51 Përmbajtja Sem_2 b.s. ADMIMISTRIMI I RRJETEVE .................................................................................................. 53 SISTEMI OPERATIV WINDOWS 2003 ..................................................................................... 53 Autentikimi dhe autorizimi si metoda sigurie në Win 2000 ................................................................. 53 Verifikimi i identitetit ............................................................................................................................................. 54 Sistemet për ruajtjen e të dhënave (fajllave) ........................................................................................... 55 Sistemi per kriptimin e fajllave (EFS – Encrypted file system) .................................................. 55 IPSec .......................................................................................................................................................................................... 55 PKI (Public Key Infrastructure) ............................................................................................................................ 56 Direktoriumi Aktiv (Active Directorium) ......................................................................................................... 56 Instalimi i Direktoriumit Aktiv ........................................................................................................................ 59 Menaxhimi me Group Policy (rregullat e grupi)....................................................................................... 70 Konfigurimi i rregullave të grupit ................................................................................................................. 71 Siguria e serverit. Mbrojtja e Web faqeve në Internet...................................................................... 75 Nevoja për çështje sigurie ........................................................................................................................................ 75 Sigurimi SSL.......................................................................................................................................................................... 75 Cilat Web faqe janë të mbrojtura ? ..................................................................................................................... 77 Dërgimi i mesazhit “e-mail” ...................................................................................................................................... 78 Sigurimi i email-it me SSL ........................................................................................................................................ 79 Mbrojtja nga “e-mail”-at e rrezikshëm në nivelin e Browser -ëve ................................................ 81 Këndellja pas “katastrofave” dhe krijimi i kopjeve rezervë ............................................................ 83 Përse me kriju kopje rezervë ? .......................................................................................................................... 83 Përmbajtja e kopjeve rezervë ............................................................................................................................... 83 Kopjet rezervë ................................................................................................................................................................ 83 Firewall-i .............................................................................................................................................................................. 96 Ç‟është firewall –i ?................................................................................................................................................ 96 Si ta bëjmë Firewallin të përshtatshëm ....................................................................................................... 98 Përzgjedhja e firewallit......................................................................................................................................... 98 Routerat hardverik ........................................................................................................................................................... 99 Routerat “pa tela” ......................................................................................................................................................... 100 Proxy server........................................................................................................................................................................ 100
82
Embed
ADMIMISTRIMI I RRJETEVE 53 SISTEMI OPERATIV ......53 Windows Server Sem_2 b.s. Admimistrimi i rrjeteve Për rrjetet kompjuterike, me qëllim të sigurimit të saj më të mirë, aplikohen
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
51 Përmbajtja
Sem_2 b.s.
ADMIMISTRIMI I RRJETEVE .................................................................................................. 53
SISTEMI OPERATIV WINDOWS 2003 ..................................................................................... 53
Autentikimi dhe autorizimi si metoda sigurie në Win 2000 ................................................................. 53
Verifikimi i identitetit ............................................................................................................................................. 54
Sistemet për ruajtjen e të dhënave (fajllave) ........................................................................................... 55
Sistemi per kriptimin e fajllave (EFS – Encrypted file system) .................................................. 55
Direktoriumi Aktiv (Active Directorium) ......................................................................................................... 56 Instalimi i Direktoriumit Aktiv ........................................................................................................................ 59 Menaxhimi me Group Policy (rregullat e grupi) ....................................................................................... 70 Konfigurimi i rregullave të grupit ................................................................................................................. 71
Siguria e serverit. Mbrojtja e Web faqeve në Internet...................................................................... 75
Nevoja për çështje sigurie ........................................................................................................................................ 75
Cilat Web faqe janë të mbrojtura ? ..................................................................................................................... 77
Dërgimi i mesazhit “e-mail” ...................................................................................................................................... 78
Sigurimi i email-it me SSL ........................................................................................................................................ 79
Mbrojtja nga “e-mail”-at e rrezikshëm në nivelin e Browser -ëve ................................................ 81
Këndellja pas “katastrofave” dhe krijimi i kopjeve rezervë ............................................................ 83 Përse me kriju kopje rezervë ? .......................................................................................................................... 83 Përmbajtja e kopjeve rezervë ............................................................................................................................... 83 Kopjet rezervë ................................................................................................................................................................ 83
Firewall-i .............................................................................................................................................................................. 96 Ç‟është firewall –i ? ................................................................................................................................................ 96 Si ta bëjmë Firewallin të përshtatshëm ....................................................................................................... 98 Përzgjedhja e firewallit ......................................................................................................................................... 98
Intraneti dhe Ekstraneti ........................................................................................................................................... 106
Listat e qasjes (Access Lists) ............................................................................................................................. 113
Tipet e ACL-eve ................................................................................................................................................................ 113
Paisjet dhe teknologjitë në lidhjet ajrore (wireless) ...................................................................... 117
Përparësitë dhe kufizimet e teknologjive ajrore .................................................................................... 119
Standardet e WLAN-ave .................................................................................................................................................. 121
Paisjet e rrjeteve ajror ........................................................................................................................................... 122
Sigurimi në rrjetet ajror (WLAN) ........................................................................................................................ 124
Kufizimi i qasjes në rrjet ajror ........................................................................................................................ 126
53 Windows Server
Sem_2 b.s.
Admimistrimi i rrjeteve
Për rrjetet kompjuterike, me qëllim të sigurimit të saj më të mirë, aplikohen
sisteme operative speciale, për server. Dihet se serverët janë kompjuterë më
të fuqishëm, më të shpejtë dhe me resurse më të mëdha. Kompania Microsoft në
vazhdimësi ka zhvilluar softvere për rrjete kompjuterike me qëllim të
sigurimit të tyre, administrimit, ofrimit të shërbimeve për klientët etj.
Njihet sistemi operativ Windows server NT, pastaj pasuesi Windows server
2000, e më vonë versioni Windows server 2003. Në vazhdim do të njihem me
disa nga objektet që këta sisteme operative përdorin për punën e tyre.
Sistemi Operativ Windows 2003
Windows 2003 ofron një komplet shërbimesh për siguri, si:
Mbështetë protokolet Kerberos për autentikim
Sistemin e kriptimit për fajlla
Protokolin për siguri në Internet (IPSec) dhe
Shërbimin e Direktoriumit Aktiv
Modeli i sigurimit që ofron Windows 2003, paraqet një infrastrukturë solide
për sigurim të rrjetit brenda kompanisë (institucionit) dhe në Internet.
Autentikimi dhe autorizimi si metoda sigurie në Win 2003
Siguria në Windows 2003 bazohet në modelin e autentikimit dhe autorizimit.
Autentikimi është proces që përdoret për dëshmimin e identitetit të
entitetit. Entitet mund të jetë: shfrytëzuesi, kompjuteri ose shërbimi i
caktuar. Kompjuterët dhe shërbimet autentikohen kur të komunikojnë me
serverët. Autentikimi p.sh. mund të bëhet me emër të parapaguesit dhe të
fjalëkalimit (account name dhe password).
Autorizimi është process që pason pas autentikimit. Autorizimi është e drejta
për të marrë ndojnë shërbim, për t‟iu qasur ndonjë resursi, ose për të kryer
ndonjë veprim.
54 Windows Server
Sem_2 b.s.
Kerberos V51 protokoli është metoda e autentikimit e nënkuptuar (standarde).
Kjo metodë mund të shfrytëzohet nga secili klient që është antarë i domenit
të caktuar.
Metoda e dytë e autentikimit është përmes certifikatës (CA) të marrur nga
ndonjë autoritet që i ndanë ato. Prandaj në konfigurim duhet të shënohet emri
i autoritetit të tillë.
Verifikimi i identitetit
Kur të paraqiteni për punë në rrjet kompjuterik, ju ende nuk e keni të
drejtën për qasje në resurse të rrjetës, por jeni në “pritje” (disa
milisekunda) derisa resurset e rrjetit ta bëjnë identifikimin tënd.
Modelet e identifikimit mund të jenë dy llojesh:
Identifikimi dyshkallësh - nënkupton që shfrytëzuesi ose paisja duhet t„ia
prezentojnë dy elemente - mekanizmit për verifikimin e identitetit.
Emrin e shfrytëzuesit (identifikatori i shfrytëzuesi, ang. user name)
Fjalëkalimi (shifra, ang. password)
Shembull tjetër i verifikimit dyshkallësh të identitetit është me përdorimin
e kartelës intelegjente, e cila përdorët para se të ipen user name dhe
password (një siguri shtesë).
Që të dy shembujt e treguar nuk ofrojnë siguri 100% - she, sepse keqbërësit
ose mund të “vjedhin” informatat për identifikim ose edhe vet kartelën
intelegjente, prandaj edhe pse ofrohet siguri e mirë ajo nuk është 100% !
Identifikimi njëshkallësh - Është metodë më e sigurtë dhe më praktike.
Shfrytëzuesi duhet të mbajë mend vetëm një parametër - fjalëkalimin.
Shfrytëzuesi nuk ka nevojë të mbajë në mend edhe emrin identifikues sepse
ekzistojnë metoda tjera për këtë fazë, si: karakteristika biometrike – ta
themi: shenjat e gishtit, rrjeta e kapilareve të syrit, ose zëri. Pra së pari
1 Protokoli Kerberos për autentikim përdorë sistemin e biletave. Ky system i biletave shfrytëzon dy tipe biletash: biletat për hyrje dhe biletat për shfrytëzim.
Biletat , në fakt janë pakete të kriptuara të të dhënave, e të cilat i formon (gjeneron) qendra për
dhënjen e çelësave (KDC – Key Distribution Center). Çdo njësi për siguri (domen) duhet të ketë një qendër
të tillë (KDC). Ato bileta iu ndahen anëtarëve të domenit.
Kerberosi, bazohet në sistemin simetrik të shifrimt, d.m.th. shfrytëzon çelësat privat, të cilët i
disponojnë vetëm ata dy që komunikojnë mes veti.
Pasi që shfrytëzuesi “hyn” në domen (me biletën për hyrje – e cila përmbanë informatat për te), ai ende
nuk ka arritur deri te shërbimi i kërkuar. Per këtë duhet edhe një procedurë tjetër e identifikimit
(bileta për shfrytëzim)
Emri “kerberos” ka kuptim nga Mitologjia greke, ku kerberi ka qenë një qen që ka ruajtur portën e Hadit
(bota e të vdekurve). Ai ka qenë qen me tri koka. Kjo ka shtyrë që të përdoret ky term pasi që edhe vet
procedura e identifikimit të shfrytëzuesit kërkon tri koka, e ato janë: klienti (shfrytëzuesi), serveri
(ofruesi i shërbimit) dhe ndërmjetësuesi (KDC – Key Distribution Center).
Mos me hy në detaje se si rrjedh procedura e identifikimit për të shfrytëzuar resurset e serverit, KDC
është ai autoritet i cili me ndarjen e çelësave, bënë ndërmjetësimin në mes të klientit dhe serverit për
identifikim.
55 Windows Server
Sem_2 b.s.
bëhet identifikimi në bazë të njëres prej karakteristikave të cekura e më
pastaj vjen faza e fjalëkalimit.
Sistemet për ruajtjen e të dhënave (fajllave)
Për të bërë sigurimin e fajllave, duhet ditur se si janë të ruajtur fajllat
në Sistemin Operativ.
Sistemi i fajllave është metodë për ruajtjen e të dhënave. Sistemi operativ
përdorë sistemin e fajllave për ruajtjen e të dhënave në hard diskun e
kompjuterit. Ky sistem bënë kontrollimin si dhe determinon mënyrën e ruajtjes
së të dhënave.
Windowsi 2003 mbështet shumë sisteme të fajllave (FAT32 – File Allocation
Table, NTFS4 – NeW Technology Filing System 4, NTFS5 - NeW Technology Filing
System 5).
Sistemi NTFS5 ofron përparësi në krahasim me sistemin FAT, sepse është më i
sigurtë. Ky system ka mundësi të kontrolloj qasjen në fajllat e ruajtur në
hard disk.
Sistemi per kriptimin e fajllave (EFS – Encrypted file system)
EFS ofron mundësi për kriptimin e fajllave në sistemin e fajllave NTFS. EFS
është një shërbim i integruar që mundëson administrimin më të lehtë me fajlla
dhe njëkohësisht më të vështirë për ta sulmuar (atakuar).
EFS bazohet në kriptimin me çelës publik dhe shfrytëzon standardin X për
kriptim (DESX) si një algoritëm për kriptim. Standard i tij për Amerikë është
128 bita kurse standardi ndërkombëtar 40 bita.
EFS siguron siguri të të dhënave, dhe lejon vetëm pronarin e fajllave t‟i
qaset atij ! Për këtë shfrytëzuesi përdorë certifikaten digjitale me çelës
publik dhe me çelës privat.
IPSec
Nga vet fjala IPSec (IP Security) shihet se ky është një mekanizëm mbrojtës i
i IP-së (Internet Protocol), për siguri maksimale gjatë komunikimit në
rrjetin më të pasigurtë – Internetin.
Mbrojtja me shifrim, e cila aplikohet në nivelin e IP-së, vendoset në mes të
dy kompjuterëve që komunikojnë. Për mënyrën e kriptimit thuhet se është “end-
to-end” (në mes dy pikave fundore), që do të thotë se secili paket i të
dhënave mbetet i kriptuar deri sa të arrijë në destinacion dhe vetëm ai,
pranuesi mund ta dekriptoj atë. Paketet e kriptuar kalojnë lirshëm nëpër
Router-ët që hasin gjatë “rrugës” së tyre për në destinacion.
56 Windows Server
Sem_2 b.s.
Algoritmet për kriptim të sigurtë (MD-5 ose SHA-1) garantojnë që të dhënat
nuk janë ndryshuar gjatë transmetimit.
IPSec vepron në katër nivele:
kriptim dhe enkapsulim
identifikim i shfrytëzuesit dhe pengimi i falsifikimit të përmbajtjes së
paketeve
menaxhimi me çelësat e sigurisë, dhe
nënshkrimi digjital dhe certifikati digjital.
Në këtë mënyrë arrihet që IP-të e dërguesit dhe të marrësit të mbeten të
“maskuara”, të mëshehura.
PKI (Public Key Infrastructure)2
Infrastruktura për çelësa publik (PKI), është një tërësi e shërbimeve dhe
komponenteve që përdoret:
Për krijimin e sigurisë gjatë shkëmbimit të postës elektronike, si në
Internet ashtu edhe në Intranet
Që të mbrojë vendndodhjen e Web-it dhe transakcionet që kryhen me
klientët (shitjet e ndryshme p.sh.)
Për mbrojtjen e zgjëruar, të përforcuar, të sistemit për enkriptim të
fajllave (EFS)
Që të mundësoj shfrytëzimin e kartelave intelegjente, etj.
Direktoriumi Aktiv (Active Directorium)
Windows 2003 Server disponon me shërbimin e direktoriumit që quhet Active
Directorium (AD) - Direktoriumi Aktiv. AD është kombinim i direktoriumit dhe
i shërbimeve. Në fakt direktoriumi është një depo fizike që përmbanë objekte
të ndryshme, derisa shërbimet mundësojnë që resurset e direktoriumit të
shfrytëzohen. Ky kombinim mundëson që objektet e rrjetit që janë të ruajtura,
2 Ajo kryen këto funksione:
Menaxhimi me çelësa – PKI gjeneron çelësa të rinj, i kontrollon dhe i largon të vjetrit
Deklarimi (publikimi) i çelësave – PKI mbanë në evidencë të gjithë çelësat: edha ata që vlejnë
edhe ata që më nuk vlejnë. Çelësi shpallet i pavlerëshëm nësë konstatohet se është keqpërdorur ose
“vjedhur” (njëlloj sikur bankat që i bëjnë zhvlerësimin e kartelave bankare të vjedhura)
Shfrytëzimi i çelësave – PKI iu ofron aplikacioneve dhe shfrytëzuesve mënyrë të thjeshtë të
përdorimit të tyre. Përdorimi i çelësave është me rëndësi të madhe për siguri sa më të madhe të
organizatës ose kompanisë.
57 Windows Server
Sem_2 b.s.
të shfrytëzohen nga shfrytëzuesit e autorizuar ose nga grupet e
shfrytëzuesëve.
AD në fakt paraqet një bazë të dhënash e cila përmbanë informacione për
resurset në rrjetë dhe bënë njëkohësisht organizimin, menaxhimin dhe
kontrollimin e qasjes në resurse. Do të numërojmë vetëm disa nga përparësitë
e AD-së
Paraqitja e “njëfishtë” (single sign – on SSO) – kur përmes protokolit
Kerberos shfrytëzuesi identifikohet njëherë, atëherë atij i lejohen të
gjitha shërbimet e parapara për te (përmes grupit që i takon)
Dirigjimi me ndërrime brenda sistemit – përmes shërbimit Group Policy
(rregullat-politikat e grupit) mundësohet dirigjimi i ndërrimeve brenda
sistemit (të drejtat, kufizimet), si dhe ruhen të dhënat për
shfrytëzuesit dhe kompjuterët
AD-ja është një rezervoar univerzal i të dhënave, përmes të cilit në
mënyrë standarde mund të keni qasje në të gjitha objektet e rrjetit
sikur se janë: aplikacionet, shërbimet, kompjuterët, shfrytëzuesit dhe
proceset, dhe atë në tërë rrjetin lokal.
AD – ja i siguron administratorit të rrjetit një pikë të vetme të
administrimit, për të gjitha objektet e rrjetit. AD-ja gjithashtu
përmbanë informata për menaxhim (group policy), certifikata, si dhe
objekte shtesë si: aplikacione, printerë e paisje tjera.
AD-ja përdor këto komponente logjike:
Objektet – janë komponente të AD-së (në të vërtetë paraqesin instancat e
klasave të krijuara), që tregojnë organizimin e AD-së. Objektet në fakt janë
informata dhe resurse të organizuara që mund të shfrytëzohen.
Atributet – janë karakterikstikat e objekteve
Ekzistojnë katër përbërës (elemente) themelorë që e ndërtojnë strukturën e
një AD-je:
Site (Sajti) – vendi në rrjet që mban serverët aktiv të AD-së. Mund të
përmbaj një ose më shumë IP subnete3. Këto subnete janë të lidhur mes
veti me shpëjtësi të madhe (bandwidth) dhe me koneksion të sigurtë. Kur
sajti definohet si një grumbull subnetesh, administratori mund të bëj
konfigurimin e AD-së. Prandaj kur ndonjë shfrytëzues logohet
(ndërlidhet) në rrjet, si klient i AD-së, ai mund të gjej serverët e AD-
së dhe t‟i shfrrytëzoj ata.
3 Subnetet kontrollohen nga routerët, të cilët komunikojnë në mes veti dhe ndërojnë një rrjetë më të madhe me ç’rast bashkshfrytëzohen resurset
e deponuara në serverët e përbashkët !
58 Windows Server
Sem_2 b.s.
Domain (Domeni)4 – është bërthama e strukturës logjike të AD-së. Domeni
është në fakt një rrethinë e sigurtë. Ai paraqet një grup logjik të
kompjuterëve, serverëve dhe paisjeve tjera hardverike, të definuar nga
administratori, e të cilët bashkëshfrytëzojnë databazën e njejtë
(resurset). Domeni ofron qasje për një klient (user) ose grup klientësh
(group) që mirëmbahen nga administratori i sistemit (rrjetit).
Forest (druri) – Domenet janë të organizuar në strukturë hierarkike që
quhet forest (pyll-dru). Struktura fillon me domenin që quhet domeni
rrënjë i forestit (root domain). Domenet janë të aranzhuara në formën që
i përngjanë drurit familjar (gjyshër, prindër, fëmijë,…. – trungu
familjar !).
Dy qëllimet e forestit janë: 1. Të thjeshtësoj menaxhimin e më shumë
domeneve dhe 2. Të thjeshtësoj ndërveprimin (interakcionin) e klientit
(user-it) me direktorium.
Organizational Unit – OU (Njësia organizative) – Kontejner i objekteve
të cilat administratori i AD -së i përdorë për të bërë organizimin e
objekteve brenda domenit. Një OU mund të përmbajë objekte siq janë:
shfrytëzues (user), grupe (user account), serverë, kompjuterë, printer
dhe aplikacione.
Aftësia e AD-së, që të bëj qendërzimin (centralizimin) e administrimit dhe
kontrollimin e resuresve, është shumë me rëndësi për të krijuar një sistem të
sigurtë. AD-ja përdor OU –it për të organizuar resurset (burimet) e rrjetit
në hierarki(degëzim) logjike. AD mban informacione për klientët dhe resurset
në një lokacion si dhe i mundëson administratorit të rrjetit të bëj
përditësimin (update) e informatave lehtësisht. Klienti, për t‟iu qasur
ndonjë resursi në rrjet, duhet vetëm njëherë të identifikohet dhe pastaj të
gjitha veprimet dhe programet e lejuara per te, mund t‟i përdor. Kështu që
nuk ka nevojë për çdo shfrytëzim të ndojnë resursi ose paisje të
identifikohet - kontrollohet (check-ohet).
4 Domeni (ang. Domain), ose domeni i rrjetit është bashkësi logjike brenda rrjetit që ka kontroll në të gjitha resurset brenda vetvehtes. Mund të
ketë lidhje me Internet si dhe të jetë i arritshëm nga largësia.
Karatkeristikë e domenit është grupi i rregullave për siguri të cilat mbrojnë resurset brenda tij. Qasja në domen bëhet në nivelin e Aplikacionit të
OSI Modelit. Identifikimi për qasje në domen mundësohet përmes softverit interaktiv i cili mundëson që manualisht (përmes tastierës) të tregoni
identidetin tuaj ose edhe me kartelë intelegjente - përmes paisjes përkatëse që mundëson një gjë të tillë (lexuesit).
Me domene dirigjojnë kontrollerët e domenëve (ang. Domain controllers). Ata mbajnë baza të shënimeve në bazë të së cilave verifikohet
identiteti i shfrytëzuesit përmes fjalëkalimit. Ky proces quhet verifikimi i identitetit (ang. Authentication).
59 Windows Server
Sem_2 b.s.
Instalimi i Direktoriumit Aktiv
Puna e parë dhe shumë e rëndësishme në instalimin e Direktoriumit Aktiv të
Windowsit 2003 Server, është planifikimi i drejtë i zbatimit të DNS-it.
Direktoriumi Aktiv nuk mund të ekzistoi pa DNS. Edhepse DNS-i, për thjeshtësi
instalohet gjatë instalimit të Direktoriumit Aktiv, preferohet në bazë të
përvojave të tjerëve që DNS të instalohet para se të bëhet instalimi i
Direktoriumit Aktiv.
Prandaj nëse supozojmë se sistemi operativ Windows 2003 Server5) është i
instaluar 6) , puna e parë që duhet bërë është instalimi i DNS –it. Kjo rrjedh
kështu:
Duhet bërë së pari shtimi i shërbimit të DNS-it nga opsioni Windows
Components që arrihet përmes shtegut: Add/Remove Programs në Control Panel si
më poshtë:
Zgjedhja e komponentes DNS (çekimi)
5 Në trajtim është paraqitur instalimi i Windows 2000 Server, i cili është i njejtë me instalimin e versionit 2003
6 Instalimi i Windows 2003 Server bëhet njëlloj sikur instalimi i Windows 2000 Profesional ose Windows XP !
60 Windows Server
Sem_2 b.s.
Hapi ardhshëm është konfigurimi i zonës së DNS-it. Emri i zonës së DNS-it
është me rëndësi, dhe përgjithësisht sugjerohet një emër “privat” (jo emri
publik i kompanisë p.sh. )
Procedura vazhdon duke klikuar me të djathtin në: Forward Lookup Zones sipas
figurës më poshtë dhe bëhet emërtimi i zonës së DNS –it.
Pasi të bëhet emërtimi i DNS-it vazhdohet me procedurën si më poshtë. Duhet
pasur kujdes që të përzgjedhet opsioni: Standard Primary
61 Windows Server
Sem_2 b.s.
Në mënyrë që ky server, të shërbej si DNS server, duhet bërë konfigurimi me
IP. Duke shkuar tek vetitë (Properties) e TCP/IP – së, IP –ja e serverit
duhet të bëhet edhe IP e DNS serverit (fig. poshtë). Kjo fazë e konfigurimit
është shumë me rëndësi dhe nuk bën të kapërcehet !
62 Windows Server
Sem_2 b.s.
Pasi që kjo fazë është kompletuar, tash është e mundshme të fillohet me
instalimin e Direktoriumit Aktiv, duke e ekzekutuar komandën dcpromo nga
komanda Run, si më poshtë.
Vazhdon procedura si më poshtë, duke e zgjedhur opcionion si më poshtë:
Domain controller for e new domain.
63 Windows Server
Sem_2 b.s.
Duhet pasur kujdes që kur të përzgjedhet emri për domenin e Direktoriumit
Aktiv, të jetë saktësisht i njejti sikur për zonën e DNS-it që është bërë më
heret !
Vazhdon procedura për krijimin e domenit të ri “babë” (rrënjë) ose atij
“fëmij” (degë). Zgjedhet opsioni për krijimin e domenit të ri të pavarur
(rrënjë).
Hapat e ardhshëm janë të paraqitur me figura – kuptimi i të cilave kuptohet
nga teksti që përmbanë secila prej tyre.
64 Windows Server
Sem_2 b.s.
65 Windows Server
Sem_2 b.s.
66 Windows Server
Sem_2 b.s.
67 Windows Server
Sem_2 b.s.
68 Windows Server
Sem_2 b.s.
69 Windows Server
Sem_2 b.s.
Pasi që është bërë instalimi i Direktoriumit Aktiv, nga ky server mund të
arrihet Interneti pasi ky është konfiguruar si DNS server. Pasi që në
Internet ekziston kierarhia e DNS-ave sipas zonave, DNS ynë duhet të
konfigurohet ashtu që për domenet (Web faqet) për të cilët nuk i din IP-të,
duhet të kërkoj ndihmë nga DNS-ët e nivelit më të lartë. Në fletën Forwarders
konfiromhet butoni Enable forwarders dhe shkruhet IP-a e DNS serverit një
nivel më lartë se DNS –i ynë . Për çdo Web faqe për të cilën DNS ynë nuk e
din IP-in, i bënë kërkesë DNS-it të nivelit më të lartë (207.236.176.10 sipas
figurës) ti dal në ndihmë dhe t‟ia gjej ! Në Internet ekziston rrjeta e DNS-
ave ku secili prej tyre e ka dikend “kompetent” për t‟ia zgjidhur “problemin”
e gjetjes së IP-së.
70 Windows Server
Sem_2 b.s.
Tash pasi është bërë instalimi i Direktoriumit Aktiv si dhe i DNS serverit,
të gjithë klientët e brendshëm (userat - shfrytëzuesit) mund të futen në
domen dhe t‟i nënshtohen rregullave të domenit, të cilat i cakton
administratori.
Menaxhimi me Group Policy (rregullat e grupi)
Rregullat e grupit (Group policy) mund të aplikohen në usera (shfrytëzues)
ose në konfigurime të kompjuterit. Administratorët mund të përdorin këtë
vegël që të definojnë dhe të kontrollojnë se si resurset e rrjetit , sistemi
operativ dhe programet operojnë për usera dhe kompjuterë në një organizatë.
Në një ambient ku ka Direktorium Aktiv, vetitë e rregullave të grupit i
shoqërohen ndonjë kontejneri të Direktoriumit Aktiv siq është: sajti, domeni
ose njësia organizative. Vetitë zbatohen në usera ose në kompjuterë që i
takojnë atij kontejneri. Vetitë e rregullave të grupit, trashëgohen nga sajti
71 Windows Server
Sem_2 b.s.
në domen dhe në fund nga domeni në njësi organizative. Por rregullat mund të
bllokohen në secilin nivel: sajt, domen ose njësi organizative.
Rregullat e grupit vlejnë për të gjithë kompjuterët dhe userat e kontejnerit
të selektuar. Megjithate, mund të përdorën filterat brenda rregullave të
grupit për ndonjë user ose kompjuter të atij kontejneri. Kjo gjë e thjeshton
administrimin për usera që kanë kërkesa të ndryshme nga i tërë grupi.7
Konfigurimi i rregullave të grupit
Si rrjedh procedura e konfigurimit të rregullave, do të paraqitet me poshtë.
Së pari bëhet hapja e Direktoriumit Aktiv ( Start / Programs / Administrativ
Tools / Active Directorium) !! dhe zgjedhet Njësia Organizative (OU) në të
cilën do të aplikohen rregullat.
7 Fushat për siguri të cilat mund të konfigurohen për kompjuterë, janë: Account policies (rregullat e kontove) – vetitë e sigurimit të kompjtuerëve që vlejnë vetëm në nivelin e
domeneve dhe ate për: rregullat e fjalëkalimeve (paswords), rregullat e daljes (mbylljes - lockout) dhe
rregullat e Kerberosit në domenet e Windowsit 2000.
Rregullat lokale (Local Policies) – përfshijnë të drejtat e userave, vetitë siguruese për kontrollin e
rregullave, si dhe opsionet siguruese.
Event Log – përfshijnë vetitë kontrolluese për aplikacione, sigurim dhe sistem, të cilave mund t’u qasemi
përmes Event Viewer.
Restricted Group – i mundëson administratorit të caktoj rregulla për grupe me ndikim siq është
Adminstratori i Ndërmarrjes p.sh.
System services – kontrollon ngritjen e sistemit dhe qasjen në shërbimet e sistemit.
Registry – përdoret për kofigurimin e vetive për siguri siq është kontrolli i qasjes, auditimi dhe
objektet e sistemit.
72 Windows Server
Sem_2 b.s.
Klikohet me të djathtin mbi te dhe zgjedhet opsioni Properties
Nga tre fletet e mundshme zgjedhet fleta Group Policy
73 Windows Server
Sem_2 b.s.
Dhe përmes butonit New krijohet një objekt i ri i cili i përmbanë rregullat
që do të definohen në hapat e mëvonshëm.
Selektohet objekti i krijuar, dhe klikohet në butonin Edit
Shifet se kufizimet mund të bëhen për kompjuter (Computer Configuration)ose
për shfrytëzues (User Configuration).
Zgjedhet opsioni dhe rregulla (Në fig. Control Panel).
74 Windows Server
Sem_2 b.s.
Në dritaren e djathtë kemi mundësi të konfigurojmë rregullën e caktuar.
Klikojmë me te djathin dhe zgjedhim opsionin Properties.
Na ofertohen tri mundësi. Të mos bëjmë asnjë kofigurim (not Configured), ta Lejojmë (Enable) ose ta
ndalojmë (Disable) atë rregull.
75 Siguria në komunikim
Sem_2 b.s.
Siguria e serverit. Mbrojtja e Web faqeve në Internet
Nevoja për çështje sigurie
Nevoja për siguri, në shkëmbimet e mesazheve dhe marrjes së informatave në
Internet (web-i), është shumë e nevojshme. Në kushtet e zakonshme, pa aplikim
sigurie, paraqiten probleme gjate transmetimeve. Ti numërojmë disa nga ato:
Dobësitë që dalin si pasojë e përdorimit të formës standarde të webit janë:
E dhëna e dërguar nga klienti deri tek web serveri është e paenkriptuar
(pa shifruar); ajo është e ndijshme në përgjim, modifikim (ndryshim) dhe
ndërprerje.
Klienti nuk ka se si të sigurohet që web sajti që shfrytëzon është i
vërteti, dhe jo i rrejshëm. P.sh. duke pretenduar se është i vërteti,
ai mund të mashtrohet dhe t‟i japi “mashtruesit” informata të
rëndësishme.
Nëse klienti merr ndonjë e-mail , atëherë ai e-mail nuk është i sigurtë nga;
Përgjimi
Ndërprerja e mesazhit (mos arritja)
Modifikimi (ndryshimi) i mesazhit
Duplikimi ose ridërgimi i mesazhit
Kopjet (backup) jo të ruajtura mirë(sigururara), mund të “shihen” prej
të tjerëve
Nëse klienti ruan informacione të rëndësishme në Web server ose në bazë të të
dhënave, ato informacione gjithashtu do të jenë të rrezikuara nga:
Modifikimi (ndërrimi)
Kopjet e pasiguruara mund të shihen prej të tjerëve
Të tjerët mund të kanë qasje
Këto qështje janë shumë serioze – sidomos mundësia e madhe që të
“padëshiruarit” kanë për të ndërprerë arritjen e informacionit ose marrjen
(vjedhjen) e informacioneve shumë të rëndësishme.
Prandaj është shumë me rëndësi që të eleminohen të gjitha këto mundësi në
mënyrë që të garantohet siguria dhe sekreti i të dhënave.
Sigurimi SSL
SSL është teknologji standarde për siguri e cila krijon lidhje (link) të
shifruar (enkriptuar) në mes të Web serverit dhe browserit. Kjo lidhje
garanton që të gjitha të dhënat e përcjelluara mes Web serverit dhe browserit
76 Siguria në komunikim
Sem_2 b.s.
(klientit) mbeten private (sekrete) dhe integrale (të paprekura). SSL-i
është standard industrial dhe përdoret nga miliona Web sajte si mbrojtës në
komunikimet e tyre direkte me klientët, përmes Internetit (on-line).
Në mënyrë që të realizohet një lidhje SSL, protokoli SSL kërkon që serveri të
ketë të instaluar certifikaten digjitale. Kjo certifikatë i mundëson klientit
(Web browserit) të bëjë autentikimin e serverit para se të bëjë vendosjen e
sesionit (seances) SSL.
SSL (Secure Socket Layer) protokoli të cilin e ka zhvilluar kompania
Netscape, momentalisht është metoda më e përdorur për sigurimin e
komunikimeve në rrjete. E mbështet edhe Internet Exploreri.
SSL garanton integritet dhe intimitet të të dhënave si dhe autenticitet të
dërguesit duke shfrytëzuar kombinimin e kriptimit me çelës publik, kriptimit
simetrik dhe certifikatit digjital.
Shkëmbimi i të dhënave duke shfrytëzuar protokolin SSL rrjedh kështu:
Klienti inicon komunikimin (Tung ! – Hello)
Serveri përgjigjet dhe ia dërgon certifikaten e vet digjitale,
klientit. Serveri mund të kërkoj edhe certifikaten digjitale të klientit
për autentikim.
Klienti e verifikon certifikatën a marrur, dhe nëse i kërkohet dërgon
edhe të vehten.
Autentikimi përfundon.
Klienti i dërgon serverit çelësin e sesionit të kriptuar me çelësin
publik të serverit. Serveri e dekripton atë me çelësin e vet privat.
Kur të vendoset kontakti (sesioni), komunikimi mund të rrjedh në mënyrë
të sigurtë!
Pra:
Puna e parë për siguri është që të krijohen Web sajtet e sigurtë. Kjo do të
thotë të mirret një Certifikatë SSL dhe të instalohet ajo në Web serverin
tuaj. URL-ja e Web faqes suaj tash do të filloj me: https:// Tash klientët
tuaj mund të lidhen në Web faqen tuaj në mënyrë të sigurtë duke shfrytëzuar
URL-në e re që tregon se është një lidhje e sigurtë (për dallim nga URL-të
që fillojnë me http:// që tregojnë se lidhjet nuk janë të sigurta dhe
informatat që rrjedhin nuk kanë siguri ).
Duke shfrytëzuar Web sajtin e sigurtë keni këtë përfitim (benefit):
Të gjitha të dhënat e dërguara nga Web sajti juaj deri tek klientët tuaj janë
të enkriptuara kështuqë ato nuk mund të përgjohen, ndërprehen ose ndryshohen
gjatë transmetimit. Kjo është si një kanal i sigurtë në mes të klientit dhe
serverit në të cilin askush nuk mund të ndërhyjë (penetrojë).
77 Siguria në komunikim
Sem_2 b.s.
Cilat Web faqe janë të mbrojtura ?
Të gjitha faqet që kërkojnë nënshkrime digjitale prej klientit ose faqet që
pyesin për të dhëna personale janë të mbrojtura me enkriptimin SSL.
Në figurë është paraqitur një Web faqe, e cila ka karakteristikat e të gjitha
faqeve që janë të mbrojtura me enkriptimin (kriptimin) SSL. Këto faqe janë të
njejta sikur Web faqet tjera me këto dallimet e theksuara në figurë.
URL-ja e faqeve të mbrojtura ndërron nga: hhtp:// … në https:// …
Në këndin e djathtë të status bar –it paraqitet një dry me ngjyrë të
verdhë që simbolizon sigurinë e web faqes.
Nëse dëshiron që të shohish dhe të verifikosh
informatat mbi enkriptimin e faqes së mbrojtur,
vepro kështu:
Në Netspace – kliko në simbolin e dryrit dhe
selektoje butonin “View Certificate”
Në Internet Explorer – me klikim të dyfisht
mbi dryrin në këndin e djathtë të status
bar-it.
Në figurë është paraqitur dritarja e cila
paraqitet pas klikimit të dyfisht mbi dry. Këtu
është shfrytëzuar browseri Mozilla, i cili e
kishte teknikën e njejtë sikur Internet Explorer-
78 Siguria në komunikim
Sem_2 b.s.
i.
Këtu shihet se kjo web faqe kërkon autentikim
për ta vizituar. Identiteti i kësaj faqe
vertetohet nga VeriSign Trust Network, që në
fakt paraqet një CA.
Më poshtë mund të lexohet: se faqja është e
kriptuar para se të emetohet në Internet, si
dhe kjo e bën shumë të vështirë marrjen e
informatave nga të paautorizuarit.
Aty figuron edhe algoritmi i enkriptimit, që
është 256 bitësh.
Nëse klikojmë në butonin View, do të kemi
mundësi me e parë certifikatin të cilën e
disponon kjo Web faqe (ky server) e mbrojtur me teknologjinë SSL të
kriptimit.
Këtu shihen të dhënat si:
Emri i Web faqes, emri i organizatës, numri serik, CA (certificate
authoritet) që ka dhënë këtë certifikat, data deri kur është valid dhe SSL
certifikati i lëshuar nga CA-ja.
Dërgimi i mesazhit “e-mail”
Meqenëse zakonisht për të dërguar e-mail shfrytëzojmë shërbimet si Yahoo.com
ose Hotmail.com atëherë transportimin e e-mailit deri tek serveri SMTP e
bëjnë këto web faqe duke shfrytëzuar protokolin SMTP (simple mail transfer
protocol). Kurse browseri ynë shfrytëzon protokolin HHTP (Hiper text transfer
protocol) për të transferuar e-mailin tonë deri tek serverat e këtyre
shërbimeve (hotmail, gmail, ose yahoo).
Nëse dërgimin e e-mail-it e bëni duke shfrytëzuar programin si: Outlook të
Microsoftit, atëherë kjo kryhet drejtpërdrejtë me protokolin SMTP (shif
figurën).
79 Siguria në komunikim
Sem_2 b.s.
* Shumë shfrytëzues kanë njohuri të gabueshme në lidhje me sigurimin në
komunikimet në Internet. Një nga komunikimet e veqantë është edhe komunikimi
përmes letrave elektronike (e-mail).
Shfrytëzuesit, gabimisht mendojnë se vetëm pranuesi i e-mail-it mund ta
lexojë letrën e dërguar. E-maili në rrugën e tij të gjatë, mund të ruhet në
shumë serverë përgjatë rrugës së tij.
Nëse e-mail-i dërgohet brenda rrjetit, atëherë ai do të ruhet më së paku në
tre vende: Tek dërguesi, tek pranuesi dhe në server.
E-mail mund të krahasohet me një kartolinë e cila shkon prej dërguesit tek
pranuesi dhe të cilën mund të lexojnë të gjithë ata që e kanë në dorë.
Prandaj, nëse e-mail nuk është i kriptuar, mesazhi që bart lehtë mund të
lexohet, kopjohet përgjatë rrugës së tij nga dërguesi deri tek pranuesi.
Kujdes:Fshirja e mesazhit të e-mail-it në kompjuterin e shfrytëzuesit nuk
garanton se ndonjë kopje e tij nuk është në ndonjë ose më tepër server.
Ekzistojnë programe (software) për mbrojtjen e e-mail-ave. Ata lehtë
përdoren. Shumica prej tyre përdorin kriptimin me çelës publik dhe me
nënshkrim digjital për të ofruar mësheftësi të të dhënave dhe autentikim të
sigurtë.
Sigurimi i email-it me SSL
Gjëja më e lehtë që mund të bëni që emajli juaj të jetë i sigurtë, është që
të përdorni “email provider”-in i cili përkrahë SSL-in (Secure Socket Layer)
për serverët: WebMail, POP, IMAP dhe SMPT.
80 Siguria në komunikim
Sem_2 b.s.
1. SSL-i është kombinim i kriptimit simetrik dhe asimetrik. 8
Përparësitë e SSL-it janë të dyfishta:
Ju mund të determinoni, se a jeni të lidhur me serverin e vërtetë, dhe
Ju dhe serveri mund të komunikoni sigurtë.
Nëse gjatë komunikimit me server duke përdor SSL-in, merrni ndonjë mesazh me
vërejtje, atëherë kju mund të jetë si pasojë e këtyre rasteve:
Certifikatit SSL (p.sh. çifti i çelësave publi/privat) i ka kaluar
afati.
Disa nga informatat në certifikatë nuk përputhen me informatat që i pret
ti – p.sh. certifikata është lëshuar për ndonjë server tjetër, e jo për
ate që iu doni ta kontaktoni (Ju në mënyrë të gabuar – të pa matur jeni
lidhur tek serveri i gabuar !).
Certifikata është lëshuar nga ndonjë agjenci jo e besueshme.
Certifikatat SSL përgjithësisht lëshohen nga agjensitë e palës tretë sikur
janë: Thawte.com ose Verisign. Këto kompani të palës tretë bëjnë kontrollimin
e kompanive që bëjnë kërkesë për certifikatë dhe lëshojnë certifikata vetëm
për ato kompani që gëzojnë të drejten për to. Certifikatat përfshijnë: emrin
e kompanisë, emrin e kompanisë që i ka lëshuar certifikatën asaj, si dhe
emrin e serverit të cilit i është lëshu ajo. Kur ju lidheni me këtë SSL
server mund të verifikoni informatat e futura dhe faktin se ato informata
janë të lëshuara nga kompania e palës tretë, të cilës iu i besoni. Nëse
certifikata është valide, atëherë iu keni një shkallë të lartë të besimit se
serveri që keni kontaktuar është ai që keni kërkuar!
Duke e përdorur SSL-in për WebMail, POP, IMAP dhe SMPT ju garantohet që
komunikimet në mes të kompjuterit tuaj personal dhe kompjuterit(serverit)të
provajderit për shërbim të emajlit, janë të kriptuar. Përmbajtja e mesazheve
tuaja, emri i shfrytëzuesit dhe fjalëkalimi (user name dhe password) do të
jenë të mëshehura nga përgjuesit në mes jush dhe provajderit të shërbimit.
8 Nëse lidhesh me serverin duke përdor protokolin SSL, do të ndodhin këto veprime:
1. Serveri përdor çelësin e vet privat, që të iu dokumentoj juve që ai është serveri të cilin doni ta
kontaktoni. Kjo ju bind se nuk jeni i lidhur me ndërmjetësuesin e cili po tenton që të ndërhyj në
komunikimin tuaj.
2. I dërgoni serverit çelësin tuaj publik
3. Serveri gjeneron “çelësin sekret” dhe e dërgon atë tek ju të kriptuar, duke përdorur çelësin tënd
publik
Ju dhe serveri pastaj komunikoni duke përdorur kriptimin simetrik me “çelësin sekret” të përbashkët – të
njejtë (Kriptimi simetrik është më i shpejtë se kriptimi asimetrik).
81 Siguria në komunikim
Sem_2 b.s.
Por shërbimi SSL nuk e mbron mesazhin tuaj, kur ai e lëshon Serverin SMPT dhe
shkon ka destinacioni i tij. Kështu që edhepse nuk mbrohet me shumë siguri
mesazhi juaj, komplet mbrohet emri dhe paswordi juaj. Kjo është shumë me
rëndësi.
SSL-i është shumë lehtë me u përdorë. Kjo zakonishtë nënkupton klikimin e
disa kutizave për konfirmim (checkbox) në konfigurimin si emajl klient. Këto
masa ju mbrojnë juve dhe paswordin tuaj. Prandaj përdorimi i SSL-i për
komunikim përmes emajlit është i domosdoshëm.
Mbrojtja nga “e-mail”-at e rrezikshëm në nivelin e Browser -ëve
Windows Live Hotmail është një shërbim (servis) i cili ofron shërbimin e “e-
mail” –it dhe sigurinë ia ofron browseri Mozila Firefox.
Rrezik potencial për siguri paraqesin e-mail-at e padëshiruar dhe të
rrezikshëm (spam). Ky shërbim ofron mekanizma mbrojtës për e-mail-at e tillë.
Më poshtë do të paraqesim shkurtimisht se si mund të mbrohemi nga e-mail-at
keqbërës nëse e përdorim këtë shërbim.
Çdo e-mail që e pranoni mund ta shpallni si të sigurtë (safe) ose të pa
sigurtë (unsafe). Nëse e shpallni si të pasigurtë, ai nuk do të hapet si dhe
do t‟i ndalohet për një kohë të gjatë që t‟iu dërgoj mesazhe! Gjithashtu ai
do të marr njoftimin se adresa juaj nuk është valide! Përndryshe nëse e
vlerësoni se mesazhi duhet të jetë në rregull ose nga person i njohur atëherë
klikoni në “mark as safe” dhe ai hapet.
Mesazhet(e-mailat) që vijnë paraqiten në këtë formë:
82 Siguria në komunikim
Sem_2 b.s.
Windows Live Hotmail iu ndihmon me mekanizmat e vet që të iu bëjë më të lehtë
identifikimin e mesazheve që vijnë e që paraqesin rrezik për ju. Shiriti, në
krye të njoftimit mbi ardhjen e mesazhit, mund të ketë ngjyra të ndryshme.
Nëse ngjyra është bardhë atëherë mesazhi vie nga dikush që e ke në listen e
kontakteve, pra nga dikush i njohur. Prandaj si i tillë nuk paraqet rrezik.
Nëse ngjyra është e verdhë atëherë mesazhi vjen nga dikush që nuk është në
listen tënde, prandaj duhet pasur kujdes. Kurse
Nëse ngjyra është e kuqe atëherë duhet pasur kujdes sepse është fjala për
mesazh jo dashamirës por keqbërës.
83 Siguria në komunikim
Sem_2 b.s.
Këndellja pas “katastrofave” dhe krijimi i kopjeve rezervë
Administratori i rrjetit ka për detyrë që në rastet kur vie tek shkatërrimi i
të dhënave si rezultat ose i prishjeve hardverike ose për ndonjë arësye
tjetër, të ketë kopje rezervë të të dhënave sepse e tërë kompania ose
organizata është e varur prej ti. I tërë afarizmi dhe të dhënat shumë të
rëndësishme ruhen në hard disqet e serverëve dhe nëse nuk ka kopje rezervë
kur të vijë tek rënja e sistemit, do të krijohen probleme shumë të mëdha.
Administratorët për krijimin e kopjeve rezervë duhet të jenë të përgatitur,
të përgjegjëshëm dhe gjakëftohët. Ata duhet vazhdimisht ti avansojnë veprimet
dhe strategjinë e tyre sepse kompania varet prej tyre.
Përse me kriju kopje rezervë ?
Objektivisht, ekzistojnë dy arësye për krijimin e kopjeve rezervë, por
teknologjia në të dyja rastet është shumë e ngjashme:
Ruajtja e të dhënave për mbajtje të evidencës (p.sh., kopjet rezervë që
krijohet çdo muaj e ruhen një vit)
Regjenerimi pas katastrofave (ang. Disaster Recovery – DR) ose këndellja
e sistemit.
Duhet pas parasysh, se cilët fajlla (ose baza të të dhënave) janë vital për
organizatën dhe sa shpesh duhet riruajtur ata.
Përmbajtja e kopjeve rezervë
Shpesh administratorët zbatojnë strategjinë më të thjeshtë për ndërtimin e
kopjeve rezervë, e ajo është: krijimi i kopjeve të të gjithë fajllave në
makinë ose rrjetë dhe që të gjithë i vendosin bashkë.
Më mirë është që fajllat t‟i ndajnë në dy grupe:
fajlla sistemor – sistemi operativ dhe aplikacionet (programet). Ata
ruhen përderisa nuk ndërrohet verzioni i sistemit operativ ose ndonjë
programi, si dhe
fajlla të të dhënave – janë fajlla që ndërrohen çdo ditë si: fajlla të
programeve për përpunim të teksteve, fajlla të bazave të të dhënave,
fajllat grafik dhe konfigurues (Registar, DHCP, WINS, DNS dhe
direktoriumi aktiv – Active directory) – p.sh. për një sistem operativ
të një serveri !
Kopjet rezervë
Para se të fillohet krijimi i kopjeve rezervë, duhet dijtë se si përdoret dhe
si funksionon programi për këtë veprim.
84 Siguria në komunikim
Sem_2 b.s.
Kopja rezervë në fakt është kopje identike e një baze shënimesh (bashkë me
dokumentacion) e ruajtur në mediume memoruese, zakonisht në formë të
komprimuar. Ajo ruhet në vend të sigurtë, shpesh larg origjinalit.
Në çdo medium ku ruhen kopjet rezervë, së bashku me to ruhet edhe
dokumentacioni për ata fajlla si formë e historisë së tij ( si data e
krijimit, madhësia etj.).
Praktikë:
Krijimi i kopjes rezervë (backup) në Windows 2000 (Server + Profesional). Në
vazhdim do të paraqesim procedurën detaje e krijimit të kopjes rezervë
(backup-it) në Windows 2000.9
9 E kjo procedure duhet të jetë e ngjashme edhe në versionin XP të Windowsit.
Përmes shtegut: Start/Programs/Accessories/System Tools/Backup niset procedura për krijimin e backup-it.
85 Siguria në komunikim
Sem_2 b.s.
Fillon proqesi me mirëseardhje. Kliko Next
Nga tre opcionet zgjedhet i pari :
Backup Wizard.
86 Siguria në komunikim
Sem_2 b.s.
Bëhet përzgjedhja e folderëve, fajllave ose edhe e pjesëve komplete të diskut (drives), që do të ruhen si rezervë, me vendosjen e “kërrabzës” përpara.
Kliko Next.
Bën zgjedhjen e asaj se çka do të kopjosh. Çdo gjë në kompjuter Folderët, fajllat e selektuar, ose Vetëm fajllat sistemor. Pas përzgjedhjes së opcionit pare, kliko
Next.
87 Siguria në komunikim
Sem_2 b.s.
Zgjedhe emrin për kopje (backup). Kliko
Open
Zgjedhe vendin se ku do ta ruash backup-in, duke klikuar në Browse. Pastaj kliko
Next.
Përfundimi i proqesit.
Kliko në Finish.
88 Siguria në komunikim
Sem_2 b.s.
Proqesi i krijimit të kopjes reserve – kopjimi i fajllave në folderin e zgjedhur.
Treguesi se backup-i ka përfunduar.
89 Siguria në komunikim
Sem_2 b.s.
Restaurimi (këthimi) i kopjes rezervë (backup-it)
Me klikim në Report, do të paraqitet raporti për fajllat e kopjuar dhe ata të cilët nuk kanë mundur të kopjohen për shkak të asaj se kanë qenë të hapur – në shfrytëzim (skiped).
Nëse duam të shikojmë vendin se ku e kemi të ruajtur bacup-i shkojmë tek folder i duhur (backup) dhe e hapim. Aty shihet backupi (kopja_rezervë)
Nga tre opcionet zgjedhet opcioni i dytë: Restore Wizard, i cili nis procedurën për restaurimin e kopjes rezervë.
90 Siguria në komunikim
Sem_2 b.s.
Mirëserardhja për proqesin. Kliko në Next.
Zgjedhe folderin të cilin do të restaurosh. Kliko në Next.
91 Siguria në komunikim
Sem_2 b.s.
Nëse dëshiron që restaurimin ta bëni në folderin original, kliko
në Finish, nëse doni ta ruani në ndonjë vend tjetër atëherë kliko në
Advanced
Kliko : Alternate location dhe Next më pastaj.
Në Browse zgjedh folderin se ku don me e vendosur kopjen rezervë.
92 Siguria në komunikim
Sem_2 b.s.
Në Browse zgjedh folderin se ku don me e vendosur kopjen rezervë.
Nëse pajtohesh me zgjedhjen tënde kliko në Next, e nëse jo kliko në Browse dhe zgjedhe vendin e ri e pastaj në Next.
93 Siguria në komunikim
Sem_2 b.s.
Zgjedh opcionin për ate se si do të bëhet restaurimi. Rekomandohet opcioni i pare : Fajlat që ekzistojnë në disk të mos zëvendësohen me këta të rinjët. Next
Zgjedhe opcionin e pare dhe kliko: Next.
94 Siguria në komunikim
Sem_2 b.s.
Përdundimi i proqesit. Kliko Finish.
Nëse pajtohesh me zgjedhjen tënde kliko në OK,
Përdundimi i proqesit. Kliko Finish.
Rrjedha e procesit. Restaurimi.
95 Siguria në komunikim
Sem_2 b.s.
Rrjedha e procesit.
Nëse e hapim folderin Rezerva ku është bërë ruajtja e kopjes rezervë, shihet folder i ruajtur 2006_2007.
96 Siguria në komunikim
Sem_2 b.s.
Firewall-i
Ç’është firewall –i ?
Është thjeshtë një program – softver ose një paisje – hardver i cili ndalon –
filtron informatat të cilat vijnë përmes Internetit në rrjetin e kompjuterëve
ose vetëm në një kompjuter.
Është një masë për siguri që mbron kompjuterin ose rrjetin kompjuterik nga
qasja e paautorizuar. Fatkeqësisht në botën e sotme të kompjuterit, ka plot
hakera devijant, të zellshëm, që tentojnë të arrijnë deri tek informatat e
kompjuterit. Përpara, cak kanë qenë institucionet e mëdha, kurse sot hakerëve
iu interesojnë edhe të dhënat personale nga çdo kompjuter.
Para 5,6 vitesh ata të cilët e kanë përdorur firewallin kanë qenë bankat,
bizneset dhe veprimtaritë qeveritare. Kohërat kanë ndryshuar. Sot, për të
pasur një firewall të mire është njëlloj e rëndësishme sikur me pas një
mbrojtje antivirus.
FireWall-i mund të jetë softver, hardver, ose kombinim i të dyjave. Firewalli
i mirë do t‟i pengojë hakerët për t‟iu qasur kompjuterit. Ai gjithashtu nuk
do të lejoj që nga kompjuteri të dalin informata pa lejen tuaj. Pra
informatat personale do të jentë të sigurta. E vërteta, firewalli nuk do të
mund të pengoj ataket e virusëve por në disa rrethana mund t‟i pengojnë
virusët që të nxjerrin jashtë informata nga kompjuteri i infektuar.
Nëse qasjen ne Internet e keni përmes lidhjes DSL (broadband) ose me kabëll,
definitivisht duhet të posedoni firewall-in. Pasi lidhjet broadband janë
gjithmonë “on” dhe të përbashkëta, është më lehtë për një haker të hyj në
kompjuterin tënd.Prandaj është esencialisht e rëndësishme që kompjuterët që
përdorin këtë lloj lidhje me Internet , të disoponojnë me këso softverësh
mbrojtës.
Edhe nëse për lidhje në Internet shfrytëzoni lidhjen dial-up, firewall-i
është i mirëseardhur. Kjo për arësyen se ekzistojnë programe, si spajver dhe
adverë që janë programe invaduese dhe që “këthejnë” informata tek personi që
i ka krijuar ato. Kështuqë firewalli i mirë do t‟iu sinjalizoj për informatat
që do të “marrin rrugë” nga kompjuteri yt pa iniciativën tënde!
Mënyra më e lehtë për t‟u paisur me firewall, është përmes softverit, i cili
instalohet sikur edhe çdo program tjetër. Shumica e softverëve mbrojtës
pengojnë që informatat e paautorizuara të dalin jashtë kompjuterit. Duhet
97 Siguria në komunikim
Sem_2 b.s.
pasur kujdes para se me u paisur me softver mbrojtës se a është ai firewall
dy direkcional (dy drejtimësh). Disa nga softverët mbrojtës vetëm iu
alarmojnë kur dikush prej së jashtmi tenton të hyj në kompjuterin tënd.Këta
sofverë mbrojtës njëdirekcional nuk kontrollojnë informatat e paautorizura që
dalin nga kompjuteri.
Firewall-i i ndërtuar brenda sistemit operativ XP, fatkeqësisht është
njëdrejtimësh. Ai mund të kontrolloj vetëm informatat që vijnë nga jashtë.
Është më mire se asgjë, por për mbrojtje komplete nevojitet një firewall
bidirekcional.
98 Siguria në komunikim
Sem_2 b.s.
Si ta bëjmë Firewallin të përshtatshëm
Filtrimi i të dhënave që e bënë firewalli, mund të bëhet sipas disa
elementeve apo kritereve. Këto kritere ose kushte mund të ndërrohen sipas
nevojës. Disa nga këto janë:
IP Adresa
– Nëse një kompjuter jashtë kompanisë është duke marrë (lexu) shumë fajlla
nga serveri i kompanisë, firewall-i mund ta bllokon tërë trafikun kah ai ose
nga ai kompjuter, duke e marrë parasysh IP adresën e tij.
Emrat e domeneve (Domain name)
– Filtrimi mund të bëhet sipas emrave të domeneve. Nëse dëshirohet që një IP
të bllokohet ose të lejohet, atëherë kjo mund të bëhet edhe përmes emrit të
domenit, së cilës i takon IP –ja. Shembuj të domeneve janë: MSN, Google etj.
Protokolet
– Protokolet e caktuar mund të bllokohen (filtrohen) ose të lejohen me
firewall. Protokolet të cilët mund të menagjohen janë: IP, TCP, HTTP, FTP,
UDP, ICMP, SMTP, Telnet, SNMP etj.
Kompania p.sh. mund ta lejoj një protokoll të caktuar për disa kompjuter,
kurse për të tjerët ta ndaloj atë (p.sh. nëse ai protokol është SMTP fjala
është për e-mail. Atëherë vetëm ata kompjuter të cilëve u lejohet, kanë
mundësi ta përdorin e-majlin, kurse të tjerët jo).
Portet
– Dijmë se secili protokol ka numrin e vet të portit (p.sh. HTTP e ka 80, FTP
– 21 etj.). Me firewall p.sh. mund të bllokohet porti i caktuar për të gjithë
kompjuterët e rrjetit, përveq për disa (të rëndësishëm). Mundësitë janë të
shumta.
Teksti
– Firewall-i mund ta bllokoj edhe një tekst të caktuar. Paketet të cilat
përmbajnë atë tekst – shkatërrohen derisa tjerat lejohen.
Përzgjedhja e firewallit
Në Internet, hakerat përdorin kode malicioze (helmuese si: viruses, worms
dhe Trojan horses), që të provojnë me gjetë kompjuterë të pambrojtur.
Përderisa disa atake, sulme, janë vetëm të bezdisshëm që mund të shkaktojnë
ndonjë mashtrim, të tjerët mund të kenë qëllime malicioze – të dëmshme. Ata
mund të provojnë që të fshijnë informata nga kompjuteri yt, ta dëmtojnë
kompjuterin ose të përvetësojnë informata personale sikur: paswordi ose numri
i kartelës së kreditit.
99 Siguria në komunikim
Sem_2 b.s.
Për fat të mire, ti mund të zvogëlosh rrezikun nga infektimi duke përdorur
firewall-at. (bukvalisht.”mur i zjarrët”).
Firewall-i bënë ekzaminimin e informatave që vijnë nga Interneti dhe atyre që
shkojnë në Internet. Ai i identifikon dhe i ndalon informatat që vijnë nga
lokacione (vende) të rrezikshme ose që duken si të dyshimtë.
Kur ta aktivizoni firewall-in tuaj në mënyrë korrekte, hakerët duke kërkuar
kompjuterë të pambrojtur, nuk mund ta detektojnë (gjejnë) kompjuterin tënd.
Ekzistojnë dhe janë në dispozicion tri tipe bazike të firewall-ave. Puna e
parë është të përcaktohesh cili nga këta është më i përshtatshëm për ty !
Mundësitë për zgjedhje përfshijnë këto tipe:
Firewallat softverik, dhe
Firewallat hardverik
Routerat hardverik
Routerat “Wireless” (pa tela)
FireWall-at softverik janë zgjedhje e mirë për një kompjuter të vetëm (jo për
rrjetë kompjuterash); ata punojnë me të gjitha versionet e Windowsit (98,
ME, 2000), derisa dy versionet e fundit XP dhe Vista e kanë të inkorporuar
brenda sistemit operativ kështuqë tek ta asnjë shtesë nuk është e
domosdoshme.
Këto mbrojtje softverike janë në dispozicion nga kompani të ndryshme
softverike. Në tabelë do të paraqiten përparësitë dhe të metat e këtyre
softverëve.
Përparësitë Të metat
Nuk kërkojnë shtesë hardverike Çmim shtesë. Softverët zakonisht
kushtojnë!
Nuk ka nevojë për lidhje të re
(tela).
Instalimi dhe konfigurimi nevojitet për
aktivizim !
Opcion i mire për kompjuter të
vetëm
Për secilin kompjuter nevojitet nga
një kopje.
Routerat hardverik
Këta routera janë zgjidhje e mirë për rrjetat “shtëpiake” të cilat lidhen në
Internet.
Karakteristikat pozitive dhe negative të tyre janë ta paraqitur në tabelë:
100 Siguria në komunikim
Sem_2 b.s.
Përparësitë Të metat
Routerat kanë zakonisht më së paku
katër porte rrjeti, për të lidhur më
shumë kompjuter bashkë.
Kërkojnë vendosjen e kabllove për
lidhje, çka do të bëjnë pak rrëmujë !
Ofrojnë mbrojtje për më shumë
kompjuterë.
Routerat “pa tela”
Nëse ke planifikuar të përdorësh rrjetin wireless, të nevojitet një router
Wireless.
Përparësitë Dobësitë
Routeri Wireless të mundëson që të
lidhësh kompjuterët, laptopët,
printerët pa përdorimin e telave
(përçuesëve).
Paisjet Wireless emitojnë informatat
përmes radiovalëve, kështuqë ato
sinjale mund të pranohen prej dikujt
jashtë shtëpisë – rrjetit.
Janë të shkëlqyeshëm për lidhje të
laptopëve në rrjetë dhe Internet.
Kërkohet pagesë extra për këtë paisje.
Jo të gjithë routerat posedojnë
firewallin e instaluar, kështuqë duhet
bërë porosi e veqantë !
Instalimi i firewall-it është vetëm një masë sigurie në kërkimin nëpër
Internet. Duhet të vazhdosh ta përforcosh sigurimin e kompjuterit duke bërë
përditësime (update), duke përdorur softverë antivirus dhe antispajverë!
Proxy server
Proxy serveri është server i cili vendoset në mes të aplikacionit të
klientit, siq është p.sh. Web brovseri dhe të serverit real ku janë të
deponuara të dhënat. Ai ka qëllim sigurimin e rrjetit dhe rritjen e
shpejtësisë së Internetit.
101 Siguria në komunikim
Sem_2 b.s.
Ai i “kap” të gjitha kërkesat që i shkojnë serverit real për të parë se a mos
mundet ai vet me iu përgjegj asaj kërkese. Nëse po, atëherë nuk e len
kërkesën me shku tek serveri real por ai vet i përgjigjet klientit. E nëse
nuk e ka përgjigjen për atë kërkesë, e përcjell atë për tek serveri real.
Proxy serveri, kryesisht ka këto qëllime:
1. Përmirësimi i performansave (karakteristikave):
Proxi serveri mundet që në mënyrë dramatike të përmirësoj performansat për
grupe të shfrytëzuesëve. Sepse ai ruan rezultatet (pergjegjet) nga të gjitha
kërkesat që janë bërë gjatë një periudhe kohore të caktuar.
Ta ilustrojmë me shembull: Të marrim rastin kur dy shfrytëzues: X dh Y i
qasen Webit për ndonjë Web faqe (kërkesë) përmes proxy serverit. Të supozojmë
se shfrytëzuesi X kërkon faqen_1, të cilën edhe e “merr” përmes Proxit. Proxi
e ruan atë faqe. Pak më vonë, të njejten faqe e kërkon edhe shfrytëzuesi Y
dhe Proxi, meqë e ka ate të ruajtur menjëherë ia servon atij, duke mos e
“lënë” atë që ta drejtoj kërkesën tek serveri real.
Pasi Proxi zakonisht është në të njejtin rrjet me shfrytëzuesin Y shpejtësia
e përgjigjes është e madhe.
Proxy serverët mund të shërbejnë për qindra ose mijëra shfrytëzues. Shërbimet
e mëdha America on-line, MSN, Yahoo, p.sh. disponojnë me më shumë serverë.
2. Filtrimi i kërkesave
Proxy serverët mund gjithashtu të përdorën për filtrimin e kërkesave të
caktuara. P.sh. mund të bllokohet qasja në Web faqe të papërshtatshme.
3. Kontrollimi i shfrytëzuesëve
Shfrytëzuesit të cilët i qasen Internetit përmes Proxi serverit, mund të
kontrollohen përmes autentikimit. Ekzistojnë shumë mënyra të autentikimit si
p.sh. Sipas IP adresës, IP brezit (IP range), MAC adresës, Emrit dhe
fjalëkalimit (User Name/Password), si dhe kombinimet e tyre si: IP + User
Name / Password, MAC+ User Name / Password dhe IP + MAC.
102 Siguria në komunikim
Sem_2 b.s.
4. Menaxhimi i bandwidthit
Proxi serveri mund të ndaj - caktoj edhe bandwidthe të ndryshme për
shfrytëzuesit. Ai mund të kontrolloj performansat e Internetit duke e
kontrolluar bandwidthin dhe duke penguar “tollovinë” – ngarkesën në rrjete që
mund të shkaktohet nga shfrytëzuesit që downlodojnë fajlla. Pra e limiton
downloadin !
ISA Serveri (Internet Security and Acceleration Server)
Bizneset, kompanitë, duhet që për partnerët dhe shfrytëzuesit e shërbimeve të
tyre t‟u ofrojnë të dhëna, dokumente dhe aplikacione me mundësi të qasjes nga
largësia përmes Internetit. Këto të dhëna, aplikacone ose dokumentacione të
kompanisë duhet që të jenë të mbrojtura nga sulmet nga jashtë.
ISA Serveri 2006 p.sh. mundëson që organizatat, kompanitë, të bëjnë
sigurimin e serverëve të tyre publik, që i kanë në dispozicion për shfrytëzim
me qasje nga jashtë - përmes Internetit.
Prandaj, Në mes të Internetit dhe serverave brenda kompanisë (si Web server,
servera të të dhënave etj) vendoset ISA serveri i cili bënë “legjitimimin” e
vizitorëve të jashtëm, kështuqë në një far forme bën sigurimin e rrjetit.
(shif fig.)
ISA serveri disponon me metoda nga më të ndryshmet për autentikim, në mënyrë
që të lejoj qasje vetëm të autorizuarëve.
103 Siguria në komunikim
Sem_2 b.s.
Përdorimi i HTTP Filterit për të mundësuar Qasje të sigurtë HTTP
ISA Server i Microsoftit ofron një kontroll shumë të detajuar për komunikimin
përmes protokolit HTTP. Kjo kontroll në fakt është në formë të HTTP filterit.
Ky filter e “shoshit” tërë trafikun HTTP që kalon nëpër serverin ISA dhe
lëshon vetëm kërkesat e duhura. Ky në mënyrë të ndjeshme rritë sigurinë e Web
serverit sepse ai do të përgjigjet vetëm në kërkesat valide. Kjo mundëson
gjithashtu edhe kontrollimin e veqorive të klientëve që i qasen ISA
serverit.
Filtrimi HTTP mund të aplikohet në këto dy raste (skenare):
1. Klientët që dalin nga rrjeta e brendshme për t‟iu qasur objekteve HHTP
(Web faqeve), në rrjetin tjetër (të jashtëm), domosdo duhet të kalojnë përmes
ISA serverit. Ky bën kontrollimin dhe aplikimin e rregullave të qasjes,
gjegjësist aplikon filtrimin (ndalimin ose lejimin) për web faqet e caktuara.
2. Klientët nga Interneti që iu qasen objekteve HTTP (Web faqeve) në Web
serverin publik të kompanisë, kalojnë përmes kompjuterit që shërben si ISA
server, i cili aplikon rregullat e filtrimit.
Në të dy rastet, mund të aplikohen nivele dhe tipe të ndryshme të filtrimeve
varësisht prej kërkesave. P.sh. mund të përdoret filtrimi HTTP për të
bllokuar një shërbim në tërësi, ose për të bllokuar për një pjesë të
klientëve derisa për të tjerët është i lirë.
104 Siguria në komunikim
Sem_2 b.s.
Rrjeti Virtual Privat
Rrjeti Virtual Privat (VPN – Virtual Private Network) është rrjet privat i
konstruktuar brenda infrastrukturës së rrjetit publik, sikur është Interneti.
Nëse sypozojmë se kemi një kompani me më shumë degë të saja të shpërndara dhe
të larguara nga njërat tjetra, normalisht që degët duhet të komunikojnë
sidomos më qendrën për të shfrytëzuar të dhënat e përbashkëta ose për ti
dërguar ato. Në këtë rast mund të krijohet kjo mundësi: Duke shfrytëzuar VPN-
në repartet ose degët e kësaj kompanie mund t‟i qasen rrjetit të qendrës së
vet. Me këtë rast, përmes Internetit, ndërtohen tunele të sigurtë në mes
LAN-it të qendrës dhe atyre të degëve, respektivisht mundësohet komunikimi në
mes së kompjuterëve të degëve dhe atij në qendër (serverit, p.sh.).
VPN-ja është i sigurtë sikur edhe rrjeti privat. Përdorimi i VPN-së është më
i levërdishëm në aspektin financiar për të vendosur një lidhje “pikë për
105 Siguria në komunikim
Sem_2 b.s.
pikë” (point – to – point) në mes të dy shfrytëzuesve në distancë se sa
lidhja private ( e dedikuar).
Tri llojet kryesore të VPN-ve janë:
VPN i me qasje të gjërë (Access VPN) – mundëson qasje nga largësia për
shfrytëzues mobil (në lëvizje), zyra të vogla, telekomuterë, shtëpi,
shfrytëzuesit e një Intraneti ose Ekstraneti etj. Këtë e arrinë përmes
infrastruktures së përbashkët. Ky rrjet virtual privat përdorë teknologji të
ndryshme si: dial-up, ISDN, DSL, me kabëll etj. për t‟i lidhur në mënyrë të
sigurtë shfrytëzuesit mobil, zyret e degëve të kompanisë, telekomuterët 10)
etj.
Intraneti (Intranet)– është rrjet virtual privat i cili shfrytëzon lidhjet e
dedikuara (të posaçme) për të lidhur zyret regjionale dhe ate në distanca të
mëdha, në një rrjet të brendshëm (intern). Gjithë këtë e arrinë duke
shfrytëzuar infrastrukturën e përbashkët. Në Intranet kanë qasje vetëm
punonjësit të ndërmarrjes.
Estraneti (Extranet) – është rrjet virtual i cili shfrytëzon lidhjet e
dedikuara për t‟i lidhur partnerët afarist në një rrjet të brendshëm (intern)
duke shfrytëzuar infrastrukturën e përbashkët.
Ekstraneti ndryshon nga Intraneti në atë se lejon qasjen e shfrytëzuesëve
jashta ndërmarrjes, derisa Intraneti lejon vetëm ata brenda ndërmarjes t‟i
qasen atij.
10
telecommuter – punëtori i cili punon në shtëpi, jo në zyrë pra, prej nga i kryen të gjitha aktivitetet e veta të punës. Me këtë redukohen shpenzimet e tij, rritet siguria si dhe kursehet koha sepse që të gjitha i ka në shtëpi.
106 Siguria në komunikim
Sem_2 b.s.
Intraneti dhe Ekstraneti
Intraneti është një LAN i zakonshëm. Web serverët e Intranetit ndryshojnë
prej atyre publik. Për t‟iu qasur Web serverëve të një Intraneti të ndonjë
ndërmarrjeje ,shfrytëzuesit duhet të posedojnë leje të duhur dhe fjalëkalime
(passwords).
Intranetët janë të dizajnuar ashtu që të lejojnë shfrytëzuesit e privilegjuar
në LAN-in intern të një organizate. Web serverët janë të instaluar brenda
Intranetit. Shfrytëzuesit përmes browserëve mund t‟u qasen informacioneve
finanaciare, grafike ose të të dhënave të ndryshme nëpër ata serverë.
Ekstraneti është në fakt për nga aplikacionet dhe shërbimet që ofron
Intranet, por ai kërkon qasje më të sigurtë, dhe më të zgjëruar (përforcuar)
për shfrytëzuesit jashtë organizatës. Kjo qasje zakonisht kalon nëpër:
fjalëkalime (passëords), identifikimet e shfrytëzuesëve (user ID), si dhe në
sigurime tjera të nivelit Aplikativ (Application level).
Një Ekstranet është zgjërim i dy ose më tepër Intranetave me një ndërveprim
(interakcion) të sigurtë mes veti. Me fjalë tjera bashkëpunimi i dy ose më
107 Siguria në komunikim
Sem_2 b.s.
shumë organizatave që kanë përbrenda vetit Intranete, mund të konsiderohet si
një Ekstranet.
Protokolet e enkapsulimit në VPN
Shumica e VPN –ve bazohen në krijimin e rrjeteve private në distancë, duke
shfrytëzuar Internetin, përmes tuneleve komunikues që krijohen me këtë rast.
Në thelb, tunelimi është proces ku i tërë paketi vendoset brenda një paketi
tjetër – të jashtëm dhe transmetohet nëpër rrjet. Protokoli i paketit të
jashtëm është i kuptueshëm për rrjetin dhe pikat fundore komunikuese ( që
quhen: interfejsat e tunelit) në të cilat paketet hyjnë dhe dalin.
Tunelimi kërkon tri protokole të ndryshme:
1. Protokoli bartës (carrier protocol) - Protokoli që shfrytëzohet nga
rrjeti për bartje të informacionit (varet nga teknologjia e WAN-it që
bën bartjen ! – p.sh. TCP)
2. Protokoli i enkapsulimit (Encapsulating protocol) – Protokoli i cili e