Upload
pasa2424
View
1.160
Download
21
Embed Size (px)
Citation preview
Visa poslovna skolaCacak
S E M I N A R S K I R A D
Predmet: Elektronsko poslovanje
Tema: Zastita racunarskih mreza
Mentor: Student: Jovan Savic Mitic Milena br.indeksa: 199-043-07
Beograd, decembar, 2009.god.
Sadržaj:
1. Uvod..........................................................................................32. Sigurnosni problemi...................................................................53. Korisničke nalozi......................................................................6
3.1 Korisnicke lozinke.........................................................7 3.2 Dozvole pristupa deljenim resursima.............................................................74. Borba protiv virusa....................................................................9 4.1 Vrste virusa..............................................................10 4.2 Crvi i trojanci...........................................................115. Zaštita od virusa.......................................................................126. Zaštita mreže od napada spolja................................................137. Mrežne barijere.........................................................................15 7.1Vrste mrežnih barijera....................................................178. Zaključak.................................................................................18
Zaštita računarskih mreža 2
1.Uvod
U poslednjih desetak godina, koncepti obezbeđenja računarskih mreža drastično su se
promenili, između ostalog i zbog činjenice da je većina lokalnih mreža povezana na Internet.
Bezbednost mreže svojevremeno se odnosila na obezbeđenje resursa i informacija u
izolovanoj mreži. Pitanja bezbednosti svodila su se na nivo korisničkog pristupa važnim
mrežnim resursima i na zaštitu sistema od viru-sa (koji su se prenosili zaraženim disketama).
Takođe, bezbednost mreže podrazumevala je i fizičku zaštitu mreže od, na primer,
osobe koja bi neovlašćeno ušla u zgradu, pristupila nezašti-ćenom računaru, kopirala
poverljive podatke na disketu i pobegla.
Bezbednost se zaista svodila na sprečavanje napada iznutra. Ponekad bi se u napad
mogla svrstati greška korisnika ili administratora, a ne samo zlonameran napad na mrežne
resurse. Na primer, korisniku bi nepažnjom bio dodeljen neodgovarajući nivo pristupa važnim
mrežnim resursima i on bi ih nenamerno oštetio ili uništio.
Danas težište bezbednosti mreže predstavlja odbrana od spoljnih napa-da, zbog toga
što je većina mreža povezana na Internet.
Mnoge kompanije imaju svoje Web lokacije. Mrežu direktno napadaju razbijači (engl.
crackers; u štampi često mešaju hakere i razbijače; hakeri ne odobravaju takvu terminologiju,
jer sebe smatraju pasioniranim računa-rskim stručnjacima, a ne kriminalcima koji provaljuju u
računarske sisteme) i virusi, naročito oni koji se šire Internetom, putem elektronske pošte.
Administratori mreža i stručnjaci za bezbednost računara morali su ra-zviti nove
strategije za zaštitu mreža. Kao odgovor na najnovije pretnje po bezbednost računara, u
proteklih nekoliko godina razvijeni su novi proizvo-di, kao što su posrednički serveri (engl.
proxy server) i mrežne barijere (engl. firewall).
Zaštita računarskih mreža 3
2. Sigurnosni problemi
Osnovna karakteristika Interneta, i najvazniji razlog za njegov eksponcijalni razvoj,
jeste njegova otvorenost i mogucnost jednostavnog prikljucivanja krajnjih korisnika.
Istovremeno, ova otvorenost i sve veci broj korisnika unose doddatne sigurnosne rizike i
probleme u funkcionisanju Interneta.
U medijima se cesto govori o neovlascenom pristupu nekim racunarskim sistemima
preko Interneta, o softverskim virusima, zloupotrebi kreditnih kartica, ugrozavanju privatnosti.
I laicima postoje ocigledno da – gde ima dima, tu ima i vatre-, i da postoje realni problemi i
rizici u koriscenju Interneta.
Napadi na racunarsku mrezu su ne dozvoljene aktivnosti u procesu prenosenja
podataka od izvorista do odredista, a dele se, kao sto je i vec ranije receno, na pasivne i
aktivne. Pasivni napadi su prisluskivanje i nadgledanje protoka podataka bez ikakvih izmena
sadrzaja. Sifrovanje poruka je najcesci mehanizam borbe protiv ovakvih napada.
Aktivni napadi daleko su opasniji jer podrazumevaju neautorizovane promene
u tokovima podataka. Postoje razliciti oblici ovih napada na podatke koji se razmenjuju preko
mreze
- promena sadrzaja poruka
- ubacivanje novih poruka
- prekidanje postojeceg toka poruka.
Pored napada na tokove podataka u Internetu, javljaju se i problemi u vezi sa
utvrdjivanjem verodostojnosti subjekta s kojim se obavlja komunikacija. Naime, postoji
mogucnost laznog predstavljanja
- kao neko poznat
- kao nepoznat, a postoji
- kao potpuno izmisljeni subjekt.
Zaštita računarskih mreža 4
Navedeni sigurnosni rizici uticu da se u poslednje vreme izrazavaju rezerve u vezi s primenom
Interneta u poslovanju. Mnogi pod uticajem informacija o sigurnosnim problemima
postavljaju pitanje da li da Internet uopste koriste za poslovanje.
Naravno da je taj sgtrah preteran, ali treba biti strah preteran, ali treba biti svestan
mogucih rizika i problema kako bise preuzele adekvatne zastitne mere. Rizici postoje i
prilikom slanja pisma, faxa, ili obavljanja telefonskog razgovora, pa se ti servisi ipak koriste.
Ocigledno je da ne postoje apsolutno sigurni nacini, kako u komuniciranju tako i u saobracaju
uopste.
3.Korisnički nalozi
Korisnik se, bez važećeg korisničkog imena i lozinke, ne može naja-viti za rad na mreži.
Prvu liniju odbrane mreže, koju postavlja administrator mreže, čine korisnički nalozi. Kada se
korisnik najavi na mrežu sa klijents-kog računara, njegovo korisničko ime i lozinka predstavljaju
žeton za ula-zak. Ovaj žeton za ulazak služi za proveru identiteta korisnika mreže (omo-gućava
prijavljivanje) i za utvrđivanje nivoa pristupa mrežnim resursima, koje korisnik može osrvariti.
Žeton za ulazak, koji se primenjuje u svim mrežnim operativnim sistemima,
predstavlja vrstu elektronske identiflkacione kartice koja se ne razlikuje mnogo od ATM
kartice. ATM karticom se proverava identitet ko-risnika kada pristupa ATM mreži banke i
omogućava joj se pristup odre-đenim resursima, kao što su tekući ili štedni računi. Ovim
žetonom se tako-đe utvrduje kojim se resursima može pristupiti na mreži, kao i nivo pristupa
koji se može odobriti.
Administrator mreže odgovoran je za izradu korisničkih naloga. Svaki mrežni
operativni sistem ima ugrađen administratorski nalog, koji služi za upravljanje mrežnim
resursima i korisničkim nalozima. Administratorski nalog se različito zove u različitim
mrežnim operativnim sistemima: root, Admin i Administrator (u Linuxu, NetWareu i
Windowsu).
Svaki mrežni operativni sistem ima neki uslužni program za otvaranje i menjanje
korisničkih naloga. Slika 4.1 prikazuje okvir za dijalog Create User, koji služi za otvaranje
novih korisničkih naloga u uslužnom programu NetWare Administrator.
Zaštita računarskih mreža 5
Svaki mrežni operativni sistem sadrži nekoliko opštepriznatih pravila koja se odnose
na upravljanje korisničkim nalozima:
Svako korisničko ime mora biti jedinstveno. lako nije neka mudrost, bitno je da to
uvek imate na umu.
Ograničena je dužina korisničkog imena, odnosno broj znakova u njemu. Iako
dozvoljeni broj znakova varira od jednog do drugog mrežnog operativnog sistema, pre nego
što se upustite u izradu korisničkih naloga, morate poznavati konkretna pravila operativnog
sistema na kome radite. Na primer, u Windowsu je za korisničko ime predvideno najviše 20
znakova. U UNetWa-reu, maksimalna dužina korisničkih imena je 64 znaka.
U korisničkom imenu nije dozvoljena upotreba određenih znakova. Uobičajeno.
korisnička imena ne mogu sadržati kosu crtu (/), obrnutu kosu crtu (\) i još neke specijalne
znake. Pojedini operativni sistemi dozvoljavaju upotrebu znaka za razmak, a neki ne.
Ponavljam, pre početka otvaranja kori-sničkih naloga, neophodno je znati pravila imenovanja
koja važe u operativnom sistemu u kome radite.
Pored toga što svaki mrežni operativni sistem ima pravila za izradu korisničkih imena,
preporučljivo je da (kao administrator) sačinite plan formiranja korisničkih imena.
Valjalo bi da se držite tog plana pri smišljanju novih imena. Na primer, planom možete
predvideti sledeći način formiranja korisničkih imena: na početno slovo imena nadovezaće
prezime službenika.
Takvo pravilo treba sprovoditi dosledno, za sva korisnička imena. Takođe, planom
treba predvideti rešenje za situaciju kada se dva ili više korisnika jednako prezivaju i imena im
počinju istim slovom.
Ovaj plan izrade korisničkih naloga treba da obuhvati strategiju dodele lozinki
korisnicima. Mrežni operativni sistemi omogućavaju da utvrdite uslove pod kojima se lozinka
može menjati.
Recimo, dodeljena početna lozinka se mora promeniti odmah pri prvom najavljivanju
korisnika na mrežu, a može se pode-siti da korisnik nikada ne može sam da promeni lozinku.
Sada ćemo izbliza sagledati lozinke i njihovu važnost za bezbednost mreže.
Zaštita računarskih mreža 6
3.1Korisničke lozinke
Pri proveri identiteta korisnika potrebni su važeće korisničko ime i odgova-rajuća
važeća lozinka. Zbog toga, strategija dodele lozinki korisnicima bitno utiče na bezbednost
mreže. Veliki broj administratora mreža formira nova korisnička imena po šablonu: početno
slovo imena i prezime. Znači, ako neko zna da se zovem Petar Petrovic , može pretpostaviti da
je moje korisni-čko ime na mreži Petrovic.
Odatle zaključujemo da je lozinka ona komponenta korisničkog nalo-ga koja proces
prijavljivanja za rad na mreži čini bezbednim. Stoga, lozinka treba da bude tajna.
Mrežni operativni sistemi pružaju izbor između više mogućnosti za doelu lozinki
korisnicima mreže.
Na primer, slika 4.2 prikazuje okvir za dijalog New Object - User, kojim se u
Windowsu 2000 Server, u okviru softvera Active Directorv, otvaraju novi korisnički nalozi
za rad na mreži.
Kao što na slici vidite, niz polja za potvrdu daje vam više različitih mogućnosti koje se
odnose na korisničke lozinke.
Kada se korisnik prvi put prijavljuje, možete mu omogućiti da prome-ni početnu
lozinku. Možete zadati i opciju da korisnik nikada ne može pro-meniti lozinku. Čak je moguće
podesiti neograničen rok važnosti lozinke (opcija password never expires).
Kao poligon za dalja razmatranja, uzmimo različite opcije, prikazane na slici 4.2. Cilj
je da se uverimo da je zaštita tajnosti lozinke tačka oslonca bezbednosti mreže. Evo nekih
razmišljanja:
Korisnicima možete dozvoliti da sami kontrolišu svoje lozinke. Varijanta, u kojoj
dozvoljavate korisnicima samostalno formiranje lozinke, korisna je kad podesite vremensko
ograničenje važenja dozvole i ako od korisnika zahte-vate redovno menjanje lozinke.
Međutim, u tom slučaju, korisnike morate obučiti za rukovanje lozinkama. Jvforate im
objasniti, na primer, da upotreba njihovog imena ili reči „lozinka" u svojstvu lozinke ne unosi
bezbednost kojoj težite.
Zaštita računarskih mreža 7
Možete u potpunosti preuzeti kontrolu nad korisničkim lozinkama. U tom slučaju,
korisnicima dodeljujete lozinke koje ne mogu promeniti. Kada imate mnogo korisnika,
imaćete i mnogo posla, naročito ako zbog podizanja nivoa bezbednosti mreže podesite kratak
rok važenja lozinki. Štaviše, ako pomislite da ste kadri smisliti vražje složene lozinke, koje
nikd ne može pogoditi, razočaraću vas kad vam kažem da to nikada nećete imati efekta.
Komplikovane lozinke korisnici često zapišu i prikače na svoj monitor.
Možete zahtevati da se lozinke redovno menjaju. Dobro je imati neku strategiju za
recikliranje lozinki. Lozinke sa neograničenim vremenom va-žnosti samo stimulišu uljeze da
provale lozinke korisničkih naloga, jer za to imaju dovoljno vremena. Redovno menjanje
lozinki, vašu mrežu unapređuje iz nepokretne u pokretnu metu, pa čak i više od toga.
Ljudi koji žele da provale u vašu mrežu verovatno nisu naivčine, niti koriste samo
proste tehnike pogadanja korisničkih imena i lozinki. U . poglavlju, „Rešavanje problema na
mreži", objasnili smo šta su „njuškala", programi koje razbijači koriste za prisluškivanje
mrežnog saobraćaja. Mogućnost hvatanja paketa podataka otvara vrata otkrivanju kori-sničkih
imena i lozinki, jer se oni u paketima prenose kao običan tekst. Činjenica je da nije teško
uhvatiti paket podataka. Radi zaštite poverljivih informacija, koriste se tehnike šifrovanja
tajnih podataka, da bi se otežalo korišćenje uhvaćenih podataka za provalji-vanje u mrežu.
Šifrovanje ćemo objasniti kasnije u ovom poglavlju.
Suština je sledeća: treba osmisliti postupak dodele lozinki, koji se lako koristi, i sa
stanovišta administratora i sa stanovišta korisnika, a pri tome doprinosi bezbednosti mreže.
Naravno, broj korisnika i važnost resursa uslovljavaju taj postupak.
Ostale mogućnosti upravljanja korisničkim nalozima mogu doprineti bezbednosti
procesa prijavljivanja za rad na mreži. Sada ćemo se pozabaviti nekim od tih mogućnosti, kao
što su dozvoljena satnica za prijavu i mogu-ćnost uspostavljanja više paralelnih veza sa
mrežom preko istog korisničkog naloga.
3.2Dozvole pristupa deljenim resursima
Zaštita računarskih mreža 8
Pošto su korisnici dobili pristup mreži, potreban im je i pristup mrežnim resursima.
Već smo objasnili deljene mrežne resurse i resurse za štampanje. Kada se radi o deljenju
informacija na mreži, osetljivi i privatni podaci isto-vremeno treba da budu i bezbedni i
dostupni. To znači da samo pojedini korisnici imaju pristup određenim informacijama.
Takođe, korisnici neće imati podjednake nivoe pristupa podacima.
Dozvole određuju prava pristupa deljenim mrežnim resursima. Dozvola je pravo
pristupa resursu. Dodeljujete je korisniku ili grupi korisnika. Budući da različite dozvole, tj.
prava pristupa, možete dodeliti svakom korisniku za svaki pojedinačni resurs na mreži, na taj
način ćete fino podesiti bezbednost pristupa važnim informacijama na mreži.
U Microsoft Windowsu, za definisanje različitih nivoa pristupa mrežnim resursima,
upotrebljava se termin dozvola (engl. permission). U okruženjima Novell NetWare,
dozvolama su ekvivalentna prava, engl. rights (u pitanju su različiti nazivi za iste koncepte
bezbednosti resursa).
U Windowsovom mrežnom okruženju, novi deljeni resurs je inicijalno u potpunosti
dostupan svim korisnicima mreže, jer su grupi Evervone (svi; ubrzo ćemo objasniti grupe
korisnika) data prava Full Control (potpuna ko-ntrola) nad novim deljenim resursom.
Znači, administrator mreže odlučuje o neophodnosti „dizanja" nivoa bezbednosti
deljenog resursa i reguliše bezbednost ograničavanjem pristupa podacima s tog resursa. Mogu
se najpre ukinuti dozvole opštoj grupi Everyone, a zatim se različita prava pristupa mogu
dodeliti pojedinim korisnicima ili grupama korisnika.
Slika 4.6 prikazuje okvir za dijalog kojim se korisnici dodaju u okvir za dijalog
Permissions datog deljenog resursa. Potom, svakom korisniku mogu biti dodeljene različite
dozvole.
Na mrežama koje rade pod operativnim sistemima Microsoft Win-dows NT, Windovvs
2000 Server ili Windows XP Server, koncept bezbe-dnosti resursa se sprovodi na nivou
datoteka. Ovo je moguće jer NTFS (NT File System) obezbeđuje različita prava pristupa
datotekama, dire-ktorijumima i diskovima. Budući da direktorijum u Windowsu može biti
dvostruko zaštičen, dozvolama za zajedničko korišćenje (objašnjavamo ih ovde) i NTFS
dozvolama, ponekad je teško zaključiti koja prava pristupa korisnik zapravo ima.
Zaštita računarskih mreža 9
Na primer, ako korisnik ima puno pravo pristupa direktorijumu na osnovu dozvola za
zajedničko korišćenje, ali nema NTFS dozvolu, on ne može pristupiti direktorijumu. Ove dve
vrste dozvola se tako kombinuju, da prava pristupa diktira stroža dozvola. Detaljnije
informacije o dozvolama pristupa u mrežama pod Windowsom potražite u knjizi Windows
2000 Server Biblija, u izdanju Mikro knjige.
Mrežno okruženje NetWare administratorima omogućava da se korisnicima dodele
različita prava pristupa resursima (kao što su deljeni direktorijumi u mreži). Korisnik nad
deljenim resursom može imati prava kao što su Read (čitanje), Write (upisivanje), Erase
(brisanje) i Modify (menjanje).
Pošto su korisniku dodeljena prava pristupanja pojedinim resursima mreže (na primer
direktorijumu), ta prava će određivati interakciju između kori-snika i resursa.
Na primer, ako korisnik u direktorijumu na serveru može samo da čita, on u taj
direktorijum ne može upisivati datoteke, niti može brisati postojeće.
Slika 4.8 prikazuje šta se dešava kada Windowsov klijentski program poku-ša da
napravi novu datoteku u direktorijumu za koji korisnik ima samo pra-vo pristupa Read
(klijent je program u Windowsu, a server radi pod NetWareom). Pojavljuje se poruka koja
korisnika obaveštava kako nema pravo da pravi nove datoteke u tom direktorijumu.
4. Borba protiv virusa
Virusi predstavljaju još jednu pretnju vašoj mreži. Virus je samorazmnoža-vajući deo
softverskog koda. Pošto virus kopira sam sebe, on se, nažalost, vrlo lako širi od računara do
računara.
Iako su mnogi virusi izvršni programi, čijim se pokretanjem izaziva njihovo
razmnožavanje i oštećenje računarskog sistema, postoje i druge vrste virusa.
Na primer, virusi makroi, kriju se u dokumentu ili u radnim tabelama. Ako otvorite
datoteku u kojoj se krije virus, zarazićete svoj računarski sistem.
Virusi se mogu prenositi putem disketa i ostalih zamenjivih medija, namenjenih
skladištenju informacija. Ako iz računara izvadite inficirani disk i stavite ga u drugi računar,
Zaštita računarskih mreža 10
širite zarazu. Računari se takođe mogu inficirati virusima, koji se šire mrežom, putem
zaraženih deljenih resursa.1
I Internet predstavlja izvor virusnih infekcija. Virusi se nepažnjom mogu preuzeti sa
Interneta. Takođe, oni se šire u porukama e-pošte.
Zanimljivo je da mnogi virusi ne rade ništa, sem što se razmnožavaju. Nisu svi virusi
napravljeni da formatiraju čvrsti disk ili uništavaju određenu vrstu datoteka. Veliki broj virusa
na koje nailazite predstavljaju samo smi-šljene neslane šale (ali te šale mogu da vas dobrano
iznerviraju).
Jedan od prvih virusa, bio je virus Brain. To je bio (i još uvek jeste) virus startnog
sektora (engl. boot sector) koji sam sebe učitava u memoriju računara (za par trenutaka
objasnićemo različite vrste virusa).Ukratko, virus Brain se brzo raširio na skoro sve diskete .
Srećom, bilo je vrlo lako otkriti zaražene diskete, jer je virus ime volumena diskete menjao u
BRAIN, i sem toga nije pravio nikakvu štetuSvi korisnici računara se boje virusa, koji se često
samo razmnožavaju. Ipak, mrežni administrator ima obavezu da uništava viruse, bilo da su u
pitanju oni šaljivi ili zlonamerni, napravljeni za pustošenje podataka na mreži.Virusi mogu
obrisati programe i datoteke, ali i sav sadržaj diska.
Takođe, virusi se mogu sakrivati u mrežnim podacima za koje redovno pravite
rezervne kopije (engl. backup), na primer u serveru datoteka. To znači da u slučaju otkaza
diska i gubitka originalnih podataka, izgubljene podatke treba rekonstruisati iz podataka koji
su zaraženi virusima.Virusi čak mogu pronaći administratorovu lozinku i proslediti je nekome
van mreže. Ta osoba se može prijaviti na mrežu kao administrator i načiniti ogromnu štetu.
Znači, iako su mnogi virusi samo dosadni i košta vas njihovo uklanjanje, postoje virusi koji
bezbednost mreže izlažu velikom riziku.
Izgleda da se savremena računarska terminologija širi brže od računarskih virusa. Crvi,
virusi i ostale vrste softvera, koje su napravljene da na vašem računaru prave haos (odnosno na
1 Goran Vujacic, Mreze i telekomunikacije-racunarske mreze, Beograd, 2008
Zaštita računarskih mreža 11
svim računarima), često se nazivaju malware (skraćenica od malidous software - zlonamerni
softver).
4.1. Vrste virusa
Tokom godina, razvile su se razne vrste virusa. Razvrstali smo viruse po načinima na
koje inflciraju računar:
Virusi startnog sektora. Neki od prvih virusa pripadaju ovoj vrsti. Virus startnog
sektora obično se širi putem zaražene diskete ili drugog zamenjivog medija. Zaboravnost
korisnika potpomaže širenje virusa startnog sektora.
Ako u disketu jedinicu računara ubacim disket zaraženu virusom startnog sektora, ništa
se neće desiti. Tek ako resetujem sistem (na primer, sinoć sam isključio računar i uključio ga
jutros, a disketa se sve vreme nalazila u dis-ketnoj jedinici), a prethodno ne izvadim zaraženu
disketu, pri podizanju sistema, virus startnog sektora učitava se u memoriju računara (računar
obi-najpre pokuša da digne sistem sa diskete). Potom virus može inficirati čvrsti disk i sve
diskete koje stavite u disketnu jedinicu dok računar radi. Brain (malopre je pominjan i
Exebug su primeri virusa startnog sektora.
Virusi datoteke. Poslednjih godina retko se sreću. Inficiraju izvršne da-toteke, kao
što su datoteke tipa EXE ili COM (znate da se operativni sistem sastoji od gomile izvršnih
programa). Kada se inficirani program pokrene, virus se učitava u operativnu memoriju
računara. Potom, virus može zaraziti ostale izvršne programe tokom njihovog izvršavanja na
računaru. Postoji oblik virusa datoteka koji upisuje svoj kod preko koda izvršnog programa u
kojem boravi. jedan od oblika virusa datoteka je virus pratilac. Ovaj oblik virusa se maskira
kao datoteka sa nastavkom COM, istog imena kao neki postojeći sistemski EXE program.
Kada pokrenete taj sistemski program, makro će prvo izvršiti istoimenu COM datoteku, jer
COM datoteke imaju prednost nad EXE datotekama. Znači, prvo će se izvršiti virus (COM
dato-teka), a posle njega traženi sistemski EXE program. Zbog toga možda nećete ni primetiti
da imate virus. Primeri virusa datoteka su Dark Avenger i KMIT.
- Virusi makroi. Virus makro je novija vrsta virusa. Oni su obično pisani u Visual
Basicu i mogu zaraziti dokumente i Excelove tabele (ali ne i izvršne programe). Kada se
zaraženi dokument ućita u aplikaciju, na primer, u Word, virus se u toj aplikaciji izvršava kao
i svaki drugi makro. Neprijatna je činjenica da virusi makroi ne zavise od operativnog sistema.
Zaštita računarskih mreža 12
Budući da se Microsoft Excel može izvršavati na računarima zasnovanim na Macin-tosh i
Windows tehnologijama, ovakva vrsta virusa se, deljenjem Excelovih tabela, širi s jedne
platforme na drugu. Virusi makroi nisu ograničeni na Microsoftove aplikacije. Pojavljuju se i
u drugim softverskim paketima, kao što je Lotus SmartSuite. Primer virusa makroa je
ozloglašeni virus Melissa, Wordov makro koji se širi putem e-pošte.
- Višedelni virusi. Oni imaju osobine virusa startnih sektora i virusa dato-teka. Mogu
se širiti sa startnog sektora jednog diska na drugi, a mogu na-padati i izvršne datoteke. Neki
višedelni virusi zaražavaju i upravljačke programe (engl. drivers), recimo mrežne kartice.
Primer višedelnog virusa je Pastika. Ovaj virus aktivira se samo određenih dana u mesecu
(obično 21. i 22. dana) i može obrisati sve informacije na čvrstom disku.
Stvaran broj virusa ,,na slobodi" (misli se na one koji bitišu na računarima i mrežama)
stalno se menja, ali, uopšteno gledano, taj broj je u stalnom porastu. Broj virusa makroa
neprekidno raste. Upoznajmo se sa ostalim zlonamernim sofrverom (engl. malware) koji
ugrožava bezbednost mreže i njene resurse, a potom ćemo proučiti neke strategije za zaštitu od
virusa.
Sjajna Web lokacija, koja sadrži sveže informacije o pronađenim virusima, nalazi se na
adresi http://www.f-secure.com/. Kompanija F-Secure, koja održava ovu lokaciju, proizvodi
čitav niz softverskih paketa za obezbedenje mreža. Još jedna lokacija, na kojoj treba potražiti
informadje o virusima, jeste Institut SANS. Web adresa Instituta SANS je
http: //www. sans.org/newlook/home.htm. Tu ćete naći informacije o virusima i
ostalim temama u vezi sa bezbednošću računarskih mreža.
4.2. Crvi i trojanci
Nisu virusi jedine softverske pretnje po bezbednost računarskih mreža. Postoje još dva
zloćudna oblika softverskih proizvoda iz kuhinje opakih Ijudi, koji izmišljaju monstrume
poput kompjuterskih virusa. To su crvi i trojanci.
Crv je program koji se širi od jednog do drugog umreženog računara. Za razliku od
virusa, ne treba ga akrivirati spolja. On se potpuno samostalno razmnožava. Crv može opustošiti
velike mreže, poput Interneta, jer se sam širi po celoj mreži. Oni su obično zavisni od konkretne
Zaštita računarskih mreža 13
platforme i koriste slabe tačke operativnih sistema. Na primer, crv Linux.Ramen razmnožava se
samo na računarima koji rade pod verzijama 6.2 i 7.0 Red Hat Linuxa.
Trojanski konji (ili skraćeno trojanci, kako ih često nazivaju) jesu programi koji
izgledaju sasvim bezazleno, kao što su igrica ili čuvar ekrana.
Na primer, trojanac HAPPY99.EXE, kada se izvrši, prikazuje mali vatromet na ekranu,
a u pozadini uzima adrese iz vašeg programa za e-pošru i na njih šalje svoju kopiju (na sličan
način razmnožava se i virus Melissa).
Jedan od prvih trojanaca bio je AIDS Information Disk i stizao je na adrese
zdravstvenih ustanova, kao brošura za borbu protiv istoimene bolesti. Po izvršavanju, stvarao
je na čvrstom disku računara skriveni direktorijum i šifrovao celokupan sadržaj diska, skoro
potpuno uništavajući postojeće informacije.
Jedna od najvećih opasnosti od trojanaca, jeste mogućnost osvajanja kontrole nad
računarom. Stvara se prolaz koji omogućava potpun pristup zaraženom računaru. To znači da
razbijač, koji kontroliše trojanca, može sa računarom činiti šta mu je volja. Kontrolu nad
vašim računarom može isko-ristiti za napad na neku Web lokaciju putem uskraćivanja usluge
(engl. denial of service), tako što se vaš računar koristi za stvaranje prekomernog saobraćaja
sa određenom Web lokacijom. Napad putem uskraćivanja usluge objašnjen je kasnije u ovom
poglavlju, u odeljku „Zaštita mreže od napada spolja".
5 .Zaštita od virusa
Za zaštitu mreže od virusa, trojanaca i crva, administrator mreže mora sprovesti dve
osnovne mere.
Prvo, mora sastaviti plan zaštite od virusa.
Drugo, plan mora dosledno sprovoditi.
Svaki plan za borbu protiv zloćudnog softvera treba da sadrži spisak pravila koja vaši
korisnici moraju poštovati. Ova pravila mogu biti zabrana donoše-nja diskova od kuće,
zabrana korišćenja privatne e-pošte na poslu i zabrana preuzimanja datoteka sa Interneta.
Iako ova pravila mogu izgledati preoštra, neke kompanije sprovode drakonske mere,
strože od navedenih. Staviše, mnoge kompanije veoma grubo kažnjavaju službenike koji ne
poštuju ova pravila, čak ih otpuštaju (budući da se šibanje prekršioca više ne praktikuje). Šta
Zaštita računarskih mreža 14
službenik radi na svom kućnom računaru, to su njegove privatne stvari. Ali kada se u mreži
nalaze podaci životno važni za kompaniju, stvarno morate biti onoliko strogi koliko nalažu
pravila upotrebe mrežnih računara.Korisnike treba obrazo-vati i pružiti im opšte informacije o
virusima i o šteti koju su u stanju da naprave. Kad bi korisnici širom sveta bili malo razumniji,
virus Melissa ne bi mogao tako lako da se raširi po celoj planeti.
Iako upoznavanje korisnika s opasnostima od virusa može izazvati malu paranoju,
velika je stvar imati oprezne korisnike na mreži. To može pomoći da viruse zatrete još u
povoju, pre nego što postanu veliki problem.
U svom planu morate predvideti instaliranje i održavanje softvera za zaštiru od virusa.
Postoji više kompanija koje nude antivirusni softver:
Symantec, McAfee, Norton, Dr. Solomon's...
Antivirusni softver može biti podešen da štiti klijentske računare i mrežne servere od
zaraze. Najveći deo antivirusnog sofrvera može se pode-siti da proveri disketu čim je ubacite u
disketnu jedinicu.
Budući da mnoge kompanije nude da isprobate njihov softver, iskori-stite to za testiranje
raznih mogućnosti, da biste otkrili koji softver najviše odgovara vašem slučaju. Testiranje novog
softvera pre korišcenja mudar je potez.
Neki primerci antivirusnog softvera se instaliraju na svaki računar, a neki se pokreću
svaki put kada računar podiže mrežni operativni sistem.
Budući da se neprestano pojavljuju novi virusi i zlonameran softver, vaš antivirusni
softver mora biti sposoban da se nosi sa najnovijim i najsloženijim virusima. To se postiže
ažuriranjem najnovijih verzija antivirusnih podataka i programa, da bi antivirusni softver mogao
prepoznati nove viruse i opraviti nastalu štetu. U svom planu borbe protiv virusa, morate
predvideti redovno preuzimanje najnovijih verzija antivirusnog softvera.
Virusi u stopu prate pojavljivanje najnovijih računarskih platformi. Čak ni ručni
računari, kao oni pod operativnim sistemom Palm, nisu imuni na napad virusa. Mnogi
proizvođači antivirusnog softvera, medu kojima je i Computer Associates, nude antivirusni
softver za operativni sistem Palm OS.
Zaštita računarskih mreža 15
6.Zaštita mreže od napada spolja
Bezbednost vaše mreže ugrožava i direktan napad. Uspostavljanje ve-ze između vaše
mreže i Interneta, otvara širok put onima koji žele da razbiju bezbednost mreže i dobiju pristup
važnim mrežnim resursima.
Direktni napadi na mrežu mogu poprimiti nekoliko oblika. Mnogi od njih su posledica
načina rada skupa protokola TCP/IP. Svaki pojedinačni protokol iz skupa TCP/IP komunicira
preko odgovarajućeg kanala, pod imenom poznat broj priključka (engl. well known port
number, brojevi priključaka .
Na primer, HTTP radi na priključku 80, a FTP na priključku 21. Postoji više od 1000
poznatih brojeva priključka. Svaki priključak predstavlja putanju za napad na mrežu. Mrežne
barijere imaju strategiju za blokiranje ovih priključaka. Njih ćemo objasniti kasnije u ovom
poglavlju.
Sve dobre i loše strane bezbednosti mreže, naročito one u vezi sa napadima spolja,
mogle bi da ispune celu knjigu. Zaista, postoje brojne knjige na tu temu. Odbrana kom-
panijskih mreža (privatnih mreža i Interneta) od mre-žnih napada zahteva mnogo vre-mena i
novca. Detaljnije informacije o bez-bednosti mreža potražite u knjizi Hakerske tajne: zaštita
mrežnih sistema (Mikro knjiga). Ako želite konkretne, brojčane podatke i grafikone, ili hoćete
da saznate nešto o zloglasnim upadima u mrežu, ili biste da čujete priče o industrijskoj
špijunaži, potražite knjigu Tangled Web: Tales of Digital Crime from the Shadows of
Cyberspace, izdavačke kuće Que.
Razbijači direktno napadaju na još jedan način: pomoću „njuškala" i raznog softvera za
prisluškivanje, otkrivaju poverljive i važne informacije, poput korisničkih imena i lozinki. .
Razbijač se može nalaziti van mreže, bilo gde na Interneru, i, bez obzira na udaljenost od
mreže koju napada, može presretati prenos podataka i na taj način dolaziti do informacija koje
su mu potrebne za direktan napad na internu mrežu.
IP mreža se može napasti na razne načine. Sledi kratak opis svakog načina napada:
Zaštita računarskih mreža 16
• Prisluškivanje (engl. eavesdropping) ili njuškanje (engl. sniffing, snooping)
predstavlja mogućnost praćenja saobraćaja na mreži, da bi se do-znalo prenose li se podaci u
nezaštićenom formatu. Prisluškivač obično koristi neki softver za nadgledanje mreža.
• Razbijanje lozinki. Ovi napadi su posledica prisluškivanja. Kada razbi-jač ima sve
bitne informacije o važećem korisničkom nalogu (verovali ili ne, u internoj mreži ovi podaci
nisu uvek odgovarajuće zaštićeni), on može neometano pristupiti mreži i dobiti sve
informacije, poput stvarnih korisni-ka. Može saznati imena računara, podatke o korisnicima,
lokacije resursa. Dalje, razbijač je u stanju da izmeni, obriše ili preusmeri podatke na mreži.
• Falsifikovanje IP adrese (engl. IP address spoofing). Napadač može preuzeti,
odnosno koristiti tudu IP adresu, i na taj način pristupati mreži.
• Posrednički napadi (engl. man-in-the-middle). Napadač može da nadgleda,
kontroliše i hvata podatke na putu između uređaja pošiljaoca i primaoca.
• Napadi uskracivanja usluga (engl. denial-of-service attacks). Napadač ostvaruje
pristup mreži i onda šalje nevažeće podatke mrežnim uslugama i aplikacijama, i time izaziva
prekid rada mrežnih usluga ili njihov pogrešan rad. Ovoj vrsti napada pripada i zagušivanje,
odnosno preplavlji-vanje (engl. flooding) usmereno ka određenoj usluzi ili određenom računa-
ru, što rezultira preopterećenjem i gašenjem ili kvarom. Ovom vrstom na-pada često su
obarani Web serveri i Web lokacije na Internetu.
Administratori mreža koriste sve strategije da bi sprečili ove napade. Bezbedni
usmerivači i mrežne barijere (objašnjene su u sledećem odeljku) samo su neka od tehničkih
rešenja za zaštitu internih mreža. Na raspolaga-nju imate i protokol za bezbednost, Internet
Protocol Security (IPSec). To je skup protokola i usluga za zašritu, koje su zasnovane na
šifrovanju. IPSec se može koristiti za zaštitu internih mreža, mreža u kojima se za povezivanje
koriste WAN tehnologije i mreža u kojima se koristi udaljeni pristup (na primer, virtuelne
privatne mreže - VPN, koje ćemo objasniti na vežbama).
IPSec upotrebljava sve vrste metoda za zaštitu podataka na mreži. Šifrovanje podataka
je tehnika preslikavanja podataka u nečitljiv format.
IPSec za zaštitu podataka može koristiti sertifikate, pri čemu primalac podatke može
pročitati samo ako poseduje sertifi-kate koji potvrđuju nje-govo pravo čitanja poverljivih
informacija. Očigledno, za primenu IPSec-a, neophodno je dobro poznavanje skupa protokola
TCP/IP. Ako vam treba više informacija o IPSecu i zaštiti mreže pod Windowsom 2000
Zaštita računarskih mreža 17
Server, pogledajte knjigu Microsoft Windows 2000 Security Handbook, izdavačke kuće
Que.
Koja god da je veličina mreže, za njihovu zaštitu nije dovoljna samo jedna strategija.
Znači da morate napraviti plan zaštite mreže. Kada napra-vite plan, možete ga realizovati
pomoću odgovarajućeg hardvera i softve-rskih zaštitnih alatki. Bezbednost mreže zaista je
aktuelna tema i važan aspekt delatnosti administratora mreža. Nije lako zaštititi mrežu. Čak i
mo-ćne igrače, kao što su Yahoo! i Microsoft, ponekad nokautiraju napadači iz mreže.
Razmatranje bezbednosti mreža zatvorićemo odeljkom o sjajnom izumu: mrežnim
barijerama.
7. Mrežne barijere
Predviđeno je da mrežne barijere (engl. Firewall) stoje između vaše mreže i Interneta,
sa ciljem da zaštite internu mrežu od spoljnih napada.
Mrežna barijera istovremeno ispituje i podatke koji napuštaju internu mrežu i podatke
koji u nju ulaze. Ona može „prečišćavati" te podatke koji putuju u oba smera. Ako podaci ne
odgovaraju zadatim pravilima, ne do-zvoljava im se prolaz, bez obzira na to u kom smeru idu.
Znači da mrežne barijere ne štite samo od spoljnih napada, već kontrolišu i vrste veza koje
korisnici iz interne mreže pokušavaju da uspostave sa spoljnim svetom (dru-gim rečima,
korisnicima interne mreže može se onemogućiti povezivanje sa određenim Web lokacijama).
Mrežne barijere su obično kombinacija hardvera i softvera.
Po svom izgledu, ne razlikuju se bitno od ostalih uređaja za poveziva-nje, kao što su
razvodne kutije i usmerivači. Razni proizvođači prave mre-žne barijere. Među njima su Cisco,
3Com i Ascend Communications.
Shodno veličini mreža koje treba da štite, postoje razni modeli mre-žnih barijera. Na
primer, 3Com proizvodi model mrežne barijere Office-Connect, bezbednosni alat namenjen
malim kompanijama.
Većim korporacijama, 3Com nudi mrežnu barijeru SuperStack 3, sačinjenu da
kontroliše veliki broj VPN veza (VPN, odnosno virtuelne privatne mreže, objasnićemo u
poglavlju-vežbi). Ova mrežna barijera podržava, između ostalog, i IPSec.
Zaštita računarskih mreža 18
Postoje i čisto softverske mrežne barijere. Mnogi od ovih proizvoda namenjeni su za
ličnu upotrebu, za zaštitu PC računara koji imaju stalnu vezu sa Internetom preko DSL linije
ili kablovskog modema.
Pre nego što se upustimo u objašnjavanje raznih vrsta mrežnih barijera, rećičemo nešto
o neophodnosti i važnosti mrežnih barijera za bezbednost mreže. U prethodnom odeljku,
kratko je spomenuto da su TCP/IP priključci mala vrata za provaljivanje u mreže i računare.
Zavisno od veličine mreže u kojoj radite, možete se upitati: „Zašto bi neko gubio vreme
pokušavajući da provali u moju mrežu?"
Međutim, pogrešno je mišljenje da razbijači ciljaju samo na velike mreže, kao što su
Microsoft i Ministarstvo odbrane, Svi se pitamo zašto uopšte ljudi gube vreme pokušavajući
da provale u računarske mreže, ali činjenica je da takvi ljudi postoje. Ne samo što pokušavaju
da upadnu u mreže, nego upadaju i u lične PC računare. Na primer, na slici 4.11, prikazano je
upozorenje koje daje softverska mrežna barijera ZoneAlarm, koja je instalirana na PC
računar. PC računar je kablovskim modemom neprekidno povezan na Internet, preko davaoca
Internet usluga.
Prikazano upozorenje kaže da je neko pokušao da „pošalje signal ping" PC računaru.
Čim to mogu da urade, znači da znaju moju IP adresu.
Mrežna barijera ZoneAlarm blokirala je ovaj pokušaj slanja signala ping. Svakog
dana, dok radite na računaru, možete od mrežne barijere da dobijete bar desetak upozorenja.
Neki ljudi pokušavaju da provere da li je moj računar uključen, pomoću komande ping (to nije
strašno). Međutim, problem nastaje kada uljezi otkriju da je Vaš računar uključen i pokušaju,
kroz razne TCP/IP priključke, da uspostave vezu s mojim računarom. Moj računar je samo
jedan od hiljada računara povezanih na Internet preko istog davaoca Internet usluga, a
pokušaji povezivanja preko TCP/IP priključaka nisu zabranjeni.
Kada na svom računaru, koji je povezan na Internet, instalirate mrežnu barijeru, recimo
ZoneAlarm (to je stvarno odlična mrežna barijera za lične računare; više informacija potražite
na lokaciji :http://www.zonealarm.com/), upozorenja koja ćete dobiti, ne moraju uvek biti
posledica pokušaja „loših momaka". I vaš davalac Internet usluga povremeno pokušava da
uspostavi vezu sa vašim računarom, zbog raznih ispitivanja i iz tehničkih razloga.
Zaštita računarskih mreža 19
Međutim, postoje zaludni ljudi koji svakog trenutka „bockaju" mreže i računare,
pokušavajući da se povežu na njih. Da biste se dodatno uverili u to koliko su važne zaštitne
barijere, posetite lokaciju :
http: / /grc. com/default. htm.
Ovu lokaciju održava kompanija Gibson Research Corporation i na njoj je veza ka
posebnoj lokaciji ove kompani-e, pod imenom Shields Up (u prevodu, podigni štitove).
Lokacija Shields Up će vam pokazati koliko su računari, koji rade pod Windowsom, osetljivi
na spoljne napade.
Proverite da li ste izabrali hipervezu Shields Up na početnoj stranici kompanije GRC.
Ako nemate instaliranu i uključenu mrežnu barijeru na svom računaru, iznenadićete se kada
vas Web lokacija Shields Up bude pozdravila NetBIOS imenom vašeg računara.
Da bi stvari bile još gore, u donjem delu Web stranice Shields Up potražite dugme
Test My Shields i pritisnite ga.Kada pomoću ovog testa ispitateVaš računar pod Windowsom
namenjen za zajedničko korišćenje datoteka i resursa za štampanje, dobićete spisak svih
direktorijuma i šta-mpača na tom računaru, koji su bili podešeni za zajedničko korišćenje.
Kada dalje sprovedete test priključaka, Probe Port (u njega se ulazi sa stranice Shields
Up), ispostaviće se da je gomila priključaka bila širom otvorena (HTTP, Telnet, NetBIOS...).
Posle ovog događaja, treba instalirati ličnu mrežnu barijeru Zone-Alarm i ponovo
pokrenuti iste testove. Test Shield je prijavio da računar radi u „stealth" (nevidljivom) režimu
rada, što znači da nezvanim gostima nisu na raspolaganju bile nikakve informacije o računaru,
kao što su NetBIOS ime i spisak deljenih resursa.
Kada dalje pokrenute testiranje priključaka, svi priključci bili su zaključani (rezultat
rada mrežne barijere).
Na slici 4.12 vidi se rezultat testiranja priključaka. Vidi se da su svi priključci
nedostupni spolja i da ne postoji rupa kroz koju bi se uljez mogao ušunjati u računar preko
Interneta.
Zaštita računarskih mreža 20
7.1 Vrste mrežnih barijera
Mrežne barijere su klasifikovane prema načinu na koji rade sa mre-žnimn saobraćajem
i prema tome na kojem sloju referentnog modela OSI funkcionišu . Što je viši sloj na kojem
mrežna barijera funkcioniše, to je ona složenija. Evo nekih detalja:
• Filter paketa. Ova vrsta mrežnih barijera koristi skup pravila za utvrđi-vanje da li
odlazeći ili dolazeći paket podataka sme da prođe kroz mrežnu barijeru. Ova pravila (ili filtri,
kako ih još nazivaju), zasnovana su na dozvo-ljenim IP adresama pošiljaoca i na brojevima
priključaka, koje angažuje protokol od koga taj paket podataka potiče. Filter paketa prosleđuje
podatke velikom brzinom. On predstavlja najjednostavniju mrežnu barijeru. Počiva na sloju
veze podataka i na mrežnom sloju referentnog modela OSI. Usme-rivač koji tokom svog rada
konsultuje pristupne spiskove (pravila za propu-štanje ili blokiranje veza, na osnovu IP adresa)
radi filtriranja prenosa poda-taka, može se smatrati fllterom paketa.
• Mrežna barijera na nivou kola. Ova vrsta mrežnih barijera slična je fi-ltrima paketa
(obe vrste filtriraju pakete na osnovu nekakvih pravila). Međutim, mrežne barijere na nivou
kola rade u transportnom sloju refere-ntnog modela OSI, pa su zbog toga funkcionalnije. Ove
mrežne barijere imaju takvu mogućnost preuređivanja paketa (poslatih iz interne mreže ka
odredištu van mrežne barijere), da izgleda kao da je mrežna barijera izvo-rište paketa. Na taj
način, čuva se tajnost informacija o unutrašnjoj organi-zaciji mreže. Mrežne barijere na nivou
kola mogu procenjivati da li je TCP protokolom pravilno uspostavljena veza između računara
u mreži i računara van mreže . Ako veza nije pravilno uspostavljena, mrežna barijera je može
raskinuti. Na ovaj način može se prekinuti veza koju je uljez oteo da bi se ušunjao u intemu
mrežu kroz mrežnu barijeru.
• Mrežni prolaz za aplikacije. Ova vrsta mrežnih barijera funkcioniše na sloju
aplikacija referentnog modela OSI. Mrežni prolazi za aplikacije koriste strogu proveru
identiteta korisnika. Tako se proverava identitet računara koji pokušava do se poveže na mrežu
korišćenjem određenog TCP/IP proto-kola iz sloja aplikacije (na primer, Telnet ili FTP).
Štaviše, posle provere identiteta korisnika, ova vrsta mrežnih barijera može kontrolisati
uređaje sa kojima je korisnik uspostavio vezu preko spoljnog računara. Mrežni prolazi za
Zaštita računarskih mreža 21
aplikacije predstavljaju efikasnu zaštitu od falsifikovanja IP adrese (engl. IP spoofing,
objašnjeno je ranije u ovom poglavlju), jer se ne dozvoljava održavanje veze sa računarom
unutar mrežne barijere u slučaju da se ne mo-že valjano utvrditi identitet korisnika.
Mnoge mrežne barijere, između ostalog, podržavaju funkcije posredničkih servera
(engl. proxyserver) i pretvaranje mrežnih adresa (engl. Network Address Translation, NAT), u
cilju zaštite interne mreže. Ako vam treba više informacija o posredničkim i NAT serverima,
vratite se na 12. poglavlje, „Povezivanje mreže na Internet".
Otkrićete da su neke mrežne barijere zapravo hibridi vrsta koje su ovde navedene.
Na primer, neka mrežna barijera može kombinovati funkci-je mrežne barijere na nivou
kola i mrežnog prolaza za aplikacije.
Razvijanje novih mrežnih barijera odvija se vrtoglavom brzinom. Zvučni novinski
naslovi o obaranju mreža velikih flrmi i državnih institu-cija, doveli su do porasta prodaje
mrežnih barijera i do njihovog usavršava-nja.
Zaštita računarskih mreža 22
8.Zaključak:
Zaštita mreže i njenih resursa sigurno je najveći izazov sa kojim se adminisrratori
mreža sreću. Suština je sledeća: najpre proućite moguće pretnje po bezbednost mreže. Zatim,
na osnovu toga sačinite plan za zaštitu mreže.
Svakoj mreži treba plan zaštite, koji predviđa moguće pretnje po bez-bednost mreže i
sadrži mere koje ćete sprovesti da biste otklonili te pretnje. Ako na vašoj mreži najveći problem
predstavljaju korisnici koji cunjaju po važnim podacima, težište vašeg plana zaštite treba da bude
obučavanje kori-snika da ispravno koriste mrežu. Ako u mreži imate osetljive podatke, vaša
mreža biće izložena napadima spolja i iznutra; poverljive podatke pokušaće iznutra da ukradu
vaši službenici, skloni industrijskoj špijunaži, a spolja će napadati razbijači, lovci na vredne
informacije. Znači, morate pripremiti strategije zaštite od napada spolja i iznutra.
Zaštita računarskih mreža 23