UNIVERZITET DEMAL BIJEDI MOSTAR

EKONOMSKI FAKULTET

SEMINARSKI RAD

Tema:

Firewall

Student:
Eldin Muki, EB150086

Predmet: Ekonomski informacioni sistemi

Nastavnik: prof. dr. Muharem Kozi
Studij: Akademski

Mostar, januar, 2017.

Contents
UVOD..............................................................................................................................................3
1. TA JE FIREWALL?...................................................................................................................4
2. VRSTE FIREWALL-OVA..........................................................................................................6
2.1. PROGRAMSKI (ENG. SOFTWARE) FIREWALL............................................................6
2.1.1. Prednosti i nedostaci programskog firewall-a...............................................................6
2.2. SKLOPOVSKI (ENG. HARDWARE) FIREWALL............................................................7
2.2.1. Prednosti i nedostaci sklopovskog (eng. hardware) firewall-a......................................8
3. NAIN RADA FIREWALL-A...................................................................................................9
3.1. Filtriranje paketa (eng. packet filtering)...............................................................................9
3.2. Application Gateways/Proxies............................................................................................10
3.3. Dinamino filtriranje paketa (eng. Stateful packet inspection)..........................................10
3.4. Circuit-level Gateway.........................................................................................................11
3.5. Prednosti i nedostaci...........................................................................................................11
4. ZAKLJUAK............................................................................................................................12
LITERATURA...............................................................................................................................13
Firewall

3
 UVOD

Prava revolucija u upotrebi PC raunara poela je onda kada je PC dobio mogunost

umreavanja. Danas mrena sigurnost zahtijeva detaljno razumijevanje mree i saznanja o
ranjivosti mree. Povezivanje na internet je kao otvaranje vrata svoje kue, bilo tko moe ui i
bilo tko moe izai.
Naalost, ta otvorena vrata u dananje vrijeme (gdje je izlazak "vani" ulazak u ratnu zonu, gdje
neki korisnici otimaju drugima nadzor nad raunarima iz njima znanih razloga) nije dobra ideja
jer sami Windows-i bez Firewall-a postaju rtva u 15 minuta ili sat vremena. Napade na mree
izvode mnogi pa ak i raunarski poetnici ili pak oni koji samo ele vidjeti ta se sve moe
uiniti. Jedan od naina zatite raunalnih mrea su firewall sistemi. Kako Firewall postaje taka
guenja u mrei, ona odluuje emu se vjeruje, a emu ne. Nepovjerljivi dijelovi mree su svi, od
vanjske mree (Interneta), pa ak i do pojedinih dijelova u organizaciji.
Razvojem tehnologije, poveava se i broj mogunosti koje Firewall prua korisniku. Najpoznatiji
Firewall veini korisnika jest Windows Firewall, koji je integrisan u Windows operacijske
sisteme od Windows XP inaice. Windows Firewall je koristan u kontroli dolaznog prometa
(dolaznih napada), dok se ne moe rei isto i za kontrolu odlaznog prometa. Ostali poznati
firewall-i su Comodo Firewall, ZoneAlarm, Black Ice Defender, Norton Personal Firewall i td..
Danas, svako preduzee koje eli uspjeno poslovati, mora biti u skladu sa savremenim nainima
zatite podataka, u cilju obezbjeivanja krucijalnih informacija od neeljenih korisnika. U
ovom radu, bie prezentiran sam pojam, vrste, nain rada, prednosti i nedostaci Firewall-a, kao
osnovnog elemneta zatite raunara i sistema.
 1. TA JE FIREWALL?

Firewall (bos. vatreni zid, Sigurnosna stijena) je mreni ureaj ili program ija je namjena
filtriranje mrenog prometa tako da se stvori sigurnosna zona. To je sistem ili skupina sistema
koji se koriste u cilju upravljanja pristupa izmeu dvije mree pouzdane i nepouzdane mree
(Internet). Firewall se smatra prvom linijom odbrane kako bi zatitio povjerljive, privatne,
korisnike podatke od neovlatenih korisnika blokiranjem i zabranom prometa po pravilima koja
uspostavlja usvojena sigurnosna politika. Sam pojam dolazi iz automobliske industrije, gdje
pojam firewall-a oznaava debelu elinu stijenku, koja odvaja putniku kabinu od motora, i
tako spreava da se vatra (toplina) iri od motora prema kabini.

Slika 1. Firewall

Za razumijevanje rada firewall-a potrebno je poznavati tri struna pojma, a to su IP adrese i TCP
i UDP portovi.
Sve to je povezano na Internet ima barem jednu jedinstvenu IP adresu. Svaki paket koji putuje
Internetom u sebi sadri svoju izvornu i svoju odredinu IP adresu.
Korisnik putem razliitih programa (ftp, mail, http) koristi razne sadraje na Internetu koji se
prenose u obliku TCP ili UDP paketa. Da bi se razlikovali paketi razliitih programa, svaki
program ima svoj port (hrv. vrata, prolaz, kanal) po kojem alje i prima pakete; npr. FTP koristi
portove 20 i 21, HTTP port 80, itd. to je manje portova ostavljeno otvoreno i to je manje
adresa kojima smo dozvolili pristup, to je mogunost zlonamjernog pristupa raunaru manja.
Nije nuno da svi korisnici u LAN-u imaju jednaka prava pristupa Internet mrei. Postavljanjem
Firewall ureaja izmeu dva ili vie mrenih segmenata moe se kontrolisati i prava pristupa
pojedinih korisnika pojedinim djelovima mree. U takvom sluaju Firewall je dizajniran da
doputa pristup valjanim zahtjevima, a blokira sve ostale. Firewall ujedno predstavlja idealno
rjeenje za kreiranje Virtualne Privatne mree, jer stvarajui virtualni tunel kroz koji putuju
kriptirani podaci (omoguuje sigurnu razmjenu osjetljivih podataka meu dislociranim
korisnici). Firewall je servis (koji se tipino sastoji od firewall ureaja i Policy-a ( pravilnika o
zatiti), koji omoguuje korisniku filtriranje odreenih tipova mrenog prometa sa ciljem da
povea sigurnost i prui odreeni nivo zatite od provale.
Veina firewall-ova pita za dozvolu koji program e da pusti da izae, pod kojim uslovima, koji
protokol program koristi i na kojim portovima komunicira. Naravno isto se odnosi i na suprotan
smijer, na ulaznu komunikaciju. Ima i onih koji nita ne pitaju, koji su u tenji za dostizanjem
savrenstva po nekim kriterijumima, oni su toliko automatizovani da stiu praktino unapred
podeeni a vae je samo da ih instalirate.
Dobar program ove vrste e ispravno registrovati svaku konekciju prije nego to bude
uspostavljena, blokirati je ili preciznije ostaviti na ekanju, i tek ako korisnik dozvoli njeno
ostvarivanje ona e biti uspostavljena. Ovo u stvari znai da ako skidate neku zakrpu za program
moete da onemoguite sve ostale konekcije osim one preko koje se razmena, odnosno primanje
podataka obavlja. Nekada i ovo nije dovoljno i treba rei da savrena zatita ne postoji.
Dobra osobina neki firewall-ova je da imaju mogunost da se trenutno blokira sav saobraaj
izmeu raunara i interneta ili da se dozvoli samo nekim programima da nastave normalno da
rade.

Firewall moe biti programski (eng. software) ili sklopovski (eng. hardware). Sa irokom
dostupnou interneta 24/7 postali su popularni osobni Firewall-i koji tite jedno raunar od
upada zlonamjernih osoba, dok je posebni raunar koji radi samo kao firewall uglavnom rjeenje
koje se primjenjuje kad se titi vie od jednog raunara.
Osnova rada firewall-a je u ispitivanju IP paketa koji putuju izmeu klijenta i servera. Stav sve
to nije dozvoljeno je zabranjeno zahtijeva da se svaki novi servis individualno omoguava.
Odgovoran je za vie vanih stvari unutar informacijskog sistema:
Mora implementirati politiku sigurnosti. Ako odreeno svojstvo nije dozvoljeno, firewall
mora onemoguiti rad u tom smislu.
Firewall treba biljeiti sumnjive dogaaje.
Firewall treba upozoriti administratora na pokuaje proboja.
U nekim sluajevima firewall moe omoguiti statistiku koritenja

2.
 2. VRSTE FIREWALL-OVA

2.1. PROGRAMSKI (ENG. SOFTWARE) FIREWALL

Za veinu kunih korisnika najpopularniji izbor je programski firewall. Programski firewall je

instaliran na korisniki raunar (kao i svaki drugi program) i moe se podeavati; dozvoljavajui
korisniku upravljanje nekim funkcijama i buduoj zatiti. Korisniki raunar e biti zatien od
vanjskih pokuaja za upravljanje raunara ili od pristupa korisnikom raunaru. Brzina mrenog
prometa e biti smanjena, jer se vre razliite provjere paketa, zbog toga je bitno da se koristi PC
koji je pogodn za brzo filtriranje paketa.
Zatita raunara zavisi i o korisnikom izboru programskog firewall-a od kojih neki mogu
omoguiti zatitu od sve uobiajenih Trojanskih programa ili e-mail crva (eng. worms). Veina
od njih ima prilagoeno korisniki objanjeno upravljanje samim postavkama firewall-a, te kako
onemoguiti sumnjive ili nepouzdane aplikacije od njihovog pokretanja na korisnikom sistemu.
Dobar programski firewall e se vrtiti u pozadini i koristiti manju koliinu sistemskih
sredstava.

Slika 2. Comodo (Software) Firewall

2.1.1. Prednosti i nedostaci programskog firewall-a

Prednosti programskog firewall-a su generalno gledajui njihova ne toliko skupa cijena (mada
se mogu nai zadovoljavajui besplatni), te lahkoa podeavanja.
Naalost vie se moe nai nedostataka za programski firewall kao to su:

potrebna sredstva (CPU, memorija, diskovni prostor)

moe dovesti do ne usklaenosti sa operativnim sistemom
 omoguava zatitu samo za korisniki raunar na kojem je instaliran
potrebno ga je instalirati na svaki raunar
nadogradnja je kljuna u odravanju ispravnosti firewall-a.

2.2. SKLOPOVSKI (ENG. HARDWARE) FIREWALL

Sklopovski firewall se moe kupiti kao samostalan proizvod, ali najee se mogu nai u
irokopojasnim ruterima (eng. broadband routers) i smatra se vanim dijelom sistema zatite
mree posebno za one koji koriste irokopojasnu internet konekciju. Veina sklopovskih firewall-
a ima najmanje 4 mrena prikljuka za povezivanje s drugima raunarima. Koriste filtriranje
paketa (eng. packet filtering) kako bi pregledali zaglavlje paketa u cilju utvrivanja njegovog
izvora i odredita.

Slika 3. Cisco hardware firewall

Cisco Systems PIX ( Private Internet E xchange) Firewall zadovoljava veinu sigurnosnih
potreba kompanija, bez ogranienja u performansama prisutnih kod proxy servera.
Cisco's PIX Firewall nudi sigurnu i jaku zatitu, oslobodjenu prekomjernog administriranja i
rizika koji se javljaju kod ostalih firewall sistema. Administrator dobija kompletne izvjetaje o
obavljenim logovanjima, kao i pokuaje upada na unutranju (zatienu) mreu. Cisco PIX
donosi veliku prednost u performansama, uvodeci na in rada cut through proxy. Kod ovog na
ina rada, Cisco isto kao i Unix, ostvaruje konekciju na 7. OSI nivou, omoguavajui
autentifikaciju i autorizaciju, ali za razliku od Unix-a, odmah nakon procesa AA na nekom od
zato predvienih servera (TACACS+, RADIUS) PIX sputa sesiju na nii nivo, ime se
ostvaruje brz i direktan saobraaj, uz odravanje stanja sesije. Cisco's PIX Firewall podrava
preko 16000 istovremenih TCP sesija.
Cut Through omogu ava PIX firewall-u mnogo bri rad u odnosu na proxy servere. Cisco PIX
takodje omoguava veliku sigurnost kroz upotrebu ASA algoritma (Adaptive Security
Algorithm) i kroz upotrebu stateful informacija. (SA, DA, Ports, random TCP Sequence
number, additional TCP flag, Hashed). Sve konekcije se loguju, kao i autorizovani i
neautorizovani pokusaji, koristeci Syslog ili SNMP.
Cisco PIX predstavlja idealno rjeenje za kompanije koje brinu o potrebi administriranja. Moe
se konfigurisati za svega nekoliko minuta, sto skrauje downtime, izuzetno vanu stavku u
planiranju sigurnosti mree, te nije baziran na Unix-u, tako da nije potrebno svakodnevno
administriranje. Izvrava se u Flash memoriji, i samim tim nema hard disk i moe se
konfigurisati u Failover modu, kada dva PIX-a rade paralelno, i u sluaju otkaza jednog, drugi u
potpunosti preuzima funkcionisanje.

2.2.1. Prednosti i nedostaci sklopovskog (eng. hardware) firewall-a

Prednosti sklopovskog firewall-a:

nastoje pruiti bolju zatitu od programskog firewall-a
moe zatititi vie raunara
ne utjeu na svojstva raunara, jer nisu pokrenuti (instalirani) na raunaru
neovisni su od operacijskog sistema i aplikacija

Nedostaci ovakvog firewall-a su:

skupi su, ali ako titimo vie raunara moe nas izai jeftinije kupiti jedan sklopovski
firewall nego za svaki raunar kupiti po jedan programski firewall
mogu biti zahtjevni za podeavanje, jer nisu pokrenuti na raunaru

3. NAIN RADA FIREWALL-A

Nekoliko je vrsta naina rada firewall-a:

Packet filtering (bos. filtriranje paketa)
 Application gateways/proxies
Stateful inspection(bos. dinamino filtriranje paketa)
Circuit-level gateway
Svaki od njih koristi informacije razliitih slojeva Otvorenog modela Meupovezanosti Sustava
(eng. Open Systems Interconnection model, OSI). Ove metode se temelje na tome kako firewall-i
koriste oboje i pre-konfigurirana pravila i filtere, te informacije prikupljene iz paketa kako bi se
utvrdilo da li dopustiti ili odbiti promet.

Application ApplicationGateways Stateful

Gateways Inspection
Presentation

Session

Transport Packet Filters

Network

Data Link

Phisycal

Slika 4. Open Systems Interconnection (OSI) model

3.1. Filtriranje paketa (eng. packet filtering)

Filtriranje paketa je najjednostavniji nain provjeravanja paketa. Rade rano ono to im samo
ime kae filtriraju pakete. Najea primjena je na ruterima ili dual-homed gateway ( hrv.
meu-sustavski). Proces paketnog filtriranja je izvren na sljedei nain:
Kako svaki paket prolazi kroz firewall, provjerava se, te informacije sadrane u zaglavlju se
usporeuju sa ve postavljenim skupom pravila ili filtera. Odluka o odbijanju ili doputanju
paketa je zasnovana na rezultatima usporedbe.

3.2. Application Gateways/Proxies

Application gateway/proxy se smatra jednim od najsloenijih naina provjeravanja paketa. Ova

vrsta firewall-a se obino provodi na sigurnom sistemu domaina (eng. Secure host system)
konfigurisan s dva mrena suelja. Application gateway/proxy djeluje kao posrednik izmeu
dvije krajnje take.

Slika 5. Proxy Service

Appliction gateway/proxy radi na sljedei nain:

Kad klijent izda zahtjev od nepouzdane mree, veza je uspostavljena sa application

gateway/proxy. Proxy odreuje da li je zahtjev valjan (usporeujui ga s bilo pravilima ili
filterima), a zatim alje novi zahtjev u ime klijenta na odredite. Koristei ovu metodu,
izravna veza nikad nije ostvarena od pouzdane (eng. trusted) do nepouzdane (eng.
untrusted) mree te zahtjevi ini se potjeu od application gateway/proxy.
Zahtjev je odgovoren na isti nain. Odgovor je poslan natrag do application
gateway/proxy koji odreuje je li to ispravno i alje ga do klijenta. Prekidom
klijent/server modela, ova vrsta firewall-a moe uinkovito sakriti pouzdanu od
nepouzdane mree. Application gateway/proxy zapravo gradi novi zahtjev, samo
kopiranjem poznatih prihvatljivih naredbi prije slanja na odredite.
Smatra se vrlo sigurnim nainom firewall zatite, application gateway zahtjeva veu
koliinu memorije i procesorska sredstva u odnosu na druge firewall tehnologije.

3.3. Dinamino filtriranje paketa (eng. Stateful packet inspection)

Stateful packet inspection omoguuje detaljniju provjeru paketa. Mogue je utvrditi da li su

paketi dijelovi neke uspostavljene veze il ne. Ono prepoznaje i sve uspostavljene veze izmeu
pojedinih mrenih okruenja, te na temelju njihovih stanja vri provjere.
Stateful inspection firewall zbog toga mora odravati tabele stanja u kojima su odreenim
vezama pridruena odreena stanja. Zbog toga se odluke o filtriranju donose na temelju ne samo
administratorski opisanim pravilima (tzv.statino filtriranje), ve i na temelju sadraja prethodno
proslijeenih paketa (tzv. dinamino filtriranje). Firewall sa podranim stateful inspection
zabranjuje promet ikakvih paketa sa nezatiene mree osim onih koji pristupaju otvorenim
prolazima (eng. ports). Za razliku od statinog filtriranja, prolazi iznad 1024 su zatvoreni, a
otvaraju se samo kada je rije o uspostavljenoj vezi koju je uspostavilo raunalo sa zatiene
mree. Mogue je dozvoliti i pristup prolazima (portovima) iznad 1024, ali time nestaju dobra
svojstva dinaminog filtriranja.
Primjer za rad dinaminog filtriranja: ukoliko se korisnik iz zatiene mree odlui povezati na
vanjsku nezatienu mreu, firewall e mu to dozvoliti. Svi paketi koje korisnik sa svog raunara
alje na mreu dio su uspostavljene (eng. established) veze. Svi paketi koje korisnik prima na
svoj raunar sa nezatiene mree takoer su dio uspostavljene veze i firewall ih proputa na
odreeni prolaz (eng. port). Ukoliko neki raunar iz nezatiene mree pokua poslati paket
raunaru na zatienoj mrei, taj paket bitie dio nove (eng. new) veze i firewall nee dozvoliti
prosljeivanje.

3.4. Circuit-level Gateway

Za razliku od paketnog filtriranja (eng. packet filtering), circuit-level gateway ne provjerava

pojedinane pakete. Umjesto toga prati TCP ili UDP sessions (hrv. sjednice, sesije). Kada je
sesija uspostavljena, ostavlja prolaz otvorenim i doputa prolaz za sve pakete koji pripadaju toj
sesiji. Prolaz je zatvoren kada sesija zavri. U mnogo emu ovaj nain provjeravanja paketa
podsjea na application gateways/proxies, ali circuit-level gateway djeluje na transportni sloj tj.
4. sloj (eng. transport layer, layer 4) OSI modela.

3.5. Prednosti i nedostaci

Packet filtering Application gateway/proxy Circuit-level gateway

Najjednostavniji i nesigurniji Dosta sigurniji nain Sigurniji od paketnog
firewall filtriranja ali ne i od
application gateway/proxy
Mnogi ruteri pruaju ovu Jedinstven program za svaku Prenosi TCP konekciju
mogunost zatite aplikaciju
Proputa ili odbija pakete Dobar za provjeru Doputenje od strane adrese
zasnovano na pravilima autentinosti prijavljivanja prolaza(port address)
Lako napraviti pogreku Koristi se za e-mail, FTP, Moe razumijeti to je u
Telnet, WWW paketu

Slika 6. Tabela pojedinosti

4. ZAKLJUAK

Zbog stalne prisutnosti na Internetu, najve su izloeni korisnici ADSL-a, Cable Interneta i
stalnih veza, ali ni ostali korisnici Interneta nisu van opasnosti. Svjedoci smo sve vee Internet
opasnosti od virusa i krae privatnih podataka. Firewall zatita je neizostavna u takvim
sistemima. Kada se koristi ispravno firewall spreava neovlateno koritenje i pristup korisnikoj
mrei. Glavna zadaa mu je paljivo analizirati ulazne i izlazne podatke mree temeljeno na
korisnikim postavkama. Zapravo odigrava vanu ulogu bilo koje mree postavljajui zatitne
barijere protiv vanjskih napada.
No, ipak nema proizvoda koji objedinjuje injenice kao to su: jednostavnost, fleksibilnost,
brzina i mogunosti, pa tako ni idealnog firewall-a koji bi zatitio korisnika od svakog mogueg
napada. Firewall-i postoje kao programski i sklopovski. Najbolja mogua firewall zatita je ona
koja sadri oboje, i softverski i hardverski firewall. Za kune korisnike hardverski firewall nije
potreban uz ve instaliran softverski firewall, ali za preduzea koje ele zatititi vie raunara u
mrei, hardverski firewall je strogo preporuljiv.
Dakako, postoje i firewall-i koji dolaze u sklopu sa antivirusnim programima. Primjeri
antivirusnih programa sa firewall-om: ESET Smart Security, Comodo Internet Security, AVG
Anti-Virus plus Firewal, Avast Internet Security, Norton Internet Security,...
 LITERATURA

https://www.scribd.com/doc/24138846/Firewall - Datum pristupa: 23.1.2017. godina

https://www.scribd.com/doc/166669839/Firewall - Datum pristupa: 22.1.2017. godina

http://www.iskon.hr/Pomoc-i-podrska/Zastita-na-internetu/(term)/Firewall/(show)/617 - Datum
pristupa: 23.1.2017. godina

http://www.webopedia.com/TERM/F/firewall.html - Datum pristupa: 23.1.2017. godina

http://www.webopedia.com/DidYouKnow/Hardware_Software/firewall_types.asp - Datum
pristupa: 23.1.2017. godina

http://en.wikipedia.org/wiki/Firewall_(computing) - Datum pristupa: 23.1.2017. godina

http://hr.wikipedia.org/wiki/Sigurnosna_stijena - Datum pristupa: 22.1.2017. godina

http://www.warezhr.org/forum/index.php - Datum pristupa: 23.1.2017. godina