ang. Authentication).
59 Windows Server
Sem_2 b.s.
Instalimi i Direktoriumit Aktiv
Puna e parë dhe shumë e rëndësishme në instalimin e Direktoriumit Aktiv të
Windowsit 2003 Server, është planifikimi i drejtë i zbatimit të DNS-it.
Direktoriumi Aktiv nuk mund të ekzistoi pa DNS. Edhepse DNS-i, për thjeshtësi
instalohet gjatë instalimit të Direktoriumit Aktiv, preferohet në bazë të
përvojave të tjerëve që DNS të instalohet para se të bëhet instalimi i
Direktoriumit Aktiv.
Prandaj nëse supozojmë se sistemi operativ Windows 2003 Server5) është i
instaluar 6) , puna e parë që duhet bërë është instalimi i DNS –it. Kjo rrjedh
kështu:
Duhet bërë së pari shtimi i shërbimit të DNS-it nga opsioni Windows
Components që arrihet përmes shtegut: Add/Remove Programs në Control Panel si
më poshtë:
Zgjedhja e komponentes DNS (çekimi)
5 Në trajtim është paraqitur instalimi i Windows 2000 Server, i cili është i njejtë me instalimin e versionit 2003
6 Instalimi i Windows 2003 Server bëhet njëlloj sikur instalimi i Windows 2000 Profesional ose Windows XP !
60 Windows Server
Sem_2 b.s.
Hapi ardhshëm është konfigurimi i zonës së DNS-it. Emri i zonës së DNS-it
është me rëndësi, dhe përgjithësisht sugjerohet një emër “privat” (jo emri
publik i kompanisë p.sh. )
Procedura vazhdon duke klikuar me të djathtin në: Forward Lookup Zones sipas
figurës më poshtë dhe bëhet emërtimi i zonës së DNS –it.
Pasi të bëhet emërtimi i DNS-it vazhdohet me procedurën si më poshtë. Duhet
pasur kujdes që të përzgjedhet opsioni: Standard Primary
61 Windows Server
Sem_2 b.s.
Në mënyrë që ky server, të shërbej si DNS server, duhet bërë konfigurimi me
IP. Duke shkuar tek vetitë (Properties) e TCP/IP – së, IP –ja e serverit
duhet të bëhet edhe IP e DNS serverit (fig. poshtë). Kjo fazë e konfigurimit
është shumë me rëndësi dhe nuk bën të kapërcehet !
62 Windows Server
Sem_2 b.s.
Pasi që kjo fazë është kompletuar, tash është e mundshme të fillohet me
instalimin e Direktoriumit Aktiv, duke e ekzekutuar komandën dcpromo nga
komanda Run, si më poshtë.
Vazhdon procedura si më poshtë, duke e zgjedhur opcionion si më poshtë:
Domain controller for e new domain.
63 Windows Server
Sem_2 b.s.
Duhet pasur kujdes që kur të përzgjedhet emri për domenin e Direktoriumit
Aktiv, të jetë saktësisht i njejti sikur për zonën e DNS-it që është bërë më
heret !
Vazhdon procedura për krijimin e domenit të ri “babë” (rrënjë) ose atij
“fëmij” (degë). Zgjedhet opsioni për krijimin e domenit të ri të pavarur
(rrënjë).
Hapat e ardhshëm janë të paraqitur me figura – kuptimi i të cilave kuptohet
nga teksti që përmbanë secila prej tyre.
64 Windows Server
Sem_2 b.s.
65 Windows Server
Sem_2 b.s.
66 Windows Server
Sem_2 b.s.
67 Windows Server
Sem_2 b.s.
68 Windows Server
Sem_2 b.s.
69 Windows Server
Sem_2 b.s.
Pasi që është bërë instalimi i Direktoriumit Aktiv, nga ky server mund të
arrihet Interneti pasi ky është konfiguruar si DNS server. Pasi që në
Internet ekziston kierarhia e DNS-ave sipas zonave, DNS ynë duhet të
konfigurohet ashtu që për domenet (Web faqet) për të cilët nuk i din IP-të,
duhet të kërkoj ndihmë nga DNS-ët e nivelit më të lartë. Në fletën Forwarders
konfiromhet butoni Enable forwarders dhe shkruhet IP-a e DNS serverit një
nivel më lartë se DNS –i ynë . Për çdo Web faqe për të cilën DNS ynë nuk e
din IP-in, i bënë kërkesë DNS-it të nivelit më të lartë (207.236.176.10 sipas
figurës) ti dal në ndihmë dhe t‟ia gjej ! Në Internet ekziston rrjeta e DNS-
ave ku secili prej tyre e ka dikend “kompetent” për t‟ia zgjidhur “problemin”
e gjetjes së IP-së.
70 Windows Server
Sem_2 b.s.
Tash pasi është bërë instalimi i Direktoriumit Aktiv si dhe i DNS serverit,
të gjithë klientët e brendshëm (userat - shfrytëzuesit) mund të futen në
domen dhe t‟i nënshtohen rregullave të domenit, të cilat i cakton
administratori.
Menaxhimi me Group Policy (rregullat e grupi)
Rregullat e grupit (Group policy) mund të aplikohen në usera (shfrytëzues)
ose në konfigurime të kompjuterit. Administratorët mund të përdorin këtë
vegël që të definojnë dhe të kontrollojnë se si resurset e rrjetit , sistemi
operativ dhe programet operojnë për usera dhe kompjuterë në një organizatë.
Në një ambient ku ka Direktorium Aktiv, vetitë e rregullave të grupit i
shoqërohen ndonjë kontejneri të Direktoriumit Aktiv siq është: sajti, domeni
ose njësia organizative. Vetitë zbatohen në usera ose në kompjuterë që i
takojnë atij kontejneri. Vetitë e rregullave të grupit, trashëgohen nga sajti
71 Windows Server
Sem_2 b.s.
në domen dhe në fund nga domeni në njësi organizative. Por rregullat mund të
bllokohen në secilin nivel: sajt, domen ose njësi organizative.
Rregullat e grupit vlejnë për të gjithë kompjuterët dhe userat e kontejnerit
të selektuar. Megjithate, mund të përdorën filterat brenda rregullave të
grupit për ndonjë user ose kompjuter të atij kontejneri. Kjo gjë e thjeshton
administrimin për usera që kanë kërkesa të ndryshme nga i tërë grupi.7
Konfigurimi i rregullave të grupit
Si rrjedh procedura e konfigurimit të rregullave, do të paraqitet me poshtë.
Së pari bëhet hapja e Direktoriumit Aktiv ( Start / Programs / Administrativ
Tools / Active Directorium) !! dhe zgjedhet Njësia Organizative (OU) në të
cilën do të aplikohen rregullat.
7 Fushat për siguri të cilat mund të konfigurohen për kompjuterë, janë: Account policies (rregullat e kontove) – vetitë e sigurimit të kompjtuerëve që vlejnë vetëm në nivelin e
domeneve dhe ate për: rregullat e fjalëkalimeve (paswords), rregullat e daljes (mbylljes - lockout) dhe
rregullat e Kerberosit në domenet e Windowsit 2000.
Rregullat lokale (Local Policies) – përfshijnë të drejtat e userave, vetitë siguruese për kontrollin e
rregullave, si dhe opsionet siguruese.
Event Log – përfshijnë vetitë kontrolluese për aplikacione, sigurim dhe sistem, të cilave mund t’u qasemi
përmes Event Viewer.
Restricted Group – i mundëson administratorit të caktoj rregulla për grupe me ndikim siq është
Adminstratori i Ndërmarrjes p.sh.
System services – kontrollon ngritjen e sistemit dhe qasjen në shërbimet e sistemit.
Registry – përdoret për kofigurimin e vetive për siguri siq është kontrolli i qasjes, auditimi dhe
objektet e sistemit.
72 Windows Server
Sem_2 b.s.
Klikohet me të djathtin mbi te dhe zgjedhet opsioni Properties
Nga tre fletet e mundshme zgjedhet fleta Group Policy
73 Windows Server
Sem_2 b.s.
Dhe përmes butonit New krijohet një objekt i ri i cili i përmbanë rregullat
që do të definohen në hapat e mëvonshëm.
Selektohet objekti i krijuar, dhe klikohet në butonin Edit
Shifet se kufizimet mund të bëhen për kompjuter (Computer Configuration)ose
për shfrytëzues (User Configuration).
Zgjedhet opsioni dhe rregulla (Në fig. Control Panel).
74 Windows Server
Sem_2 b.s.
Në dritaren e djathtë kemi mundësi të konfigurojmë rregullën e caktuar.
Klikojmë me te djathin dhe zgjedhim opsionin Properties.
Na ofertohen tri mundësi. Të mos bëjmë asnjë kofigurim (not Configured), ta Lejojmë (Enable) ose ta
ndalojmë (Disable) atë rregull.
75 Siguria në komunikim
Sem_2 b.s.
Siguria e serverit. Mbrojtja e Web faqeve në Internet
Nevoja për çështje sigurie
Nevoja për siguri, në shkëmbimet e mesazheve dhe marrjes së informatave në
Internet (web-i), është shumë e nevojshme. Në kushtet e zakonshme, pa aplikim
sigurie, paraqiten probleme gjate transmetimeve. Ti numërojmë disa nga ato:
Dobësitë që dalin si pasojë e përdorimit të formës standarde të webit janë:
E dhëna e dërguar nga klienti deri tek web serveri është e paenkriptuar
(pa shifruar); ajo është e ndijshme në përgjim, modifikim (ndryshim) dhe
ndërprerje.
Klienti nuk ka se si të sigurohet që web sajti që shfrytëzon është i
vërteti, dhe jo i rrejshëm. P.sh. duke pretenduar se është i vërteti,
ai mund të mashtrohet dhe t‟i japi “mashtruesit” informata të
rëndësishme.
Nëse klienti merr ndonjë e-mail , atëherë ai e-mail nuk është i sigurtë nga;
Përgjimi
Ndërprerja e mesazhit (mos arritja)
Modifikimi (ndryshimi) i mesazhit
Duplikimi ose ridërgimi i mesazhit
Kopjet (backup) jo të ruajtura mirë(sigururara), mund të “shihen” prej
të tjerëve
Nëse klienti ruan informacione të rëndësishme në Web server ose në bazë të të
dhënave, ato informacione gjithashtu do të jenë të rrezikuara nga:
Modifikimi (ndërrimi)
Kopjet e pasiguruara mund të shihen prej të tjerëve
Të tjerët mund të kanë qasje
Këto qështje janë shumë serioze – sidomos mundësia e madhe që të
“padëshiruarit” kanë për të ndërprerë arritjen e informacionit ose marrjen
(vjedhjen) e informacioneve shumë të rëndësishme.
Prandaj është shumë me rëndësi që të eleminohen të gjitha këto mundësi në
mënyrë që të garantohet siguria dhe sekreti i të dhënave.
Sigurimi SSL
SSL është teknologji standarde për siguri e cila krijon lidhje (link) të
shifruar (enkriptuar) në mes të Web serverit dhe browserit. Kjo lidhje
garanton që të gjitha të dhënat e përcjelluara mes Web serverit dhe browserit
76 Siguria në komunikim
Sem_2 b.s.
(klientit) mbeten private (sekrete) dhe integrale (të paprekura). SSL-i
është standard industrial dhe përdoret nga miliona Web sajte si mbrojtës në
komunikimet e tyre direkte me klientët, përmes Internetit (on-line).
Në mënyrë që të realizohet një lidhje SSL, protokoli SSL kërkon që serveri të
ketë të instaluar certifikaten digjitale. Kjo certifikatë i mundëson klientit
(Web browserit) të bëjë autentikimin e serverit para se të bëjë vendosjen e
sesionit (seances) SSL.
SSL (Secure Socket Layer) protokoli të cilin e ka zhvilluar kompania
Netscape, momentalisht është metoda më e përdorur për sigurimin e
komunikimeve në rrjete. E mbështet edhe Internet Exploreri.
SSL garanton integritet dhe intimitet të të dhënave si dhe autenticitet të
dërguesit duke shfrytëzuar kombinimin e kriptimit me çelës publik, kriptimit
simetrik dhe certifikatit digjital.
Shkëmbimi i të dhënave duke shfrytëzuar protokolin SSL rrjedh kështu:
Klienti inicon komunikimin (Tung ! – Hello)
Serveri përgjigjet dhe ia dërgon certifikaten e vet digjitale,
klientit. Serveri mund të kërkoj edhe certifikaten digjitale të klientit
për autentikim.
Klienti e verifikon certifikatën a marrur, dhe nëse i kërkohet dërgon
edhe të vehten.
Autentikimi përfundon.
Klienti i dërgon serverit çelësin e sesionit të kriptuar me çelësin
publik të serverit. Serveri e dekripton atë me çelësin e vet privat.
Kur të vendoset kontakti (sesioni), komunikimi mund të rrjedh në mënyrë
të sigurtë!
Pra:
Puna e parë për siguri është që të krijohen Web sajtet e sigurtë. Kjo do të
thotë të mirret një Certifikatë SSL dhe të instalohet ajo në Web serverin
tuaj. URL-ja e Web faqes suaj tash do të filloj me: https:// Tash klientët
tuaj mund të lidhen në Web faqen tuaj në mënyrë të sigurtë duke shfrytëzuar
URL-në e re që tregon se është një lidhje e sigurtë (për dallim nga URL-të
që fillojnë me http:// që tregojnë se lidhjet nuk janë të sigurta dhe
informatat që rrjedhin nuk kanë siguri ).
Duke shfrytëzuar Web sajtin e sigurtë keni këtë përfitim (benefit):
Të gjitha të dhënat e dërguara nga Web sajti juaj deri tek klientët tuaj janë
të enkriptuara kështuqë ato nuk mund të përgjohen, ndërprehen ose ndryshohen
gjatë transmetimit. Kjo është si një kanal i sigurtë në mes të klientit dhe
serverit në të cilin askush nuk mund të ndërhyjë (penetrojë).
77 Siguria në komunikim
Sem_2 b.s.
Cilat Web faqe janë të mbrojtura ?
Të gjitha faqet që kërkojnë nënshkrime digjitale prej klientit ose faqet që
pyesin për të dhëna personale janë të mbrojtura me enkriptimin SSL.
Në figurë është paraqitur një Web faqe, e cila ka karakteristikat e të gjitha
faqeve që janë të mbrojtura me enkriptimin (kriptimin) SSL. Këto faqe janë të
njejta sikur Web faqet tjera me këto dallimet e theksuara në figurë.
URL-ja e faqeve të mbrojtura ndërron nga: hhtp:// … në https:// …
Në këndin e djathtë të status bar –it paraqitet një dry me ngjyrë të
verdhë që simbolizon sigurinë e web faqes.
Nëse dëshiron që të shohish dhe të verifikosh
informatat mbi enkriptimin e faqes së mbrojtur,
vepro kështu:
Në Netspace – kliko në simbolin e dryrit dhe
selektoje butonin “View Certificate”
Në Internet Explorer – me klikim të dyfisht
mbi dryrin në këndin e djathtë të status
bar-it.
Në figurë është paraqitur dritarja e cila
paraqitet pas klikimit të dyfisht mbi dry. Këtu
është shfrytëzuar browseri Mozilla, i cili e
kishte teknikën e njejtë sikur Internet Explorer-
78 Siguria në komunikim
Sem_2 b.s.
i.
Këtu shihet se kjo web faqe kërkon autentikim
për ta vizituar. Identiteti i kësaj faqe
vertetohet nga VeriSign Trust Network, që në
fakt paraqet një CA.
Më poshtë mund të lexohet: se faqja është e
kriptuar para se të emetohet në Internet, si
dhe kjo e bën shumë të vështirë marrjen e
informatave nga të paautorizuarit.
Aty figuron edhe algoritmi i enkriptimit, që
është 256 bitësh.
Nëse klikojmë në butonin View, do të kemi
mundësi me e parë certifikatin të cilën e
disponon kjo Web faqe (ky server) e mbrojtur me teknologjinë SSL të
kriptimit.
Këtu shihen të dhënat si:
Emri i Web faqes, emri i organizatës, numri serik, CA (certificate
authoritet) që ka dhënë këtë certifikat, data deri kur është valid dhe SSL
certifikati i lëshuar nga CA-ja.
Dërgimi i mesazhit “e-mail”
Meqenëse zakonisht për të dërguar e-mail shfrytëzojmë shërbimet si Yahoo.com
ose Hotmail.com atëherë transportimin e e-mailit deri tek serveri SMTP e
bëjnë këto web faqe duke shfrytëzuar protokolin SMTP (simple mail transfer
protocol). Kurse browseri ynë shfrytëzon protokolin HHTP (Hiper text transfer
protocol) për të transferuar e-mailin tonë deri tek serverat e këtyre
shërbimeve (hotmail, gmail, ose yahoo).
Nëse dërgimin e e-mail-it e bëni duke shfrytëzuar programin si: Outlook të
Microsoftit, atëherë kjo kryhet drejtpërdrejtë me protokolin SMTP (shif
figurën).
79 Siguria në komunikim
Sem_2 b.s.
* Shumë shfrytëzues kanë njohuri të gabueshme në lidhje me sigurimin në
komunikimet në Internet. Një nga komunikimet e veqantë është edhe komunikimi
përmes letrave elektronike (e-mail).
Shfrytëzuesit, gabimisht mendojnë se vetëm pranuesi i e-mail-it mund ta
lexojë letrën e dërguar. E-maili në rrugën e tij të gjatë, mund të ruhet në
shumë serverë përgjatë rrugës së tij.
Nëse e-mail-i dërgohet brenda rrjetit, atëherë ai do të ruhet më së paku në
tre vende: Tek dërguesi, tek pranuesi dhe në server.
E-mail mund të krahasohet me një kartolinë e cila shkon prej dërguesit tek
pranuesi dhe të cilën mund të lexojnë të gjithë ata që e kanë në dorë.
Prandaj, nëse e-mail nuk është i kriptuar, mesazhi që bart lehtë mund të
lexohet, kopjohet përgjatë rrugës së tij nga dërguesi deri tek pranuesi.
Kujdes:Fshirja e mesazhit të e-mail-it në kompjuterin e shfrytëzuesit nuk
garanton se ndonjë kopje e tij nuk është në ndonjë ose më tepër server.
Ekzistojnë programe (software) për mbrojtjen e e-mail-ave. Ata lehtë
përdoren. Shumica prej tyre përdorin kriptimin me çelës publik dhe me
nënshkrim digjital për të ofruar mësheftësi të të dhënave dhe autentikim të
sigurtë.
Sigurimi i email-it me SSL
Gjëja më e lehtë që mund të bëni që emajli juaj të jetë i sigurtë, është që
të përdorni “email provider”-in i cili përkrahë SSL-in (Secure Socket Layer)
për serverët: WebMail, POP, IMAP dhe SMPT.
80 Siguria në komunikim
Sem_2 b.s.
1. SSL-i është kombinim i kriptimit simetrik dhe asimetrik. 8
Përparësitë e SSL-it janë të dyfishta:
Ju mund të determinoni, se a jeni të lidhur me serverin e vërtetë, dhe
Ju dhe serveri mund të komunikoni sigurtë.
Nëse gjatë komunikimit me server duke përdor SSL-in, merrni ndonjë mesazh me
vërejtje, atëherë kju mund të jetë si pasojë e këtyre rasteve:
Certifikatit SSL (p.sh. çifti i çelësave publi/privat) i ka kaluar
afati.
Disa nga informatat në certifikatë nuk përputhen me informatat që i pret
ti – p.sh. certifikata është lëshuar për ndonjë server tjetër, e jo për
ate që iu doni ta kontaktoni (Ju në mënyrë të gabuar – të pa matur jeni
lidhur tek serveri i gabuar !).
Certifikata është lëshuar nga ndonjë agjenci jo e besueshme.
Certifikatat SSL përgjithësisht lëshohen nga agjensitë e palës tretë sikur
janë: Thawte.com ose Verisign. Këto kompani të palës tretë bëjnë kontrollimin
e kompanive që bëjnë kërkesë për certifikatë dhe lëshojnë certifikata vetëm
për ato kompani që gëzojnë të drejten për to. Certifikatat përfshijnë: emrin
e kompanisë, emrin e kompanisë që i ka lëshuar certifikatën asaj, si dhe
emrin e serverit të cilit i është lëshu ajo. Kur ju lidheni me këtë SSL
server mund të verifikoni informatat e futura dhe faktin se ato informata
janë të lëshuara nga kompania e palës tretë, të cilës iu i besoni. Nëse
certifikata është valide, atëherë iu keni një shkallë të lartë të besimit se
serveri që keni kontaktuar është ai që keni kërkuar!
Duke e përdorur SSL-in për WebMail, POP, IMAP dhe SMPT ju garantohet që
komunikimet në mes të kompjuterit tuaj personal dhe kompjuterit(serverit)të
provajderit për shërbim të emajlit, janë të kriptuar. Përmbajtja e mesazheve
tuaja, emri i shfrytëzuesit dhe fjalëkalimi (user name dhe password) do të
jenë të mëshehura nga përgjuesit në mes jush dhe provajderit të shërbimit.
8 Nëse lidhesh me serverin duke përdor protokolin SSL, do të ndodhin këto veprime:
1. Serveri përdor çelësin e vet privat, që të iu dokumentoj juve që ai është serveri të cilin doni ta
kontaktoni. Kjo ju bind se nuk jeni i lidhur me ndërmjetësuesin e cili po tenton që të ndërhyj në
komunikimin tuaj.
2. I dërgoni serverit çelësin tuaj publik
3. Serveri gjeneron “çelësin sekret” dhe e dërgon atë tek ju të kriptuar, duke përdorur çelësin tënd
publik
Ju dhe serveri pastaj komunikoni duke përdorur kriptimin simetrik me “çelësin sekret” të përbashkët – të
njejtë (Kriptimi simetrik është më i shpejtë se kriptimi asimetrik).
81 Siguria në komunikim
Sem_2 b.s.
Por shërbimi SSL nuk e mbron mesazhin tuaj, kur ai e lëshon Serverin SMPT dhe
shkon ka destinacioni i tij. Kështu që edhepse nuk mbrohet me shumë siguri
mesazhi juaj, komplet mbrohet emri dhe paswordi juaj. Kjo është shumë me
rëndësi.
SSL-i është shumë lehtë me u përdorë. Kjo zakonishtë nënkupton klikimin e
disa kutizave për konfirmim (checkbox) në konfigurimin si emajl klient. Këto
masa ju mbrojnë juve dhe paswordin tuaj. Prandaj përdorimi i SSL-i për
komunikim përmes emajlit është i domosdoshëm.
Mbrojtja nga “e-mail”-at e rrezikshëm në nivelin e Browser -ëve
Windows Live Hotmail është një shërbim (servis) i cili ofron shërbimin e “e-
mail” –it dhe sigurinë ia ofron browseri Mozila Firefox.
Rrezik potencial për siguri paraqesin e-mail-at e padëshiruar dhe të
rrezikshëm (spam). Ky shërbim ofron mekanizma mbrojtës për e-mail-at e tillë.
Më poshtë do të paraqesim shkurtimisht se si mund të mbrohemi nga e-mail-at
keqbërës nëse e përdorim këtë shërbim.
Çdo e-mail që e pranoni mund ta shpallni si të sigurtë (safe) ose të pa
sigurtë (unsafe). Nëse e shpallni si të pasigurtë, ai nuk do të hapet si dhe
do t‟i ndalohet për një kohë të gjatë që t‟iu dërgoj mesazhe! Gjithashtu ai
do të marr njoftimin se adresa juaj nuk është valide! Përndryshe nëse e
vlerësoni se mesazhi duhet të jetë në rregull ose nga person i njohur atëherë
klikoni në “mark as safe” dhe ai hapet.
Mesazhet(e-mailat) që vijnë paraqiten në këtë formë:
82 Siguria në komunikim
Sem_2 b.s.
Windows Live Hotmail iu ndihmon me mekanizmat e vet që të iu bëjë më të lehtë
identifikimin e mesazheve që vijnë e që paraqesin rrezik për ju. Shiriti, në
krye të njoftimit mbi ardhjen e mesazhit, mund të ketë ngjyra të ndryshme.
Nëse ngjyra është bardhë atëherë mesazhi vie nga dikush që e ke në listen e
kontakteve, pra nga dikush i njohur. Prandaj si i tillë nuk paraqet rrezik.
Nëse ngjyra është e verdhë atëherë mesazhi vjen nga dikush që nuk është në
listen tënde, prandaj duhet pasur kujdes. Kurse
Nëse ngjyra është e kuqe atëherë duhet pasur kujdes sepse është fjala për
mesazh jo dashamirës por keqbërës.
83 Siguria në komunikim
Sem_2 b.s.
Këndellja pas “katastrofave” dhe krijimi i kopjeve rezervë
Administratori i rrjetit ka për detyrë që në rastet kur vie tek shkatërrimi i
të dhënave si rezultat ose i prishjeve hardverike ose për ndonjë arësye
tjetër, të ketë kopje rezervë të të dhënave sepse e tërë kompania ose
organizata është e varur prej ti. I tërë afarizmi dhe të dhënat shumë të
rëndësishme ruhen në hard disqet e serverëve dhe nëse nuk ka kopje rezervë
kur të vijë tek rënja e sistemit, do të krijohen probleme shumë të mëdha.
Administratorët për krijimin e kopjeve rezervë duhet të jenë të përgatitur,
të përgjegjëshëm dhe gjakëftohët. Ata duhet vazhdimisht ti avansojnë veprimet
dhe strategjinë e tyre sepse kompania varet prej tyre.
Përse me kriju kopje rezervë ?
Objektivisht, ekzistojnë dy arësye për krijimin e kopjeve rezervë, por
teknologjia në të dyja rastet është shumë e ngjashme:
Ruajtja e të dhënave për mbajtje të evidencës (p.sh., kopjet rezervë që
krijohet çdo muaj e ruhen një vit)
Regjenerimi pas katastrofave (ang. Disaster Recovery – DR) ose këndellja
e sistemit.
Duhet pas parasysh, se cilët fajlla (ose baza të të dhënave) janë vital për
organizatën dhe sa shpesh duhet riruajtur ata.
Përmbajtja e kopjeve rezervë
Shpesh administratorët zbatojnë strategjinë më të thjeshtë për ndërtimin e
kopjeve rezervë, e ajo është: krijimi i kopjeve të të gjithë fajllave në
makinë ose rrjetë dhe që të gjithë i vendosin bashkë.
Më mirë është që fajllat t‟i ndajnë në dy grupe:
fajlla sistemor – sistemi operativ dhe aplikacionet (programet). Ata
ruhen përderisa nuk ndërrohet verzioni i sistemit operativ ose ndonjë
programi, si dhe
fajlla të të dhënave – janë fajlla që ndërrohen çdo ditë si: fajlla të
programeve për përpunim të teksteve, fajlla të bazave të të dhënave,
fajllat grafik dhe konfigurues (Registar, DHCP, WINS, DNS dhe
direktoriumi aktiv – Active directory) – p.sh. për një sistem operativ
të një serveri !
Kopjet rezervë
Para se të fillohet krijimi i kopjeve rezervë, duhet dijtë se si përdoret dhe
si funksionon programi për këtë veprim.
84 Siguria në komunikim
Sem_2 b.s.
Kopja rezervë në fakt është kopje identike e një baze shënimesh (bashkë me
dokumentacion) e ruajtur në mediume memoruese, zakonisht në formë të
komprimuar. Ajo ruhet në vend të sigurtë, shpesh larg origjinalit.
Në çdo medium ku ruhen kopjet rezervë, së bashku me to ruhet edhe
dokumentacioni për ata fajlla si formë e historisë së tij ( si data e
krijimit, madhësia etj.).
Praktikë:
Krijimi i kopjes rezervë (backup) në Windows 2000 (Server + Profesional). Në
vazhdim do të paraqesim procedurën detaje e krijimit të kopjes rezervë
(backup-it) në Windows 2000.9
9 E kjo procedure duhet të jetë e ngjashme edhe në versionin XP të Windowsit.
Përmes shtegut: Start/Programs/Accessories/System Tools/Backup niset procedura për krijimin e backup-it.
85 Siguria në komunikim
Sem_2 b.s.
Fillon proqesi me mirëseardhje. Kliko Next
Nga tre opcionet zgjedhet i pari :
Backup Wizard.
86 Siguria në komunikim
Sem_2 b.s.
Bëhet përzgjedhja e folderëve, fajllave ose edhe e pjesëve komplete të diskut (drives), që do të ruhen si rezervë, me vendosjen e “kërrabzës” përpara.
Kliko Next.
Bën zgjedhjen e asaj se çka do të kopjosh. Çdo gjë në kompjuter Folderët, fajllat e selektuar, ose Vetëm fajllat sistemor. Pas përzgjedhjes së opcionit pare, kliko
Next.
87 Siguria në komunikim
Sem_2 b.s.
Zgjedhe emrin për kopje (backup). Kliko
Open
Zgjedhe vendin se ku do ta ruash backup-in, duke klikuar në Browse. Pastaj kliko
Next.
Përfundimi i proqesit.
Kliko në Finish.
88 Siguria në komunikim
Sem_2 b.s.
Proqesi i krijimit të kopjes reserve – kopjimi i fajllave në folderin e zgjedhur.
Treguesi se backup-i ka përfunduar.
89 Siguria në komunikim
Sem_2 b.s.
Restaurimi (këthimi) i kopjes rezervë (backup-it)
Me klikim në Report, do të paraqitet raporti për fajllat e kopjuar dhe ata të cilët nuk kanë mundur të kopjohen për shkak të asaj se kanë qenë të hapur – në shfrytëzim (skiped).
Nëse duam të shikojmë vendin se ku e kemi të ruajtur bacup-i shkojmë tek folder i duhur (backup) dhe e hapim. Aty shihet backupi (kopja_rezervë)
Nga tre opcionet zgjedhet opcioni i dytë: Restore Wizard, i cili nis procedurën për restaurimin e kopjes rezervë.
90 Siguria në komunikim
Sem_2 b.s.
Mirëserardhja për proqesin. Kliko në Next.
Zgjedhe folderin të cilin do të restaurosh. Kliko në Next.
91 Siguria në komunikim
Sem_2 b.s.
Nëse dëshiron që restaurimin ta bëni në folderin original, kliko
në Finish, nëse doni ta ruani në ndonjë vend tjetër atëherë kliko në
Advanced
Kliko : Alternate location dhe Next më pastaj.
Në Browse zgjedh folderin se ku don me e vendosur kopjen rezervë.
92 Siguria në komunikim
Sem_2 b.s.
Në Browse zgjedh folderin se ku don me e vendosur kopjen rezervë.
Nëse pajtohesh me zgjedhjen tënde kliko në Next, e nëse jo kliko në Browse dhe zgjedhe vendin e ri e pastaj në Next.
93 Siguria në komunikim
Sem_2 b.s.
Zgjedh opcionin për ate se si do të bëhet restaurimi. Rekomandohet opcioni i pare : Fajlat që ekzistojnë në disk të mos zëvendësohen me këta të rinjët. Next
Zgjedhe opcionin e pare dhe kliko: Next.
94 Siguria në komunikim
Sem_2 b.s.
Përdundimi i proqesit. Kliko Finish.
Nëse pajtohesh me zgjedhjen tënde kliko në OK,
Përdundimi i proqesit. Kliko Finish.
Rrjedha e procesit. Restaurimi.
95 Siguria në komunikim
Sem_2 b.s.
Rrjedha e procesit.
Nëse e hapim folderin Rezerva ku është bërë ruajtja e kopjes rezervë, shihet folder i ruajtur 2006_2007.
96 Siguria në komunikim
Sem_2 b.s.
Firewall-i
Ç’është firewall –i ?
Është thjeshtë një program – softver ose një paisje – hardver i cili ndalon –
filtron informatat të cilat vijnë përmes Internetit në rrjetin e kompjuterëve
ose vetëm në një kompjuter.
Është një masë për siguri që mbron kompjuterin ose rrjetin kompjuterik nga
qasja e paautorizuar. Fatkeqësisht në botën e sotme të kompjuterit, ka plot
hakera devijant, të zellshëm, që tentojnë të arrijnë deri tek informatat e
kompjuterit. Përpara, cak kanë qenë institucionet e mëdha, kurse sot hakerëve
iu interesojnë edhe të dhënat personale nga çdo kompjuter.
Para 5,6 vitesh ata të cilët e kanë përdorur firewallin kanë qenë bankat,
bizneset dhe veprimtaritë qeveritare. Kohërat kanë ndryshuar. Sot, për të
pasur një firewall të mire është njëlloj e rëndësishme sikur me pas një
mbrojtje antivirus.
FireWall-i mund të jetë softver, hardver, ose kombinim i të dyjave. Firewalli
i mirë do t‟i pengojë hakerët për t‟iu qasur kompjuterit. Ai gjithashtu nuk
do të lejoj që nga kompjuteri të dalin informata pa lejen tuaj. Pra
informatat personale do të jentë të sigurta. E vërteta, firewalli nuk do të
mund të pengoj ataket e virusëve por në disa rrethana mund t‟i pengojnë
virusët që të nxjerrin jashtë informata nga kompjuteri i infektuar.
Nëse qasjen ne Internet e keni përmes lidhjes DSL (broadband) ose me kabëll,
definitivisht duhet të posedoni firewall-in. Pasi lidhjet broadband janë
gjithmonë “on” dhe të përbashkëta, është më lehtë për një haker të hyj në
kompjuterin tënd.Prandaj është esencialisht e rëndësishme që kompjuterët që
përdorin këtë lloj lidhje me Internet , të disoponojnë me këso softverësh
mbrojtës.
Edhe nëse për lidhje në Internet shfrytëzoni lidhjen dial-up, firewall-i
është i mirëseardhur. Kjo për arësyen se ekzistojnë programe, si spajver dhe
adverë që janë programe invaduese dhe që “këthejnë” informata tek personi që
i ka krijuar ato. Kështuqë firewalli i mirë do t‟iu sinjalizoj për informatat
që do të “marrin rrugë” nga kompjuteri yt pa iniciativën tënde!
Mënyra më e lehtë për t‟u paisur me firewall, është përmes softverit, i cili
instalohet sikur edhe çdo program tjetër. Shumica e softverëve mbrojtës
pengojnë që informatat e paautorizuara të dalin jashtë kompjuterit. Duhet
97 Siguria në komunikim
Sem_2 b.s.
pasur kujdes para se me u paisur me softver mbrojtës se a është ai firewall
dy direkcional (dy drejtimësh). Disa nga softverët mbrojtës vetëm iu
alarmojnë kur dikush prej së jashtmi tenton të hyj në kompjuterin tënd.Këta
sofverë mbrojtës njëdirekcional nuk kontrollojnë informatat e paautorizura që
dalin nga kompjuteri.
Firewall-i i ndërtuar brenda sistemit operativ XP, fatkeqësisht është
njëdrejtimësh. Ai mund të kontrolloj vetëm informatat që vijnë nga jashtë.
Është më mire se asgjë, por për mbrojtje komplete nevojitet një firewall
bidirekcional.
98 Siguria në komunikim
Sem_2 b.s.
Si ta bëjmë Firewallin të përshtatshëm
Filtrimi i të dhënave që e bënë firewalli, mund të bëhet sipas disa
elementeve apo kritereve. Këto kritere ose kushte mund të ndërrohen sipas
nevojës. Disa nga këto janë:
IP Adresa
– Nëse një kompjuter jashtë kompanisë është duke marrë (lexu) shumë fajlla
nga serveri i kompanisë, firewall-i mund ta bllokon tërë trafikun kah ai ose
nga ai kompjuter, duke e marrë parasysh IP adresën e tij.
Emrat e domeneve (Domain name)
– Filtrimi mund të bëhet sipas emrave të domeneve. Nëse dëshirohet që një IP
të bllokohet ose të lejohet, atëherë kjo mund të bëhet edhe përmes emrit të
domenit, së cilës i takon IP –ja. Shembuj të domeneve janë: MSN, Google etj.
Protokolet
– Protokolet e caktuar mund të bllokohen (filtrohen) ose të lejohen me
firewall. Protokolet të cilët mund të menagjohen janë: IP, TCP, HTTP, FTP,
UDP, ICMP, SMTP, Telnet, SNMP etj.
Kompania p.sh. mund ta lejoj një protokoll të caktuar për disa kompjuter,
kurse për të tjerët ta ndaloj atë (p.sh. nëse ai protokol është SMTP fjala
është për e-mail. Atëherë vetëm ata kompjuter të cilëve u lejohet, kanë
mundësi ta përdorin e-majlin, kurse të tjerët jo).
Portet
– Dijmë se secili protokol ka numrin e vet të portit (p.sh. HTTP e ka 80, FTP
– 21 etj.). Me firewall p.sh. mund të bllokohet porti i caktuar për të gjithë
kompjuterët e rrjetit, përveq për disa (të rëndësishëm). Mundësitë janë të
shumta.
Teksti
– Firewall-i mund ta bllokoj edhe një tekst të caktuar. Paketet të cilat
përmbajnë atë tekst – shkatërrohen derisa tjerat lejohen.
Përzgjedhja e firewallit
Në Internet, hakerat përdorin kode malicioze (helmuese si: viruses, worms
dhe Trojan horses), që të provojnë me gjetë kompjuterë të pambrojtur.
Përderisa disa atake, sulme, janë vetëm të bezdisshëm që mund të shkaktojnë
ndonjë mashtrim, të tjerët mund të kenë qëllime malicioze – të dëmshme. Ata
mund të provojnë që të fshijnë informata nga kompjuteri yt, ta dëmtojnë
kompjuterin ose të përvetësojnë informata personale sikur: paswordi ose numri
i kartelës së kreditit.
99 Siguria në komunikim
Sem_2 b.s.
Për fat të mire, ti mund të zvogëlosh rrezikun nga infektimi duke përdorur
firewall-at. (bukvalisht.”mur i zjarrët”).
Firewall-i bënë ekzaminimin e informatave që vijnë nga Interneti dhe atyre që
shkojnë në Internet. Ai i identifikon dhe i ndalon informatat që vijnë nga
lokacione (vende) të rrezikshme ose që duken si të dyshimtë.
Kur ta aktivizoni firewall-in tuaj në mënyrë korrekte, hakerët duke kërkuar
kompjuterë të pambrojtur, nuk mund ta detektojnë (gjejnë) kompjuterin tënd.
Ekzistojnë dhe janë në dispozicion tri tipe bazike të firewall-ave. Puna e
parë është të përcaktohesh cili nga këta është më i përshtatshëm për ty !
Mundësitë për zgjedhje përfshijnë këto tipe:
Firewallat softverik, dhe
Firewallat hardverik
Routerat hardverik
Routerat “Wireless” (pa tela)
FireWall-at softverik janë zgjedhje e mirë për një kompjuter të vetëm (jo për
rrjetë kompjuterash); ata punojnë me të gjitha versionet e Windowsit (98,
ME, 2000), derisa dy versionet e fundit XP dhe Vista e kanë të inkorporuar
brenda sistemit operativ kështuqë tek ta asnjë shtesë nuk është e
domosdoshme.
Këto mbrojtje softverike janë në dispozicion nga kompani të ndryshme
softverike. Në tabelë do të paraqiten përparësitë dhe të metat e këtyre
softverëve.
Përparësitë Të metat
Nuk kërkojnë shtesë hardverike Çmim shtesë. Softverët zakonisht
kushtojnë!
Nuk ka nevojë për lidhje të re
(tela).
Instalimi dhe konfigurimi nevojitet për
aktivizim !
Opcion i mire për kompjuter të
vetëm
Për secilin kompjuter nevojitet nga
një kopje.
Routerat hardverik
Këta routera janë zgjidhje e mirë për rrjetat “shtëpiake” të cilat lidhen në
Internet.
Karakteristikat pozitive dhe negative të tyre janë ta paraqitur në tabelë:
100 Siguria në komunikim
Sem_2 b.s.
Përparësitë Të metat
Routerat kanë zakonisht më së paku
katër porte rrjeti, për të lidhur më
shumë kompjuter bashkë.
Kërkojnë vendosjen e kabllove për
lidhje, çka do të bëjnë pak rrëmujë !
Ofrojnë mbrojtje për më shumë
kompjuterë.
Routerat “pa tela”
Nëse ke planifikuar të përdorësh rrjetin wireless, të nevojitet një router
Wireless.
Përparësitë Dobësitë
Routeri Wireless të mundëson që të
lidhësh kompjuterët, laptopët,
printerët pa përdorimin e telave
(përçuesëve).
Paisjet Wireless emitojnë informatat
përmes radiovalëve, kështuqë ato
sinjale mund të pranohen prej dikujt
jashtë shtëpisë – rrjetit.
Janë të shkëlqyeshëm për lidhje të
laptopëve në rrjetë dhe Internet.
Kërkohet pagesë extra për këtë paisje.
Jo të gjithë routerat posedojnë
firewallin e instaluar, kështuqë duhet
bërë porosi e veqantë !
Instalimi i firewall-it është vetëm një masë sigurie në kërkimin nëpër
Internet. Duhet të vazhdosh ta përforcosh sigurimin e kompjuterit duke bërë
përditësime (update), duke përdorur softverë antivirus dhe antispajverë!
Proxy server
Proxy serveri është server i cili vendoset në mes të aplikacionit të
klientit, siq është p.sh. Web brovseri dhe të serverit real ku janë të
deponuara të dhënat. Ai ka qëllim sigurimin e rrjetit dhe rritjen e
shpejtësisë së Internetit.
101 Siguria në komunikim
Sem_2 b.s.
Ai i “kap” të gjitha kërkesat që i shkojnë serverit real për të parë se a mos
mundet ai vet me iu përgjegj asaj kërkese. Nëse po, atëherë nuk e len
kërkesën me shku tek serveri real por ai vet i përgjigjet klientit. E nëse
nuk e ka përgjigjen për atë kërkesë, e përcjell atë për tek serveri real.
Proxy serveri, kryesisht ka këto qëllime:
1. Përmirësimi i performansave (karakteristikave):
Proxi serveri mundet që në mënyrë dramatike të përmirësoj performansat për
grupe të shfrytëzuesëve. Sepse ai ruan rezultatet (pergjegjet) nga të gjitha
kërkesat që janë bërë gjatë një periudhe kohore të caktuar.
Ta ilustrojmë me shembull: Të marrim rastin kur dy shfrytëzues: X dh Y i
qasen Webit për ndonjë Web faqe (kërkesë) përmes proxy serverit. Të supozojmë
se shfrytëzuesi X kërkon faqen_1, të cilën edhe e “merr” përmes Proxit. Proxi
e ruan atë faqe. Pak më vonë, të njejten faqe e kërkon edhe shfrytëzuesi Y
dhe Proxi, meqë e ka ate të ruajtur menjëherë ia servon atij, duke mos e
“lënë” atë që ta drejtoj kërkesën tek serveri real.
Pasi Proxi zakonisht është në të njejtin rrjet me shfrytëzuesin Y shpejtësia
e përgjigjes është e madhe.
Proxy serverët mund të shërbejnë për qindra ose mijëra shfrytëzues. Shërbimet
e mëdha America on-line, MSN, Yahoo, p.sh. disponojnë me më shumë serverë.
2. Filtrimi i kërkesave
Proxy serverët mund gjithashtu të përdorën për filtrimin e kërkesave të
caktuara. P.sh. mund të bllokohet qasja në Web faqe të papërshtatshme.
3. Kontrollimi i shfrytëzuesëve
Shfrytëzuesit të cilët i qasen Internetit përmes Proxi serverit, mund të
kontrollohen përmes autentikimit. Ekzistojnë shumë mënyra të autentikimit si
p.sh. Sipas IP adresës, IP brezit (IP range), MAC adresës, Emrit dhe
fjalëkalimit (User Name/Password), si dhe kombinimet e tyre si: IP + User
Name / Password, MAC+ User Name / Password dhe IP + MAC.
102 Siguria në komunikim
Sem_2 b.s.
4. Menaxhimi i bandwidthit
Proxi serveri mund të ndaj - caktoj edhe bandwidthe të ndryshme për
shfrytëzuesit. Ai mund të kontrolloj performansat e Internetit duke e
kontrolluar bandwidthin dhe duke penguar “tollovinë” – ngarkesën në rrjete që
mund të shkaktohet nga shfrytëzuesit që downlodojnë fajlla. Pra e limiton
downloadin !
ISA Serveri (Internet Security and Acceleration Server)
Bizneset, kompanitë, duhet që për partnerët dhe shfrytëzuesit e shërbimeve të
tyre t‟u ofrojnë të dhëna, dokumente dhe aplikacione me mundësi të qasjes nga
largësia përmes Internetit. Këto të dhëna, aplikacone ose dokumentacione të
kompanisë duhet që të jenë të mbrojtura nga sulmet nga jashtë.
ISA Serveri 2006 p.sh. mundëson që organizatat, kompanitë, të bëjnë
sigurimin e serverëve të tyre publik, që i kanë në dispozicion për shfrytëzim
me qasje nga jashtë - përmes Internetit.
Prandaj, Në mes të Internetit dhe serverave brenda kompanisë (si Web server,
servera të të dhënave etj) vendoset ISA serveri i cili bënë “legjitimimin” e
vizitorëve të jashtëm, kështuqë në një far forme bën sigurimin e rrjetit.
(shif fig.)
ISA serveri disponon me metoda nga më të ndryshmet për autentikim, në mënyrë
që të lejoj qasje vetëm të autorizuarëve.
103 Siguria në komunikim
Sem_2 b.s.
Përdorimi i HTTP Filterit për të mundësuar Qasje të sigurtë HTTP
ISA Server i Microsoftit ofron një kontroll shumë të detajuar për komunikimin
përmes protokolit HTTP. Kjo kontroll në fakt është në formë të HTTP filterit.
Ky filter e “shoshit” tërë trafikun HTTP që kalon nëpër serverin ISA dhe
lëshon vetëm kërkesat e duhura. Ky në mënyrë të ndjeshme rritë sigurinë e Web
serverit sepse ai do të përgjigjet vetëm në kërkesat valide. Kjo mundëson
gjithashtu edhe kontrollimin e veqorive të klientëve që i qasen ISA
serverit.
Filtrimi HTTP mund të aplikohet në këto dy raste (skenare):
1. Klientët që dalin nga rrjeta e brendshme për t‟iu qasur objekteve HHTP
(Web faqeve), në rrjetin tjetër (të jashtëm), domosdo duhet të kalojnë përmes
ISA serverit. Ky bën kontrollimin dhe aplikimin e rregullave të qasjes,
gjegjësist aplikon filtrimin (ndalimin ose lejimin) për web faqet e caktuara.
2. Klientët nga Interneti që iu qasen objekteve HTTP (Web faqeve) në Web
serverin publik të kompanisë, kalojnë përmes kompjuterit që shërben si ISA
server, i cili aplikon rregullat e filtrimit.
Në të dy rastet, mund të aplikohen nivele dhe tipe të ndryshme të filtrimeve
varësisht prej kërkesave. P.sh. mund të përdoret filtrimi HTTP për të
bllokuar një shërbim në tërësi, ose për të bllokuar për një pjesë të
klientëve derisa për të tjerët është i lirë.
104 Siguria në komunikim
Sem_2 b.s.
Rrjeti Virtual Privat
Rrjeti Virtual Privat (VPN – Virtual Private Network) është rrjet privat i
konstruktuar brenda infrastrukturës së rrjetit publik, sikur është Interneti.
Nëse sypozojmë se kemi një kompani me më shumë degë të saja të shpërndara dhe
të larguara nga njërat tjetra, normalisht që degët duhet të komunikojnë
sidomos më qendrën për të shfrytëzuar të dhënat e përbashkëta ose për ti
dërguar ato. Në këtë rast mund të krijohet kjo mundësi: Duke shfrytëzuar VPN-
në repartet ose degët e kësaj kompanie mund t‟i qasen rrjetit të qendrës së
vet. Me këtë rast, përmes Internetit, ndërtohen tunele të sigurtë në mes
LAN-it të qendrës dhe atyre të degëve, respektivisht mundësohet komunikimi në
mes së kompjuterëve të degëve dhe atij në qendër (serverit, p.sh.).
VPN-ja është i sigurtë sikur edhe rrjeti privat. Përdorimi i VPN-së është më
i levërdishëm në aspektin financiar për të vendosur një lidhje “pikë për
105 Siguria në komunikim
Sem_2 b.s.
pikë” (point – to – point) në mes të dy shfrytëzuesve në distancë se sa
lidhja private ( e dedikuar).
Tri llojet kryesore të VPN-ve janë:
VPN i me qasje të gjërë (Access VPN) – mundëson qasje nga largësia për
shfrytëzues mobil (në lëvizje), zyra të vogla, telekomuterë, shtëpi,
shfrytëzuesit e një Intraneti ose Ekstraneti etj. Këtë e arrinë përmes
infrastruktures së përbashkët. Ky rrjet virtual privat përdorë teknologji të
ndryshme si: dial-up, ISDN, DSL, me kabëll etj. për t‟i lidhur në mënyrë të
sigurtë shfrytëzuesit mobil, zyret e degëve të kompanisë, telekomuterët 10)
etj.
Intraneti (Intranet)– është rrjet virtual privat i cili shfrytëzon lidhjet e
dedikuara (të posaçme) për të lidhur zyret regjionale dhe ate në distanca të
mëdha, në një rrjet të brendshëm (intern). Gjithë këtë e arrinë duke
shfrytëzuar infrastrukturën e përbashkët. Në Intranet kanë qasje vetëm
punonjësit të ndërmarrjes.
Estraneti (Extranet) – është rrjet virtual i cili shfrytëzon lidhjet e
dedikuara për t‟i lidhur partnerët afarist në një rrjet të brendshëm (intern)
duke shfrytëzuar infrastrukturën e përbashkët.
Ekstraneti ndryshon nga Intraneti në atë se lejon qasjen e shfrytëzuesëve
jashta ndërmarrjes, derisa Intraneti lejon vetëm ata brenda ndërmarjes t‟i
qasen atij.
10
telecommuter – punëtori i cili punon në shtëpi, jo në zyrë pra, prej nga i kryen të gjitha aktivitetet e veta të punës. Me këtë redukohen shpenzimet e tij, rritet siguria si dhe kursehet koha sepse që të gjitha i ka në shtëpi.
106 Siguria në komunikim
Sem_2 b.s.
Intraneti dhe Ekstraneti
Intraneti është një LAN i zakonshëm. Web serverët e Intranetit ndryshojnë
prej atyre publik. Për t‟iu qasur Web serverëve të një Intraneti të ndonjë
ndërmarrjeje ,shfrytëzuesit duhet të posedojnë leje të duhur dhe fjalëkalime
(passwords).
Intranetët janë të dizajnuar ashtu që të lejojnë shfrytëzuesit e privilegjuar
në LAN-in intern të një organizate. Web serverët janë të instaluar brenda
Intranetit. Shfrytëzuesit përmes browserëve mund t‟u qasen informacioneve
finanaciare, grafike ose të të dhënave të ndryshme nëpër ata serverë.
Ekstraneti është në fakt për nga aplikacionet dhe shërbimet që ofron
Intranet, por ai kërkon qasje më të sigurtë, dhe më të zgjëruar (përforcuar)
për shfrytëzuesit jashtë organizatës. Kjo qasje zakonisht kalon nëpër:
fjalëkalime (passëords), identifikimet e shfrytëzuesëve (user ID), si dhe në
sigurime tjera të nivelit Aplikativ (Application level).
Një Ekstranet është zgjërim i dy ose më tepër Intranetave me një ndërveprim
(interakcion) të sigurtë mes veti. Me fjalë tjera bashkëpunimi i dy ose më
107 Siguria në komunikim
Sem_2 b.s.
shumë organizatave që kanë përbrenda vetit Intranete, mund të konsiderohet si
një Ekstranet.
Protokolet e enkapsulimit në VPN
Shumica e VPN –ve bazohen në krijimin e rrjeteve private në distancë, duke
shfrytëzuar Internetin, përmes tuneleve komunikues që krijohen me këtë rast.
Në thelb, tunelimi është proces ku i tërë paketi vendoset brenda një paketi
tjetër – të jashtëm dhe transmetohet nëpër rrjet. Protokoli i paketit të
jashtëm është i kuptueshëm për rrjetin dhe pikat fundore komunikuese ( që
quhen: interfejsat e tunelit) në të cilat paketet hyjnë dhe dalin.
Tunelimi kërkon tri protokole të ndryshme:
1. Protokoli bartës (carrier protocol) - Protokoli që shfrytëzohet nga
rrjeti për bartje të informacionit (varet nga teknologjia e WAN-it që
bën bartjen ! – p.sh. TCP)
2. Protokoli i enkapsulimit (Encapsulating protocol) – Protokoli i cili e
mbëshjell informacionin origjinal (IPSec, L2F, PPTP, L2TP).
3. Protokoli adresues - udhëtues (Passenger protocol) - protokolet adresues
të informacioneve origjinale që barten (IPX, IP, NetBeui)
108 Siguria në komunikim
Sem_2 b.s.
Konstituimi i VPN – lidhjes (Në Windows XP)
Të tregojmë se si përmes sistemit operativ Windows XP mund të krijohet një
lidhje VPN përmes magjistarit (Wizard), duke i dhënë informacionet e duhura
gjate procedurës.
Shtegu: Start / Control Panel / Network and Internet Connection dhe zgjedhet:
My Network Places.
Pastaj klikohet në :View my network
connections
dhe Create e new connection me ç‟rast
paraqitet Magjistari për krijimin e
lidhjes së re
109 Siguria në komunikim
Sem_2 b.s.
Klikohet në Next
Zgjedhet opcioni i dytë dhe Next
110 Siguria në komunikim
Sem_2 b.s.
Zgjedhet opsioni: Virtual Private Network connection dhe klikohet Next.
Shkruhet emri i serverit me të cilin
do të lidheni ose emri i lidhjes dhe
klikohet Next.
Shkruhet IP adresa ose emri i hostit me
të cilin do të lidheni, dhe klikohet
Next.
111 Siguria në komunikim
Sem_2 b.s.
Konfirmimi se është kompletuar
lidhja e re VPN. Kliko në Finish.
Nevoitet emri (user name) dhe fjalëklimi
(pasword) për lidhje të sigurtë tunelore me
serverin. Meqenëse kjo lidhje është e
improvizuar atëherë këtu e nderprejmë procesin
pasi nuk mund të lidhemi realisht.
Nëse shiqojmë të gjitha lidhjet në Internet (connections), vërehet se është
shtuar edhe kjo e posa konfiguruar (dhe ikona e saj e vendosur edhe në
desktop), por e cila ka siguri sepse kërkohet user name dhe pasword –i.
112 Siguria në komunikim
Sem_2 b.s.
Nëse tash klikojmë në lidhjen:
VPN – serveri.atikos do të na
paraqitet kërkesa për logim.
Shkruhet paswordi dhe klikohet
butoni Connect për lidhje në me
serverin.
113 Siguria në komunikim
Sem_2 b.s.
Listat e qasjes (Access Lists)
Listat e qasjes së kontrollit të Cisco-s (ACL) janë objektet që përdorën më
së shumti në sistemet operative të routerëve (IOS) për:
Filtrimin e paketeve (si formë e firewall-it) dhe
Për përzgjedhjen e tipit të trafikut për përcjellje ose anlizë.
Tipet e ACL-eve
ACL –të e Ciscos janë të ndara në dy tipe: Standarde dhe të zgjëruara, për
protokole të ndryshme të nivelit tretë të OSI Modelit (Network), siq është
IP, p.sh. Çdo listë e qasjes duhet të ketë numrin e vet. Ky numer, në bazë të
vlerës që ka tregon edhe se cilit tip i takon.
Listat e qasjes të tipit standard mund të kanë numrat prej 1 deri 99 kurse
ato të zgjëruara prej 100 deri 199.Përdorimi më i shpeshtë i listave të
qasjes të tipit të zgjëruar është që të bëjë filtrimin në bazë të paketeve.
Listat standarde të qasjes - mundësojnë lejimin ose ndalimin e trafikut për
IP-të e caktuara. Caku nuk është me rëndësi. Trafiku bllokohet afër cakut.
Ja një shembull:
access-list 10 permit 192.168.3.0 0.0.0.255
Kjo lejon trafikun nga të gjitha adredsat e brezit: 192.168.3.0 deri
192.168.3.255 (permit)
Kurse trafiku për rrjetat tjera është i ndaluar edhe nëse nuk potencohet.
Sepse ai nënkuptohet. Nëse duam të shohim listat e qasjes të konfiguruara në
një router përdoret komanda, si në vijim:
show access-list 10 //të shihen listat që i takojnë numrit 10
kërkohet që të shihen listat e qasjes në Internet do të fitohet kjo pamje:
access-list 10 permit 192.168.3.0 0.0.0.255
access-list 10 deny any
Listat e qasjes të zgjëruara - iu mundësojnë lejimin ose ndalimin e paketeve
për IP adresen e destinacionit, si dhe të portit të caktuar (lloji i
trafikut). Gjithashtu mund të specifikohet edhe tipi i trafikut (ICMP.TCP,
UDP etj.).
114 Siguria në komunikim
Sem_2 b.s.
Nëse dëshirohet që të bëhet filtrim në bazë të paketeve atëherë duhet që të
aplikohet ky tip i listave të qasjes.
Shembull: Nëse administratori dëshiron të lejoj trafikun e rrjetit:
63.36.9.0 vetëm për Web faqe (HTTP) kurse tjerët t‟i bllokoj duhet të bëj
këtë kofigurim:
internal network: 63.36.9.0
access-list 101 permit tcp 63.36.9.0 0.0.0.255 any eq 80
Me kët listë të qasjes lejohet trafiku vetëm i protokollit HTTP që ka numrin
e portit 80 kurse protokolet tjera si: FTP (për fajlla), SMTP (për e-mail)
etj. Nuk lejohen.
Aktivizimi i Listave të qasjes
Pasi që bëhet konfigurimi i listës së qasjeve në router, duhet të bëhet edhe
aktvizimi i tyre. Aktivizimi duhet të bëhet në portin ku dëshirojmë ta bëjmë
filtrimin. Pra duhet “hy” në interfejs (port) dhe duhet bërë aktivizimi i
atij porti duke e “urdhëruar” që t‟i aplikoj të gjitha ndalesat dhe lejimet e
konfiguaruara sipas Listës së qasjes (nr 101 në rastin tonë!).
NAT (Network Adress Translation)
NAT- i përdoret që të lejoj shumë kompjuter të një rrjeti privat të
shfrytëzojnë një lidhje të vetme për Internet. Kompjuteri në të cilin
instalohet NAT-i, e që quhet NAT host, shërben si përkëthyes i adresave të
rrjetit. Që të konfigurohet në një kompjuter, NAT-i kërkon më së paku sistemi
operativ Windows 2000 server (e kuptohet edhe versionet e mëvonshme).
NAT – i kërkon së paku një IP adresë publike të jashtme. Të gjithë
shfrytëzuesit e rrjetit lokal të brendshëm, mune t‟i qasen Internetit duke
shfrytëzuar adresën e jashtme të NAT serverit. Kjo do të thotë që të gjitha
kërkesat për shërbime në Internet nga ky LAN, i adresohen një adrese të
vetme. Dhe krijohet përshtypja se është vetëm një kompjuter. Kjo krijon një
115 Siguria në komunikim
Sem_2 b.s.
lloj mbrojtje të rrjetit nga jashtë si dhe nje diskrecion i arkitetrurës së
brendshme.
Si punon NAT –i ?
Kur klienti don të transmetoj informacionin tek serveri në Internet, ai e
dërgon paketin. Fusha për adresë të klientit përmbanë IP-në e tij (source IP
adress) dhe numrin e portit (lloji i protokollit, p.sh. http e ka 80). Fusha
për adresën e destinaconit përmbanë IP adresën e destinaciont si dhe numrin e
portit. Pasi që kompjuteri në destinacion (serveri) është i jashtëm (jashtë
rrjetit të brendshëm), klienti e dërgon këtë paket tek NAT serveri i cili
tash luan rolin e Default Gateway-it.
NAT serveri, me këtë rast, krijon hartën e porteve (tabelen) për këtë paketë
(port mapping). Kjo hartë përfshinë: IP adresën dhe numrin e portit të
serverit në destinacion, IP adresën dhe numrin e portit të NAT serverit, si
dhe IP adresën dhe portin e klientit. Kjo hartë ruhet dhe mbahet në NAT
server.
Para se NAT serveri të përcjell paketin tek serveri në destinacion ai bën
përkëthimin e paketit. IP adresa e burimit (source) – klientit zëvendësohet
me IP adresën e NAT serverit. Si rezultat, kur serveri në destinacion e
pranon paketin, mendon se është duke komunikuar me NAT serverin. Serveri në
destinacion do t‟a adresoj përgjigjen në IP adresën e NAT serverit.
Kur NAT serveri e pranon paketin nga destinacioni, e konsulton harten e
porteve, ku e gjen destinacionin e paketit që ka arritur tek ai. Me këtë rast
ai bën përkthim reverz (të kundërt) dhe i bën zëvendësimet e duhura në paket.
Në fushën për IP të destinacionit bën zëvendësimin e adresës vet me adresën e
klientit dhe ia dërgon paketin atij.
Nëse NAT serveri nuk gjen informatat e nevojshme në harten e porteve do ta
shkatërroj paketin e arritur dhe lidhja do të ndërprehet !
NAT-i zakonisht konfigurohet në routera, me ç‟rast routeri e luan rolin e
“ndarësit” të rrjetit nga Interneti (shih.fig.)
116 Siguria në komunikim
Sem_2 b.s.
Roli i NAT –it si protokol, ka vlerë edhe më të madhe sa i përket ruajtes së
numrit të IP adresave, i cili është i kufizuar. Ai mundëson përdorimin e
adresave private në rrjetet lokale si dhe atyre publike në komunikim të
jashtëm. Routerat në përgjithësi paketet me adresa private i shkatërrojnë
kurse ato me publike i trajtojnë. E NAT- është ai i cili mundëson që një
numër më i madh i IP-ve private të dalin me numër më të vogël të IP –ve
publike.
117 Komunikimi ajror dhe siguria
Sem_2 b.s.
Paisjet dhe teknologjitë në lidhjet ajrore (wireless)
Përpos rrjeteve me tela (kabllo), ekzistojnë teknologji të ndryshme të cilat
mundësojnë transmetimin e informacioneve ndërmjet paisjeve të rrjetit pa
kabllo (tela). Këto teknologji njihen si teknologji ajrore (wireless).
Teknologjitë ajror përdorin valët elektromagnetike për bartjen e
informacioneve në mes të paisjeve. Këto valë elektromagnetike janë të
ngjashme me valët që bartin radio sinjalet nëpër ajër.
Spektri elektromagnetik përfshinë brezet valor për transmetim të radio
sinjaleve, TV sinjaleve, rrezet X dhe rrezet gama, pastaj dritën e dukshme
(që e shofim), etj. Secila prej tyre që përmendëm përdor brezin e veqantë
(specifik) të valëve elektromagnetike. Karakteristikat e valëve
elektromagnetike për bartje të sinjaleve mund të përmblidhen në vazhdim:
Disa tipe të valëve elektromagnetike nuk janë të përshtatshme për bartje
të sinjaleve.
Disa pjesë tjera të spektrit të këtyre valëve administrohen nga qeveritë
dhe u ipen organizatave në ndryshme për aplikime specifike.
Pjesë të caktuara të këtij spektri janë ndarë për përdorim publik pa
pasur nevojë për ndonjë leje ose licencë.Pjesa më e madhe e këtyre
valëve “publike” , përfshijnë valet Infra të kuqe dhe një pjesë të
valëve radio frekuencore.
118 Komunikimi ajror dhe siguria
Sem_2 b.s.
Rrezet Infra të kuqe (IR – Infra red)
Rrezet infra te kuqe (IR) kanë relativisht energji të vogël dhe nuk mund ti
depertojnë muret ose pengesat tjera. Ato zakonisht përdoren për lidhje dhe
bartje të të dhënave ndërmjet paisjeve kompjuterike manuale (PDA –Personal
Digital Assistant) dhe kompjuterëve (PC). Zakonisht valët IR mundësojnë
lidhjen një më një (one - to – one).
Rrezet IR, gjithashtu përdoren për lidhje të njësive të ndryshme të PC-së me
te, sikur Mausi ajror, tastiera etj. Pra përgjithësisht rrezet IR përdoren
për distanca të vogla komunikimi dhe kur paisjet “shihen” ndër veti. (Është e
mundur që të rritet distanca, dhe rrezet IR edhe të reflektohen nga objekete
– për këtë nevojiten frekueca më të larta të valëve elektromagnetike).
Valët Radio Frekuencore (RF)
Valët RF mund të depertojnë nëpër mure dhe pengesa tjera, duke mundësuar
shtrirje më të madhe se sa rrezet IR.
Breze të caktuara të valëve RF janë lënë për përdorim nga paisje të pa
licensuara, sikur: LAN-at ajror (wireless LAN), telefonat ajror (Cordless
phones). Brezet që përdoren për këto qëllime janë në frekuencat: 900 MHz, 2.4
GHz, dhe 5 GHz.
RF waves can penetrate through walls and other obstacles, allowing a much
greater range than IR.
Bluetooth-i është teknologji që shfrytëzon brezin në 2.4 GHz. Ai është i
kufizuar në shpejtësi të vogla, në shtrirje (distanca) të shkurtëra, por që
ka përparësinë e komunikimit me më shumë paisje në të njejtën kohë. Ky
119 Komunikimi ajror dhe siguria
Sem_2 b.s.
komunikim një-me-shumë e ka bërë teknologjinë Bluetooth metodë më të
preferuar se sa ajo e lidhjes me rreze IR p.sh. për lidhje të mausit,
tastierës dhe printerit në të njejtën kohë !
Teknolgjitë tjera të cilat shfrytëzojnë përdorimin e brezeve në frekuencat:
2.4GHz dhe 5GHz, janë rrjetat lokale ajror (wireless LAN) sipas standardeve
të ndryshme 802.11 të IEEE –së. Për dallim nga teknologjia Bluetooth,
teknologjitë e rrjetava LAN, transmetojnë sinjale të fuqisë më të madhe dhe
arrijnë distanca më të mëdha të komunikimit.
Përparësitë
dhe kufizimet
e teknologjive
ajrore
Krahasuar me
rrjetat
tradicionale
me tela, teknologjia ajror ofron shumë përparësi. Një nga përprësitë më të
mëdha është aftësia që të ofroj lidhje (qasje) në çdo kohë dhe çdo ku.
Zbatimi i gjërë i teknologjisë ajrore në hapsirat publike, iu mundësojnë
njerëzve që shumë lehtë dhe shpejtë t‟i qasen Internetit, të marrin
informata, të shkëmbejnë letra elektronike dhe fajlla.
Teknologjia ajror është më e lehtë dhe më e lirë për t‟u instalu. Çmimet për
paisjet ajror, për shtëpi dhe biznese vazhdojnë të bien. Përkundër rënjës së
çmimeve, mundësitë dhe kapacitetet e këtyre paisjeve po rriten, duke
mundësuar lidhje më të shpejta dhe më të realizueshme, ajror.
Të metat (kufizimet) e teknologjive të LAN-ave ajror
Përkundër përparësive që kanë teknologjitë e rrjetave ajror, ato i kanë edhe
disa të meta, ose probleme që paraqiten me aplikimin e tyre. Më poshtë do të
numerojmë disa nga ato:
E para, LAN-at ajror (WLAN – Wireless Local Area Network) mundësojnë që
brenda një regjioni, shumë operator të përdorin breze të radio frekuencave të
120 Komunikimi ajror dhe siguria
Sem_2 b.s.
palincecuara dhe në këtë mënyrë të interferojnë mes veti. Kësaj mund t‟i
shtohen edhe interferencat me furrat mikrovalore dhe telefonat ajror.
E dyta, brengë e madhe e teknologjive ajror është siguria. Këto teknologji
mundësojnë qasje për të gjithë, dhe mund të shfrytëzohet edhe prej atyre që
realisht nuk iu dedikohet.
Edhe të dhënat që transmetohen me këtë teknologji – ajror, nuk janë të
sigurta prandaj mund të bijnë në duar të padëshiruara. Për të tejkaluar këtë
problem janë zbuluar teknika për siguri gjatë transmetimit të të dhënava që
janë enkriptimi dhe autentikimi.
Kufizimet (të metat) e teknologjive ajror mund të përmblidhen në:
Interferenca – Teknologjia ajror është e ndijshme në interferencën me
paisjet tjera që prodhojnë energji elektromagnetike. Paisjet të cilat
mund të pengojnë në rrjetat ajror janë: telefonat ajror (celular),
mikrovalët, televizionet, si dhe rrjetat tjera ajror.
Siguria e të dhënave dhe e rrjetave: Teknologjia e rrjetave ajror është
dizajnuar për të ofruar qasje në transmetimin e të dhënave e jo edhe në
sigurinë e tyre gjatë transmetimit. Gjithashtu rrjetat ajror ofrojnë
qasje pa mbrojtje në to.
Teknologjia – Teknologjitë e rrjetave ajror janë duke u zhvilluar
vazhdimisht. Por aktualisht ato nuk mund të ofrojnë shpejtësitë
(bandwidth) ose sigurinë që kanë rrjetat me tela.
Tipet e rrjetave ajror
Rrjetat ajror janë të grupuara në tri kategori më të mëdha:
WPAN (Wireless Personal Area Network) – është rrjeta më e vogël ajror, e
cila përdoret për të lidhur njësitë periferike të kompjuterit si mausi,
tastiera, PDA. Të gjitha këto njësi i dedikohen një hosti dhe kjo
realizohet me rreze Infra të kuqe ose me Bluetooth.
WLAN (Wireless Local Area Network) – përdoret kryesisht për të zgjëruar
kufijntë e rrjetave lokale me tela (LAN). WLAN përdor teknologjinë RF
sipas standardeve 802.11. Shumë shfrytëzuesve iu mundësohet që përmes
paisjes të njohur si Access Point (AP), të lidhen në rrjeten me tela.
Pra AP ofron lidhjen në mes të kompjuterëve në Ethernet dhe atyre ajror
(wireless), dhe
WWAN (Wireless Wide Area Network) – mbulon hapsira shumë të gjëra. Një
shembull i mirë i këtij tipi është rrjeti i telefonisë mobile. Këto
rrjete janë të rregulluara dhe të lejuara nga agjensitë qeveritare.
121 Komunikimi ajror dhe siguria
Sem_2 b.s.
Përkundër kësaj ndarjeje, është e vështirë të vehen kufinj të implementimit
të tyre, sepse për dallim nga rrjetat me tela, këto rrjeta nuk kanë kufinj
preciz deri ku mund të shtrihen. Kjo shtrirje e transmetimit ajror ndërron
si rezultat i disa faktorëve. Rrjetat ajror janë të ndijshme në burime të
jashme të interferences, qofshin ato natyrore ose të ndëruara nga njeriu.
Ndërrimet e temperaturës dhe lagështisë ndikojnë në domenin – shtrirjen e
rrjetës. Gjithashtu edhe pengesat – objektet e ndërtuara mund të ndikojnë në
shtrirje.
Standardet e WLAN-ave
Një numët standardesh janë zhvilluar për të mundësuar komunikimin në mes
paisjeve ajror. Këto standarde kanë specifikat e veta që përfshijnë: brezin
radio frekuencor (RF), shtrirjen (range), bitkalimi (data rate), si
transmetohen të dhënat etj. Organizata kryesore përgjegjëse për krijimin e
standardeve teknike është IEEE.
Organizata tjetër, e njohur si WI-FI Alliance, është përgjegjëse për testimin
e paisjeve të rrjetave ajror prej prodhuesve të ndryshëm. Shenja (logo) Wi-Fi
në paisje ka kuptimin që paisja i plotëson standardet dhe mund të punoj me
paisjet tjera ne atë standard.
122 Komunikimi ajror dhe siguria
Sem_2 b.s.
Standardet e
teknologjive ajror
janë të paraqitur
në tabelën më
poshtë:
Paisjet e rrjeteve ajror
Pasi të zgjedhet standardi i cili do të përdoret, është me rëndësi që të
gjitha komponentet brenda WLAN-it ta përkrahin atë standard, ose më së paku
të jenë kompatibil (të përshtatshëm) me te.
Ekzistojnë komponente të ndryshme që përdoren në WLAN-a si:
123 Komunikimi ajror dhe siguria
Sem_2 b.s.
Klienti ajror
Është çdo paisje ( host), e cila merr pjesë në rrjetin ajror. Shumë
paisje që mund të lidhen në rrjetin tradicional me tela, mund të lidhen
edhe në WLAN nëse janë të paisur me NIC dhe software adekuat.
Mund të jetë ose fiks (statik) ose mobil (i lëvizshëm).
Klient mund të jenë laptopët, PDA-të, printerët, projektorët dhe
memoriet.
Access Point-i,
Kontrollon qasjen në mes të rrjetit me tela dhe atij ajror. P.sh.
mundëson klientat ajror të kanë qasje në rrjetin me tela dhe e kundërta.
Sillet si konvertor i mediumit, duke pranuar frame-at e Ethernet-it nga
rrjeti me tela dhe duke i shndërruar ata në frame-a të standardit 802.11
para se me i transmetur ata në WLAN. Ose: pranon frame-at 802.11 nga
WLAN dhe i konverton ata në frame-a të Ethernet-it para se me i vendos
ata në rrjetin me tela.
Mbështet lidhjet ajror brenda një hapësire të limituar, të njohur si
qelulë (cell) ose BSS (Basic Service Set).
Bridg-at ajror
Përdoren për të lidhur dy rrjeta me tela përmes linkut (lidhjes) ajror.
Mundësojnë lidhje pikë-për-pikë (point-to-point) në mes të rrjeteve, me
bitkalim të madh.
Duke shfrytëzuar radio frekuenca (RF) të palicencuara, rrjetet në
distanca prej 40 km (25 mila) mund të lidhen mes veti ajror.
Antenat
Karakterikstikat dhe përdorimi i antenave mund të përmblidhet si më poshtë:
Përdoren në Access Point-a (AP) dhe në Bridge-a ajror
E rrisin sinjalin e daljes tek paisjet ajror.
Pranojnë sinjale ajror (wireless), nga paisjet tjera – klientët
Rritja e fuqisë së sinjalit në antenë njihet si përforcim (gain)
Sa më i madh që është përforcimi në antenë, më e madhe është
distanca e transmetimit.
Antenat janë të klasifkuara në bazë të mënyrës që rrezatojnë
(emitojnë) sinjalin. Antenat direkcionale koncetrojnë forcen e
124 Komunikimi ajror dhe siguria
Sem_2 b.s.
sinjalit në një drejtim. Antenat omni-direkcionale janë të
dizajnuara të emitojnë në të gjitha drejtimet.
Duke e koncetruar tërë sinjalin në një drejtim, antenat
direkcionale mund të arrijnë distanca të mëdha transmetuese.
Normalisht, antenat direkcionale përdorën në bridg-a, derisa ato
omni-direkcionale në AP (Access Point).
Sigurimi në rrjetet ajror
(WLAN)
WLAN-i dhe SSID-a
Kur të ndërtohet rrjeti ajror, është me rëndësi që komponentet të lidhen në
WLAN-in e duhur. Kjo gjë arrihet duke e përdorur SSID (Service Set
Indentifier).
Çka është SSID?
Konsiderohet si emri i rrjetit. Është një string (fjalë) me më së shumti 32
karaktere, i ndjeshëm në madhësinë e tyre (case sensitive). Ajo vendoset në
kreun e frame-it (header) gjatë transmetimit ajror. SSID-a përdoret për t‟iu
treguar paisjeve ajror se cilit WLAN ato i takojnë dhe me cilat paisje tjera
mund të komunikojnë.
Pavarësisht nga tipi i WLAN-it, të gjitha paisjet ajror në një WLAN duhet të
konfigurohen me të njejtin SSID në mënyrë që të komunikojnë mes veti.
125 Komunikimi ajror dhe siguria
Sem_2 b.s.
Përse njerëzit i sulmojnë WLAN-at
Një nga përparësitë primare të rrjeteve ajror është lehtësia dhe thjeshtësia
e lidhjes së paisjeve. Fatkeqësisht mu kjo lehtësi e ndërlidhjes në rrjet, si
dhe fakti se informacionet transmetohen nëpër ajr, e bëjnë rrjetin tuaj të
prekshëm nga sulmet ose keqpërdorimet.
Tek lidhja ajrore, atakuesi nuk ka nevojë për lidhje fizike deri te
kompjuteri juaj ose tek ndonjë paisje tjetër e rrjetit tuaj. Është e mundshme
për një atakues të kap sinjalet nga rrjeti ajror, ngjashëm sikur kapen
sinjalet e radio stacionit. Këtë mund ta bëj ai nga çdo pozitë ku arrijnë
sinjalet e rrjetit tënd.
Nëse atakuesit, arrijnë të kenë qasje në rrjetin tënd, ata mund të
shfrytëzojnë shërbimin tënd të Internetit pa pagesë, mund t‟qasen kompjuterit
dhe të dëmtojnë fajlla, ose të vjedhin informacione personale dhe private.
Këto cënime të rrjeteve ajrore kërkojnë metoda dhe veprime sigurie për
mbrojtje të tyre. Këtu përfshihen disa veprime të thjeshta gjatë ngritjes në
punë të paisjeve të rrjetit e deri te konfigurimet më të avansuara të
sigurisë.
Një mënyrë e lehtë për t‟iu qasur rrjetit ajror është përmes emrit të rrjetit
ose ndryshe SSID-së. Të gjithë kompjuterët për t‟u lidhur në rrjet ajror
duhet ta dijnë SSID-në. Në konfigurimin standard, routerat ajror dhe Access
Point-at emitojnë SSID-në tek të gjithë kompjuterët brenda domenit të rrjetit
(broadcast). Nëse vetia “broadcast” (emitimi) është e aktivizuar (enable),
atëherë të gjithë klientët që e detektojnë rrjetin, mund të lidhen në të,
nëse nuk ka ndonjë “pengesë” sigurie.
Nëse vetia “broadcast” nuk është e aktivizuar – disable, atëherë nëse ndonjë
kompjuter tenton që të lidhet, duhet ta dijë SSID-në.
Është e kuptueshme se është me rëndësi që konfigurimet bazike – standarde të
ndërrohen. Pse?
Paisjet ajrore janë të parakonfiguara me SSID, fjalëkalim (pasword), dhe me
IP adresë. Edhe nëse vetia “broadcast” është “disable”, ekziston rreziku që
dikush që e din SSID-në, paswordin dhe IP-në e konfigurimit bazik, të hyj në
paisje dhe të bëj ndërrime sipas dëshirës!
Prandaj ndërrimet në konfigurim duhet të bëhen dhe t‟u ipen kuptime të reja:
SSID-së, paswordit, IP-së.
Këto ndërrime, vetvetiu, nuk do të mbrojnë rrjetin tënd. P.sh., SSID-a
transmetohet në tekst të pa koduar (clear text). Ka paisje të cilat kapin
sinjalet dhe lexojnë mesazhet e teksit. Pra edhe pse vetia “broadcast” e
SSID-së është “disable” dhe vlerat bazike – standarde janë ndërruar (është
bë rikonfigurimi), atakuesit mund të lexojnë emrin e rrjetit ajror, përmes
këtyre paisjeve që kapin sinjalet ajror. E tash ky informacioni i kapur mund
të shfrytëzohet për t‟u lidhur në rrjet dhe për ta shfrytëzuar atë.
126 Komunikimi ajror dhe siguria
Sem_2 b.s.
Ekzistojnë disa metoda për mbrojtjen e rrjeteve ajror.
Kufizimi
i qasjes
në rrjet
ajror
Filtrimi
në MAC
adresa
Një mënyrë për të kufizuar qasjen në rrjetin tënd ajror është që të
kontrollosh saktësisht cilat paisje mund ta shfrytëzojnë atë. Kjo mund të
realizohet përmes filtrimit të MAC adresave.
Ky filtrim shfrytëzon MAC adresat për të indentifikuar se cilat paisje kanë
të drejtë që të lidhen në rrjetin ajror. Kur klienti ajror tenton të lidhet,
ose të shoqërohet me ndonjë IP, ai duhet të dërgoj informatat për MAC adresën
e tij. Nëse “MAC filtrimi” është i aktivizuar, routeri ajror ose AP do të
shiqojnë listën e MAC adresave në databazë. Nëse MAC-i në fjalë gjindet në
atë bazë të dhënash, klienti do të lejohet ta shfrytëzoj rrjetin ajror.
Përndryshe rrjeti nuk do të mund të shfrytëzohet nga klienti.
Ekzistojnë ca probleme me këtë tip të sigurisë.
P.sh. kërkohet që MAC adresat e të gjitha paisjeve që do të kanë të
drejtë ta shfrytëzojnë rrjetin ajror, të regjistrohen në bazë të të
dhënave paraprakisht, dhe
Është e mundur për një atakues ta kopjoj dhe ta përdor MAC adresën e
paisjes që ka qasje !
127 Komunikimi ajror dhe siguria
Sem_2 b.s.
Autentikimi në rrjetin ajror
Mënyra tjetër për kontrollimin e qasjeve në rrjete është zbatimi i
autentikimit. Autentikimi është procesi i identifikimit të paisjeve që
tentojnë t‟i qasen rrjetit ajror përmes lejes.
Përdorimi i emrit të shfrytëzuesit (username) dhe të fjalëkalimit (pasword)
është forma me e zakonshme e autentikimit.
Kjo është formë e verifikimit të paisjes, dhe duhet të ndodh para se klienti
të lejohet t‟i qaset rrjetit ajror. Ekzistojnë tri tipe të autentikimit
ajror: Autentikimi i hapur, PSK dhe EAP.
Autentikimi i hapur
Në kofigurimin bazik (default), paisjet ajrore nuk e kanë autentikimin. Të
gjithë klientët kanë qasje, pavarsisht kush janë ata. Autentikimi i hapur
aplikohet vetëm në ambientet publike sikur janë shkollat, restaurantet e të
ngjashme.
128 Komunikimi ajror dhe siguria
Sem_2 b.s.
Autentikimi me çelësa të paracaktuar ( PSK - Pre-shared keys)
Me autentikimin PSK, që të dy, Access Point-i dhe klienti duhet të
konfigurohen me të njejtin çelës ose fjalë sekrete. AP-ja dërgon një string
me bajta (të rastësishëm). Klienti e pranon stringun, e kripton me çelësin e
tij dhe e këthen mbrapsht tek AP-ja. Access Point-i stringun e pranuar, tash
të kriptuar, e dekripton me çelësin e njejtë të paracaktuar dhe nëse stringu
i fituar është i njejtë me stringun origjinal të dërguar fillimisht, klienti
lejohet që të lidhet në rrjet.
Ky autentikim është njëdrejtimësh. Kjo do të thotë se vetëm hosti
(kompjuteri) autentikohet tek AP-ja, e jo edhe AP-ja tek hosti(klienti).
Protokoli i zgjëruar i Autentikimit ( EAP - Extensible Authentication
Protocol )
Ky protokoll i autentikimit, bën autentikim të ndërsjell ose dy drejtimësh.
Kur të software i EAP-it instalohet tek klienti, ai, klienti pra komunikon me
një server – RADIUS (Remote Authentication Dial-in User Service). Ky server
funksion ndaras nga AP-ja dhe posedon bazën e shënimeve me klienët valid që
mund t‟i qasen rrjetit. Kur të përdoret ky protokol autentikimi, shfrytëzuesi
129 Komunikimi ajror dhe siguria
Sem_2 b.s.
(klienti), jo vetëm hosti (kompjuteri) duhet të prezentoj emrin dhe
fjalëkalimin, të cilët krahasohen me shënimet që ekzistojnë në databazë. Nëse
të dhënat janë të vlefshme (valide) shfrytëzuesi autentikohet.
Kur të jetë i aplikueshëm autentikimi, pavarsisht nga metoda e zgjedhur,
klienti duhet që me sukses ta kaloj autentikimin, para se ai të shoqërohet 11)
me AP. Nëse p.sh. janë të aplikueshëm edhe autentikimi edhe filtrimi me MAC
adresa, atëherë së pari ndodh autentikimi. Më tutje, pasi autentikimi të jetë
i suksesshëm, AP-ja do të verifikoj MAC adresën në tabelën e adresave. Nëse
është ajo në databazë, atëherë, klienti thuhet se shoqërohet me AP-në dhe
mund të lidhet në rrjet.
Kriptimi në WLAN-a
Autentikimi dhe filtrimi në bazë të MAC adresave mund të ndalojnë atakuesit
(sulmuesit) që të lidhen në rrjetin ajror, por nuk do ti ndalojnë ata që t‟i
kapin të dhënat që transmetohen. Meqenëse nuk ekzistojnë kufinjtë e prerë të
domenit, tek rrjetet pa tela - te transmetimi ajror, është e lehtë për një
atakues të kap ose të nuhas frame-at që transmetohen.
Kriptimi është proces i transformimit (shtrembërimit) të të dhënave, kështu
që ato janë të pa përdorshme nëse kapen !
11
Associate - lidhet
130 Komunikimi ajror dhe siguria
Sem_2 b.s.
Protokolli WEP (Wired Equivalency Protocol)
Wired Equivalency Protocol (WEP) është një protokol i cili kripton trafikun e
rrjetit që rrjedh nëpër ajr. WEP-i përdor çelësat e para konfiguruar për
kriptimin dhe dekriptimin e të dhënave.
Çelësi i WEP-it është si string numrash dhe germash dhe përgjithësisht është
64 bitësh ose 128. Në disa raste, WEP e mbështet edhe çelësin 256 bitësh. Në
mënyrë që WEP-i të funksionoi, AP-ja, sikur edhe paisjet tjera pa tela, për
t‟iu qasur rrjetit duhet të posedojnë çelësin e njejtë të WEP-it. Pa këtë
çelës, paisjet nuk mund të kuptojnë mesazhet që transmetohen.
WEP-i është një mundësi e mirë që t‟i ndaloj atakuesit nga kapja e të
dhënave. Megjithate, WEP-i nuk është i pa thyeshëm, për arësy se çelësi është
statik (i pandryshuar) në të gjitha paisjet që e përdorin këtë protokoll
brenda një rrjeti. Ekzistojnë aplikacione, të cilat mund të shfrytëzohen nga
atakuesit për të zbuluar çelësin e Wep-it. Ketë aplikacione janë të
disponueshme në Internet. Kur një herë atakuesit e “nxjerrin” çelësin, ata
kanë qasje në të gjitha informacionet që transmetohen.
Një mundësi për të tejkaluar është që çelësi të ndërrohet në mënyrë
frekuente. Mënyra tjetër është për të përdor një formë më të avansuar dhe më
të sigurtë të kriptimit të njohur si WPA (Wi-Fi Protected Access).
Protokoli WPA (Wi-Fi Protected Access )
WPA gjithashtu përdor çelësin për kriptim prej 64 deri 256 bita. Megjithate,
WPA, për ndryshim nga WEP-i, gjeneron çelës të ri, në mënyrë dinamike, sa
herë që klienti vendos lidhje me AP-në. Për këtë arësy, WPA konsiderohet më
shumë i sigurtë se WEP-i, sepse është shumë vështirë me e thye !
Filtrimi i trafikut nëpër AP
Përveq kontrollimit të asaj se kush mund t‟i qaset WLAN-it dhe kush mund t‟i
shfrytëzoj të dhënat që transmetohen, është e vlefshme të kontrollohet edhe
lloji i trafikut që transmetohet nëpër WLAN. Kjo gjë arrihet me filtrimin e
trafikut.
Filtrimi i trafikut bllokon trafikun e padëshiruar të hyj ose të dalë nga
rrjeti. Filtrimi bëhet nga AP-ja deri sa të dhënat kalojnë nëpër te. Ai bën
filtrimin në bazë të MAC adresave ose IP adresave. Gjithashtu, filtrimi mund
të bëhet edhe sipas numrit të portit. Me këtë rast ruhet bitlëshimi
(bandwidth) dhe përmirësohet efektshmëria. Një shembull: filtrimi mund të
131 Komunikimi ajror dhe siguria
Sem_2 b.s.
përdoret për të bllokuar tërë trafikun e telnetit (23) për në makinën e
caktuar, siq është serveri për autentikim p.sh. Çdo tentim për të telnetuar
serverin për autentikim konsiderohet i dyshimtë dhe bllokohet.
Instalimi dhe sigurimi i AP-së
Pasi të bëhet përzgjedhja e teknologjisë së rrjetit pa tela, si dhe të
caktohet vendi i AP-së, pason instalimi dhe konfigurimi i masave siguruese të
AP-së.
Masat e sigurisë duhet të planifikohen dhe të konfigurohen para se AP-ja të
lidhet në rrjet ose në ISP (Internet Service Provider).
Disa nga masat bazike të sigurisë përfshijnë:
Ndërrimi i vlerave bazike të SSID-së, emrit dhe fjalëkalimit
Vetia “broadcast” të pasivizohet (disable)
Bëhet filtrimi në bazë të MAC adresave
Masat tjera më të avansuara, janë:
Konfigurimi i kriptimit duke përdor WEP-in ose WPA-në
Konfigurimi i autentikimit
Konfigurimi i filtrimit të trafikut.
Duhet të mbahet mend se asjnë masë sigurie e vetme nuk mund të mbaj rrjetin
ajror komplet të sigurtë. Kombinimi i më shumë teknikave do të forcojnë
sistemin mbrojtës të rrjetit.
132 Komunikimi ajror dhe siguria
Sem_2 b.s.
Kur të bëhet konfigurimi i klientave, është esenciale që SSID-ja duhet të
jetë e njejtë me atë të AP-së.
Gjithashtu edhe çelësi i kriptimit duhet të përputhet.
Përktheje, dhe vendose në vendin e duhur në material !