You are on page 1of 14

UNIVERZITET „DŽEMAL BIJEDIĆ” MOSTAR

EKONOMSKI FAKULTET

SEMINARSKI RAD

Tema:

Firewall

Student:
Eldin Mukić, EB150086

Predmet: Ekonomski informacioni sistemi
Nastavnik: prof. dr. Muharem Kozić
Studij: Akademski

Mostar, januar, 2017.
Contents
UVOD..............................................................................................................................................3
1. ŠTA JE FIREWALL?...................................................................................................................4
2. VRSTE FIREWALL-OVA..........................................................................................................6
2.1. PROGRAMSKI (ENG. SOFTWARE) FIREWALL............................................................6
2.1.1. Prednosti i nedostaci programskog firewall-a...............................................................6
2.2. SKLOPOVSKI (ENG. HARDWARE) FIREWALL............................................................7
2.2.1. Prednosti i nedostaci sklopovskog (eng. hardware) firewall-a......................................8
3. NAČIN RADA FIREWALL-A...................................................................................................9
3.1. Filtriranje paketa (eng. packet filtering)...............................................................................9
3.2. Application Gateways/Proxies............................................................................................10
3.3. Dinamično filtriranje paketa (eng. Stateful packet inspection)..........................................10
3.4. Circuit-level Gateway.........................................................................................................11
3.5. Prednosti i nedostaci...........................................................................................................11
4. ZAKLJUČAK............................................................................................................................12
LITERATURA...............................................................................................................................13
Firewall

3
UVOD

Prava revolucija u upotrebi PC računara počela je onda kada je PC dobio mogućnost
umrežavanja. Danas mrežna sigurnost zahtijeva detaljno razumijevanje mreže i saznanja o
ranjivosti mreže. Povezivanje na internet je kao otvaranje vrata svoje kuće, bilo tko može ući i
bilo tko može izaći.
Nažalost, ta otvorena vrata u današnje vrijeme (gdje je izlazak "vani" ulazak u ratnu zonu, gdje
neki korisnici otimaju drugima nadzor nad računarima iz njima znanih razloga) nije dobra ideja
jer sami Windows-i bez Firewall-a postaju žrtva u 15 minuta ili sat vremena. Napade na mreže
izvode mnogi pa čak i računarski početnici ili pak oni koji samo žele vidjeti šta se sve može
učiniti. Jedan od načina zaštite računalnih mreža su firewall sistemi. Kako Firewall postaje tačka
gušenja u mreži, ona odlučuje čemu se vjeruje, a čemu ne. Nepovjerljivi dijelovi mreže su svi, od
vanjske mreže (Interneta), pa čak i do pojedinih dijelova u organizaciji.
Razvojem tehnologije, povećava se i broj mogućnosti koje Firewall pruža korisniku. Najpoznatiji
Firewall većini korisnika jest Windows Firewall, koji je integrisan u Windows operacijske
sisteme od Windows XP inačice. Windows Firewall je koristan u kontroli dolaznog prometa
(dolaznih napada), dok se ne može reći isto i za kontrolu odlaznog prometa. Ostali poznati
firewall-i su Comodo Firewall, ZoneAlarm, Black Ice Defender, Norton Personal Firewall i td..
Danas, svako preduzeće koje želi uspješno poslovati, mora biti u skladu sa savremenim načinima
zaštite podataka, u cilju obezbjeđivanja krucijalnih informacija od „neželjenih korisnika“. U
ovom radu, biće prezentiran sam pojam, vrste, način rada, prednosti i nedostaci Firewall-a, kao
osnovnog elemneta zaštite računara i sistema.
1. ŠTA JE FIREWALL?

Firewall (bos. vatreni zid, Sigurnosna stijena) je mrežni uređaj ili program čija je namjena
filtriranje mrežnog prometa tako da se stvori sigurnosna zona. To je sistem ili skupina sistema
koji se koriste u cilju upravljanja pristupa između dvije mreže – pouzdane i nepouzdane mreže
(Internet). Firewall se smatra prvom linijom odbrane kako bi zaštitio povjerljive, privatne,
korisničke podatke od neovlaštenih korisnika blokiranjem i zabranom prometa po pravilima koja
uspostavlja usvojena sigurnosna politika. Sam pojam dolazi iz automobliske industrije, gdje
pojam firewall-a označava debelu čeličnu stijenku, koja odvaja putničku kabinu od motora, i
tako sprečava da se vatra (toplina) širi od motora prema kabini.

Slika 1. Firewall

Za razumijevanje rada firewall-a potrebno je poznavati tri stručna pojma, a to su IP adrese i TCP
i UDP portovi.
Sve što je povezano na Internet ima barem jednu jedinstvenu IP adresu. Svaki paket koji putuje
Internetom u sebi sadrži svoju izvornu i svoju odredišnu IP adresu.
Korisnik putem različitih programa (ftp, mail, http) koristi razne sadržaje na Internetu koji se
prenose u obliku TCP ili UDP paketa. Da bi se razlikovali paketi različitih programa, svaki
program ima svoj port (hrv. vrata, prolaz, kanal) po kojem šalje i prima pakete; npr. FTP koristi
portove 20 i 21, HTTP port 80, itd. Što je manje portova ostavljeno otvoreno i što je manje
adresa kojima smo dozvolili pristup, to je mogućnost zlonamjernog pristupa računaru manja.
Nije nužno da svi korisnici u LAN-u imaju jednaka prava pristupa Internet mreži. Postavljanjem
Firewall uređaja između dva ili više mrežnih segmenata može se kontrolisati i prava pristupa
pojedinih korisnika pojedinim djelovima mreže. U takvom slučaju Firewall je dizajniran da
dopušta pristup valjanim zahtjevima, a blokira sve ostale. Firewall ujedno predstavlja idealno
rješenje za kreiranje Virtualne Privatne mreže, jer stvarajući virtualni tunel kroz koji putuju
kriptirani podaci (omogućuje sigurnu razmjenu osjetljivih podataka među dislociranim
korisnici). Firewall je servis (koji se tipično sastoji od firewall uređaja i Policy-a ( pravilnika o
zaštiti), koji omogućuje korisniku filtriranje određenih tipova mrežnog prometa sa ciljem da
poveća sigurnost i pruži određeni nivo zaštite od provale.
Većina firewall-ova pita za dozvolu koji program će da pusti da izađe, pod kojim uslovima, koji
protokol program koristi i na kojim portovima komunicira. Naravno isto se odnosi i na suprotan
smijer, na ulaznu komunikaciju. Ima i onih koji ništa ne pitaju, koji su u težnji za dostizanjem
savršenstva po nekim kriterijumima, oni su toliko automatizovani da stižu praktično unapred
podešeni a vaše je samo da ih instalirate.
Dobar program ove vrste će ispravno registrovati svaku konekciju prije nego što bude
uspostavljena, blokirati je ili preciznije ostaviti na čekanju, i tek ako korisnik dozvoli njeno
ostvarivanje ona će biti uspostavljena. Ovo u stvari znači da ako skidate neku zakrpu za program
možete da onemogućite sve ostale konekcije osim one preko koje se razmena, odnosno primanje
podataka obavlja. Nekada i ovo nije dovoljno i treba reći da savršena zaštita ne postoji.
Dobra osobina neki firewall-ova je da imaju mogućnost da se trenutno blokira sav saobračaj
između računara i interneta ili da se dozvoli samo nekim programima da nastave normalno da
rade.

Firewall može biti programski (eng. software) ili sklopovski (eng. hardware). Sa širokom
dostupnošću interneta 24/7 postali su popularni osobni Firewall-i koji štite jedno računar od
upada zlonamjernih osoba, dok je posebni računar koji radi samo kao firewall uglavnom rješenje
koje se primjenjuje kad se štiti više od jednog računara.
Osnova rada firewall-a je u ispitivanju IP paketa koji putuju između klijenta i servera. Stav „sve
što nije dozvoljeno je zabranjeno“ zahtijeva da se svaki novi servis individualno omogućava.
Odgovoran je za više važnih stvari unutar informacijskog sistema:
 Mora implementirati politiku sigurnosti. Ako određeno svojstvo nije dozvoljeno, firewall
mora onemogućiti rad u tom smislu.
 Firewall treba bilježiti sumnjive događaje.
 Firewall treba upozoriti administratora na pokušaje proboja.
 U nekim slučajevima firewall može omogućiti statistiku korištenja

2.
2. VRSTE FIREWALL-OVA

2.1. PROGRAMSKI (ENG. SOFTWARE) FIREWALL

Za većinu kućnih korisnika najpopularniji izbor je programski firewall. Programski firewall je
instaliran na korisnički računar (kao i svaki drugi program) i može se podešavati; dozvoljavajući
korisniku upravljanje nekim funkcijama i budućoj zaštiti. Korisnički računar će biti zaštićen od
vanjskih pokušaja za upravljanje računara ili od pristupa korisničkom računaru. Brzina mrežnog
prometa će biti smanjena, jer se vrše različite provjere paketa, zbog toga je bitno da se koristi PC
koji je pogodn za brzo filtriranje paketa.
Zaštita računara zavisi i o korisničkom izboru programskog firewall-a od kojih neki mogu
omogućiti zaštitu od sve uobičajenih Trojanskih programa ili e-mail crva (eng. worms). Većina
od njih ima prilagođeno korisnički objašnjeno upravljanje samim postavkama firewall-a, te kako
onemogućiti sumnjive ili nepouzdane aplikacije od njihovog pokretanja na korisničkom sistemu.
Dobar programski firewall će se „vrtiti“ u pozadini i koristiti manju količinu sistemskih
sredstava.

Slika 2. Comodo (Software) Firewall

2.1.1. Prednosti i nedostaci programskog firewall-a

Prednosti programskog firewall-a su generalno gledajući njihova ne toliko skupa cijena (mada
se mogu naći zadovoljavajući besplatni), te lahkoća podešavanja.
Nažalost više se može naći nedostataka za programski firewall kao što su:

 potrebna sredstva (CPU, memorija, diskovni prostor)
 može dovesti do ne usklađenosti sa operativnim sistemom
 omogućava zaštitu samo za korisnički računar na kojem je instaliran
 potrebno ga je instalirati na svaki računar
 nadogradnja je ključna u održavanju ispravnosti firewall-a.

2.2. SKLOPOVSKI (ENG. HARDWARE) FIREWALL

Sklopovski firewall se može kupiti kao samostalan proizvod, ali najčešće se mogu naći u
širokopojasnim ruterima (eng. broadband routers) i smatra se važnim dijelom sistema zaštite
mreže posebno za one koji koriste širokopojasnu internet konekciju. Većina sklopovskih firewall-
a ima najmanje 4 mrežna priključka za povezivanje s drugima računarima. Koriste filtriranje
paketa (eng. packet filtering) kako bi pregledali zaglavlje paketa u cilju utvrđivanja njegovog
izvora i odredišta.

Slika 3. Cisco hardware firewall

Cisco Systems PIX ( Private Internet E xchange) Firewall zadovoljava većinu sigurnosnih
potreba kompanija, bez ograničenja u performansama prisutnih kod proxy servera.
Cisco's PIX Firewall nudi sigurnu i jaku zaštitu, oslobodjenu prekomjernog administriranja i
rizika koji se javljaju kod ostalih firewall sistema. Administrator dobija kompletne izvještaje o
obavljenim logovanjima, kao i pokušaje upada na unutrašnju (zaštićenu) mrežu. Cisco PIX
donosi veliku prednost u performansama, uvodeci na čin rada – cut through proxy. Kod ovog na
čina rada, Cisco isto kao i Unix, ostvaruje konekciju na 7. OSI nivou, omogućavajući
autentifikaciju i autorizaciju, ali za razliku od Unix-a, odmah nakon procesa AA na nekom od
zato predviđenih servera (TACACS+, RADIUS) PIX “spušta” sesiju na niži nivo, čime se
ostvaruje brz i direktan saobraćaj, uz održavanje stanja sesije. Cisco's PIX Firewall podržava
preko 16000 istovremenih TCP sesija.
Cut Through omogu ćava PIX firewall-u mnogo brži rad u odnosu na proxy servere. Cisco PIX
takodje omogućava veliku sigurnost kroz upotrebu ASA algoritma (Adaptive Security
Algorithm) i kroz upotrebu “stateful” informacija. (SA, DA, Ports, random TCP Sequence
number, additional TCP flag, Hashed). Sve konekcije se loguju, kao i autorizovani i
neautorizovani pokusaji, koristeci Syslog ili SNMP.
Cisco PIX predstavlja idealno rješenje za kompanije koje brinu o potrebi administriranja. Može
se konfigurisati za svega nekoliko minuta, sto skraćuje downtime, izuzetno važnu stavku u
planiranju sigurnosti mreže, te nije baziran na Unix-u, tako da nije potrebno svakodnevno
administriranje. Izvršava se u Flash memoriji, i samim tim nema hard disk i može se
konfigurisati u Failover modu, kada dva PIX-a rade paralelno, i u slučaju otkaza jednog, drugi u
potpunosti preuzima funkcionisanje.

2.2.1. Prednosti i nedostaci sklopovskog (eng. hardware) firewall-a

Prednosti sklopovskog firewall-a:
 nastoje pružiti bolju zaštitu od programskog firewall-a
 može zaštititi više računara
 ne utječu na svojstva računara, jer nisu pokrenuti (instalirani) na računaru
 neovisni su od operacijskog sistema i aplikacija

Nedostaci ovakvog firewall-a su:
 skupi su, ali ako štitimo više računara može nas izaći jeftinije kupiti jedan sklopovski
firewall nego za svaki računar kupiti po jedan programski firewall
 mogu biti zahtjevni za podešavanje, jer nisu pokrenuti na računaru

3. NAČIN RADA FIREWALL-A

Nekoliko je vrsta načina rada firewall-a:
 Packet filtering (bos. filtriranje paketa)
 Application gateways/proxies
 Stateful inspection(bos. dinamično filtriranje paketa)
 Circuit-level gateway
Svaki od njih koristi informacije različitih slojeva Otvorenog modela Međupovezanosti Sustava
(eng. Open Systems Interconnection model, OSI). Ove metode se temelje na tome kako firewall-i
koriste oboje i pre-konfigurirana pravila i filtere, te informacije prikupljene iz paketa kako bi se
utvrdilo da li dopustiti ili odbiti promet.

Application ApplicationGateways Stateful
Gateways Inspection
Presentation

Session

Transport Packet Filters

Network

Data Link

Phisycal

Slika 4. Open Systems Interconnection (OSI) model

3.1. Filtriranje paketa (eng. packet filtering)

Filtriranje paketa je najjednostavniji način provjeravanja paketa. Rade račno ono što im samo
ime kaže – filtriraju pakete. Najčešća primjena je na ruterima ili dual-homed gateway ( hrv.
„među-sustavski“). Proces paketnog filtriranja je izvršen na sljedeći način:
Kako svaki paket prolazi kroz firewall, provjerava se, te informacije sadržane u zaglavlju se
uspoređuju sa već postavljenim skupom pravila ili filtera. Odluka o odbijanju ili dopuštanju
paketa je zasnovana na rezultatima usporedbe.

3.2. Application Gateways/Proxies

Application gateway/proxy se smatra jednim od najsloženijih načina provjeravanja paketa. Ova
vrsta firewall-a se obično provodi na sigurnom sistemu domaćina (eng. Secure host system)
konfigurisan s dva mrežna sučelja. Application gateway/proxy djeluje kao posrednik između
dvije krajnje tačke.

Slika 5. Proxy Service

Appliction gateway/proxy radi na sljedeći način:

 Kad klijent izda zahtjev od nepouzdane mreže, veza je uspostavljena sa application
gateway/proxy. Proxy određuje da li je zahtjev valjan (uspoređujući ga s bilo pravilima ili
filterima), a zatim šalje novi zahtjev u ime klijenta na odredište. Koristeći ovu metodu,
izravna veza nikad nije ostvarena od pouzdane (eng. trusted) do nepouzdane (eng.
untrusted) mreže te zahtjevi čini se potječu od application gateway/proxy.
 Zahtjev je odgovoren na isti način. Odgovor je poslan natrag do application
gateway/proxy koji određuje je li to ispravno i šalje ga do klijenta. Prekidom
klijent/server modela, ova vrsta firewall-a može učinkovito sakriti pouzdanu od
nepouzdane mreže. Application gateway/proxy zapravo gradi novi zahtjev, samo
kopiranjem poznatih prihvatljivih naredbi prije slanja na odredište.
 Smatra se vrlo sigurnim načinom firewall zaštite, application gateway zahtjeva veću
količinu memorije i procesorska sredstva u odnosu na druge firewall tehnologije.

3.3. Dinamično filtriranje paketa (eng. Stateful packet inspection)

Stateful packet inspection omogućuje detaljniju provjeru paketa. Moguće je utvrditi da li su
paketi dijelovi neke uspostavljene veze il ne. Ono prepoznaje i sve uspostavljene veze između
pojedinih mrežnih okruženja, te na temelju njihovih stanja vrši provjere.
Stateful inspection firewall zbog toga mora održavati tabele stanja u kojima su određenim
vezama pridružena određena stanja. Zbog toga se odluke o filtriranju donose na temelju ne samo
administratorski opisanim pravilima (tzv.statično filtriranje), već i na temelju sadržaja prethodno
proslijeđenih paketa (tzv. dinamično filtriranje). Firewall sa podržanim stateful inspection
zabranjuje promet ikakvih paketa sa nezaštićene mreže osim onih koji pristupaju otvorenim
prolazima (eng. ports). Za razliku od statičnog filtriranja, prolazi iznad 1024 su zatvoreni, a
otvaraju se samo kada je riječ o uspostavljenoj vezi koju je uspostavilo računalo sa zaštićene
mreže. Moguće je dozvoliti i pristup prolazima (portovima) iznad 1024, ali time nestaju dobra
svojstva dinamičnog filtriranja.
Primjer za rad dinamičnog filtriranja: ukoliko se korisnik iz zaštićene mreže odluči povezati na
vanjsku nezaštićenu mrežu, firewall će mu to dozvoliti. Svi paketi koje korisnik sa svog računara
šalje na mrežu dio su uspostavljene (eng. established) veze. Svi paketi koje korisnik prima na
svoj računar sa nezaštićene mreže također su dio uspostavljene veze i firewall ih propušta na
određeni prolaz (eng. port). Ukoliko neki računar iz nezaštićene mreže pokuša poslati paket
računaru na zaštićenoj mreži, taj paket bitiće dio nove (eng. new) veze i firewall neće dozvoliti
prosljeđivanje.

3.4. Circuit-level Gateway

Za razliku od paketnog filtriranja (eng. packet filtering), circuit-level gateway ne provjerava
pojedinačne pakete. Umjesto toga prati TCP ili UDP sessions (hrv. sjednice, sesije). Kada je
sesija uspostavljena, ostavlja prolaz otvorenim i dopušta prolaz za sve pakete koji pripadaju toj
sesiji. Prolaz je zatvoren kada sesija završi. U mnogo čemu ovaj način provjeravanja paketa
podsjeća na application gateways/proxies, ali circuit-level gateway djeluje na transportni sloj tj.
4. sloj (eng. transport layer, layer 4) OSI modela.

3.5. Prednosti i nedostaci

Packet filtering Application gateway/proxy Circuit-level gateway
Najjednostavniji i nesigurniji Dosta sigurniji način Sigurniji od paketnog
firewall filtriranja ali ne i od
application gateway/proxy
Mnogi ruteri pružaju ovu Jedinstven program za svaku Prenosi TCP konekciju
mogućnost zaštite aplikaciju
Propušta ili odbija pakete Dobar za provjeru Dopuštenje od strane adrese
zasnovano na pravilima autentičnosti prijavljivanja prolaza(port address)
Lako napraviti pogrešku Koristi se za e-mail, FTP, Može razumijeti što je u
Telnet, WWW paketu

Slika 6. Tabela pojedinosti

4. ZAKLJUČAK

Zbog stalne prisutnosti na Internetu, najvše su izloženi korisnici ADSL-a, Cable Interneta i
stalnih veza, ali ni ostali korisnici Interneta nisu van opasnosti. Svjedoci smo sve veće Internet
opasnosti od virusa i krađe privatnih podataka. Firewall zaštita je neizostavna u takvim
sistemima. Kada se koristi ispravno firewall sprečava neovlašteno korištenje i pristup korisničkoj
mreži. Glavna zadaća mu je pažljivo analizirati ulazne i izlazne podatke mreže temeljeno na
korisničkim postavkama. Zapravo odigrava važnu ulogu bilo koje mreže postavljajući zaštitne
barijere protiv vanjskih napada.
No, ipak nema proizvoda koji objedinjuje činjenice kao što su: jednostavnost, fleksibilnost,
brzina i mogućnosti, pa tako ni idealnog firewall-a koji bi zaštitio korisnika od svakog mogućeg
napada. Firewall-i postoje kao programski i sklopovski. Najbolja moguća firewall zaštita je ona
koja sadrži oboje, i softverski i hardverski firewall. Za kućne korisnike hardverski firewall nije
potreban uz već instaliran softverski firewall, ali za preduzeća koje žele zaštititi više računara u
mreži, hardverski firewall je strogo preporučljiv.
Dakako, postoje i firewall-i koji dolaze u sklopu sa antivirusnim programima. Primjeri
antivirusnih programa sa firewall-om: ESET Smart Security, Comodo Internet Security, AVG
Anti-Virus plus Firewal, Avast Internet Security, Norton Internet Security,...
LITERATURA

https://www.scribd.com/doc/24138846/Firewall - Datum pristupa: 23.1.2017. godina

https://www.scribd.com/doc/166669839/Firewall - Datum pristupa: 22.1.2017. godina

http://www.iskon.hr/Pomoc-i-podrska/Zastita-na-internetu/(term)/Firewall/(show)/617 - Datum
pristupa: 23.1.2017. godina

http://www.webopedia.com/TERM/F/firewall.html - Datum pristupa: 23.1.2017. godina

http://www.webopedia.com/DidYouKnow/Hardware_Software/firewall_types.asp - Datum
pristupa: 23.1.2017. godina

http://en.wikipedia.org/wiki/Firewall_(computing) - Datum pristupa: 23.1.2017. godina

http://hr.wikipedia.org/wiki/Sigurnosna_stijena - Datum pristupa: 22.1.2017. godina

http://www.warezhr.org/forum/index.php - Datum pristupa: 23.1.2017. godina