Visa poslovna skola Cacak
SEMINARSKI
RAD
Predmet: Elektronsko poslovanje Tema: Zastita racunarskih mreza
Mentor:
Student:
Jovan Savic
Mitic Milena br.indeksa: 199-043-07
Beograd, decembar, 2009.god.
Sadržaj: Uvod.............................................................................................................................................2 3.Korisnički nalozi.......................................................................................................................5 Korisničke lozinke.......................................................................................................................6 Dozvole pristupa deljenim resursima...........................................................................................8 Borba protiv virusa....................................................................................................................10 Vrste virusa................................................................................................................................11 Crvi i trojanci.............................................................................................................................13 5 .Zaštita od virusa.....................................................................................................................14 6.Zaštita mreže od napada spolja...............................................................................................15 7. Mrežne barijere.....................................................................................................................18 7.1 Vrste mrežnih barijera...............................................................................................21 8.Zaključak:...............................................................................................................................23
Uvod U poslednjih desetak godina, koncepti obezbeđenja računarskih mreža drastično su se Zaštita računarskih mreža
2
promenili, između ostalog i zbog činjenice da je većina lokalnih mreža povezana na Internet. Bezbednost mreže svojevremeno se odnosila na obezbeđenje resursa i informacija u izolovanoj mreži. Pitanja bezbednosti svodila su se na nivo korisničkog pristupa važnim mrežnim resursima i na zaštitu sistema od viru-sa (koji su se prenosili zaraženim disketama). Takođe, bezbednost mreže podrazumevala je i fizičku zaštitu mreže od, na primer, osobe koja bi neovlašćeno ušla u zgradu, pristupila nezašti-ćenom računaru, kopirala poverljive podatke na disketu i pobegla. Bezbednost se zaista svodila na sprečavanje napada iznutra. Ponekad bi se u napad mogla svrstati greška korisnika ili administratora, a ne samo zlonameran napad na mrežne resurse. Na primer, korisniku bi nepažnjom bio dodeljen neodgovarajući nivo pristupa važnim mrežnim resursima i on bi ih nenamerno oštetio ili uništio. Danas težište bezbednosti mreže predstavlja odbrana od spoljnih napa-da, zbog toga što je većina mreža povezana na Internet. Mnoge kompanije imaju svoje Web lokacije. Mrežu direktno napadaju razbijači (engl. crackers; u štampi često mešaju hakere i razbijače; hakeri ne odobravaju takvu terminologiju, jer sebe smatraju pasioniranim računa-rskim stručnjacima, a ne kriminalcima koji provaljuju u računarske sisteme) i virusi, naročito oni koji se šire Internetom, putem elektronske pošte. Administratori mreža i stručnjaci za bezbednost računara morali su ra-zviti nove strategije za zaštitu mreža. Kao odgovor na najnovije pretnje po bezbednost računara, u proteklih nekoliko godina razvijeni su novi proizvo-di, kao što su posrednički serveri (engl. proxy server) i mrežne barijere (engl. firewall).
1. Sigurnosni problemi
Osnovna karakteristika Interneta, i najvazniji razlog za njegov eksponcijalni razvoj, jeste njegova otvorenost i mogucnost jednostavnog prikljucivanja krajnjih korisnika.
Zaštita računarskih mreža
3
Istovremeno, ova otvorenost i sve veci broj korisnika unose doddatne sigurnosne rizike i probleme u funkcionisanju Interneta. U medijima se cesto govori o neovlascenom pristupu nekim racunarskim sistemima preko Interneta, o softverskim virusima, zloupotrebi kreditnih kartica, ugrozavanju privatnosti. I laicima postoje ocigledno da – gde ima dima, tu ima i vatre-, i da postoje realni problemi i rizici u koriscenju Interneta. Napadi na racunarsku mrezu su ne dozvoljene aktivnosti u procesu prenosenja podataka od izvorista do odredista, a dele se, kao sto je i vec ranije receno, na pasivne i aktivne. Pasivni napadi su prisluskivanje i nadgledanje protoka podataka bez ikakvih izmena sadrzaja. Sifrovanje poruka je najcesci mehanizam borbe protiv ovakvih napada. Aktivni napadi daleko su opasniji jer podrazumevaju neautorizovane promene u tokovima podataka. Postoje razliciti oblici ovih napada na podatke koji se razmenjuju preko mreze -
promena sadrzaja poruka
-
ubacivanje novih poruka
-
prekidanje postojeceg toka poruka.
Pored napada na tokove podataka u Internetu, javljaju se i problemi u vezi sa utvrdjivanjem verodostojnosti subjekta s kojim se obavlja komunikacija. Naime, postoji mogucnost laznog predstavljanja -
kao neko poznat
-
kao nepoznat, a postoji
-
kao potpuno izmisljeni subjekt.
Navedeni sigurnosni rizici uticu da se u poslednje vreme izrazavaju rezerve u vezi s primenom Interneta u poslovanju. Mnogi pod uticajem informacija o sigurnosnim problemima postavljaju pitanje da li da Internet uopste koriste za poslovanje. Naravno da je taj sgtrah preteran, ali treba biti strah preteran, ali treba biti svestan mogucih rizika i problema kako bise preuzele adekvatne zastitne mere. Rizici postoje i prilikom slanja pisma, faxa, ili obavljanja telefonskog razgovora, pa se ti servisi ipak koriste.
Zaštita računarskih mreža
4
Ocigledno je da ne postoje apsolutno sigurni nacini, kako u komuniciranju tako i u saobracaju uopste.
3.Korisnički nalozi Korisnik se, bez važećeg korisničkog imena i lozinke, ne može naja-viti za rad na mreži. Prvu liniju odbrane mreže, koju postavlja administrator mreže, čine korisnički nalozi. Kada se korisnik najavi na mrežu sa klijents-kog računara, njegovo korisničko ime i lozinka predstavljaju žeton za ula-zak. Ovaj žeton za ulazak služi za proveru identiteta korisnika mreže (omo-gućava prijavljivanje) i za utvrđivanje nivoa pristupa mrežnim resursima, koje korisnik može osrvariti. Žeton za ulazak, koji se primenjuje u svim mrežnim operativnim sistemima, predstavlja vrstu elektronske identiflkacione kartice koja se ne razlikuje mnogo od ATM kartice. ATM karticom se proverava identitet ko-risnika kada pristupa ATM mreži banke i omogućava joj se pristup odre-đenim resursima, kao što su tekući ili štedni računi. Ovim žetonom se tako-đe utvrduje kojim se resursima može pristupiti na mreži, kao i nivo pristupa koji se može odobriti. Administrator mreže odgovoran je za izradu korisničkih naloga. Svaki mrežni operativni sistem ima ugrađen administratorski nalog, koji služi za upravljanje mrežnim resursima i korisničkim nalozima. Administratorski nalog se različito zove u različitim mrežnim operativnim sistemima: root, Admin i Administrator (u Linuxu, NetWareu i Windowsu). Svaki mrežni operativni sistem ima neki uslužni program za otvaranje i menjanje korisničkih naloga. Slika 4.1 prikazuje okvir za dijalog Create User, koji služi za otvaranje novih korisničkih naloga u uslužnom programu NetWare Administrator. Svaki mrežni operativni sistem sadrži nekoliko opštepriznatih pravila koja se odnose na upravljanje korisničkim nalozima: Svako korisničko ime mora biti jedinstveno. lako nije neka mudrost, bitno je da to uvek imate na umu.
Zaštita računarskih mreža
5
Ograničena je dužina korisničkog imena, odnosno broj znakova u njemu. Iako dozvoljeni broj znakova varira od jednog do drugog mrežnog operativnog sistema, pre nego što se upustite u izradu korisničkih naloga, morate poznavati konkretna pravila operativnog sistema na kome radite. Na primer, u Windowsu je za korisničko ime predvideno najviše 20 znakova. U UNetWa-reu, maksimalna dužina korisničkih imena je 64 znaka. U korisničkom imenu nije dozvoljena upotreba određenih znakova. Uobičajeno. korisnička imena ne mogu sadržati kosu crtu (/), obrnutu kosu crtu (\) i još neke specijalne znake. Pojedini operativni sistemi dozvoljavaju upotrebu znaka za razmak, a neki ne. Ponavljam, pre početka otvaranja kori-sničkih naloga, neophodno je znati pravila imenovanja koja važe u operativnom sistemu u kome radite. Pored toga što svaki mrežni operativni sistem ima pravila za izradu korisničkih imena, preporučljivo je da (kao administrator) sačinite plan formiranja korisničkih imena. Valjalo bi da se držite tog plana pri smišljanju novih imena. Na primer, planom možete predvideti sledeći način formiranja korisničkih imena: na početno slovo imena nadovezaće prezime službenika. Takvo pravilo treba sprovoditi dosledno, za sva korisnička imena. Takođe, planom treba predvideti rešenje za situaciju kada se dva ili više korisnika jednako prezivaju i imena im počinju istim slovom. Ovaj plan izrade korisničkih naloga treba da obuhvati strategiju dodele lozinki korisnicima. Mrežni operativni sistemi omogućavaju da utvrdite uslove pod kojima se lozinka može menjati. Recimo, dodeljena početna lozinka se mora promeniti odmah pri prvom najavljivanju korisnika na mrežu, a može se pode-siti da korisnik nikada ne može sam da promeni lozinku. Sada ćemo izbliza sagledati lozinke i njihovu važnost za bezbednost mreže.
Korisničke lozinke Pri proveri identiteta korisnika potrebni su važeće korisničko ime i odgova-rajuća važeća lozinka. Zbog toga, strategija dodele lozinki korisnicima bitno utiče na bezbednost
Zaštita računarskih mreža
6
mreže. Veliki broj administratora mreža formira nova korisnička imena po šablonu: početno slovo imena i prezime. Znači, ako neko zna da se zovem Petar Petrovic , može pretpostaviti da je moje korisni-čko ime na mreži Petrovic. Odatle zaključujemo da je lozinka ona komponenta korisničkog nalo-ga koja proces prijavljivanja za rad na mreži čini bezbednim. Stoga, lozinka treba da bude tajna. Mrežni operativni sistemi pružaju izbor između više mogućnosti za doelu lozinki korisnicima mreže. Na primer, slika 4.2 prikazuje okvir za dijalog New Object - User, kojim se u Windowsu 2000 Server, u okviru softvera Active Directorv, otvaraju novi korisnički nalozi za rad na mreži. Kao što na slici vidite, niz polja za potvrdu daje vam više različitih mogućnosti koje se odnose na korisničke lozinke. Kada se korisnik prvi put prijavljuje, možete mu omogućiti da prome-ni početnu lozinku. Možete zadati i opciju da korisnik nikada ne može pro-meniti lozinku. Čak je moguće podesiti neograničen rok važnosti lozinke (opcija password never expires). Kao poligon za dalja razmatranja, uzmimo različite opcije, prikazane na slici 4.2. Cilj je da se uverimo da je zaštita tajnosti lozinke tačka oslonca bezbednosti mreže. Evo nekih razmišljanja: Korisnicima možete dozvoliti da sami kontrolišu svoje lozinke. Varijanta, u kojoj dozvoljavate korisnicima samostalno formiranje lozinke, korisna je kad podesite vremensko ograničenje važenja dozvole i ako od korisnika zahte-vate redovno menjanje lozinke. Međutim, u tom slučaju, korisnike morate obučiti za rukovanje lozinkama. Jvforate im objasniti, na primer, da upotreba njihovog imena ili reči „lozinka" u svojstvu lozinke ne unosi bezbednost kojoj težite. Možete u potpunosti preuzeti kontrolu nad korisničkim lozinkama. U tom slučaju, korisnicima dodeljujete lozinke koje ne mogu promeniti. Kada imate mnogo korisnika, imaćete i mnogo posla, naročito ako zbog podizanja nivoa bezbednosti mreže podesite kratak rok važenja lozinki. Štaviše, ako pomislite da ste kadri smisliti vražje složene lozinke, koje nikd ne može pogoditi, razočaraću vas kad vam kažem da to nikada nećete imati efekta. Komplikovane lozinke korisnici često zapišu i prikače na svoj monitor.
Zaštita računarskih mreža
7
Možete zahtevati da se lozinke redovno menjaju. Dobro je imati neku strategiju za recikliranje lozinki. Lozinke sa neograničenim vremenom va-žnosti samo stimulišu uljeze da provale lozinke korisničkih naloga, jer za to imaju dovoljno vremena. Redovno menjanje lozinki, vašu mrežu unapređuje iz nepokretne u pokretnu metu, pa čak i više od toga. Ljudi koji žele da provale u vašu mrežu verovatno nisu naivčine, niti koriste samo proste tehnike pogadanja korisničkih imena i lozinki. U . poglavlju, „Rešavanje problema na mreži", objasnili smo šta su „njuškala", programi koje razbijači koriste za prisluškivanje mrežnog saobraćaja. Mogućnost hvatanja paketa podataka otvara vrata otkrivanju kori-sničkih imena i lozinki, jer se oni u paketima prenose kao običan tekst. Činjenica je da nije teško uhvatiti paket podataka. Radi zaštite poverljivih informacija, koriste se tehnike šifrovanja tajnih podataka, da bi se otežalo korišćenje uhvaćenih podataka za provalji-vanje u mrežu. Šifrovanje ćemo objasniti kasnije u ovom poglavlju. Suština je sledeća: treba osmisliti postupak dodele lozinki, koji se lako koristi, i sa stanovišta administratora i sa stanovišta korisnika, a pri tome doprinosi bezbednosti mreže. Naravno, broj korisnika i važnost resursa uslovljavaju taj postupak. Ostale mogućnosti upravljanja korisničkim nalozima mogu doprineti bezbednosti procesa prijavljivanja za rad na mreži. Sada ćemo se pozabaviti nekim od tih mogućnosti, kao što su dozvoljena satnica za prijavu i mogu-ćnost uspostavljanja više paralelnih veza sa mrežom preko istog korisničkog naloga.
Dozvole pristupa deljenim resursima Pošto su korisnici dobili pristup mreži, potreban im je i pristup mrežnim resursima. Već smo objasnili deljene mrežne resurse i resurse za štampanje. Kada se radi o deljenju informacija na mreži, osetljivi i privatni podaci isto-vremeno treba da budu i bezbedni i dostupni. To znači da samo pojedini korisnici imaju pristup određenim informacijama. Takođe, korisnici neće imati podjednake nivoe pristupa podacima.
Zaštita računarskih mreža
8
Dozvole određuju prava pristupa deljenim mrežnim resursima. Dozvola je pravo pristupa resursu. Dodeljujete je korisniku ili grupi korisnika. Budući da različite dozvole, tj. prava pristupa, možete dodeliti svakom korisniku za svaki pojedinačni resurs na mreži, na taj način ćete fino podesiti bezbednost pristupa važnim informacijama na mreži. U Microsoft Windowsu, za definisanje različitih nivoa pristupa mrežnim resursima, upotrebljava se termin dozvola (engl. permission). U okruženjima Novell NetWare, dozvolama su ekvivalentna prava, engl. rights (u pitanju su različiti nazivi za iste koncepte bezbednosti resursa). U Windowsovom mrežnom okruženju, novi deljeni resurs je inicijalno u potpunosti dostupan svim korisnicima mreže, jer su grupi Evervone (svi; ubrzo ćemo objasniti grupe korisnika) data prava Full Control (potpuna ko-ntrola) nad novim deljenim resursom. Znači, administrator mreže odlučuje o neophodnosti „dizanja" nivoa bezbednosti deljenog resursa i reguliše bezbednost ograničavanjem pristupa podacima s tog resursa. Mogu se najpre ukinuti dozvole opštoj grupi Everyone, a zatim se različita prava pristupa mogu dodeliti pojedinim korisnicima ili grupama korisnika. Slika 4.6 prikazuje okvir za dijalog kojim se korisnici dodaju u okvir za dijalog Permissions datog deljenog resursa. Potom, svakom korisniku mogu biti dodeljene različite dozvole. Na mrežama koje rade pod operativnim sistemima Microsoft Win-dows NT, Windovvs 2000 Server ili Windows XP Server, koncept bezbe-dnosti resursa se sprovodi na nivou datoteka. Ovo je moguće jer NTFS (NT File System) obezbeđuje različita prava pristupa datotekama, dire-ktorijumima i diskovima. Budući da direktorijum u Windowsu može biti dvostruko zaštičen, dozvolama za zajedničko korišćenje (objašnjavamo ih ovde) i NTFS dozvolama, ponekad je teško zaključiti koja prava pristupa korisnik zapravo ima. Na primer, ako korisnik ima puno pravo pristupa direktorijumu na osnovu dozvola za zajedničko korišćenje, ali nema NTFS dozvolu, on ne može pristupiti direktorijumu. Ove dve vrste dozvola se tako kombinuju, da prava pristupa diktira stroža dozvola. Detaljnije informacije o dozvolama pristupa u mrežama pod Windowsom potražite u knjizi Windows 2000 Server Biblija, u izdanju Mikro knjige.
Zaštita računarskih mreža
9
Mrežno okruženje NetWare administratorima omogućava da se korisnicima dodele različita prava pristupa resursima (kao što su deljeni direktorijumi u mreži). Korisnik nad deljenim resursom može imati prava kao što su Read (čitanje), Write (upisivanje), Erase (brisanje) i Modify (menjanje). Pošto su korisniku dodeljena prava pristupanja pojedinim resursima mreže (na primer direktorijumu), ta prava će određivati interakciju između kori-snika i resursa. Na primer, ako korisnik u direktorijumu na serveru može samo da čita, on u taj direktorijum ne može upisivati datoteke, niti može brisati postojeće. Slika 4.8 prikazuje šta se dešava kada Windowsov klijentski program poku-ša da napravi novu datoteku u direktorijumu za koji korisnik ima samo pra-vo pristupa Read (klijent je program u Windowsu, a server radi pod NetWareom). Pojavljuje se poruka koja korisnika obaveštava kako nema pravo da pravi nove datoteke u tom direktorijumu.
Borba protiv virusa Virusi predstavljaju još jednu pretnju vašoj mreži. Virus je samorazmnoža-vajući deo softverskog koda. Pošto virus kopira sam sebe, on se, nažalost, vrlo lako širi od računara do računara. Iako su mnogi virusi izvršni programi, čijim se pokretanjem izaziva njihovo razmnožavanje i oštećenje računarskog sistema, postoje i druge vrste virusa. Na primer, virusi makroi, kriju se u dokumentu ili u radnim tabelama. Ako otvorite datoteku u kojoj se krije virus, zarazićete svoj računarski sistem. Virusi se mogu prenositi putem disketa i ostalih zamenjivih medija, namenjenih skladištenju informacija. Ako iz računara izvadite inficirani disk i stavite ga u drugi računar, širite zarazu. Računari se takođe mogu inficirati virusima, koji se šire mrežom, putem zaraženih deljenih resursa.1 I Internet predstavlja izvor virusnih infekcija. Virusi se nepažnjom mogu preuzeti sa Interneta. Takođe, oni se šire u porukama e-pošte. 1
Goran Vujacic, Mreze i telekomunikacije-racunarske mreze, Beograd, 2008
Zaštita računarskih mreža
10
Zanimljivo je da mnogi virusi ne rade ništa, sem što se razmnožavaju. Nisu svi virusi napravljeni da formatiraju čvrsti disk ili uništavaju određenu vrstu datoteka. Veliki broj virusa na koje nailazite predstavljaju samo smi-šljene neslane šale (ali te šale mogu da vas dobrano iznerviraju). Jedan od prvih virusa, bio je virus Brain. To je bio (i još uvek jeste) virus startnog sektora (engl. boot sector) koji sam sebe učitava u memoriju računara (za par trenutaka objasnićemo različite vrste virusa).Ukratko, virus Brain se brzo raširio na skoro sve diskete . Srećom, bilo je vrlo lako otkriti zaražene diskete, jer je virus ime volumena diskete menjao u BRAIN, i sem toga nije pravio nikakvu štetuSvi korisnici računara se boje virusa, koji se često samo razmnožavaju. Ipak, mrežni administrator ima obavezu da uništava viruse, bilo da su u pitanju oni šaljivi ili zlonamerni, napravljeni za pustošenje podataka na mreži.Virusi mogu obrisati programe i datoteke, ali i sav sadržaj diska. Takođe, virusi se mogu sakrivati u mrežnim podacima za koje redovno pravite rezervne kopije (engl. backup), na primer u serveru datoteka. To znači da u slučaju otkaza diska i gubitka originalnih podataka, izgubljene podatke treba rekonstruisati iz podataka koji su zaraženi virusima.Virusi čak mogu pronaći administratorovu lozinku i proslediti je nekome van mreže. Ta osoba se može prijaviti na mrežu kao administrator i načiniti ogromnu štetu. Znači, iako su mnogi virusi samo dosadni i košta vas njihovo uklanjanje, postoje virusi koji bezbednost mreže izlažu velikom riziku.
Izgleda da se savremena računarska terminologija širi brže od računarskih virusa. Crvi, virusi i ostale vrste softvera, koje su napravljene da na vašem računaru prave haos (odnosno na svim računarima), često se nazivaju malware (skraćenica od malidous software - zlonamerni softver).
Vrste virusa Tokom godina, razvile su se razne vrste virusa. Razvrstali smo viruse po načinima na koje inflciraju računar:
Zaštita računarskih mreža
11
Virusi startnog sektora. Neki od prvih virusa pripadaju ovoj vrsti. Virus startnog sektora obično se širi putem zaražene diskete ili drugog zamenjivog medija. Zaboravnost korisnika potpomaže širenje virusa startnog sektora. Ako u disketu jedinicu računara ubacim disket zaraženu virusom startnog sektora, ništa se neće desiti. Tek ako resetujem sistem (na primer, sinoć sam isključio računar i uključio ga jutros, a disketa se sve vreme nalazila u dis-ketnoj jedinici), a prethodno ne izvadim zaraženu disketu, pri podizanju sistema, virus startnog sektora učitava se u memoriju računara (računar obi-najpre pokuša da digne sistem sa diskete). Potom virus može inficirati čvrsti disk i sve diskete koje stavite u disketnu jedinicu dok računar radi. Brain (malopre je pominjan i Exebug su primeri virusa startnog sektora. Virusi datoteke. Poslednjih godina retko se sreću. Inficiraju izvršne da-toteke, kao što su datoteke tipa EXE ili COM (znate da se operativni sistem sastoji od gomile izvršnih programa). Kada se inficirani program pokrene, virus se učitava u operativnu memoriju računara. Potom, virus može zaraziti ostale izvršne programe tokom njihovog izvršavanja na računaru. Postoji oblik virusa datoteka koji upisuje svoj kod preko koda izvršnog programa u kojem boravi. jedan od oblika virusa datoteka je virus pratilac. Ovaj oblik virusa se maskira kao datoteka sa nastavkom COM, istog imena kao neki postojeći sistemski EXE program. Kada pokrenete taj sistemski program, makro će prvo izvršiti istoimenu COM datoteku, jer COM datoteke imaju prednost nad EXE datotekama. Znači, prvo će se izvršiti virus (COM dato-teka), a posle njega traženi sistemski EXE program. Zbog toga možda nećete ni primetiti da imate virus. Primeri virusa datoteka su Dark Avenger i KMIT. - Virusi makroi. Virus makro je novija vrsta virusa. Oni su obično pisani u Visual Basicu i mogu zaraziti dokumente i Excelove tabele (ali ne i izvršne programe). Kada se zaraženi dokument ućita u aplikaciju, na primer, u Word, virus se u toj aplikaciji izvršava kao i svaki drugi makro. Neprijatna je činjenica da virusi makroi ne zavise od operativnog sistema. Budući da se Microsoft Excel može izvršavati na računarima zasnovanim na Macin-tosh i Windows tehnologijama, ovakva vrsta virusa se, deljenjem Excelovih tabela, širi s jedne platforme na drugu. Virusi makroi nisu ograničeni na Microsoftove aplikacije. Pojavljuju se i u drugim softverskim paketima, kao što je Lotus SmartSuite. Primer virusa makroa je ozloglašeni virus Melissa, Wordov makro koji se širi putem e-pošte.
Zaštita računarskih mreža
12
- Višedelni virusi. Oni imaju osobine virusa startnih sektora i virusa dato-teka. Mogu se širiti sa startnog sektora jednog diska na drugi, a mogu na-padati i izvršne datoteke. Neki višedelni virusi zaražavaju i upravljačke programe (engl. drivers), recimo mrežne kartice. Primer višedelnog virusa je Pastika. Ovaj virus aktivira se samo određenih dana u mesecu (obično 21. i 22. dana) i može obrisati sve informacije na čvrstom disku. Stvaran broj virusa ,,na slobodi" (misli se na one koji bitišu na računarima i mrežama) stalno se menja, ali, uopšteno gledano, taj broj je u stalnom porastu. Broj virusa makroa neprekidno raste. Upoznajmo se sa ostalim zlonamernim sofrverom (engl. malware) koji ugrožava bezbednost mreže i njene resurse, a potom ćemo proučiti neke strategije za zaštitu od virusa. Sjajna Web lokacija, koja sadrži sveže informacije o pronađenim virusima, nalazi se na adresi http://www.f-secure.com/. Kompanija F-Secure, koja održava ovu lokaciju, proizvodi čitav niz softverskih paketa za obezbedenje mreža. Još jedna lokacija, na kojoj treba potražiti informadje o virusima, jeste Institut SANS. Web adresa Instituta SANS je http: //www. sans.org/newlook/home.htm. Tu ćete naći informacije o virusima i ostalim temama u vezi sa bezbednošću računarskih mreža.
Crvi i trojanci Nisu virusi jedine softverske pretnje po bezbednost računarskih mreža. Postoje još dva zloćudna oblika softverskih proizvoda iz kuhinje opakih Ijudi, koji izmišljaju monstrume poput kompjuterskih virusa. To su crvi i trojanci. Crv je program koji se širi od jednog do drugog umreženog računara. Za razliku od virusa, ne treba ga akrivirati spolja. On se potpuno samostalno razmnožava. Crv može opustošiti velike mreže, poput Interneta, jer se sam širi po celoj mreži. Oni su obično zavisni od konkretne platforme i koriste slabe tačke operativnih sistema. Na primer, crv Linux.Ramen razmnožava se samo na računarima koji rade pod verzijama 6.2 i 7.0 Red Hat Linuxa. Trojanski konji (ili skraćeno trojanci, kako ih često nazivaju) jesu programi koji izgledaju sasvim bezazleno, kao što su igrica ili čuvar ekrana.
Zaštita računarskih mreža
13
Na primer, trojanac HAPPY99.EXE, kada se izvrši, prikazuje mali vatromet na ekranu, a u pozadini uzima adrese iz vašeg programa za e-pošru i na njih šalje svoju kopiju (na sličan način razmnožava se i virus Melissa). Jedan od prvih trojanaca bio je AIDS Information Disk i stizao je na adrese zdravstvenih ustanova, kao brošura za borbu protiv istoimene bolesti. Po izvršavanju, stvarao je na čvrstom disku računara skriveni direktorijum i šifrovao celokupan sadržaj diska, skoro potpuno uništavajući postojeće informacije. Jedna od najvećih opasnosti od trojanaca, jeste mogućnost osvajanja kontrole nad računarom. Stvara se prolaz koji omogućava potpun pristup zaraženom računaru. To znači da razbijač, koji kontroliše trojanca, može sa računarom činiti šta mu je volja. Kontrolu nad vašim računarom može isko-ristiti za napad na neku Web lokaciju putem uskraćivanja usluge (engl. denial of service), tako što se vaš računar koristi za stvaranje prekomernog saobraćaja sa određenom Web lokacijom. Napad putem uskraćivanja usluge objašnjen je kasnije u ovom poglavlju, u odeljku „Zaštita mreže od napada spolja".
5 .Zaštita od virusa Za zaštitu mreže od virusa, trojanaca i crva, administrator mreže mora sprovesti dve osnovne mere. Prvo, mora sastaviti plan zaštite od virusa. Drugo, plan mora dosledno sprovoditi. Svaki plan za borbu protiv zloćudnog softvera treba da sadrži spisak pravila koja vaši korisnici moraju poštovati. Ova pravila mogu biti zabrana donoše-nja diskova od kuće, zabrana korišćenja privatne e-pošte na poslu i zabrana preuzimanja datoteka sa Interneta. Iako ova pravila mogu izgledati preoštra, neke kompanije sprovode drakonske mere, strože od navedenih. Staviše, mnoge kompanije veoma grubo kažnjavaju službenike koji ne poštuju ova pravila, čak ih otpuštaju (budući da se šibanje prekršioca više ne praktikuje). Šta službenik radi na svom kućnom računaru, to su njegove privatne stvari. Ali kada se u mreži nalaze podaci životno važni za kompaniju, stvarno morate biti onoliko strogi koliko nalažu pravila upotrebe mrežnih računara.Korisnike treba obrazo-vati i pružiti im opšte informacije o
Zaštita računarskih mreža
14
virusima i o šteti koju su u stanju da naprave. Kad bi korisnici širom sveta bili malo razumniji, virus Melissa ne bi mogao tako lako da se raširi po celoj planeti. Iako upoznavanje korisnika s opasnostima od virusa može izazvati malu paranoju, velika je stvar imati oprezne korisnike na mreži. To može pomoći da viruse zatrete još u povoju, pre nego što postanu veliki problem. U svom planu morate predvideti instaliranje i održavanje softvera za zaštiru od virusa. Postoji više kompanija koje nude antivirusni softver: Symantec, McAfee, Norton, Dr. Solomon's... Antivirusni softver može biti podešen da štiti klijentske računare i mrežne servere od zaraze. Najveći deo antivirusnog sofrvera može se pode-siti da proveri disketu čim je ubacite u disketnu jedinicu. Budući da mnoge kompanije nude da isprobate njihov softver, iskori-stite to za testiranje raznih mogućnosti, da biste otkrili koji softver najviše odgovara vašem slučaju. Testiranje novog softvera pre korišcenja mudar je potez. Neki primerci antivirusnog softvera se instaliraju na svaki računar, a neki se pokreću svaki put kada računar podiže mrežni operativni sistem. Budući da se neprestano pojavljuju novi virusi i zlonameran softver, vaš antivirusni softver mora biti sposoban da se nosi sa najnovijim i najsloženijim virusima. To se postiže ažuriranjem najnovijih verzija antivirusnih podataka i programa, da bi antivirusni softver mogao prepoznati nove viruse i opraviti nastalu štetu. U svom planu borbe protiv virusa, morate predvideti redovno preuzimanje najnovijih verzija antivirusnog softvera. Virusi u stopu prate pojavljivanje najnovijih računarskih platformi. Čak ni ručni računari, kao oni pod operativnim sistemom Palm, nisu imuni na napad virusa. Mnogi proizvođači antivirusnog softvera, medu kojima je i Computer Associates, nude antivirusni softver za operativni sistem Palm OS.
6.Zaštita mreže od napada spolja
Zaštita računarskih mreža
15
Bezbednost vaše mreže ugrožava i direktan napad. Uspostavljanje ve-ze između vaše mreže i Interneta, otvara širok put onima koji žele da razbiju bezbednost mreže i dobiju pristup važnim mrežnim resursima. Direktni napadi na mrežu mogu poprimiti nekoliko oblika. Mnogi od njih su posledica načina rada skupa protokola TCP/IP. Svaki pojedinačni protokol iz skupa TCP/IP komunicira preko odgovarajućeg kanala, pod imenom poznat broj priključka (engl. well known port number, brojevi priključaka . Na primer, HTTP radi na priključku 80, a FTP na priključku 21. Postoji više od 1000 poznatih brojeva priključka. Svaki priključak predstavlja putanju za napad na mrežu. Mrežne barijere imaju strategiju za blokiranje ovih priključaka. Njih ćemo objasniti kasnije u ovom poglavlju. Sve dobre i loše strane bezbednosti mreže, naročito one u vezi sa napadima spolja, mogle bi da ispune celu knjigu. Zaista, postoje brojne knjige na tu temu. Odbrana kompanijskih mreža (privatnih mreža i Interneta) od mre-žnih napada zahteva mnogo vre-mena i novca. Detaljnije informacije o bez-bednosti mreža potražite u knjizi Hakerske tajne: zaštita mrežnih sistema (Mikro knjiga). Ako želite konkretne, brojčane podatke i grafikone, ili hoćete da saznate nešto o zloglasnim upadima u mrežu, ili biste da čujete priče o industrijskoj špijunaži, potražite knjigu Tangled Web: Tales of Digital Crime from the Shadows of Cyberspace, izdavačke kuće Que. Razbijači direktno napadaju na još jedan način: pomoću „njuškala" i raznog softvera za prisluškivanje, otkrivaju poverljive i važne informacije, poput korisničkih imena i lozinki. . Razbijač se može nalaziti van mreže, bilo gde na Interneru, i, bez obzira na udaljenost od mreže koju napada, može presretati prenos podataka i na taj način dolaziti do informacija koje su mu potrebne za direktan napad na internu mrežu. IP mreža se može napasti na razne načine. Sledi kratak opis svakog načina napada: •
Prisluškivanje (engl. eavesdropping) ili njuškanje (engl. sniffing, snooping)
predstavlja mogućnost praćenja saobraćaja na mreži, da bi se do-znalo prenose li se podaci u nezaštićenom formatu. Prisluškivač obično koristi neki softver za nadgledanje mreža.
Zaštita računarskih mreža
16
• Razbijanje lozinki. Ovi napadi su posledica prisluškivanja. Kada razbi-jač ima sve bitne informacije o važećem korisničkom nalogu (verovali ili ne, u internoj mreži ovi podaci nisu uvek odgovarajuće zaštićeni), on može neometano pristupiti mreži i dobiti sve informacije, poput stvarnih korisni-ka. Može saznati imena računara, podatke o korisnicima, lokacije resursa. Dalje, razbijač je u stanju da izmeni, obriše ili preusmeri podatke na mreži. • Falsifikovanje IP adrese (engl. IP address spoofing). Napadač može preuzeti, odnosno koristiti tudu IP adresu, i na taj način pristupati mreži. •
Posrednički napadi (engl. man-in-the-middle). Napadač može da nadgleda,
kontroliše i hvata podatke na putu između uređaja pošiljaoca i primaoca. • Napadi uskracivanja usluga (engl. denial-of-service attacks). Napadač ostvaruje pristup mreži i onda šalje nevažeće podatke mrežnim uslugama i aplikacijama, i time izaziva prekid rada mrežnih usluga ili njihov pogrešan rad. Ovoj vrsti napada pripada i zagušivanje, odnosno preplavlji-vanje (engl. flooding) usmereno ka određenoj usluzi ili određenom računaru, što rezultira preopterećenjem i gašenjem ili kvarom. Ovom vrstom na-pada često su obarani Web serveri i Web lokacije na Internetu. Administratori mreža koriste sve strategije da bi sprečili ove napade. Bezbedni usmerivači i mrežne barijere (objašnjene su u sledećem odeljku) samo su neka od tehničkih rešenja za zaštitu internih mreža. Na raspolaga-nju imate i protokol za bezbednost, Internet Protocol Security (IPSec). To je skup protokola i usluga za zašritu, koje su zasnovane na šifrovanju. IPSec se može koristiti za zaštitu internih mreža, mreža u kojima se za povezivanje koriste WAN tehnologije i mreža u kojima se koristi udaljeni pristup (na primer, virtuelne privatne mreže - VPN, koje ćemo objasniti na vežbama). IPSec upotrebljava sve vrste metoda za zaštitu podataka na mreži. Šifrovanje podataka je tehnika preslikavanja podataka u nečitljiv format. IPSec za zaštitu podataka može koristiti sertifikate, pri čemu primalac podatke može pročitati samo ako poseduje sertifi-kate koji potvrđuju nje-govo pravo čitanja poverljivih informacija. Očigledno, za primenu IPSec-a, neophodno je dobro poznavanje skupa protokola TCP/IP. Ako vam treba više informacija o IPSecu i zaštiti mreže pod Windowsom 2000 Server, pogledajte knjigu Microsoft Windows 2000 Security Handbook, izdavačke kuće Que.
Zaštita računarskih mreža
17
Koja god da je veličina mreže, za njihovu zaštitu nije dovoljna samo jedna strategija. Znači da morate napraviti plan zaštite mreže. Kada napra-vite plan, možete ga realizovati pomoću odgovarajućeg hardvera i softve-rskih zaštitnih alatki. Bezbednost mreže zaista je aktuelna tema i važan aspekt delatnosti administratora mreža. Nije lako zaštititi mrežu. Čak i mo-ćne igrače, kao što su Yahoo! i Microsoft, ponekad nokautiraju napadači iz mreže. Razmatranje bezbednosti mreža zatvorićemo odeljkom o sjajnom izumu: mrežnim barijerama.
7. Mrežne barijere Predviđeno je da mrežne barijere (engl. Firewall) stoje između vaše mreže i Interneta, sa ciljem da zaštite internu mrežu od spoljnih napada. Mrežna barijera istovremeno ispituje i podatke koji napuštaju internu mrežu i podatke koji u nju ulaze. Ona može „prečišćavati" te podatke koji putuju u oba smera. Ako podaci ne odgovaraju zadatim pravilima, ne do-zvoljava im se prolaz, bez obzira na to u kom smeru idu. Znači da mrežne barijere ne štite samo od spoljnih napada, već kontrolišu i vrste veza koje korisnici iz interne mreže pokušavaju da uspostave sa spoljnim svetom (dru-gim rečima, korisnicima interne mreže može se onemogućiti povezivanje sa određenim Web lokacijama). Mrežne barijere su obično kombinacija hardvera i softvera. Po svom izgledu, ne razlikuju se bitno od ostalih uređaja za poveziva-nje, kao što su razvodne kutije i usmerivači. Razni proizvođači prave mre-žne barijere. Među njima su Cisco, 3Com i Ascend Communications. Shodno veličini mreža koje treba da štite, postoje razni modeli mre-žnih barijera. Na primer, 3Com proizvodi model mrežne barijere Office-Connect, bezbednosni alat namenjen malim kompanijama. Većim korporacijama, 3Com nudi mrežnu barijeru SuperStack 3, sačinjenu da kontroliše veliki broj VPN veza (VPN, odnosno virtuelne privatne mreže, objasnićemo u poglavlju-vežbi). Ova mrežna barijera podržava, između ostalog, i IPSec.
Zaštita računarskih mreža
18
Postoje i čisto softverske mrežne barijere. Mnogi od ovih proizvoda namenjeni su za ličnu upotrebu, za zaštitu PC računara koji imaju stalnu vezu sa Internetom preko DSL linije ili kablovskog modema. Pre nego što se upustimo u objašnjavanje raznih vrsta mrežnih barijera, rećičemo nešto o neophodnosti i važnosti mrežnih barijera za bezbednost mreže. U prethodnom odeljku, kratko je spomenuto da su TCP/IP priključci mala vrata za provaljivanje u mreže i računare. Zavisno od veličine mreže u kojoj radite, možete se upitati: „Zašto bi neko gubio vreme pokušavajući da provali u moju mrežu?" Međutim, pogrešno je mišljenje da razbijači ciljaju samo na velike mreže, kao što su Microsoft i Ministarstvo odbrane, Svi se pitamo zašto uopšte ljudi gube vreme pokušavajući da provale u računarske mreže, ali činjenica je da takvi ljudi postoje. Ne samo što pokušavaju da upadnu u mreže, nego upadaju i u lične PC računare. Na primer, na slici 4.11, prikazano je upozorenje koje daje softverska mrežna barijera ZoneAlarm, koja je instalirana na PC računar. PC računar je kablovskim modemom neprekidno povezan na Internet, preko davaoca Internet usluga. Prikazano upozorenje kaže da je neko pokušao da „pošalje signal ping" PC računaru. Čim to mogu da urade, znači da znaju moju IP adresu. Mrežna barijera ZoneAlarm blokirala je ovaj pokušaj slanja signala ping. Svakog dana, dok radite na računaru, možete od mrežne barijere da dobijete bar desetak upozorenja. Neki ljudi pokušavaju da provere da li je moj računar uključen, pomoću komande ping (to nije strašno). Međutim, problem nastaje kada uljezi otkriju da je Vaš računar uključen i pokušaju, kroz razne TCP/IP priključke, da uspostave vezu s mojim računarom. Moj računar je samo jedan od hiljada računara povezanih na Internet preko istog davaoca Internet usluga, a pokušaji povezivanja preko TCP/IP priključaka nisu zabranjeni. Kada na svom računaru, koji je povezan na Internet, instalirate mrežnu barijeru, recimo ZoneAlarm (to je stvarno odlična mrežna barijera za lične računare; više informacija potražite na lokaciji :http://www.zonealarm.com/), upozorenja koja ćete dobiti, ne moraju uvek biti posledica pokušaja „loših momaka". I vaš davalac Internet usluga povremeno pokušava da uspostavi vezu sa vašim računarom, zbog raznih ispitivanja i iz tehničkih razloga.
Zaštita računarskih mreža
19
Međutim, postoje zaludni ljudi koji svakog trenutka „bockaju" mreže i računare, pokušavajući da se povežu na njih. Da biste se dodatno uverili u to koliko su važne zaštitne barijere, posetite lokaciju : http: / /grc. com/default. htm. Ovu lokaciju održava kompanija Gibson Research Corporation i na njoj je veza ka posebnoj lokaciji ove kompani-e, pod imenom Shields Up (u prevodu, podigni štitove). Lokacija Shields Up će vam pokazati koliko su računari, koji rade pod Windowsom, osetljivi na spoljne napade. Proverite da li ste izabrali hipervezu Shields Up na početnoj stranici kompanije GRC. Ako nemate instaliranu i uključenu mrežnu barijeru na svom računaru, iznenadićete se kada vas Web lokacija Shields Up bude pozdravila NetBIOS imenom vašeg računara. Da bi stvari bile još gore, u donjem delu Web stranice Shields Up potražite dugme Test My Shields i pritisnite ga.Kada pomoću ovog testa ispitateVaš računar pod Windowsom namenjen za zajedničko korišćenje datoteka i resursa za štampanje, dobićete spisak svih direktorijuma i šta-mpača na tom računaru, koji su bili podešeni za zajedničko korišćenje. Kada dalje sprovedete test priključaka, Probe Port (u njega se ulazi sa stranice Shields Up), ispostaviće se da je gomila priključaka bila širom otvorena (HTTP, Telnet, NetBIOS...). Posle ovog događaja, treba instalirati ličnu mrežnu barijeru Zone-Alarm i ponovo pokrenuti iste testove. Test Shield je prijavio da računar radi u „stealth" (nevidljivom) režimu rada, što znači da nezvanim gostima nisu na raspolaganju bile nikakve informacije o računaru, kao što su NetBIOS ime i spisak deljenih resursa. Kada dalje pokrenute testiranje priključaka, svi priključci bili su zaključani (rezultat rada mrežne barijere). Na slici 4.12 vidi se rezultat testiranja priključaka. Vidi se da su svi priključci nedostupni spolja i da ne postoji rupa kroz koju bi se uljez mogao ušunjati u računar preko Interneta.
Zaštita računarskih mreža
20
7.1 Vrste mrežnih barijera Mrežne barijere su klasifikovane prema načinu na koji rade sa mre-žnimn saobraćajem i prema tome na kojem sloju referentnog modela OSI funkcionišu . Što je viši sloj na kojem mrežna barijera funkcioniše, to je ona složenija. Evo nekih detalja: • Filter paketa. Ova vrsta mrežnih barijera koristi skup pravila za utvrđi-vanje da li odlazeći ili dolazeći paket podataka sme da prođe kroz mrežnu barijeru. Ova pravila (ili filtri, kako ih još nazivaju), zasnovana su na dozvo-ljenim IP adresama pošiljaoca i na brojevima priključaka, koje angažuje protokol od koga taj paket podataka potiče. Filter paketa prosleđuje podatke velikom brzinom. On predstavlja najjednostavniju mrežnu barijeru. Počiva na sloju veze podataka i na mrežnom sloju referentnog modela OSI. Usme-rivač koji tokom svog rada konsultuje pristupne spiskove (pravila za propu-štanje ili blokiranje veza, na osnovu IP adresa) radi filtriranja prenosa poda-taka, može se smatrati fllterom paketa. • Mrežna barijera na nivou kola. Ova vrsta mrežnih barijera slična je fi-ltrima paketa (obe vrste filtriraju pakete na osnovu nekakvih pravila). Međutim, mrežne barijere na nivou kola rade u transportnom sloju refere-ntnog modela OSI, pa su zbog toga funkcionalnije. Ove mrežne barijere imaju takvu mogućnost preuređivanja paketa (poslatih iz interne mreže ka odredištu van mrežne barijere), da izgleda kao da je mrežna barijera izvo-rište paketa. Na taj način, čuva se tajnost informacija o unutrašnjoj organi-zaciji mreže. Mrežne barijere na nivou kola mogu procenjivati da li je TCP protokolom pravilno uspostavljena veza između računara u mreži i računara van mreže . Ako veza nije pravilno uspostavljena, mrežna barijera je može raskinuti. Na ovaj način može se prekinuti veza koju je uljez oteo da bi se ušunjao u intemu mrežu kroz mrežnu barijeru. •
Mrežni prolaz za aplikacije. Ova vrsta mrežnih barijera funkcioniše na sloju
aplikacija referentnog modela OSI. Mrežni prolazi za aplikacije koriste strogu proveru identiteta korisnika. Tako se proverava identitet računara koji pokušava do se poveže na mrežu korišćenjem određenog TCP/IP proto-kola iz sloja aplikacije (na primer, Telnet ili FTP). Štaviše, posle provere identiteta korisnika, ova vrsta mrežnih barijera može kontrolisati uređaje sa kojima je korisnik uspostavio vezu preko spoljnog računara. Mrežni prolazi za
Zaštita računarskih mreža
21
aplikacije predstavljaju efikasnu zaštitu od falsifikovanja IP adrese (engl. IP spoofing, objašnjeno je ranije u ovom poglavlju), jer se ne dozvoljava održavanje veze sa računarom unutar mrežne barijere u slučaju da se ne mo-že valjano utvrditi identitet korisnika. Mnoge mrežne barijere, između ostalog, podržavaju funkcije posredničkih servera (engl. proxyserver) i pretvaranje mrežnih adresa (engl. Network Address Translation, NAT), u cilju zaštite interne mreže. Ako vam treba više informacija o posredničkim i NAT serverima, vratite se na 12. poglavlje, „Povezivanje mreže na Internet". Otkrićete da su neke mrežne barijere zapravo hibridi vrsta koje su ovde navedene. Na primer, neka mrežna barijera može kombinovati funkci-je mrežne barijere na nivou kola i mrežnog prolaza za aplikacije. Razvijanje novih mrežnih barijera odvija se vrtoglavom brzinom. Zvučni novinski naslovi o obaranju mreža velikih flrmi i državnih institu-cija, doveli su do porasta prodaje mrežnih barijera i do njihovog usavršava-nja.
Zaštita računarskih mreža
22
8.Zaključak:
Zaštita mreže i njenih resursa sigurno je najveći izazov sa kojim se adminisrratori mreža sreću. Suština je sledeća: najpre proućite moguće pretnje po bezbednost mreže. Zatim, na osnovu toga sačinite plan za zaštitu mreže. Svakoj mreži treba plan zaštite, koji predviđa moguće pretnje po bez-bednost mreže i sadrži mere koje ćete sprovesti da biste otklonili te pretnje. Ako na vašoj mreži najveći problem predstavljaju korisnici koji cunjaju po važnim podacima, težište vašeg plana zaštite treba da bude obučavanje kori-snika da ispravno koriste mrežu. Ako u mreži imate osetljive podatke, vaša mreža biće izložena napadima spolja i iznutra; poverljive podatke pokušaće iznutra da ukradu vaši službenici, skloni industrijskoj špijunaži, a spolja će napadati razbijači, lovci na vredne informacije. Znači, morate pripremiti strategije zaštite od napada spolja i iznutra.
Zaštita računarskih mreža
23
Literatura: - Goran Vujacic, Mreze i telekomunikacije-racunarske mreze, Beograd, 2008 - Jovan Zivadinovic, Poslovni i finansijski informacioni sistemi, Cacak, 2006 - Nikola Bracika, Poslovni i finansijski informacioni sistemi, Cacak, 2006
Zaštita računarskih mreža
24