seminarski rad- zastita racunarskih mreza

Visa poslovna skolaCacak

S E M I N A R S K I R A D

Predmet: Elektronsko poslovanje

Tema: Zastita racunarskih mreza

Mentor: Student: Jovan Savic Mitic Milena br.indeksa: 199-043-07

Beograd, decembar, 2009.god.

Sadržaj:

1. Uvod..........................................................................................32. Sigurnosni problemi...................................................................53. Korisničke nalozi......................................................................6

3.1 Korisnicke lozinke.........................................................7 3.2 Dozvole pristupa deljenim resursima.............................................................74. Borba protiv virusa....................................................................9 4.1 Vrste virusa..............................................................10 4.2 Crvi i trojanci...........................................................115. Zaštita od virusa.......................................................................126. Zaštita mreže od napada spolja................................................137. Mrežne barijere.........................................................................15 7.1Vrste mrežnih barijera....................................................178. Zaključak.................................................................................18

Zaštita računarskih mreža 2

1.Uvod

U poslednjih desetak godina, koncepti obezbeđenja računarskih mreža drastično su se

promenili, između ostalog i zbog činjenice da je većina lokalnih mreža povezana na Internet.

Bezbednost mreže svojevremeno se odnosila na obezbeđenje resursa i informacija u

izolovanoj mreži. Pitanja bezbednosti svodila su se na nivo korisničkog pristupa važnim

mrežnim resursima i na zaštitu sistema od viru-sa (koji su se prenosili zaraženim disketama).

Takođe, bezbednost mreže podrazumevala je i fizičku zaštitu mreže od, na primer,

osobe koja bi neovlašćeno ušla u zgradu, pristupila nezašti-ćenom računaru, kopirala

poverljive podatke na disketu i pobegla.

Bezbednost se zaista svodila na sprečavanje napada iznutra. Ponekad bi se u napad

mogla svrstati greška korisnika ili administratora, a ne samo zlonameran napad na mrežne

resurse. Na primer, korisniku bi nepažnjom bio dodeljen neodgovarajući nivo pristupa važnim

mrežnim resursima i on bi ih nenamerno oštetio ili uništio.

Danas težište bezbednosti mreže predstavlja odbrana od spoljnih napa-da, zbog toga

što je većina mreža povezana na Internet.

Mnoge kompanije imaju svoje Web lokacije. Mrežu direktno napadaju razbijači (engl.

crackers; u štampi često mešaju hakere i razbijače; hakeri ne odobravaju takvu terminologiju,

jer sebe smatraju pasioniranim računa-rskim stručnjacima, a ne kriminalcima koji provaljuju u

računarske sisteme) i virusi, naročito oni koji se šire Internetom, putem elektronske pošte.

Administratori mreža i stručnjaci za bezbednost računara morali su ra-zviti nove

strategije za zaštitu mreža. Kao odgovor na najnovije pretnje po bezbednost računara, u

proteklih nekoliko godina razvijeni su novi proizvo-di, kao što su posrednički serveri (engl.

proxy server) i mrežne barijere (engl. firewall).


2. Sigurnosni problemi

Osnovna karakteristika Interneta, i najvazniji razlog za njegov eksponcijalni razvoj,

jeste njegova otvorenost i mogucnost jednostavnog prikljucivanja krajnjih korisnika.

Istovremeno, ova otvorenost i sve veci broj korisnika unose doddatne sigurnosne rizike i

probleme u funkcionisanju Interneta.

U medijima se cesto govori o neovlascenom pristupu nekim racunarskim sistemima

preko Interneta, o softverskim virusima, zloupotrebi kreditnih kartica, ugrozavanju privatnosti.

I laicima postoje ocigledno da – gde ima dima, tu ima i vatre-, i da postoje realni problemi i

rizici u koriscenju Interneta.

Napadi na racunarsku mrezu su ne dozvoljene aktivnosti u procesu prenosenja

podataka od izvorista do odredista, a dele se, kao sto je i vec ranije receno, na pasivne i

aktivne. Pasivni napadi su prisluskivanje i nadgledanje protoka podataka bez ikakvih izmena

sadrzaja. Sifrovanje poruka je najcesci mehanizam borbe protiv ovakvih napada.

Aktivni napadi daleko su opasniji jer podrazumevaju neautorizovane promene

u tokovima podataka. Postoje razliciti oblici ovih napada na podatke koji se razmenjuju preko

mreze

- promena sadrzaja poruka

- ubacivanje novih poruka

- prekidanje postojeceg toka poruka.

Pored napada na tokove podataka u Internetu, javljaju se i problemi u vezi sa

utvrdjivanjem verodostojnosti subjekta s kojim se obavlja komunikacija. Naime, postoji

mogucnost laznog predstavljanja

- kao neko poznat

- kao nepoznat, a postoji

- kao potpuno izmisljeni subjekt.


Navedeni sigurnosni rizici uticu da se u poslednje vreme izrazavaju rezerve u vezi s primenom

Interneta u poslovanju. Mnogi pod uticajem informacija o sigurnosnim problemima

postavljaju pitanje da li da Internet uopste koriste za poslovanje.

Naravno da je taj sgtrah preteran, ali treba biti strah preteran, ali treba biti svestan

mogucih rizika i problema kako bise preuzele adekvatne zastitne mere. Rizici postoje i

prilikom slanja pisma, faxa, ili obavljanja telefonskog razgovora, pa se ti servisi ipak koriste.

Ocigledno je da ne postoje apsolutno sigurni nacini, kako u komuniciranju tako i u saobracaju

uopste.

3.Korisnički nalozi

Korisnik se, bez važećeg korisničkog imena i lozinke, ne može naja-viti za rad na mreži.

Prvu liniju odbrane mreže, koju postavlja administrator mreže, čine korisnički nalozi. Kada se

korisnik najavi na mrežu sa klijents-kog računara, njegovo korisničko ime i lozinka predstavljaju

žeton za ula-zak. Ovaj žeton za ulazak služi za proveru identiteta korisnika mreže (omo-gućava

prijavljivanje) i za utvrđivanje nivoa pristupa mrežnim resursima, koje korisnik može osrvariti.

Žeton za ulazak, koji se primenjuje u svim mrežnim operativnim sistemima,

predstavlja vrstu elektronske identiflkacione kartice koja se ne razlikuje mnogo od ATM

kartice. ATM karticom se proverava identitet ko-risnika kada pristupa ATM mreži banke i

omogućava joj se pristup odre-đenim resursima, kao što su tekući ili štedni računi. Ovim

žetonom se tako-đe utvrduje kojim se resursima može pristupiti na mreži, kao i nivo pristupa

koji se može odobriti.

Administrator mreže odgovoran je za izradu korisničkih naloga. Svaki mrežni

operativni sistem ima ugrađen administratorski nalog, koji služi za upravljanje mrežnim

resursima i korisničkim nalozima. Administratorski nalog se različito zove u različitim

mrežnim operativnim sistemima: root, Admin i Administrator (u Linuxu, NetWareu i

Windowsu).

Svaki mrežni operativni sistem ima neki uslužni program za otvaranje i menjanje

korisničkih naloga. Slika 4.1 prikazuje okvir za dijalog Create User, koji služi za otvaranje

novih korisničkih naloga u uslužnom programu NetWare Administrator.


Svaki mrežni operativni sistem sadrži nekoliko opštepriznatih pravila koja se odnose

na upravljanje korisničkim nalozima:

Svako korisničko ime mora biti jedinstveno. lako nije neka mudrost, bitno je da to

uvek imate na umu.

Ograničena je dužina korisničkog imena, odnosno broj znakova u njemu. Iako

dozvoljeni broj znakova varira od jednog do drugog mrežnog operativnog sistema, pre nego

što se upustite u izradu korisničkih naloga, morate poznavati konkretna pravila operativnog

sistema na kome radite. Na primer, u Windowsu je za korisničko ime predvideno najviše 20

znakova. U UNetWa-reu, maksimalna dužina korisničkih imena je 64 znaka.

U korisničkom imenu nije dozvoljena upotreba određenih znakova. Uobičajeno.

korisnička imena ne mogu sadržati kosu crtu (/), obrnutu kosu crtu (\) i još neke specijalne

znake. Pojedini operativni sistemi dozvoljavaju upotrebu znaka za razmak, a neki ne.

Ponavljam, pre početka otvaranja kori-sničkih naloga, neophodno je znati pravila imenovanja

koja važe u operativnom sistemu u kome radite.

Pored toga što svaki mrežni operativni sistem ima pravila za izradu korisničkih imena,

preporučljivo je da (kao administrator) sačinite plan formiranja korisničkih imena.

Valjalo bi da se držite tog plana pri smišljanju novih imena. Na primer, planom možete

predvideti sledeći način formiranja korisničkih imena: na početno slovo imena nadovezaće

prezime službenika.

Takvo pravilo treba sprovoditi dosledno, za sva korisnička imena. Takođe, planom

treba predvideti rešenje za situaciju kada se dva ili više korisnika jednako prezivaju i imena im

počinju istim slovom.

Ovaj plan izrade korisničkih naloga treba da obuhvati strategiju dodele lozinki

korisnicima. Mrežni operativni sistemi omogućavaju da utvrdite uslove pod kojima se lozinka

može menjati.

Recimo, dodeljena početna lozinka se mora promeniti odmah pri prvom najavljivanju

korisnika na mrežu, a može se pode-siti da korisnik nikada ne može sam da promeni lozinku.

Sada ćemo izbliza sagledati lozinke i njihovu važnost za bezbednost mreže.


3.1Korisničke lozinke

Pri proveri identiteta korisnika potrebni su važeće korisničko ime i odgova-rajuća

važeća lozinka. Zbog toga, strategija dodele lozinki korisnicima bitno utiče na bezbednost

mreže. Veliki broj administratora mreža formira nova korisnička imena po šablonu: početno

slovo imena i prezime. Znači, ako neko zna da se zovem Petar Petrovic , može pretpostaviti da

je moje korisni-čko ime na mreži Petrovic.

Odatle zaključujemo da je lozinka ona komponenta korisničkog nalo-ga koja proces

prijavljivanja za rad na mreži čini bezbednim. Stoga, lozinka treba da bude tajna.

Mrežni operativni sistemi pružaju izbor između više mogućnosti za doelu lozinki

korisnicima mreže.

Na primer, slika 4.2 prikazuje okvir za dijalog New Object - User, kojim se u

Windowsu 2000 Server, u okviru softvera Active Directorv, otvaraju novi korisnički nalozi

za rad na mreži.

Kao što na slici vidite, niz polja za potvrdu daje vam više različitih mogućnosti koje se

odnose na korisničke lozinke.

Kada se korisnik prvi put prijavljuje, možete mu omogućiti da prome-ni početnu

lozinku. Možete zadati i opciju da korisnik nikada ne može pro-meniti lozinku. Čak je moguće

podesiti neograničen rok važnosti lozinke (opcija password never expires).

Kao poligon za dalja razmatranja, uzmimo različite opcije, prikazane na slici 4.2. Cilj

je da se uverimo da je zaštita tajnosti lozinke tačka oslonca bezbednosti mreže. Evo nekih

razmišljanja:

Korisnicima možete dozvoliti da sami kontrolišu svoje lozinke. Varijanta, u kojoj

dozvoljavate korisnicima samostalno formiranje lozinke, korisna je kad podesite vremensko

ograničenje važenja dozvole i ako od korisnika zahte-vate redovno menjanje lozinke.

Međutim, u tom slučaju, korisnike morate obučiti za rukovanje lozinkama. Jvforate im

objasniti, na primer, da upotreba njihovog imena ili reči „lozinka" u svojstvu lozinke ne unosi

bezbednost kojoj težite.


Možete u potpunosti preuzeti kontrolu nad korisničkim lozinkama. U tom slučaju,

korisnicima dodeljujete lozinke koje ne mogu promeniti. Kada imate mnogo korisnika,

imaćete i mnogo posla, naročito ako zbog podizanja nivoa bezbednosti mreže podesite kratak

rok važenja lozinki. Štaviše, ako pomislite da ste kadri smisliti vražje složene lozinke, koje

nikd ne može pogoditi, razočaraću vas kad vam kažem da to nikada nećete imati efekta.

Komplikovane lozinke korisnici često zapišu i prikače na svoj monitor.

Možete zahtevati da se lozinke redovno menjaju. Dobro je imati neku strategiju za

recikliranje lozinki. Lozinke sa neograničenim vremenom va-žnosti samo stimulišu uljeze da

provale lozinke korisničkih naloga, jer za to imaju dovoljno vremena. Redovno menjanje

lozinki, vašu mrežu unapređuje iz nepokretne u pokretnu metu, pa čak i više od toga.

Ljudi koji žele da provale u vašu mrežu verovatno nisu naivčine, niti koriste samo

proste tehnike pogadanja korisničkih imena i lozinki. U . poglavlju, „Rešavanje problema na

mreži", objasnili smo šta su „njuškala", programi koje razbijači koriste za prisluškivanje

mrežnog saobraćaja. Mogućnost hvatanja paketa podataka otvara vrata otkrivanju kori-sničkih

imena i lozinki, jer se oni u paketima prenose kao običan tekst. Činjenica je da nije teško

uhvatiti paket podataka. Radi zaštite poverljivih informacija, koriste se tehnike šifrovanja

tajnih podataka, da bi se otežalo korišćenje uhvaćenih podataka za provalji-vanje u mrežu.

Šifrovanje ćemo objasniti kasnije u ovom poglavlju.

Suština je sledeća: treba osmisliti postupak dodele lozinki, koji se lako koristi, i sa

stanovišta administratora i sa stanovišta korisnika, a pri tome doprinosi bezbednosti mreže.

Naravno, broj korisnika i važnost resursa uslovljavaju taj postupak.

Ostale mogućnosti upravljanja korisničkim nalozima mogu doprineti bezbednosti

procesa prijavljivanja za rad na mreži. Sada ćemo se pozabaviti nekim od tih mogućnosti, kao

što su dozvoljena satnica za prijavu i mogu-ćnost uspostavljanja više paralelnih veza sa

mrežom preko istog korisničkog naloga.

3.2Dozvole pristupa deljenim resursima


Pošto su korisnici dobili pristup mreži, potreban im je i pristup mrežnim resursima.

Već smo objasnili deljene mrežne resurse i resurse za štampanje. Kada se radi o deljenju

informacija na mreži, osetljivi i privatni podaci isto-vremeno treba da budu i bezbedni i

dostupni. To znači da samo pojedini korisnici imaju pristup određenim informacijama.

Takođe, korisnici neće imati podjednake nivoe pristupa podacima.

Dozvole određuju prava pristupa deljenim mrežnim resursima. Dozvola je pravo

pristupa resursu. Dodeljujete je korisniku ili grupi korisnika. Budući da različite dozvole, tj.

prava pristupa, možete dodeliti svakom korisniku za svaki pojedinačni resurs na mreži, na taj

način ćete fino podesiti bezbednost pristupa važnim informacijama na mreži.

U Microsoft Windowsu, za definisanje različitih nivoa pristupa mrežnim resursima,

upotrebljava se termin dozvola (engl. permission). U okruženjima Novell NetWare,

dozvolama su ekvivalentna prava, engl. rights (u pitanju su različiti nazivi za iste koncepte

bezbednosti resursa).

U Windowsovom mrežnom okruženju, novi deljeni resurs je inicijalno u potpunosti

dostupan svim korisnicima mreže, jer su grupi Evervone (svi; ubrzo ćemo objasniti grupe

korisnika) data prava Full Control (potpuna ko-ntrola) nad novim deljenim resursom.

Znači, administrator mreže odlučuje o neophodnosti „dizanja" nivoa bezbednosti

deljenog resursa i reguliše bezbednost ograničavanjem pristupa podacima s tog resursa. Mogu

se najpre ukinuti dozvole opštoj grupi Everyone, a zatim se različita prava pristupa mogu

dodeliti pojedinim korisnicima ili grupama korisnika.

Slika 4.6 prikazuje okvir za dijalog kojim se korisnici dodaju u okvir za dijalog

Permissions datog deljenog resursa. Potom, svakom korisniku mogu biti dodeljene različite

dozvole.

Na mrežama koje rade pod operativnim sistemima Microsoft Win-dows NT, Windovvs

2000 Server ili Windows XP Server, koncept bezbe-dnosti resursa se sprovodi na nivou

datoteka. Ovo je moguće jer NTFS (NT File System) obezbeđuje različita prava pristupa

datotekama, dire-ktorijumima i diskovima. Budući da direktorijum u Windowsu može biti

dvostruko zaštičen, dozvolama za zajedničko korišćenje (objašnjavamo ih ovde) i NTFS

dozvolama, ponekad je teško zaključiti koja prava pristupa korisnik zapravo ima.


Na primer, ako korisnik ima puno pravo pristupa direktorijumu na osnovu dozvola za

zajedničko korišćenje, ali nema NTFS dozvolu, on ne može pristupiti direktorijumu. Ove dve

vrste dozvola se tako kombinuju, da prava pristupa diktira stroža dozvola. Detaljnije

informacije o dozvolama pristupa u mrežama pod Windowsom potražite u knjizi Windows

2000 Server Biblija, u izdanju Mikro knjige.

Mrežno okruženje NetWare administratorima omogućava da se korisnicima dodele

različita prava pristupa resursima (kao što su deljeni direktorijumi u mreži). Korisnik nad

deljenim resursom može imati prava kao što su Read (čitanje), Write (upisivanje), Erase

(brisanje) i Modify (menjanje).

Pošto su korisniku dodeljena prava pristupanja pojedinim resursima mreže (na primer

direktorijumu), ta prava će određivati interakciju između kori-snika i resursa.

Na primer, ako korisnik u direktorijumu na serveru može samo da čita, on u taj

direktorijum ne može upisivati datoteke, niti može brisati postojeće.

Slika 4.8 prikazuje šta se dešava kada Windowsov klijentski program poku-ša da

napravi novu datoteku u direktorijumu za koji korisnik ima samo pra-vo pristupa Read

(klijent je program u Windowsu, a server radi pod NetWareom). Pojavljuje se poruka koja

korisnika obaveštava kako nema pravo da pravi nove datoteke u tom direktorijumu.

4. Borba protiv virusa

Virusi predstavljaju još jednu pretnju vašoj mreži. Virus je samorazmnoža-vajući deo

softverskog koda. Pošto virus kopira sam sebe, on se, nažalost, vrlo lako širi od računara do

računara.

Iako su mnogi virusi izvršni programi, čijim se pokretanjem izaziva njihovo

razmnožavanje i oštećenje računarskog sistema, postoje i druge vrste virusa.

Na primer, virusi makroi, kriju se u dokumentu ili u radnim tabelama. Ako otvorite

datoteku u kojoj se krije virus, zarazićete svoj računarski sistem.

Virusi se mogu prenositi putem disketa i ostalih zamenjivih medija, namenjenih

skladištenju informacija. Ako iz računara izvadite inficirani disk i stavite ga u drugi računar,


širite zarazu. Računari se takođe mogu inficirati virusima, koji se šire mrežom, putem

zaraženih deljenih resursa.1

I Internet predstavlja izvor virusnih infekcija. Virusi se nepažnjom mogu preuzeti sa

Interneta. Takođe, oni se šire u porukama e-pošte.

Zanimljivo je da mnogi virusi ne rade ništa, sem što se razmnožavaju. Nisu svi virusi

napravljeni da formatiraju čvrsti disk ili uništavaju određenu vrstu datoteka. Veliki broj virusa

na koje nailazite predstavljaju samo smi-šljene neslane šale (ali te šale mogu da vas dobrano

iznerviraju).

Jedan od prvih virusa, bio je virus Brain. To je bio (i još uvek jeste) virus startnog

sektora (engl. boot sector) koji sam sebe učitava u memoriju računara (za par trenutaka

objasnićemo različite vrste virusa).Ukratko, virus Brain se brzo raširio na skoro sve diskete .

Srećom, bilo je vrlo lako otkriti zaražene diskete, jer je virus ime volumena diskete menjao u

BRAIN, i sem toga nije pravio nikakvu štetuSvi korisnici računara se boje virusa, koji se često

samo razmnožavaju. Ipak, mrežni administrator ima obavezu da uništava viruse, bilo da su u

pitanju oni šaljivi ili zlonamerni, napravljeni za pustošenje podataka na mreži.Virusi mogu

obrisati programe i datoteke, ali i sav sadržaj diska.

Takođe, virusi se mogu sakrivati u mrežnim podacima za koje redovno pravite

rezervne kopije (engl. backup), na primer u serveru datoteka. To znači da u slučaju otkaza

diska i gubitka originalnih podataka, izgubljene podatke treba rekonstruisati iz podataka koji

su zaraženi virusima.Virusi čak mogu pronaći administratorovu lozinku i proslediti je nekome

van mreže. Ta osoba se može prijaviti na mrežu kao administrator i načiniti ogromnu štetu.

Znači, iako su mnogi virusi samo dosadni i košta vas njihovo uklanjanje, postoje virusi koji

bezbednost mreže izlažu velikom riziku.

Izgleda da se savremena računarska terminologija širi brže od računarskih virusa. Crvi,

virusi i ostale vrste softvera, koje su napravljene da na vašem računaru prave haos (odnosno na

1 Goran Vujacic, Mreze i telekomunikacije-racunarske mreze, Beograd, 2008


svim računarima), često se nazivaju malware (skraćenica od malidous software - zlonamerni

softver).

4.1. Vrste virusa

Tokom godina, razvile su se razne vrste virusa. Razvrstali smo viruse po načinima na

koje inflciraju računar:

Virusi startnog sektora. Neki od prvih virusa pripadaju ovoj vrsti. Virus startnog

sektora obično se širi putem zaražene diskete ili drugog zamenjivog medija. Zaboravnost

korisnika potpomaže širenje virusa startnog sektora.

Ako u disketu jedinicu računara ubacim disket zaraženu virusom startnog sektora, ništa

se neće desiti. Tek ako resetujem sistem (na primer, sinoć sam isključio računar i uključio ga

jutros, a disketa se sve vreme nalazila u dis-ketnoj jedinici), a prethodno ne izvadim zaraženu

disketu, pri podizanju sistema, virus startnog sektora učitava se u memoriju računara (računar

obi-najpre pokuša da digne sistem sa diskete). Potom virus može inficirati čvrsti disk i sve

diskete koje stavite u disketnu jedinicu dok računar radi. Brain (malopre je pominjan i

Exebug su primeri virusa startnog sektora.

Virusi datoteke. Poslednjih godina retko se sreću. Inficiraju izvršne da-toteke, kao

što su datoteke tipa EXE ili COM (znate da se operativni sistem sastoji od gomile izvršnih

programa). Kada se inficirani program pokrene, virus se učitava u operativnu memoriju

računara. Potom, virus može zaraziti ostale izvršne programe tokom njihovog izvršavanja na

računaru. Postoji oblik virusa datoteka koji upisuje svoj kod preko koda izvršnog programa u

kojem boravi. jedan od oblika virusa datoteka je virus pratilac. Ovaj oblik virusa se maskira

kao datoteka sa nastavkom COM, istog imena kao neki postojeći sistemski EXE program.

Kada pokrenete taj sistemski program, makro će prvo izvršiti istoimenu COM datoteku, jer

COM datoteke imaju prednost nad EXE datotekama. Znači, prvo će se izvršiti virus (COM

dato-teka), a posle njega traženi sistemski EXE program. Zbog toga možda nećete ni primetiti

da imate virus. Primeri virusa datoteka su Dark Avenger i KMIT.

- Virusi makroi. Virus makro je novija vrsta virusa. Oni su obično pisani u Visual

Basicu i mogu zaraziti dokumente i Excelove tabele (ali ne i izvršne programe). Kada se

zaraženi dokument ućita u aplikaciju, na primer, u Word, virus se u toj aplikaciji izvršava kao

i svaki drugi makro. Neprijatna je činjenica da virusi makroi ne zavise od operativnog sistema.


Budući da se Microsoft Excel može izvršavati na računarima zasnovanim na Macin-tosh i

Windows tehnologijama, ovakva vrsta virusa se, deljenjem Excelovih tabela, širi s jedne

platforme na drugu. Virusi makroi nisu ograničeni na Microsoftove aplikacije. Pojavljuju se i

u drugim softverskim paketima, kao što je Lotus SmartSuite. Primer virusa makroa je

ozloglašeni virus Melissa, Wordov makro koji se širi putem e-pošte.

- Višedelni virusi. Oni imaju osobine virusa startnih sektora i virusa dato-teka. Mogu

se širiti sa startnog sektora jednog diska na drugi, a mogu na-padati i izvršne datoteke. Neki

višedelni virusi zaražavaju i upravljačke programe (engl. drivers), recimo mrežne kartice.

Primer višedelnog virusa je Pastika. Ovaj virus aktivira se samo određenih dana u mesecu

(obično 21. i 22. dana) i može obrisati sve informacije na čvrstom disku.

Stvaran broj virusa ,,na slobodi" (misli se na one koji bitišu na računarima i mrežama)

stalno se menja, ali, uopšteno gledano, taj broj je u stalnom porastu. Broj virusa makroa

neprekidno raste. Upoznajmo se sa ostalim zlonamernim sofrverom (engl. malware) koji

ugrožava bezbednost mreže i njene resurse, a potom ćemo proučiti neke strategije za zaštitu od

virusa.

Sjajna Web lokacija, koja sadrži sveže informacije o pronađenim virusima, nalazi se na

adresi http://www.f-secure.com/. Kompanija F-Secure, koja održava ovu lokaciju, proizvodi

čitav niz softverskih paketa za obezbedenje mreža. Još jedna lokacija, na kojoj treba potražiti

informadje o virusima, jeste Institut SANS. Web adresa Instituta SANS je

http: //www. sans.org/newlook/home.htm. Tu ćete naći informacije o virusima i

ostalim temama u vezi sa bezbednošću računarskih mreža.

4.2. Crvi i trojanci

Nisu virusi jedine softverske pretnje po bezbednost računarskih mreža. Postoje još dva

zloćudna oblika softverskih proizvoda iz kuhinje opakih Ijudi, koji izmišljaju monstrume

poput kompjuterskih virusa. To su crvi i trojanci.

Crv je program koji se širi od jednog do drugog umreženog računara. Za razliku od

virusa, ne treba ga akrivirati spolja. On se potpuno samostalno razmnožava. Crv može opustošiti

velike mreže, poput Interneta, jer se sam širi po celoj mreži. Oni su obično zavisni od konkretne


platforme i koriste slabe tačke operativnih sistema. Na primer, crv Linux.Ramen razmnožava se

samo na računarima koji rade pod verzijama 6.2 i 7.0 Red Hat Linuxa.

Trojanski konji (ili skraćeno trojanci, kako ih često nazivaju) jesu programi koji

izgledaju sasvim bezazleno, kao što su igrica ili čuvar ekrana.

Na primer, trojanac HAPPY99.EXE, kada se izvrši, prikazuje mali vatromet na ekranu,

a u pozadini uzima adrese iz vašeg programa za e-pošru i na njih šalje svoju kopiju (na sličan

način razmnožava se i virus Melissa).

Jedan od prvih trojanaca bio je AIDS Information Disk i stizao je na adrese

zdravstvenih ustanova, kao brošura za borbu protiv istoimene bolesti. Po izvršavanju, stvarao

je na čvrstom disku računara skriveni direktorijum i šifrovao celokupan sadržaj diska, skoro

potpuno uništavajući postojeće informacije.

Jedna od najvećih opasnosti od trojanaca, jeste mogućnost osvajanja kontrole nad

računarom. Stvara se prolaz koji omogućava potpun pristup zaraženom računaru. To znači da

razbijač, koji kontroliše trojanca, može sa računarom činiti šta mu je volja. Kontrolu nad

vašim računarom može isko-ristiti za napad na neku Web lokaciju putem uskraćivanja usluge

(engl. denial of service), tako što se vaš računar koristi za stvaranje prekomernog saobraćaja

sa određenom Web lokacijom. Napad putem uskraćivanja usluge objašnjen je kasnije u ovom

poglavlju, u odeljku „Zaštita mreže od napada spolja".

5 .Zaštita od virusa

Za zaštitu mreže od virusa, trojanaca i crva, administrator mreže mora sprovesti dve

osnovne mere.

Prvo, mora sastaviti plan zaštite od virusa.

Drugo, plan mora dosledno sprovoditi.

Svaki plan za borbu protiv zloćudnog softvera treba da sadrži spisak pravila koja vaši

korisnici moraju poštovati. Ova pravila mogu biti zabrana donoše-nja diskova od kuće,

zabrana korišćenja privatne e-pošte na poslu i zabrana preuzimanja datoteka sa Interneta.

Iako ova pravila mogu izgledati preoštra, neke kompanije sprovode drakonske mere,

strože od navedenih. Staviše, mnoge kompanije veoma grubo kažnjavaju službenike koji ne

poštuju ova pravila, čak ih otpuštaju (budući da se šibanje prekršioca više ne praktikuje). Šta


službenik radi na svom kućnom računaru, to su njegove privatne stvari. Ali kada se u mreži

nalaze podaci životno važni za kompaniju, stvarno morate biti onoliko strogi koliko nalažu

pravila upotrebe mrežnih računara.Korisnike treba obrazo-vati i pružiti im opšte informacije o

virusima i o šteti koju su u stanju da naprave. Kad bi korisnici širom sveta bili malo razumniji,

virus Melissa ne bi mogao tako lako da se raširi po celoj planeti.

Iako upoznavanje korisnika s opasnostima od virusa može izazvati malu paranoju,

velika je stvar imati oprezne korisnike na mreži. To može pomoći da viruse zatrete još u

povoju, pre nego što postanu veliki problem.

U svom planu morate predvideti instaliranje i održavanje softvera za zaštiru od virusa.

Postoji više kompanija koje nude antivirusni softver:

Symantec, McAfee, Norton, Dr. Solomon's...

Antivirusni softver može biti podešen da štiti klijentske računare i mrežne servere od

zaraze. Najveći deo antivirusnog sofrvera može se pode-siti da proveri disketu čim je ubacite u

disketnu jedinicu.

Budući da mnoge kompanije nude da isprobate njihov softver, iskori-stite to za testiranje

raznih mogućnosti, da biste otkrili koji softver najviše odgovara vašem slučaju. Testiranje novog

softvera pre korišcenja mudar je potez.

Neki primerci antivirusnog softvera se instaliraju na svaki računar, a neki se pokreću

svaki put kada računar podiže mrežni operativni sistem.

Budući da se neprestano pojavljuju novi virusi i zlonameran softver, vaš antivirusni

softver mora biti sposoban da se nosi sa najnovijim i najsloženijim virusima. To se postiže

ažuriranjem najnovijih verzija antivirusnih podataka i programa, da bi antivirusni softver mogao

prepoznati nove viruse i opraviti nastalu štetu. U svom planu borbe protiv virusa, morate

predvideti redovno preuzimanje najnovijih verzija antivirusnog softvera.

Virusi u stopu prate pojavljivanje najnovijih računarskih platformi. Čak ni ručni

računari, kao oni pod operativnim sistemom Palm, nisu imuni na napad virusa. Mnogi

proizvođači antivirusnog softvera, medu kojima je i Computer Associates, nude antivirusni

softver za operativni sistem Palm OS.


6.Zaštita mreže od napada spolja

Bezbednost vaše mreže ugrožava i direktan napad. Uspostavljanje ve-ze između vaše

mreže i Interneta, otvara širok put onima koji žele da razbiju bezbednost mreže i dobiju pristup

važnim mrežnim resursima.

Direktni napadi na mrežu mogu poprimiti nekoliko oblika. Mnogi od njih su posledica

načina rada skupa protokola TCP/IP. Svaki pojedinačni protokol iz skupa TCP/IP komunicira

preko odgovarajućeg kanala, pod imenom poznat broj priključka (engl. well known port

number, brojevi priključaka .

Na primer, HTTP radi na priključku 80, a FTP na priključku 21. Postoji više od 1000

poznatih brojeva priključka. Svaki priključak predstavlja putanju za napad na mrežu. Mrežne

barijere imaju strategiju za blokiranje ovih priključaka. Njih ćemo objasniti kasnije u ovom

poglavlju.

Sve dobre i loše strane bezbednosti mreže, naročito one u vezi sa napadima spolja,

mogle bi da ispune celu knjigu. Zaista, postoje brojne knjige na tu temu. Odbrana kom-

panijskih mreža (privatnih mreža i Interneta) od mre-žnih napada zahteva mnogo vre-mena i

novca. Detaljnije informacije o bez-bednosti mreža potražite u knjizi Hakerske tajne: zaštita

mrežnih sistema (Mikro knjiga). Ako želite konkretne, brojčane podatke i grafikone, ili hoćete

da saznate nešto o zloglasnim upadima u mrežu, ili biste da čujete priče o industrijskoj

špijunaži, potražite knjigu Tangled Web: Tales of Digital Crime from the Shadows of

Cyberspace, izdavačke kuće Que.

Razbijači direktno napadaju na još jedan način: pomoću „njuškala" i raznog softvera za

prisluškivanje, otkrivaju poverljive i važne informacije, poput korisničkih imena i lozinki. .

Razbijač se može nalaziti van mreže, bilo gde na Interneru, i, bez obzira na udaljenost od

mreže koju napada, može presretati prenos podataka i na taj način dolaziti do informacija koje

su mu potrebne za direktan napad na internu mrežu.

IP mreža se može napasti na razne načine. Sledi kratak opis svakog načina napada:


• Prisluškivanje (engl. eavesdropping) ili njuškanje (engl. sniffing, snooping)

predstavlja mogućnost praćenja saobraćaja na mreži, da bi se do-znalo prenose li se podaci u

nezaštićenom formatu. Prisluškivač obično koristi neki softver za nadgledanje mreža.

• Razbijanje lozinki. Ovi napadi su posledica prisluškivanja. Kada razbi-jač ima sve

bitne informacije o važećem korisničkom nalogu (verovali ili ne, u internoj mreži ovi podaci

nisu uvek odgovarajuće zaštićeni), on može neometano pristupiti mreži i dobiti sve

informacije, poput stvarnih korisni-ka. Može saznati imena računara, podatke o korisnicima,

lokacije resursa. Dalje, razbijač je u stanju da izmeni, obriše ili preusmeri podatke na mreži.

• Falsifikovanje IP adrese (engl. IP address spoofing). Napadač može preuzeti,

odnosno koristiti tudu IP adresu, i na taj način pristupati mreži.

• Posrednički napadi (engl. man-in-the-middle). Napadač može da nadgleda,

kontroliše i hvata podatke na putu između uređaja pošiljaoca i primaoca.

• Napadi uskracivanja usluga (engl. denial-of-service attacks). Napadač ostvaruje

pristup mreži i onda šalje nevažeće podatke mrežnim uslugama i aplikacijama, i time izaziva

prekid rada mrežnih usluga ili njihov pogrešan rad. Ovoj vrsti napada pripada i zagušivanje,

odnosno preplavlji-vanje (engl. flooding) usmereno ka određenoj usluzi ili određenom računa-

ru, što rezultira preopterećenjem i gašenjem ili kvarom. Ovom vrstom na-pada često su

obarani Web serveri i Web lokacije na Internetu.

Administratori mreža koriste sve strategije da bi sprečili ove napade. Bezbedni

usmerivači i mrežne barijere (objašnjene su u sledećem odeljku) samo su neka od tehničkih

rešenja za zaštitu internih mreža. Na raspolaga-nju imate i protokol za bezbednost, Internet

Protocol Security (IPSec). To je skup protokola i usluga za zašritu, koje su zasnovane na

šifrovanju. IPSec se može koristiti za zaštitu internih mreža, mreža u kojima se za povezivanje

koriste WAN tehnologije i mreža u kojima se koristi udaljeni pristup (na primer, virtuelne

privatne mreže - VPN, koje ćemo objasniti na vežbama).

IPSec upotrebljava sve vrste metoda za zaštitu podataka na mreži. Šifrovanje podataka

je tehnika preslikavanja podataka u nečitljiv format.

IPSec za zaštitu podataka može koristiti sertifikate, pri čemu primalac podatke može

pročitati samo ako poseduje sertifi-kate koji potvrđuju nje-govo pravo čitanja poverljivih

informacija. Očigledno, za primenu IPSec-a, neophodno je dobro poznavanje skupa protokola

TCP/IP. Ako vam treba više informacija o IPSecu i zaštiti mreže pod Windowsom 2000


Server, pogledajte knjigu Microsoft Windows 2000 Security Handbook, izdavačke kuće

Que.

Koja god da je veličina mreže, za njihovu zaštitu nije dovoljna samo jedna strategija.

Znači da morate napraviti plan zaštite mreže. Kada napra-vite plan, možete ga realizovati

pomoću odgovarajućeg hardvera i softve-rskih zaštitnih alatki. Bezbednost mreže zaista je

aktuelna tema i važan aspekt delatnosti administratora mreža. Nije lako zaštititi mrežu. Čak i

mo-ćne igrače, kao što su Yahoo! i Microsoft, ponekad nokautiraju napadači iz mreže.

Razmatranje bezbednosti mreža zatvorićemo odeljkom o sjajnom izumu: mrežnim

barijerama.

7. Mrežne barijere

Predviđeno je da mrežne barijere (engl. Firewall) stoje između vaše mreže i Interneta,

sa ciljem da zaštite internu mrežu od spoljnih napada.

Mrežna barijera istovremeno ispituje i podatke koji napuštaju internu mrežu i podatke

koji u nju ulaze. Ona može „prečišćavati" te podatke koji putuju u oba smera. Ako podaci ne

odgovaraju zadatim pravilima, ne do-zvoljava im se prolaz, bez obzira na to u kom smeru idu.

Znači da mrežne barijere ne štite samo od spoljnih napada, već kontrolišu i vrste veza koje

korisnici iz interne mreže pokušavaju da uspostave sa spoljnim svetom (dru-gim rečima,

korisnicima interne mreže može se onemogućiti povezivanje sa određenim Web lokacijama).

Mrežne barijere su obično kombinacija hardvera i softvera.

Po svom izgledu, ne razlikuju se bitno od ostalih uređaja za poveziva-nje, kao što su

razvodne kutije i usmerivači. Razni proizvođači prave mre-žne barijere. Među njima su Cisco,

3Com i Ascend Communications.

Shodno veličini mreža koje treba da štite, postoje razni modeli mre-žnih barijera. Na

primer, 3Com proizvodi model mrežne barijere Office-Connect, bezbednosni alat namenjen

malim kompanijama.

Većim korporacijama, 3Com nudi mrežnu barijeru SuperStack 3, sačinjenu da

kontroliše veliki broj VPN veza (VPN, odnosno virtuelne privatne mreže, objasnićemo u

poglavlju-vežbi). Ova mrežna barijera podržava, između ostalog, i IPSec.


Postoje i čisto softverske mrežne barijere. Mnogi od ovih proizvoda namenjeni su za

ličnu upotrebu, za zaštitu PC računara koji imaju stalnu vezu sa Internetom preko DSL linije

ili kablovskog modema.

Pre nego što se upustimo u objašnjavanje raznih vrsta mrežnih barijera, rećičemo nešto

o neophodnosti i važnosti mrežnih barijera za bezbednost mreže. U prethodnom odeljku,

kratko je spomenuto da su TCP/IP priključci mala vrata za provaljivanje u mreže i računare.

Zavisno od veličine mreže u kojoj radite, možete se upitati: „Zašto bi neko gubio vreme

pokušavajući da provali u moju mrežu?"

Međutim, pogrešno je mišljenje da razbijači ciljaju samo na velike mreže, kao što su

Microsoft i Ministarstvo odbrane, Svi se pitamo zašto uopšte ljudi gube vreme pokušavajući

da provale u računarske mreže, ali činjenica je da takvi ljudi postoje. Ne samo što pokušavaju

da upadnu u mreže, nego upadaju i u lične PC računare. Na primer, na slici 4.11, prikazano je

upozorenje koje daje softverska mrežna barijera ZoneAlarm, koja je instalirana na PC

računar. PC računar je kablovskim modemom neprekidno povezan na Internet, preko davaoca

Internet usluga.

Prikazano upozorenje kaže da je neko pokušao da „pošalje signal ping" PC računaru.

Čim to mogu da urade, znači da znaju moju IP adresu.

Mrežna barijera ZoneAlarm blokirala je ovaj pokušaj slanja signala ping. Svakog

dana, dok radite na računaru, možete od mrežne barijere da dobijete bar desetak upozorenja.

Neki ljudi pokušavaju da provere da li je moj računar uključen, pomoću komande ping (to nije

strašno). Međutim, problem nastaje kada uljezi otkriju da je Vaš računar uključen i pokušaju,

kroz razne TCP/IP priključke, da uspostave vezu s mojim računarom. Moj računar je samo

jedan od hiljada računara povezanih na Internet preko istog davaoca Internet usluga, a

pokušaji povezivanja preko TCP/IP priključaka nisu zabranjeni.

Kada na svom računaru, koji je povezan na Internet, instalirate mrežnu barijeru, recimo

ZoneAlarm (to je stvarno odlična mrežna barijera za lične računare; više informacija potražite

na lokaciji :http://www.zonealarm.com/), upozorenja koja ćete dobiti, ne moraju uvek biti

posledica pokušaja „loših momaka". I vaš davalac Internet usluga povremeno pokušava da

uspostavi vezu sa vašim računarom, zbog raznih ispitivanja i iz tehničkih razloga.


Međutim, postoje zaludni ljudi koji svakog trenutka „bockaju" mreže i računare,

pokušavajući da se povežu na njih. Da biste se dodatno uverili u to koliko su važne zaštitne

barijere, posetite lokaciju :

http: / /grc. com/default. htm.

Ovu lokaciju održava kompanija Gibson Research Corporation i na njoj je veza ka

posebnoj lokaciji ove kompani-e, pod imenom Shields Up (u prevodu, podigni štitove).

Lokacija Shields Up će vam pokazati koliko su računari, koji rade pod Windowsom, osetljivi

na spoljne napade.

Proverite da li ste izabrali hipervezu Shields Up na početnoj stranici kompanije GRC.

Ako nemate instaliranu i uključenu mrežnu barijeru na svom računaru, iznenadićete se kada

vas Web lokacija Shields Up bude pozdravila NetBIOS imenom vašeg računara.

Da bi stvari bile još gore, u donjem delu Web stranice Shields Up potražite dugme

Test My Shields i pritisnite ga.Kada pomoću ovog testa ispitateVaš računar pod Windowsom

namenjen za zajedničko korišćenje datoteka i resursa za štampanje, dobićete spisak svih

direktorijuma i šta-mpača na tom računaru, koji su bili podešeni za zajedničko korišćenje.

Kada dalje sprovedete test priključaka, Probe Port (u njega se ulazi sa stranice Shields

Up), ispostaviće se da je gomila priključaka bila širom otvorena (HTTP, Telnet, NetBIOS...).

Posle ovog događaja, treba instalirati ličnu mrežnu barijeru Zone-Alarm i ponovo

pokrenuti iste testove. Test Shield je prijavio da računar radi u „stealth" (nevidljivom) režimu

rada, što znači da nezvanim gostima nisu na raspolaganju bile nikakve informacije o računaru,

kao što su NetBIOS ime i spisak deljenih resursa.

Kada dalje pokrenute testiranje priključaka, svi priključci bili su zaključani (rezultat

rada mrežne barijere).

Na slici 4.12 vidi se rezultat testiranja priključaka. Vidi se da su svi priključci

nedostupni spolja i da ne postoji rupa kroz koju bi se uljez mogao ušunjati u računar preko

Interneta.


7.1 Vrste mrežnih barijera

Mrežne barijere su klasifikovane prema načinu na koji rade sa mre-žnimn saobraćajem

i prema tome na kojem sloju referentnog modela OSI funkcionišu . Što je viši sloj na kojem

mrežna barijera funkcioniše, to je ona složenija. Evo nekih detalja:

• Filter paketa. Ova vrsta mrežnih barijera koristi skup pravila za utvrđi-vanje da li

odlazeći ili dolazeći paket podataka sme da prođe kroz mrežnu barijeru. Ova pravila (ili filtri,

kako ih još nazivaju), zasnovana su na dozvo-ljenim IP adresama pošiljaoca i na brojevima

priključaka, koje angažuje protokol od koga taj paket podataka potiče. Filter paketa prosleđuje

podatke velikom brzinom. On predstavlja najjednostavniju mrežnu barijeru. Počiva na sloju

veze podataka i na mrežnom sloju referentnog modela OSI. Usme-rivač koji tokom svog rada

konsultuje pristupne spiskove (pravila za propu-štanje ili blokiranje veza, na osnovu IP adresa)

radi filtriranja prenosa poda-taka, može se smatrati fllterom paketa.

• Mrežna barijera na nivou kola. Ova vrsta mrežnih barijera slična je fi-ltrima paketa

(obe vrste filtriraju pakete na osnovu nekakvih pravila). Međutim, mrežne barijere na nivou

kola rade u transportnom sloju refere-ntnog modela OSI, pa su zbog toga funkcionalnije. Ove

mrežne barijere imaju takvu mogućnost preuređivanja paketa (poslatih iz interne mreže ka

odredištu van mrežne barijere), da izgleda kao da je mrežna barijera izvo-rište paketa. Na taj

način, čuva se tajnost informacija o unutrašnjoj organi-zaciji mreže. Mrežne barijere na nivou

kola mogu procenjivati da li je TCP protokolom pravilno uspostavljena veza između računara

u mreži i računara van mreže . Ako veza nije pravilno uspostavljena, mrežna barijera je može

raskinuti. Na ovaj način može se prekinuti veza koju je uljez oteo da bi se ušunjao u intemu

mrežu kroz mrežnu barijeru.

• Mrežni prolaz za aplikacije. Ova vrsta mrežnih barijera funkcioniše na sloju

aplikacija referentnog modela OSI. Mrežni prolazi za aplikacije koriste strogu proveru

identiteta korisnika. Tako se proverava identitet računara koji pokušava do se poveže na mrežu

korišćenjem određenog TCP/IP proto-kola iz sloja aplikacije (na primer, Telnet ili FTP).

Štaviše, posle provere identiteta korisnika, ova vrsta mrežnih barijera može kontrolisati

uređaje sa kojima je korisnik uspostavio vezu preko spoljnog računara. Mrežni prolazi za


aplikacije predstavljaju efikasnu zaštitu od falsifikovanja IP adrese (engl. IP spoofing,

objašnjeno je ranije u ovom poglavlju), jer se ne dozvoljava održavanje veze sa računarom

unutar mrežne barijere u slučaju da se ne mo-že valjano utvrditi identitet korisnika.

Mnoge mrežne barijere, između ostalog, podržavaju funkcije posredničkih servera

(engl. proxyserver) i pretvaranje mrežnih adresa (engl. Network Address Translation, NAT), u

cilju zaštite interne mreže. Ako vam treba više informacija o posredničkim i NAT serverima,

vratite se na 12. poglavlje, „Povezivanje mreže na Internet".

Otkrićete da su neke mrežne barijere zapravo hibridi vrsta koje su ovde navedene.

Na primer, neka mrežna barijera može kombinovati funkci-je mrežne barijere na nivou

kola i mrežnog prolaza za aplikacije.

Razvijanje novih mrežnih barijera odvija se vrtoglavom brzinom. Zvučni novinski

naslovi o obaranju mreža velikih flrmi i državnih institu-cija, doveli su do porasta prodaje

mrežnih barijera i do njihovog usavršava-nja.


8.Zaključak:

Zaštita mreže i njenih resursa sigurno je najveći izazov sa kojim se adminisrratori

mreža sreću. Suština je sledeća: najpre proućite moguće pretnje po bezbednost mreže. Zatim,

na osnovu toga sačinite plan za zaštitu mreže.

Svakoj mreži treba plan zaštite, koji predviđa moguće pretnje po bez-bednost mreže i

sadrži mere koje ćete sprovesti da biste otklonili te pretnje. Ako na vašoj mreži najveći problem

predstavljaju korisnici koji cunjaju po važnim podacima, težište vašeg plana zaštite treba da bude

obučavanje kori-snika da ispravno koriste mrežu. Ako u mreži imate osetljive podatke, vaša

mreža biće izložena napadima spolja i iznutra; poverljive podatke pokušaće iznutra da ukradu

vaši službenici, skloni industrijskoj špijunaži, a spolja će napadati razbijači, lovci na vredne

informacije. Znači, morate pripremiti strategije zaštite od napada spolja i iznutra.


Literatura:

- Goran Vujacic, Mreze i telekomunikacije-racunarske mreze, Beograd, 2008 - Jovan Zivadinovic, Poslovni i finansijski informacioni sistemi, Cacak, 2006- Nikola Bracika, Poslovni i finansijski informacioni sistemi, Cacak, 2006


seminarski rad- zastita racunarskih mreza

Documents