5.

Zatita od raunarskih virusa i napada sa Interneta

5.1. Zatita od virusa
5.1.1. Pojam, istorijat i elementi zatite
Raunarski virusi postoje skoro podjednako dugo kao i raunari, i svake godine
nanose tetu izraenu u bilionima dolara. To su zlonamjerni kompjuterski programi (djelovi
softvera koji se pripajaju pojedinim programima), dizajnirani za brzo irenje i isporuivanje
razliitih vrsta destruktivnog sadraja na inficirane raunare.
Koncept kompjuterskog virusa je izminjen 1949. godine, mnogo ranije nego to su
raunari postali iroko rasprostranjeni. Te godine, Von Nojman je napisao Teoriju i
organizaciju komplikovanog automata. U tom radu, Von Nojman je postavio hipotezu po
kojoj se kompjuterski program moe samoreplicirati (prenijeti sa jednog na drugi raunar)
tako je prorekao dananje somoreplicirajue virusne programe. Ova teorija je zaivjela
pedesetih godina dvatesetog vijeka, kada su programeri razvili igru pod nazivom Core
Wars, u kojoj su dva igraa putala softverske organizme u raunar i posmatrala kako se
njihovi programi bore za kontrolu nad mainom kao i dananji virusi.
U stvarnom ivotu, kompjuterski virusi se javljaju ranih osamdesetih, zajedno sa
pojavom prvih personalnih raunara. Ovi rani virusi su se obino irili izmeu korisnika koji
su razmjenjivali programe i fajlove preko flopi diskova zajedniki flopi je bio savren
medijum za prenoenje virusa.
Kompjuterski virusi su slini biolokim virusima, jer nijesu zasebni entiteti i moraju
koristiti host-a (domaina, a to je neki drugi program ili dokument) kako bi se dalje prenosili.
Mnogi virusi se skrivaju u kodu legitimnih softverskih programa tj. programi bivaju zaraeni.
Kada se host program pokrene, izvrava se i kod virusa, tako da se virus uitava u memoriju
raunara. Odatle, kod virusa moe da dopre do ostalih programa na sistemu i tako ih zarazi
kada pronae program, virus dodaje i svoj kod, a zaraeni program moe prenijeti virus i na
druge raunare. Veina virusa, pored umnoavanja, vri i neke druge operacije, od kojih je
veina destruktivna. Na primjer, virus moe da izbrie odreene fajlove sa raunara, moe da
prepie boot sektor hard diska, tako da disk postane nedostupan, izazove slanje e-mail poruka
itd.
Danas postoji ogroman broj razliitih virusa, a najbolja zatita je peduzimanje
maksimalnih mjera opreza prilikom preuzimanja fajlova sa Interneta i otvaranja e-mail
attachment-a, kreiranje rezervnih kopija svih bitnih podataka, auriranje programa
(preuzimanje i instaliranje zakrpa) i, naravno, upotreba i redovno auriranje nekog od brojnih
antivirusnih programa koji postoje na tritu.
Neki od najeih simptoma zaraenog raunara su:
1. Programi se zavravaju ili zamrzavaju;
2. Dokumenti postaju nedostupni;
3. Raunar se zamrzava ili se ne staruje ispravno;
4. Taster CAPS LOCK presaje da radi ili radi na mahove;
5. Poveana veliina fajlova;
6. Na ekranu se esto javljaju poruke o grekama;
7. Na ekranu se esto javljaju udne poruke ili slike;
8. Raunar emituje udne zvuke;
9. Automatsko slanje pojedinih e-mail poruka na adrese iz adresara, itd.

60

Najee je za oporavak od virusa dovoljno samo pokrenuti odgovarajui antivirusni

program. Meutim, ako je virus izbrisao ili otetio pojedine dokumente, jedino rjeenje je
upotreba rezervnih kopija. U sluaju da je dolo do oteenja pojedinih programskih fajlova
potrebno je njihovo reinstaliranje, a ponekad i reinstaliranje itavog operativnog sistema i
formatiranje hard diska.
5.1.2. Vrste virusa
Ve smo rekli da su raunarski virusi dio softvera koji se kriom spajaju sa
programima, a zatim izvode neto neoekivano. Meutim, postoje i druge vrste programa
kao to su Trojanci ili crvi koji nanose slinu tetu, ali se ne ugrauju u programski kod. Ti
programi tehniki nijesu virusi, ali predstavljaju istu opasnost za kompjuterske sisteme. Zato
se svi ti programi virusi i ne-virusi obino zajedno svrstavaju u istu grupu i u optem
govoru se nazivaju virusi (pojedini strunjaci ih nazivaju i malware - skraenica od
malicious software).
Svi zlonamjerni programi ne funkcioniu na isti nain, a pogaaju razliite djelove
raunarskog sistema. Zato je za uspjenu zatitu dobro znati poneto o svim vrstama virusa.
Virusi koji inficiraju fajlove Tradicionalni oblik raunarskog virusa je infektor fajla koji se
skriva u kodu drugog programa. Oni su prije pojave Interneta i makro virusa bili uzronici
skoro 85% svih infekcija. Zaraeni program moe da bude poslovna aplikacija, pomoni
program ili ak i igra bitno je samo da program bude izvran, obino sa ekstenzijom EXE,
COM, SYS, BAT ili PIF. Kada se zaraeni program pokrene, kod virusa se uitava u
sistemsku memoriju, obino prije nego to se uita kod programa. Virus tada trai druge
fajlove koje moe da zarazi i umee se u njih, a takoe isporuuje svoj sadraj u skladu sa
nainom na koji je programiran. Potom vraa kontrolu host programu koji zavrava uitavanje
i prikazuje se na ekranu. Slika 5.1.1. ilustruje ovaj proces.
Korisnik pokree aplikaciju
Kod virusa je uitan u sistemsku memoriju
Virus ubacuje svoj kod u druge fajlove
Virus isporuuje svoj sadraj (ako je
predvieno da se sadraj isporuuje prilikom
prvog pokretanja virusa).
Kod host programa je uitan u sistemsku
memoriju
Kontrola je vraena na host program
Slika 5.1.1. Nain funkcionisanja virusa koji inficiraju fajlove
U zavisnosti od naina na koji inficiraju fajlove, virusi fajlova mogu se podijeliti u
nekoliko kategorija:

61

1) Parazitni virusi mijenjaju sadraj inficiranih fajlova, ali tako da ti fajlovi i dalje
ostanu kompletno ili djelimino upotrebljivi (programi i dalje relativno normalno
funkcioniu). U veini sluajeva, originalni kod se pomjera navie ili nanie kako
bi se napravio prostor za kod virusa;
2) Virusi koji prepisuju sadraj fajla prepisuju originalni programski kod svojim
kodom. Na taj nain unitavaju originalni programski kod i program vie na moe
da funkcionie;
3) Virusi sa neprimijetnom ulaznom takom (EPO Entry-Point Obscuring) umeu
u program samo kod koji pokree kod virusa. Instrukcija koja pokree kod virusa
obino se izvrava pod specifinim programskim uslovima, tako da virus moe
due vremena ostati neaktivan.
4) Pratei virusi kreiraju klon host fajla koji se zatim pokree umjesto originalnog
fajla (npr. kod DOS operativnog sistema formira se COM fajl koji se pokree
umjesto originalnog EXE fajla). Ovi virusi mogu da preimenuju ciljni fajl, a
originalni naziv da dodijele zaraenom klonu ili da promijene DOS putanju tako
da vodi do zaraenog fajla;
5) Crvi fajlova ne povezuju se na postojei fajl, ve kopiraju svoj kod u novi fajl,
obino mu dajui specifino ime (setup.exe, install.exe), tako da ga korisnik
raunara grekom moe aktivirati. Ponekad ubacuju i kodove za pokretanje
zaraenog fajla (npr. u BAT fajlove ili u Windows Startup);
6) Link virusi ne mijenjaju fiziki sadraj host fajla, ve kada se on pokrene
primoravaju operativni sistem da pokrene i kod virusa. To se postie
modifikovanjem prvog klastera host fajla, tako da ukazuje na klaster koji sadri
kod virusa.
Virusi koji inficiraju fajlove mogu, takoe, biti statiki ili polimorfni. Statiki virusi se
nikada ne mijenjaju tj. kod virusa ostaje isti kroz sve infekcije. Polimorfni virus se moe
mijenjati prilikom prelaska sa jednog sistema na drugi, tako da ga je teko otkriti. Takoe,
virusi mogu kombinovati infekciju fajlova zajedno sa infekcijom boot sektora.
Najlaki nain za detektovanje virusa koji inficiraju fajlove je praenje veliine
fajlova. Antivirsni programi takoe posjeduju i druge naine za identifikovanje ovih virusa.
Oni mogu pretraivati izvorni kod kako bi pronali tekst koji upisuju uobiajeni virusi.
Takoe, mogu nadgledati pristup izvrnim fajlovima koji su obino read-only, tako da upis u
bilo koji od ovih fajlova predstavlja sumnjivo ponaanje.
Virusi koji inficiraju boot sektor Smjeteni su na dijelu diska koji se uitava u memoriju
prilikom podizanja sistema (na flopi disku to je boot sektor, a za hard disk ekvivalentna oblast
poznata kao Master Boot Record - MBR). Kada se jednom uita, virus moe da zarazi druge
diskove koje raunar koristi. Ovi virusi mogu biti izuzetno destruktivni ako otete ili prepiu
boot sektor hard diska, mogu da sprijee kompletno startovanje raunara, a mogu i da unite
odreene ili sve podatke sa hard diska. Oni su bili naroito aktuelni u vrijeme masovnog
korienja flopi diskova, kada se virus prenosio sa flopi diska na hard disk (i obratno) i tako
se irio. Danas je ei sluaj tzv. hibridnog virusa koji sadri komponentu za inficiranje boot
sektora zajedno sa infektorom fajla, Trojancem ili kodom crva.
U optem sluaju, virusi boot sektora se lako identifikuju i uklanjaju. Tipini virus
boot sektora usporava boot rutinu i esto prikazuje neuobiajene poruke na ekranu raunara.
Antivirusni programi pronalaze ove viruse skeniranjem boot sektora. Veina virusa ima
identifikujui tekst koji se inae ne nalazi u boot sektoru (odnosno MBR kodu). Na pojavu
infekcije, takoe, ukazuje i promjena veliine MBR koda, jer prisutstvo virusa utie na

62

poveanje njegove veliine (standardni MBR kod zauzima manje od polovine sektora na hard
disku, a veina virusa je znatno vea).
Makro virusi To su virusi kreirani pomou makro jezika kojeg koriste brojne softverske
aplikacije. Makroi su manji programi koji se kreiraju za visoko specifine zadatke u okviru
aplikacije i napisani su pseudo programskim jezikom dizajniranim za rad sa aplikacijom (npr.
Visual Basic for Applications (VBA) koji se koristi u Microsoft-ovim aplikacijama). Makro
virusi se ne aktiviraju otvaranjem aplikacije, ve tek nakon otvaranja zaraenog dokumenta
(npr. otvaranjem zaraenog Word fajla). Da bi se to postiglo veina ovih virusa koristi makroe
koji se automatski izvravaju svaki put kada se dokument otvori (ili nakon specifine akcije
programa), bez traenja dozvole ili akcije korisnika. Makro virus tada moe da brie tekst,
preimenuje ili brie fajlove i sl. Veina ovih virusa se kopira na standardni templejt (default
tamplate) aplikacije (npr. u Microsoft Word-u to je templejt Normal, pod nazivom
normal.dot), tako da svi novokreirani dokumenti bivaju zaraeni. Slika 5.1.2. prikazuje tipini
makro virus nakon uitavanja i izvrenja.
Dokument je otvoren (u okviru aplikacije)
Dokument uitava makroe
Izvravaju se makroi koji se automatski
pokreu
Virus je pokrenut kao auto-run makro i
uitava se u sistemsku memoriju
Virus kopira svoje makroe u standardni
templejt (ablon) aplikacije
Virus isporuuje svoj sadraj
Slika 5.1.2. Nain na koji makro virus inficira sistem.
Prisustvo makro virusa obino moe da se otkrije na osnovu neuobiajenog ponaanja
host aplikacije. Jedan od naina za pronalaenje makro virusa jeste otvaranje liste makroa u
aplikacionom softveru (u zaraenom dokumentu pojavljuju se nepoznati makroi). Takoe,
makro virusi mogu izazvati promjenu standardnih (default) postavki u programu.
Najbolja zatita od makro virusa jeste kombinacija bezbjednog ponaanja
(neprihvatanje neeljenih dokumenata), antivirusnog softvera i konfigurisanje aplikacija tako
da se pojavljuju upozorenja prije aktiviranje makroa.
Skript virusi Ovi virusi su zasnovani na skript jezicima (Visual Basic Script VBS,
JavaScript i dr.), koji lie na makro pseudo-programske jezike, a koji se koriste na Web
sajtovima i nekim kompjuterskim aplikacijama. Oni se esto izvravaju automatski sa
otvaranjem Web stranice ili HTML e-maila. Napomenimo da se makro virusi mogu svrstati u
grupu skript virusa, ali je nain njihovog distribuiranja (preko dokumenata) drugaiji od

63

ostalih skript virusa (preko zaraenih Web stranica, e-mail poruka, fajlova pripojenih e-mail
porukama i Internet Relay Chat IRC sesija).
Standardni metodi zatite od virusa mogu efikasno da zatite sistem i od infekcija
skript virusa. Mogua mjera je, takoe, konfigurisati Web browser i program za e-mail tako
da automatski ne izvravaju veinu uobiajenih ugraenih skriptova.
Trojanci i crvi Trojanac je program koji tvrdi da radi jednu, a ustvari radi sasvim drugu
stvar. Isporuuje svoj sadraj kroz obmanu, ba poput mitolokog trojanskog konja. Najee
se isporuuju kroz attachment-e uz e-mail poruke. Otvaranjem attach fajla isporuuju svoj
sadraj i nanose tetu sistemu. Maskiraju se u praktino sve tipove fajlova (aplikacije,
dokumente, slike, antivirusne alatke, itd.). Razlikuju se od klasinih virusa po tome to se ne
mogu replicirati (tj. kopirati). Posebnu opasnost ine tzv. backdoor Trojanci koji,
neovlatenim korisnicima, omoguavaju daljinski pristup inficiranom sistemu.
Crv je kompjuterski program koji se kopira sa jedne maine na drugu, obino bez
eksplicitne akcije korisnika. ire se preko mree (automatskim slanjem e-mail, IRC ili instant
poruka). Isporuuju destruktivne sadraje ili samo zaguuju mreu samopropagiranjem.
Najskriveniji su tzv. mreni crvi. Najee koriste propuste u Web serverima i browserima.
Dok funkcioniu, ovi programi postoje samo u sistemskoj memoriji tako da ih je tee
identifikovati od pomenutih crva fajlova. Crvi skeniraju mreu kompanije ili Internet, traei
drugi raunar sa specifinim propustom po pitanju zatite. Brzo se repliciraju, a mrea
zaraena crvom moe da se obori za nekoliko sati.
5.1.3. Osnovni principi rada antivirusnih programa
Veina antivirusnih programa ima sline funkcionalne karakteristike. Oni najee
omoguavaju: runo skeniranje, skeniranje u realnom vremenu (dinamiko nadgledanje
sistema), skeniranje e-maila, uitanih fajlova, skriptova i makroa. Pored mogunosti za
pronalaenje poznatih virusa (skeniranjem potpisa), obino imaju mogunost detekcije i
nepoznatih virusa (najee primjenjuju heuristiko skeniranje). Opisaemo ukratko ove
tehnike.
Skeniranje potpisa Primarni metod detektovanja poznatih virusa kojeg koriste antivirusni
programi naziva se skeniranje potpisa. Ovaj metod provjerava da li u sadraju skeniranog
fajla postoje unaprijed definisane jedinstvene sekvence binarnih kodova poznatih virusa (slika
5.1.3.). Kodovi poznatih virusa se nalaze u bazi podataka antivirusnog programa. U sluaju
podudarnosti, program oznaava fajl kao inficiran i preduzima odgovarajuu akciju.
Definicije virusa
Virus A: 01 02 03 04
Virus B: 11 12 13 14
Virus C: 21 22 23 24
Virus D: 31 32 33 34
Virus E: 41 42 43 44
Virus F: 51 52 53 54

Skener potpisa

Inficirani fajl
A2 B7 D5 E9
54 A6 B2 55
00 11 33 55
31 32 33 34
00 00 FF 0F
00 22 99 FF

Podudarnost

Slika 5.1.3. Identifikacija poznatog virusa skeniranjem potpisa.

Danas postoje virusi kod kojih kod mutira prilikom repliciranja, dok neke mutacije
bivaju i kriptovane. Na taj nain, javlja se potreba da fajlovi sa potipisima (fajlovi u kojima se
nalaze definicije virusa) antivirusnih programa ukljuuju i odgovarajue algoritme za

64

dekriptovanje. Situacija se dodatno komplikuje sa pojavom tzv. polimorfnih virusa koji

generiu sluajne rutine za enkripciju.
Provjera integriteta Alternativa skeniranju potpisa jeste provjera integriteta. Ova starija
tehnika je relativno jednostavna, jer se trae samo promjene u veliini individualnih fajlova.
Fajlovi na hard disku se skeniraju i registruju se njihove veliine. Saki sljedei put kada se
pokrene provjera integriteta vri se uporeivanje veliine fajlova sa prethodno memorisanim
veliinama i, u sluaju razlike, program ukazuje na moguu infekciju. Ova metoda je dobra za
testiranje fajlova koji imaju fiksnu veliinu (npr. izvrni fajlovi), ali je beskorisna u sluaju
fajlova ija se veliina esto mijenja (npr. dokumenti). Drugim rijeima, provjera integriteta
moe biti korisna za odbranu od virusa koji inficiraju fajlove, ali ne za odbranu od makro i
skript virusa.
Heuristiko skeniranje Heuristiko skeniranje je jedna od najee korienih alternativa
skeniranju potpisa. Ova vrsta skeniranja ne trai viruse, ve ponaanje karakteristino za
viruse. Drugim rijeima, heuristiki skener ne zavisi od specifinih potpisa virusa, ve trai
opte kodne sekvence koje se obino pronalaze samo u kodovima virusa, a ne i u legitimnim
programima. Na primjer, ako heuristiki skener pronae da dio koda u programu pokuava da
promijeni Windows Registry, program se oznaava kao mogui virus. Na ovaj nain mogue
je otkriti i nepoznate viruse tj. one za koje ne postoji definicija (registrovani potpis).
Postoji nekoliko razliitih naina za implemetaciju heuristikog skeniranja. Oni
obino daju sline rezultate, a razliiti antivirusni programi najee, pored standadrnog
skeniranja potpisa, koriste neki od njih. To su:
1) Filtriranje sadraja Ovo je jedan od najtradicionalnijih metoda za heuristiko
skeniranje. Filtar sadraja uporeuje osnovni kod svih dolazeih programa sa
ugraenom bazom pravila. Antivirusni softver, ustvari, trai samo ono to podsjea
na kod virusa zaduen za neku sumnjivu akciju. Na primjer, ako pronae
programski kod zaduen za brisanje EXE fajla, generie poruku o moguoj
infekciji.
2) Sandboxing Sandboxing je interesantan pristup skeniranju virusa po tome to
dozvoljava pokretanje dolazeeg programa unutar virtuelnog sandbox-a (eng.
ograeni prostor sa pijeskom ustvari zatieno okruenje unutar koga se
program moe pokrenuti bez bojazni od oteenja ostalog dijela sistema). Sandbox
simulira operativno okruenje raunara (virtuelni raunar), a sandboxing softver
trai specifine aktivnosti pokrenutog programa. Ako se pojave takve aktivnosti
(pokuaj brisanja fajlova, modifikovanje postavki operativnog sistema, editovanje
Registry-a, itd.), softver daje upozorenje o fajlu koji potencijalno sadri virus.
3) Analiza ponaanja Analizom ponaanja se ne provjeravaju programski kodovi,
ve se prati ponaanje cjelokupnog sistema. U zavisnosti od toga kako sistem
reaguje na specifini program, softver za analizu ponaanja moe da utvrdi da li je
u toku napad virusa ili hakera. Softver se, dakle, izvrava u pozadini, prati rad
sistema i reaguje na svako odstupanje od standardnih operativnih procedura. U
sluaju da neka operacija (komanda) ne zadovoljava heuristiki test, ona biva
blokirana, a sistem i dalje nastavlja da funkcionie.
Nedostatak heuristikog naina skeniranja je esto generisanje pogrenih upozorenja.
Takoe, veliki broj virusa se ne moe na ovaj nain registrovati, jer se njihovi kodovi ne
uklapaju u heuristike profile.

65

5.2. Zatita od napada sa Interneta

Infekcija virusima nije jedini nain na koji raunar ili raunarska mrea mogu biti
napadnuti. Zlonamjerni pojedinci mogu direktno izvriti napad, pristupajui sistemu preko
neke vrste zadnjih vrata (backdoor), a zatim mogu krasti znaajne podatke, brisati fajlove ili
iskoristiti osvojeni raunar za napade na druge raunare, mree ili Web sajtove. Posebno
zlonamjerni napadai mogu da preplave sistem sa zahtjevima za podacima i e-mail porukama
i toliko opterete sistem da ga na kraju obore ili iskljue sa veze. Napadai najee koriste
lako upotrebljive hakerske i krekerske alatke koje se na jednostavan nain mogu pronai na
Internetu.
5.2.1. Priprema napada
Prije nego to otpone napad zlonamjerni haker najee izvodi pripremne aktivnosti,
a to su: snimanje, skeniranje i popisivanje sistema.
Snimanje sistema ili oznaavanje mete sastoji se u prikupljanju to vie podataka o
cilju kako bi se izveo usredsreen i precizan napad koji nee biti lako otkriven. Zbog toga e
napada sakupiti sva mogua obavjetenja o svim aspektima sistema bezbjednosti raunara
odreene organizacije. Sluei se razliitim alatkama i tehnikama, napadai mogu npr. otkriti
imena domena, specifine IP adrese sistema, mehanizme upravljanja pristupom i
odgovarajue liste za kontrolu pristupanja, sisteme za detekciju upada, sistemske podatke,
vrstu sistema za daljinski pristup, brojeve telefona i dr.
Ako snimanje sistema uporedimo sa otkrivanjem mjesta na kome se informacije
nalaze, skeniranje moemo da shvatimo kao kuckanje po zidovima da bi se utvrdilo gdje se
nalaze vrata i prozori. Na primjer, ne moraju sve otkrivene IP adrese u procesu snimanja biti
dostupne sa Interneta. Cilj skeniranja je mapiranje mree kako bi se utvrdili aktivni sistemi
dostupni sa Interneta, kao i da li se i preko kojih prikljuaka oslukuju. Najee tahnike su:
automatsko skeniranje mree signalom ping, skeniranje prikljuaka i korienje alatki za
automatsko otkrivanje.
Uz pretpostavku da poetno prikupljanje podataka o cilju i neupadljivo sondiranje nije
otkrilo nain za lako osvajanje sistema napada se neminovno okree otkrivanju vaeih
korisnikih naloga ili slabo zatienih dijeljenih resursa. Ima mnogo naina da se iz sistema
izvue vaei nalog, da se ulove imena resursa koja se izvoze iz sistema, a taj proces jednim
imenom moemo nazvati popisivanje. Popisivanje, meutim, podrazumijeva aktivne veze sa
sistemima i usmjereno pretraivanje, tako da ono moe biti zabiljeeno ili na drugi nain
zapaeno. Ako se potom ne preduzmu odgovarajue protivmjere (spreavanje pukotina kroz
koje cure informacije) napada npr. vremenom moe, nakon pronalaenja vaeeg
korisnikog imena ili diljenog resursa, probiti odgovarajuu lozinku ili otkriti rupe u
protokolu za dijeljenje resursa.
Nakon uspjeno obavljenih pripremnih aktivnosti napada odabira najranjiviji dio
mree kako bi izvrio eljene aktivnosti. Ukratko, osnovni koraci napada su:
Izabiranje mete;

66

Oznaavanje mete (snimanje sistema) identifikacija IP adresa, naziva servera,

brojeva telefona, personalnih kljueva i drugih informacija koje mogu biti korisne za
infiltriranje u sistem;
Skeniranje i mapiranje ciljne mree kako bi se identifikovali sistemi i ureaji;
Identifikacija ranjivih servisa i sistemskih resursa;
Izabiranje dijela mree, obino jednog raunara, koji je posebno ranjiv;
Prouavanje ranjivosti;
Preuzimanje kontrole nad sistemom i izvrenje eljene aktivnosti.

5.2.2. Vrste napada

Napadi mogu biti izvedeni izuzetno jednostavnom tehnologijom (npr. lano
predstavljanje slubenika kompanije u telefonskom razgovoru) ili korienjem visoke
tehnologije (npr. prebacivanje adrese web sajta na drugi server). Spomenuemo neke od vrsta
napada:
- Napadi koji koriste ljudski kontakt (Social Engineering Attacks) Ovi napadi imaju
vie oblika, a koriste ljudsku kontakt kako bi im se, lanim predstavljanjem, obmanama i
prevarama, omoguio pristup ili otkrili pojedini podaci. Komuniciranje se moe obavljati
putem e-mail-a, IRC-a (Internet Relaz Chat) ili telefona.
- Napadi imitiranjem Dok se napad koji koristi kontakt meu ljudima bavi prevarom ljudi,
napad imitiranjem bavi se prevarom kompjutera. Do ove vrste napada dolazi kada napada
ukrade prava pristupa od autorizovanog korisnika. Napada tada moe da podesi svoj
kompjuter da imitira drugi, autorizovani kompjuter, i dobije pristup inae zatvorenim
sistemima. Sigurnosni sistem prepoznaje napadaa kao korisnika ija je lozinka ukradena,
tako da se ovaj, nakon to poini tetu, moe bez bojazni odjaviti.
Za otkirvanje korisnikih imena i lozinki najee se koriste tzv. snifer programi.
Sniferi (sniffers - njukala) oslukuju saobraaj na mrei i ispituju ta se tano kree mreom.
Oni ne samo da nadgledaju saobraaj ve i preuzimaju neifrovane komunikacije (npr. lozinke
poslate u obliku obinog teksta). Na primjer, korisnici koji alju informacije neobezbijeenim
web sajtovima podloni su snifer kraama (obezbijeeni web sajtovi uglavnom spreavaju
snifere).
- Napadi korienjem povjerenja u gostujue kompjutere (Transitive Trust Attacks)
Ova vrsta napada iskoriava povjerenje u odnos host-to-host ili network-to-network. To
povjerenje obino omoguava kompjuterima izvan konkretne mree da joj pristupe kao da su
dio te mree bez uobiajenih lozinki i protokola potrebnih za udaljeni pristup. Na primjer,
adiministrator mree moe da napravi bazu podataka provjerenih kompjutera (obino drugih
servera u velikoj kompaniji), tako da se korisnici sa tih kompjutera mogu prijaviti bez unosa
lozinke. Ako napada moe preurediti tu listu i ubaciti svoj kompjuter, onda moe pristupiti
mrei bez ikakve lozinke. Ipak, najei sluaj napada je kada napada uspije da pristupi
nekom od administratorskih naloga i dobije slobodan pristup sistemu.
- Eksploatisanje slabosti Kada jednom nae rupu u obezbjeenju haker moe koristiti
bagove ili rupe u programu (npr. nekom MS Office programu, Internet explorer-u i dr.) ili
operativnom sistemu (npr. Windows-u), kako bi napravio odgovarajuu tetu. Na primjer, ova

67

vrsta napada esto koristi programerski bag nazvan prekoraenje bafera. Kada se bafer
napadnutog programa prepuni podacima (zahvaljujui napadau), originalni kod programa se
izbacuje i ubacuje se drugi kod. Na ovaj nain se u sutini reprogramira program,
omoguavajui napadau da aktivira svoj kod.
- Infrastrukturni napadi (Infrastructure Attacks) Infrastrukturni napad koristi slabosti u
tehnikom protokolu ili odreenoj infrastrukturi. Podsjea na napad eksploatisanja slabosti
programa, izuzev to je raireniji obuhvata cio sistem. Postoji vie vrsta infrastrukturnih
napada, a neki od njih su:
DNS prevara (DNS spoofing) Odvija se kada napada otme DNS (Domain Name
System) ime koje odgovara IP adresi nekog kompjutera ili Web servera. Napada
iskopira DNS ime na IP adresu svog kompjutera. Tada, korienjem napada povjerenje
u gostujue kompjutere, eventualno moe pristupiti i drugim serverima i mreama.
FTP odbijanje (FTP bouncing) U ovom sluaju pronalazi se pogodan FTP server koji
se koristi za slanje e-maila drugim kompjuterima i na taj nain se skriva izvor bilo kog
napada e-mailom.
ICMP bombardovanje (ICMP bombing) Protokol za kontrolu internet poruka (ICMP
Internet Control Message Protocol) koristi se od strane Internet usmjerivaa (rutera)
za obavjetenje host kompjutera da je odreena destinacija nedostupna. Napada alje
mnotvo lanih ICMP poruka kako bi izbacio host kompjuter sa Interneta.
Preusmjeravanje saobraaja ka izvoru (Source Routing) Ovo je sofisticiran napad
koji koristi ICMP bombardovanje i DNS prevaru kao korake ka veem napadu. Napad
poinje ICMP bombardovanjem provjerenog host kompjutera u ciljanoj mrei, kako bi
se on izbacio sa Interneta. Napada potom zauzima njegovo mjesto podeavanjem
svoje adrese na adresu bombardovanog kompjutera. Host kompjuter mree koja je
krajnji cilj napada sada gleda na sve komunikacije koje dolaze sa napadaevog
kompjutera kao da dolaze sa host kompjutera.
Trka za autentikacijom (Racing authentication) U ovoj vrsti napada napada se
prijavljuje na mreu u isto vrijeme kad i registrovani korisnik. On koristi isto
korisniko ime kao i registrovani korisnik i eka dok on ne unese sve osim posljednjeg
znaka svoje lozinke. Tada napada nasumice unosi posljednji znak i, ako pogodi,
pristupa ciljanoj mrei, dok je registrovani korisnik iskljuen.
Pogaanje TCP niza (TCP sequence quessing) Ova vrsta napada omoguava da se
napadaevi podaci infiltriraju u ciljanu mreu. Tehnika je bazirana na injenici da su
konekcije preko Interneta oznaene brojevima u polunasuminom nizu koji raste.
Napada presretne trenutnu konekciju ka ciljanom kompjuteru i (koristei
odgovarajui program) pogaa broj narednog mogueg niza. U sluaju da pogodi,
stvara se nova konekcija ka ciljanom kompjuteru i tada se mogu emitovati loi podaci
i intrukcije.
TCP upad (TCP Splicing) Napada se pozicionira negdje u mrei na putanji izmeu
dva kompjutera i eka da se legitmna konekcija uspostavi izmeu njih. Jednom kada je
konekcija uspostavljena napada upada u nju, otima tok podataka i postaje jedan od
korisnika.
Korienje slabosti beine mree Ako kompanija koristi mree zasnovane na WiFi
beinom protokolu, a nije ukljuila opciju za ifrovanje (WEP Wired Equivalent
Privacy), napada moe na relativno lak nain pristupiti mrei (npr. korienjem
laptopa i antene u blizini poslovnih objekata).

68

- Napadi uskraivanja usluga (Denial-of-service) Denail-of-service (DoS) napad zatrpava

kompjuter ili mreu podacima ili porukama, u sutini preoptereujui sistem i
onemoguavajui njegovo korienje. Ovo je vjerovatno trenutno najraireniji oblik napada
preko Interneta. Postoji puno naina da se zapone DoS napad, ukljuujui:
Korienje ICMP bombardovanja da bi se ruter izbacio sa Interneta;
Korienje bombardovanja e-mailom da bi se preopteretio ciljani e-mail server;
Zatrpavanje ciljanog kompjutera nepotrebnim podacima da bi se preopteretio propusni
opseg;
Stalno pingovanje ciljanog kompjutera da bi se preopteretio njegov propusni opseg,
kao u ICMP napadu.
Veina DoS napadaa koristi mnogobrojne kompjutere kontrolisane na daljinu
(zombije) da bi to vie preopteretili ciljani kompjuter. DoS napad velikih razmjera tehniki
nazvan distribuisani DoS napad moe koristiti hiljade zombi kompjutera, gdje svi zajedno
simultano opteruju metu beskorisnim podacima.
- Otmica kompjutera (Session Hijacking) Ova vrsta napada ne ugraava kompjuter koji
napada uspije da daljisnki kontrolie, ve ga zapravo koristi da bi se napao drugi kompjuter.
Osvojeni raunar se najee koristi prilikom DoS napada, ali moe se iskoristiti za
sprovoenje nekog drugog oblika napada preko Interneta. On predstavlja samo zombi koji
izvrava napadaeve komande i skriva njegov stvarni identitet.
Veina ovih napada postie se instalacijom primljenog fajla (npr. fajla poslatog putem
e-maila), najee Trojanca, na zombi kompjuteru. Napomenimo da otmicu kompjutera esto
prati i upotreba keylogger programa. Ovi programi tajno pamte sve to korisnik unosi u
raunar (preko tastature) i alju informacije napadau koji moe, na taj nain, otkriti
korisnikovu lozinku ili pojedine line podatke.
Pored pomenutih vrsta napada, u napade preko Interneta moemo ubrojiti i krau
privatnosti pojedinaca, slanje neeljenih e-mail poruka (spam-ova), kao i upade sa Weba tipa
iskauih reklama (pop-ups) i nepoeljnih oglasa. Napomenimo da se kraa privatnosti
najee ostvaruje pomou pijunskih programa (spajvera, spy - pijun) koji prate neije
aktivnosti na raunaru, a snimljene podatke u obliku dnevnika alju kompaniji autoru
spajvera; ili instaliranjem kolaia (Cookie) malih fajlova koje postavljaju pojedini Web
sajtovi na raunar korisnika prilikom njegove posjete sajtu, a koji prikupljaju informacije o
njemu i njegovim aktivnostima na Webu (npr. korisniko ime, lozinka, podaci o kreditnoj
kartici i sl).
Veina indivudualnih korisnika raunara izloena je relativno malom riziku od napada
sa Interneta. Rizik od napada smanjuje se korienjem jakih lozinki, korienjem ifrovanja,
iskljuivanjem Windows opcije file sharing, auriranjem programa i operativnog sistema uz
pomo najnovijih bezbjednosnih zakrpa, instaliranjem zatitne barijere (engl. firewall
vatreni zid postoji veliki broj ovakvih programa, a postoji ak i ugraen npr. u Windows
XP-u), pravljenjem rezervnih kopija najvanijih podataka i dr.
Da bi se raunarska mrea zatitila od napada mora se sprovesti vei broj sigurnosnih
mjera. Ove mjere mogu obuhvatati korienje zatitne barijere (kao softver, kao hardver ili i
jedno i drugo), proxy servera, demilitarizovane zone, e-mail mrenog prolaza i sistema za
detektovanja napada.

69

5.2.3. Zatita raunarskih mrea

Nijedna mrea, ma kako obezbijeena, nije u potpunosti sigurna, ali to je vie truda
potrebno da uloi potencijalni napada da bi ugrozio mreu, to je sigurnost vea. Zato je klju
za odbranu jedne mree stvaranje to vie prepreka potencijalnom napadau. Ovaj koncept
viestrukih odbrana naziva se Layered Security Architecture (LSA), a podrazumijeva
upotrebu nekoliko razliitih slojeva softvera i hardvera u cilju zatite vanih resursa na mrei.
Tu spadaju (slika 5.2.1.):
Firewall program
Firewall hardver
Proxy server
Demilitarizovana zona (DMZ)
E-mail mreni prolaz (gateway)
Sistem za detekciju napada (IDS - Intrusion Detection System)

Slika 5.2.1. Opta konfiguracija zatiene mree

Firewall (vatreni zid, zatitna barijera) Firewall-i se koriste za kreiranje kontrolnih taaka
bezbjednosti (chekpoints), na granicama privatnih mrea. Na ovim kontrolnim takama
firewall-i ispituju sve pakete koji prolaze izmeu privatne mree i Interneta, u zavisnosti od
toga da li odgovaraju pravilima politike programirane na firewallu. Ako je firewall propisno
konfigurisan, u mogunosti je da ispita svaki protokol kome je dozvoljen prolaz. Na taj nain,

70

on spreava neautorizovani saobraaj sa Interneta da dopre do unutranjosti mree, ime se

spreavaju potencijalni napadi i prije nego to dopru do korisnika mree.
Zatitna barijera se, u sluaju manjih mrea, realizuje softverski ili hardverski u vidu
rutera (usmjerivaa) koji posjeduje firewall opciju. Za vee mree, firewall je izuzetno sloen
i skup, a zahtijeva odlino poznavanje teorije i administracije mree da bi bio pravilno
instaliran i konfigurisan.
Poxy serveri Proxy server predstavlja takozvanu bafer zonu izmeu Interneta i individualnih
korisnika lokalne mree. Kada se on koristi, raunari iz lokalne mree ne pristupaju Internetu
direktno, ve pristupaju web stranama posredno preko proxy servera. Proxy server je kao
vatreni zid, poto se on nalazi izmeu lokalne mree i Interneta. Meutim, on prevazilazi
obinu zatitu vatrenog zida sa svojom opcijom keiranja web stranica (za razliku od proxy
servera, vatreni zid generalno ne prihvata zahtjeve korisnika). Proxy serveri esto zamjenjuju
firewall, a mnogi firewalli obavljaju i funkciju proxya.
Demilitarizovana zona Demilitarizovana zona (DMZ - demilitarized zone) je dio mree koji
ne pripada ni lokalnoj mrei niti je dio spoljne mree (Interneta). Nju je poeljno instalirati u
sluajevima kada postoje udaljeni korisnici koji pristupaju podacima na javnim serverima
(npr. web serveru, e-mail serveru, itd.). Janvni serveri se tada smjetaju unutar
demilitarizovane zone. U tom sluaju, izmeu lokalne mree i javnih servera nalazi se sloj
zatitne barijere, ime se poveava bezbijednost unutranjeg dijela mree. DMZ se moe
kreirati postavljanjem dvostrukog firewall-a (unutar dva firewalla je DMZ), a takoe postoje i
DMZ firewall-i koji prave trostruki interfejs (jedan ka Internetu, drugi ka DMZ, trei ka
lokalnoj mrei)
E-mail mreni prolaz (e-mail gateway) E-mail mreni prolaz je poput proxy servera za email. U svom najjednostavnijem obliku, mreni prolaz funkcionie kao e-mail server, bavei
se uvanjem e-mailova ili rutingom. Pored toga, e-mail mreni prolaz obuhvata veliki broj
sigurnosnih funkcija, ukljuujui skeniranje na viruse, uklanjanje fajlova povezanih sa emailovima, filtriranje sadraja, blokiranje nepoeljnih poruka i spreavanje napada. Svi
poslati mailovi prolaze kroz filter mrenog prolaza i sve dolazee poruke se zaustavljaju u
prolazu i tu obrauju.
Sistemi za detektovanje upada u mreu U sutini, sistem za otkrivanje napada stalno
nadgleda razne resurse sistema i aktivnosti, traei znake da je dolo do spoljanjeg napada ili
upada u sistem. Verzija ovog programa posveena mrei zove se NIDS (Network intrusion
detection system) i ona upozorava na svaki upad u mreu. Kod velikih mrea, instaliranje
NIDS programa je obavezno. Ovi sistemi, da bi sprijeili neautorizovano korienje resursa
na mrei ili zlonamjerno korienje od strane autorizovanih korisnika koji su prekoraili svoja
ovlaenja, detektuju prestupe IP protokola, IP skeniranje, napade na lozinke i druge neobine
aktivnosti. Mnogi IDS programi koriste detekciju zasnovanu na potpisu, koji uporeuje
nadolazei saobraaj sa ve poznatim tehnikama napadaa (slino tehnici skeniranja potpisa
koju koriste antivirusni programi). Generalno, funkcije koje mogu obavljati IDS-i su:
monitoring i analiza aktivnosti korisnika i sistema,
provjera konfiguracije i ranjivosti sistema,
procjena integriteta kritinih sistemskih fajlova,
prepoznavanje uzoraka poznatih napada,
statistika analiza uzoraka neuobiajenonog ponaanja,
prepoznavanje aktivnosti korisnika koje utiu na funkcionisanje operativnog sistema,

71

automatska instalacija novih verzija softvera,

instalacija i rad servera mamaca za snimanje informacija o napadaima.

Postoje i proizvodi za ispitivanje ranjivosti sistema (VA - Vulnerability Assessment).

Oni vre rigorozno ispitivanje sistema da bi pronali slabosti u njemu koje mogu da narue
bezbjednost. Ovo se postie na dva naina:
pasivan provjera konfiguracionih datoteka, lozinki i drugih sistemskih objekata,
aktivan iniciranje serija poznatih napada i praenje ponaanja sistema prilikom tih
napada.
Sistemi za provjeru ranjivosti funkcioniu tako to daju snimak bezbjednosti sistema u
odreenom vremenskom trenutku. Ovi sistemi odnosno skeneri nijesu u mogunosti da
pouzdano detektuju napad koji je u toku, ali oni mogu da predvide mogunost napada, ili ak i
da li se napad desio. Neki od ovih sistema imaju mogunost da vre neku vrstu diferencijalne
analize, tako to arhivirane rezultate prethodnih skeniranja porede sa novim skeniranjima i
izvjetavaju o pojavi neoekivanih promjena ili novih ranjivosti sistema. Oni su
koplementarni sa sistemima za detekciju, jer omoguavaju proaktivnu zatitu sistema
pronalazei i zatvarajui sigurnosne rupe, prije nego to ih napada iskoristi, za razliku od
IDS-a koji je po svojoj prirodi reaktivan i koji nadgleda i eventualno pokuava da prekine
napad prije uinjene tete.
Pored instaliranja pomenutih (ili samo nekih od njih) komponenti za zatitu, potrebno
je imati jasnu zatitnu politiku, zajedno sa ogranienjima pristupa, obavezom estog
mijenjanja lozinke, pravljenjem rezervnih kopija vanih podataka, itd. Bezbjednost sistema se
znaajno poboljava korienjem sistema za enkripciju (npr. HTTPS baziran na SSL/TLS
protokolu), virtualne privatne mree (VPN Virtual private network) i antivirusnih skenera.
Ako se radi o manjoj, nerazvijenoj mrei (slabije zatienoj), onda je dobro prebaciti to vie
servisa na Internet provajder (ISP Internet service provider), kako bi se iskoristila dodatna
zatita koju posjeduje ISP.
Prema nekim istrivanjima, postoji veliki broj sluajeva kada je ugroenost
bezbjednosti velikih mrea, posledica napadaa koji se nalaze u samoj kompaniji. Ovi
unutranji sigurnosni problemi imaju vie uzroka: ljudska greka, loa zatita lozinki,
namjerni napad zaposlenih radnika i dr. Bezbjednosni strunjaci preporuuju da svaka vea
kompanija za zatitu od unutranjih greaka i napada preduzme odgovarajue mjere, meu
kojima su:
Ne dozvoliti da samo jedna osoba kontrolie cijelu mreu, ali takoe ne dati
veem broju zaposlenih ta prava;
Zahtijevati da svaki zaposleni koristi lozinku kada se prijavljuje na mreu, ali i
da se te lozinke esto mijenjaju;
esto praviti rezervne kopije, naroito kljunih podataka;
Zavesti strogu kontrolu nad rezervnim kopijama;
uvati servere u fiziki obezbijeenoj prostoriji;
Instalirati najnovije bezbjednosne zakrpe;
Instalirati IDS da bi administratori bili upozoreni u sluaju da je sistem
napadnut;
Instalirati program za nadgledanje mree, itd.
Napomenimo da, pored zatite mree od napada, mreu je potrebno zatiti i od
fizikog kvara i nestanka elektrine energije. To znai, potrebno je instalirati izvore
72

neprekidnog napajanja (UPS), praviti esto rezervne kopije i koristiti razliite pomone
programe za odravanje sistema.
Na kraju, moemo rei da su za uspjenu zatitu raunarske mree neophodne tri
komponente: prevencija, detekcija i obrada napada. Prevencija podrazumijeva sve mjere koje
neka organizacija preduzima da bi umanjila rizike za bezbjednost svog sistema. To su, kako
projektovanje i implementacija bezbjednijih operativnih sistema, tako i bezbjednosna pravila,
enkripcija, identifikacija, autentifikacija i firewall sistemi. Detekcija je proces gdje dolaze do
izraaja IDS i antivirusni skeneri. Rezultati procesa detekcije dovode do sljedeeg procesa
obrade napada, koji obino ima dvije faze. Prva je istraivanje otkrivenih problema i
dokumentovanje uzroka problema i druga, otklanjanje nastalog problema ili osmiljavanje
naina za otklanjanje problema ukoliko se ponovo javi. Svi savremeni IDS-ovi trebalo bi da
na osnovu bezbjednostnih pravila, procedura i iskustva, automatski izvravaju ove dvije faze.
5.2.4. Funkcije mrene barijere
Firewalli odravaju Internet konekciju to je mogue bezbjednijom tako to ispituju i
nakon toga odobravaju ili odbijaju svaki pokuaj povezivanja privatne mree i spoljnih mrea,
kao to je Internet. Oni omoguavaju centralizaciju svih bezbjednosnih servisa na spoljnim
mainama koje su optimizovane i posveene zadatku zatite.
Po prirodi, firewalli kreiraju "uska grla" (bottlenecks) izmeu unutranjih i spoljnih
mrea. Razlog za to je to sva saobraajna tranzicija izmeu ovih mrea mora proi kroz
jednu taku kontrole. Ovo je mala cijena za bezbjednost. S obzirom na to da su spoljne
zakupljene linije relativno spore u poreenju sa brzinama modernih raunara, zastoj
prouzrokovan firewallima moe biti kompletno transparentan. Veini korisnika su relativno
jeftini firewall ureaji vie nego dovoljni da se poveu sa Internetom. Za poslovne potrebe i
potrebe ISP-a (Internet Service Provider - Dobavlja Internet usluga), iji je Internet saobraaj
na mnogo viem nivou, razvijeni su ekstremno brzi (i skupi) firewalli, koji su u mogunosti da
opslue i najzahtjevnije privatne mree.
Firewalli primarno funkcioniu koristei tri osnovna metoda:
Filtriranje paketa - Odbacuje TCP/IP pakete neautentifikovanih hostova kao i pokuaje
povezivanja na neautentifikovane servise.
Network Address Translation (NAT) - Prevodi IP adrese unutranjih hostova i tako ih
skriva od spoljnog praenja. Ovaj metod se naziva i maskiranje IP adrese (IP address
masquerading).
Proxy servisi - Uspostavljaju konekcije na visokim aplikacionim nivoima za unutranje
domaine u cilju da se kompletno prekine konekcija mrenog sloja izmeu unutranjih i
spoljnih domaina.
Mogue je korienje ureaja ili servera koji obavljaju samo jednu od navedenih
funkcija; na primjer, moe se koristiti usmjeriva (ruter) koji obavlja filtriranje paketa, kao i
proxy server na posebnoj maini. Na ovaj nain, filter za pakete mora propustiti saobraaj
kroz proxy server ili se proxy server mora nalaziti van unutranje mree, bez zatite koju
prua filtriranje paketa. Oba naina su opasnija od korienja samo jednog firewall proizvoda
koji obavlja sve bezbjednosne funkcije u isto vrijeme. Veina firewalla takoe obavlja dva
podjednako vana bezbjednosna servisa:
- ifrovana autentifikacija - Omoguava korisnicima na javnim mreama da dokau svoj
identitet firewallu, u cilju spreavanja pristupa privatnim mreama sa spoljnih lokacija.

73

- Virtualno privatno umreavanje (VPN) - Uspostavlja bezbjednu konekciju izmeu dvije

privatne mree preko javnog medijuma kao to je Internet. Ovo omoguava korienje
Interneta fiziki odvojenim mreama bez zakupljivanja direktnih linija. VPN-i se takoe
nazivaju ifrovanim tunelima.
Takoe, neki firewalli obezbjeuju dodatne servise kao to su:
- Skeniranje virusa Pretrauju se dolazei nizovi podataka u potrazi za virusima. Auriranje
servisa liste virusa zahtijeva pretplatu kod proizvoaa firewalla.
- Filtriranje prema sadraju - omoguava da se unutranjim korisnicima blokira pristup
odreenim tipovima sadraja.
Opisaemo detaljnije pet primarnih funkcija koje veina firewalla pokriva:
Filtriranje paketa
Prvi Internet firewalli su bili jednostavni filteri paketa. Filtriranje paketa i danas ostaje
jedna od kljunih funkcija firewalla. Filteri uporeuju mrene protokole (kao to je IP) i
pakete transportnih protokola (kao to je TCP) sa pravilima regulisanim u bazi podataka i
prosleuju samo one koji potpadaju pod kriterijum specificiranih pravila. Filteri mogu biti
implementirani ili u ruterima ili u okviru TCP steka na serveru. Oni koji su implementirani
unutar usmjerivaa (ruter) spreavaju da saobraaj sumnjivog porijekla stigne do odredine
mree, dok moduli TCP filtera jednostavno spreavaju tu specifinu mainu da odgovara na
saobraaj sumnjivog porijekla.
Tabela 5.2.1 Filtriranjem Internet konekcije se spreava neeljeni saobraaj
Firewall pravila (dozvoljeni portovi)
TCP port 80 (Web)
TCP port 25 (Mail)
TCP port 21 (FTP)
Neka od tipinih pravila koja filteri slijede su:
- Odbacuju dolazee zahtjeve za konekciju, ali dozvoljavaju zahtjevima za izlaznu konekciju
da prou;
- Eliminiu TCP pakete upuene na portove koji ne bi trebalo da budu raspoloivi za Internet
(kao to je port za NetBIOS sesiju), ali dozvoljavaju prolaz paketima koji bi trebalo da su
raspoloivi (kao to je SMTP). Veina filtera moe tano odrediti koji saobraaj ide na
odreeni server - na primjer, SMTP saobraaj bi trebalo kroz port 25 da ide samo na IP adresu
servera za potu (mail server);
- Zabranjuju zahtjev za pristup dolazee konekcije odreenim IP opsezima.
Sofisticirani filteri prouavaju sve konekcije koje prolaze kroz njih, pri tom traei
izdajnike znake hakerisanja, kao to je navoenje tane putanje puta (source routing),
preusmjeravanje ICMP paketa i lairanje IP adresa. Konekcije koje prikazuju ovakve
karakteristike bivaju odbaene.
Unutranjim klijentima je uglavnom dozvoljeno da kreiraju konekcije ka spoljnim
hostovima, a spoljni hostovi su uobiajeno sprijeeni u iniciranju pokuaja konekcije. Kada
unutranji host odlui da inicira TCP konekciju, on alje TCP poruku na IP adresu i broj porta
javnog servera. U inicirajuoj konekcionoj poruci, TCP kae udaljenom serveru koja mu je IP
adresa i na kom portu slua odgovor (na primjer, localhost:2050). Spoljni server tada alje
odgovor, transmitujui ga do datog porta gdje ga unutranji host oekuje. Poto firewall
provjerava sve podatke koji su razmijenjeni izmeu ta dva hosta, on zna da je konekciju
74

inicirao unutranji host, koji je povezan na svoj unutranji mreni nterfejs, zna IP adresu tog
hosta i zna na kom portu oekuje odgovor. Firewall zatim pamti da treba da dozvoli spoljnom
hostu, ija se adresa nalazi u konekcionoj poruci, da vrati saobraaj na IP adresu unutranjeg
hosta samo na port koji je odreen. Kada uesnici u sesiji zatvore TCP konekciju, firewall
brie unose u svojoj tablici stanja (memorija u kojoj se nalazi stanje konekcija) i time prekida
mogunost udaljenom hostu da dalje komunicira sa unutranjim. Ukoliko unutranji host
prestane da odgovara prije zatvaranja TCP konekcije (na primjer, zbog prekida veze) ili ako
protokol koji je u pitanju ne podrava sesije (na primjer, UDP), firewall e ukloniti unos u
tablicu stanja konekcije nakon programiranog isteka vremena od nekoliko minuta.
Filtriranje ne rjeava u potpunosti problem bezbjednosti na Internetu. Kao prvo, IP
adrese raunara u filteru su predstavljene u dolazeem saobraaju, to pojednostavljuje
odreivanje tipa i broja Internet hostova u filteru, kao i praenje napada na ove adrese.
Filtriranje ne sakriva identitet domaina u filteru. Pored toga, filteri ne mogu provjeriti sve
fragmente jedne IP poruke, zasnovane na protokolima vieg nivoa, kao to su TCP zaglavlja,
iz razloga to zaglavlje postoji samo u prvom fragmentu. Podijeljeni fragmenti nemaju
informacije o zaglavlju i mogu biti uporeeni samo sa IP pravilima, koja uobiajeno
dozvoljavaju neto saobraaja kroz filter. Ovo omoguava grekama u odredinim IP
stekovima raunara na mrei da se eksploatiu i mogu omoguiti komunikacije sa Trojanskim
konjem instaliranim negdje na mrei. Savremeniji firewallovi podravaju povratak
fragmentovanih podataka u preanje stanje i nakon toga primjenu firewall pravila na njih.
Konano, filteri nijesu dovoljno sloeni za provjeru legitimnosti protokola u okviru paketa
mrenog sloja. Na primjer, filteri ne ispituju HTTP pakete, sadrane u TCP paketima, radi
utvrivanja da li oni sadre elemente kojima hakeri gaaju web pretraiva ili web server na
kraju konekcije. Veina pokuaja modernog hakerisanja zasnovana je na iskoriavanju ovih
servisa viih slojeva TCP/IP steka, iz razloga to su firewalli gotovo eliminisali uspeno
hakerisanje na mrenom sloju, ako izuzmemo neugodne napade tipa "odbijanje izvrenja
servisa" (DoS, denial-of-service).
Prevoenje adresa iz mree (Network Address Translation - NAT)
Prevoenje adrese iz mree rjeava problem skrivanja unutranjih hostova. NAT je
zapravo proxy mrenog sloja: jedan host ini zahtjeve u ime svih unutranjih hostova. Na taj
nain on skriva njihov identitet na javnoj mrei. Napomenimo da veina savremenih
operativnih sistema obezbeuje ovu funkciju kao dio samog operativnog sistema.
NAT skriva adrese unutranjih hostova, konvertujui ih u adresu firewalla. Firewall
zatim ponovo alje podatke unutranjih hostova, koristei sopstvenu IP adresu. Korienjem
TCP broja porta, uspijeva da prati koje se konekcije na javnom dijelu podudaraju sa
hostovima na privatnom dijelu mree. Gledano sa Interneta, sav saobraaj sa lokalne mree
izgleda kao da dolazi sa jednog, ekstremno zaposlenog raunara.
Prevoenje IP adresa omoguava korienje bilo kog opsega IP adresa na unutranjoj mrei,
ak i ako se te adrese ve koriste negdje na Internetu. Takoe, NAT dozvoljava
multipleksiranje jedne javne IP adrese kroz cijelu mreu.
Proxy servisi
NAT rjeava mnoge probleme Internet konekcija, ali ne sprovodi potpunu kontrolu
podataka kroz firewall. Mogue je, na primjer, da neko uz pomo mrenog monitora pregleda
saobraaj koji dolazi iz firewalla i na osnovu dobijenih informacija zakljui da firewall
prevodi adrese drugih maina. Hakeri na ovaj nain mogu dobiti informacije potrebne za
otimanje TCP konekcija ili za prolaz kroz firewall lanom konekcijom.

75

Proxy aplikativnog sloja (nivoa) ovo spreava. On omoguava potpunu zabranu

protoka podataka protokolima mrenog nivoa, a proputa saobraaj baziran samo protokolima
vieg (aplikativnog) nivoa, kao to su HTTP, FTP i SMTP. Proxy aplikativnog sloja je
specifino klijentsko-serverska kombinacija za protokol koji se koristi. Na primjer, web proxy
je kombinacija web servera i web klijenta. Serverski dio protokola proxya prihvata konekcije
klijenata unutranje mree, dok se klijentski dio protokola povezuje na javni server. Kada
klijentski dio proxya primi podatke od javnog servera, serverska strana proxy aplikacije alje
podatke krajnjem unutranjem klijentu. Slika 5.2.2 prikazuje kako se ovaj proces odvija.

Slika 5.2.2. Funkcionisanje web proxy servera

Proxy serveri primaju zahtjeve sa privatne mree i ponovo ih generiu na javnoj mrei.
Kada klijent zatiene mree inicira zahtjev prema serveru javne mree, proxy server
preuzima taj konekcioni zahtjev i povezuje se na server javne mree u ime klijenta zatiene
mree. Oni, takoe, prosljeuju odgovor javnog servera klijentu na unutranjoj mrei.
Razlika izmeu NAT i filtera sa jedne strane i aplikativnih proxya (kao to je
Microsoft Proxy Server) sa druge strane je u tome to su klijentske aplikacije za Internet
(uobiajeno) unaprijed podeene za komunikaciju sa proxyem. Na primjer, unoenje adrese
web proxya u Internet Explorer na korisnikom raunaru prouzrokovae da Internet Explorer
alje sve zahtjeve tom proxy serveru, umjesto da sam razrjeava adrese i uspostavlja direktne
konekcije.
Aplikativni proxy ne mora biti pokrenut na firewallu - bilo koji server unutar ili izvan
lokalne mree moe imati ulogu proxy servera. Ipak, ukoliko se eli postii dobra bezbjednost
mree, trebalo bi da postaviti i firewall i proxy. Mora postojati i neki tip filtriranja podataka
zbog zatite proxy servera od napada usmjerenih preko mrenog sloja tipa "denial of service"
(kao to je "ping of death"). Ukoliko se proxy ne pokree na firewallu, neophodno je otvoriti
kanal kroz taj firewall. Preporuljivo je, ipak, da firewall obavlja i funkciju proxya kako bi se
sprijeilo prosleivanje paketa javnog dijela mree u lokalnu mreu.

76

Bezbedniji proxyi su u mogunosti da izvode filtriranje aplikativnog sloja za odreeni

saobraaj. Na primjer, neki firewall HTTP proxy trae Java ili ActiveX oznake u HTML
stranicama koje ukazuju na ugnjedene aplete i zatim ih uklanjaju. Ovo spreava da aplet
bude izvren na klijent kompjuteru i eliminie rizik sluajnog uitavanja Trojanskog konja.
Proxyi mogu raditi samo sa specifinim naroitim aplikacijama. Na primjer, moraju se
posebno imati proxy softverski moduli za HTTP, FTP, Telnet. Poto ovi protokoli evoluiraju
(naroito HTTP), moraju se redovno aurirati odreeni proxy softverski moduli.
Virtualne privatne mree (VPN)
Virtualne privatne mree, poznate i kao ifrovani tuneli, dozvoljavaju bezbjedno
povezivanje dvije fiziki odvojene mree preko Interneta. Podaci koji se razmenjuju na ovaj
nain su nevidljivi (ifrovani su) za neovlaene entitete. VPN bi mogao biti predmet raznih
neugodnih napada, kao to su pokuaji redirekcije, inicijalizovanje lane konekcije ili bilo
koji drugi vid napada dok se uspostavlja tunel. Ali, kada se VPN implementira kao integralni
dio firewalla, autentifikacija i servisi za bezbjednost firewalla se mogu iskoristiti da sprijee
eksploataciju tunelovanja.
Jednom kada su uspostavljeni, VPN tuneli su nepristupani za eksploatisanje sve dok
je ifrovanje bezbjedno. Na granicama sa Internetom su smjeteni firewalli sa ciljem da slue
kao odline krajnje take za svaki kraj tunela.
VPN takoe dozvoljava korisnicima da adresiraju udaljene unutranje hostove
direktno po njihovim skrivenim IP adresama; NAT i filteri paketa bi sprijeili ovako neto
ukoliko pokuaj konekcije dolazi direktno sa Interneta.
Sigurnosni protokola koji se najee koriste u VPN-u su: IPSecurity (IPSec), Pointto-Point Tunneling Protocol (PPTP) i Layer2 Tunneling Protocol (L2TP).
ifrovana autentifikacija
ifrovana autentifikacija dozvoljava spoljnim korisnicima na Internetu da dokau svoj
identitet autorizovanih korisnika firewallu i da tako otvore konekciju kroz taj firewall ka
unutranjoj mrei. Za ifrovanu autentifikaciju se moe koristiti bilo koji sigurnosni protokol
koji obezbjeuje autentifikaciju (autentikaciju). Kada je veza jednom uspostavljena, ona
moe, a i ne mora, biti ifrovana, to zavisi od firewall proizvoda koji se koristi i od toga da li
je instaliran dodatni softver na klijentu u cilju da podrava tunelovanje.
Korienje ifrovane autentifikacije je pogodno zato to se pojavljuje na transportnom
sloju izmeu paketa softvera klijenta i firewalla. Kada je veza otvorena, bez smetnji e raditi
sav aplikacioni softver i sistemski softver za prijavljivanje, ime se eliminie potreba za
specijalnim softverskim paketima za podrku firewallu. Naalost, ifrovana autentifikacija
smanjuje bezbjednost firewalla. Zbog prirode procesa nastaju sljedei problemi:
- Firewall mora odgovoriti ukoliko se pokua povezivanje preko nekog porta. Ovo daje
hakerima informaciju o postojanju firewalla.
- Konekcija se uz pomo ICMP-a moe preusmjeriti nakon to je veza uspostavljena, naroito
ako je konekcija neifrovana.
- Haker koji nadgleda uspostavljanje veze moe kasnije lairati svoju adresu i zamijeniti je
adresom autorizovanog korisnika. Time e dobiti pristup mrei bez redirekcije neke od
postojeih veza.
- Ukradeni lap-top sa odgovarajuim "kljuevima" u sebi moe se iskoristiti za dobijanje
pristupa mrei.
- Radnici koji rade kod kue mogu biti meta napada provalnika, jer se sa njihovih kompjutera
moe pristupiti mrei.
- Sama procedura procesa autentifikacije moe biti poremeena ili manje sigurna,
dozvoljavajui svakome na Internetu da otvori rupe na firewallu.

77

Mala je mogunost da se dogodi neki od ovih problema. Administratori okruenja sa

srednjim ili malim rizikom ne bi trebalo da imaju probleme sve dok je konekcija ifrovana
tokom trajanja.

5.2.5. Osnovne topologije mrene barijere

Zadatak firewalla je da osigura mreu od napada, ali tako da obezbijedi javne servise
potrebne klijentima mree. Stoga, na izbor topologije za zatitu mree firewallom utiu
potrebni nivo bezbjednosti i nivo potrebnih servisa na granici izmeu unutranje mree i
Interneta. Za zatitu raunarske mree neke organizacije mogu se koristiti razliite metode,
kao to su (u zavisnosti od rizika bezbijednosti, od najnieg ka najviem):
1. Servisi filtriranja paketa
2. Jedan firewall sa unutranjim javnim serverima
3. Jedan firewall sa spoljnim javnim serverima
4. Dvostruki firewalli ili DMZ firewalli
5. Enterprise firewalli
6. Iskljuenje sa mree
Veina dobavljaa Internet usluga (ISP) omoguava filtriranje paketa kao dragocjeni
dodatak svojim servisima za muterije sa zakupljenim linijama. Neki od dobavljaa nude i
proxy i NAT servere, ali postiji opasnost od napada od ostalih muterija koje opsluuje taj ISP.
Najjednostavnije kompletno bezbjednosno rjeenje na granicama mree je sa jednim
firewallom. Sa njim i sa jednom konekcijom na Internet, centralizuje se taka kontrole. Slika
5.2.3. prikazuje rjeenje bezbjednosti sa jednim graninim firewallom. Problem sa
postavljanjem javnih servera (kao to su serveri za potu) izvan firewalla je to su rizini za
hakovanje. Ovi raunari se mogu podesiti da ne sadre mnogo korisnih informacija, ali
hakerski pokuaji mogu lako prouzrokovati "denial-of-sevice" ili u najmanju ruku
modifikovati web stranice.
Mogua alternativa prethodnom rjeenju je postavljanje javnih servera unutar firewalla
(slika 5.2.4.). Ovdje postoji problem, jer se otvaraju putanje kroz firewall radi konekcije sa
spoljne strane mree. Tada postoji mogunost da neodgovarajui paketi dospiju na unutranju
mreu ukoliko podsjeaju na pakete kojima je dozvoljen prolaz. To, takoe, znai da haker
koji pokuava da eksploatie greku servisa viih nivoa, moe dobiti kontrolu nad raunarom
u okviru mree. Iz ovog razloga veliki broj organizacija postavlja javne servere izvan svojih
firewalla i jednostovno ne dozvoljava bilo kakve spoljne konekcije kroz firewall.

78

Slika 5.2.3. Primjer firewalla sa javnim serverima otvorenim ka Internetu

Slika 5.2.4. Primjer firewalla sa zatienim javnim serverima i dozvoljenim saobraajem

Sa dva nivoa firewall protekcije smanjuje se izlaganje javnih servera riziku. U osnovi,
postavlja se jedan firewall na Internet konekciju i tako osigurava web server. To omoguava
jaku bezbjednost, a dozvoljava konekcione pokuaje sa Interneta servisima koji se ele
pruiti. Izmeu takve mree i unutranje mree, smjeta se drugi firewall sa jaom
bezbjednosnom politikom koja jednostavno ne dozvoljana pokuaje sa spoljne strane i skriva
identitete unutranjih klijenata. Slika 5.2.5. prikazuje dva nivoa zatite mree sa dva firewalla.

79

Slika 5.2.5. Primjer dva firewalla postavljena tako da tite kompletnu mreu
Najvei broj firewall proizvoda dozvoljava upotrebu demilitarizovanih zona koje
omoguavaju funkcionalnost posjedovanja dva firewalla tako to sadre razliite
bezbjednosne politike za svaki postavljeni interfejs na firewallu. Sa tri postavljena interfejsa
-spoljna mrea, unutranja mrea i mrea javnog servera moe se definisati bezbednosna
politika da blokira pokuaje konekcije na unutranju mreu, ali da dozvoli pojedine protokole
do javnih servera. Ovo omoguava funkcionalnost dva firewalla korienjem samo jednog
proizvoda (slika 5.2.6.).

Slika 5.2.6. Primjer DMZ firewalla koji omoguava razliitu bezbjednost za razliite potrebe
Pojedine velike organizacije upotrebljavaju tzv. Enterprise firewalle. To su proizvodi
koji dijele jednu centralnu firewall politiku na vie firewalla. Enterprise firewalli dozvoljavaju
da se zadri centralna kontrola bezbjednosne politike, bez brige o tome da li je politika
korektno implementirana na svakom firewallu unutar organizacije. Politika firewalla je obino

80

zasnovana na bezbjednosti radne stanice, a zatim replicirana na svaki firewall u okviru

organizacije, koristei neke od metoda bezbjednosne autentifikacije.
Najradikalniji oblik zatite mree je diskonekcija sa Interneta tj. kada u organizaciji
postoje dvije odvojene mree: unutranja mrea i Internet. Poto ne postoji veza izmeu
Interneta i unutranje mree, ovim metodom se dobija potpuna bezbjednost. Javni serveri za
web, FTP i potu se nalaze, zajedno sa nekoliko klijenata, na malom mrenom segmentu,
povezanom na Internet. Klijentske radne stanice sadre e-mail, news i web pretraivae, ali ne
i osetljive podatke. Da bi provjeravali elektronsku potu, pretraivali web ili radili bilo ta
drugo na Internetu, zaposleni moraju doi do spoljnih klijentskih radnih stanica.

81