Srednja strukovna kola Jajce

Berte Kuere 3, Jajce

DIJAGNOSTIKA I ODRAVANJE UREAJA

Firewall

Mentor: Alem Osmi dipl. ing. el.

Uenik: Josip Jelica IV.E2

Sadraj:
1. Uvod............................................................................................................................................3
2. to je to Firewall?......................................................................................................................4
3. Programski (eng. software) firewall.........................................................................................5
3.1. Prednosti i nedostaci programskog firewall-a..................................................................5
4. Sklopovski (eng. hardware) firewall........................................................................................6
4.1. Prednosti i nedostaci sklopovskog (eng. hardware) firewall-a.......................................6
5. Nain rada firewall-a.................................................................................................................7
5.1. Filtriranje paketa (eng. packet filtering)..........................................................................7
5.2. Application Gateways/Proxies...........................................................................................8
5.3. Dinamino filtriranje paketa (eng. Stateful packet inspection).....................................8
5.4. Circuit-level Gateway.........................................................................................................9
5.5. Prednosti i nedostaci...........................................................................................................9
6. Zakljuak..................................................................................................................................10
7. Literatura.................................................................................................................................11

1. Uvod
Prava revolucija u upotrebi PC raunala poela je onda kada je PC dobio mogunost
umreavanja. Danas mrena sigurnost zahtijeva detaljno razumijevanje mree i saznanja o
ranjivosti mree. Povezivanje na internet je kao otvaranje vrata svoje kue, bilo tko moe ui i
bilo
tko
moe
izai.
Naalost ta otvorena vrata u dananje vrijeme (gdje je izlazak "vani" ulazak u ratnu zonu, gdje
neki korisnici otimaju drugima nadzor nad raunalima iz njima znanih razloga) nije dobra ideja
jer sami Windows-i bez firewall-a postaju rtva u 15 minuta ili sat vremena. Napade na mree
izvode mnogi pa ak i raunalni poetnici ili pak oni koji samo ele vidjeti ta se sve moe
uiniti. Jedan od naina zatite raunalnih mrea su firewall sustavi. Kako firewall postaje toka
guenja u mrei, ona odluuje emu se vjeruje, a emu ne. Nepovjerljivi dijelovi mree su svi, od
vanjske mree (Interneta), pa ak i do pojedinih dijelova u organizaciji. Razvojem tehnologije,
poveava se i broj mogunosti koje firewall prua korisniku. Najpoznatiji firewall veini
korisnika jest Windows Firewall, koji je integriran u Windows operacijske sustave od Windows
XP inaice. Windows Firewall je koristan u kontroli dolaznog prometa (dolaznih napada), dok se
ne moe rei isto i za kontrolu odlaznog prometa. Ostali poznati firewall-i su Comodo Firewall,
ZoneAlarm, Black Ice Defender, Norton Personal Firewall i td..
Za razumijevanje rada firewall-a potrebno je poznavati tri struna pojma, a to su IP adrese i
TCP i UDP portovi.
IP adresa: Sve to je povezano na Internet ima barem jednu jedinstvenu IP adresu. Svaki paket
koji putuje Internetom u sebi sadri svoju izvorinu i svoju odredinu IP adresu.
TCP i UDP portovi: Korisnik putem razliitih programa (ftp, mail, http) koristi razne sadraje
na Internetu koji se prenose u obliku TCP ili UDP paketa. Da bi se razlikovali paketi razliitih
programa, svaki program ima svoj port (hrv. vrata, prolaz, kanal) po kojem alje i prima pakete;
npr. FTP koristi portove 20 i 21, HTTP port 80, itd. to je manje portova ostavljeno otvoreno i
to je manje adresa kojima smo dozvolili pristup, to je mogunost zlonamjernog pristupa
raunalu manja.

2. to je to Firewall?
Firewall (hrv. Vatrozid, Sigurnosna stijena) je mreni ureaj ili program ija je namjena
filtriranje mrenog prometa tako da se stvori sigurnosna zona. To je sustav ili skupina sustava
koji se koriste u cilju upravljanja pristupa izmeu dvije mree pouzdane i nepouzdane mree
(Internet). Firewall se smatra prvom linijom odbrane kako bi zatitio povjerljive, privatne,
korisnike podatke od neovlatenih korisnika blokiranjem i zabranom prometa po pravilima koja
uspostavlja usvojena sigurnosna politika.

Sl.1. Firewall

Firewall moe biti programski (eng. software) ili sklopovski (eng. hardware), sa irokom
dostupnou interneta 24/7 postali su popularni osobni firewall-i koji tite jedno raunalo od
upada zlonamjernih osoba, dok je posebno raunalo koje radi samo kao firewall uglavnom
rjeenje koje se primjenjuje kad se titi vie od jednog raunala.
Osnova rada firewall-a je u ispitivanju IP paketa koji putuju izmeu klijenta i servera. Stav sve
to nije dozvoljeno je zabranjeno zahtijeva da se svaki novi servis individualno omoguava.
Odgovoran je za vie vanih stvari unutar informacijskog sustava:
Mora implementirati politiku sigurnosti. Ako odreeno svojstvo nije dozvoljeno, firewall
mora onemoguiti rad u tom smislu.
Firewall treba biljeiti sumnjive dogaaje.
Firewall treba upozoriti administratora na pokuaje proboja.
U nekim sluajevima firewall moe omoguiti statistiku koritenja

3. Programski (eng. software) firewall

Za veinu kunih korisnika najpopularniji izbor je programski firewall. Programski firewall je
instaliran na korisniko raunalo (kao i svaki drugi program) i moe se podeavati;
dozvoljavajui korisniku upravljanje nekim funkcijama i buduoj zatiti. Korisniko raunalo e
biti zatieno od vanjskih pokuaja za upravljanje raunala ili od pristupa korisnikom raunalu.
Zatita raunala ovisi i o korisnikom izboru programskog firewall-a od kojih neki mogu
omoguiti zatitu od sve uobiajenih Trojanskih programa ili e-mail crva (eng. worms). Veina
od njih ima prilagoeno korisniki objanjeno upravljanje samim postavkama firewall-a, te kako
onemoguiti sumnjive ili nepouzdane aplikacije od njihovog pokretanja na korisnikom sustavu.
Dobar programski firewall e se vrtiti u pozadini i koristiti manju koliinu sustavskih
sredstava.

Sl.2. Comodo Firewall(Software Firewall)

3.1. Prednosti i nedostaci programskog firewall-a

Prednosti programskog firewall-a su generalno gledajui njihova ne toliko skupa cijena (mada se
mogu nai zadovoljavajui besplatni) te lakoa podeavanja.
Naalost vie se moe nai nedostataka za programski firewall kao to su:

potrebna sredstva (CPU, memorija, diskovni prostor)

moe dovesti do ne usklaenosti sa operacijskim sustavom
omoguava zatitu samo za korisniko raunalo na kojem je instaliran
potrebno ga je instalirati na svako raunalo
nadogradnja je kljuna u odravanju ispravnosti firewall-a

4. Sklopovski (eng. hardware) firewall

Sklopovski firewall se moe kupiti kao samostalan proizvod, ali najee se mogu nai u
irokopojasnim ruterima (eng. broadband routers) i smatra se vanim dijelom sustava zatite
mree posebno za one koji koriste irokopojasnu internet konekciju. Veina sklopovskih firewalla ima najmanje 4 mrena prikljuka za povezivanje s drugima raunalima. Koriste filtriranje
paketa (eng. packet filtering) kako bi pregledali zaglavlje paketa u cilju utvrivanja njegovog
izvora i odredita.

Sl.3. Cisco hardware firewall

4.1. Prednosti i nedostaci sklopovskog (eng. hardware) firewall-a

Prednosti sklopovskog firewall-a:

nastoje pruiti bolju zatitu od programskog firewall-a

moe zatititi vie raunala
ne utjeu na svojstva raunala, jer nisu pokrenuti (instalirani) na raunalu
neovisni su od operacijskog sustava i aplikacija

Nedostaci ovakvog firewall-a su:

skupi su, ali ako titimo vie raunala moe nas izai jeftinije kupiti jedan sklopovski
firewall nego za svako raunalo kupiti po jedan programski firewall
mogu biti zahtjevni za podeavanje, jer nisu pokrenuti na raunalu

5. Nain rada firewall-a

Nekoliko je vrsta naina rada firewall-a:

Packet filtering (hrv. filtriranje paketa)

Application gateways/proxies
Stateful inspection (hrv. dinamino filtriranje paketa)
Circuit-level gateway

Svaki od njih koristi informacije razliitih slojeva Otvorenog modela Meupovezanosti Sustava
(eng. Open Systems Interconnection model, OSI). Ove metode se temelje na tome kako firewall-i
koriste oboje i pre-konfigurirana pravila i filtere, te informacije prikupljene iz paketa kako bi se
utvrdilo da li dopustiti ili odbiti promet.

Application

ApplicationGateways

Stateful
Inspection

Presentation
Session
Transport

Packet Filters

Network
Data Link
Phisycal
Sl.4. Open Systems Interconnection (OSI) model

5.1. Filtriranje paketa (eng. packet filtering)

Filtriranje paketa je najjednostavniji nain provjeravanja paketa. Rade tono ono to im samo
ime kae filtriraju pakete. Najea primjena je na ruterima ili dual-homed gateway ( hrv.
meu-sustavski). Proces paketnog filtriranja je izvren na sljedei nain:
Kako svaki paket prolazi kroz firewall, provjerava se, te informacije sadrane u zaglavlju se
usporeuju sa ve postavljenim skupom pravila ili filtera. Odluka o odbijanju ili doputanju
paketa je zasnovana na rezultatima usporedbe.

5.2. Application Gateways/Proxies

Application gateway/proxy se smatra jednim od najsloenijih naina provjeravanja paketa. Ova
vrsta firewall-a se obino provodi na sigurnom sustavu domaina (eng. Secure host system)
konfiguriran s dva mrena suelja. Application gateway/proxy djeluje kao posrednik izmeu
dvije krajnje toke.

Sl.5. Proxy Service

Appliction gateway/proxy radi na sljedei nain:

Kad klijent izda zahtjev od nepouzdane mree, veza je uspostavljena sa application

gateway/proxy. Proxy odreuje da li je zahtjev valjan (usporeujui ga s bilo pravilima ili
filterima), a zatim alje novi zahtjev u ime klijenta na odredite. Koristei ovu metodu,
izravna veza nikad nije ostvarena od pouzdane (eng. trusted) do nepouzdane (eng.
untrusted) mree te zahtjevi ini se potjeu od application gateway/proxy.
Zahtjev je odgovoren na isti nain. Odgovor je poslan natrag do application
gateway/proxy koji odreuje je li to ispravno i alje ga do klijenta. Prekidom
klijent/server modela, ova vrsta firewall-a moe uinkovito sakriti pouzdanu od
nepouzdane mree. Application gateway/proxy zapravo gradi novi zahtjev, samo
kopiranjem poznatih prihvatljivih naredbi prije slanja na odredite.
Smatra se vrlo sigurnim nainom firewall zatite, application gateway zahtjeva veu
koliinu memorije i procesorska sredstva u odnosu na druge firewall tehnologije.

5.3. Dinamino filtriranje paketa (eng. Stateful packet inspection)

Stateful packet inspection omoguuje detaljniju provjeru paketa. Mogue je utvrditi da li su
paketi dijelovi neke uspostavljene veze il ne. Ono prepoznaje i sve uspostavljene veze izmeu
pojedinih mrenih okruenja, te na temelju njihovih stanja vri provjere. Stateful inspection
firewall zbog toga mora odravati tabele stanja u kojima su odreenim vezama pridruena
odreena stanja. Zbog toga se odluke o filtriranju donose na temelju ne samo administratorski
opisanim pravilima (tzv. statino filtriranje), ve i na temelju sadraja prethodno proslijeenih
paketa (tzv. dinamino filtriranje). Firewall sa podranim stateful inspection zabranjuje promet
ikakvih paketa sa nezatiene mree osim onih koji pristupaju otvorenim prolazima (eng. ports).
Za razliku od statinog filtriranja, prolazi iznad 1024 su zatvoreni, a otvaraju se samo kada je
rije o uspostavljenoj vezi koju je uspostavilo raunalo sa zatiene mree. Mogue je dozvoliti i
pristup prolazima (portovima) iznad 1024, ali time nestaju dobra svojstva dinaminog filtriranja.
8

Primjer za rad dinaminog filtriranja: ukoliko se korisnik iz zatiene mree odlui povezati na
vanjsku nezatienu mreu, firewall e mu to dozvoliti. Svi paketi koje korisnik sa svog raunala
alje na mreu dio su uspostavljene (eng. established) veze. Svi paketi koje korisnik prima na
svoje raunalo sa nezatiene mree takoer su dio uspostavljene veze i firewall ih proputa na
odreeni prolaz (eng. port). Ukoliko neko raunalo iz nezatiene mree pokua poslati paket
raunalu na zatienoj mrei, taj paket biti e dio nove (eng. new) veze i firewall nee dozvoliti
prosljeivanje.

5.4. Circuit-level Gateway

Za razliku od paketnog filtriranja (eng. packet filtering), circuit-level gateway ne provjerava
pojedinane pakete. Umjesto toga prati TCP ili UDP sessions (hrv. sjednice, sesije). Kada je
sesija uspostavljena, ostavlja prolaz otvorenim i doputa prolaz za sve pakete koji pripadaju toj
sesiji. Prolaz je zatvoren kada sesija zavri. U mnogo emu ovaj nain provjeravanja paketa
podsjea na application gateways/proxies, ali circuit-level gateway djeluje na transportni sloj tj.
4. sloj (eng. transport layer, layer 4) OSI modela.

5.5. Prednosti i nedostaci

Packet filtering

Application gateway/proxy

Circuit-level gateway

Najjednostavniji i nesigurniji
firewall

Dosta sigurniji nain

Sigurniji od paketnog
filtriranja ali ne i od
application gateway/proxy

Mnogi ruteri pruaju ovu

mogunost zatite

Jedinstven program za svaku

aplikaciju

Prenosi TCP konekciju

Proputa ili odbija pakete

zasnovano na pravilima

Dobar za provjeru
autentinosti prijavljivanja

Doputenje od strane adrese

prolaza(port address)

Lako napraviti pogreku

Koristi se za e-mail, FTP,

Telnet, WWW

Moe razumijeti to je u
paketu

Sl.6. Tabela pojedinosti

6. Zakljuak
Zbog stalne prisutnosti na Internetu, najve su izloeni korisnici ADSL-a, Cable Interneta i
stalnih veza, ali ni ostali korisnici Interneta nisu van opasnosti. Svjedoci smo sve vee Internet
opasnosti od virusa i krae privatnih podataka. Firewall zatita je neizostavna u takvim
sustavima. Kada se koristi ispravno firewall sprjeava neovlateno koritenje i pristup
korisnikoj mrei. Glavna zadaa mu je paljivo analizirati ulazne i izlazne podatke mree
temeljeno na korisnikim postavkama. Zapravo odigrava vanu ulogu bilo koje mree
postavljajui zatitne barijere protiv vanjskih napada. No, ipak nema proizvoda koji objedinjuje
injenice kao to su: jednostavnost, fleksibilnost, brzina i mogunosti, pa tako ni idealnog
firewall-a koji bi zatitio korisnika od svakog mogueg napada. Firewall-i postoje kao
programski i sklopovski. Najbolja mogua firewall zatita je ona koja sadri oboje, i programski
i sklopovski firewall. Za kune korisnike sklopovski firewall nije potreban uz ve instaliran
programski firewall, ali za tvrtke koje ele zatititi vie raunala u mrei sklopovski firewall je
strogo preporuljiv. Dakako, postoje i firewall-i koji dolaze u sklopu sa antivirusnim
programima. Primjeri antivirusnih programa sa firewall-om: ESET Smart Security, Comodo
Internet Security, AVG Anti-Virus plus Firewal, Avast Internet Security, Norton Internet
Security,...

10

7. Literatura
1. https://www.scribd.com/doc/24138846/Firewall
2. https://www.scribd.com/doc/166669839/Firewall
3. http://www.iskon.hr/Pomoc-i-podrska/Zastita-na-internetu/(term)/Firewall/(show)/617
4. http://www.webopedia.com/TERM/F/firewall.html
5. http://www.webopedia.com/DidYouKnow/Hardware_Software/firewall_types.asp
6. http://en.wikipedia.org/wiki/Firewall_(computing)
7. http://hr.wikipedia.org/wiki/Sigurnosna_stijena
8. http://www.warezhr.org/forum/index.php

11