5. Zaštita od računarskih virusa i napada sa Interneta

5.1. Zaštita od virusa

5.1.1. Pojam, istorijat i elementi zaštite

Računarski virusi postoje skoro podjednako dugo kao i računari, i svake godine nanose štetu izraženu u bilionima dolara. To su zlonamjerni kompjuterski programi (djelovi softvera koji se pripajaju pojedinim programima), dizajnirani za brzo širenje i isporučivanje različitih vrsta destruktivnog sadržaja na inficirane računare.

Koncept kompjuterskog virusa je izmišnjen 1949. godine, mnogo ranije nego što su računari postali široko rasprostranjeni. Te godine, Von Nojman je napisao «Teoriju i organizaciju komplikovanog automata». U tom radu, Von Nojman je postavio hipotezu po kojoj se kompjuterski program može samoreplicirati (prenijeti sa jednog na drugi računar) – tako je prorekao današnje somoreplicirajuće virusne programe. Ova teorija je zaživjela pedesetih godina dvatesetog vijeka, kada su programeri razvili igru pod nazivom «Core Wars», u kojoj su dva igrača puštala softverske «organizme» u računar i posmatrala kako se njihovi programi bore za kontrolu nad mašinom – kao i današnji virusi.

U stvarnom životu, kompjuterski virusi se javljaju ranih osamdesetih, zajedno sa pojavom prvih personalnih računara. Ovi rani virusi su se obično širili između korisnika koji su razmjenjivali programe i fajlove preko flopi diskova – zajednički flopi je bio savršen medijum za prenošenje virusa.

Kompjuterski virusi su slični biološkim virusima, jer nijesu zasebni entiteti i moraju koristiti host-a (domaćina, a to je neki drugi program ili dokument) kako bi se dalje prenosili. Mnogi virusi se skrivaju u kodu legitimnih softverskih programa tj. programi bivaju zaraženi. Kada se host program pokrene, izvršava se i kod virusa, tako da se virus učitava u memoriju računara. Odatle, kod virusa može da dopre do ostalih programa na sistemu i tako ih zarazi – kada pronađe program, virus dodaje i svoj kod, a zaraženi program može prenijeti virus i na druge računare. Većina virusa, pored umnožavanja, vrši i neke druge operacije, od kojih je većina destruktivna. Na primjer, virus može da izbriše određene fajlove sa računara, može da prepiše boot sektor hard diska, tako da disk postane nedostupan, izazove slanje e-mail poruka itd.

Danas postoji ogroman broj različitih virusa, a najbolja zaštita je peduzimanje maksimalnih mjera opreza prilikom preuzimanja fajlova sa Interneta i otvaranja e-mail attachment-a, kreiranje rezervnih kopija svih bitnih podataka, ažuriranje programa (preuzimanje i instaliranje zakrpa) i, naravno, upotreba i redovno ažuriranje nekog od brojnih antivirusnih programa koji postoje na tržištu.

Neki od najčešćih simptoma zaraženog računara su:1. Programi se završavaju ili zamrzavaju;2. Dokumenti postaju nedostupni;3. Računar se zamrzava ili se ne staruje ispravno;4. Taster CAPS LOCK presaje da radi ili radi na mahove;5. Povećana veličina fajlova;6. Na ekranu se često javljaju poruke o greškama;7. Na ekranu se često javljaju čudne poruke ili slike;8. Računar emituje čudne zvuke;9. Automatsko slanje pojedinih e-mail poruka na adrese iz adresara, itd.

60

Najčešće je za oporavak od virusa dovoljno samo pokrenuti odgovarajući antivirusni program. Međutim, ako je virus izbrisao ili oštetio pojedine dokumente, jedino rješenje je upotreba rezervnih kopija. U slučaju da je došlo do oštećenja pojedinih programskih fajlova potrebno je njihovo reinstaliranje, a ponekad i reinstaliranje čitavog operativnog sistema i formatiranje hard diska.

5.1.2. Vrste virusa

Već smo rekli da su računarski virusi dio softvera koji se krišom spajaju sa programima, a zatim izvode nešto neočekivano. Međutim, postoje i druge vrste programa – kao što su Trojanci ili crvi – koji nanose sličnu štetu, ali se ne ugrađuju u programski kod. Ti programi tehnički nijesu virusi, ali predstavljaju istu opasnost za kompjuterske sisteme. Zato se svi ti programi – virusi i ne-virusi – obično zajedno svrstavaju u istu grupu i u opštem govoru se nazivaju virusi (pojedini stručnjaci ih nazivaju i «malware» - skraćenica od «malicious software»).

Svi zlonamjerni programi ne funkcionišu na isti način, a pogađaju različite djelove računarskog sistema. Zato je za uspješnu zaštitu dobro znati ponešto o svim vrstama virusa.

Virusi koji inficiraju fajlove – Tradicionalni oblik računarskog virusa je infektor fajla koji se skriva u kodu drugog programa. Oni su prije pojave Interneta i makro virusa bili uzročnici skoro 85% svih infekcija. Zaraženi program može da bude poslovna aplikacija, pomoćni program ili čak i igra – bitno je samo da program bude izvršan, obično sa ekstenzijom EXE, COM, SYS, BAT ili PIF. Kada se zaraženi program pokrene, kod virusa se učitava u sistemsku memoriju, obično prije nego što se učita kod programa. Virus tada traži druge fajlove koje može da zarazi i umeće se u njih, a takođe isporučuje svoj sadržaj u skladu sa načinom na koji je programiran. Potom vraća kontrolu host programu koji završava učitavanje i prikazuje se na ekranu. Slika 5.1.1. ilustruje ovaj proces.

Slika 5.1.1. Način funkcionisanja virusa koji inficiraju fajlove

U zavisnosti od načina na koji inficiraju fajlove, virusi fajlova mogu se podijeliti u nekoliko kategorija:

61

Korisnik pokreće aplikaciju

Kod virusa je učitan u sistemsku memoriju

Virus ubacuje svoj kod u druge fajlove

Virus isporučuje svoj sadržaj (ako je predviđeno da se sadržaj isporučuje prilikom

prvog pokretanja virusa).

Kod host programa je učitan u sistemsku memoriju

Kontrola je vraćena na host program

1) Parazitni virusi – mijenjaju sadržaj inficiranih fajlova, ali tako da ti fajlovi i dalje ostanu kompletno ili djelimično upotrebljivi (programi i dalje relativno normalno funkcionišu). U većini slučajeva, originalni kod se pomjera naviše ili naniže kako bi se napravio prostor za kod virusa;

2) Virusi koji prepisuju sadržaj fajla – prepisuju originalni programski kod svojim kodom. Na taj način uništavaju originalni programski kod i program više na može da funkcioniše;

3) Virusi sa neprimijetnom ulaznom tačkom (EPO – Entry-Point Obscuring) – umeću u program samo kod koji pokreće kod virusa. Instrukcija koja pokreće kod virusa obično se izvršava pod specifičnim programskim uslovima, tako da virus može duže vremena ostati neaktivan.

4) Prateći virusi – kreiraju klon host fajla koji se zatim pokreće umjesto originalnog fajla (npr. kod DOS operativnog sistema formira se COM fajl koji se pokreće umjesto originalnog EXE fajla). Ovi virusi mogu da preimenuju ciljni fajl, a originalni naziv da dodijele zaraženom klonu ili da promijene DOS putanju tako da vodi do zaraženog fajla;

5) Crvi fajlova – ne povezuju se na postojeći fajl, već kopiraju svoj kod u novi fajl, obično mu dajući specifično ime (setup.exe, install.exe), tako da ga korisnik računara greškom može aktivirati. Ponekad ubacuju i kodove za pokretanje zaraženog fajla (npr. u BAT fajlove ili u Windows Startup);

6) Link virusi – ne mijenjaju fizički sadržaj host fajla, već kada se on pokrene primoravaju operativni sistem da pokrene i kod virusa. To se postiže modifikovanjem prvog klastera host fajla, tako da ukazuje na klaster koji sadrži kod virusa.

Virusi koji inficiraju fajlove mogu, takođe, biti statički ili polimorfni. Statički virusi se nikada ne mijenjaju tj. kod virusa ostaje isti kroz sve infekcije. Polimorfni virus se može mijenjati prilikom prelaska sa jednog sistema na drugi, tako da ga je teško otkriti. Takođe, virusi mogu kombinovati infekciju fajlova zajedno sa infekcijom boot sektora.

Najlakši način za detektovanje virusa koji inficiraju fajlove je praćenje veličine fajlova. Antivirsni programi takođe posjeduju i druge načine za identifikovanje ovih virusa. Oni mogu pretraživati izvorni kod kako bi pronašli tekst koji upisuju uobičajeni virusi. Takođe, mogu nadgledati pristup izvršnim fajlovima koji su obično read-only, tako da upis u bilo koji od ovih fajlova predstavlja sumnjivo ponašanje.

Virusi koji inficiraju boot sektor – Smješteni su na dijelu diska koji se učitava u memoriju prilikom podizanja sistema (na flopi disku to je boot sektor, a za hard disk ekvivalentna oblast poznata kao Master Boot Record - MBR). Kada se jednom učita, virus može da zarazi druge diskove koje računar koristi. Ovi virusi mogu biti izuzetno destruktivni – ako oštete ili prepišu boot sektor hard diska, mogu da spriječe kompletno startovanje računara, a mogu i da unište određene ili sve podatke sa hard diska. Oni su bili naročito aktuelni u vrijeme masovnog korišćenja flopi diskova, kada se virus prenosio sa flopi diska na hard disk (i obratno) i tako se širio. Danas je češći slučaj tzv. hibridnog virusa koji sadrži komponentu za inficiranje boot sektora zajedno sa infektorom fajla, Trojancem ili kodom crva.

U opštem slučaju, virusi boot sektora se lako identifikuju i uklanjaju. Tipični virus boot sektora usporava boot rutinu i često prikazuje neuobičajene poruke na ekranu računara. Antivirusni programi pronalaze ove viruse skeniranjem boot sektora. Većina virusa ima identifikujući tekst koji se inače ne nalazi u boot sektoru (odnosno MBR kodu). Na pojavu infekcije, takođe, ukazuje i promjena veličine MBR koda, jer prisutstvo virusa utiče na

62

povećanje njegove veličine (standardni MBR kod zauzima manje od polovine sektora na hard disku, a većina virusa je znatno veća).

Makro virusi – To su virusi kreirani pomoću makro jezika kojeg koriste brojne softverske aplikacije. Makroi su manji programi koji se kreiraju za visoko specifične zadatke u okviru aplikacije i napisani su pseudo programskim jezikom dizajniranim za rad sa aplikacijom (npr. Visual Basic for Applications (VBA) koji se koristi u Microsoft-ovim aplikacijama). Makro virusi se ne aktiviraju otvaranjem aplikacije, već tek nakon otvaranja zaraženog dokumenta (npr. otvaranjem zaraženog Word fajla). Da bi se to postiglo većina ovih virusa koristi makroe koji se automatski izvršavaju svaki put kada se dokument otvori (ili nakon specifične akcije programa), bez traženja dozvole ili akcije korisnika. Makro virus tada može da briše tekst, preimenuje ili briše fajlove i sl. Većina ovih virusa se kopira na standardni templejt (default tamplate) aplikacije (npr. u Microsoft Word-u to je templejt Normal, pod nazivom normal.dot), tako da svi novokreirani dokumenti bivaju zaraženi. Slika 5.1.2. prikazuje tipični makro virus nakon učitavanja i izvršenja.

Slika 5.1.2. Način na koji makro virus inficira sistem.

Prisustvo makro virusa obično može da se otkrije na osnovu neuobičajenog ponašanja host aplikacije. Jedan od načina za pronalaženje makro virusa jeste otvaranje liste makroa u aplikacionom softveru (u zaraženom dokumentu pojavljuju se nepoznati makroi). Takođe, makro virusi mogu izazvati promjenu standardnih (default) postavki u programu.

Najbolja zaštita od makro virusa jeste kombinacija bezbjednog ponašanja (neprihvatanje neželjenih dokumenata), antivirusnog softvera i konfigurisanje aplikacija tako da se pojavljuju upozorenja prije aktiviranje makroa.

Skript virusi – Ovi virusi su zasnovani na skript jezicima (Visual Basic Script – VBS, JavaScript i dr.), koji liče na makro pseudo-programske jezike, a koji se koriste na Web sajtovima i nekim kompjuterskim aplikacijama. Oni se često izvršavaju automatski sa otvaranjem Web stranice ili HTML e-maila. Napomenimo da se makro virusi mogu svrstati u grupu skript virusa, ali je način njihovog distribuiranja (preko dokumenata) drugačiji od

63

Dokument je otvoren (u okviru aplikacije)

Dokument učitava makroe

Izvršavaju se makroi koji se automatski pokreću

Virus je pokrenut kao auto-run makro i učitava se u sistemsku memoriju

Virus kopira svoje makroe u standardni templejt (šablon) aplikacije

Virus isporučuje svoj sadržaj

ostalih skript virusa (preko zaraženih Web stranica, e-mail poruka, fajlova pripojenih e-mail porukama i Internet Relay Chat – IRC sesija).

Standardni metodi zaštite od virusa mogu efikasno da zaštite sistem i od infekcija skript virusa. Moguća mjera je, takođe, konfigurisati Web browser i program za e-mail tako da automatski ne izvršavaju većinu uobičajenih ugrađenih skriptova.

Trojanci i crvi – Trojanac je program koji tvrdi da radi jednu, a ustvari radi sasvim drugu stvar. Isporučuje svoj sadržaj kroz obmanu, baš poput mitološkog trojanskog konja. Najčešće se isporučuju kroz attachment-e uz e-mail poruke. Otvaranjem attach fajla isporučuju svoj sadržaj i nanose štetu sistemu. Maskiraju se u praktično sve tipove fajlova (aplikacije, dokumente, slike, antivirusne alatke, itd.). Razlikuju se od klasičnih virusa po tome što se ne mogu replicirati (tj. kopirati). Posebnu opasnost čine tzv. backdoor Trojanci koji, neovlaštenim korisnicima, omogućavaju daljinski pristup inficiranom sistemu.

Crv je kompjuterski program koji se kopira sa jedne mašine na drugu, obično bez eksplicitne akcije korisnika. Šire se preko mreže (automatskim slanjem e-mail, IRC ili instant poruka). Isporučuju destruktivne sadržaje ili samo zagušuju mrežu samopropagiranjem. Najskriveniji su tzv. mrežni crvi. Najčešće koriste propuste u Web serverima i browserima. Dok funkcionišu, ovi programi postoje samo u sistemskoj memoriji tako da ih je teže identifikovati od pomenutih crva fajlova. Crvi skeniraju mrežu kompanije ili Internet, tražeći drugi računar sa specifičnim propustom po pitanju zaštite. Brzo se repliciraju, a mreža zaražena crvom može da se obori za nekoliko sati.

5.1.3. Osnovni principi rada antivirusnih programa

Većina antivirusnih programa ima slične funkcionalne karakteristike. Oni najčešće omogućavaju: ručno skeniranje, skeniranje u realnom vremenu (dinamičko nadgledanje sistema), skeniranje e-maila, učitanih fajlova, skriptova i makroa. Pored mogućnosti za pronalaženje poznatih virusa (skeniranjem potpisa), obično imaju mogućnost detekcije i nepoznatih virusa (najčešće primjenjuju heurističko skeniranje). Opisaćemo ukratko ove tehnike.Skeniranje potpisa – Primarni metod detektovanja poznatih virusa kojeg koriste antivirusni programi naziva se skeniranje potpisa. Ovaj metod provjerava da li u sadržaju skeniranog fajla postoje unaprijed definisane jedinstvene sekvence binarnih kodova poznatih virusa (slika 5.1.3.). Kodovi poznatih virusa se nalaze u bazi podataka antivirusnog programa. U slučaju podudarnosti, program označava fajl kao inficiran i preduzima odgovarajuću akciju.

Inficirani fajlVirus A: 01 02 03 04 A2 B7 D5 E9Virus B: 11 12 13 14 54 A6 B2 55Virus C: 21 22 23 24 00 11 33 55Virus D: 31 32 33 34 31 32 33 34Virus E: 41 42 43 44 00 00 FF 0FVirus F: 51 52 53 54 00 22 99 FF

Definicije virusa

Podudarnost

Skener potpisa

Slika 5.1.3. Identifikacija poznatog virusa skeniranjem potpisa.

Danas postoje virusi kod kojih kod mutira prilikom repliciranja, dok neke mutacije bivaju i kriptovane. Na taj način, javlja se potreba da fajlovi sa potipisima (fajlovi u kojima se nalaze definicije virusa) antivirusnih programa uključuju i odgovarajuće algoritme za

64

dekriptovanje. Situacija se dodatno komplikuje sa pojavom tzv. polimorfnih virusa koji generišu slučajne rutine za enkripciju.

Provjera integriteta – Alternativa skeniranju potpisa jeste provjera integriteta. Ova starija tehnika je relativno jednostavna, jer se traže samo promjene u veličini individualnih fajlova. Fajlovi na hard disku se skeniraju i registruju se njihove veličine. Saki sljedeći put kada se pokrene provjera integriteta vrši se upoređivanje veličine fajlova sa prethodno memorisanim veličinama i, u slučaju razlike, program ukazuje na moguću infekciju. Ova metoda je dobra za testiranje fajlova koji imaju fiksnu veličinu (npr. izvršni fajlovi), ali je beskorisna u slučaju fajlova čija se veličina često mijenja (npr. dokumenti). Drugim riječima, provjera integriteta može biti korisna za odbranu od virusa koji inficiraju fajlove, ali ne za odbranu od makro i skript virusa.

Heurističko skeniranje – Heurističko skeniranje je jedna od najčešće korišćenih alternativa skeniranju potpisa. Ova vrsta skeniranja ne traži viruse, već ponašanje karakteristično za viruse. Drugim riječima, heuristički skener ne zavisi od specifičnih potpisa virusa, već traži opšte kodne sekvence koje se obično pronalaze samo u kodovima virusa, a ne i u legitimnim programima. Na primjer, ako heuristički skener pronađe da dio koda u programu pokušava da promijeni Windows Registry, program se označava kao mogući virus. Na ovaj način moguće je otkriti i nepoznate viruse tj. one za koje ne postoji definicija (registrovani potpis).

Postoji nekoliko različitih načina za implemetaciju heurističkog skeniranja. Oni obično daju slične rezultate, a različiti antivirusni programi najčešće, pored standadrnog skeniranja potpisa, koriste neki od njih. To su:

1) Filtriranje sadržaja – Ovo je jedan od najtradicionalnijih metoda za heurističko skeniranje. Filtar sadržaja upoređuje osnovni kod svih dolazećih programa sa ugrađenom bazom pravila. Antivirusni softver, ustvari, traži samo ono što podsjeća na kod virusa zadužen za neku sumnjivu akciju. Na primjer, ako pronađe programski kod zadužen za brisanje EXE fajla, generiše poruku o mogućoj infekciji.

2) Sandboxing – Sandboxing je interesantan pristup skeniranju virusa po tome što dozvoljava pokretanje dolazećeg programa unutar virtuelnog sandbox-a (eng. ograđeni prostor sa pijeskom – ustvari zaštićeno okruženje unutar koga se program može pokrenuti bez bojazni od oštećenja ostalog dijela sistema). Sandbox simulira operativno okruženje računara (virtuelni računar), a sandboxing softver traži specifične aktivnosti pokrenutog programa. Ako se pojave takve aktivnosti (pokušaj brisanja fajlova, modifikovanje postavki operativnog sistema, editovanje Registry-a, itd.), softver daje upozorenje o fajlu koji potencijalno sadrži virus.

3) Analiza ponašanja – Analizom ponašanja se ne provjeravaju programski kodovi, već se prati ponašanje cjelokupnog sistema. U zavisnosti od toga kako sistem reaguje na specifični program, softver za analizu ponašanja može da utvrdi da li je u toku napad virusa ili hakera. Softver se, dakle, izvršava u pozadini, prati rad sistema i reaguje na svako odstupanje od standardnih operativnih procedura. U slučaju da neka operacija (komanda) ne zadovoljava heuristički test, ona biva blokirana, a sistem i dalje nastavlja da funkcioniše.

Nedostatak heurističkog načina skeniranja je često generisanje pogrešnih upozorenja. Takođe, veliki broj virusa se ne može na ovaj način registrovati, jer se njihovi kodovi ne uklapaju u heurističke profile.

65

5.2. Zaštita od napada sa Interneta

Infekcija virusima nije jedini način na koji računar ili računarska mreža mogu biti napadnuti. Zlonamjerni pojedinci mogu direktno izvršiti napad, pristupajući sistemu preko neke vrste zadnjih vrata (backdoor), a zatim mogu krasti značajne podatke, brisati fajlove ili iskoristiti osvojeni računar za napade na druge računare, mreže ili Web sajtove. Posebno zlonamjerni napadači mogu da preplave sistem sa zahtjevima za podacima i e-mail porukama i toliko opterete sistem da ga na kraju obore ili isključe sa veze. Napadači najčešće koriste lako upotrebljive hakerske i krekerske alatke koje se na jednostavan način mogu pronaći na Internetu.

5.2.1. Priprema napada

Prije nego što otpočne napad zlonamjerni haker najčešće izvodi pripremne aktivnosti, a to su: snimanje, skeniranje i popisivanje sistema.

Snimanje sistema ili označavanje mete sastoji se u prikupljanju što više podataka o cilju kako bi se izveo usredsređen i precizan napad koji neće biti lako otkriven. Zbog toga će napadač sakupiti sva moguća obavještenja o svim aspektima sistema bezbjednosti računara određene organizacije. Služeći se različitim alatkama i tehnikama, napadači mogu npr. otkriti imena domena, specifične IP adrese sistema, mehanizme upravljanja pristupom i odgovarajuće liste za kontrolu pristupanja, sisteme za detekciju upada, sistemske podatke, vrstu sistema za daljinski pristup, brojeve telefona i dr.

Ako snimanje sistema uporedimo sa otkrivanjem mjesta na kome se informacije nalaze, skeniranje možemo da shvatimo kao kuckanje po zidovima da bi se utvrdilo gdje se nalaze vrata i prozori. Na primjer, ne moraju sve otkrivene IP adrese u procesu snimanja biti dostupne sa Interneta. Cilj skeniranja je mapiranje mreže kako bi se utvrdili aktivni sistemi dostupni sa Interneta, kao i da li se i preko kojih priključaka osluškuju. Najčešće tahnike su: automatsko skeniranje mreže signalom ping, skeniranje priključaka i korišćenje alatki za automatsko otkrivanje.

Uz pretpostavku da početno prikupljanje podataka o cilju i neupadljivo sondiranje nije otkrilo način za lako osvajanje sistema napadač se neminovno okreće otkrivanju važećih korisničkih naloga ili slabo zaštićenih dijeljenih resursa. Ima mnogo načina da se iz sistema izvuče važeći nalog, da se ulove imena resursa koja se izvoze iz sistema, a taj proces jednim imenom možemo nazvati popisivanje. Popisivanje, međutim, podrazumijeva aktivne veze sa sistemima i usmjereno pretraživanje, tako da ono može biti zabilježeno ili na drugi način zapaženo. Ako se potom ne preduzmu odgovarajuće protivmjere (sprečavanje pukotina kroz koje cure informacije) napadač npr. vremenom može, nakon pronalaženja važećeg korisničkog imena ili diljenog resursa, probiti odgovarajuću lozinku ili otkriti rupe u protokolu za dijeljenje resursa.

Nakon uspješno obavljenih pripremnih aktivnosti napadač odabira najranjiviji dio mreže kako bi izvršio željene aktivnosti. Ukratko, osnovni koraci napada su:

Izabiranje mete; Označavanje mete (snimanje sistema) – identifikacija IP adresa, naziva servera,

brojeva telefona, personalnih ključeva i drugih informacija koje mogu biti korisne za infiltriranje u sistem;

66

Skeniranje i mapiranje ciljne mreže kako bi se identifikovali sistemi i uređaji; Identifikacija ranjivih servisa i sistemskih resursa; Izabiranje dijela mreže, obično jednog računara, koji je posebno ranjiv; Proučavanje ranjivosti; Preuzimanje kontrole nad sistemom i izvršenje željene aktivnosti.

5.2.2. Vrste napada

Napadi mogu biti izvedeni izuzetno jednostavnom tehnologijom (npr. lažno predstavljanje službenika kompanije u telefonskom razgovoru) ili korišćenjem visoke tehnologije (npr. prebacivanje adrese web sajta na drugi server). Spomenućemo neke od vrsta napada:

- Napadi koji koriste ljudski kontakt (Social Engineering Attacks) – Ovi napadi imaju više oblika, a koriste ljudsku kontakt kako bi im se, lažnim predstavljanjem, obmanama i prevarama, omogućio pristup ili otkrili pojedini podaci. Komuniciranje se može obavljati putem e-mail-a, IRC-a (Internet Relaz Chat) ili telefona.

- Napadi imitiranjem – Dok se napad koji koristi kontakt među ljudima bavi prevarom ljudi, napad imitiranjem bavi se prevarom kompjutera. Do ove vrste napada dolazi kada napadač ukrade prava pristupa od autorizovanog korisnika. Napadač tada može da podesi svoj kompjuter da imitira drugi, autorizovani kompjuter, i dobije pristup inače zatvorenim sistemima. Sigurnosni sistem prepoznaje napadača kao korisnika čija je lozinka ukradena, tako da se ovaj, nakon što počini štetu, može bez bojazni odjaviti.

Za otkirvanje korisničkih imena i lozinki najčešće se koriste tzv. snifer programi. Sniferi (sniffers - njuškala) osluškuju saobraćaj na mreži i ispituju šta se tačno kreće mrežom. Oni ne samo da nadgledaju saobraćaj već i preuzimaju nešifrovane komunikacije (npr. lozinke poslate u obliku običnog teksta). Na primjer, korisnici koji šalju informacije neobezbijeđenim web sajtovima podložni su snifer krađama (obezbijeđeni web sajtovi uglavnom sprečavaju snifere).

- Napadi korišćenjem povjerenja u gostujuće kompjutere (Transitive Trust Attacks) – Ova vrsta napada iskorišćava povjerenje u odnos host-to-host ili network-to-network. To povjerenje obično omogućava kompjuterima izvan konkretne mreže da joj pristupe kao da su dio te mreže – bez uobičajenih lozinki i protokola potrebnih za udaljeni pristup. Na primjer, adiministrator mreže može da napravi bazu podataka provjerenih kompjutera (obično drugih servera u velikoj kompaniji), tako da se korisnici sa tih kompjutera mogu prijaviti bez unosa lozinke. Ako napadač može preurediti tu listu i ubaciti svoj kompjuter, onda može pristupiti mreži bez ikakve lozinke. Ipak, najčešći slučaj napada je kada napadač uspije da pristupi nekom od administratorskih naloga i dobije slobodan pristup sistemu.

- Eksploatisanje slabosti – Kada jednom nađe rupu u obezbjeđenju haker može koristiti bagove ili rupe u programu (npr. nekom MS Office programu, Internet explorer-u i dr.) ili operativnom sistemu (npr. Windows-u), kako bi napravio odgovarajuću štetu. Na primjer, ova vrsta napada često koristi programerski bag nazvan prekoračenje bafera. Kada se bafer napadnutog programa prepuni podacima (zahvaljujući napadaču), originalni kod programa se izbacuje i ubacuje se drugi kod. Na ovaj način se u suštini reprogramira program, omogućavajući napadaču da aktivira svoj kod.

67

- Infrastrukturni napadi (Infrastructure Attacks) – Infrastrukturni napad koristi slabosti u tehničkom protokolu ili određenoj infrastrukturi. Podsjeća na napad eksploatisanja slabosti programa, izuzev što je rašireniji – obuhvata cio sistem. Postoji više vrsta infrastrukturnih napada, a neki od njih su:

DNS prevara (DNS spoofing) – Odvija se kada napadač otme DNS (Domain Name System) ime koje odgovara IP adresi nekog kompjutera ili Web servera. Napadač iskopira DNS ime na IP adresu svog kompjutera. Tada, korišćenjem napada povjerenje u gostujuće kompjutere, eventualno može pristupiti i drugim serverima i mrežama.

FTP odbijanje (FTP bouncing) – U ovom slučaju pronalazi se pogodan FTP server koji se koristi za slanje e-maila drugim kompjuterima i na taj način se skriva izvor bilo kog napada e-mailom.

ICMP bombardovanje (ICMP bombing) – Protokol za kontrolu internet poruka (ICMP – Internet Control Message Protocol) koristi se od strane Internet usmjerivača (rutera) za obavještenje host kompjutera da je određena destinacija nedostupna. Napadač šalje mnoštvo lažnih ICMP poruka kako bi izbacio host kompjuter sa Interneta.

Preusmjeravanje saobraćaja ka izvoru (Source Routing) – Ovo je sofisticiran napad koji koristi ICMP bombardovanje i DNS prevaru kao korake ka većem napadu. Napad počinje ICMP bombardovanjem provjerenog host kompjutera u ciljanoj mreži, kako bi se on izbacio sa Interneta. Napadač potom zauzima njegovo mjesto podešavanjem svoje adrese na adresu bombardovanog kompjutera. Host kompjuter mreže koja je krajnji cilj napada sada gleda na sve komunikacije koje dolaze sa napadačevog kompjutera kao da dolaze sa host kompjutera.

Trka za autentikacijom (Racing authentication) – U ovoj vrsti napada napadač se prijavljuje na mrežu u isto vrijeme kad i registrovani korisnik. On koristi isto korisničko ime kao i registrovani korisnik i čeka dok on ne unese sve osim posljednjeg znaka svoje lozinke. Tada napadač nasumice unosi posljednji znak i, ako pogodi, pristupa ciljanoj mreži, dok je registrovani korisnik isključen.

Pogađanje TCP niza (TCP sequence quessing) – Ova vrsta napada omogućava da se napadačevi podaci infiltriraju u ciljanu mrežu. Tehnika je bazirana na činjenici da su konekcije preko Interneta označene brojevima u polunasumičnom nizu koji raste. Napadač presretne trenutnu konekciju ka ciljanom kompjuteru i (koristeći odgovarajući program) pogađa broj narednog mogućeg niza. U slučaju da pogodi, stvara se nova konekcija ka ciljanom kompjuteru i tada se mogu emitovati loši podaci i intrukcije.

TCP upad (TCP Splicing) – Napadač se pozicionira negdje u mreži na putanji između dva kompjutera i čeka da se legitmna konekcija uspostavi između njih. Jednom kada je konekcija uspostavljena napadač upada u nju, otima tok podataka i postaje jedan od korisnika.

Korišćenje slabosti bežične mreže – Ako kompanija koristi mreže zasnovane na WiFi bežičnom protokolu, a nije uključila opciju za šifrovanje (WEP – Wired Equivalent Privacy), napadač može na relativno lak način pristupiti mreži (npr. korišćenjem laptopa i antene u blizini poslovnih objekata).

- Napadi uskraćivanja usluga (Denial-of-service) – Denail-of-service (DoS) napad zatrpava kompjuter ili mrežu podacima ili porukama, u suštini preopterećujući sistem i onemogućavajući njegovo korišćenje. Ovo je vjerovatno trenutno najrašireniji oblik napada preko Interneta. Postoji puno načina da se započne DoS napad, uključujući:

Korišćenje ICMP bombardovanja da bi se ruter izbacio sa Interneta; Korišćenje bombardovanja e-mailom da bi se preopteretio ciljani e-mail server;

68

Zatrpavanje ciljanog kompjutera nepotrebnim podacima da bi se preopteretio propusni opseg;

Stalno pingovanje ciljanog kompjutera da bi se preopteretio njegov propusni opseg, kao u ICMP napadu.

Većina DoS napadača koristi mnogobrojne kompjutere kontrolisane na daljinu (zombije) da bi što više preopteretili ciljani kompjuter. DoS napad velikih razmjera – tehnički nazvan distribuisani DoS napad – može koristiti hiljade zombi kompjutera, gdje svi zajedno simultano opterćuju metu beskorisnim podacima.

- Otmica kompjutera (Session Hijacking) – Ova vrsta napada ne ugražava kompjuter koji napadač uspije da daljisnki kontroliše, već ga zapravo koristi da bi se napao drugi kompjuter. Osvojeni računar se najčešće koristi prilikom DoS napada, ali može se iskoristiti za sprovođenje nekog drugog oblika napada preko Interneta. On predstavlja samo zombi koji izvršava napadačeve komande i skriva njegov stvarni identitet.

Većina ovih napada postiže se instalacijom primljenog fajla (npr. fajla poslatog putem e-maila), najčešće Trojanca, na zombi kompjuteru. Napomenimo da otmicu kompjutera često prati i upotreba «keylogger» programa. Ovi programi tajno pamte sve što korisnik unosi u računar (preko tastature) i šalju informacije napadaču koji može, na taj način, otkriti korisnikovu lozinku ili pojedine lične podatke.

Pored pomenutih vrsta napada, u napade preko Interneta možemo ubrojiti i krađu privatnosti pojedinaca, slanje neželjenih e-mail poruka (spam-ova), kao i upade sa Weba tipa iskačućih reklama (pop-ups) i nepoželjnih oglasa. Napomenimo da se krađa privatnosti najčešće ostvaruje pomoću špijunskih programa (spajvera, spy - špijun) koji prate nečije aktivnosti na računaru, a snimljene podatke u obliku dnevnika šalju kompaniji autoru spajvera; ili instaliranjem kolačića (Cookie) – malih fajlova koje postavljaju pojedini Web sajtovi na računar korisnika prilikom njegove posjete sajtu, a koji prikupljaju informacije o njemu i njegovim aktivnostima na Webu (npr. korisničko ime, lozinka, podaci o kreditnoj kartici i sl).

Većina indivudualnih korisnika računara izložena je relativno malom riziku od napada sa Interneta. Rizik od napada smanjuje se korišćenjem jakih lozinki, korišćenjem šifrovanja, isključivanjem Windows opcije file sharing, ažuriranjem programa i operativnog sistema uz pomoć najnovijih bezbjednosnih zakrpa, instaliranjem zaštitne barijere (engl. firewall – vatreni zid – postoji veliki broj ovakvih programa, a postoji čak i ugrađen npr. u Windows XP-u), pravljenjem rezervnih kopija najvažnijih podataka i dr.

Da bi se računarska mreža zaštitila od napada mora se sprovesti veći broj sigurnosnih mjera. Ove mjere mogu obuhvatati korišćenje zaštitne barijere (kao softver, kao hardver ili i jedno i drugo), proxy servera, demilitarizovane zone, e-mail mrežnog prolaza i sistema za detektovanja napada.

5.2.3. Zaštita računarskih mreža

Nijedna mreža, ma kako obezbijeđena, nije u potpunosti sigurna, ali što je više truda potrebno da uloži potencijalni napadač da bi ugrozio mrežu, to je sigurnost veća. Zato je ključ za odbranu jedne mreže stvaranje što više prepreka potencijalnom napadaču. Ovaj koncept višestrukih odbrana naziva se Layered Security Architecture (LSA), a podrazumijeva

69

upotrebu nekoliko različitih slojeva softvera i hardvera u cilju zaštite važnih resursa na mreži. Tu spadaju (slika 5.2.1.):

Firewall program Firewall hardver Proxy server Demilitarizovana zona (DMZ) E-mail mrežni prolaz (gateway) Sistem za detekciju napada (IDS - Intrusion Detection System)

Slika 5.2.1. Opšta konfiguracija zaštićene mreže

Firewall (vatreni zid, zaštitna barijera) – Firewall-i se koriste za kreiranje kontrolnih tačaka bezbjednosti (chekpoints), na granicama privatnih mreža. Na ovim kontrolnim tačkama firewall-i ispituju sve pakete koji prolaze između privatne mreže i Interneta, u zavisnosti od toga da li odgovaraju pravilima politike programirane na firewallu. Ako je firewall propisno konfigurisan, u mogućnosti je da ispita svaki protokol kome je dozvoljen prolaz. Na taj način, on sprečava neautorizovani saobraćaj sa Interneta da dopre do unutrašnjosti mreže, čime se sprečavaju potencijalni napadi i prije nego što dopru do korisnika mreže.

Zaštitna barijera se, u slučaju manjih mreža, realizuje softverski ili hardverski u vidu rutera (usmjerivača) koji posjeduje firewall opciju. Za veće mreže, firewall je izuzetno složen i skup, a zahtijeva odlično poznavanje teorije i administracije mreže da bi bio pravilno instaliran i konfigurisan.

70

Poxy serveri – Proxy server predstavlja takozvanu bafer zonu između Interneta i individualnih korisnika lokalne mreže. Kada se on koristi, računari iz lokalne mreže ne pristupaju Internetu direktno, već pristupaju web stranama posredno preko proxy servera. Proxy server je kao vatreni zid, pošto se on nalazi između lokalne mreže i Interneta. Međutim, on prevazilazi običnu zaštitu vatrenog zida sa svojom opcijom keširanja web stranica (za razliku od proxy servera, vatreni zid generalno ne prihvata zahtjeve korisnika). Proxy serveri često zamjenjuju firewall, a mnogi firewalli obavljaju i funkciju proxya.

Demilitarizovana zona – Demilitarizovana zona (DMZ - demilitarized zone) je dio mreže koji ne pripada ni lokalnoj mreži niti je dio spoljne mreže (Interneta). Nju je poželjno instalirati u slučajevima kada postoje udaljeni korisnici koji pristupaju podacima na javnim serverima (npr. web serveru, e-mail serveru, itd.). Janvni serveri se tada smještaju unutar demilitarizovane zone. U tom slučaju, između lokalne mreže i javnih servera nalazi se sloj zaštitne barijere, čime se povećava bezbijednost unutrašnjeg dijela mreže. DMZ se može kreirati postavljanjem dvostrukog firewall-a (unutar dva firewalla je DMZ), a takođe postoje i DMZ firewall-i koji prave trostruki interfejs (jedan ka Internetu, drugi ka DMZ, treći ka lokalnoj mreži)

E-mail mrežni prolaz (e-mail gateway) – E-mail mrežni prolaz je poput proxy servera za e-mail. U svom najjednostavnijem obliku, mrežni prolaz funkcioniše kao e-mail server, baveći se čuvanjem e-mailova ili rutingom. Pored toga, e-mail mrežni prolaz obuhvata veliki broj sigurnosnih funkcija, uključujući skeniranje na viruse, uklanjanje fajlova povezanih sa e-mailovima, filtriranje sadržaja, blokiranje nepoželjnih poruka i sprečavanje napada. Svi poslati mailovi prolaze kroz filter mrežnog prolaza i sve dolazeće poruke se zaustavljaju u prolazu i tu obrađuju.

Sistemi za detektovanje upada u mrežu – U suštini, sistem za otkrivanje napada stalno nadgleda razne resurse sistema i aktivnosti, tražeći znake da je došlo do spoljašnjeg napada ili upada u sistem. Verzija ovog programa posvećena mreži zove se NIDS (Network intrusion detection system) i ona upozorava na svaki upad u mrežu. Kod velikih mreža, instaliranje NIDS programa je obavezno. Ovi sistemi, da bi spriječili neautorizovano korišćenje resursa na mreži ili zlonamjerno korišćenje od strane autorizovanih korisnika koji su prekoračili svoja ovlašćenja, detektuju prestupe IP protokola, IP skeniranje, napade na lozinke i druge neobične aktivnosti. Mnogi IDS programi koriste detekciju zasnovanu na potpisu, koji upoređuje nadolazeći saobraćaj sa već poznatim tehnikama napadača (slično tehnici skeniranja potpisa koju koriste antivirusni programi). Generalno, funkcije koje mogu obavljati IDS-i su:

monitoring i analiza aktivnosti korisnika i sistema, provjera konfiguracije i ranjivosti sistema, procjena integriteta kritičnih sistemskih fajlova, prepoznavanje uzoraka poznatih napada, statistička analiza uzoraka neuobičajenonog ponašanja, prepoznavanje aktivnosti korisnika koje utiču na funkcionisanje operativnog sistema, automatska instalacija novih verzija softvera, instalacija i rad servera mamaca za snimanje informacija o napadačima.

Postoje i proizvodi za ispitivanje ranjivosti sistema (VA - Vulnerability Assessment). Oni vrše rigorozno ispitivanje sistema da bi pronašli slabosti u njemu koje mogu da naruše bezbjednost. Ovo se postiže na dva načina:

pasivan – provjera konfiguracionih datoteka, lozinki i drugih sistemskih objekata,

71

aktivan – iniciranje serija poznatih napada i praćenje ponašanja sistema prilikom tih napada.

Sistemi za provjeru ranjivosti funkcionišu tako što daju snimak bezbjednosti sistema u određenom vremenskom trenutku. Ovi sistemi odnosno skeneri nijesu u mogućnosti da pouzdano detektuju napad koji je u toku, ali oni mogu da predvide mogućnost napada, ili čak i da li se napad desio. Neki od ovih sistema imaju mogućnost da vrše neku vrstu diferencijalne analize, tako što arhivirane rezultate prethodnih skeniranja porede sa novim skeniranjima i izvještavaju o pojavi neočekivanih promjena ili novih ranjivosti sistema. Oni su koplementarni sa sistemima za detekciju, jer omogućavaju proaktivnu zaštitu sistema pronalazeći i zatvarajući sigurnosne rupe, prije nego što ih napadač iskoristi, za razliku od IDS-a koji je po svojoj prirodi reaktivan i koji nadgleda i eventualno pokušava da prekine napad prije učinjene štete.

Pored instaliranja pomenutih (ili samo nekih od njih) komponenti za zaštitu, potrebno

je imati jasnu zaštitnu politiku, zajedno sa ograničenjima pristupa, obavezom čestog mijenjanja lozinke, pravljenjem rezervnih kopija važnih podataka, itd. Bezbjednost sistema se značajno poboljšava korišćenjem sistema za enkripciju (npr. HTTPS baziran na SSL/TLS protokolu), virtualne privatne mreže (VPN – Virtual private network) i antivirusnih skenera. Ako se radi o manjoj, nerazvijenoj mreži (slabije zaštićenoj), onda je dobro prebaciti što više servisa na Internet provajder (ISP – Internet service provider), kako bi se iskoristila dodatna zaštita koju posjeduje ISP.

Prema nekim istrživanjima, postoji veliki broj slučajeva kada je ugroženost bezbjednosti velikih mreža, posledica napadača koji se nalaze u samoj kompaniji. Ovi unutrašnji sigurnosni problemi imaju više uzroka: ljudska greška, loša zaštita lozinki, namjerni napad zaposlenih radnika i dr. Bezbjednosni stručnjaci preporučuju da svaka veća kompanija za zaštitu od unutrašnjih grešaka i napada preduzme odgovarajuće mjere, među kojima su:

Ne dozvoliti da samo jedna osoba kontroliše cijelu mrežu, ali takođe ne dati većem broju zaposlenih ta prava;

Zahtijevati da svaki zaposleni koristi lozinku kada se prijavljuje na mrežu, ali i da se te lozinke često mijenjaju;

Često praviti rezervne kopije, naročito ključnih podataka; Zavesti strogu kontrolu nad rezervnim kopijama; Čuvati servere u fizički obezbijeđenoj prostoriji; Instalirati najnovije bezbjednosne zakrpe; Instalirati IDS da bi administratori bili upozoreni u slučaju da je sistem

napadnut; Instalirati program za nadgledanje mreže, itd.

Napomenimo da, pored zaštite mreže od napada, mrežu je potrebno zaštiti i od fizičkog kvara i nestanka električne energije. To znači, potrebno je instalirati izvore neprekidnog napajanja (UPS), praviti često rezervne kopije i koristiti različite pomoćne programe za održavanje sistema.

Na kraju, možemo reći da su za uspješnu zaštitu računarske mreže neophodne tri komponente: prevencija, detekcija i obrada napada. Prevencija podrazumijeva sve mjere koje neka organizacija preduzima da bi umanjila rizike za bezbjednost svog sistema. To su, kako projektovanje i implementacija bezbjednijih operativnih sistema, tako i bezbjednosna pravila, enkripcija, identifikacija, autentifikacija i firewall sistemi. Detekcija je proces gdje dolaze do

72

izražaja IDS i antivirusni skeneri. Rezultati procesa detekcije dovode do sljedećeg procesa – obrade napada, koji obično ima dvije faze. Prva je istraživanje otkrivenih problema i dokumentovanje uzroka problema i druga, otklanjanje nastalog problema ili osmišljavanje načina za otklanjanje problema ukoliko se ponovo javi. Svi savremeni IDS-ovi trebalo bi da na osnovu bezbjednostnih pravila, procedura i iskustva, automatski izvršavaju ove dvije faze.

5.2.4. Funkcije mrežne barijere

Firewalli održavaju Internet konekciju što je moguće bezbjednijom tako što ispituju i nakon toga odobravaju ili odbijaju svaki pokušaj povezivanja privatne mreže i spoljnih mreža, kao što je Internet. Oni omogućavaju centralizaciju svih bezbjednosnih servisa na spoljnim mašinama koje su optimizovane i posvećene zadatku zaštite.

Po prirodi, firewalli kreiraju "uska grla" (bottlenecks) između unutrašnjih i spoljnih mreža. Razlog za to je što sva saobraćajna tranzicija između ovih mreža mora proći kroz jednu tačku kontrole. Ovo je mala cijena za bezbjednost. S obzirom na to da su spoljne zakupljene linije relativno spore u poređenju sa brzinama modernih računara, zastoj prouzrokovan firewallima može biti kompletno transparentan. Većini korisnika su relativno jeftini firewall uređaji više nego dovoljni da se povežu sa Internetom. Za poslovne potrebe i potrebe ISP-a (Internet Service Provider - Dobavljač Internet usluga), čiji je Internet saobraćaj na mnogo višem nivou, razvijeni su ekstremno brzi (i skupi) firewalli, koji su u mogućnosti da opsluže i najzahtjevnije privatne mreže.

Firewalli primarno funkcionišu koristeći tri osnovna metoda: Filtriranje paketa - Odbacuje TCP/IP pakete neautentifikovanih hostova kao i pokušaje

povezivanja na neautentifikovane servise. Network Address Translation (NAT) - Prevodi IP adrese unutrašnjih hostova i tako ih

skriva od spoljnog praćenja. Ovaj metod se naziva i maskiranje IP adrese (IP address masquerading).

Proxy servisi - Uspostavljaju konekcije na visokim aplikacionim nivoima za unutrašnje domaćine u cilju da se kompletno prekine konekcija mrežnog sloja između unutrašnjih i spoljnih domaćina.

Moguće je korišćenje uređaja ili servera koji obavljaju samo jednu od navedenih funkcija; na primjer, može se koristiti usmjerivač (ruter) koji obavlja filtriranje paketa, kao i proxy server na posebnoj mašini. Na ovaj način, filter za pakete mora propustiti saobraćaj kroz proxy server ili se proxy server mora nalaziti van unutrašnje mreže, bez zaštite koju pruža filtriranje paketa. Oba načina su opasnija od korišćenja samo jednog firewall proizvoda koji obavlja sve bezbjednosne funkcije u isto vrijeme. Većina firewalla takođe obavlja dva podjednako važna bezbjednosna servisa:- Šifrovana autentifikacija - Omogućava korisnicima na javnim mrežama da dokažu svoj identitet firewallu, u cilju sprečavanja pristupa privatnim mrežama sa spoljnih lokacija.- Virtualno privatno umrežavanje (VPN) - Uspostavlja bezbjednu konekciju između dvije privatne mreže preko javnog medijuma kao što je Internet. Ovo omogućava korišćenje Interneta fizički odvojenim mrežama bez zakupljivanja direktnih linija. VPN-i se takođe nazivaju šifrovanim tunelima.

Takođe, neki firewalli obezbjeđuju dodatne servise kao što su:- Skeniranje virusa – Pretražuju se dolazeći nizovi podataka u potrazi za virusima. Ažuriranje servisa liste virusa zahtijeva pretplatu kod proizvođača firewalla.- Filtriranje prema sadržaju - omogućava da se unutrašnjim korisnicima blokira pristup određenim tipovima sadržaja.

73

Opisaćemo detaljnije pet primarnih funkcija koje većina firewalla pokriva:

Filtriranje paketaPrvi Internet firewalli su bili jednostavni filteri paketa. Filtriranje paketa i danas ostaje

jedna od ključnih funkcija firewalla. Filteri upoređuju mrežne protokole (kao što je IP) i pakete transportnih protokola (kao što je TCP) sa pravilima regulisanim u bazi podataka i prosleđuju samo one koji potpadaju pod kriterijum specificiranih pravila. Filteri mogu biti implementirani ili u ruterima ili u okviru TCP steka na serveru. Oni koji su implementirani unutar usmjerivača (ruter) sprečavaju da saobraćaj sumnjivog porijekla stigne do odredišne mreže, dok moduli TCP filtera jednostavno sprečavaju tu specifičnu mašinu da odgovara na saobraćaj sumnjivog porijekla.

Tabela 5.2.1 Filtriranjem Internet konekcije se sprečava neželjeni saobraćaj

Firewall pravila (dozvoljeni portovi)TCP port 80 (Web)TCP port 25 (Mail)TCP port 21 (FTP)

Neka od tipičnih pravila koja filteri slijede su:- Odbacuju dolazeće zahtjeve za konekciju, ali dozvoljavaju zahtjevima za izlaznu konekciju da prođu;- Eliminišu TCP pakete upućene na portove koji ne bi trebalo da budu raspoloživi za Internet (kao što je port za NetBIOS sesiju), ali dozvoljavaju prolaz paketima koji bi trebalo da su raspoloživi (kao što je SMTP). Većina filtera može tačno odrediti koji saobraćaj ide na određeni server - na primjer, SMTP saobraćaj bi trebalo kroz port 25 da ide samo na IP adresu servera za poštu (mail server);- Zabranjuju zahtjev za pristup dolazeće konekcije određenim IP opsezima.

Sofisticirani filteri proučavaju sve konekcije koje prolaze kroz njih, pri tom tražeći izdajničke znake hakerisanja, kao što je navođenje tačne putanje puta (source routing), preusmjeravanje ICMP paketa i lažiranje IP adresa. Konekcije koje prikazuju ovakve karakteristike bivaju odbačene.

Unutrašnjim klijentima je uglavnom dozvoljeno da kreiraju konekcije ka spoljnim hostovima, a spoljni hostovi su uobičajeno spriječeni u iniciranju pokušaja konekcije. Kada unutrašnji host odluči da inicira TCP konekciju, on šalje TCP poruku na IP adresu i broj porta javnog servera. U inicirajućoj konekcionoj poruci, TCP kaže udaljenom serveru koja mu je IP adresa i na kom portu sluša odgovor (na primjer, localhost:2050). Spoljni server tada šalje odgovor, transmitujući ga do datog porta gdje ga unutrašnji host očekuje. Pošto firewall provjerava sve podatke koji su razmijenjeni između ta dva hosta, on zna da je konekciju inicirao unutrašnji host, koji je povezan na svoj unutrašnji mrežni nterfejs, zna IP adresu tog hosta i zna na kom portu očekuje odgovor. Firewall zatim pamti da treba da dozvoli spoljnom hostu, čija se adresa nalazi u konekcionoj poruci, da vrati saobraćaj na IP adresu unutrašnjeg hosta samo na port koji je određen. Kada učesnici u sesiji zatvore TCP konekciju, firewall briše unose u svojoj tablici stanja (memorija u kojoj se nalazi stanje konekcija) i time prekida mogućnost udaljenom hostu da dalje komunicira sa unutrašnjim. Ukoliko unutrašnji host prestane da odgovara prije zatvaranja TCP konekcije (na primjer, zbog prekida veze) ili ako protokol koji je u pitanju ne podržava sesije (na primjer, UDP), firewall će ukloniti unos u tablicu stanja konekcije nakon programiranog isteka vremena od nekoliko minuta.

74

Filtriranje ne rješava u potpunosti problem bezbjednosti na Internetu. Kao prvo, IP adrese računara u filteru su predstavljene u dolazećem saobraćaju, što pojednostavljuje određivanje tipa i broja Internet hostova u filteru, kao i praćenje napada na ove adrese. Filtriranje ne sakriva identitet domaćina u filteru. Pored toga, filteri ne mogu provjeriti sve fragmente jedne IP poruke, zasnovane na protokolima višeg nivoa, kao što su TCP zaglavlja, iz razloga što zaglavlje postoji samo u prvom fragmentu. Podijeljeni fragmenti nemaju informacije o zaglavlju i mogu biti upoređeni samo sa IP pravilima, koja uobičajeno dozvoljavaju nešto saobraćaja kroz filter. Ovo omogućava greškama u odredišnim IP stekovima računara na mreži da se eksploatišu i mogu omogućiti komunikacije sa Trojanskim konjem instaliranim negdje na mreži. Savremeniji firewallovi podržavaju povratak fragmentovanih podataka u pređašnje stanje i nakon toga primjenu firewall pravila na njih. Konačno, filteri nijesu dovoljno složeni za provjeru legitimnosti protokola u okviru paketa mrežnog sloja. Na primjer, filteri ne ispituju HTTP pakete, sadržane u TCP paketima, radi utvrđivanja da li oni sadrže elemente kojima hakeri gađaju web pretraživač ili web server na kraju konekcije. Većina pokušaja modernog hakerisanja zasnovana je na iskorišćavanju ovih servisa viših slojeva TCP/IP steka, iz razloga što su firewalli gotovo eliminisali uspešno hakerisanje na mrežnom sloju, ako izuzmemo neugodne napade tipa "odbijanje izvršenja servisa" (DoS, denial-of-service).

Prevođenje adresa iz mreže (Network Address Translation - NAT)Prevođenje adrese iz mreže rješava problem skrivanja unutrašnjih hostova. NAT je

zapravo proxy mrežnog sloja: jedan host čini zahtjeve u ime svih unutrašnjih hostova. Na taj način on skriva njihov identitet na javnoj mreži. Napomenimo da većina savremenih operativnih sistema obezbeđuje ovu funkciju kao dio samog operativnog sistema.

NAT skriva adrese unutrašnjih hostova, konvertujući ih u adresu firewalla. Firewall zatim ponovo šalje podatke unutrašnjih hostova, koristeći sopstvenu IP adresu. Korišćenjem TCP broja porta, uspijeva da prati koje se konekcije na javnom dijelu podudaraju sa hostovima na privatnom dijelu mreže. Gledano sa Interneta, sav saobraćaj sa lokalne mreže izgleda kao da dolazi sa jednog, ekstremno zaposlenog računara.Prevođenje IP adresa omogućava korišćenje bilo kog opsega IP adresa na unutrašnjoj mreži, čak i ako se te adrese već koriste negdje na Internetu. Takođe, NAT dozvoljava multipleksiranje jedne javne IP adrese kroz cijelu mrežu.

Proxy servisiNAT rješava mnoge probleme Internet konekcija, ali ne sprovodi potpunu kontrolu

podataka kroz firewall. Moguće je, na primjer, da neko uz pomoć mrežnog monitora pregleda saobraćaj koji dolazi iz firewalla i na osnovu dobijenih informacija zaključi da firewall prevodi adrese drugih mašina. Hakeri na ovaj način mogu dobiti informacije potrebne za otimanje TCP konekcija ili za prolaz kroz firewall lažnom konekcijom.

Proxy aplikativnog sloja (nivoa) ovo sprečava. On omogućava potpunu zabranu protoka podataka protokolima mrežnog nivoa, a propušta saobraćaj baziran samo protokolima višeg (aplikativnog) nivoa, kao što su HTTP, FTP i SMTP. Proxy aplikativnog sloja je specifično klijentsko-serverska kombinacija za protokol koji se koristi. Na primjer, web proxy je kombinacija web servera i web klijenta. Serverski dio protokola proxya prihvata konekcije klijenata unutrašnje mreže, dok se klijentski dio protokola povezuje na javni server. Kada klijentski dio proxya primi podatke od javnog servera, serverska strana proxy aplikacije šalje podatke krajnjem unutrašnjem klijentu. Slika 5.2.2 prikazuje kako se ovaj proces odvija.

75

Slika 5.2.2. Funkcionisanje web proxy servera

Proxy serveri primaju zahtjeve sa privatne mreže i ponovo ih generišu na javnoj mreži. Kada klijent zaštićene mreže inicira zahtjev prema serveru javne mreže, proxy server preuzima taj konekcioni zahtjev i povezuje se na server javne mreže u ime klijenta zaštićene mreže. Oni, takođe, prosljeđuju odgovor javnog servera klijentu na unutrašnjoj mreži.

Razlika između NAT i filtera sa jedne strane i aplikativnih proxya (kao što je Microsoft Proxy Server) sa druge strane je u tome što su klijentske aplikacije za Internet (uobičajeno) unaprijed podešene za komunikaciju sa proxyem. Na primjer, unošenje adrese web proxya u Internet Explorer na korisničkom računaru prouzrokovaće da Internet Explorer šalje sve zahtjeve tom proxy serveru, umjesto da sam razrješava adrese i uspostavlja direktne konekcije.

Aplikativni proxy ne mora biti pokrenut na firewallu - bilo koji server unutar ili izvan lokalne mreže može imati ulogu proxy servera. Ipak, ukoliko se želi postići dobra bezbjednost mreže, trebalo bi da postaviti i firewall i proxy. Mora postojati i neki tip filtriranja podataka zbog zaštite proxy servera od napada usmjerenih preko mrežnog sloja tipa "denial of service" (kao što je "ping of death"). Ukoliko se proxy ne pokreće na firewallu, neophodno je otvoriti kanal kroz taj firewall. Preporučljivo je, ipak, da firewall obavlja i funkciju proxya kako bi se spriječilo prosleđivanje paketa javnog dijela mreže u lokalnu mrežu.

Bezbedniji proxyi su u mogućnosti da izvode filtriranje aplikativnog sloja za određeni saobraćaj. Na primjer, neki firewall HTTP proxy traže Java ili ActiveX oznake u HTML stranicama koje ukazuju na ugnježdene aplete i zatim ih uklanjaju. Ovo sprečava da aplet bude izvršen na klijent kompjuteru i eliminiše rizik slučajnog učitavanja Trojanskog konja.

Proxyi mogu raditi samo sa specifičnim naročitim aplikacijama. Na primjer, moraju se posebno imati proxy softverski moduli za HTTP, FTP, Telnet. Pošto ovi protokoli evoluiraju (naročito HTTP), moraju se redovno ažurirati određeni proxy softverski moduli.

76

Virtualne privatne mreže (VPN)Virtualne privatne mreže, poznate i kao šifrovani tuneli, dozvoljavaju bezbjedno

povezivanje dvije fizički odvojene mreže preko Interneta. Podaci koji se razmenjuju na ovaj način su nevidljivi (šifrovani su) za neovlašćene entitete. VPN bi mogao biti predmet raznih neugodnih napada, kao što su pokušaji redirekcije, inicijalizovanje lažne konekcije ili bilo koji drugi vid napada dok se uspostavlja tunel. Ali, kada se VPN implementira kao integralni dio firewalla, autentifikacija i servisi za bezbjednost firewalla se mogu iskoristiti da spriječe eksploataciju tunelovanja.

Jednom kada su uspostavljeni, VPN tuneli su nepristupačni za eksploatisanje sve dok je šifrovanje bezbjedno. Na granicama sa Internetom su smješteni firewalli sa ciljem da služe kao odlične krajnje tačke za svaki kraj tunela.

VPN takođe dozvoljava korisnicima da adresiraju udaljene unutrašnje hostove direktno po njihovim skrivenim IP adresama; NAT i filteri paketa bi spriječili ovako nešto ukoliko pokušaj konekcije dolazi direktno sa Interneta.

Sigurnosni protokola koji se najčešće koriste u VPN-u su: IPSecurity (IPSec), Point-to-Point Tunneling Protocol (PPTP) i Layer2 Tunneling Protocol (L2TP).

Šifrovana autentifikacijaŠifrovana autentifikacija dozvoljava spoljnim korisnicima na Internetu da dokažu svoj

identitet autorizovanih korisnika firewallu i da tako otvore konekciju kroz taj firewall ka unutrašnjoj mreži. Za šifrovanu autentifikaciju se može koristiti bilo koji sigurnosni protokol koji obezbjeđuje autentifikaciju (autentikaciju). Kada je veza jednom uspostavljena, ona može, a i ne mora, biti šifrovana, što zavisi od firewall proizvoda koji se koristi i od toga da li je instaliran dodatni softver na klijentu u cilju da podržava tunelovanje.

Korišćenje šifrovane autentifikacije je pogodno zato što se pojavljuje na transportnom sloju između paketa softvera klijenta i firewalla. Kada je veza otvorena, bez smetnji će raditi sav aplikacioni softver i sistemski softver za prijavljivanje, čime se eliminiše potreba za specijalnim softverskim paketima za podršku firewallu. Nažalost, šifrovana autentifikacija smanjuje bezbjednost firewalla. Zbog prirode procesa nastaju sljedeći problemi:- Firewall mora odgovoriti ukoliko se pokuša povezivanje preko nekog porta. Ovo daje hakerima informaciju o postojanju firewalla.- Konekcija se uz pomoć ICMP-a može preusmjeriti nakon što je veza uspostavljena, naročito ako je konekcija nešifrovana.- Haker koji nadgleda uspostavljanje veze može kasnije lažirati svoju adresu i zamijeniti je adresom autorizovanog korisnika. Time će dobiti pristup mreži bez redirekcije neke od postojećih veza.- Ukradeni lap-top sa odgovarajućim "ključevima" u sebi može se iskoristiti za dobijanje pristupa mreži.- Radnici koji rade kod kuće mogu biti meta napada provalnika, jer se sa njihovih kompjutera može pristupiti mreži.- Sama procedura procesa autentifikacije može biti poremećena ili manje sigurna, dozvoljavajući svakome na Internetu da otvori rupe na firewallu.

Mala je mogućnost da se dogodi neki od ovih problema. Administratori okruženja sa srednjim ili malim rizikom ne bi trebalo da imaju probleme sve dok je konekcija šifrovana tokom trajanja.

77

5.2.5. Osnovne topologije mrežne barijere

Zadatak firewalla je da osigura mrežu od napada, ali tako da obezbijedi javne servise potrebne klijentima mreže. Stoga, na izbor topologije za zaštitu mreže firewallom utiču potrebni nivo bezbjednosti i nivo potrebnih servisa na granici između unutrašnje mreže i Interneta. Za zaštitu računarske mreže neke organizacije mogu se koristiti različite metode, kao što su (u zavisnosti od rizika bezbijednosti, od najnižeg ka najvišem):

1. Servisi filtriranja paketa2. Jedan firewall sa unutrašnjim javnim serverima3. Jedan firewall sa spoljnim javnim serverima4. Dvostruki firewalli ili DMZ firewalli5. Enterprise firewalli6. Isključenje sa mreže

Većina dobavljača Internet usluga (ISP) omogućava filtriranje paketa kao dragocjeni dodatak svojim servisima za mušterije sa zakupljenim linijama. Neki od dobavljača nude i proxy i NAT servere, ali postiji opasnost od napada od ostalih mušterija koje opslužuje taj ISP.

Najjednostavnije kompletno bezbjednosno rješenje na granicama mreže je sa jednim firewallom. Sa njim i sa jednom konekcijom na Internet, centralizuje se tačka kontrole. Slika 5.2.3. prikazuje rješenje bezbjednosti sa jednim graničnim firewallom. Problem sa postavljanjem javnih servera (kao što su serveri za poštu) izvan firewalla je što su rizični za hakovanje. Ovi računari se mogu podesiti da ne sadrže mnogo korisnih informacija, ali hakerski pokušaji mogu lako prouzrokovati "denial-of-sevice" ili u najmanju ruku modifikovati web stranice. Moguća alternativa prethodnom rješenju je postavljanje javnih servera unutar firewalla (slika 5.2.4.). Ovdje postoji problem, jer se otvaraju putanje kroz firewall radi konekcije sa spoljne strane mreže. Tada postoji mogućnost da neodgovarajući paketi dospiju na unutrašnju mrežu ukoliko podsjećaju na pakete kojima je dozvoljen prolaz. To, takođe, znači da haker koji pokušava da eksploatiše grešku servisa viših nivoa, može dobiti kontrolu nad računarom u okviru mreže. Iz ovog razloga veliki broj organizacija postavlja javne servere izvan svojih firewalla i jednostovno ne dozvoljava bilo kakve spoljne konekcije kroz firewall.

Slika 5.2.3. Primjer firewalla sa javnim serverima otvorenim ka Internetu

78

Slika 5.2.4. Primjer firewalla sa zaštićenim javnim serverima i dozvoljenim saobraćajem

Sa dva nivoa firewall protekcije smanjuje se izlaganje javnih servera riziku. U osnovi, postavlja se jedan firewall na Internet konekciju i tako osigurava web server. To omogućava jaku bezbjednost, a dozvoljava konekcione pokušaje sa Interneta servisima koji se žele pružiti. Između takve mreže i unutrašnje mreže, smješta se drugi firewall sa jačom bezbjednosnom politikom koja jednostavno ne dozvoljana pokušaje sa spoljne strane i skriva identitete unutrašnjih klijenata. Slika 5.2.5. prikazuje dva nivoa zaštite mreže sa dva firewalla.

Slika 5.2.5. Primjer dva firewalla postavljena tako da štite kompletnu mrežu

Najveći broj firewall proizvoda dozvoljava upotrebu demilitarizovanih zona koje omogućavaju funkcionalnost posjedovanja dva firewalla tako što sadrže različite bezbjednosne politike za svaki postavljeni interfejs na firewallu. Sa tri postavljena interfejsa -spoljna mreža, unutrašnja mreža i mreža javnog servera – može se definisati bezbednosna politika da blokira pokušaje konekcije na unutrašnju mrežu, ali da dozvoli pojedine protokole

79

do javnih servera. Ovo omogućava funkcionalnost dva firewalla korišćenjem samo jednog proizvoda (slika 5.2.6.).

Slika 5.2.6. Primjer DMZ firewalla koji omogućava različitu bezbjednost za različite potrebe

Pojedine velike organizacije upotrebljavaju tzv. Enterprise firewalle. To su proizvodi koji dijele jednu centralnu firewall politiku na više firewalla. Enterprise firewalli dozvoljavaju da se zadrži centralna kontrola bezbjednosne politike, bez brige o tome da li je politika korektno implementirana na svakom firewallu unutar organizacije. Politika firewalla je obično zasnovana na bezbjednosti radne stanice, a zatim replicirana na svaki firewall u okviru organizacije, koristeći neke od metoda bezbjednosne autentifikacije.

Najradikalniji oblik zaštite mreže je diskonekcija sa Interneta tj. kada u organizaciji postoje dvije odvojene mreže: unutrašnja mreža i Internet. Pošto ne postoji veza između Interneta i unutrašnje mreže, ovim metodom se dobija potpuna bezbjednost. Javni serveri za web, FTP i poštu se nalaze, zajedno sa nekoliko klijenata, na malom mrežnom segmentu, povezanom na Internet. Klijentske radne stanice sadrže e-mail, news i web pretraživače, ali nei osetljive podatke. Da bi provjeravali elektronsku poštu, pretraživali web ili radili bilo šta drugo na Internetu, zaposleni moraju doći do spoljnih klijentskih radnih stanica.

80