Professional Documents
Culture Documents
Web PDF
Web PDF
Dorian Ivani
Zagreb, 2007.
Sadraj
SADRAJ .............................................................................................................................................................. 2
POPIS SLIKA........................................................................................................................................................ 3
1. UVOD ................................................................................................................................................................. 5
1.1. ORGANIZACIJA RADA.................................................................................................................................... 6
2. KOMPONENTE I METODE OBLIKOVANJA RAUNALNIH MREA ................................................ 7
2.1. SEGMENTACIJA MREE ................................................................................................................................. 7
2.1.1. Mostovi................................................................................................................................................. 8
2.1.2. Preklopnici........................................................................................................................................... 8
2.1.3. Usmjerivai .......................................................................................................................................... 9
2.1.4. Prospojnici......................................................................................................................................... 10
2.1.5. Mreni segmenti ................................................................................................................................. 10
2.1.6. Virtualni mreni segmenti .................................................................................................................. 12
2.1.7. Mrene zone ....................................................................................................................................... 14
2.2. VATROZIDI ................................................................................................................................................. 15
2.2.1. Prozirni vatrozid ................................................................................................................................ 17
2.2.2. Filtar paketa ...................................................................................................................................... 18
2.2.3. Vatrozid s praenjem stanja veze....................................................................................................... 20
2.2.4. Vatrozid zastupnik.............................................................................................................................. 22
2.3. DETEKCIJA I PREVENCIJA UPADA IZ MREE ................................................................................................. 24
2.3.1. Detekcija upada iz mree ................................................................................................................... 24
2.3.2. Prevencija upada iz mree ................................................................................................................. 27
2.4. VIRTUALNE PRIVATNE MREE .................................................................................................................... 28
2.5. OVRIVANJE LOKALNOG RAUNALNOG SUSTAVA .................................................................................. 31
2.5.1. Obrambene komponente lokalnog raunalnog sustava ..................................................................... 33
2.6. KLOPKE NAMIJENJENE NAPADAIMA .......................................................................................................... 34
3. PRIMJERI DIZAJNA SIGURNIH RAUNALNIH MREA ................................................................... 37
3.1. KUNA RAUNALNA MREA ....................................................................................................................... 37
3.2. KORPORACIJSKA MREA BEZ JAVNIH SERVISA ............................................................................................ 39
3.3. KORPORACIJSKA MREA S JAVNIM SERVISIMA............................................................................................ 41
3.4. PRIMJER DOBRO POSTAVLJENE KORPORACIJSKE MREE ............................................................................. 46
4. ZAKLJUAK .................................................................................................................................................. 50
LITERATURA .................................................................................................................................................... 51
DODACI............................................................................................................................................................... 52
DODATAK A: POPIS POJMOVA ........................................................................................................................... 52
DODATAK B: POPIS KRATICA ............................................................................................................................ 54
Popis slika
Popis slika
Slika
Slika
Slika
Slika
Slika
Slika
Slika
Slika
Slika
Slika
Slika
Slika
Slika
Slika
Slika
Slika
Slika
Slika
Slika
Slika
Slika
Slika
Slika
Slika
Slika
Slika
Slika
Slika
Slika
Slika
Slika
Slika
Slika
Slika
Slika
1: Simbol za most......................................................................................... 8
2: Simbol za preklopnik ................................................................................. 9
3: Simbol za usmjeriva ................................................................................ 9
4: OSI/ISO 7-segmentni model.................................................................... 10
5: Primjer segmentirane mree.................................................................... 11
6: Segmentacija mree izvoenjem posebne infrastrukture ........................... 13
7: Segmentacije mree uz 802.1Q ............................................................... 13
8: Primjer mrenih zona .............................................................................. 14
9: Simboli za vatrozid.................................................................................. 15
10: Vatrozid izmeu Internet zone i lokalne raunalne mree ........................ 15
11: Vatrozid izmeu dviju nepovjerljivih mrea ............................................. 16
12: Vatrozid izmeu dviju mrea razliitog stupnja povjerljivosti .................... 16
13: Slojevi povezanosti prozirnog vatrozida s ostalim mrenim ureajima....... 17
14: Slojevi povezanosti filtra paketa s ostalim mrenim ureajima ................. 18
15: Tijek FTP veze ...................................................................................... 19
16: Tijek pasivne FTP veze .......................................................................... 19
17: Zaglavlje TCP paketa............................................................................. 20
18: Mehanizam trostrukog rukovanja ........................................................... 21
19: Slojevi povezanosti vatrozida zastupnika s ostalim mrenim ureajima ..... 22
20: Vatrozid zastupnik u ulozi prospojnika .................................................... 22
21: Vatrozid zastupnik kao zasebni posluitelj............................................... 23
22: Reverzni zastupnik ................................................................................ 23
23: Postavljanje senzora u tipinu mreu neke organizacije ........................... 25
24: Postavljanje senzora u mreu raspodijeljene organizacije ........................ 26
25: NIPS kao kombinacija NIDS sustava i vatrozida ...................................... 27
26: NIPS kao integrirani NIDS sustav i vatrozid............................................. 28
27: Primjer VPN komunikacije...................................................................... 29
28: Primjer VPN veze od domaina do domaina .......................................... 29
29: Primjer VPN veze od domaina do prospojnika........................................ 30
30: Slojevi na kojima je mogue uspostaviti VPN vezu .................................. 30
31: Slojeviti pogled na osiguranje lokalnih raunalnih sustava ....................... 32
32: Primjer postavljanja klopke u mreu omanje organizacije ........................ 35
33: Primjer postavljanja klope u fakultetsku mreu ....................................... 35
34: Primjer kune mree ............................................................................. 37
35: Primjer kune mree s ugraenim vatrozidom......................................... 38
Popis slika
Slika
Slika
Slika
Slika
Slika
Slika
Slika
36:
37:
38:
39:
40:
41:
43:
Primjer
Primjer
Primjer
Primjer
Primjer
Primjer
Primjer
Uvod
1. Uvod
U dananje vrijeme gotovo da i ne postoje tvrtke koje u svom poslovanju ne
koriste raunala. Najee se radi o vie raunala spojenih meusobno tako da tvore
raunalnu mreu. U prvotnom obliku raunalne mree upotrebljavale su se za
razmjenu informacija izmeu radnih stanica. U dananje vrijeme priamo o
distribuiranim aplikacijama i bazama podataka koje su, logiki gledano, pokrenute na
raunalnoj mrei. Kae se da mrea pokree servise i da se podaci nalaze na mrei.
Fiziki se aplikacije i baze podataka nalaze instalirane na vie posluitelja koji se ne
nalaze nuno na istoj lokaciji. Raunalne mree omoguuju brz dohvat informacija, a
time i modernizaciju poslovanja te daljnji tehnoloki napredak. Moe se rei da su
raunalne mree okosnica svakog modernog poslovanja.
Meutim kako raunalne mree donose niz poboljanja poslovanju one isto tako
uvode i niz rizika u poslovanje. Slino, primjerice, kao i strojevi za masovnu serijsku
izradu nekih artikala. Dok masovna serijska izrada ubrzava i pojeftinjuje proizvodnju,
jedna banalna greka pri, primjerice, radu stroja moe dovesti do niza proizvedenih
artikala s grekom. To u konanici znai veliki gubitak. Rizici s kojima se korporacije
susreu pri uvoenju i koritenju raunalnih mrea u svojem poslovanju nisu ovakve
prirode. Uglavnom su orijentirani na prekid poslovanja, gubitak podataka, curenje
informacija, gubitak ugleda i slino, no obzirom na to kakav e utjecaj imati na
korporaciju odnosno kakav e gubitak stvoriti zasigurno su i vie nego mjerljivi s
rizikom opisanim u gornjem primjeru i slinim.
Kako raunalne mree i njihovi korisnici ne bi proizvodili gubitke za organizaciju,
potrebno ih je osigurati. Osiguranje raunalnih mrea radi se poevi od faze idejnog
dizajna raunalne mree, preko projekta pa sve do implementacije. Nadalje, esto se
smatra i grijei kada se misli da je proces osiguranja jednokratni postupak.
Osiguranje mree radi se, kako je gore navedeno, u svim fazama razvoja, no i
tijekom cijelog ivota raunalne mree. Mreu je potrebno konstantno nadgledati
kako bi se na vrijeme uoila ranjivost te uklonila potencijalna uska grla. Isto vrijedi i
za potencijalne slabosti i ranjivosti mree. Kako se ranjivosti pojedinih mrenih
ureaja otkrivaju gotovo svakodnevno, vano je i to imati u vidu. Potrebno je
nadzirati sve ureaje i na vrijeme se zatiti od moguih napada internih i vanjskih
korisnika.
Ovaj rad bavi se dizajnom sigurnih raunalnih mrea. Cilj je itatelja upoznati i
prikazati mu nain na koji je uputno slagati ve standardne mrene ureaje
(primjerice, usmjerivae, vatrozide i ostale) kako bi se kao rezultat dobila raunalna
Uvod
2.1.1. Mostovi
Mostovi (eng. bridge) u terminologiji raunalne mree predstavljaju ureaj koji
predstavlja spoj izmeu dva dijela iste mree. Mostovi u dananje vrijeme kada se
najee radi o optikim mreama i UTP mreama udaljenosti manje od 100m nisu
popularni.
Posebna vrsta mostova, repetitori se koriste kada je potrebno povezati dva
ureaja ili dijela mree koji su udaljeni vie od maksimalne dozvoljene udaljenosti za
medij kojim putuje signal. Primjerice, kada se radi o spajanju dva dijela mree
udaljena 150m UTP medijem ije je ogranienje 100m. Repetiror se tada spaja
priblino u sredinu izmeu dva dijela mree. Kada repetitor primi signal iz jednog
dijela mree, on ga pojaa i poalje u drugi dio mree.
Valja naglasiti da, iako mreu fiziki moemo razdvojiti mostovima odnosno
repetitorima (segmentiramo je na prvom sloju OSI/ISO 7-segmentnog modela),
logiki to ostaje ista mrea. I mostovi i repetitori ponaaju se kao medij tj. nemaju
mogunosti itanja i koritenja podataka koji se nalaze u mrenim paketima kako bi
dalje usmjerili mreni paket.
Slika 1 prikazuje simbol za most koji se upotrebljava pri crtanju raunalnih
mrea.
2.1.2. Preklopnici
Preklopnici (eng. switch) su ureaji koji se koriste za spajanje vie raunala u
jednu centralnu toku. Ako raunala i mreni ureaji predstavljaju vrhove zvijezde,
preklopnik predstavlja njenu sredinu. Preklopnici su ureaji koji mreu segmentiraju
na drugom sloju OSI/ISO 7-segmentnog modela. Uloga preklopnika je, zapravo,
stvaranje posebnog segmenta za svaki par ureaja koji meusobno komunicira.
Svoju zadau preklopnici ostvaruju tako da pamte MAC adrese mrenih ureaja.
Kada se ureaj prvi put spoji na preklopnik, te kada pokua uspostaviti inicijalnu
konekciju s nekim drugim ureajem, preklopnik zapamti njegovu MAC adresu i
povee je s vratima (eng. port) na koje je ureaj spojen. Pri svakom sljedeem
mrenom paketu koji pristie za taj ureaj, preklopnik pogleda u zaglavlje mrenog
paketa, identificira odredinu MAC adresu te paket alje na vrata na koje je spojen
ureaj s tom MAC adresom.
2.1.3. Usmjerivai
Usmjerivai (eng. router) imaju slinu ulogu kao i preklopnici. Dok preklopnici
slue za povezivanje vie mrenih ureaja, usmjerivai povezuju vie mrea odnosno
podmrea. Nadalje, preklopnici stvaraju segmente na razini komunikacije izmeu dva
mrena ureaja, a usmjerivai na razini mree. To znai da usmjerivai segmentiraju
mreu na treem sloju OSI/ISO 7-segmentnog modela.
Uloga usmjerivaa je prenoenje paketa iz jedne mree u drugu. Usmjerivai
pregledavaju zaglavlja mrenih paketa te u ovisnosti o odredinoj IP adresi paket
alju u odgovarajuu mreu.
Osnovna uloga usmjerivaa opisana je u prethodnom tekstu. Meutim, pored
samog prenoenja paketa pametniji usmjerivai mogu se koristiti i u neke druge
svrhe. Primjerice, mnogi programski i sklopovski usmjerivai imaju mogunost
filtriranja prometa na osnovi izvorine i/ili odredine adrese. Usmjerivai isto tako
mogu filtrirati i tip prometa na bazi izvorinih odnosno odredinih vrata (eng.
source/destination port). Proizvoai naprednijih usmjerivaa u njih vrlo esto
ugrauju i logiku kojom oni mogu posluiti i kao pristupne toke raunalnoj mrei
odnosno kao NAS (eng. Network Access Server). Pored uloge pristupnih toaka
nerijedak je sluaj kada ih nalazimo kao posluitelje VPN (eng. Virtual Private
Network) veza. Usmjerivai u sebi vrlo esto imaju ugraene i druge mogunosti,
meutim detaljnije razmatranje usmjerivaa izlazi iz okvira ovog seminara.
Slika 3 prikazuje najee upotrebljavani simbol za usmjeriva pri predstavljanju
raunalnih mrea.
10
2.1.4. Prospojnici
Prospojnik (eng. gateway) je ustvari usmjeriva gledan sa stajalita mrenog
ureaja. Mreni ureaj (primjerice, raunalo, pisa i slino) nalazi se u jednoj mrei.
Dodijeljena mu je IP adresa i mrena maska. Taj ureaj na temelju sebi dodijeljene
IP adrese i mrene maske moe zapoeti komunikaciju sa svim ureajima koji se
nalaze u istoj mrei. Isti ureaj, meutim, ne moe komunicirati s ureajima van
njegove mree jer ne zna kojim putem uspostaviti vezu s tim ureajem. Uloga
prospojnika jest pruiti uslugu usmjeravanja mrenih paketa do ureaja koji se
nalaze na nekoj razliitoj mrei od postojee.
Vrlo esto govorimo o dva tipa prospojnika: uobiajenom prospojniku (eng.
default gateway) i prospojniku za zadanu mreu. Prospojnik za zadanu mreu zna
kako uspostaviti vezu s nekim drugim ureajem iz te mree. Uobiajeni prospojnik
zna kako uspostaviti vezu sa svim ureajima koji nisu u lokalnoj mrei.
11
12
za
za
za
za
PC raunala
MAC raunala
prijenosna raunala
posluitelje
Adresa mree
192.168.10.x
192.168.20.x
192.168.30.x
192.168.40.x
Mrena maska
255.255.255.0
255.255.255.0
255.255.255.0
255.255.255.0
Adresa emitiranja
192.168.10.255
192.168.20.255
192.168.30.255
192.168.40.255
Simbol x u adresi mree govori da ta brojka nije bitna, odnosno da moe biti bilo koja, za izraun
odnosno dobivanje mrene adrese. U praksi se najee koristi ili taj simbol ili se jednostavno upie 0.
13
14
15
2.2. Vatrozidi
Vatrozid (eng. firewall) je ureaj koji, prema unaprijed definiranim pravilima,
doputa ili zabranjuje uspostavu veze i protok mrenog prometa. Slika 9 prikazuje
simbole za vatrozid. Lijevi simbol (simbol zida) koristi se kada se radi o vatrozidu
openito. Desni simbol se obino koristi kada se radi o vatrozidu zastupniku (eng.
proxy firewall) o emu e vie rijei biti u narednim poglavljima.
16
17
18
Valja posebno istaknuti da svojstvo nevidljivosti ovaj tip vatrozida ini izuzetno
otpornim na iskoritavanja i napade.
Prozirni vatrozid mogue je vrlo jednostavno izvesti uporabom bilo koje
distribucije operacijskog sustava GNU/Linux uz uporabu paketa ebtables
[http://ebtables.sourceforge.net, 20070304].
19
20
21
podatke o uspostavljenoj TCP vezi smjeta u svoju radnu memoriju. Naredne pakete,
koji pripadaju istoj vezi, proputa bez detaljnijeg pregleda usporeujui neke od
osnovnih podataka s onima u radnoj memoriji. Veza se prekida ili istjekom
predefiniranog vremena ili dogovornim prekidom veze.
Slanje paketa s
postavljenom
SYN zastavicom
(SYN_SENT)
Klijent
Veza
uspostavljena
(ESTABLISHED)
Stanja
klijenta
Oslukivanje
(LISTENING)
SYN
SYN/ACK
ACK
Primitak paketa
s postavljenom
SYN zastavicom
(SYN_RCVD)
Veza
uspostavljena
(ESTABLISHED)
Posluitelj
Stanja
posluitelja
22
23
24
25
podie. Iako je princip rada ovakvih NIDS sustava jednostavan4, on pati od niza
nedostataka. Primjerice, mala modifikacija malicioznog sadraja podataka u mrenom
paketu rezultirat e uzorkom koji nee biti usporediv s uzorcima pohranjenim u bazi,
promet e biti klasificiran kao benigan te e biti proputen.
Neto kompleksniji NIDS sustavi su oni koji se temelje na pregledu ponaanja
(eng. behaviour based) odnosno anomalija (eng. anomaly based). Princip rada oba
navedena sustava je vrlo slian. U prvoj fazi sustav se poduava odnosno upoznaje s
normalnim mrenim prometom. Sustav je zatim spreman za uporabu. Prilikom
oekivanog mrenog prometa, sustav nee podizati alarm. Meutim, ako je promet
neoekivan, alarmira se zadueno osoblje. Princip rada ovakvih NIDS sustava temelji
se na heuristici pa oni kao takvi pate od niza problema, a najee se radi o krivim
alarmiranjima.
Moderniji NIDS sustavi su hibridni, pokazuju odlike sustava temeljenih na
raspoznavanju uzoraka kao i onih temeljenih na prepoznavanju anomalija.
Prilikom ugradnje NIDS sustava u raunalnu mreu vrlo je vano pravilno
smjestiti senzore. Openito, senzori se postavljaju u blizinu ureaja koji vre
filtriranje prometa (usmjerivai, vatrozidi). Ako je na raspolaganju vei broj senzora,
tada se u svaki mreni segment stavlja po jedan senzor. Ako je ne raspolaganju
ogranieni broj senzora, onda ih se postavlja barem na Internet segment te na
segment lokalne mree u kojem se nalaze kritini podaci (primjerice, mrea odjela
prodaje).
Slika 23 prikazuje tipinu mreu neke organizacije. Mrea se sastoji od tri
segmenta: demilitarizirane zone, zone javnih servisa i mree za raunala korisnika.
Senzori su postavljeni u sve tri zone. Izlaz senzora povezan je putem preklopnika u
zasebni mreni segment.
26
Slika 24, kao i prethodna slika, prikazuje postavljanje senzora u mreu jedne
organizacije. Za razliku od organizacije ija je mrea prikazana na prethodnoj slici,
ovdje se radi o organizaciji koja se sastoji od lokalne mree, poslovnica, a dozvoljava
se i udaljeni pristup putem modema za udaljeni pristup. Mrea se sastoji od nekoliko
segmenata koje, uglavnom, stvaraju vatrozidi. Gledano s lijeva na desno, prvi
vatrozid predstavlja vatrozid prema Internet segmentu. Postavljena su dva senzora,
jedan ispred, a drugi iza vatrozida. Uloga prvog senzora jest stei uvid u sav mreni
promet koji s Interneta dopire do vatrozida. Drugi vatrozid rei e koji je to promet
kojeg je vatrozid propustio. Usporedbom zapisa ova dva senzora mogue je odrediti
uinkovitost kontrole odnosno, u ovom sluaju, vatrozida. Drugi vatrozid je vatrozid
prema modemima za udaljeni pristup. Jedan senzor nalazi se ispred vatrozida, dok je
drugi iza njega. Prvi e senzor pregledavati sav promet koji dolazi do vatrozida dok
e drugi pregledavati promet iza njega. Neto specifiniji sluaj je trei vatrozid. On
predstavlja vezu izmeu lokalne mree i poslovnica. Pretpostavlja se da je broj
poslovnica vei pa senzori nisu postavljeni na svaku vezu prema poslovnici.
Postavljen je samo jedan senzor i to onaj iza vatrozida. Iako to nije prikazano, izlazi
svih senzora spojeni su u zajedniku toku (primjerice, preklopnik) koja predstavlja
zasebnu mreu za upravljanje NIDS sondama.
Internet
Modemi za udaljeni
pristup
Poslovnice
Telekomunikacijske
veze
Lokalna mrea
27
28
Slika 26 prikazuje NIPS sustav izveden kao integrirani NIDS sustav i vatrozid. U
ovom sluaju nije potrebno definirati zajedniku spojnu toku. Paketi s Internet zone
dolaze do ureaja, prvo se proputaju kroz NIDS modul koji donosi odluku o tome
hoe li se paketi propustiti ili ne. Ako se proputaju, vatrozid ih prosljeuje u lokalnu
mreu. U suprotnome paketi se odbijaju.
29
jednostavna: mreni paketi koji se trebaju prenositi preko javne mree umotavaju se5
u pakete javne mree. Slika 27 prikazuje primjer VPN komunikacije. Pretpostavimo,
radi jednostavnosti, da je uspostavljena stalna VPN veza izmeu lijeve i desne
lokalne mree. Pretpostavimo, nadalje, da jedno raunalo iz lijeve mree alje
podatke za ispis na pisa u desnoj mrei. Raunalo alje mrene pakete prema
prospojniku za lokalnu mreu6. Prospojnik prima pakete, analizira zaglavlje paketa i
na temelju odredine adrese zakljuuje da taj paket treba preusmjeriti do desne
mree. Tada cijeli mreni paket, dakle podatke u mrenom paketu i zaglavlje paketa,
ifrira. Nakon prethodne operacije, prospojnik stvara drugi mreni paket u kojem je
izvorina adresa njegova, a odredina adresa adresa prospojnika desne mree. U taj
paket stavljaju se kriptirani podaci iz prethodnog koraka. Kada drugi prospojnik primi
paket, on ga deifrira. Iz deifriranih podataka stvara mreni paket koji postavlja na
mreu odnosno alje do pisaa. Ovo je vrlo bazian opis VPN komunikacije, ali
predstavlja dovoljne temelje za daljnju razradu tematike.
VPN
VPN
5
6
30
Prezentacijski sloj
(eng. Presentation)
Sjedniki sloj
(eng. Session)
Prijenosni sloj
(eng. Transport)
Mreni sloj
(eng. Network)
Podatkovni sloj
(eng. Data link)
31
To se moe uiniti na dva naina. Ili modifikacijom postojee programske podrke ili tzv. metodom
tuneliranja mrenog prometa.
32
33
34
Korisnik moe dozvoliti pristup ili vezu, meutim, da bi razumio o emu se radi,
odnosno dobro protumaio alarme koje podie vatrozid potrebno je obuavanje.
Posljednja komponenta koja e biti dotaknuta u sklopu ovog dijela teksta jest
sustav za detekciju upada u lokalno raunalo (eng. Host Intrusion Detection System,
HIDS u nastavku teksta). Uloga te komponente analogna je ulozi NIDS sustava
opisanog u poglavlju 2.3.1 na strani 24. HIDS sustavi nadgledaju mreni promet koji
dolazi do i odlazi od lokalnog raunala. Ako se radi o malicioznom prometu, podignut
e alarm. Valja istaknuti da oni, u nekim sluajevima, imaju uvid u ifrirani promet,
ovisno o tome ifrira li se promet prije provjere ili nakon provjere prometa HIDS
sustavom. Pored nadgledanja mrenog prometa, HIDS sustavi nadgledaju integritet
datotenog sustava, datoteke sa zapisima (eng. log files) te aktivnosti korisnika.
Nadgledanjem integriteta u mogunosti su detektirati i najmanje promjene u
datotekama i time moguu prijetnju upada. U datotekama sa zapisima mogu pronai
uzorke neautoriziranog ili drugog nedoputenog ponaanja mrenih i lokalnih servisa.
Slino razmatranje vrijedi i za nadgledanje aktivnosti korisnika.
35
36
37
U Europi je najee sluaj da su i linija i krajnji usmjeriva u vlasnitvu ISP-a. U SAD je situacija
neto drugaija. U ISP-ovom vlasnitvu je samo veza dok je korisnik duan sam dobaviti i podesiti
usmjeriva za spajanje. U prikazanom bi sluaju to znailo da korisnik doslovno dobije komad ice te
je za ostalo zaduen sam.
38
10
Kune mree su tipino male i ne nude mree s javnim servisima, pa se u DMZ zonu, ako ona uope
postoji, ne postavljaju dodatna raunala. Primjeri s raunalima u DMZ zoni bit e prikazani u nastavku.
39
Slika 37: Primjer korporacijske mree bez javnih servisa sa stalnom vezom
40
Slika 38 prikazuje jo jedan primjer ovakvog tipa mree, meutim, ovog puta
konkretni. Radi se o raunalnoj mrei postavljenoj u poslovnici jedne turistike
zajednice. Poslovanje u turistikoj zajednici temelji se na raunalima (rezervacije
karata, hotela, itd.) te je zbog toga vano da svaki zaposlenik posjeduje raunalo.
Pored osobnih raunala, vano je imati pisae te posluitelje. Na posluiteljima se
nalaze baze s podacima korisnika te ve sklopljeni ugovori i ostali dokumenti.
Poslovnica, nadalje, eli omoguiti svojim posjetiteljima pregled Internet stranica
odredinih lokacija, hotela, znamenitosti, itd.
ADSL
usmjeriva
Zona s raunalima
za javno koritenje
Internet
ADSL veza
Vatrozid
Preklopnik
Zona s raunalima
zaposlenika
41
42
43
U gornjem tekstu nije reeno o kojim se tipovima vatrozida radi. U ovom sluaju
je to gotovo nebitno, meutim bilo bi dobro da barem unutarnji vatrozid ima
mogunost praenja stanja veze. Vanjski vatrozid moe biti izveden kao prozirni
vatrozid (pri emu bi sva raunala u DMZ zoni poprimila javne IP adrese), kao filtar
mrenih paketa ili kao vatrozid s praenjem stanja veze. Uputno je, nadalje, da
izabrana rjeenja za vatrozide budu od razliitih proizvoaa. Time se postie neto
vea sigurnost jer se smanjuje vjerojatnost da oba vatrozida imaju istu
novootkrivenu ranjivost.
Slika 40 prikazuje funkcionalno istu mreu, no umjesto dva vatrozida koristi se
jedan. Ovime se izbjegava nabavka dva heterogena sustava, a samim time se
pojeftinjuje rjeenje i pojednostavnjuje kasnije odravanje. Treba imati na umu,
meutim, da ovakav vatrozid mora znati barem osnove usmjeravanja mrenog
prometa11 to neka tehnika rjeenja ne podravaju.
Vanjski
posluitelj
web sadraja
Vanjski
imeniki
posluitelji
Unutarnji
Unutarnji
posluitelj
imeniki
web sadraja posluitelji
Vanjski
datoteni
posluitelj
Vanjski
posluitelj
elektronike
pote
Unutarnji
posluitelj
elektronike
pote
Usmjeriva
Internet
Stalna veza
s fiksnom
IP adresom
Vatrozid
Datoteni
posluitelji
Posluitelji
s bazom
podataka
Zastupnik
Zona s raunalima i
posluiteljima zaposlenika
11
44
IDS senzor
Nadgledna stanica
Vatrozid
Usmjeriva
za
ve
a om
aln ksn som
t
S f i re
s ad
IP
Internet
St
a
s ln
IP fiks a ve
ad no za
re m
so
m
Posluitelji s
bazama podataka
Posluitelj
web sadraja
Posluitelj
elektronike
pote
Vanjski vatrozid
Usmjeriva
Unutarnji vatrozid
IDS senzor
Posluitelji
web sadraja
VPN
Klopka
IDS senzor
IDS senzor
Posluitelji s
bazama podataka
IDS senzor
IDS senzor
Nadgledna stanica
Internet zona
DMZ zona
(vanjska zona)
Zona s posluiteljima
web sadraja
Zona s posluiteljima
baza podataka
45
dobiti uvid u eventualne prijetnje. Nain rada te nain spajanja IDS sustava
objanjen je u poglavlju 2.3.1 na stranici 24.
Donji dio slike predstavlja mreu s posluiteljima sadraja. Budui da se
korporacija, ija se mrea analizira, bavi izradom, odravanjem i udomljavanjem web
sadraja za klijente, ne smije se dopustiti niti najmanji ispad ovog dijela mree. Ona
mora raditi bez smetnji i konstantno. Upravo je to razlog zbog kojeg je veina
sustava zalihosna. Kako je veza na Internet te usmjeriva u vlasnitvu pruatelja
Internet usluga, pretpostavlja se da su te komponente takoer zalihosne iako to nije
eksplicitno ucrtano. Na usmjeriva je spojen zalihosni preklopnik ija je uloga
omoguiti spajanje vatrozida, VPN ureaja i klopke istovremeno.
Uloga vatrozida je jasna. Kako vanjski vatrozid proputa ili zabranjuje pristup
kritinim posluiteljima s web sadrajem te predstavlja prvu crtu obrane spomenuti
vatrozidi su takvi da imaju mogunost pregledavanja mrenog prometa sve do
najvieg sloja OSI/ISO 7-segmentnog modela. Radi se, dakle, o vatrozidima
zastupnicima.
VPN ureaji slue za sigurno spajanje zaposlenika u mreu s posluiteljima.
Zaposlenici stvaraju i odravaju web sadraj na svojim raunalima i razvojnim
posluiteljima koji su u sklopu gornje mree na slici. Kada je razvoj gotov oni, iz
unutarnje mree, uspostavljaju vezu s VPN ureajem. Ukoliko je autentikacija i
autorizacija uspjena, vatrozid ih proputa do web posluitelja u tienoj zoni.
Uloga i princip rada klopke opisani su u poglavlju 2.6 na stranici 34. Zadaa tog
sustava jest predstaviti se potencijalnom napadau kao slaba toka koju e napada
iskoristiti. Za to vrijeme administratori sustava prikupit e informacije o napadau i
tipu napada posredno iz sustava klopke te neposredno iz IDS sustava. IDS senzori
postavljeni su ispred i iza klopke kako bi se mogle prikupiti informacije o napadu
usmjerenom prema klopci kao i onom prema drugim dijelovima mree.
Sustav unutarnjih i sustav vanjskih vatrozida ine granice zone s posluiteljima
web sadraja. Vatrozidi su povezani putem zalihosnog preklopnika. Na preklopnik su,
pored vatrozida, spojeni svi posluitelji web sadraja. IDS senzori spojeni su i u ovaj
segment. Jedan je IDS senzor spojen na mreu neposredno nakon vanjskog
vatrozida, dok je drugi spojen neposredno ispred unutarnjeg vatrozida. Uloga je
prvoga prikupiti informacije o prometu koji prolazi kroz vanjski vatrozid te je
usmjeren prema posluiteljima web sadraja. Uloga drugog vatrozida jest prikupiti
iste informacije za promet koji je usmjeren prema unutarnjem vatrozidu. U pravilu bi
se trebalo raditi o mrenom prometu kojeg stvaraju posluitelji web sadraja, a
usmjeren je prema posluiteljima s bazama podataka. Ako to nije sluaj, taj IDS
senzor moe podignuti alarm.
Uloga unutarnjih vatrozida slina je ulozi vanjskih. Ono to za zonu s
posluiteljima web sadraja predstavlja Internet zona, to za zonu s posluiteljima
baza podataka predstavlja zona s posluiteljima web sadraja. Moe se rei da je
zona s posluiteljima baza podataka najkritinija zona pa se zato ona nalazi iza jo
jednog sustava vatrozida. Po prethodnom principu i ovdje se IDS senzor nalazi
spojen neposredno iza vatrozida. Uloga tog IDS senzora u kombinaciji s onim
spojenim ispred vatrozida jest dobiti uvid u to koliko efikasno radi unutarnji vatrozid
kao sigurnosna kontrola. Uloga unutarnjeg vatrozida jest dopustiti pristup tono
jednom posluitelju s bazom podataka od tono odreenog posluitelja web sadraja
u zoni koja se nalazi ispred i to po tono odreenom protokolu. Kako se radi o vrlo
46
kritinim podacima (primjerice, u tim bazama podataka mogu se nalaziti razni cjenici
i druge vrlo kritine informacije) i ovaj vatrozid ima mogunost pregledavanja
protokola na najviem sloju OSI/ISO modela. Drugim rijeima, i ovo je vatrozid
zastupnik. Donji dio mree zavrava zalihosnim preklopnikom i posluiteljima s
bazama podataka.
Vano je primijetiti da, iako su i vanjski i unutarnji vatrozidi zapravo vatrozidi
zastupnici, postoje razlike. Vanjski znaju tumaiti protokol kojim komuniciraju
preglednik web sadraja i web posluitelj. Unutarnji, s druge strane, tumai protokol
kojim komuniciraju web posluitelji s bazama podataka (primjerice, Oracle SQLNet).
47
Primjerice, maliciozne programe koji prislukuju rad korisnika te na Internet alju korisnika imena,
lozinke, brojeve rauna, PINove, itd.
13
RADIUS posluitelj moe se promatrati kao meusloj prema stvarnom mehanizmu autorizacije.
Stvarni mehanizam autorizacije moe biti neki vanjski servis (kako je zapravo izvedeno u ovoj mrei) ili
lokalni servis (primjerice, autentikacija pomou baze podataka).
49
4. Zakljuak
Ovaj je rad kroz prethodna poglavlja imao za cilj arhitektima i dizajnerima
raunalnih mrea prikazati prave korake pri projektiranju te ukazati na potencijalne
probleme i rjeenja pri izradi sigurnih raunalnih mrea.
U poglavlju nakon uvoda opisane su najee susretane komponente i metode
oblikovanja raunalnih mrea. Opisana je segmentacija mree te principi i ureaji koji
slue za segmentiranje. U nastavku su opisani vatrozidi te najee tehnologije
vatrozida. Isto je tako opisana detekcija i prevencija upada iz mree. Kako se sve
ee pojavljuju korisnici koji ele imati udaljeni pristup mrei, pojava virtualnih
privatnih mrea sve je uestalija. Tehnologije i naini rada virtualnih privatnih mrea
takoer su dotaknuti u ovom poglavlju. Kae se da je lanac jak koliko i njegova
najslabija karika. Na sigurnost cjelokupnih raunalnih mrea utjee sigurnost
pojedinih raunala. Dio ovog poglavlja posveen je ovrivanju lokalnih raunalnih
sustava. Na samom kraju su opisane klopke koje slue zavaravanju napadaa.
Tree poglavlje sadri primjere dizajna sigurnih raunalnih mrea. Cilj ovog
poglavlja jest upoznati itatelja s potrebama koje treba ispuniti i ogranienjima koja
ine okvir unutar kojeg se mora pronai konano predloeno rjeenje raunalne
mree. Poglavlje zapoinje opisom najjednostavnije raunalne mree, a to je kuna
mrea. Ona se, u drugom dijelu, proiruje kako bi se dobila korporacijska mrea bez
javnih servisa. Prikazana je konkretna mrea ovakvog tipa, a radi se o mrei
poslovnice jedne turistike zajednice. Naredni dio ovog poglavlja prikazuje
korporacijsku mreu s javnim servisima. Prikazana su dva primjera koja se u sutini
razlikuju po broju vatrozida. Prikazana je konkretna mrea ovakvog tipa, a radi se o
mrei tvrtke koja se bavi izradom, odravanjem i, u konanici, udomljavanjem web
sadraja. Pri kraju ovog poglavlja prikazana je jedna dobro postavljena korporacijska
mrea koja moe posluiti kao predloak pri projektiranju buduih raunalnih mrea.
U vrijeme globalne informatizacije vie gotovo i ne postoje tvrtke koje barem u
jednom svojem segmentu ne koriste raunalo. Raunala su obino povezana u
raunalnu mreu. Raunalna mrea postala je okosnica modernog poslovanja. Kako
bi se osiguralo besprekidno i profitabilno poslovanje potrebno je zatiti resurse i
najvanije poslovne procese, koji se nalaze ili se pogone putem raunalne mree.
Ovaj rad, kroz niz primjera prikazuje na koji nain osigurati raunalnu mreu
upotrebljavajui moderne tehnologije i pri tome prilagoavajui se potrebama
korisnika.
Literatura
A. G. Blank (2004), TCP/IP fundations, Sybex, USA, ISBN 978-0782143706.
G. Ziemba, D. Reed, P. Traina (1995), Security Considerations for IP Fragmented
Filtering, RFC 1858.
Information Systems Audit and Control Association Inc. (2006), CISA Review Manual
2006, ISACA, USA, ISBN 1-933284-15-3.
Information Systems Audit and Control Association Inc. (2007), CISM Review Manual
2007, ISACA, USA, ISBN 1-933284-53-6.
J. Postel (1980), User Datagram Protocol, RFC 768.
J. Postel (1981), Internet Control Message Protocol, RFC 792.
J. Postel (1981), Transmission Control Protocol, RFC 793.
J. Postel, J. Reynolds (1985), File Transfer Protocol (FTP), RFC 959.
J. Sherwood, A. Clark, D. Lynas (2005), Enterprise Security Architecture: A BusinessDriven Approach, CMP Books, ISBN 978-1578203185.
K. Lam, D. LeBlanc, and B. Smith (2004), Assessing Network Security, Microsoft
Press, USA, ISBN 0-7356-2033-4.
S. Bellovin (1994), Firewall-Friendly FTP, RFC 1579.
S. Harris (2005), CISSP All-in-One Exam Guide, 3rd ed., McGraw Hill, USA, ISBN
0-07-225715-6.
S. Northcutt, L. Zeltser, S. Winters, K. K. Frederick, R. W. Ritcey (2003), Inside
Network Perimeter Security, New Riders Publishing, USA, ISBN 0-73571-232-8
T. Lammle (2005), CCNA: Cisco Certified Network Associate Study Guide, 5th ed.,
Sybex, USA, ISBN 978-0782143911.
http://ebtables.sourceforge.net, 20070304.
http://www.netfilter.org, 20070304.
http://www.securityfocus.com/infocus/1670, 20070320.
http://software.newsforge.com/article.pl?sid=04/09/24/1734245, 20070402.
Dodaci
Dodatak A: Popis pojmova
Engleski naziv
Prijevod
Anomaly based
Anti-adware
Anti-spyware
Anti-virus
Attack
Behaviour based
Border router
Bridge
Broadcasting
Control stream
Data stream
Default gateway
Domain name system
Dual-homed DMZ
End-to-end
False negative
False positive
Firewall
Forward proxy
Gateway
Gateway to gateway
Host intrusion detection system
Host to gateway
Host to host
Hosting
53
Dodaci
Engleski naziv
Prijevod
Hybrid switches
Internet service provider
Layer seven switches
Log files
Logging
Network intrusion detection
system
Network intrusion prevention
system
Network time protocol
Packet-filtering
Patches
Port
Proxy
Remote authentication dial in
user service
Reply message type
Request message type
Reverse proxy
Probe
Proxy firewall
Remote user
Road warrior
Router
Scan
Secure Shell
Signature based
Simple network management
protocol
Switch
Three-way handshake
Transparent firewall
Trunking
Updates
Virtual private network
Hibridni preklopnici
Pruatelj Internet usluga
Preklopnici na sedmom sloju
Datoteke sa zapisima
Biljeenje
Sustav za detekciju upada iz mree
Sustav za prevenciju upada iz mree
Protokol za sinkronizaciju vremena
Filtar paketa
Zakrpe
Vrata
Zastupnik
Protokol i servis za autentikaciju udaljenih
korisnika
Tip poruke odgovora
Tip poruke zahtjeva
Reverzni ili obrnuti zastupnik
Ispipavanje
Vatrozid zastupnik
Udaljeni korisnik
Udaljeni korisnik
Usmjeriva
Skeniranje
Sigurni udaljeni pristup koljci
Temeljeno na raspoznavanju uzoraka
Protokol za nadgledanje u upravljanje mrenom
opremom
Preklopnik
Mehanizam trostrukog rukovanja
Prozirni vatrozid
Dijeljenje jedne fizike veze
Updates
Virtualna privatna mrea
54
Dodaci
Puni naziv
ADSL
DMZ
DNS
FTP
HIDS
ICMP
IEEE
IP
ISDN
ISP
LAN
MAC
NIDS
NIPS
NTP
OSI/ISO
RADIUS
SMTP
SNMP
SSH
TCP
UDP
UTP