Professional Documents
Culture Documents
Eldin Mukić-seminarski-rad-Firewall
Eldin Mukić-seminarski-rad-Firewall
EKONOMSKI FAKULTET
SEMINARSKI RAD
Tema:
Firewall
Student:
Eldin Muki, EB150086
3
UVOD
Firewall (bos. vatreni zid, Sigurnosna stijena) je mreni ureaj ili program ija je namjena
filtriranje mrenog prometa tako da se stvori sigurnosna zona. To je sistem ili skupina sistema
koji se koriste u cilju upravljanja pristupa izmeu dvije mree pouzdane i nepouzdane mree
(Internet). Firewall se smatra prvom linijom odbrane kako bi zatitio povjerljive, privatne,
korisnike podatke od neovlatenih korisnika blokiranjem i zabranom prometa po pravilima koja
uspostavlja usvojena sigurnosna politika. Sam pojam dolazi iz automobliske industrije, gdje
pojam firewall-a oznaava debelu elinu stijenku, koja odvaja putniku kabinu od motora, i
tako spreava da se vatra (toplina) iri od motora prema kabini.
Slika 1. Firewall
Za razumijevanje rada firewall-a potrebno je poznavati tri struna pojma, a to su IP adrese i TCP
i UDP portovi.
Sve to je povezano na Internet ima barem jednu jedinstvenu IP adresu. Svaki paket koji putuje
Internetom u sebi sadri svoju izvornu i svoju odredinu IP adresu.
Korisnik putem razliitih programa (ftp, mail, http) koristi razne sadraje na Internetu koji se
prenose u obliku TCP ili UDP paketa. Da bi se razlikovali paketi razliitih programa, svaki
program ima svoj port (hrv. vrata, prolaz, kanal) po kojem alje i prima pakete; npr. FTP koristi
portove 20 i 21, HTTP port 80, itd. to je manje portova ostavljeno otvoreno i to je manje
adresa kojima smo dozvolili pristup, to je mogunost zlonamjernog pristupa raunaru manja.
Nije nuno da svi korisnici u LAN-u imaju jednaka prava pristupa Internet mrei. Postavljanjem
Firewall ureaja izmeu dva ili vie mrenih segmenata moe se kontrolisati i prava pristupa
pojedinih korisnika pojedinim djelovima mree. U takvom sluaju Firewall je dizajniran da
doputa pristup valjanim zahtjevima, a blokira sve ostale. Firewall ujedno predstavlja idealno
rjeenje za kreiranje Virtualne Privatne mree, jer stvarajui virtualni tunel kroz koji putuju
kriptirani podaci (omoguuje sigurnu razmjenu osjetljivih podataka meu dislociranim
korisnici). Firewall je servis (koji se tipino sastoji od firewall ureaja i Policy-a ( pravilnika o
zatiti), koji omoguuje korisniku filtriranje odreenih tipova mrenog prometa sa ciljem da
povea sigurnost i prui odreeni nivo zatite od provale.
Veina firewall-ova pita za dozvolu koji program e da pusti da izae, pod kojim uslovima, koji
protokol program koristi i na kojim portovima komunicira. Naravno isto se odnosi i na suprotan
smijer, na ulaznu komunikaciju. Ima i onih koji nita ne pitaju, koji su u tenji za dostizanjem
savrenstva po nekim kriterijumima, oni su toliko automatizovani da stiu praktino unapred
podeeni a vae je samo da ih instalirate.
Dobar program ove vrste e ispravno registrovati svaku konekciju prije nego to bude
uspostavljena, blokirati je ili preciznije ostaviti na ekanju, i tek ako korisnik dozvoli njeno
ostvarivanje ona e biti uspostavljena. Ovo u stvari znai da ako skidate neku zakrpu za program
moete da onemoguite sve ostale konekcije osim one preko koje se razmena, odnosno primanje
podataka obavlja. Nekada i ovo nije dovoljno i treba rei da savrena zatita ne postoji.
Dobra osobina neki firewall-ova je da imaju mogunost da se trenutno blokira sav saobraaj
izmeu raunara i interneta ili da se dozvoli samo nekim programima da nastave normalno da
rade.
Firewall moe biti programski (eng. software) ili sklopovski (eng. hardware). Sa irokom
dostupnou interneta 24/7 postali su popularni osobni Firewall-i koji tite jedno raunar od
upada zlonamjernih osoba, dok je posebni raunar koji radi samo kao firewall uglavnom rjeenje
koje se primjenjuje kad se titi vie od jednog raunara.
Osnova rada firewall-a je u ispitivanju IP paketa koji putuju izmeu klijenta i servera. Stav sve
to nije dozvoljeno je zabranjeno zahtijeva da se svaki novi servis individualno omoguava.
Odgovoran je za vie vanih stvari unutar informacijskog sistema:
Mora implementirati politiku sigurnosti. Ako odreeno svojstvo nije dozvoljeno, firewall
mora onemoguiti rad u tom smislu.
Firewall treba biljeiti sumnjive dogaaje.
Firewall treba upozoriti administratora na pokuaje proboja.
U nekim sluajevima firewall moe omoguiti statistiku koritenja
2.
2. VRSTE FIREWALL-OVA
Prednosti programskog firewall-a su generalno gledajui njihova ne toliko skupa cijena (mada
se mogu nai zadovoljavajui besplatni), te lahkoa podeavanja.
Naalost vie se moe nai nedostataka za programski firewall kao to su:
Sklopovski firewall se moe kupiti kao samostalan proizvod, ali najee se mogu nai u
irokopojasnim ruterima (eng. broadband routers) i smatra se vanim dijelom sistema zatite
mree posebno za one koji koriste irokopojasnu internet konekciju. Veina sklopovskih firewall-
a ima najmanje 4 mrena prikljuka za povezivanje s drugima raunarima. Koriste filtriranje
paketa (eng. packet filtering) kako bi pregledali zaglavlje paketa u cilju utvrivanja njegovog
izvora i odredita.
Cisco Systems PIX ( Private Internet E xchange) Firewall zadovoljava veinu sigurnosnih
potreba kompanija, bez ogranienja u performansama prisutnih kod proxy servera.
Cisco's PIX Firewall nudi sigurnu i jaku zatitu, oslobodjenu prekomjernog administriranja i
rizika koji se javljaju kod ostalih firewall sistema. Administrator dobija kompletne izvjetaje o
obavljenim logovanjima, kao i pokuaje upada na unutranju (zatienu) mreu. Cisco PIX
donosi veliku prednost u performansama, uvodeci na in rada cut through proxy. Kod ovog na
ina rada, Cisco isto kao i Unix, ostvaruje konekciju na 7. OSI nivou, omoguavajui
autentifikaciju i autorizaciju, ali za razliku od Unix-a, odmah nakon procesa AA na nekom od
zato predvienih servera (TACACS+, RADIUS) PIX sputa sesiju na nii nivo, ime se
ostvaruje brz i direktan saobraaj, uz odravanje stanja sesije. Cisco's PIX Firewall podrava
preko 16000 istovremenih TCP sesija.
Cut Through omogu ava PIX firewall-u mnogo bri rad u odnosu na proxy servere. Cisco PIX
takodje omoguava veliku sigurnost kroz upotrebu ASA algoritma (Adaptive Security
Algorithm) i kroz upotrebu stateful informacija. (SA, DA, Ports, random TCP Sequence
number, additional TCP flag, Hashed). Sve konekcije se loguju, kao i autorizovani i
neautorizovani pokusaji, koristeci Syslog ili SNMP.
Cisco PIX predstavlja idealno rjeenje za kompanije koje brinu o potrebi administriranja. Moe
se konfigurisati za svega nekoliko minuta, sto skrauje downtime, izuzetno vanu stavku u
planiranju sigurnosti mree, te nije baziran na Unix-u, tako da nije potrebno svakodnevno
administriranje. Izvrava se u Flash memoriji, i samim tim nema hard disk i moe se
konfigurisati u Failover modu, kada dva PIX-a rade paralelno, i u sluaju otkaza jednog, drugi u
potpunosti preuzima funkcionisanje.
Session
Network
Data Link
Phisycal
Filtriranje paketa je najjednostavniji nain provjeravanja paketa. Rade rano ono to im samo
ime kae filtriraju pakete. Najea primjena je na ruterima ili dual-homed gateway ( hrv.
meu-sustavski). Proces paketnog filtriranja je izvren na sljedei nain:
Kako svaki paket prolazi kroz firewall, provjerava se, te informacije sadrane u zaglavlju se
usporeuju sa ve postavljenim skupom pravila ili filtera. Odluka o odbijanju ili doputanju
paketa je zasnovana na rezultatima usporedbe.
4. ZAKLJUAK
Zbog stalne prisutnosti na Internetu, najve su izloeni korisnici ADSL-a, Cable Interneta i
stalnih veza, ali ni ostali korisnici Interneta nisu van opasnosti. Svjedoci smo sve vee Internet
opasnosti od virusa i krae privatnih podataka. Firewall zatita je neizostavna u takvim
sistemima. Kada se koristi ispravno firewall spreava neovlateno koritenje i pristup korisnikoj
mrei. Glavna zadaa mu je paljivo analizirati ulazne i izlazne podatke mree temeljeno na
korisnikim postavkama. Zapravo odigrava vanu ulogu bilo koje mree postavljajui zatitne
barijere protiv vanjskih napada.
No, ipak nema proizvoda koji objedinjuje injenice kao to su: jednostavnost, fleksibilnost,
brzina i mogunosti, pa tako ni idealnog firewall-a koji bi zatitio korisnika od svakog mogueg
napada. Firewall-i postoje kao programski i sklopovski. Najbolja mogua firewall zatita je ona
koja sadri oboje, i softverski i hardverski firewall. Za kune korisnike hardverski firewall nije
potreban uz ve instaliran softverski firewall, ali za preduzea koje ele zatititi vie raunara u
mrei, hardverski firewall je strogo preporuljiv.
Dakako, postoje i firewall-i koji dolaze u sklopu sa antivirusnim programima. Primjeri
antivirusnih programa sa firewall-om: ESET Smart Security, Comodo Internet Security, AVG
Anti-Virus plus Firewal, Avast Internet Security, Norton Internet Security,...
LITERATURA
http://www.iskon.hr/Pomoc-i-podrska/Zastita-na-internetu/(term)/Firewall/(show)/617 - Datum
pristupa: 23.1.2017. godina
http://www.webopedia.com/DidYouKnow/Hardware_Software/firewall_types.asp - Datum
pristupa: 23.1.2017. godina