Visoka medicinska i poslovno-tehnološka škola

strukovnih studija Šabac

Smer: Informacione tehnologije

SEMINARSKI RAD IZ PREDMETA

RAČUNARSKE MREŽE

Tehnike zaštite računarskih mreža

(firewall, proxy, IPS, IDS)

Student: Predrag Stošić, 4-7/2016

Profesor: Dr Branko Markoski

Šabac, jun 2018

 Sadržaj:

1. UVOD................................................................................................................3
2. RAČUNARSKE MREŽE..................................................................................4
2.1 Istorija računarskih mreža...............................................................................4
2.2 Vrste računarskih mreža..................................................................................4
2.2.1 LAN..............................................................................................................5
2.2.2 WAN.............................................................................................................5
2.2.3 MAN............................................................................................................6
3. DIMENZIJE NAPADA.....................................................................................6
4. KONTROLA PRISTUPA U RAČUNARSKIM MREŽAMA..........................7
4.1 Autentifikacija i autorizacija korisnika...........................................................8
4.2 Filteri paketa....................................................................................................8
5. SISTEM ZA DETEKCIJU UPADA (IDS)........................................................9
5.1 Pasivni i reakcioni IDS....................................................................................9
5.2 IDS i Firewall..................................................................................................9
5.3 Metode detekcije...........................................................................................10
6. SISTEMI ZA PREVENCIJU UPADA (IPS)...................................................10
7. PROXY SERVER............................................................................................10
7.1 Caching Proxy...............................................................................................11
7.2 WEB Proxy....................................................................................................11
7.3 Web proxy sa filtriranjem sadržaja................................................................12
8. FIREWALL......................................................................................................12
8.1 Vrste firewall-a..............................................................................................13
8.1.1 Firewall sa filtriranjem paketa..............................................................13
8.1.2 Firewall sa praćenjem stanja mreže......................................................13
8.1.3 Firewall na nivou aplikacije..................................................................14
8.1.4 Firewall za prevođenje adresa...............................................................14
8.1.5 Računarski orijentisani firewall............................................................15
8.1.6 Hibridni firewall...................................................................................15
9. ZAKLJUČAK..................................................................................................15
10. LITERATURA.............................................................................................17

2
 ZADATAK SEMINARSKOG RADA

Zadatak ovog seminarskog rada jeste upoznavanje sa opasnostima koje

prete računarskim mrežama kao i načinima na koje možemo sprečiti da dođe do
određenih kvarova, zastoja i slično...

1. UVOD

Zaštita računarskih mreža kao i njihovo nadgledanje i praćenje su od

velikog značaja za normalno funkcionisanje i rad računarskih mreža. Javila se
mogućnost da se instalira zaštita na svim nivoima.
Porast značaja zaštite u računarskim telekomunikacijama ne dešava se
neočekivano, s obzirom na to da smo svedoci sve veće migracije vrednosti iz
stvarnog sveta u virtuelni. Na primer, pre tridesetak godina je Internet mreža
korišćena uglavnom za razmenu javno dostupnih informacija unutar akademskih
krugova. Danas, nasuprot tome, razluka u par pozicija kod rangiranja na Veb
pretraživaču kompanije Gugl može biti osnova za davanje otkaza hiljadama
zaposlenih.
Svaki porast vrednosti uredno prati I porast želje da se ta vrednost preotme
odnosno porast rizika da će vrednost biti izgubljena. Napadači iz dana u dan
pronalaze nove načine za ostvarivanje napada, dok računasrki eksperti kao
odgovor na to predstavljaju nova bezbedonosna rešenja.1
Postoje mnogobrojni načini zaštite računarskih mreža od kojih su: Anti-
spyware, Firewall, Anti-virusni softver, sigurnosne šifre, Backup, kontrola
pristupa, enkripcija, uočavanje upada i slično.
Razvojem i sirenjem interneta kao i stalno povećanje broja korisnika sve
više i više povećava pretnju i opasnost po računarske mreže.

1
Jevremović, A., Veinović, M., Šarac, M., Šimić, G., Zaštita u računarskim mrežama, Univerzitet
Singidunum, Beograd, 2014., str. 10.
3
 2. RAČUNARSKE MREŽE

Pojam računarskih mreža ili računarske mreže za prenos podataka

predstavlja sistem telekomunikacionih linkova kojima se ostvaruje veza između
računara, pomoću permanentnog ili privremenog linka. Kako bi se ostvarila
pomenuta komunikacija potrebno je postojanje odgovarajućeg hardvera i softvera,
te poznavanje procesa umrežavanja kroz implementaciju određenih standarda,
pravila ili protokola.
Ostvarivanje kvalitetne veze u cilju razmene informacija, odnosno
podataka i resursa između definisanih tačaka prenosa predstavlja cilj umrežavanja
računara. Ostvarena veza je realizovana fizičkim linkom između više instanci
preko kabla ili bežičnim putem. U cilju sprečavanja i potpune zaštite intelektualne
svojine primenjeni su razni sigurnosni sistemi i procedure kao što su fajervol,
antivirusni programi, napredni antimalver sistemi detekcije i prevencije napada
IDS i IPS i napredni kriptografski protokoli, politike bezbednosti i procedure.2

2.1 Istorija računarskih mreža

Jedan od najranijih primera računarskih mreža jeste grupa računara koji su

umreženi u funkciji razvoja sistema odbrane za američku vojsku. Ova grupa
računara nosila je naziv „SAGE“. Kasnije, tokom 1969. godine dva univerziteta, u
Kaliforniji i u Utah su se mrežno povezali čineći tako deo projekta zvanog
„ARPANET“. Osnova ove mreže evoluirala je u ono što danas nazivamo
internetom.3

2.2 Vrste računarskih mreža

Jedan od načina da se kategorizuju različite vrste računarskih mrežnih

dizajna je po svom obimu ili skali. Uobičajeni primeri tipova mreža po područjima
koje obuhvataju su:
LAN – Local Area Network
WLAN – Wireless Local Area Network
WAN – Wide Area Network
MAN – Metropolitan Area Network
SAN – Storage Area Network
CAN – Campus Area Network
PAN – Personal Area Network
DAN – Desk Area Network
2
Grce, D., Zaštita računarskih mreža – Primena politika bezbednosti i procedura u kontekstu
povećanja pouzdanosti i bezbednosti računarskih mreža, Master rad, Univerzitet Singidunum,
Beograd, 2016.
3
Isto
4
 2.2.1 LAN

Lokalna mreža, ili LAN predstavlja tip računarske mreže koja povezuje računare
na nekom ograničenom prostoru, kao što su škole, poslovni objekti, kuće itd.
Glavna karakteristika koja definiše LAN, za razliku od širokog prostora koji
obuhvata mreža WAN, uključuje njenu manju geografsku oblast I neupotrebu
iznajmljenih telekomunikacionih linija. ARCNET, Token Ring I drugi standardi
tehnologije su kurišćeni u prošlosti, ali Ethernet I Wi-Fi su dve najčešće korišćene
tehnologije koje se trenutno koriste za izgradnju LAN mreže. 4 Ova mreža je mreža
velike brzine, koja predstavlja osnov svake mreže. U zavisnosti od broja računara
na mreži može biti jednostavna ili složena, dok se komunikacija odvija na drugom
sloju, koji čine svičevi I habovi.5

Slika 1.: Primer LAN-a

2.2.2 WAN

Regionalna mreža, ili WAN predstavlja tip mreže koji obuhvata široko
područje upotrebom privatnih ili javnih mrežnih prenosa. Kompanije I državne
ustanove upotrebljavaju WAN kako bi povezali svoje zaposlene, klijente, kupce ili
dobavljače iz različitih geografskih oblasti. U osnovi ovaj vid telekomunikacije

4
Jo, Srđan., Zaštita računarskih mreža – Analiza antivirusne zaštite, Master rad, Univerzitet
Singidunum, Beograd, 2014.
5
Grce, D., Zaštita računarskih mreža – Primena politika bezbednosti i procedura u kontekstu
povećanja pouzdanosti i bezbednosti računarskih mreža, Master rad, Univerzitet Singidunum,
Beograd, 2016.
5
dopušta da se poslovi obavljaju regularno na dnevnoj bazi neovisno od same
lokacije. Internet se takođe može smatrati kao WAN.

Slika 2.: Primer WAN-a

2.2.3 MAN

Računarska mreža koja povezuje korisnike sa računarskim resusrsima u

geografskom području ili regioni, koja je ponekad prostorno veća od same LAN
mreže, ali je ipak manja nego što pokriva regionalna mrežna okruženja predstavlja
MAN mrežu. Termin se vezuje za računarske mreže locirane u gradu, koje su
vezane za prostorno veće računarske mreže WAN. Takođe, koriste se da povežu
nekoliko lokalnih mreža kreirajući centralnu mrežu za određeni region.6

3. DIMENZIJE NAPADA

Dve osnovne dimenzije napada u računarskim mrežama vezane su za

njihovu metu, odnosno deo računarske mreže koji se napada i svrhu, odnosno šta
se želi postići tim napadom. Pri tom, većina napada je složena i da bi se postigao
konačan cilj napada potrevno je napasti više različitih delova sistema i ugroziti
različite aspekte njihove bezbednosti. U osnovi mete napda u računarskim
mrežama spadaju:
 Mrežni uređaji
 Komunikacioni kanali

6
Grce, D., Zaštita računarskih mreža – Primena politika bezbednosti i procedura u kontekstu
povećanja pouzdanosti i bezbednosti računarskih mreža, Master rad, Univerzitet Singidunum,
Beograd, 2016.
6
  Krajnji korisnici
Najčešće vršeni napadi u savremenim računarskim mrežama svakako su
napadi na mrežne uređaje. Meta ovakvih napada mogu biti krajnji uređaji, kao što
su serveri, klijentski računari i slično ili posredni, npr. Komutatori, ruteri, filteri
paketa itd. Treba imati u vidu da se mogu napadati svi slojevi OSI referentnog
komunikacionog modela, od fizičkog pa do sloja aplikacije.
U nekim situacijama napadač nema mogućnost ili potrebu da napada
mrežne uređaje, već napada komunikacione kanale. Napadi na komunikacione
kanale mogu biti zasnovani na pasivnoj analizi njihovih signala, ili na njihovom
aktivnom menjanju, bilo spoljnim uticajem, bilo umetanjem posredujućeg mrežnog
uređaja. Dodatno, napadači imaju i mogućnost da kompletno onemoguće
komunikaciju presecanjem neobezbeđenih komunikacionih kanala.
Sledeću dimenziju napda čini njegova svrha, odnosno koja se zaštićena
karakteristika napada. U osnovne kategorije ovde spadaju poverljivost,
verodostojnost i dostupnost.
Svrha napada na poverljivost je da se neovlašćeno pristupi određenim
podacima, bilo da se oni čuvaju u memoriji nekog računarskog sistema, bilo da se
prenose putem računarske mređe. U osnovi, ovim napadom se podaci samo
preuzimaju, odnosno ne menjaju se, niti ukljanjaju, tako da je uspešno izvedene
napade ovog tipa često veoma teško otkriti.
Napadi na verodostojnost imaju za cilj da lažiraju sadržaje komunikacija.
Da bi verodostojnost bila ostvarena potrebno je da primalac podataka bude siguran
da podaci koje je dobio zaista potiču od navedenog pošiljaoca, kao I da su izvorni,
odnosno, da tokom transporta nisu menjani. U skladu sa tim, ovi napadi se
izvršavaju tako što se napadač umetne u komunikaciju kao posrednik I menja
njene poruke, ili se u potpunosti predstavi kao jedna strana u komunikaciji.
Napadi na dostupnost imaju za cilj da regularnim korisnicima određenog
resursa onemoguće normalan rad sa njim. Na primer, u napadima sa ciljem
uskraćivanja usluge (DoS), često se mrežni serveri zatrpavaju ogromnom
količinom besmislenih zahteva sa ciljem da se iscrpe dostupni resursi tako da
server postane nedostupan regularnim klijentima.7

4. KONTROLA PRISTUPA U RAČUNARSKIM

MREŽAMA

Jedan od osnovnih zadataka kod zaštite računarskih sistema i mreža je

kontrolisanje ko ima pravo da im pristupa i koje akcije ima pravo da izvršava nad
određenim objektima u njima. U suštini, potpuno bezbednim sistemom može da se
smatra sistem kod koga je razvijen i održava se savršen skup pravila za pristup, a
koja se uvek poštuju, odnosno nije ih moguće zaobići.
Međutim, u stvarnosti potpuno bezbednih sistema nema, upravo zbog toga
što ili nije moguće definisati idealan skup pravila, ili nije moguće obezbediti
7
Jevremović, A., Veinović, M., Šarac, M., Šimić, G., Zaštita u računarskim mrežama, Univerzitet
Singidunum, Beograd, 2014., str. 12.
7
njihovo bezuslovno poštovanje u svim situacijama. Sa druge strane, postoji više
pristupa i rešenja koja, ukoliko su ugrađena u računarski sistem ili mrežu koja se
štiti, pružaju prilično visok nivo zaštite, odnosno omogućavaju visok nivo kontrole
pristupa.8

4.1 Autentifikacija i autorizacija korisnika

Kontrola pristupa resursima u računarskim mrežama može se posmatrati

kao pitanje „ko sme, šta, i sa čime da radi“. Dakle, dva kritična zadatka u vezi sa
kontrolom pristupa su provera identiteta pristupaoca i utvrđivanje da li on ima
prava da izvede zahtevanu akciju nad određenim objektom.
Provera identiteta je akcija kojom se potvrđuje ili osporava istovetnost
izjavljenog ili stvarnog identiteta pristupaoca. Pod pristupaocem se mogu
podrazumevati osobe ali i procesi koji se izvršavaju na lokalnom ili udaljenom
računarskom sistemu, odnosno njihovi vlasnici. Za utvrđivanje identiteta koriste se
tri osnovne kategorije: znanje, posedovanje i postojanje. Drugim rečima, određena
osoba može potvrditi svoj identitet nečim što zna, nečim što ima, ili nečim što
jeste. Na primer, korisnik višekorisničkog računarskog sistema može pristupiti
svom nalogu unosom lozinke, ubacivanjem smart-kartice ili skeniranjem otiska
prsta.
Sledeći zadatak, nakon utvrđivanja identiteta pristupaoca, jeste autorizacija,
odnosno utvrđivanje njegovih prava za izvođenje zahtevanih akcija nad određenim
objektima.9

4.2 Filteri paketa

Jedan od najznačajnijih koncepata u zaštiti računarskih mreža čine filteri

paketa. Filteri paketa, ponekad nazivani i vatrenim zidovima (engl. firewall),
zaštitnim zidovima ili mrežnim barijerama, omogućavaju da se zadavanjem
određenih kriterijuma neke mrežne komunikacije dozvole, a neke zabrane. S
obzirom da su računarske telekomunikacije zasnovane na paketskom prenosu
podataka, princip rada filtera paketa zasniva se na propuštanju ili odbijanju
određenog paketa, u zavisnosti od definisanih pravila.
Filterima paketa se mogu štitit cele mreže ili pojedinačni članovi. Takođe,
broj korišćenih filtera paketa u mreži nije ograničen, tako da je idealan model
upotrebe filtera paketa onaj u kome se filteri paketa postavljaju i između različitih
segmenata mreže, i ispred pojedinačnih članova.10

8
Jevremović, A., Veinović, M., Šarac, M., Šimić, G., Zaštita u računarskim mrežama, Univerzitet
Singidunum, Beograd, 2014., str. 13.
9
Isto
10
Jevremović, A., Veinović, M., Šarac, M., Šimić, G., Zaštita u računarskim mrežama, Univerzitet
Singidunum, Beograd, 2014., str. 14.
8
 5. SISTEM ZA DETEKCIJU UPADA (IDS)

Sistem za detekciju upada (IDS – Intrusion Detection System) je uređaj ili

softverska aplikacija koja posmatra mrežu ili sistemske aktivnosti tražeći
maliciozne aktivnosti ili kršenja polisa i procedura i pravi izveštaj na
administratorskoj stranici. Neki sistemi mogu da pokušaju da spreče upad, ali to
nije ni zahtevano niti neophodno od sistema koji je namenjen za psomatranje.
Sistemi za detekciju i prevenciju upadada (IDPS – Intrusion Detection and
Prevention Systems) su primarno fokusirani na identifikaciju mogućih incidenata,
loguju podatke o incidentu i daju izveštaj o pokušajima upada. Organizacije koriste
IDPS-ove za druge svrhe, kao što je identifikacija problema sa polisama
bezbednosti, dokumetnovanje postojećih pretnji i sprečavanje pojedinaca od
kršenja polisa bezbednosti. IDPS-ovi obično snimaju podatke vezane za
posmatrane uređaje, obaveštavaju IT administratore vezano za važne događaje i
prave izveštaje.
Mnogi IDPS sistemi mogu da reaguju na detektovane pretnje tako što ih
sprečavaju u uspevanju delovanja. Oni koriste nekoliko tehnika odgovora, koji
uključuju da sam IDPS spreči napad, tako što menja orkuženje bezbednosti, kao
što bi na primer bilo rekonfigurisanje firewall podešavanja ili menja sadržaj samog
napada.

5.1 Pasivni i reakcioni IDS

U pasivnom sistemu, IDS senzor detektuje potencijalni sigurnosni propust,

čuva informaciju i daje upozorenje na konzolu ili vlasniku. Na reakcionom
sistemu, takođe poznatom kao IPS (Intrusion Prevention System), IPS automatski
reaguje na sumnjivu aktivnost tako što resetuje konekciju ili reprogramira firewall
da blokira mrežni saobraćaj od malicioznog izvora.

5.2 IDS i Firewall

Iako su oba vezana za mrežnu bezbednost, IDS se razlikuje od firewall-a u

tome što firewall traži unapred napade kako bi ih sprečio. Firewall imitira pristup
između mreža da bi se sprečio upad i ne daje signal unutar mreže. IDS vrši
evaluaciju upada kada se dogodi i daje signal. IDS takođe pazi na napade koji
potiču iz samog unutrašnjeg sistema. Ovo se postiže tako što se posmatra mrežna
komunikacija, identifikuju šabloni od čestih oblika napada na računare i preuzima
se akcija da se obavesti administrator.11

11
Jo, Srđan., Zaštita računarskih mreža – Analiza antivirusne zaštite, Master rad, Univerzitet
Singidunum, Beograd, 2014.
9
 5.3 Metode detekcije

Većina sistema za prevenciju pada koriste jedan od tri metoda detekcije

(IDS metode): metod baziran na potpisu, baziran na anomalijama i baziran na
analizi stanja protokola.
1) Detekcija bazirana na potpisu: IDS baziran na potpisu posmatra pakete
na mreži i upoređuje sa ranije konfigurisanim i ranije definisanim
šablonima napada poznatijim kao potpisi.
2) Detekcija bazirana na anomalijama: IDS baziran na anomalijama
utvrđuje normalnu aktivnost na mreži kao što je tip protoka koji se
obično koristi, koji protokoli se koriste, koji portovi i uređaji se obično
povezuju jedan na drugi i zatim upozoravaju administratora ili
korisnika kada se detektuje saobraćaj u mreži koji nije normalan.
3) Detekcija bazirana na analizi stanja protokola: Ova metoda prepoznaje
devijacije u stanjima protokola tako što upoređuje posmatrane događaje
sa ranije definisanim profilima generalno prohvaćenih definicija
benignih aktivnosti.

6. SISTEMI ZA PREVENCIJU UPADA (IPS)

Sistemi za prevenciju upada (IPS – Intrusion Prevention Systems), takođe

poznati kao sistemi za detekciju i prevenciju upada (IDPS), su sistemi koji
posmatraju mrežu i/ili sistemske aktivnosti radi pronalaženja malicioznih
aktivnosti. Glavna uloga istema za prevenciju upada je da identifikuje maliciozne
aktivnosti, zabeleži podatke o toj aktivnosti, pokuša da je blokira/zaustavi i da je
prijavi.
Sistemi za prevenciju upada se smatraju kao dodaci od sistema za detekciju
upada zato što oba posmatraju mrežni saobraćaj i/ili sistemske aktivnosti u potrazi
za malicioznim aktivnostima. Glavni razlika između njih je to što sistemi za
prevenciju upada se postavljaju direktno na liniju i oni su u stanju da aktivno vše
prevenciju ili blokiranje upada koji se detektuju. IPS može da preduzme razne
akcije kao što je slanje alarma za uzbunu, ukidanje malicioznih paketa, resetovanje
konekcije ili blokiranje mrežnog saobraćaja sa IP adrese napadača.

7. PROXY SERVER

U računarskim mrežama termin proxy server se upotrebljava za

označavanje servera (računarskog sistema ili aplikativnog programa) koji servisira
zahteve svojih korisnika tako što prosleđuje zahteve drugim serverima. U
engleskom jeziku termin proxy označava „posrednika“ . Klijent se povezuje na
proxy server i zahteva neki servis, kao što je recimo dokument, konekcija, web
stranica ili neki drugi resurs koji je na raspolaganju na nekom drugom računaru .

10
Proxy omogućava upotrebu servisa tako što se povezuje na odgovarajući server i
zahteva uslugu u ime klijenta.

Slika 3.: Pozicija proxy server u mreži

Ponekad proxy modifikuje zahtev klijenta ili sam odgovor servera, a
ponekad može i da opsluži zahtev klijenta,a da uopšte ne kontaktira server. Ovaj
proces se naziva keširanjem i biće kasnije objašnjen. U prethodnim lekcijama nije
posebno naglašeno da je gateway u suštini vrsta proxy servera koja prosleđuje
zahteve klijenata serveru, ali nemodifikovane . Ovakav proxy se obično naziva
tunneling proxy. Proxy se može postaviti na više tačaka u mreži između korisnika i
servera. Najčešća mu je pozicija pak, sam obod mreže.

7.1 Caching Proxy

Ova vrsta proksi servera upotrebljava se u uslovima gde je potrebno voditi

računa o saobraćaju na mreži. Keš proksi snima na svoj disk materijale koji se
najčešće povlače sa interneta, te tako, ukoliko 10 računara iz naše lokalne mreže
po sto puta pozove dnevno www.microsoft.com , slike i animacije na tom sajtu,
koliko god bile male, sa velikim brojem ponavljanja će napraviti značajan
saobraćaj. Nakon par poziva , proksi će snimiti slike sa www.microsoft.com i svaki
naredni put će na zahtev klijenta proslediti slike iz svog keša, umesto da ih poziva
iz Amerike.

7.2 WEB Proxy

Proksi koji se fokusira na WWW saobraćaj se naziva “web proxy”.

Najčešće se proksi u ovakvoj konfiguraciji koristi kada postoji potreba za
keširanjem isključivo web sadržaja. Mnogi proksi programi omogućavaju zabranu
pristupa određenim web sajtovima. Tu funkciju koriste i neke države. Tako na
primer , Saudijska Arabija i Kina poseduju državni proksi server. Celokupan
internet sadržaj države prolazi kroz jedan proksi server. Na taj način Saudijska
Arabija iz religijskih razloga sprečava pristup porno sajtovima i sajtovima na

11
kojima se reklamira alkohol, dok Kina blokira sadržaje za koje smatraju da nisu
politički korektni.

7.3 Web proxy sa filtriranjem sadržaja

Dodatna mogućnost web proksija je i filtriranje samog sadržaja stranica.

Neki proksi programi omogućavaju i zabranu prilaza stranicama na kojima se
mogu naći određene ključne reči koje administrator navede. Pored ovih vrsta
proksija postoje i druge. Neke se mogu upotrebiti i zlonamerno (engl. Hostile
proxy). Neki služe za anonimizaciju zahteva korisnika. Ukoliko korisnik želi da
ostane potpuno anoniman kod pristupa pojedinim sajtovima , on može koristiti
proksi za ovu namenu. Uz novčanu nadoknadu, naravno.
Ono što je glavna upotrebna vrednost proksija u školama jeste to što
prisiljavaju sve korisnike na mreži da celokupan saobraćaj preusmere na samo
jedan komunikacioni port , na kome funkcioniše proksi. Na taj način administrator
ima potpunu kontrolu nad tim kojim sajtovima će dozvoliti pristup, kolika će biti
potrošnja propusnog opsega, a i koliki će njegov deo dodeliti kom korisniku.

8. FIREWALL

Tehnologija zaštitnog zida (eng. firewall) mnogo se menjala tokom godina,

od kada se prvi put pojavila na tržištu početkom 90-ih godina. Prvi firewall-i su
bili jednostavnio uređaji za filtriranje paketa. Od tada su oni postali sve napredniji
što se tiče mogućnosti filtriranja, ali i dodavali su neke nove funkcionalnosti, npr.
kao što su:
 Praćenje stanja veze
 Virutelne privatne mreže
 Sistemi za detekciju napda
 Provera autentičnosti komunikacije
 Virtuelni firewall
Ime zaštitni zid, negde poznatiji kao zaštitni zid, ne potiče iz mrežne
sigurnosti. Pravo poreklo naziva je poteklo kao metoda izgradnje zidova u slučaju
stvarnih požara, kako bi vatra bila zadržana u jednom delu zgrade bez njenog
daljnjeg širenja. Kada se priča o mrežnoj sigurnosti, zaštitni zid ( engl. firewall)
ima sasvim drugo značenje, ali mu je suština ista, firewall štiti mrežu od
potencijalnih napadača sa ciljem da ih zaustavi na tačno definisanim granicama.
Sama osnova firewall-a je uređaj koji kontroliše tok podataka između raznih
delova mreže.
Važno je primetiti da sama definicija firewall-a može uključivati i više
uređaja. Kod male kućne mreže, sastoji se od jednog uređaja, dok kod neke veće
implementacije može se sačinjavati od više komponenti, kao što su: pristupni
firewall, firewall sa praćenjem stanja veze, virtuelna privatna mreža ( eng. Virtual

12
Private Network), sistem za detekciju instrukcija (eng. Istructiona detection system
– IDS), itd.

8.1 Vrste firewall-a

Firewall sistemi mogu izvršavati različite funkcije i ponuditi različita

rešenja, ali primarna funkcija firewall-a je kontrola pristupa određenim resursima.
Firewall sistem sastoji se od više različitih komponenti. Jedna od tih komponenti je
i filtriranje mrežnog protoka koje većina ljudi zove firewall (zaštitni zid).
Zaštitni zid za filtriranje saobraćaja čine više različitih tipova, kao što su:
 Zaštitni zid za filtriranje paketa
 Zaštitni zid za praćenje stanja veze
 Zaštitni zid na nivou aplikacije
 Zaštitni zid za prevođenje adresa
 Zaštitni zid baziran na hostu
 Hibridni zaštitni zid

1.1.1 Firewall sa filtriranjem paketa

Najjednostavniji oblik firewall-a je firewall sa filtriranjem paketa. On je

napravljen kao usmerivač koji ima mogućnost filtriranja paketa zavisno od
njegovog sadržaja. Informacije koje firewall sa filtriranjem paketa može koristiti
kod filtriranja su informacije na mrežnom nivou, a ponekad i na transportnom
nivou OSI referentnog modela. Na primer, kod Cisco rutera standardna pristupn
lista (eng. Access Control List - ACL) može filtrirati informacije i na mrežnom
nivou OSI modela, dok proširena preistupna lista (ACL) može filterirati
informacije i na mrežnom i na transportnom nivou OSI modela.

1.1.2 Firewall sa praćenjem stanja mreže

Za razliku od firewall-a sa filtriranjem paketa, firewall sa praćenjem stanja

veze detaljno prati svaku konekciju. Takav firewall tačno poznaje da li je konekcija
tek u uspostavljanju, ima li protoka kroz nju ili je čak u postupku isključivanja. To
je mnogo korisno ako se želi zabraniti uspostavljanje neke konekcije sa uređaja
koji su sa spoljne strane firewall-a, dok se korisnicima unutar lokalne mreže želi
omogućiti konekcije prema spoljnim uređajima, kao i u isto vreme dopustiti
povratni mrežni saobraćaj kroz firewall.
Ta fleksibilnost firewall-a sa praćenjem stanja veze uveliko olakšava
konfiguraciju firewall-a, funkcija praćenja stanja veze doprinosi boljoj mrežnoj
sigurnosti, ali i povećava kompleksnost samog firewall-a. Postoji mnogo
nesuglasica oko tačne definicije na kojem OSI nivou funkcioniše firewall sa

13
praćenjem stanja mreže. Vodi se diskusija da li radi samo na trećem i četvrtom
nivou (mrežni i transportni sloj) ili radi na tri nivoa tj. na mrežnom, transportnom i
na nivou sesije.
Iz perspektive transportnog niva OSI modela, firewall sa praćenjem stanja
veze koristi informacije u interfejsima paketa sa trećeg nivoa i delovima sa
četvrtog nivoa. Kao na primer, firewall traži u TCP interfejsu SYN, RST, ACK,
FIN i ostale kontrolne zastavice da se utvrdi stanje konekcije.

1.1.3 Firewall na nivou aplikacije

Firewall na nivou aplikacije ili firewall sa proksijem (eng. proxy firewalls)

filtrira podatke od 3 do 7 nivoa OSI modela (mrežni, transportni, sloj sesije i sloj
aplikacije). Iako su oni sposobni da određuju informacije na nivou aplikacije,
većina funkcija za upravljanje i filtriranje odvija se uz pomoć programske podrške.
Takav način filtriranja omogućava bolju kontrolu saobraćaja koji prolazi kroz
firewall neko kod ostalih vrsta firewall-a. Firewall-i na nivou aplikacije često
podržavaju samo ograničen skup aplikacija i čest osu to samo e-mail, WWW, FTP,
telnet, usnet, LDAP i finger. Jedna od osnovnih funkcija firewall-a na nivou
aplikacije je provera autentičnosti prilikom uspostavljanja konekcije, nije bitno da
li se radi o konekciji koja je inicirana sa spoljne strane firewall-a prema unutra ka
zaštićenim resursima ili obrnuto.

1.1.4 Firewall za prevođenje adresa

Firewall za prevođenje adresa dizajniran je iz dva razloga:

 Proširenje broja adresa koje korisnik može da koristi i
 Skrivanje mrežne topologije i adresa koje se koriste iz spoljnog
sveta
Osnovni razlog njihove implementacije je definisanje standarda RFC1631
(NAT) i RFC1918 (privatne IP adrese) koji su definisali pojam privatne IP adrese i
metode prevođenja tih privatnih IP adresa u javne, kako bi se mogle koristiti na
Internetu. Takva prevođenja uključuju prevođenja izvorne i/ili krajnje adrese, kao i
izvornog i/ili krajnjeg porta ako se radi o TCP/UDP paketima.
Sigurnost zasnovana na prevođenju adresa, oslanja se na to da ako se neko
želi ponovo pristupiti uređaju koji se nalazi iza zaštitnog zida, mora se na firewall-
u definisati prevođenje IP adresa. Kad se prevođenje ne bi definisalo paketi se ne
bi mogli usmeriti do željenog firewall-a, kao ni do željenog servisa. Takođe,
koristeći prevođenje adresa, servise koji se izvršavaju na različitim fizičkom
serverima moguće je prikazati da se nalaze na istom serveru ili obrnuto. To
omogućuje da se sakrije fizička i logička topologija mreže koja se nalazi iza
zaštitnog zida.

14
 1.1.5 Računarski orijentisani firewall

Računarski orjentisani firewall-i (eng. Computer-oriented firewalls) su u

stvari računari ili serveri na kojima se izvršava firewall program. Ovi firewall-i
obično nemaju iste mogućnosti kao prethodno navedeni. Oni pojednostavljeni
firewall-i za filtriranje paketa i kao takvi sposobni su samo filtrirati IP saobraćaj po
izvornim ili odredišnim IP adresama ili po izvornim i odredišnim portovima, ako je
reč o TCP/UDP mrežnom saobraćaju.
Računarski orjentisani firewall-i su napravljeni kao jeftina alternativa
ostalima verzijama firewall-a, ali sa nekim manjim mogućnostima zaštite. Lako je
uočiti sve njihove prednosti i mane. Računarski orjentisane firewall-e ne treba
koristiti kao jedini nivo zaštite u mrežama, nego samo kao dodatak na opštu
sigurnost.

1.1.6 Hibridni firewall

Zbog velikog i brzog razvoja novih tehnologija, proširenosti Interneta i

različitih poslovanja koji svakodnevno koriste Internet kao komunikaciju, potreba
za mrežnom sigurnošću se mnogo povećala. Takođe, klasifikacija firewall-a
potrebnih za određenu vrstu zaštite pokazala kao težak posao. Kako bi obezbedili
jaku mrežnu sigurnost, određeni proizvođači mrežne opreme kombinuju više vrsta
prethodno navedenih firewall-a u jednom uređaju.
Takvi firewall-i se nazivaju hibridni firewall-i i uz posedovanje više vrsta
prethodno navedenih, mogu obavljati i ostale funkcije kao što su koncentrisanje
VPN saobraćaja, filtriranje IDS zaštite i usmeravanje IP saobraćaja. Hibridni
firewall-i danas predstavljaju standard i vrlo retko se može naći firewall-e koji su
specifični samo za jednu vrstu zaštite.

9. ZAKLJUČAK

Gotovo neprekidan razvoj tehnologije uslovio je veći broj korisnika

računarskih mreža, a proporacionalno tome i broj infoirmacija, resursa i drugih
koji kruže po toj mreži. Samim tim povećao se i broj stvari koje želimo da
sačuvamo od zloupotrebe i slično. Međutim srazmerno povećanju opasnosti rasla
je i potreba da se nađu načini na koje bi što efikasnije zaštitili nas kao korisnike,ali
i druge. Pa zato danas postoje mnogobrojne metode koje se koriste.
Saznali smo da su uslovi za stvaranje sigurnog sistema kriptografija, jaka
autentikcija, proveren softver i hardver itd..
A alati za stvaranje sigurnog sistema: Backup podataka, Firewall, Anti-
viriusni softver, sigurnosne sifre, zakrpe i slično..
Da bi naša račuanrska mreža radila u optimalnom „modu“ odnosno bez
određenih nedostataka i mana, potrebno je ispostovati sve ove procedure, jer

15
koliko god da koštaju, uvek će doneti veće dobro od nekih alternativnih rešenja
koja nas mogu učiniti lakom metom.

10. LITERATURA

1. Jevremović, A., Veinović, M., Šarac, M., Šimić, G., Zaštita u računarskim
mrežama, Univerzitet Singidunum, Beograd, 2014.
2. Jo, Srđan., Zaštita računarskih mreža – Analiza antivirusne zaštite, Master
rad, Univerzitet Singidunum, Beograd, 2014.
3. Grce, D., Zaštita računarskih mreža – Primena politika bezbednosti i
procedura u kontekstu povećanja pouzdanosti i bezbednosti računarskih
mreža, Master rad, Univerzitet Singidunum, Beograd, 2016.
16
4. https://muricmilorad.files.wordpress.com/2011/11/proxy-server.doc

17