5.

Zatita od raunarskih virusa i napada sa Interneta

5.1. Zatita od virusa
5.1.1. Pojam, istorijat i elementi zatite Raunarski virusi postoje skoro podjednako dugo kao i raunari, i svake godine nanose tetu izraenu u bilionima dolara. To su zlonamjerni kompjuterski programi (djelovi softvera koji se pripajaju pojedinim programima), dizajnirani za brzo irenje i isporuivanje razliitih vrsta destruktivnog sadraja na inficirane raunare. Koncept kompjuterskog virusa je izminjen 1949. godine, mnogo ranije nego to su raunari postali iroko rasprostranjeni. Te godine, Von Nojman je napisao Teoriju i organizaciju komplikovanog automata. U tom radu, Von Nojman je postavio hipotezu po kojoj se kompjuterski program moe samoreplicirati (prenijeti sa jednog na drugi raunar) tako je prorekao dananje somoreplicirajue virusne programe. Ova teorija je zaivjela pedesetih godina dvatesetog vijeka, kada su programeri razvili igru pod nazivom Core Wars, u kojoj su dva igraa putala softverske organizme u raunar i posmatrala kako se njihovi programi bore za kontrolu nad mainom kao i dananji virusi. U stvarnom ivotu, kompjuterski virusi se javljaju ranih osamdesetih, zajedno sa pojavom prvih personalnih raunara. Ovi rani virusi su se obino irili izmeu korisnika koji su razmjenjivali programe i fajlove preko flopi diskova zajedniki flopi je bio savren medijum za prenoenje virusa. Kompjuterski virusi su slini biolokim virusima, jer nijesu zasebni entiteti i moraju koristiti host-a (domaina, a to je neki drugi program ili dokument) kako bi se dalje prenosili. Mnogi virusi se skrivaju u kodu legitimnih softverskih programa tj. programi bivaju zaraeni. Kada se host program pokrene, izvrava se i kod virusa, tako da se virus uitava u memoriju raunara. Odatle, kod virusa moe da dopre do ostalih programa na sistemu i tako ih zarazi kada pronae program, virus dodaje i svoj kod, a zaraeni program moe prenijeti virus i na druge raunare. Veina virusa, pored umnoavanja, vri i neke druge operacije, od kojih je veina destruktivna. Na primjer, virus moe da izbrie odreene fajlove sa raunara, moe da prepie boot sektor hard diska, tako da disk postane nedostupan, izazove slanje e-mail poruka itd. Danas postoji ogroman broj razliitih virusa, a najbolja zatita je peduzimanje maksimalnih mjera opreza prilikom preuzimanja fajlova sa Interneta i otvaranja e-mail attachment-a, kreiranje rezervnih kopija svih bitnih podataka, auriranje programa (preuzimanje i instaliranje zakrpa) i, naravno, upotreba i redovno auriranje nekog od brojnih antivirusnih programa koji postoje na tritu. Neki od najeih simptoma zaraenog raunara su: 1. Programi se zavravaju ili zamrzavaju; 2. Dokumenti postaju nedostupni; 3. Raunar se zamrzava ili se ne staruje ispravno; 4. Taster CAPS LOCK presaje da radi ili radi na mahove; 5. Poveana veliina fajlova; 6. Na ekranu se esto javljaju poruke o grekama; 7. Na ekranu se esto javljaju udne poruke ili slike; 8. Raunar emituje udne zvuke; 9. Automatsko slanje pojedinih e-mail poruka na adrese iz adresara, itd.

60

Najee je za oporavak od virusa dovoljno samo pokrenuti odgovarajui antivirusni program. Meutim, ako je virus izbrisao ili otetio pojedine dokumente, jedino rjeenje je upotreba rezervnih kopija. U sluaju da je dolo do oteenja pojedinih programskih fajlova potrebno je njihovo reinstaliranje, a ponekad i reinstaliranje itavog operativnog sistema i formatiranje hard diska. 5.1.2. Vrste virusa Ve smo rekli da su raunarski virusi dio softvera koji se kriom spajaju sa programima, a zatim izvode neto neoekivano. Meutim, postoje i druge vrste programa kao to su Trojanci ili crvi koji nanose slinu tetu, ali se ne ugrauju u programski kod. Ti programi tehniki nijesu virusi, ali predstavljaju istu opasnost za kompjuterske sisteme. Zato se svi ti programi virusi i ne-virusi obino zajedno svrstavaju u istu grupu i u optem govoru se nazivaju virusi (pojedini strunjaci ih nazivaju i malware - skraenica od malicious software). Svi zlonamjerni programi ne funkcioniu na isti nain, a pogaaju razliite djelove raunarskog sistema. Zato je za uspjenu zatitu dobro znati poneto o svim vrstama virusa. Virusi koji inficiraju fajlove Tradicionalni oblik raunarskog virusa je infektor fajla koji se skriva u kodu drugog programa. Oni su prije pojave Interneta i makro virusa bili uzronici skoro 85% svih infekcija. Zaraeni program moe da bude poslovna aplikacija, pomoni program ili ak i igra bitno je samo da program bude izvran, obino sa ekstenzijom EXE, COM, SYS, BAT ili PIF. Kada se zaraeni program pokrene, kod virusa se uitava u sistemsku memoriju, obino prije nego to se uita kod programa. Virus tada trai druge fajlove koje moe da zarazi i umee se u njih, a takoe isporuuje svoj sadraj u skladu sa nainom na koji je programiran. Potom vraa kontrolu host programu koji zavrava uitavanje i prikazuje se na ekranu. Slika 5.1.1. ilustruje ovaj proces. Korisnik pokree aplikaciju Kod virusa je uitan u sistemsku memoriju Virus ubacuje svoj kod u druge fajlove Virus isporuuje svoj sadraj (ako je predvieno da se sadraj isporuuje prilikom prvog pokretanja virusa). Kod host programa je uitan u sistemsku memoriju Kontrola je vraena na host program Slika 5.1.1. Nain funkcionisanja virusa koji inficiraju fajlove U zavisnosti od naina na koji inficiraju fajlove, virusi fajlova mogu se podijeliti u nekoliko kategorija:

61

1) Parazitni virusi mijenjaju sadraj inficiranih fajlova, ali tako da ti fajlovi i dalje ostanu kompletno ili djelimino upotrebljivi (programi i dalje relativno normalno funkcioniu). U veini sluajeva, originalni kod se pomjera navie ili nanie kako bi se napravio prostor za kod virusa; 2) Virusi koji prepisuju sadraj fajla prepisuju originalni programski kod svojim kodom. Na taj nain unitavaju originalni programski kod i program vie na moe da funkcionie; 3) Virusi sa neprimijetnom ulaznom takom (EPO Entry-Point Obscuring) umeu u program samo kod koji pokree kod virusa. Instrukcija koja pokree kod virusa obino se izvrava pod specifinim programskim uslovima, tako da virus moe due vremena ostati neaktivan. 4) Pratei virusi kreiraju klon host fajla koji se zatim pokree umjesto originalnog fajla (npr. kod DOS operativnog sistema formira se COM fajl koji se pokree umjesto originalnog EXE fajla). Ovi virusi mogu da preimenuju ciljni fajl, a originalni naziv da dodijele zaraenom klonu ili da promijene DOS putanju tako da vodi do zaraenog fajla; 5) Crvi fajlova ne povezuju se na postojei fajl, ve kopiraju svoj kod u novi fajl, obino mu dajui specifino ime (setup.exe, install.exe), tako da ga korisnik raunara grekom moe aktivirati. Ponekad ubacuju i kodove za pokretanje zaraenog fajla (npr. u BAT fajlove ili u Windows Startup); 6) Link virusi ne mijenjaju fiziki sadraj host fajla, ve kada se on pokrene primoravaju operativni sistem da pokrene i kod virusa. To se postie modifikovanjem prvog klastera host fajla, tako da ukazuje na klaster koji sadri kod virusa. Virusi koji inficiraju fajlove mogu, takoe, biti statiki ili polimorfni. Statiki virusi se nikada ne mijenjaju tj. kod virusa ostaje isti kroz sve infekcije. Polimorfni virus se moe mijenjati prilikom prelaska sa jednog sistema na drugi, tako da ga je teko otkriti. Takoe, virusi mogu kombinovati infekciju fajlova zajedno sa infekcijom boot sektora. Najlaki nain za detektovanje virusa koji inficiraju fajlove je praenje veliine fajlova. Antivirsni programi takoe posjeduju i druge naine za identifikovanje ovih virusa. Oni mogu pretraivati izvorni kod kako bi pronali tekst koji upisuju uobiajeni virusi. Takoe, mogu nadgledati pristup izvrnim fajlovima koji su obino read-only, tako da upis u bilo koji od ovih fajlova predstavlja sumnjivo ponaanje. Virusi koji inficiraju boot sektor Smjeteni su na dijelu diska koji se uitava u memoriju prilikom podizanja sistema (na flopi disku to je boot sektor, a za hard disk ekvivalentna oblast poznata kao Master Boot Record - MBR). Kada se jednom uita, virus moe da zarazi druge diskove koje raunar koristi. Ovi virusi mogu biti izuzetno destruktivni ako otete ili prepiu boot sektor hard diska, mogu da sprijee kompletno startovanje raunara, a mogu i da unite odreene ili sve podatke sa hard diska. Oni su bili naroito aktuelni u vrijeme masovnog korienja flopi diskova, kada se virus prenosio sa flopi diska na hard disk (i obratno) i tako se irio. Danas je ei sluaj tzv. hibridnog virusa koji sadri komponentu za inficiranje boot sektora zajedno sa infektorom fajla, Trojancem ili kodom crva. U optem sluaju, virusi boot sektora se lako identifikuju i uklanjaju. Tipini virus boot sektora usporava boot rutinu i esto prikazuje neuobiajene poruke na ekranu raunara. Antivirusni programi pronalaze ove viruse skeniranjem boot sektora. Veina virusa ima identifikujui tekst koji se inae ne nalazi u boot sektoru (odnosno MBR kodu). Na pojavu infekcije, takoe, ukazuje i promjena veliine MBR koda, jer prisutstvo virusa utie na

62

poveanje njegove veliine (standardni MBR kod zauzima manje od polovine sektora na hard disku, a veina virusa je znatno vea). Makro virusi To su virusi kreirani pomou makro jezika kojeg koriste brojne softverske aplikacije. Makroi su manji programi koji se kreiraju za visoko specifine zadatke u okviru aplikacije i napisani su pseudo programskim jezikom dizajniranim za rad sa aplikacijom (npr. Visual Basic for Applications (VBA) koji se koristi u Microsoft-ovim aplikacijama). Makro virusi se ne aktiviraju otvaranjem aplikacije, ve tek nakon otvaranja zaraenog dokumenta (npr. otvaranjem zaraenog Word fajla). Da bi se to postiglo veina ovih virusa koristi makroe koji se automatski izvravaju svaki put kada se dokument otvori (ili nakon specifine akcije programa), bez traenja dozvole ili akcije korisnika. Makro virus tada moe da brie tekst, preimenuje ili brie fajlove i sl. Veina ovih virusa se kopira na standardni templejt (default tamplate) aplikacije (npr. u Microsoft Word-u to je templejt Normal, pod nazivom normal.dot), tako da svi novokreirani dokumenti bivaju zaraeni. Slika 5.1.2. prikazuje tipini makro virus nakon uitavanja i izvrenja. Dokument je otvoren (u okviru aplikacije) Dokument uitava makroe Izvravaju se makroi koji se automatski pokreu Virus je pokrenut kao auto-run makro i uitava se u sistemsku memoriju Virus kopira svoje makroe u standardni templejt (ablon) aplikacije Virus isporuuje svoj sadraj Slika 5.1.2. Nain na koji makro virus inficira sistem. Prisustvo makro virusa obino moe da se otkrije na osnovu neuobiajenog ponaanja host aplikacije. Jedan od naina za pronalaenje makro virusa jeste otvaranje liste makroa u aplikacionom softveru (u zaraenom dokumentu pojavljuju se nepoznati makroi). Takoe, makro virusi mogu izazvati promjenu standardnih (default) postavki u programu. Najbolja zatita od makro virusa jeste kombinacija bezbjednog ponaanja (neprihvatanje neeljenih dokumenata), antivirusnog softvera i konfigurisanje aplikacija tako da se pojavljuju upozorenja prije aktiviranje makroa. Skript virusi Ovi virusi su zasnovani na skript jezicima (Visual Basic Script VBS, JavaScript i dr.), koji lie na makro pseudo-programske jezike, a koji se koriste na Web sajtovima i nekim kompjuterskim aplikacijama. Oni se esto izvravaju automatski sa otvaranjem Web stranice ili HTML e-maila. Napomenimo da se makro virusi mogu svrstati u grupu skript virusa, ali je nain njihovog distribuiranja (preko dokumenata) drugaiji od

63

ostalih skript virusa (preko zaraenih Web stranica, e-mail poruka, fajlova pripojenih e-mail porukama i Internet Relay Chat IRC sesija). Standardni metodi zatite od virusa mogu efikasno da zatite sistem i od infekcija skript virusa. Mogua mjera je, takoe, konfigurisati Web browser i program za e-mail tako da automatski ne izvravaju veinu uobiajenih ugraenih skriptova. Trojanci i crvi Trojanac je program koji tvrdi da radi jednu, a ustvari radi sasvim drugu stvar. Isporuuje svoj sadraj kroz obmanu, ba poput mitolokog trojanskog konja. Najee se isporuuju kroz attachment-e uz e-mail poruke. Otvaranjem attach fajla isporuuju svoj sadraj i nanose tetu sistemu. Maskiraju se u praktino sve tipove fajlova (aplikacije, dokumente, slike, antivirusne alatke, itd.). Razlikuju se od klasinih virusa po tome to se ne mogu replicirati (tj. kopirati). Posebnu opasnost ine tzv. backdoor Trojanci koji, neovlatenim korisnicima, omoguavaju daljinski pristup inficiranom sistemu. Crv je kompjuterski program koji se kopira sa jedne maine na drugu, obino bez eksplicitne akcije korisnika. ire se preko mree (automatskim slanjem e-mail, IRC ili instant poruka). Isporuuju destruktivne sadraje ili samo zaguuju mreu samopropagiranjem. Najskriveniji su tzv. mreni crvi. Najee koriste propuste u Web serverima i browserima. Dok funkcioniu, ovi programi postoje samo u sistemskoj memoriji tako da ih je tee identifikovati od pomenutih crva fajlova. Crvi skeniraju mreu kompanije ili Internet, traei drugi raunar sa specifinim propustom po pitanju zatite. Brzo se repliciraju, a mrea zaraena crvom moe da se obori za nekoliko sati. 5.1.3. Osnovni principi rada antivirusnih programa Veina antivirusnih programa ima sline funkcionalne karakteristike. Oni najee omoguavaju: runo skeniranje, skeniranje u realnom vremenu (dinamiko nadgledanje sistema), skeniranje e-maila, uitanih fajlova, skriptova i makroa. Pored mogunosti za pronalaenje poznatih virusa (skeniranjem potpisa), obino imaju mogunost detekcije i nepoznatih virusa (najee primjenjuju heuristiko skeniranje). Opisaemo ukratko ove tehnike. Skeniranje potpisa Primarni metod detektovanja poznatih virusa kojeg koriste antivirusni programi naziva se skeniranje potpisa. Ovaj metod provjerava da li u sadraju skeniranog fajla postoje unaprijed definisane jedinstvene sekvence binarnih kodova poznatih virusa (slika 5.1.3.). Kodovi poznatih virusa se nalaze u bazi podataka antivirusnog programa. U sluaju podudarnosti, program oznaava fajl kao inficiran i preduzima odgovarajuu akciju.
Definicije virusa Virus A: 01 02 03 04 Virus B: 11 12 13 14 Virus C: 21 22 23 24 Virus D: 31 32 33 34 Virus E: 41 42 43 44 Virus F: 51 52 53 54 Inficirani fajl A2 B7 D5 E9 54 A6 B2 55 00 11 33 55 31 32 33 34 00 00 FF 0F 00 22 99 FF

Skener potpisa

Podudarnost

Slika 5.1.3. Identifikacija poznatog virusa skeniranjem potpisa. Danas postoje virusi kod kojih kod mutira prilikom repliciranja, dok neke mutacije bivaju i kriptovane. Na taj nain, javlja se potreba da fajlovi sa potipisima (fajlovi u kojima se nalaze definicije virusa) antivirusnih programa ukljuuju i odgovarajue algoritme za

64

dekriptovanje. Situacija se dodatno komplikuje sa pojavom tzv. polimorfnih virusa koji generiu sluajne rutine za enkripciju. Provjera integriteta Alternativa skeniranju potpisa jeste provjera integriteta. Ova starija tehnika je relativno jednostavna, jer se trae samo promjene u veliini individualnih fajlova. Fajlovi na hard disku se skeniraju i registruju se njihove veliine. Saki sljedei put kada se pokrene provjera integriteta vri se uporeivanje veliine fajlova sa prethodno memorisanim veliinama i, u sluaju razlike, program ukazuje na moguu infekciju. Ova metoda je dobra za testiranje fajlova koji imaju fiksnu veliinu (npr. izvrni fajlovi), ali je beskorisna u sluaju fajlova ija se veliina esto mijenja (npr. dokumenti). Drugim rijeima, provjera integriteta moe biti korisna za odbranu od virusa koji inficiraju fajlove, ali ne za odbranu od makro i skript virusa. Heuristiko skeniranje Heuristiko skeniranje je jedna od najee korienih alternativa skeniranju potpisa. Ova vrsta skeniranja ne trai viruse, ve ponaanje karakteristino za viruse. Drugim rijeima, heuristiki skener ne zavisi od specifinih potpisa virusa, ve trai opte kodne sekvence koje se obino pronalaze samo u kodovima virusa, a ne i u legitimnim programima. Na primjer, ako heuristiki skener pronae da dio koda u programu pokuava da promijeni Windows Registry, program se oznaava kao mogui virus. Na ovaj nain mogue je otkriti i nepoznate viruse tj. one za koje ne postoji definicija (registrovani potpis). Postoji nekoliko razliitih naina za implemetaciju heuristikog skeniranja. Oni obino daju sline rezultate, a razliiti antivirusni programi najee, pored standadrnog skeniranja potpisa, koriste neki od njih. To su: 1) Filtriranje sadraja Ovo je jedan od najtradicionalnijih metoda za heuristiko skeniranje. Filtar sadraja uporeuje osnovni kod svih dolazeih programa sa ugraenom bazom pravila. Antivirusni softver, ustvari, trai samo ono to podsjea na kod virusa zaduen za neku sumnjivu akciju. Na primjer, ako pronae programski kod zaduen za brisanje EXE fajla, generie poruku o moguoj infekciji. 2) Sandboxing Sandboxing je interesantan pristup skeniranju virusa po tome to dozvoljava pokretanje dolazeeg programa unutar virtuelnog sandbox-a (eng. ograeni prostor sa pijeskom ustvari zatieno okruenje unutar koga se program moe pokrenuti bez bojazni od oteenja ostalog dijela sistema). Sandbox simulira operativno okruenje raunara (virtuelni raunar), a sandboxing softver trai specifine aktivnosti pokrenutog programa. Ako se pojave takve aktivnosti (pokuaj brisanja fajlova, modifikovanje postavki operativnog sistema, editovanje Registry-a, itd.), softver daje upozorenje o fajlu koji potencijalno sadri virus. 3) Analiza ponaanja Analizom ponaanja se ne provjeravaju programski kodovi, ve se prati ponaanje cjelokupnog sistema. U zavisnosti od toga kako sistem reaguje na specifini program, softver za analizu ponaanja moe da utvrdi da li je u toku napad virusa ili hakera. Softver se, dakle, izvrava u pozadini, prati rad sistema i reaguje na svako odstupanje od standardnih operativnih procedura. U sluaju da neka operacija (komanda) ne zadovoljava heuristiki test, ona biva blokirana, a sistem i dalje nastavlja da funkcionie. Nedostatak heuristikog naina skeniranja je esto generisanje pogrenih upozorenja. Takoe, veliki broj virusa se ne moe na ovaj nain registrovati, jer se njihovi kodovi ne uklapaju u heuristike profile.

65

5.2. Zatita od napada sa Interneta

Infekcija virusima nije jedini nain na koji raunar ili raunarska mrea mogu biti napadnuti. Zlonamjerni pojedinci mogu direktno izvriti napad, pristupajui sistemu preko neke vrste zadnjih vrata (backdoor), a zatim mogu krasti znaajne podatke, brisati fajlove ili iskoristiti osvojeni raunar za napade na druge raunare, mree ili Web sajtove. Posebno zlonamjerni napadai mogu da preplave sistem sa zahtjevima za podacima i e-mail porukama i toliko opterete sistem da ga na kraju obore ili iskljue sa veze. Napadai najee koriste lako upotrebljive hakerske i krekerske alatke koje se na jednostavan nain mogu pronai na Internetu. 5.2.1. Priprema napada Prije nego to otpone napad zlonamjerni haker najee izvodi pripremne aktivnosti, a to su: snimanje, skeniranje i popisivanje sistema. Snimanje sistema ili oznaavanje mete sastoji se u prikupljanju to vie podataka o cilju kako bi se izveo usredsreen i precizan napad koji nee biti lako otkriven. Zbog toga e napada sakupiti sva mogua obavjetenja o svim aspektima sistema bezbjednosti raunara odreene organizacije. Sluei se razliitim alatkama i tehnikama, napadai mogu npr. otkriti imena domena, specifine IP adrese sistema, mehanizme upravljanja pristupom i odgovarajue liste za kontrolu pristupanja, sisteme za detekciju upada, sistemske podatke, vrstu sistema za daljinski pristup, brojeve telefona i dr. Ako snimanje sistema uporedimo sa otkrivanjem mjesta na kome se informacije nalaze, skeniranje moemo da shvatimo kao kuckanje po zidovima da bi se utvrdilo gdje se nalaze vrata i prozori. Na primjer, ne moraju sve otkrivene IP adrese u procesu snimanja biti dostupne sa Interneta. Cilj skeniranja je mapiranje mree kako bi se utvrdili aktivni sistemi dostupni sa Interneta, kao i da li se i preko kojih prikljuaka oslukuju. Najee tahnike su: automatsko skeniranje mree signalom ping, skeniranje prikljuaka i korienje alatki za automatsko otkrivanje. Uz pretpostavku da poetno prikupljanje podataka o cilju i neupadljivo sondiranje nije otkrilo nain za lako osvajanje sistema napada se neminovno okree otkrivanju vaeih korisnikih naloga ili slabo zatienih dijeljenih resursa. Ima mnogo naina da se iz sistema izvue vaei nalog, da se ulove imena resursa koja se izvoze iz sistema, a taj proces jednim imenom moemo nazvati popisivanje. Popisivanje, meutim, podrazumijeva aktivne veze sa sistemima i usmjereno pretraivanje, tako da ono moe biti zabiljeeno ili na drugi nain zapaeno. Ako se potom ne preduzmu odgovarajue protivmjere (spreavanje pukotina kroz koje cure informacije) napada npr. vremenom moe, nakon pronalaenja vaeeg korisnikog imena ili diljenog resursa, probiti odgovarajuu lozinku ili otkriti rupe u protokolu za dijeljenje resursa. Nakon uspjeno obavljenih pripremnih aktivnosti napada odabira najranjiviji dio mree kako bi izvrio eljene aktivnosti. Ukratko, osnovni koraci napada su: Izabiranje mete;

66

Oznaavanje mete (snimanje sistema) identifikacija IP adresa, naziva servera, brojeva telefona, personalnih kljueva i drugih informacija koje mogu biti korisne za infiltriranje u sistem; Skeniranje i mapiranje ciljne mree kako bi se identifikovali sistemi i ureaji; Identifikacija ranjivih servisa i sistemskih resursa; Izabiranje dijela mree, obino jednog raunara, koji je posebno ranjiv; Prouavanje ranjivosti; Preuzimanje kontrole nad sistemom i izvrenje eljene aktivnosti.

5.2.2. Vrste napada Napadi mogu biti izvedeni izuzetno jednostavnom tehnologijom (npr. lano predstavljanje slubenika kompanije u telefonskom razgovoru) ili korienjem visoke tehnologije (npr. prebacivanje adrese web sajta na drugi server). Spomenuemo neke od vrsta napada: - Napadi koji koriste ljudski kontakt (Social Engineering Attacks) Ovi napadi imaju vie oblika, a koriste ljudsku kontakt kako bi im se, lanim predstavljanjem, obmanama i prevarama, omoguio pristup ili otkrili pojedini podaci. Komuniciranje se moe obavljati putem e-mail-a, IRC-a (Internet Relaz Chat) ili telefona. - Napadi imitiranjem Dok se napad koji koristi kontakt meu ljudima bavi prevarom ljudi, napad imitiranjem bavi se prevarom kompjutera. Do ove vrste napada dolazi kada napada ukrade prava pristupa od autorizovanog korisnika. Napada tada moe da podesi svoj kompjuter da imitira drugi, autorizovani kompjuter, i dobije pristup inae zatvorenim sistemima. Sigurnosni sistem prepoznaje napadaa kao korisnika ija je lozinka ukradena, tako da se ovaj, nakon to poini tetu, moe bez bojazni odjaviti. Za otkirvanje korisnikih imena i lozinki najee se koriste tzv. snifer programi. Sniferi (sniffers - njukala) oslukuju saobraaj na mrei i ispituju ta se tano kree mreom. Oni ne samo da nadgledaju saobraaj ve i preuzimaju neifrovane komunikacije (npr. lozinke poslate u obliku obinog teksta). Na primjer, korisnici koji alju informacije neobezbijeenim web sajtovima podloni su snifer kraama (obezbijeeni web sajtovi uglavnom spreavaju snifere). - Napadi korienjem povjerenja u gostujue kompjutere (Transitive Trust Attacks) Ova vrsta napada iskoriava povjerenje u odnos host-to-host ili network-to-network. To povjerenje obino omoguava kompjuterima izvan konkretne mree da joj pristupe kao da su dio te mree bez uobiajenih lozinki i protokola potrebnih za udaljeni pristup. Na primjer, adiministrator mree moe da napravi bazu podataka provjerenih kompjutera (obino drugih servera u velikoj kompaniji), tako da se korisnici sa tih kompjutera mogu prijaviti bez unosa lozinke. Ako napada moe preurediti tu listu i ubaciti svoj kompjuter, onda moe pristupiti mrei bez ikakve lozinke. Ipak, najei sluaj napada je kada napada uspije da pristupi nekom od administratorskih naloga i dobije slobodan pristup sistemu. - Eksploatisanje slabosti Kada jednom nae rupu u obezbjeenju haker moe koristiti bagove ili rupe u programu (npr. nekom MS Office programu, Internet explorer-u i dr.) ili operativnom sistemu (npr. Windows-u), kako bi napravio odgovarajuu tetu. Na primjer, ova

67

vrsta napada esto koristi programerski bag nazvan prekoraenje bafera. Kada se bafer napadnutog programa prepuni podacima (zahvaljujui napadau), originalni kod programa se izbacuje i ubacuje se drugi kod. Na ovaj nain se u sutini reprogramira program, omoguavajui napadau da aktivira svoj kod. - Infrastrukturni napadi (Infrastructure Attacks) Infrastrukturni napad koristi slabosti u tehnikom protokolu ili odreenoj infrastrukturi. Podsjea na napad eksploatisanja slabosti programa, izuzev to je raireniji obuhvata cio sistem. Postoji vie vrsta infrastrukturnih napada, a neki od njih su: DNS prevara (DNS spoofing) Odvija se kada napada otme DNS (Domain Name System) ime koje odgovara IP adresi nekog kompjutera ili Web servera. Napada iskopira DNS ime na IP adresu svog kompjutera. Tada, korienjem napada povjerenje u gostujue kompjutere, eventualno moe pristupiti i drugim serverima i mreama. FTP odbijanje (FTP bouncing) U ovom sluaju pronalazi se pogodan FTP server koji se koristi za slanje e-maila drugim kompjuterima i na taj nain se skriva izvor bilo kog napada e-mailom. ICMP bombardovanje (ICMP bombing) Protokol za kontrolu internet poruka (ICMP Internet Control Message Protocol) koristi se od strane Internet usmjerivaa (rutera) za obavjetenje host kompjutera da je odreena destinacija nedostupna. Napada alje mnotvo lanih ICMP poruka kako bi izbacio host kompjuter sa Interneta. Preusmjeravanje saobraaja ka izvoru (Source Routing) Ovo je sofisticiran napad koji koristi ICMP bombardovanje i DNS prevaru kao korake ka veem napadu. Napad poinje ICMP bombardovanjem provjerenog host kompjutera u ciljanoj mrei, kako bi se on izbacio sa Interneta. Napada potom zauzima njegovo mjesto podeavanjem svoje adrese na adresu bombardovanog kompjutera. Host kompjuter mree koja je krajnji cilj napada sada gleda na sve komunikacije koje dolaze sa napadaevog kompjutera kao da dolaze sa host kompjutera. Trka za autentikacijom (Racing authentication) U ovoj vrsti napada napada se prijavljuje na mreu u isto vrijeme kad i registrovani korisnik. On koristi isto korisniko ime kao i registrovani korisnik i eka dok on ne unese sve osim posljednjeg znaka svoje lozinke. Tada napada nasumice unosi posljednji znak i, ako pogodi, pristupa ciljanoj mrei, dok je registrovani korisnik iskljuen. Pogaanje TCP niza (TCP sequence quessing) Ova vrsta napada omoguava da se napadaevi podaci infiltriraju u ciljanu mreu. Tehnika je bazirana na injenici da su konekcije preko Interneta oznaene brojevima u polunasuminom nizu koji raste. Napada presretne trenutnu konekciju ka ciljanom kompjuteru i (koristei odgovarajui program) pogaa broj narednog mogueg niza. U sluaju da pogodi, stvara se nova konekcija ka ciljanom kompjuteru i tada se mogu emitovati loi podaci i intrukcije. TCP upad (TCP Splicing) Napada se pozicionira negdje u mrei na putanji izmeu dva kompjutera i eka da se legitmna konekcija uspostavi izmeu njih. Jednom kada je konekcija uspostavljena napada upada u nju, otima tok podataka i postaje jedan od korisnika. Korienje slabosti beine mree Ako kompanija koristi mree zasnovane na WiFi beinom protokolu, a nije ukljuila opciju za ifrovanje (WEP Wired Equivalent Privacy), napada moe na relativno lak nain pristupiti mrei (npr. korienjem laptopa i antene u blizini poslovnih objekata).

68

- Napadi uskraivanja usluga (Denial-of-service) Denail-of-service (DoS) napad zatrpava kompjuter ili mreu podacima ili porukama, u sutini preoptereujui sistem i onemoguavajui njegovo korienje. Ovo je vjerovatno trenutno najraireniji oblik napada preko Interneta. Postoji puno naina da se zapone DoS napad, ukljuujui: Korienje ICMP bombardovanja da bi se ruter izbacio sa Interneta; Korienje bombardovanja e-mailom da bi se preopteretio ciljani e-mail server; Zatrpavanje ciljanog kompjutera nepotrebnim podacima da bi se preopteretio propusni opseg; Stalno pingovanje ciljanog kompjutera da bi se preopteretio njegov propusni opseg, kao u ICMP napadu. Veina DoS napadaa koristi mnogobrojne kompjutere kontrolisane na daljinu (zombije) da bi to vie preopteretili ciljani kompjuter. DoS napad velikih razmjera tehniki nazvan distribuisani DoS napad moe koristiti hiljade zombi kompjutera, gdje svi zajedno simultano opteruju metu beskorisnim podacima. - Otmica kompjutera (Session Hijacking) Ova vrsta napada ne ugraava kompjuter koji napada uspije da daljisnki kontrolie, ve ga zapravo koristi da bi se napao drugi kompjuter. Osvojeni raunar se najee koristi prilikom DoS napada, ali moe se iskoristiti za sprovoenje nekog drugog oblika napada preko Interneta. On predstavlja samo zombi koji izvrava napadaeve komande i skriva njegov stvarni identitet. Veina ovih napada postie se instalacijom primljenog fajla (npr. fajla poslatog putem e-maila), najee Trojanca, na zombi kompjuteru. Napomenimo da otmicu kompjutera esto prati i upotreba keylogger programa. Ovi programi tajno pamte sve to korisnik unosi u raunar (preko tastature) i alju informacije napadau koji moe, na taj nain, otkriti korisnikovu lozinku ili pojedine line podatke. Pored pomenutih vrsta napada, u napade preko Interneta moemo ubrojiti i krau privatnosti pojedinaca, slanje neeljenih e-mail poruka (spam-ova), kao i upade sa Weba tipa iskauih reklama (pop-ups) i nepoeljnih oglasa. Napomenimo da se kraa privatnosti najee ostvaruje pomou pijunskih programa (spajvera, spy - pijun) koji prate neije aktivnosti na raunaru, a snimljene podatke u obliku dnevnika alju kompaniji autoru spajvera; ili instaliranjem kolaia (Cookie) malih fajlova koje postavljaju pojedini Web sajtovi na raunar korisnika prilikom njegove posjete sajtu, a koji prikupljaju informacije o njemu i njegovim aktivnostima na Webu (npr. korisniko ime, lozinka, podaci o kreditnoj kartici i sl). Veina indivudualnih korisnika raunara izloena je relativno malom riziku od napada sa Interneta. Rizik od napada smanjuje se korienjem jakih lozinki, korienjem ifrovanja, iskljuivanjem Windows opcije file sharing, auriranjem programa i operativnog sistema uz pomo najnovijih bezbjednosnih zakrpa, instaliranjem zatitne barijere (engl. firewall vatreni zid postoji veliki broj ovakvih programa, a postoji ak i ugraen npr. u Windows XP-u), pravljenjem rezervnih kopija najvanijih podataka i dr. Da bi se raunarska mrea zatitila od napada mora se sprovesti vei broj sigurnosnih mjera. Ove mjere mogu obuhvatati korienje zatitne barijere (kao softver, kao hardver ili i jedno i drugo), proxy servera, demilitarizovane zone, e-mail mrenog prolaza i sistema za detektovanja napada.

69

5.2.3. Zatita raunarskih mrea Nijedna mrea, ma kako obezbijeena, nije u potpunosti sigurna, ali to je vie truda potrebno da uloi potencijalni napada da bi ugrozio mreu, to je sigurnost vea. Zato je klju za odbranu jedne mree stvaranje to vie prepreka potencijalnom napadau. Ovaj koncept viestrukih odbrana naziva se Layered Security Architecture (LSA), a podrazumijeva upotrebu nekoliko razliitih slojeva softvera i hardvera u cilju zatite vanih resursa na mrei. Tu spadaju (slika 5.2.1.): Firewall program Firewall hardver Proxy server Demilitarizovana zona (DMZ) E-mail mreni prolaz (gateway) Sistem za detekciju napada (IDS - Intrusion Detection System)

Slika 5.2.1. Opta konfiguracija zatiene mree Firewall (vatreni zid, zatitna barijera) Firewall-i se koriste za kreiranje kontrolnih taaka bezbjednosti (chekpoints), na granicama privatnih mrea. Na ovim kontrolnim takama firewall-i ispituju sve pakete koji prolaze izmeu privatne mree i Interneta, u zavisnosti od toga da li odgovaraju pravilima politike programirane na firewallu. Ako je firewall propisno konfigurisan, u mogunosti je da ispita svaki protokol kome je dozvoljen prolaz. Na taj nain,

70

on spreava neautorizovani saobraaj sa Interneta da dopre do unutranjosti mree, ime se spreavaju potencijalni napadi i prije nego to dopru do korisnika mree. Zatitna barijera se, u sluaju manjih mrea, realizuje softverski ili hardverski u vidu rutera (usmjerivaa) koji posjeduje firewall opciju. Za vee mree, firewall je izuzetno sloen i skup, a zahtijeva odlino poznavanje teorije i administracije mree da bi bio pravilno instaliran i konfigurisan. Poxy serveri Proxy server predstavlja takozvanu bafer zonu izmeu Interneta i individualnih korisnika lokalne mree. Kada se on koristi, raunari iz lokalne mree ne pristupaju Internetu direktno, ve pristupaju web stranama posredno preko proxy servera. Proxy server je kao vatreni zid, poto se on nalazi izmeu lokalne mree i Interneta. Meutim, on prevazilazi obinu zatitu vatrenog zida sa svojom opcijom keiranja web stranica (za razliku od proxy servera, vatreni zid generalno ne prihvata zahtjeve korisnika). Proxy serveri esto zamjenjuju firewall, a mnogi firewalli obavljaju i funkciju proxya. Demilitarizovana zona Demilitarizovana zona (DMZ - demilitarized zone) je dio mree koji ne pripada ni lokalnoj mrei niti je dio spoljne mree (Interneta). Nju je poeljno instalirati u sluajevima kada postoje udaljeni korisnici koji pristupaju podacima na javnim serverima (npr. web serveru, e-mail serveru, itd.). Janvni serveri se tada smjetaju unutar demilitarizovane zone. U tom sluaju, izmeu lokalne mree i javnih servera nalazi se sloj zatitne barijere, ime se poveava bezbijednost unutranjeg dijela mree. DMZ se moe kreirati postavljanjem dvostrukog firewall-a (unutar dva firewalla je DMZ), a takoe postoje i DMZ firewall-i koji prave trostruki interfejs (jedan ka Internetu, drugi ka DMZ, trei ka lokalnoj mrei) E-mail mreni prolaz (e-mail gateway) E-mail mreni prolaz je poput proxy servera za email. U svom najjednostavnijem obliku, mreni prolaz funkcionie kao e-mail server, bavei se uvanjem e-mailova ili rutingom. Pored toga, e-mail mreni prolaz obuhvata veliki broj sigurnosnih funkcija, ukljuujui skeniranje na viruse, uklanjanje fajlova povezanih sa emailovima, filtriranje sadraja, blokiranje nepoeljnih poruka i spreavanje napada. Svi poslati mailovi prolaze kroz filter mrenog prolaza i sve dolazee poruke se zaustavljaju u prolazu i tu obrauju. Sistemi za detektovanje upada u mreu U sutini, sistem za otkrivanje napada stalno nadgleda razne resurse sistema i aktivnosti, traei znake da je dolo do spoljanjeg napada ili upada u sistem. Verzija ovog programa posveena mrei zove se NIDS (Network intrusion detection system) i ona upozorava na svaki upad u mreu. Kod velikih mrea, instaliranje NIDS programa je obavezno. Ovi sistemi, da bi sprijeili neautorizovano korienje resursa na mrei ili zlonamjerno korienje od strane autorizovanih korisnika koji su prekoraili svoja ovlaenja, detektuju prestupe IP protokola, IP skeniranje, napade na lozinke i druge neobine aktivnosti. Mnogi IDS programi koriste detekciju zasnovanu na potpisu, koji uporeuje nadolazei saobraaj sa ve poznatim tehnikama napadaa (slino tehnici skeniranja potpisa koju koriste antivirusni programi). Generalno, funkcije koje mogu obavljati IDS-i su: monitoring i analiza aktivnosti korisnika i sistema, provjera konfiguracije i ranjivosti sistema, procjena integriteta kritinih sistemskih fajlova, prepoznavanje uzoraka poznatih napada, statistika analiza uzoraka neuobiajenonog ponaanja, prepoznavanje aktivnosti korisnika koje utiu na funkcionisanje operativnog sistema,

71

automatska instalacija novih verzija softvera, instalacija i rad servera mamaca za snimanje informacija o napadaima.

Postoje i proizvodi za ispitivanje ranjivosti sistema (VA - Vulnerability Assessment). Oni vre rigorozno ispitivanje sistema da bi pronali slabosti u njemu koje mogu da narue bezbjednost. Ovo se postie na dva naina: pasivan provjera konfiguracionih datoteka, lozinki i drugih sistemskih objekata, aktivan iniciranje serija poznatih napada i praenje ponaanja sistema prilikom tih napada. Sistemi za provjeru ranjivosti funkcioniu tako to daju snimak bezbjednosti sistema u odreenom vremenskom trenutku. Ovi sistemi odnosno skeneri nijesu u mogunosti da pouzdano detektuju napad koji je u toku, ali oni mogu da predvide mogunost napada, ili ak i da li se napad desio. Neki od ovih sistema imaju mogunost da vre neku vrstu diferencijalne analize, tako to arhivirane rezultate prethodnih skeniranja porede sa novim skeniranjima i izvjetavaju o pojavi neoekivanih promjena ili novih ranjivosti sistema. Oni su koplementarni sa sistemima za detekciju, jer omoguavaju proaktivnu zatitu sistema pronalazei i zatvarajui sigurnosne rupe, prije nego to ih napada iskoristi, za razliku od IDS-a koji je po svojoj prirodi reaktivan i koji nadgleda i eventualno pokuava da prekine napad prije uinjene tete. Pored instaliranja pomenutih (ili samo nekih od njih) komponenti za zatitu, potrebno je imati jasnu zatitnu politiku, zajedno sa ogranienjima pristupa, obavezom estog mijenjanja lozinke, pravljenjem rezervnih kopija vanih podataka, itd. Bezbjednost sistema se znaajno poboljava korienjem sistema za enkripciju (npr. HTTPS baziran na SSL/TLS protokolu), virtualne privatne mree (VPN Virtual private network) i antivirusnih skenera. Ako se radi o manjoj, nerazvijenoj mrei (slabije zatienoj), onda je dobro prebaciti to vie servisa na Internet provajder (ISP Internet service provider), kako bi se iskoristila dodatna zatita koju posjeduje ISP. Prema nekim istrivanjima, postoji veliki broj sluajeva kada je ugroenost bezbjednosti velikih mrea, posledica napadaa koji se nalaze u samoj kompaniji. Ovi unutranji sigurnosni problemi imaju vie uzroka: ljudska greka, loa zatita lozinki, namjerni napad zaposlenih radnika i dr. Bezbjednosni strunjaci preporuuju da svaka vea kompanija za zatitu od unutranjih greaka i napada preduzme odgovarajue mjere, meu kojima su: Ne dozvoliti da samo jedna osoba kontrolie cijelu mreu, ali takoe ne dati veem broju zaposlenih ta prava; Zahtijevati da svaki zaposleni koristi lozinku kada se prijavljuje na mreu, ali i da se te lozinke esto mijenjaju; esto praviti rezervne kopije, naroito kljunih podataka; Zavesti strogu kontrolu nad rezervnim kopijama; uvati servere u fiziki obezbijeenoj prostoriji; Instalirati najnovije bezbjednosne zakrpe; Instalirati IDS da bi administratori bili upozoreni u sluaju da je sistem napadnut; Instalirati program za nadgledanje mree, itd. Napomenimo da, pored zatite mree od napada, mreu je potrebno zatiti i od fizikog kvara i nestanka elektrine energije. To znai, potrebno je instalirati izvore 72

neprekidnog napajanja (UPS), praviti esto rezervne kopije i koristiti razliite pomone programe za odravanje sistema. Na kraju, moemo rei da su za uspjenu zatitu raunarske mree neophodne tri komponente: prevencija, detekcija i obrada napada. Prevencija podrazumijeva sve mjere koje neka organizacija preduzima da bi umanjila rizike za bezbjednost svog sistema. To su, kako projektovanje i implementacija bezbjednijih operativnih sistema, tako i bezbjednosna pravila, enkripcija, identifikacija, autentifikacija i firewall sistemi. Detekcija je proces gdje dolaze do izraaja IDS i antivirusni skeneri. Rezultati procesa detekcije dovode do sljedeeg procesa obrade napada, koji obino ima dvije faze. Prva je istraivanje otkrivenih problema i dokumentovanje uzroka problema i druga, otklanjanje nastalog problema ili osmiljavanje naina za otklanjanje problema ukoliko se ponovo javi. Svi savremeni IDS-ovi trebalo bi da na osnovu bezbjednostnih pravila, procedura i iskustva, automatski izvravaju ove dvije faze. 5.2.4. Funkcije mrene barijere Firewalli odravaju Internet konekciju to je mogue bezbjednijom tako to ispituju i nakon toga odobravaju ili odbijaju svaki pokuaj povezivanja privatne mree i spoljnih mrea, kao to je Internet. Oni omoguavaju centralizaciju svih bezbjednosnih servisa na spoljnim mainama koje su optimizovane i posveene zadatku zatite. Po prirodi, firewalli kreiraju "uska grla" (bottlenecks) izmeu unutranjih i spoljnih mrea. Razlog za to je to sva saobraajna tranzicija izmeu ovih mrea mora proi kroz jednu taku kontrole. Ovo je mala cijena za bezbjednost. S obzirom na to da su spoljne zakupljene linije relativno spore u poreenju sa brzinama modernih raunara, zastoj prouzrokovan firewallima moe biti kompletno transparentan. Veini korisnika su relativno jeftini firewall ureaji vie nego dovoljni da se poveu sa Internetom. Za poslovne potrebe i potrebe ISP-a (Internet Service Provider - Dobavlja Internet usluga), iji je Internet saobraaj na mnogo viem nivou, razvijeni su ekstremno brzi (i skupi) firewalli, koji su u mogunosti da opslue i najzahtjevnije privatne mree. Firewalli primarno funkcioniu koristei tri osnovna metoda: Filtriranje paketa - Odbacuje TCP/IP pakete neautentifikovanih hostova kao i pokuaje povezivanja na neautentifikovane servise. Network Address Translation (NAT) - Prevodi IP adrese unutranjih hostova i tako ih skriva od spoljnog praenja. Ovaj metod se naziva i maskiranje IP adrese (IP address masquerading). Proxy servisi - Uspostavljaju konekcije na visokim aplikacionim nivoima za unutranje domaine u cilju da se kompletno prekine konekcija mrenog sloja izmeu unutranjih i spoljnih domaina. Mogue je korienje ureaja ili servera koji obavljaju samo jednu od navedenih funkcija; na primjer, moe se koristiti usmjeriva (ruter) koji obavlja filtriranje paketa, kao i proxy server na posebnoj maini. Na ovaj nain, filter za pakete mora propustiti saobraaj kroz proxy server ili se proxy server mora nalaziti van unutranje mree, bez zatite koju prua filtriranje paketa. Oba naina su opasnija od korienja samo jednog firewall proizvoda koji obavlja sve bezbjednosne funkcije u isto vrijeme. Veina firewalla takoe obavlja dva podjednako vana bezbjednosna servisa: - ifrovana autentifikacija - Omoguava korisnicima na javnim mreama da dokau svoj identitet firewallu, u cilju spreavanja pristupa privatnim mreama sa spoljnih lokacija.

73

- Virtualno privatno umreavanje (VPN) - Uspostavlja bezbjednu konekciju izmeu dvije privatne mree preko javnog medijuma kao to je Internet. Ovo omoguava korienje Interneta fiziki odvojenim mreama bez zakupljivanja direktnih linija. VPN-i se takoe nazivaju ifrovanim tunelima. Takoe, neki firewalli obezbjeuju dodatne servise kao to su: - Skeniranje virusa Pretrauju se dolazei nizovi podataka u potrazi za virusima. Auriranje servisa liste virusa zahtijeva pretplatu kod proizvoaa firewalla. - Filtriranje prema sadraju - omoguava da se unutranjim korisnicima blokira pristup odreenim tipovima sadraja. Opisaemo detaljnije pet primarnih funkcija koje veina firewalla pokriva: Filtriranje paketa Prvi Internet firewalli su bili jednostavni filteri paketa. Filtriranje paketa i danas ostaje jedna od kljunih funkcija firewalla. Filteri uporeuju mrene protokole (kao to je IP) i pakete transportnih protokola (kao to je TCP) sa pravilima regulisanim u bazi podataka i prosleuju samo one koji potpadaju pod kriterijum specificiranih pravila. Filteri mogu biti implementirani ili u ruterima ili u okviru TCP steka na serveru. Oni koji su implementirani unutar usmjerivaa (ruter) spreavaju da saobraaj sumnjivog porijekla stigne do odredine mree, dok moduli TCP filtera jednostavno spreavaju tu specifinu mainu da odgovara na saobraaj sumnjivog porijekla. Tabela 5.2.1 Filtriranjem Internet konekcije se spreava neeljeni saobraaj Firewall pravila (dozvoljeni portovi) TCP port 80 (Web) TCP port 25 (Mail) TCP port 21 (FTP) Neka od tipinih pravila koja filteri slijede su: - Odbacuju dolazee zahtjeve za konekciju, ali dozvoljavaju zahtjevima za izlaznu konekciju da prou; - Eliminiu TCP pakete upuene na portove koji ne bi trebalo da budu raspoloivi za Internet (kao to je port za NetBIOS sesiju), ali dozvoljavaju prolaz paketima koji bi trebalo da su raspoloivi (kao to je SMTP). Veina filtera moe tano odrediti koji saobraaj ide na odreeni server - na primjer, SMTP saobraaj bi trebalo kroz port 25 da ide samo na IP adresu servera za potu (mail server); - Zabranjuju zahtjev za pristup dolazee konekcije odreenim IP opsezima. Sofisticirani filteri prouavaju sve konekcije koje prolaze kroz njih, pri tom traei izdajnike znake hakerisanja, kao to je navoenje tane putanje puta (source routing), preusmjeravanje ICMP paketa i lairanje IP adresa. Konekcije koje prikazuju ovakve karakteristike bivaju odbaene. Unutranjim klijentima je uglavnom dozvoljeno da kreiraju konekcije ka spoljnim hostovima, a spoljni hostovi su uobiajeno sprijeeni u iniciranju pokuaja konekcije. Kada unutranji host odlui da inicira TCP konekciju, on alje TCP poruku na IP adresu i broj porta javnog servera. U inicirajuoj konekcionoj poruci, TCP kae udaljenom serveru koja mu je IP adresa i na kom portu slua odgovor (na primjer, localhost:2050). Spoljni server tada alje odgovor, transmitujui ga do datog porta gdje ga unutranji host oekuje. Poto firewall provjerava sve podatke koji su razmijenjeni izmeu ta dva hosta, on zna da je konekciju 74

inicirao unutranji host, koji je povezan na svoj unutranji mreni nterfejs, zna IP adresu tog hosta i zna na kom portu oekuje odgovor. Firewall zatim pamti da treba da dozvoli spoljnom hostu, ija se adresa nalazi u konekcionoj poruci, da vrati saobraaj na IP adresu unutranjeg hosta samo na port koji je odreen. Kada uesnici u sesiji zatvore TCP konekciju, firewall brie unose u svojoj tablici stanja (memorija u kojoj se nalazi stanje konekcija) i time prekida mogunost udaljenom hostu da dalje komunicira sa unutranjim. Ukoliko unutranji host prestane da odgovara prije zatvaranja TCP konekcije (na primjer, zbog prekida veze) ili ako protokol koji je u pitanju ne podrava sesije (na primjer, UDP), firewall e ukloniti unos u tablicu stanja konekcije nakon programiranog isteka vremena od nekoliko minuta. Filtriranje ne rjeava u potpunosti problem bezbjednosti na Internetu. Kao prvo, IP adrese raunara u filteru su predstavljene u dolazeem saobraaju, to pojednostavljuje odreivanje tipa i broja Internet hostova u filteru, kao i praenje napada na ove adrese. Filtriranje ne sakriva identitet domaina u filteru. Pored toga, filteri ne mogu provjeriti sve fragmente jedne IP poruke, zasnovane na protokolima vieg nivoa, kao to su TCP zaglavlja, iz razloga to zaglavlje postoji samo u prvom fragmentu. Podijeljeni fragmenti nemaju informacije o zaglavlju i mogu biti uporeeni samo sa IP pravilima, koja uobiajeno dozvoljavaju neto saobraaja kroz filter. Ovo omoguava grekama u odredinim IP stekovima raunara na mrei da se eksploatiu i mogu omoguiti komunikacije sa Trojanskim konjem instaliranim negdje na mrei. Savremeniji firewallovi podravaju povratak fragmentovanih podataka u preanje stanje i nakon toga primjenu firewall pravila na njih. Konano, filteri nijesu dovoljno sloeni za provjeru legitimnosti protokola u okviru paketa mrenog sloja. Na primjer, filteri ne ispituju HTTP pakete, sadrane u TCP paketima, radi utvrivanja da li oni sadre elemente kojima hakeri gaaju web pretraiva ili web server na kraju konekcije. Veina pokuaja modernog hakerisanja zasnovana je na iskoriavanju ovih servisa viih slojeva TCP/IP steka, iz razloga to su firewalli gotovo eliminisali uspeno hakerisanje na mrenom sloju, ako izuzmemo neugodne napade tipa "odbijanje izvrenja servisa" (DoS, denial-of-service). Prevoenje adresa iz mree (Network Address Translation - NAT) Prevoenje adrese iz mree rjeava problem skrivanja unutranjih hostova. NAT je zapravo proxy mrenog sloja: jedan host ini zahtjeve u ime svih unutranjih hostova. Na taj nain on skriva njihov identitet na javnoj mrei. Napomenimo da veina savremenih operativnih sistema obezbeuje ovu funkciju kao dio samog operativnog sistema. NAT skriva adrese unutranjih hostova, konvertujui ih u adresu firewalla. Firewall zatim ponovo alje podatke unutranjih hostova, koristei sopstvenu IP adresu. Korienjem TCP broja porta, uspijeva da prati koje se konekcije na javnom dijelu podudaraju sa hostovima na privatnom dijelu mree. Gledano sa Interneta, sav saobraaj sa lokalne mree izgleda kao da dolazi sa jednog, ekstremno zaposlenog raunara. Prevoenje IP adresa omoguava korienje bilo kog opsega IP adresa na unutranjoj mrei, ak i ako se te adrese ve koriste negdje na Internetu. Takoe, NAT dozvoljava multipleksiranje jedne javne IP adrese kroz cijelu mreu. Proxy servisi NAT rjeava mnoge probleme Internet konekcija, ali ne sprovodi potpunu kontrolu podataka kroz firewall. Mogue je, na primjer, da neko uz pomo mrenog monitora pregleda saobraaj koji dolazi iz firewalla i na osnovu dobijenih informacija zakljui da firewall prevodi adrese drugih maina. Hakeri na ovaj nain mogu dobiti informacije potrebne za otimanje TCP konekcija ili za prolaz kroz firewall lanom konekcijom.

75

Proxy aplikativnog sloja (nivoa) ovo spreava. On omoguava potpunu zabranu protoka podataka protokolima mrenog nivoa, a proputa saobraaj baziran samo protokolima vieg (aplikativnog) nivoa, kao to su HTTP, FTP i SMTP. Proxy aplikativnog sloja je specifino klijentsko-serverska kombinacija za protokol koji se koristi. Na primjer, web proxy je kombinacija web servera i web klijenta. Serverski dio protokola proxya prihvata konekcije klijenata unutranje mree, dok se klijentski dio protokola povezuje na javni server. Kada klijentski dio proxya primi podatke od javnog servera, serverska strana proxy aplikacije alje podatke krajnjem unutranjem klijentu. Slika 5.2.2 prikazuje kako se ovaj proces odvija.

Slika 5.2.2. Funkcionisanje web proxy servera Proxy serveri primaju zahtjeve sa privatne mree i ponovo ih generiu na javnoj mrei. Kada klijent zatiene mree inicira zahtjev prema serveru javne mree, proxy server preuzima taj konekcioni zahtjev i povezuje se na server javne mree u ime klijenta zatiene mree. Oni, takoe, prosljeuju odgovor javnog servera klijentu na unutranjoj mrei. Razlika izmeu NAT i filtera sa jedne strane i aplikativnih proxya (kao to je Microsoft Proxy Server) sa druge strane je u tome to su klijentske aplikacije za Internet (uobiajeno) unaprijed podeene za komunikaciju sa proxyem. Na primjer, unoenje adrese web proxya u Internet Explorer na korisnikom raunaru prouzrokovae da Internet Explorer alje sve zahtjeve tom proxy serveru, umjesto da sam razrjeava adrese i uspostavlja direktne konekcije. Aplikativni proxy ne mora biti pokrenut na firewallu - bilo koji server unutar ili izvan lokalne mree moe imati ulogu proxy servera. Ipak, ukoliko se eli postii dobra bezbjednost mree, trebalo bi da postaviti i firewall i proxy. Mora postojati i neki tip filtriranja podataka zbog zatite proxy servera od napada usmjerenih preko mrenog sloja tipa "denial of service" (kao to je "ping of death"). Ukoliko se proxy ne pokree na firewallu, neophodno je otvoriti kanal kroz taj firewall. Preporuljivo je, ipak, da firewall obavlja i funkciju proxya kako bi se sprijeilo prosleivanje paketa javnog dijela mree u lokalnu mreu.

76

Bezbedniji proxyi su u mogunosti da izvode filtriranje aplikativnog sloja za odreeni saobraaj. Na primjer, neki firewall HTTP proxy trae Java ili ActiveX oznake u HTML stranicama koje ukazuju na ugnjedene aplete i zatim ih uklanjaju. Ovo spreava da aplet bude izvren na klijent kompjuteru i eliminie rizik sluajnog uitavanja Trojanskog konja. Proxyi mogu raditi samo sa specifinim naroitim aplikacijama. Na primjer, moraju se posebno imati proxy softverski moduli za HTTP, FTP, Telnet. Poto ovi protokoli evoluiraju (naroito HTTP), moraju se redovno aurirati odreeni proxy softverski moduli. Virtualne privatne mree (VPN) Virtualne privatne mree, poznate i kao ifrovani tuneli, dozvoljavaju bezbjedno povezivanje dvije fiziki odvojene mree preko Interneta. Podaci koji se razmenjuju na ovaj nain su nevidljivi (ifrovani su) za neovlaene entitete. VPN bi mogao biti predmet raznih neugodnih napada, kao to su pokuaji redirekcije, inicijalizovanje lane konekcije ili bilo koji drugi vid napada dok se uspostavlja tunel. Ali, kada se VPN implementira kao integralni dio firewalla, autentifikacija i servisi za bezbjednost firewalla se mogu iskoristiti da sprijee eksploataciju tunelovanja. Jednom kada su uspostavljeni, VPN tuneli su nepristupani za eksploatisanje sve dok je ifrovanje bezbjedno. Na granicama sa Internetom su smjeteni firewalli sa ciljem da slue kao odline krajnje take za svaki kraj tunela. VPN takoe dozvoljava korisnicima da adresiraju udaljene unutranje hostove direktno po njihovim skrivenim IP adresama; NAT i filteri paketa bi sprijeili ovako neto ukoliko pokuaj konekcije dolazi direktno sa Interneta. Sigurnosni protokola koji se najee koriste u VPN-u su: IPSecurity (IPSec), Pointto-Point Tunneling Protocol (PPTP) i Layer2 Tunneling Protocol (L2TP). ifrovana autentifikacija ifrovana autentifikacija dozvoljava spoljnim korisnicima na Internetu da dokau svoj identitet autorizovanih korisnika firewallu i da tako otvore konekciju kroz taj firewall ka unutranjoj mrei. Za ifrovanu autentifikaciju se moe koristiti bilo koji sigurnosni protokol koji obezbjeuje autentifikaciju (autentikaciju). Kada je veza jednom uspostavljena, ona moe, a i ne mora, biti ifrovana, to zavisi od firewall proizvoda koji se koristi i od toga da li je instaliran dodatni softver na klijentu u cilju da podrava tunelovanje. Korienje ifrovane autentifikacije je pogodno zato to se pojavljuje na transportnom sloju izmeu paketa softvera klijenta i firewalla. Kada je veza otvorena, bez smetnji e raditi sav aplikacioni softver i sistemski softver za prijavljivanje, ime se eliminie potreba za specijalnim softverskim paketima za podrku firewallu. Naalost, ifrovana autentifikacija smanjuje bezbjednost firewalla. Zbog prirode procesa nastaju sljedei problemi: - Firewall mora odgovoriti ukoliko se pokua povezivanje preko nekog porta. Ovo daje hakerima informaciju o postojanju firewalla. - Konekcija se uz pomo ICMP-a moe preusmjeriti nakon to je veza uspostavljena, naroito ako je konekcija neifrovana. - Haker koji nadgleda uspostavljanje veze moe kasnije lairati svoju adresu i zamijeniti je adresom autorizovanog korisnika. Time e dobiti pristup mrei bez redirekcije neke od postojeih veza. - Ukradeni lap-top sa odgovarajuim "kljuevima" u sebi moe se iskoristiti za dobijanje pristupa mrei. - Radnici koji rade kod kue mogu biti meta napada provalnika, jer se sa njihovih kompjutera moe pristupiti mrei. - Sama procedura procesa autentifikacije moe biti poremeena ili manje sigurna, dozvoljavajui svakome na Internetu da otvori rupe na firewallu.

77

Mala je mogunost da se dogodi neki od ovih problema. Administratori okruenja sa srednjim ili malim rizikom ne bi trebalo da imaju probleme sve dok je konekcija ifrovana tokom trajanja.

5.2.5. Osnovne topologije mrene barijere Zadatak firewalla je da osigura mreu od napada, ali tako da obezbijedi javne servise potrebne klijentima mree. Stoga, na izbor topologije za zatitu mree firewallom utiu potrebni nivo bezbjednosti i nivo potrebnih servisa na granici izmeu unutranje mree i Interneta. Za zatitu raunarske mree neke organizacije mogu se koristiti razliite metode, kao to su (u zavisnosti od rizika bezbijednosti, od najnieg ka najviem): 1. Servisi filtriranja paketa 2. Jedan firewall sa unutranjim javnim serverima 3. Jedan firewall sa spoljnim javnim serverima 4. Dvostruki firewalli ili DMZ firewalli 5. Enterprise firewalli 6. Iskljuenje sa mree Veina dobavljaa Internet usluga (ISP) omoguava filtriranje paketa kao dragocjeni dodatak svojim servisima za muterije sa zakupljenim linijama. Neki od dobavljaa nude i proxy i NAT servere, ali postiji opasnost od napada od ostalih muterija koje opsluuje taj ISP. Najjednostavnije kompletno bezbjednosno rjeenje na granicama mree je sa jednim firewallom. Sa njim i sa jednom konekcijom na Internet, centralizuje se taka kontrole. Slika 5.2.3. prikazuje rjeenje bezbjednosti sa jednim graninim firewallom. Problem sa postavljanjem javnih servera (kao to su serveri za potu) izvan firewalla je to su rizini za hakovanje. Ovi raunari se mogu podesiti da ne sadre mnogo korisnih informacija, ali hakerski pokuaji mogu lako prouzrokovati "denial-of-sevice" ili u najmanju ruku modifikovati web stranice. Mogua alternativa prethodnom rjeenju je postavljanje javnih servera unutar firewalla (slika 5.2.4.). Ovdje postoji problem, jer se otvaraju putanje kroz firewall radi konekcije sa spoljne strane mree. Tada postoji mogunost da neodgovarajui paketi dospiju na unutranju mreu ukoliko podsjeaju na pakete kojima je dozvoljen prolaz. To, takoe, znai da haker koji pokuava da eksploatie greku servisa viih nivoa, moe dobiti kontrolu nad raunarom u okviru mree. Iz ovog razloga veliki broj organizacija postavlja javne servere izvan svojih firewalla i jednostovno ne dozvoljava bilo kakve spoljne konekcije kroz firewall.

78

Slika 5.2.3. Primjer firewalla sa javnim serverima otvorenim ka Internetu

Slika 5.2.4. Primjer firewalla sa zatienim javnim serverima i dozvoljenim saobraajem Sa dva nivoa firewall protekcije smanjuje se izlaganje javnih servera riziku. U osnovi, postavlja se jedan firewall na Internet konekciju i tako osigurava web server. To omoguava jaku bezbjednost, a dozvoljava konekcione pokuaje sa Interneta servisima koji se ele pruiti. Izmeu takve mree i unutranje mree, smjeta se drugi firewall sa jaom bezbjednosnom politikom koja jednostavno ne dozvoljana pokuaje sa spoljne strane i skriva identitete unutranjih klijenata. Slika 5.2.5. prikazuje dva nivoa zatite mree sa dva firewalla.

79

Slika 5.2.5. Primjer dva firewalla postavljena tako da tite kompletnu mreu Najvei broj firewall proizvoda dozvoljava upotrebu demilitarizovanih zona koje omoguavaju funkcionalnost posjedovanja dva firewalla tako to sadre razliite bezbjednosne politike za svaki postavljeni interfejs na firewallu. Sa tri postavljena interfejsa -spoljna mrea, unutranja mrea i mrea javnog servera moe se definisati bezbednosna politika da blokira pokuaje konekcije na unutranju mreu, ali da dozvoli pojedine protokole do javnih servera. Ovo omoguava funkcionalnost dva firewalla korienjem samo jednog proizvoda (slika 5.2.6.).

Slika 5.2.6. Primjer DMZ firewalla koji omoguava razliitu bezbjednost za razliite potrebe Pojedine velike organizacije upotrebljavaju tzv. Enterprise firewalle. To su proizvodi koji dijele jednu centralnu firewall politiku na vie firewalla. Enterprise firewalli dozvoljavaju da se zadri centralna kontrola bezbjednosne politike, bez brige o tome da li je politika korektno implementirana na svakom firewallu unutar organizacije. Politika firewalla je obino

80

zasnovana na bezbjednosti radne stanice, a zatim replicirana na svaki firewall u okviru organizacije, koristei neke od metoda bezbjednosne autentifikacije. Najradikalniji oblik zatite mree je diskonekcija sa Interneta tj. kada u organizaciji postoje dvije odvojene mree: unutranja mrea i Internet. Poto ne postoji veza izmeu Interneta i unutranje mree, ovim metodom se dobija potpuna bezbjednost. Javni serveri za web, FTP i potu se nalaze, zajedno sa nekoliko klijenata, na malom mrenom segmentu, povezanom na Internet. Klijentske radne stanice sadre e-mail, news i web pretraivae, ali ne i osetljive podatke. Da bi provjeravali elektronsku potu, pretraivali web ili radili bilo ta drugo na Internetu, zaposleni moraju doi do spoljnih klijentskih radnih stanica.

81