Web PDF

SVEUILITE U ZAGREBU
FAKULTET ELEKTROTEHNIKE I RAUNARSTVA
Dorian Ivani
DIZAJN SIGURNIH RAUNALNIH MREA

SEMINAR IZ PREDMETA
SIGURNOST RAUNALNIH SUSTAVA
Zagreb, 2007.
Sadraj
SADRAJ .............................................................................................................................................................. 2
POPIS SLIKA........................................................................................................................................................ 3
1. UVOD ................................................................................................................................................................. 5
1.1. ORGANIZACIJA RADA.................................................................................................................................... 6
2. KOMPONENTE I METODE OBLIKOVANJA RAUNALNIH MREA ................................................ 7
2.1. SEGMENTACIJA MREE ................................................................................................................................. 7
2.1.1. Mostovi................................................................................................................................................. 8
2.1.2. Preklopnici........................................................................................................................................... 8
2.1.3. Usmjerivai .......................................................................................................................................... 9
2.1.4. Prospojnici......................................................................................................................................... 10
2.1.5. Mreni segmenti ................................................................................................................................. 10
2.1.6. Virtualni mreni segmenti .................................................................................................................. 12
2.1.7. Mrene zone ....................................................................................................................................... 14
2.2. VATROZIDI ................................................................................................................................................. 15
2.2.1. Prozirni vatrozid ................................................................................................................................ 17
2.2.2. Filtar paketa ...................................................................................................................................... 18
2.2.3. Vatrozid s praenjem stanja veze....................................................................................................... 20
2.2.4. Vatrozid zastupnik.............................................................................................................................. 22
2.3. DETEKCIJA I PREVENCIJA UPADA IZ MREE ................................................................................................. 24
2.3.1. Detekcija upada iz mree ................................................................................................................... 24
2.3.2. Prevencija upada iz mree ................................................................................................................. 27
2.4. VIRTUALNE PRIVATNE MREE .................................................................................................................... 28
2.5. OVRIVANJE LOKALNOG RAUNALNOG SUSTAVA .................................................................................. 31
2.5.1. Obrambene komponente lokalnog raunalnog sustava ..................................................................... 33
2.6. KLOPKE NAMIJENJENE NAPADAIMA .......................................................................................................... 34
3. PRIMJERI DIZAJNA SIGURNIH RAUNALNIH MREA ................................................................... 37
3.1. KUNA RAUNALNA MREA ....................................................................................................................... 37
3.2. KORPORACIJSKA MREA BEZ JAVNIH SERVISA ............................................................................................ 39
3.3. KORPORACIJSKA MREA S JAVNIM SERVISIMA............................................................................................ 41
3.4. PRIMJER DOBRO POSTAVLJENE KORPORACIJSKE MREE ............................................................................. 46
4. ZAKLJUAK .................................................................................................................................................. 50
LITERATURA .................................................................................................................................................... 51
DODACI............................................................................................................................................................... 52
DODATAK A: POPIS POJMOVA ........................................................................................................................... 52
DODATAK B: POPIS KRATICA ............................................................................................................................ 54
Popis slika
Popis slika
Slika
Slika
Slika
Slika
Slika
Slika
Slika
Slika
Slika
Slika
Slika
Slika
Slika
Slika
Slika
Slika
Slika
Slika
Slika
Slika
Slika
Slika
Slika
Slika
Slika
Slika
Slika
Slika
Slika
Slika
Slika
Slika
Slika
Slika
Slika
1: Simbol za most......................................................................................... 8
2: Simbol za preklopnik ................................................................................. 9
3: Simbol za usmjeriva ................................................................................ 9
4: OSI/ISO 7-segmentni model.................................................................... 10
5: Primjer segmentirane mree.................................................................... 11
6: Segmentacija mree izvoenjem posebne infrastrukture ........................... 13
7: Segmentacije mree uz 802.1Q ............................................................... 13
8: Primjer mrenih zona .............................................................................. 14
9: Simboli za vatrozid.................................................................................. 15
10: Vatrozid izmeu Internet zone i lokalne raunalne mree ........................ 15
11: Vatrozid izmeu dviju nepovjerljivih mrea ............................................. 16
12: Vatrozid izmeu dviju mrea razliitog stupnja povjerljivosti .................... 16
13: Slojevi povezanosti prozirnog vatrozida s ostalim mrenim ureajima....... 17
14: Slojevi povezanosti filtra paketa s ostalim mrenim ureajima ................. 18
15: Tijek FTP veze ...................................................................................... 19
16: Tijek pasivne FTP veze .......................................................................... 19
17: Zaglavlje TCP paketa............................................................................. 20
18: Mehanizam trostrukog rukovanja ........................................................... 21
19: Slojevi povezanosti vatrozida zastupnika s ostalim mrenim ureajima ..... 22
20: Vatrozid zastupnik u ulozi prospojnika .................................................... 22
21: Vatrozid zastupnik kao zasebni posluitelj............................................... 23
22: Reverzni zastupnik ................................................................................ 23
23: Postavljanje senzora u tipinu mreu neke organizacije ........................... 25
24: Postavljanje senzora u mreu raspodijeljene organizacije ........................ 26
25: NIPS kao kombinacija NIDS sustava i vatrozida ...................................... 27
26: NIPS kao integrirani NIDS sustav i vatrozid............................................. 28
27: Primjer VPN komunikacije...................................................................... 29
28: Primjer VPN veze od domaina do domaina .......................................... 29
29: Primjer VPN veze od domaina do prospojnika........................................ 30
30: Slojevi na kojima je mogue uspostaviti VPN vezu .................................. 30
31: Slojeviti pogled na osiguranje lokalnih raunalnih sustava ....................... 32
32: Primjer postavljanja klopke u mreu omanje organizacije ........................ 35
33: Primjer postavljanja klope u fakultetsku mreu ....................................... 35
34: Primjer kune mree ............................................................................. 37
35: Primjer kune mree s ugraenim vatrozidom......................................... 38
Popis slika
Slika
Slika
Slika
Slika
Slika
Slika
Slika
36:
37:
38:
39:
40:
41:
43:
Primjer
Primjer
Primjer
Primjer
Primjer
Primjer
Primjer
korporacijske mree bez javnih servisa ....................................... 39

korporacijske mree bez javnih servisa sa stalnom vezom............ 39
mree poslovnice turistike agencije ........................................... 40
korporacijske mree s javnim servisima (dva vatrozida) ............... 41
korporacijske mree s javnim servisima (jedan vatrozid) .............. 43
stvarne mree s javnim servisima ............................................... 44
dobro postavljene korporacijske mree ....................................... 47
Uvod
1. Uvod
U dananje vrijeme gotovo da i ne postoje tvrtke koje u svom poslovanju ne
koriste raunala. Najee se radi o vie raunala spojenih meusobno tako da tvore
raunalnu mreu. U prvotnom obliku raunalne mree upotrebljavale su se za
razmjenu informacija izmeu radnih stanica. U dananje vrijeme priamo o
distribuiranim aplikacijama i bazama podataka koje su, logiki gledano, pokrenute na
raunalnoj mrei. Kae se da mrea pokree servise i da se podaci nalaze na mrei.
Fiziki se aplikacije i baze podataka nalaze instalirane na vie posluitelja koji se ne
nalaze nuno na istoj lokaciji. Raunalne mree omoguuju brz dohvat informacija, a
time i modernizaciju poslovanja te daljnji tehnoloki napredak. Moe se rei da su
raunalne mree okosnica svakog modernog poslovanja.
Meutim kako raunalne mree donose niz poboljanja poslovanju one isto tako
uvode i niz rizika u poslovanje. Slino, primjerice, kao i strojevi za masovnu serijsku
izradu nekih artikala. Dok masovna serijska izrada ubrzava i pojeftinjuje proizvodnju,
jedna banalna greka pri, primjerice, radu stroja moe dovesti do niza proizvedenih
artikala s grekom. To u konanici znai veliki gubitak. Rizici s kojima se korporacije
susreu pri uvoenju i koritenju raunalnih mrea u svojem poslovanju nisu ovakve
prirode. Uglavnom su orijentirani na prekid poslovanja, gubitak podataka, curenje
informacija, gubitak ugleda i slino, no obzirom na to kakav e utjecaj imati na
korporaciju odnosno kakav e gubitak stvoriti zasigurno su i vie nego mjerljivi s
rizikom opisanim u gornjem primjeru i slinim.
Kako raunalne mree i njihovi korisnici ne bi proizvodili gubitke za organizaciju,
potrebno ih je osigurati. Osiguranje raunalnih mrea radi se poevi od faze idejnog
dizajna raunalne mree, preko projekta pa sve do implementacije. Nadalje, esto se
smatra i grijei kada se misli da je proces osiguranja jednokratni postupak.
Osiguranje mree radi se, kako je gore navedeno, u svim fazama razvoja, no i
tijekom cijelog ivota raunalne mree. Mreu je potrebno konstantno nadgledati
kako bi se na vrijeme uoila ranjivost te uklonila potencijalna uska grla. Isto vrijedi i
za potencijalne slabosti i ranjivosti mree. Kako se ranjivosti pojedinih mrenih
ureaja otkrivaju gotovo svakodnevno, vano je i to imati u vidu. Potrebno je
nadzirati sve ureaje i na vrijeme se zatiti od moguih napada internih i vanjskih
korisnika.
Ovaj rad bavi se dizajnom sigurnih raunalnih mrea. Cilj je itatelja upoznati i
prikazati mu nain na koji je uputno slagati ve standardne mrene ureaje
(primjerice, usmjerivae, vatrozide i ostale) kako bi se kao rezultat dobila raunalna
Uvod
mrea koja je odgovarajua za odravanje poslovnih procesa odnosno osiguranje

poslovanja neke organizacije.
Razumijevanje potreba korisnika te rada raunalnih mrea kljuan je faktor za
uspjenost izrade adekvatne mrene arhitekture i njenog dizajna. Kako su izrada
arhitekture i dizajn prvi korak pri projektiranju mree, predstavljajui temelje daljnjih
aktivnosti, izuzetno je vano donijeti prave zakljuke i ispravno postupiti u navedenim
koracima.
Cilj ovog rada je, upravo to, prikazati arhitektima i dizajnerima raunalnih mrea
prave korake te ukazati na potencijalne probleme i rjeenja pri izradi sigurnih
raunalnih mrea.
1.1. Organizacija rada

Ovaj rad organiziran je u etiri poglavlja.
Nakon uvoda slijedi poglavlje koje govori o komponentama i metodama
oblikovanja raunalnih mrea. U tom je poglavlju opisana uloga i nain rada svake
mrene komponente zasebno. Opisuju se sljedee tematike: segmentacija mree,
vatrozidi, detekcija i prevencija upada iz mree, virtualne privatne mree,
ovrivanje lokalnog raunalnog sustava te klopke. Svaku od ovih komponenti je
vano razumjeti jer se pomou njih grade mree koje su prikazane u narednom
poglavlju.
Tree poglavlje prikazuje primjere dizajna sigurnih raunalnih mrea. Poglavlje
poinje jednostavnijim mreama, koje se tijekom istoga nadograuju, a zavrava s
dva kompleksnija primjera. Prvo se opisuje najjednostavniju raunalnu mreu, a to je
kuna raunalna mrea. Potom, mrea se dograuje kako bi izrasla u korporacijsku
mreu bez javnih servisa. Trei dio ovog poglavlja posveen je korporacijskim
mreama s javnim servisima. Prikazan je primjer dvije mree te konkretna mrea
jedne korporacije. Posljednja prikazana raunalna mrea u ovom poglavlju moe se
iskoristiti kao predloak pri graenju nekih buduih mrea jer vrlo openito graena.
Posljednje poglavlje sadri zakljuak.
Na kraju rada nalazi se popis literature i dodaci. Prvi dodatak je popis pojmova.
Svaki je uporabljeni pojam napisan u originalu, na engleskom jeziku, a pored njega
se nalazi prijevod na hrvatski. Drugi dodatak je popis kratica.
2. Komponente i metode oblikovanja raunalnih

mrea
U ovom poglavlju dan je pregled najee upotrebljavanih metoda i komponenti
kojima se oblikuje sigurna raunalna mrea odnosno kojima se poveava sigurnost
postojee mree.
Pri samom poetku poglavlja opisan je pojam segmentacije raunalne mree i
pojanjene su najee upotrebljavane metode i tehnike kojima se raunalna mrea
segmentira. Drugi dio ovog poglavlja tie se vatrozida. Opisan je pojam vatrozida i
njegova funkcija. Tipovi vatrozida, njihove prednosti, nedostaci i funkcije opisani su u
nastavku. Trei dio poglavlja sadri opise metoda i tehnika detekcije i prevencije
upada u raunalnu mreu. Virtualne privatne mree opisane su u sljedeem dijelu,
dok se peti dio ovog poglavlja bavi tematikom ovrivanja lokalnog raunalnog
sustava. Obrambene komponente lokalnog raunalnog sustava objanjene su u
nastavku. Poglavlje zavrava opisom klopki namijenjenih napadaima.
2.1. Segmentacija mree

Nerijetko je sluaj da moderne raunalne mree broje i nekoliko tisua mrenih
ureaja spojenih na nju samu. Tako veliku mreu vrlo je nepraktino, a gotovo i
nemogue odravati i kontrolirati. Uspostaviti i odravati sigurnost cjelokupne mree,
upotrebljavanih komunikacijskih protokola, kao i ureaja spojenih na mreu izazivalo
bi iznimne napore, bilo bi vrlo teko i nepraktino. Zbog toga se pribjegava tehnici
nazvanoj segmentacija mree.
Segmentacija mree, kada se radi o raunalnoj mrei, predstavlja razdvajanje
raunalne mree u podmree tako da se svaka podmrea moe promatrati zasebno
kao zasebni mreni segment. Prednosti razdvajanja raunalne mree su viestruki, a
najee se radi o postizanju boljih performansi (primjerice, smanjenjem zaguenja) i
poboljanoj sigurnosti (primjerice, postavljanjem dodatnih pravila na dio mree u
kojem se nalaze kritini sustavi) [Wikipedia, 2007-02-21].
Segmentacija mree ostvaruje se pomou ureaja za segmentiranje. Najee se
radi o mostovima (eng. bridge), preklopnicima (eng. switch) i usmjerivaima (eng.
router).
Komponente i metode oblikovanja raunalnih mrea
2.1.1. Mostovi
Mostovi (eng. bridge) u terminologiji raunalne mree predstavljaju ureaj koji
predstavlja spoj izmeu dva dijela iste mree. Mostovi u dananje vrijeme kada se
najee radi o optikim mreama i UTP mreama udaljenosti manje od 100m nisu
popularni.
Posebna vrsta mostova, repetitori se koriste kada je potrebno povezati dva
ureaja ili dijela mree koji su udaljeni vie od maksimalne dozvoljene udaljenosti za
medij kojim putuje signal. Primjerice, kada se radi o spajanju dva dijela mree
udaljena 150m UTP medijem ije je ogranienje 100m. Repetiror se tada spaja
priblino u sredinu izmeu dva dijela mree. Kada repetitor primi signal iz jednog
dijela mree, on ga pojaa i poalje u drugi dio mree.
Valja naglasiti da, iako mreu fiziki moemo razdvojiti mostovima odnosno
repetitorima (segmentiramo je na prvom sloju OSI/ISO 7-segmentnog modela),
logiki to ostaje ista mrea. I mostovi i repetitori ponaaju se kao medij tj. nemaju
mogunosti itanja i koritenja podataka koji se nalaze u mrenim paketima kako bi
dalje usmjerili mreni paket.
Slika 1 prikazuje simbol za most koji se upotrebljava pri crtanju raunalnih
mrea.
Slika 1: Simbol za most
2.1.2. Preklopnici
Preklopnici (eng. switch) su ureaji koji se koriste za spajanje vie raunala u
jednu centralnu toku. Ako raunala i mreni ureaji predstavljaju vrhove zvijezde,
preklopnik predstavlja njenu sredinu. Preklopnici su ureaji koji mreu segmentiraju
na drugom sloju OSI/ISO 7-segmentnog modela. Uloga preklopnika je, zapravo,
stvaranje posebnog segmenta za svaki par ureaja koji meusobno komunicira.
Svoju zadau preklopnici ostvaruju tako da pamte MAC adrese mrenih ureaja.
Kada se ureaj prvi put spoji na preklopnik, te kada pokua uspostaviti inicijalnu
konekciju s nekim drugim ureajem, preklopnik zapamti njegovu MAC adresu i
povee je s vratima (eng. port) na koje je ureaj spojen. Pri svakom sljedeem
mrenom paketu koji pristie za taj ureaj, preklopnik pogleda u zaglavlje mrenog
paketa, identificira odredinu MAC adresu te paket alje na vrata na koje je spojen
ureaj s tom MAC adresom.
Vrlo jednostavna ideja rada preklopnika rjeava problem emitiranja (eng.

broadcasting) mrenih paketa. Nadalje, stvaranjem posebnog segmenta za svaku
komunikaciju mrea se osigurava od prislukivanja s tree strane.
Slika 2 prikazuje simbol za preklopnik.
Slika 2: Simbol za preklopnik
2.1.3. Usmjerivai
Usmjerivai (eng. router) imaju slinu ulogu kao i preklopnici. Dok preklopnici
slue za povezivanje vie mrenih ureaja, usmjerivai povezuju vie mrea odnosno
podmrea. Nadalje, preklopnici stvaraju segmente na razini komunikacije izmeu dva
mrena ureaja, a usmjerivai na razini mree. To znai da usmjerivai segmentiraju
mreu na treem sloju OSI/ISO 7-segmentnog modela.
Uloga usmjerivaa je prenoenje paketa iz jedne mree u drugu. Usmjerivai
pregledavaju zaglavlja mrenih paketa te u ovisnosti o odredinoj IP adresi paket
alju u odgovarajuu mreu.
Osnovna uloga usmjerivaa opisana je u prethodnom tekstu. Meutim, pored
samog prenoenja paketa pametniji usmjerivai mogu se koristiti i u neke druge
svrhe. Primjerice, mnogi programski i sklopovski usmjerivai imaju mogunost
filtriranja prometa na osnovi izvorine i/ili odredine adrese. Usmjerivai isto tako
mogu filtrirati i tip prometa na bazi izvorinih odnosno odredinih vrata (eng.
source/destination port). Proizvoai naprednijih usmjerivaa u njih vrlo esto
ugrauju i logiku kojom oni mogu posluiti i kao pristupne toke raunalnoj mrei
odnosno kao NAS (eng. Network Access Server). Pored uloge pristupnih toaka
nerijedak je sluaj kada ih nalazimo kao posluitelje VPN (eng. Virtual Private
Network) veza. Usmjerivai u sebi vrlo esto imaju ugraene i druge mogunosti,
meutim detaljnije razmatranje usmjerivaa izlazi iz okvira ovog seminara.
Slika 3 prikazuje najee upotrebljavani simbol za usmjeriva pri predstavljanju
raunalnih mrea.
Slika 3: Simbol za usmjeriva
10
2.1.4. Prospojnici
Prospojnik (eng. gateway) je ustvari usmjeriva gledan sa stajalita mrenog
ureaja. Mreni ureaj (primjerice, raunalo, pisa i slino) nalazi se u jednoj mrei.
Dodijeljena mu je IP adresa i mrena maska. Taj ureaj na temelju sebi dodijeljene
IP adrese i mrene maske moe zapoeti komunikaciju sa svim ureajima koji se
nalaze u istoj mrei. Isti ureaj, meutim, ne moe komunicirati s ureajima van
njegove mree jer ne zna kojim putem uspostaviti vezu s tim ureajem. Uloga
prospojnika jest pruiti uslugu usmjeravanja mrenih paketa do ureaja koji se
nalaze na nekoj razliitoj mrei od postojee.
Vrlo esto govorimo o dva tipa prospojnika: uobiajenom prospojniku (eng.
default gateway) i prospojniku za zadanu mreu. Prospojnik za zadanu mreu zna
kako uspostaviti vezu s nekim drugim ureajem iz te mree. Uobiajeni prospojnik
zna kako uspostaviti vezu sa svim ureajima koji nisu u lokalnoj mrei.
2.1.5. Mreni segmenti

Kako je ve prije spomenuto u samom uvodu ovog poglavlja o segmentaciji
mrea, mreu se segmentira iz vie razloga. Najee se to radi zbog postizanja
veeg stupnja sigurnosti, radi boljih performansi te lakeg odravanja. Kako se ovaj
seminar bavi iskljuivo tematikom sigurnosti, ostala dva aspekta nee biti detaljnije
opisivani. U gornjem su tekstu opisane osnove mrenih ureaja koji omoguuju
segmentiranje. Segmentiranje mree se vri uglavnom na donja tri sloja po OSI/ISO
7-segmentnom modelu [S. Harris, 2005]. Slika 4 prikazuje 7-segmentni OSI/ISO
model. Pored modela prikazani su gore opisani ureaji kojima se vri segmentacija.
Slika 4: OSI/ISO 7-segmentni model

U okviru sigurnosti raunalnih mrea, segmentacija na najniem, fizikom sloju je
ustvari transparentna.
11
Odvajanje komunikacijskih puteva ureaja koji su povezani na isti preklopnik vri

se na drugom sloju OSI/ISO modela. Takvom se segmentacijom komunikacijski kanal
osigurava od prislukivanja (odnosno neovlatenog itanja) te od smetnji (odnosno
neovlatenog modificiranja). Adresiranje mrenih ureaja na ovom sloju vri se MAC
adresama. Valja naglasiti da preklopnici u pravilu nemaju mogunosti filtriranja pa se
na njima ne mogu sprijeiti eventualni napadi koje bi iniciralo jedno ili vie raunala
vezano na taj preklopnik prema preostalim raunalima. Vano je znati da postoji
definirana MAC adresa i to ff:ff:ff:ff:ff:ff koja se koristi za emitiranje (eng.
broadcasting) poruka svim ureajima.
Na treem, mrenom sloju OSI/ISO modela, uveden je pojam IP adresa. Svaki
mreni ureaj mora imati barem jednu jedinstvenu IP adresu kako bi mogao
sudjelovati u mrenoj komunikaciji. Na ovom sloju rade usmjerivai i prospojnici. Tim
se ureajima ujedno segmentira mrea u onom openitom i najee poznavanom
sluaju: adresama mree i mrenim maskama. Usmjerivai i prospojnici, za razliku od
preklopnika, u pravilu imaju mogunost filtriranja i upravljanja mrenim prometom pa
se na njima mogu sprijeiti svi napadi koji bi bili inicirani iz jedne podmree u drugu.
Oni dakle mogu sprijeiti sve napade kojima bi se oni nali na putu. Najee se to
radi filtriranjem izvorine i/ili odredine adrese odnosno filtriranjem tipa prometa
prema vratima u sluaju TCP [J. Postel (1981)] i UDP [J. Postel (1980)] prometa,
odnosno prema tipu poruke u sluaju ICMP [J. Postel (1981)] prometa. Slino kao i
za MAC adrese, i ovdje postoji adresa definirana za emitiranje poruka svim
ureajima. To je posljednja adresa u opsegu mrenih adresa nekog mrenog
segmenta (primjerice, ako se radi o mrei koja ima adresu 192.168.0.0 i masku
255.255.255.0 onda 192.168.0.255 predstavlja adresu emitiranja odnosno adresu
koju oslukuju svi mreni ureaji u toj mrei).
Slika 5 prikazuje primjer segmentirane mree. Ova se mrea sastoji on nekoliko
razliitih mrenih segmenata. U desnom dijelu slike vidimo most koji vrlo vjerojatno
predstavlja poveznicu izmeu dvije lokacije. U mrei takoer vidimo i nekoliko
preklopnika.
Slika 5: Primjer segmentirane mree
12
Usmjeriva, koji se nalazi u sreditu mree, segmentira mreu na treem sloju

OSI/ISO modela. Svaka od podmrea ima svoju mrenu adresu i pripadajuu masku.
Usmjeriva, ujedno, ima i ulogu prospojnika za sve podmree.
Tabela 1 prikazuje jednu od moguih raspodjela mrenih adresa po mrenim
segmentima za gornji primjer. Prva kolona tablice sadri popis svih mrenih
segmenata. U drugoj koloni tablice dana je adresa mree1. Trea kolona tablice
sadri mrenu masku dok je u zadnjoj dana adresa emitiranja za pojedinu mreu.
Nain dobivanja adrese emitiranja te ostali izrauni vezani za mrene adrese
(primjerice, mrene adrese kod spajanja mrea (eng. superneting), mrene adrese
kod rastavljanja mrea (eng. subneting)) prelaze opseg ovog seminara. Za vie
informacija pogledati [Todd Lammle (2005), Andrew G. Blank (2004)].
Tabela 1: Primjer dodijeljenih adresa
Mrea
Mrea
Mrea
Mrea
Mrea
za
za
za
za
PC raunala
MAC raunala
prijenosna raunala
posluitelje
Adresa mree
192.168.10.x
192.168.20.x
192.168.30.x
192.168.40.x
Mrena maska
255.255.255.0
255.255.255.0
255.255.255.0
255.255.255.0
Adresa emitiranja
192.168.10.255
192.168.20.255
192.168.30.255
192.168.40.255
2.1.6. Virtualni mreni segmenti

Prilikom segmentiranja mree pomou standardnih preklopnika i usmjerivaa
primijeeno je da postoji problem povezivanja ureaja koji su fiziki razdvojeni, a
spadaju u isti mreni segment. Primjerice, segmentira li se mrea, u nekoj
organizaciji koja se nalazi u dvije zgrade, u dvije manje mree po fizikom smjetaju,
rjeenje je relativno jednostavno: potrebno je ugraditi usmjeriva izmeu mrea na
jednoj i drugoj lokaciji te dodijeliti novi skup IP adresa jednoj i/ili drugoj mrei.
Ukoliko je pak zahtjev da se u istoj organizaciji mrea segmentira tako da su pisai u
jednom segmentu, posluitelji u drugom, a osobna raunala u treem bez obzira na
fiziku lokaciju, rjeenje se komplicira. Naime, kako bi se to ostvarilo potrebno bi bilo
izgraditi posebnu kabelsku infrastrukturu te ugraditi preklopnike za svaku od mrea.
Mree bi se povezale u jednu, u centralnom voru, kojeg bi, isto kao i prethodnom
primjeru, predstavljao usmjeriva.
Slika 6 prikazuje upravo takvu situaciju. Na svakoj se lokaciji nalaze osobna
raunala, pisai i posluitelji. Svaka lokacija, dakle, ima tri mrena segmenta. Ukupno
ih je est. Svi mreni segmenti povezuju se u centralnoj toki.
Simbol x u adresi mree govori da ta brojka nije bitna, odnosno da moe biti bilo koja, za izraun
odnosno dobivanje mrene adrese. U praksi se najee koristi ili taj simbol ili se jednostavno upie 0.
13
Slika 6: Segmentacija mree izvoenjem posebne infrastrukture

Kao odgovor na prethodni problem razvijen je IEEE 802.1Q mehanizam odnosno
standard. IEEE 802.1Q je mehanizam koji omoguuje koritenje jedne fizike veze za
vei broj logikih mrea (eng. trunking). Logike mree, pri tome, mogu i ne moraju
biti svjesne jedna druge. Upravo su preklopnici i usmjerivai tipini ureaji koji
podravaju 802.1Q standard.
Za segmentiranje mree, kako je opisano u drugom primjeru gornjeg teksta, uz
uporabu IEEE 802.1Q standarda, nije potrebno izvoditi posebnu kabelsku
infrastrukturu. Iskoritava se postojea, a na preklopnicima se pojedina vrata
dodjeljuju pojedinoj logikoj mrei. Slika 7 prikazuje tako segmentiranu mreu.
Slika 7: Segmentacije mree uz 802.1Q
14
2.1.7. Mrene zone

Prilikom dizajna odnosno segmentacije raunalnih mrea esto se pria o
mrenim zonama. Naziv mrene zone moe se dodijeliti bilo kojem mrenom
segmentu, no obino se koristi kada se referencira na neki dio mree odvojen od
ostalih dijelova ureajem koji na neki nain filtrira mreni promet. To su u pravilu
ureaji uz pomo kojih se nameu pravila sigurnosne politike. Najee se radi o
vatrozidima o kojima e vie rijei biti u poglavlju 2.2. Osim vatrozida to mogu biti i
usmjerivai. Obino je sluaj da (dvije ili) vie mrenih zona predstavlja (dva ili) vie
mrenih segmenata na koje se primjenjuju razliite sigurnosne postavke. Ti mreni
segmenti, u pravilu, imaju razliiti nivo povjerljivosti i vrlo esto razliitu klasifikaciju
sigurnosti.
Slika 8: Primjer mrenih zona

Slika 8 prikazuje mreu neke organizacije koja se sastoji od tri mrene zone.
Internet zona predstavlja zonu nad kojom organizacija nema kontrole niti je u
mogunosti nametnuti sigurnosnu politiku. Zona s veim stupnjem sigurnosti te
nametnutom sigurnosnom politikom naziva se, u ovom sluaju, DMZ (eng.
Demilitarized Zone) zona. DMZ obino predstavlja mrenu zonu koja nije niti dio
lokalne mree niti dio Interneta. To je obino mrea izmeu dviju mrea. Krajnji lijevi
usmjeriva predstavlja granicu zone i naziva se granini usmjeriva (eng. border
router). Slino razmatranje moe se provesti i za zonu lokalne mree odnosno LAN
zonu. LAN zona je mrena zona s najveim stupnjem sigurnosti te vrlo vjerojatno s
nametnutom sigurnosnom politikom. Promatrano iz perspektive osobe zaduene za
sigurnost u LAN zoni, desni usmjeriva predstavlja granini usmjeriva. Sigurnosne
politike nametnute su na usmjerivaima. Na lijevom usmjerivau namee se
15
sigurnosna politike pristupa iz Interneta (primjerice, korisnik, tip prometa, odredina

adresa, itd.). Desni, granini usmjeriva za LAN zonu, slui za nametanje sigurnosne
politike koritenja Interneta (primjerice, koji tip prometa je doputen i prema kojim
odredinim adresama).
2.2. Vatrozidi
Vatrozid (eng. firewall) je ureaj koji, prema unaprijed definiranim pravilima,
doputa ili zabranjuje uspostavu veze i protok mrenog prometa. Slika 9 prikazuje
simbole za vatrozid. Lijevi simbol (simbol zida) koristi se kada se radi o vatrozidu
openito. Desni simbol se obino koristi kada se radi o vatrozidu zastupniku (eng.
proxy firewall) o emu e vie rijei biti u narednim poglavljima.
Slika 9: Simboli za vatrozid

Vatrozid se vrlo esto postavlja izmeu dva mrena segmenta (odnosno dvije
mrene zone) razliitog stupnja povjerljivosti. Tipini primjer je postavljanje vatrozida
izmeu Internet zone i zone lokalne raunalne mree to prikazuje Slika 10.
Slika 10: Vatrozid izmeu Internet zone i lokalne raunalne mree

Specijalan sluaj gornjeg primjera jest postavljanje vatrozida izmeu dviju
nepovjerljivih mrea. To prikazuje Slika 11. Vatrozid u ovom sluaju igra ulogu
uvara za obje mree: desnu mreu titi od lijeve i obrnuto. Ovaj sluaj se najee
susree kada dvije ili vie organizacija povezuje svoje mree radi rada na
zajednikom projektu.
16
Slika 11: Vatrozid izmeu dviju nepovjerljivih mrea

Drugi specijalni sluaj postavljanja vatrozida je izmeu dviju mrea koje imaju
razliiti stupanj povjerljivosti. Slika 12 prikazuje takav primjer. Prvi, lijevi vatrozid
odvaja Internet zonu od zone koja je u vlasnitvu neke organizacije. Izmeu dva
vatrozida nalazi se zona s posluiteljima kojima je mogu pristup iz Interneta.
Konkretno, radi se o posluiteljima web sadraja te o posluitelju elektronike pote.
Drugi, desni vatrozid odvaja tu zonu od zone s najviim stupnjem povjerljivosti. U toj
zoni nalaze se posluitelji s bazama podataka i unutarnji posluitelj elektronike
pote. Ideja je sljedea: posluitelji koji se nalaze u zoni najvie povjerljivosti sadre
podatke koji su kritini za poslovanje organizacije. Klijentima je direktni pristup
zabranjen. Podaci se s njih dohvaaju iskljuivo pomou posluitelja koji se nalaze u
DMZ zoni. U sluaju napada, napadnuti mogu biti posluitelji u DMZ zoni i vanjski
vatrozid. Razlog je jednostavan jedino su oni vidljivi iz Internet zone. Ako
pretpostavimo da je napad uspjean, to e rezultirati gubitkom servisa odnosno
gubitkom dostupnosti, meutim povjerljivost i cjelovitost podataka je zadrana jer se
oni nalaze na drugim posluiteljima. Ako postoji samo jedna zona s posluiteljima i u
njoj se nalaze posluitelji s bazama podataka, riskira se, pored gubitka dostupnosti i
gubitak cjelovitosti i povjerljivosti.
Slika 12: Vatrozid izmeu dviju mrea razliitog stupnja povjerljivosti

Iako je ve prije spomenuto, dobro je naglasiti ponovo: vatrozidi su ureaji
kojima se mogu nametnuti pravila sigurnosne politike. Primjerice, pretpostavimo da
neka organizacija ima vezu na Internet kapaciteta 1Mbit/s. Nadalje, recimo da u istoj
organizaciji 100 i vie zaposlenika koristi tu vezu za svoj svakodnevni rad. Jasno je da
e prekomjerno koritenje te veze od strane jednog ili vie korisnika rezultirati
sveukupnom degradacijom usluge za druge korisnike. To se najee dogaa ako
neki od korisnika tu vezu koriste za dohvaanje raznog multimedijalnog i slinog
17
sadraja koji nema veze s poslovnim zadatkom. Sigurnosnom politikom moe se

zabraniti, primjerice, posjet web stranicama s takvim sadrajem, koritenje protokola
za dohvat takvog sadraja, itd. Implementaciju te sigurnosne politike moe se izvriti
kroz pravilno podeavanje vatrozida za pristup Internet zoni. U tom sluaju vatrozid
postaje preventivna kontrola tj. kontrola kojom se nameu pravila sigurnosne
politike.
U narednim poglavljima nalazi se pregled osnovnih tipova vatrozida. Tipovi su
klasificirani po kompleksnosti odnosno po nainu i dubini pregleda mrenog prometa.
2.2.1. Prozirni vatrozid

Prozirni vatrozid (eng. Transparent firewall) za obavljanje svoje funkcije ne mora
imati dodijeljenu IP adresu. Bez dodijeljene IP adrese on nije vidljivi na mrei2 i od
tuda mu potjee ime. Slika 13 prikazuje na kojim se slojevima OSI/ISO modela vri
komunikacija s okolnim ureajima. Vidimo da je prozirni vatrozid fiziki spojen s
ostatkom mree (primjerice, UTP kabel). Komunikacija staje na drugom sloju, to
znai na razini IP adresa.
Slika 13: Slojevi povezanosti prozirnog vatrozida s ostalim mrenim ureajima

Kada ureaj s jedne strane vatrozida zatrai komunikaciju s ureajem s druge
strane vatrozida, on se predstavlja IP adresom drugog ureaja i vlastitom MAC
adresom. Za ureaj sa suprotne strane ini upravo suprotno. Komunikacija se na
ovaj nain odvija kroz vatrozid. Vatrozid, s druge strane, prilikom primitka paketa
moe pregledati paket na podatkovnom ili viim slojevima te na temelju nekog
parametra izvriti filtriranje3.
2
Vidljivi su samo po MAC adresama i to ureajima koji su neposredno s njima povezani.

Ovo je vrlo openiti opis rada ovakvog tipa vatrozida. Za vie informacija potrebno je pogledati
navedenu literaturu ili neku od Internet stranica.
3
18
Valja posebno istaknuti da svojstvo nevidljivosti ovaj tip vatrozida ini izuzetno
otpornim na iskoritavanja i napade.
Prozirni vatrozid mogue je vrlo jednostavno izvesti uporabom bilo koje
distribucije operacijskog sustava GNU/Linux uz uporabu paketa ebtables
[http://ebtables.sourceforge.net, 20070304].
2.2.2. Filtar paketa

Filtar paketa (eng. Packet filtering firewall) barata podacima mrenog paketa koji
odgovaraju treem (mrenom) i etvrtom (prijenosnom) sloju OSI/ISO modela. Slika
14 predstavlja slojeve na kojima ovaj tip vatrozida razmjenjuje podatke s ostalim
ureajima.
Slika 14: Slojevi povezanosti filtra paketa s ostalim mrenim ureajima

Ovaj tip vatrozida u mogunosti je pregledavati IP zaglavlje paketa te filtrirati
promet prema podacima koji se nalaze u njemu. Prvenstveno se to odnosi na
izvorinu i odredinu IP adresu. Moe se odnositi i na tip prometa kojeg nosi IP paket
(primjerice, TCP, UDP, ICMP, itd.). Podaci koji se nalaze u etvrtom sloju poblie
opisuju protokol umotan u IP protokol. Ovaj tip vatrozida moe pregledavati i te
podatke. Primjerice, ukoliko se radi o TCP prometu, moe pregledavati izvorina i
odredina vrata, redni broj paketa, zastavice, itd. Ukoliko se radi, primjerice, o ICMP
prometu, mogu se pregledavati tipovi ICMP poruka.
Filtri mrenih paketa jedna su od najstarijih tehnika filtriranja mrenog prometa.
Izvode se kao zasebni sklopovski ureaji te kao dodatak veini usmjerivaa
(primjerice, Cisco usmjerivai). Mogu se pronai i u veini modernijih operacijskih
sustava (primjerice, GNU/Linux uz uporabu paketa iptables [http://www.netfilter.org,
20070304]).
19
Fragmentirani (rascjepkani) mreni promet predstavlja najvei problem za

ovakav tip vatrozida. Naime, dozvoljeno je da jedan tijek podataka od izvorita k
odreditu putuje razliitim putovima. Neki putovi imaju vee, a neki manje kapacitete
i brzine. Ovisno o putovima, neki e paketi prije, a neki kasnije, doi na odredite.
Drugim rijeima, poredak paketa na odreditu ne mora nuno odgovarati paketima
na izvoritu. Paketi koji ne pristignu u odgovarajuem redoslijedu slau se u ispravan
redoslijed prije obraivanja [G. Ziemba, D. Reed, P. Traina (1995)]. Filtri mrenih
paketa nemaju mogunosti pamenja odreenog broja mrenih paketa i njihova
preslagivanja po primitku. To napadai esto iskoritavaju tako da prvo poalju
ispravan paket, a onda pakete s malicioznim sadrajem. Filtri mrenih paketa koji
filtriraju promet po prvom paketu njega proputaju, a potom i sve ostale jer dolaze
od istog poiljatelja za kojeg je ve utvreno da alje ispravne pakete.
Drugi problem za filtar mrenih paketa predstavlja dvosmjerni promet. Primjer
dvosmjernog prometa je FTP (eng. File Transfer Protocol) [J. Postel, J. Reynolds
(1985)]. FTP je vrlo specifian protokol zbog njegova naina rada. Prvo FTP klijent
uspostavlja kontrolnu (eng. control) vezu s FTP posluiteljem. Kontrolna veza
uspostavlja se na vratima 21. Zatim klijent alje sluajni i slobodni broj vrata, vei od
1023 FTP posluitelju. FTP posluitelj zatim uspostavlja podatkovnu vezu s FTP
klijentom na vrata broja primljenog u prethodnom koraku. Slika 15 prikazuje tijek
netom opisane FTP veze.
Slika 15: Tijek FTP veze

Ovakav nain komunikacije predstavlja problem za filtar mrenih paketa jer on
ne prislukuje razgovor izmeu dvije strane, ne zna odrediti vrata podatkovne veze
pa time je niti ne moe propustiti. Rjeenje ovog problema ponueno je tzv.
pasivnim FTP protokolom. Inicijaciju veze, u oba sluaja, vri FTP klijent [S. Bellovin
(1994)]. Slika 16 prikazuje tijek pasivne FTP veze.
Inicijacija FTP kontrolne veze
Vrata za podatkovnu FTP vezu
Inicijacija FTP podatkovne veze

Podaci
Slika 16: Tijek pasivne FTP veze
20
2.2.3. Vatrozid s praenjem stanja veze

Vatrozid s praenjem stanja veze (eng. Stateful firewall) barata podacima
mrenog paketa koji odgovaraju treem (mrenom) i etvrtom (prijenosnom) sloju
OSI/ISO modela slino kao i prethodno opisani tip vatrozida. Razlika je, meutim, u
tome to on dodatno prati stanje mrene veze izmeu dva ili vie ureaja te ima
dodatne mogunosti filtriranja prometa. Slika 14, kao i za prethodni tip vatrozida,
predstavlja slojeve na kojima ovaj tip vatrozida razmjenjuje podatke s ostalim
ureajima.
Princip rada ovog tipa vatrozida opisan je u nastavku. Kada ureaj s jedne strane
vatrozida pokuava uspostaviti kontakt s ureajem s druge strane vatrozida, on prvo
provjerava zadana pravila (primjerice, izvorinu i odredinu IP adresu, izvorina i
odredina vrata, itd.) te prihvaa ili odbija mreni paket. Ukoliko se paket prihvati,
vatrozid u radnoj memoriji stvara zapis u kojem se dre podaci koji opisuju netom
uspostavljenu vezu. Paket se potom proputa, kao i svi paketi koji slijede, a dio su
uspostavljene veze. Za odgovor, vatrozid pregleda samo dio podataka koji se nalaze
u zaglavlju, povezuje odgovor s podacima koji su smjeteni u radnoj memoriji te taj
odgovor proglaava dijelom konekcije i proputa pakete.
Vatrozid s praenjem stanja veze, prilikom praenja TCP tipa veza, oslanja se na
zastavice koje se nalaze u zaglavlju TCP paketa [J. Postel (1981)]. Slika 17 prikazuje
zaglavlje TCP paketa s posebno istaknutim poljem u kojem se nalazi est zastavica.
Slika 17: Zaglavlje TCP paketa

Praenje stanja TCP veze zapoinje tzv. mehanizmom trostrukog rukovanja (eng.
three-way handshake). Slika 18 prikazuje uspostavljanje TCP veze odnosno
mehanizam trostrukog rukovanja. U poetnom trenutku posluitelj je u stanju
oslukivanja. Klijent alje inicijalni paket u kojem je postavljena zastavica SYN. U tom
trenutku klijent prelazi u stanje SYN_SENT. Posluitelj po primitku paketa s
postavljenom SYN zastavicom prelazi u stanje SYN_RCVD i odgovara paketom u
kojem su istovremeno postavljene i zastavica SYN i zastavica ACK. Klijent po primitku
tog paketa prelazi iz stanja SYN_SENT u stanje ESTABLISHED pri emu je, za njega,
veza uspostavljena. Odgovara paketom s postavljenom zastavicom ACK. Posluitelj
po primitku tog paketa takoer prelazi u stanje ESTABLISHED. Vatrozid koji se nalazi
izmeu klijenta i posluitelja, nakon uspjeno provedenog trostrukog rukovanja,
21
podatke o uspostavljenoj TCP vezi smjeta u svoju radnu memoriju. Naredne pakete,
koji pripadaju istoj vezi, proputa bez detaljnijeg pregleda usporeujui neke od
osnovnih podataka s onima u radnoj memoriji. Veza se prekida ili istjekom
predefiniranog vremena ili dogovornim prekidom veze.
Slanje paketa s
postavljenom
SYN zastavicom
(SYN_SENT)
Klijent
Veza
uspostavljena
(ESTABLISHED)
Stanja
klijenta
Oslukivanje
(LISTENING)
SYN
SYN/ACK
ACK
Primitak paketa
s postavljenom
SYN zastavicom
(SYN_RCVD)
Veza
uspostavljena
(ESTABLISHED)
Posluitelj
Stanja
posluitelja
Slika 18: Mehanizam trostrukog rukovanja

Vano je napomenuti da se TCP veza moe u proizvoljnom trenutku nalaziti samo
u jednom od 11 definiranih stanja [J. Postel (1981)].
Prilikom razmjene UDP paketa ne uspostavlja se veza izmeu izvorita i
odredita. UDP nema niti zastavice, a time niti mehanizam trostrukog rukovanja. UDP
veza prati se prema izvorinoj i odredinoj adresi te prema izvorinim i odredinim
vratima. Kao dodatni parametar za praenje UDP veze neki vatrozidi koriste i vrijeme.
Slina je situacija i s prometom tipa ICMP. Takoer ne postoje zastavice, ali ni
izvorina niti odredina vrata. ICMP promet prati se zato po izvorinoj i odredinoj
adresi te po tipu ICMP poruke odnosno preko tipa poruke zahtjeva (eng. request
message type) i tipa poruke odgovora (eng. reply message type).
Kao i filtri mrenih paketa, tako i vatrozidi s praenjem stanja veze nalaze se kao
sklopovski ureaji (primjerice, Cisco PIX) te kao dodaci veini usmjerivaa
(primjerice, Cisco usmjerivai). Mogu se pronai i u veini modernijih operacijskih
sustava (primjerice, GNU/Linux uz uporabu paketa iptables [http://www.netfilter.org,
20070304]).
Ovakav tip vatrozida uglavnom nema problema s fragmentiranim mrenim
prometom. Dvosmjerni promet, primjerice FTP, i dalje predstavlja problem. Rjeenje
je, meutim, isto kao i za prethodni tip vatrozida. Uporaba pasivnog FTP protokola.
Napredniji vatrozidi ovog tipa imaju mogunost zaviriti u sadraj FTP paketa u
kontrolnoj vezi. Na taj nain mogu se nositi i s aktivnim tipom FTP protokola.
Nedostatak je, dakako, to takvo rjeenje radi samo za FTP, a ne i neke druge
protokole. Primjerice, protokoli za multimediju, koji se ponaaju na slian nain, i
dalje predstavljaju veliki problem.
22
2.2.4. Vatrozid zastupnik

Vatrozid zastupnik (eng. Proxy firewall) barata podacima mrenog paketa na
svim slojevima OSI/ISO modela. Slika 15 predstavlja slojeve na kojima ovaj tip
vatrozida razmjenjuje podatke s ostalim ureajima.
Slika 19: Slojevi povezanosti vatrozida zastupnika s ostalim mrenim ureajima

Uloga zastupnika jest osiguranje obje strane ukljuene u komunikaciju
spreavanjem direktne komunikacije izmeu njih. Kada klijentsko raunalo eli
uspostaviti vezu s posluiteljem, veza se prvo uspostavlja sa zastupnikom u ulozi
vatrozida. Zastupnik potom sa svoje druge strane uspostavlja vezu s posluiteljem.
Prilikom slanja podataka, svi podaci koji pristignu od klijentskog raunala ili
posluitelja prvo se pregledaju u zastupniku. Pregledavaju se gotovo svi podaci
sadrani u mrenom paketu poevi s atributima mrene veze (izvorinom i
odredinom IP adresom, izvorinim i odredinim vrata, itd.) pa sve do podataka koji
se prenose mrenim paketom. Zastupnik, drugim rijeima, zna razumjeti odnosno
interpretirati komunikaciju izmeu klijentskog raunala i posluitelja. On, dakle,
poznaje protokol kojim se komunicira.
Slika 20: Vatrozid zastupnik u ulozi prospojnika
23
Zastupnik u ulozi vatrozida najee se postavlja na mjesto prospojnika. Slika 20

prikazuje jedan takav tipian sluaj. Zastupnik u ulozi vatrozida moe se podesiti za
rad i kao zasebno raunalo. U tom sluaju potrebno je sva klijentska raunala
preusmjeriti na zastupnik za odgovarajui tip protokola. Slika 21 prikazuje takav
tipian sluaj.
Slika 21: Vatrozid zastupnik kao zasebni posluitelj

U gore prikazanom sluaju, klijentska raunala iz lokalne mree prvo bi
uspostavila vezu s prikazanim zastupnikom koji bi tada preko standardnog vatrozida
uspostavio vezu s posluiteljima na Internetu. Standardni vatrozid bi u tom sluaju
trebalo podesiti tako da odreeni tip prometa iz lokalne mree prema Internetu
proputa samo od vatrozida zastupnika. Na taj nain sprijeila bi se klijentska
raunala u pokuaju direktne komunikacije s raunalima na Internetu.
U praksi najee razlikujemo dva tipa zastupnika. Prvi tip je standardni
zastupnik odnosno zastupnik unaprijed (eng. proxy, forward proxy) koji je opisivan u
gornjem tekstu. Njegova je uloga, pored zatite klijenta, spremanje sadraja u
prirunu memoriju radi brih uzastopnih pristupa (primjerice, ako vie klijenata
posjeuje istu web stranicu). Drugi tip zastupnika jest reverzni odnosno obrnuti
zastupnik (eng. reverse proxy). Takav je tip zastpnika najee u ulozi zatitnika
nekog posluitelja iji je sadraj objavljen veem broju korisnika ili na Internetu.
Funkcionalno, zapravo, ima istu ulogu, ali gledano s drugog aspekta. Dok standardni
zastupnik titi klijentska raunala, reverzni zastupnik titi posluitelj. Slika 22
prikazuje tipino postavljeni reverzni zastupnik kao zatitnik za posluitelj web
sadraja na Internetu.
Slika 22: Reverzni zastupnik

Zbog svojeg naina rada, odnosno detaljnog pregleda mrenog paketa,
zastupnici imaju niz prednosti, ali i nedostataka u odnosu na druge tipove vatrozida.
Zapisi o mrenom prometu su detaljniji. Vrlo jednostavno je uoiti pokuaje krenja
sigurnosnih politika kroz pregled zapisa. Pristup odreenim zonama moe se ostvariti
24
nizom autentikacijskih odnosno autorizacijskih modula, primjerice, parom

ime/lozinka, parom javni/tajni klju, certifikatom, pametnom karticom, itd. Pored
svega navedenog, zastupnici takoer omoguuju sakrivanje topologije interne mree.
Nedostaci su takoer mnogobrojni, u prvom redu smanjuju se performanse zbog
mnogobrojnih uspostavljenih veza od strane samog zastupnika te detaljnog pregleda
svakog mrenog paketa. Zastupnik vrlo lako postaje usko grlo. Nadalje, za svaku je
novu aplikaciju, ukoliko ona pria novim protokolom potrebno razviti novi zastupnik,
odnosno zastupniki modul. Zastupnici su najee programska rjeenja koja se
upogonjuju na sustavima ope namjene, to znai da se ispod njih nalazi operacijski
sustav ope namjene. Zastupnici nasljeuju sve propuste operacijskog sustava.
Ovom tipu vatrozida problem predstavljaju uglavnom kriptirane veze s kraja na
kraj (eng. end-to-end) jer u tom sluaju zastupnici ne mogu gledati u sadraj
mrenog paketa. Tipino se radi o IPSec ili SSL vezama.
2.3. Detekcija i prevencija upada iz mree

U ovom poglavlju opisani su sustavi za detekciju i sustavi za prevenciju upada iz
mree. Kako su sustavi za detekciju ujedno osnova sustava za prevenciju, naglasak
ovog poglavlja je veinom na prvima.
2.3.1. Detekcija upada iz mree

Sustavi za detekciju upada iz mree (eng. Network Intrusion Detection Systems,
NIDS u danjem tekstu) su sustavi koji pregledavaju mreni promet kako bi prepoznali
mogue prijetnje. Njihova je uloga pravovremeno otkrivanje skeniranja (eng. scan),
ispipavanja (eng. probe), napada (eng. attack) i slinog. Uloga NIDS sustava jest
pruanje uvida u potencijalne prijetnje u svrhu osiguranja mree.
Tipini NIDS sustav sastoji se od sljedeih komponenti (ove su komponente u
veini sluajeva integrirane):
mrenog senzora (prislukuje mreni promet i stvara poruke),
centralnog mehanizma (primljene poruke od mrenog senzora sprema u
bazu podataka, stvara izvjea prema unaprijed zadanim pravilima),
konzole (slui za pregled sigurnosnih dogaaja, incidenata, odnosno
alarma).
NIDS sustav moe se klasificirati u nekoliko kategorija ovisno o nainu rada
odnosno nainu prikupljanja i obradi podataka.
Najjednostavniji sustavi su oni koji se temelje na raspoznavanju uzoraka (eng.
signature based). Takvi NIDS sustavi pored baze podataka u koju se spremaju
prikupljeni podaci imaju jo jednu, statiku bazu u kojoj su pohranjeni svi poznati
uzorci malicioznog mrenog prometa. Princip njegova rada je jednostavan: svi
prikupljeni podaci usporeuju se s uzorcima iz statike baze podataka. Ukoliko se
uzorci podudaraju, podie se alarm jer se radi o potencijalno opasnom prometu.
Ukoliko se uzorci ne podudaraju, promet se klasificira kao benigan te se alarm ne
25
podie. Iako je princip rada ovakvih NIDS sustava jednostavan4, on pati od niza
nedostataka. Primjerice, mala modifikacija malicioznog sadraja podataka u mrenom
paketu rezultirat e uzorkom koji nee biti usporediv s uzorcima pohranjenim u bazi,
promet e biti klasificiran kao benigan te e biti proputen.
Neto kompleksniji NIDS sustavi su oni koji se temelje na pregledu ponaanja
(eng. behaviour based) odnosno anomalija (eng. anomaly based). Princip rada oba
navedena sustava je vrlo slian. U prvoj fazi sustav se poduava odnosno upoznaje s
normalnim mrenim prometom. Sustav je zatim spreman za uporabu. Prilikom
oekivanog mrenog prometa, sustav nee podizati alarm. Meutim, ako je promet
neoekivan, alarmira se zadueno osoblje. Princip rada ovakvih NIDS sustava temelji
se na heuristici pa oni kao takvi pate od niza problema, a najee se radi o krivim
alarmiranjima.
Moderniji NIDS sustavi su hibridni, pokazuju odlike sustava temeljenih na
raspoznavanju uzoraka kao i onih temeljenih na prepoznavanju anomalija.
Prilikom ugradnje NIDS sustava u raunalnu mreu vrlo je vano pravilno
smjestiti senzore. Openito, senzori se postavljaju u blizinu ureaja koji vre
filtriranje prometa (usmjerivai, vatrozidi). Ako je na raspolaganju vei broj senzora,
tada se u svaki mreni segment stavlja po jedan senzor. Ako je ne raspolaganju
ogranieni broj senzora, onda ih se postavlja barem na Internet segment te na
segment lokalne mree u kojem se nalaze kritini podaci (primjerice, mrea odjela
prodaje).
Slika 23 prikazuje tipinu mreu neke organizacije. Mrea se sastoji od tri
segmenta: demilitarizirane zone, zone javnih servisa i mree za raunala korisnika.
Senzori su postavljeni u sve tri zone. Izlaz senzora povezan je putem preklopnika u
zasebni mreni segment.
Slika 23: Postavljanje senzora u tipinu mreu neke organizacije
Vrlo je slian principu rada programske podrke za zatitu od malicioznog kda.
26
Slika 24, kao i prethodna slika, prikazuje postavljanje senzora u mreu jedne
organizacije. Za razliku od organizacije ija je mrea prikazana na prethodnoj slici,
ovdje se radi o organizaciji koja se sastoji od lokalne mree, poslovnica, a dozvoljava
se i udaljeni pristup putem modema za udaljeni pristup. Mrea se sastoji od nekoliko
segmenata koje, uglavnom, stvaraju vatrozidi. Gledano s lijeva na desno, prvi
vatrozid predstavlja vatrozid prema Internet segmentu. Postavljena su dva senzora,
jedan ispred, a drugi iza vatrozida. Uloga prvog senzora jest stei uvid u sav mreni
promet koji s Interneta dopire do vatrozida. Drugi vatrozid rei e koji je to promet
kojeg je vatrozid propustio. Usporedbom zapisa ova dva senzora mogue je odrediti
uinkovitost kontrole odnosno, u ovom sluaju, vatrozida. Drugi vatrozid je vatrozid
prema modemima za udaljeni pristup. Jedan senzor nalazi se ispred vatrozida, dok je
drugi iza njega. Prvi e senzor pregledavati sav promet koji dolazi do vatrozida dok
e drugi pregledavati promet iza njega. Neto specifiniji sluaj je trei vatrozid. On
predstavlja vezu izmeu lokalne mree i poslovnica. Pretpostavlja se da je broj
poslovnica vei pa senzori nisu postavljeni na svaku vezu prema poslovnici.
Postavljen je samo jedan senzor i to onaj iza vatrozida. Iako to nije prikazano, izlazi
svih senzora spojeni su u zajedniku toku (primjerice, preklopnik) koja predstavlja
zasebnu mreu za upravljanje NIDS sondama.
Internet
Modemi za udaljeni
pristup
Poslovnice
Telekomunikacijske
veze
Lokalna mrea
Slika 24: Postavljanje senzora u mreu raspodijeljene organizacije

NIDS sustavi koriste se kada je potrebno biti pravovremeno obavijeten o
potencijalnim napadima te kako bi se napadi sprijeili i prije samog nastajanja. Ako
pak nije mogue sprijeiti napad, NIDS sustav koristi se za upozoravanje gotovo isti
tren kad napad zapone. Tijekom napada, pomou navedenoga je mogue prikupiti
podatke o napadu i napadau. Ti se podaci kasnije mogu iskoristiti kako bi se u
budue sprijeili takvi i slini napadi ili kao osnova za sudsku tubu. Dodatno, NIDS
sustavi mogu se koristiti za identifikaciju slabosti, ispitivanje sigurnosne politike i
27
otkrivanje povreda sigurnosne politike. Takoer se mogu koristiti i za detekciju

napada koji se iniciraju iz lokalne mree kao i za analizu protokola.
Pogreke koje se najee susreu kod NIDS sustava su pogrena klasifikacija
benignog prometa (eng. false positive) i pogrena klasifikacija malicioznog prometa
(eng. false negative). Prva pogreka stvara dodatne napore osoblju zaduenom za
nadgledanje NIDS sustava. Svaka pogrena klasifikacija benignog prometa stvara
dodatni zapis, a to iziskuje dodatno vrijeme za pregledavanje zapisa. Pogrena
klasifikacija malicioznog prometa puno je ozbiljniji problem. Kod takve pogreke ne
stvaraju se zapisi, ne podie se alarm te se, openito, takav promet proputa u
lokalnu mreu.
2.3.2. Prevencija upada iz mree

Sustavi za prevenciju upada iz mree (eng. Network Intrusion Prevention
Systems, NIPS u danjem tekstu) uglavnom se temelje na kombinaciji sustava za
detekciju upada iz mree i vatrozida. Ideja je jednostavna: kada sustav koji je
zaduen za detekciju upada prepozna maliciozni promet, on obavjetava vatrozid ija
je potom uloga zabrana malicioznog prometa.
Ovakvi sustavi mogu se izvoditi kao zasebna ili integrirana rjeenja. Oba pristupa
imaju prednosti i nedostatke. Ako se sustavi izvode kao integrirani, kvar jedne
komponente ujedno znai i kvar druge komponente, a to gotovo sigurno znai da e
doi do prekida tijeka mrenog prometa. Prednost je ta to je takav ureaj u
konanici jeftiniji i robusniji. Ako se pak radi o zasebnim rjeenjima, problem obino
nastaje zbog nekompatibilnosti NIDS sustava i vatrozida. Razdvojena rjeenja obino
su kompleksnija, tee ih je integrirati u ve postojeu mreu te zahtijevaju vie
vremena za prilagodbu. U praksi je, uza sve navedeno, ipak ei sluaj da se sustavi
za prevenciju upada izvode kao integrirana rjeenja NIDS sustava i vatrozida.
Slika 25 prikazuje izvedbu NIPS sustava kao kombinaciju NIDS sustava i
vatrozida. Vatrozid i NIDS sustav moraju imati zajedniku spojnu toku, a to je
preklopnik neposredno iza usmjerivaa. Kada mreni promet dolazi iz Internet zone,
distribuira se na obje komponente. NIDS odluuje hoe li se promet propustiti ili ne,
to dojavljuje vatrozidu, a vatrozid zatim proputa ili odbija promet.
Slika 25: NIPS kao kombinacija NIDS sustava i vatrozida
28
Slika 26 prikazuje NIPS sustav izveden kao integrirani NIDS sustav i vatrozid. U
ovom sluaju nije potrebno definirati zajedniku spojnu toku. Paketi s Internet zone
dolaze do ureaja, prvo se proputaju kroz NIDS modul koji donosi odluku o tome
hoe li se paketi propustiti ili ne. Ako se proputaju, vatrozid ih prosljeuje u lokalnu
mreu. U suprotnome paketi se odbijaju.
Slika 26: NIPS kao integrirani NIDS sustav i vatrozid

Iako su prethodna dva pristupa, gledano iz perspektive sustava za prevenciju
upada, funkcionalno ista, drugo rjeenje je, kako je ve prije reeno, puno
jednostavnije integrirati u ve postojei sustav. Tome dodatno pridonosi i injenica
da se obino integrirani ureaji izvode na bazi transparentnog vatrozida, opisanog u
poglavlju 2.2.1 na strani 17, pa za njihovo uklapanje nije potrebno mijenjati ve
dodijeljene mrene adrese. Integracija takvog rjeenja, gotovo uvijek, svodi se na
jednostavno ukljuivanje mrenih vodova u sam ureaj.
Pored navedenih tehnika postoje i neke sofisticiranije tehnike za prevenciju
upada iz mree. U novije doba pruatelji Internet usluga i velike kompanije na
centralnim korporacijskim preklopnicima koriste specijalne module kojima ti
preklopnici dobivaju uvid u najvii, sedmi sloj OSI/ISO modela. Takvi preklopnici
nazivaju se preklopnicima na sedmom sloju (eng. layer seven switches)
[http://www.securityfocus.com/infocus/1670, 20070320].
Postoje i druge tehnike za prevenciju upada iz mree, kao primjerice aplikacijski
vatrozidi, hibridni preklopnici (eng. hybrid switches) i slino, meutim objanjenje
svake od navedenih tehnologija prelazi okvire ovog seminara. Vie o tome moe se
pronai u popisu literature.
2.4. Virtualne privatne mree

Virtualna privatna mrea (eng. Virtual Private Network, VPN u danjem tekstu) je
tehnologija uspostavljanja privatne komunikacijske mree koja omoguava koritenje
javne mree (primjerice, Interneta) u svrhu ostvarivanja povjerljive komunikacije.
VPN mreom mogu se prenositi podaci (primjerice, datoteke, elektronika pota,
itd.), audio i video sadraj i ostali sadraj u elektronikom obliku.
Ostvarivanje povjerljive komunikacije odnosno uspostava privatne mree kroz
javnu mreu postie se tehnikom umotavnja (eng. encapsulate). Ideja je vrlo
29
jednostavna: mreni paketi koji se trebaju prenositi preko javne mree umotavaju se5
u pakete javne mree. Slika 27 prikazuje primjer VPN komunikacije. Pretpostavimo,
radi jednostavnosti, da je uspostavljena stalna VPN veza izmeu lijeve i desne
lokalne mree. Pretpostavimo, nadalje, da jedno raunalo iz lijeve mree alje
podatke za ispis na pisa u desnoj mrei. Raunalo alje mrene pakete prema
prospojniku za lokalnu mreu6. Prospojnik prima pakete, analizira zaglavlje paketa i
na temelju odredine adrese zakljuuje da taj paket treba preusmjeriti do desne
mree. Tada cijeli mreni paket, dakle podatke u mrenom paketu i zaglavlje paketa,
ifrira. Nakon prethodne operacije, prospojnik stvara drugi mreni paket u kojem je
izvorina adresa njegova, a odredina adresa adresa prospojnika desne mree. U taj
paket stavljaju se kriptirani podaci iz prethodnog koraka. Kada drugi prospojnik primi
paket, on ga deifrira. Iz deifriranih podataka stvara mreni paket koji postavlja na
mreu odnosno alje do pisaa. Ovo je vrlo bazian opis VPN komunikacije, ali
predstavlja dovoljne temelje za daljnju razradu tematike.
VPN
Slika 27: Primjer VPN komunikacije

Postoje tri vrste VPN veze obzirom na kranje toke veze.
U VPN vezi od domaina do domaina (eng. host to host) krajnje toke
komunikacije su pojedina raunala to znai da se VPN veza uspostavlja izmeu
svaka dva kranja raunala. Ovakva VPN veza esto se naziva i VPN veza s kraja na
kraj (eng. end to end). Najee se koristi za povjerljivi udaljeni pristup na
posluitelje i mrenu opremu. Moe se koristiti i za udaljeni pristup na lokalna
raunala radi odravanja istih. Slika 28 prikazuje VPN vezu ovog tipa.
VPN
Slika 28: Primjer VPN veze od domaina do domaina
5
6
Odnosno, njihov sadraj smjeta se u pakete javne mree.

U ovom je sluaju prospojnik, vatrozid i ureaj za uspostavu VPN veze jedan ureaj.
30
U VPN vezi od domaina do prospojnika (eng. host to gateway) krajnje toke

komunikacije predstavlja pojedino raunalo i prospojnik. Ovaj tip VPN veze najee
se uporablja u svrhe udaljenog pristupa u korporacijsku mreu. Vrlo esto se radi o
korisnicima koji moraju dohvaati podatke s lokalne mree, a nalaze se dislocirani
(eng. remote user, road warrior). Slika 29 prikazuje VPN vezu netom opisanog tipa.
Slika 29: Primjer VPN veze od domaina do prospojnika

Veza od prospojnika do prospojnika (eng. gateway to gateway) trei je tip VPN
veze. Ovaj tip veze najee se koristi pri spajanju dvije udaljene lokalne mree. VPN
veza se, u ovom sluaju, uspostavlja izmeu dva prospojnika. Slika 27 prikazuje
tipini primjer VPN veze od prospojnika do prospojnika.
Aplikacijski sloj
(eng. Application)
Prezentacijski sloj
(eng. Presentation)
Sjedniki sloj
(eng. Session)
Prijenosni sloj
(eng. Transport)
Mreni sloj
(eng. Network)
Podatkovni sloj
(eng. Data link)
Sloj fizikog medija

(eng. Physical)
Slika 30: Slojevi na kojima je mogue uspostaviti VPN vezu

Postoji nekoliko vrsta VPN veza obzirom na sloj OSI/ISO 7-segmentnog modela
na kojem se uspostavlja veza. Tipino se to radi na jednom od navedenih slojeva:
31
aplikacijskom (sedmom), prijenosnom (etvrtom), mrenom (treem sloju) ili

podatkovnom (drugom sloju). Slika 30 prikazuje OSI/ISO 7-segmentni model s
posebno oznaenim slojevima na kojima je mogue uspostaviti VPN vezu. Na slici je
takoer grafiki prikazan odnos cijena kao i teina integracije pojedinih rjeenja u ve
postojeu mrenu infrastrukturu odnosno u ve postojeu programsku podrku.
Primjerice, razmotrimo VPN vezu uspostavljenu na aplikacijskom sloju. Radi se o
programskoj izvedbi kriptiranja veze kao to je, primjerice, sigurni udaljeni pristup
koljci (eng. secure shell, SSH). Ovakvo rjeenje je najjeftinije (postoje besplatni
programi koji omoguuju takav nain zatite komunikacije), meutim iznimno je
teko takvu vrstu VPN veze integrirati u ve postojee programe7. Tipini primjer
ovakvih veza jest spajanje udaljenih raunala na posluitelje u svrhu obavljanja nekih
operacija na samom posluitelju. Slika 28 prikazuje takav primjer.
Suprotan primjer neka predstavlja VPN veza uspostavljena na mrenom sloju. U
ovom se sluaju radi o sklopovskoj komponenti koja omoguuje ostvarivanje veze.
Klijenti uope ne moraju biti svjesni postojanja VPN veze. Povezivanje udaljenih
mrea je tipian primjer ovakvih veza. Udaljene mree povezuju se preko sklopovskih
ureaja koji slue iskljuivo za to, ostvarivanje VPN veze izmeu dviju ili vie lokacija.
Sklopovski ureaji u sebi imaju ugraenu svu logiku za ifriranje i distribuciju
mrenog prometa. Slika 27 prikazuje tipian primjer.
VPN veze koriste se kada je potrebno osigurati tajnost odnosno povjerljivost
informacija, ouvati cjelovitost i u svrhe autentikacije. Postoje i neki problemi
odnosno nedostaci VPN veza. Najznaajniji nedostatak je taj to je za uspostavu i
slanje paketa putem VPN veze potrebna dodatna obrada podataka (zbog ifriranja).
U svakom mrenom paketu, pored korisnih informacija, potrebno je postaviti i neke
dodatne podatke (primjerice, radi ouvanja integriteta) kojima se koriste ureaji
odnosno programi s obje strane veze. To dovodi do smanjenja prostora u mrenom
paketu za korisne informacije tj. do poveanja broja mrenih paketa odnosno do
veeg mrenog prometa. Zbog toga to VPN uspostavlja mreni tunel izmeu dvije
krajnje toke i logiki skriva sve mrene ureaje i putove (primjerice, usmjerivae i
slino) kojima prolaze paketi dijagnostika problema je oteana. K tome, ifrirani
mreni promet jo vie oteava dijagnostiku.
2.5. Ovrivanje lokalnog raunalnog sustava

Sigurnost usporeujemo s lancem. Kaemo da je lanac jak koliko i njegova
najslabija karika. Dio mree ine pojedina raunala odnosno raunalni sustavi. Kako
raunalni sustavi ne bi postali upravo ta najslabija karika, u ovom e poglavlju kratko
biti opisane metode i naini ovrivanja lokalnih raunalnih sustava.
Postupak ovrivanja lokalnog raunalnog sustava uglavnom se svodi na
modificiranje instalacije operacijskog sustava i/ili aplikacije kako bi se smanjio broj
ranjivosti (ako su poznate), odnosno broj prijetnji koje mogu djelovati na pojedine
atribute operacijskog sustava odnosno aplikacije.
To se moe uiniti na dva naina. Ili modifikacijom postojee programske podrke ili tzv. metodom
tuneliranja mrenog prometa.
32
Osiguranje lokalnih sustava najee se vri na 3 razine: na razini lokalne

sigurnosti, na razini mrene sigurnosti te na razini aplikacijske sigurnosti. Slika 31
prikazuje slojeviti pogled na osiguranje lokalnih raunalnih sustava.
Slika 31: Slojeviti pogled na osiguranje lokalnih raunalnih sustava

Zatita sustava od lokalnih napada uglavnom se svodi na postavljanje
odgovarajuih prava i restrikcija nad korisnikim raunima i grupama. U nastavku je
popisano nekoliko kritinih toaka koje je neophodno ispuniti kako bi se sustav
osigurao od lokalnih napada:
Potrebno je postaviti odgovarajue restrikcije nad programima i alatima koji
slue za modifikaciju korisnikih podataka i podataka na disku,
Potrebno je izbrisati sve programe i alate koji nisu potrebni za rad sustava,
Potrebno je postaviti odgovarajue dozvole nad datotenim sustavom,
Potrebno je postaviti restrikcije nad korisnikim raunima,
Potrebno je postaviti odgovarajue dozvole nad korisnikim grupama,
Korisnike raune uputno je smjestiti u odgovarajue grupe,
Vrlo je vano uspostaviti sustav biljeenja (eng. logging) informacija vezanih
uz sigurnosne dogaaje i sigurnosne incidente,
Vrlo je vano uspostaviti procedure za instalaciju redovitih osvjeavanja
(eng. updates) i zakrpa (eng. patches).
Kada se sustav osigura od lokalnih napada, on i dalje nije siguran ako ga se ne
osigura od moguih napada iniciranih s mree. Slijedi popis kritinih toaka koje je
potrebno ispuniti kako bi se sustav osigurao od napada iniciranih s mree:
Potrebno je izbrisati sve nepotrebne korisnike raune,
Potrebno je postaviti prisilno koritenje snanih zaporki,
Potrebno je uspostaviti odgovarajui mehanizam autentikacije/autorizacije
pri koritenju mrenih servisa,
Potrebno je onemoguiti sve nepotrebne servise,
Potrebno je onemoguiti sve nepotrebne servise za dijeljenje resursa,
Potrebno je onemoguiti sve nepotrebne servise za udaljeni pristup,
Vrlo je vano uspostaviti procedure za instalaciju redovitih osvjeavanja i
zakrpa.
33
Posljednji korak osiguranja raunalnog sustava ukljuuje osiguranje na razini

aplikacijske podrke. To najee ukljuuje postavljanje odgovarajuih prava
pristupa, prisilno koritenje lozinki te uspostavljanje procedura za redovita
osvjeavanja i zakrpe:
Potrebno je postaviti odgovarajua prava pristupa,
Potrebno je postaviti prisilno koritenje snanih zaporki,
Vrlo je vano uspostaviti procedure za instalaciju redovitih osvjeavanja i
zakrpa.
2.5.1. Obrambene komponente lokalnog raunalnog sustava

Jedno raunalo, bilo posluitelj ili osobno raunalo, moe se promatrati kao
raunalna mrea u malom. Kako su u gornjem tekstu opisivane komponente i metode
oblikovanja sigurnih raunalnih mrea, u nastavku e ukratko biti opisane obrambene
komponente lokalnog raunalnog sustava.
Zatita od malicioznih programa (eng. anti-virus) jedna je od najstarijih
upotrebljavanih komponenti. Uloga anti-virusnih programa jest detekcija i uklanjanje
malicioznih programa. Anti-virusni programi tipino imaju nizak stupanj krivo
prepoznatog benignog prometa, relativno su jeftini, a time i iroko prihvaeni
(postoje besplatne inaice ovih programa). Ovi programi imaju i neka ogranienja.
Oni otkrivaju maliciozne programe iji saetak ve posjeduju u svojoj bazi. To
predstavlja potekoe pri detekciji mutirajuih virusa. Nadalje, ako se osvjeavanje
baze saetaka ne radi redovito ili se radi prerijetko, odnosno ako je reakcija
dobavljaa na nove viruse prespora, anti-virus najee nee biti u mogunosti
detektirati maliciozne programe koji su relativno novi i vrlo brzo se ire.
Zatita od prenosivog kda, trojanskih konja i reklama (eng. anti-spyware, antiadware) jo je jedna od komponenti. Programi ovog tipa najee uklanjaju prenosivi
kd, trojanske konje i reklame koje anti-virusni programi ne prepoznaju.
Lokalni vatrozid takoer je komponenta koja se upotrebljava za zatitu lokalnog
raunalnog sustava. Dok je ideja mrenog vatrozida zatita cjelokupne mree koja se
nalazi iza njega, uloga lokalnog vatrozida jest zatita samo jednog - lokalnog
raunala. Lokalni vatrozidi pregledavaju mrene veze odnosno tijek podataka od i do
lokalnog raunala. Njihova uporaba je obavezna na mobilnim raunalima i raunalima
koja se sele izmeu mrea ili spajaju direktno na Internet mreu (primjerice, putem
ISDN ili ADSL prikljuka). Uloga lokalnih vatrozida je dvojaka. U prvom redu oni slue
za sprjeavanje neautoriziranih pristupa raunalu8. Druga, manje oita, namjena jest
za indirektnu detekciju trojanskih konja. Naime, trojanski konji, po uspjenoj zarazi
raunala, najee alju podatke o zaraenom raunalu na Internet. Podesi li se
lokalni vatrozid tako da promatra sve izlazne veze te dozvoljava samo autorizirane,
trojanski konj e pri pokuaju komunikacije s Internetom biti sprijeen u svojem
naumu. Lokalne vatrozide je vrlo esto potrebno runo namjetati odnosno
intervenirati dok ne postignu stabilno stanje. Navedeni proces predstavlja problem za
neobueno osoblje. Nadalje, prilikom detekcije neautoriziranog pristupa ili
neautoriziranog pokuaja komunikacije, vatrozid, najee, podie alarm s porukom.
8
Mreni vatrozidi sprjeavaju neautorizirani pristup cijeloj mrei.
34
Korisnik moe dozvoliti pristup ili vezu, meutim, da bi razumio o emu se radi,
odnosno dobro protumaio alarme koje podie vatrozid potrebno je obuavanje.
Posljednja komponenta koja e biti dotaknuta u sklopu ovog dijela teksta jest
sustav za detekciju upada u lokalno raunalo (eng. Host Intrusion Detection System,
HIDS u nastavku teksta). Uloga te komponente analogna je ulozi NIDS sustava
opisanog u poglavlju 2.3.1 na strani 24. HIDS sustavi nadgledaju mreni promet koji
dolazi do i odlazi od lokalnog raunala. Ako se radi o malicioznom prometu, podignut
e alarm. Valja istaknuti da oni, u nekim sluajevima, imaju uvid u ifrirani promet,
ovisno o tome ifrira li se promet prije provjere ili nakon provjere prometa HIDS
sustavom. Pored nadgledanja mrenog prometa, HIDS sustavi nadgledaju integritet
datotenog sustava, datoteke sa zapisima (eng. log files) te aktivnosti korisnika.
Nadgledanjem integriteta u mogunosti su detektirati i najmanje promjene u
datotekama i time moguu prijetnju upada. U datotekama sa zapisima mogu pronai
uzorke neautoriziranog ili drugog nedoputenog ponaanja mrenih i lokalnih servisa.
Slino razmatranje vrijedi i za nadgledanje aktivnosti korisnika.
2.6. Klopke namijenjene napadaima

Klopke namijenjene napadaima (eng. Honeypot) su posebno podeena raunala
ili sustavi kojima se pokuava napadae uloviti u klopku, skrenuti im panju od
vanih sustava ili na neki nain pruiti otpor napadu. Ideja je vrlo jednostavna:
Napadau ponuditi raunalo ili sustav koji je ranjiv i iju se ranjivost moe relativno
jednostavno iskoristiti. To raunalo se napadau mora initi kao dio mree, a ono,
ustvari, mora biti izolirano raunalo van mree koju se titi ili raunalo smjeteno u
posebnoj mrenoj zoni. Za sustave ovakvog tipa esto se kae da su to sustavi ija
vrijednost lei u njihovoj neautoriziranoj uporabi.
Klopke se najee dijele na klopke s visokim i niskim stupnjem interakcije
[http://software.newsforge.com/article.pl?sid=04/09/24/1734245, 20070402].
Stupanj interakcije iz prethodne definicije odnosi se na koliinu odnosno broj
interakcija izmeu klopki i potencijalnog napadaa. Vei stupanj interakcije znai
prikupljanje vie informacija o napadau, ali i vei rizik za organizaciju.
Klopke s niskim stupnjem interakcije esto rade na principu emulacije
operacijskog sustava i servisa pokrenutih povrh operacijskog sustava (primjerice,
SMTP servis na porodici operacijskih sustava Windows). Servisi su najee izvedeni
tako da podravaju samo uski skup instrukcija odnosno protokola. Napada je
ogranien iskljuivo na koritenje tog skupa instrukcija. Klopke s niskim stupnjem
interakcije relativno se jednostavno mogu uklopiti u ve postojeu mreu zbog svoje
jednostavnosti. Ovakve klopke predstavljaju minimalni rizik za organizaciju jer
napada ne moe iskoristiti slabosti operacijskog sustava ili servisa jer, zapravo,
operacijski sustav niti pravi servis ne postoje.
Klopke s visokim stupnjem interakcije razlikuju se od klopi opisanih u gornjem
tekstu utoliko to se sastoje od stvarnih operacijskih sustava i stvarnih servisa
(primjerice, postoji raunalo s podeenim sustavom iz Windows porodice operacijskih
sustava te SMTP servisom podeenom povrh operacijskog sustava). Prednosti
ovakvih sustava u odnosu na one s niskim stupnjem interakcije nisu zanemarive. Ne
samo da se mogu prikupiti podaci o napadau, ve se moe vidjeti na koji nain
35
napada upada u servis i operacijski sustav. Prua se mogunost presretanja

malicioznih programa koje napada pokuava naseliti na raunalo. Mogue je takoer
presresti interakciju napadaa s raunalom (akcije koje ini, primjerice, tipke koje
pritie) i interakciju s drugim napadaima nakon uspjelog proboja. Iako ovaj tip
klopki ima niz prednosti, postoje i neki nedostaci. Klopke s visokim stupnjem
interakcije predstavljaju puno vei rizik za organizaciju. Kako se radi o stvarnim
operacijskim sustavima i servisima, napada ih moe iskoristiti za daljnje napade.
Nadalje, ovakvi su sustavi kompleksniji od prethodnih te zahtijevaju dodatna
podeavanja prilikom ugradnje u postojeu mreu.
Klopka se u postojeu mreu moe ugraditi gotovo na bilo koje mjesto. Uputno
je, meutim, smjestiti je na mjesto s kojeg oekujemo napade. Slika 32 prikazuje
mreu jedne omanje organizacije. Kako se napadi oekuju iz Internet zone, klopka
mora biti postavljena tako da se s njom moe vriti interakcija iz Internet zone.
Postavljena je, dakle, uz vatrozid.
Slika 32: Primjer postavljanja klopke u mreu omanje organizacije

Slika 33 prikazuje naelnu mreu raunala jednog fakulteta. Klopka se postavlja
ispred zone s administrativnim raunalima. Tamo se nalaze posluitelji s bazama
podataka u kojima se nalaze svi podaci o studentima (ukljuujui ocjene).
Slika 33: Primjer postavljanja klope u fakultetsku mreu
36
Klopke, zbog svojeg specifinog naina rada, imaju nekoliko nedostataka. U

prvom redu, one prikupljaju podatke o napadau samo kada napada vri interakciju
s njima. Vano je uoiti da potencijalni napada moe, zapravo, napasti stvarnu
mreu i u tome uspjeti, a da klopka nije niti taknuta. Podaci o napadau i metodi
napada, u tom sluaju, nee biti prikupljeni. Sljedei, manji, nedostatak jest
uvoenje dodatnog rizika to ponajvie vrijedi za klopke s visokim stupnjem
interakcije. U gornjem je tekstu reeno da se takve klopke mogu iskoristiti za daljnje
napade.
Ovakvi sustavi, meutim, imaju i niz prednosti. Smanjit e se broj krivo
podignutih alarma. Vjerojatnije je da e se interakcija s klopkom vriti namjerno
(napad) nego sluajno. S druge strane, alarm e biti podignut za napade koji bi inae
proli neopaeno. Primjerice, pretpostavimo li da se radi o novom tipu napada, IDS
sustav ga vrlo vjerojatno nee prepoznati jer u njegovoj bazi ne postoji zapis o
takvom napadu. Klopka e, meutim, posluiti kao rtveno janje te e napad biti
identificiran na tom sustavu to e omoguiti uvid u napad, a time i bru reakciju
zatite kritinih sustava u mrei. Klopke mogu posluiti i za detekciju napada sa
ifriranim mrenim prometom. Naime, ukoliko se radi o takvom prometu i napada
napada klopku, promet mora biti deifriran pri interpretaciji u sustavu klopke.
Posljednja znaajna prednost je izuzetno malen zahtjev na resurse. Za klopku moe
posluiti ve gotovo odbaeno raunalo.
Primjeri dizajna sigurnih raunalnih mrea
37
3. Primjeri dizajna sigurnih raunalnih mrea

U ovom poglavlju prikazani su primjeri nekolicine raunalnih mrea. Prikazane
raunalne mree dizajnirane su za razliite vrste korisnika. Dizajn je ostvaren tako da
se postigne maksimalna sigurnost uz potpunu zahtijevanu funkcionalnost.
Najjednostavnija prikazana mrea je kuna mrea. Potom slijedi prikaz korporacijske
mree bez javnih servisa. Uvoenje javnih servisa u korporacijsku mreu te daljnje
segmentiranje mree prikazano je u narednom primjeru. Posljednji primjer prikazuje
dio korporacijske mree jedne institucije koja se bavi prodajom knjiga putem
Interneta.
3.1. Kuna raunalna mrea

Kuna raunalna mrea je, vrlo vjerojatno, najjednostavniji mogui primjer
raunalne mree. Openito takve se mree sastoje od prikljuka na Internet mreu,
esto putem nekog javnog servisa, i nekolicine raunala. Slika 34 prikazuje jednu
takvu mreu. S lijeve strane slike nalazi se Internet zona. Internet zona i mrea koju
promatramo vezane su ADSL vezom. ADSL veza kao i ADSL usmjeriva u vlasnitvu
su pruatelja Internet usluga (eng. Internet Service Provider, ISP u danjem tekstu)9.
Slika 34: Primjer kune mree
U Europi je najee sluaj da su i linija i krajnji usmjeriva u vlasnitvu ISP-a. U SAD je situacija
neto drugaija. U ISP-ovom vlasnitvu je samo veza dok je korisnik duan sam dobaviti i podesiti
usmjeriva za spajanje. U prikazanom bi sluaju to znailo da korisnik doslovno dobije komad ice te
je za ostalo zaduen sam.
38
Kako je u lokalnu mreu potrebno spojiti vie od jednog raunala, usmjeriva se

dalje povezuje na preklopnik. U preklopnik se, u prikazanom primjeru, spajaju stolno
i prijenosno raunalo. Pisa u ovom sluaju nije bitan jer se radi o pisau spojenom
na stolno raunalo, a ne o mrenom pisau.
ADSL usmjeriva u prikazanom primjeru spaja dvije mree: javnu, Internet
mreu i lokalnu mreu. Usmjerivai barataju s podacima mrenog paketa na 3 sloju
ISO/OSI 7-segmentnog modela kako je i opisano u poglavlju 2.1.3 na strani 9. To
znai da IP adrese jedne i druge mree moraju biti razliite. Javna IP adresa, koju
dodjeljuje ISP, postavlja se na lijevoj strani usmjerivaa. Privatna IP adresa, koja
moe biti dodijeljena automatski ili postavljena runo, dodjeljuje se raunalima
spojenim na preklopnik. Maleni, kuni preklopnici tipino nemaju dodijeljenu IP
adresu.
Valja jo primijetiti da usmjeriva prikazanu mreu segmentira u dvije zone:
lokalnu zonu i Internet zonu.
Slika 35 prikazuje istu mreu s dodatno ugraenim vatrozidom. Vatrozid se
postavlja izmeu preklopnika i usmjerivaa. Preklopnik je tipino u vlasnitvu vlasnika
kune mree dok je usmjeriva u vlasnitvu ISP-a. Granica se, obzirom na ovlasti,
moe povui izmeu te dvije naprave. Upravo je iz tog razloga tu postavljen vatrozid.
U ovako postavljenoj mrei, u odnosu na onu prikazanu prethodno, postoje 3 mrene
zone. To su: Internet zona, DMZ zona i zona lokalne mree. Internet zona obuhvaa
sve do usmjerivaa i usmjeriva. DMZ zona nalazi se izmeu usmjerivaa i vatrozida i
u prikazanom sluaju je prazna10. Vatrozid ini granicu izmeu DMZ zone i lokalne
mree.
Slika 35: Primjer kune mree s ugraenim vatrozidom

Kada se pria o kunim mreama openito se radi o mreama s nekoliko
raunala. Najee se radi o dvije ili tri mrene zone odvojene usmjerivaem odnosno
vatrozidom. Raunala se spajaju u jednu komunikacijsku toku putem preklopnika
koji se nalazi u zoni lokalne mree.
Dodatnu analizu mrea ovakvog tipa i veliine ne treba dalje provoditi. Ovo
poglavlje opisuje samo osnove koje predstavljaju polaznu toku za naredne,
kompleksnije primjere.
10
Kune mree su tipino male i ne nude mree s javnim servisima, pa se u DMZ zonu, ako ona uope
postoji, ne postavljaju dodatna raunala. Primjeri s raunalima u DMZ zoni bit e prikazani u nastavku.
39
3.2. Korporacijska mrea bez javnih servisa

Mrea korporacije koja nema javnih mrenih servisa neto je kompleksniji primjer
od kune mree opisane u prethodnom poglavlju. Naelno je organizacija mree ista.
Pristup Internetu ostvaruje se putem ADSL ili sline tehnologije, ili putem stalne veze
(primjerice, optika veza ili beine komunikacije). Slika 36 prikazuje jednu
korporacijsku mreu bez javnih servisa. Vidimo da se veza prema Internetu ostvaruje
putem ADSL prikljuka. Kao i prije, postoji ADSL usmjeriva koji je povezan s
preklopnikom u unutarnjoj mrei. Na preklopnik su povezana raunala zaposlenika,
mreni pisa i posluitelj. Ova mrea sastoji se od dvije mrene zone koje dijeli
usmjeriva: lokalne zone i Internet zone.
Slika 36: Primjer korporacijske mree bez javnih servisa

Slika 37 prikazuje jo jednu korporacijsku mreu bez javnih servisa, no za razliku
od prethodne, ovdje se pristup Internetu ostvaruje preko stalne veze s fiksnom IP
adresom. Dodatno je postavljen i vatrozid na kojem su postavljena takva pravila da
ne doputa pristup iz Internet zone u lokalnu zonu. Vatrozid moe biti bilo kojeg tipa,
no presudni kriterij za izbor je, obzirom na veliinu mree, cijena.
Slika 37: Primjer korporacijske mree bez javnih servisa sa stalnom vezom
40
Slika 38 prikazuje jo jedan primjer ovakvog tipa mree, meutim, ovog puta
konkretni. Radi se o raunalnoj mrei postavljenoj u poslovnici jedne turistike
zajednice. Poslovanje u turistikoj zajednici temelji se na raunalima (rezervacije
karata, hotela, itd.) te je zbog toga vano da svaki zaposlenik posjeduje raunalo.
Pored osobnih raunala, vano je imati pisae te posluitelje. Na posluiteljima se
nalaze baze s podacima korisnika te ve sklopljeni ugovori i ostali dokumenti.
Poslovnica, nadalje, eli omoguiti svojim posjetiteljima pregled Internet stranica
odredinih lokacija, hotela, znamenitosti, itd.
ADSL
usmjeriva
Zona s raunalima
za javno koritenje
Internet
ADSL veza
Vatrozid
Preklopnik
Zona s raunalima
zaposlenika
Slika 38: Primjer mree poslovnice turistike agencije

Sve mrene ureaje koji se nalaze u poslovnici mogue je povezati putem jednog
preklopnika, no zbog osiguranja sadraja koji se nalazi na posluiteljima i raunalima
zaposlenika potrebno je razdvojiti raunala za javno koritenje od ostalih. To se moe
uiniti ili putem dva preklopnika i usmjerivaa ili na nain kako je izvedeno u
primjeru, podeavanjem virtualnih mrenih segmenata na preklopniku. Virtualni
mreni segmenti i IEEE 802.1Q mehanizam opisan je u poglavlju 2.1.6 na stranici 12.
Vano je jo napomenuti da je potrebno ispravno podesiti vatrozid. U prvom redu
potrebno je zabraniti pristup iz Internet zone iz oitih razloga. Zatim je potrebno
zabraniti pristup iz zone s raunalima posjetitelja u zonu s raunalima zaposlenika.
Na kraju, kako se ne bi zlouporabila raunala za posjetitelje, na vatrozidu je potrebno
definirati takva pravila da posjetitelji mogu pristupiti samo Internet stranicama s
provjerenim sadrajem.
Na samom kraju ovog dijela zgodno je napomenuti da se u praksi vrlo esto
nailazi na sluaj kada vlasnici ovakvog tipa mrea iznajmljuju javne servise.
Primjerice, iznajmljuje se servis web sadraja i servis elektronike pote. Fiziki se
posluitelji s tim servisima nalaze izvan lokalne mree pa taj sluaj nije razmatran.
41
3.3. Korporacijska mrea s javnim servisima

Korak dalje od korporacijske mree bez javnih servisa opisane u prethodnom
poglavlju je korporacijska mrea s javnim servisima. Pruanje javnih servisa je opi
pojam kojim se govori da korisnici preko Interneta mogu koristiti neke od servisa
koje prua korporacija.
Slika 39 prikazuje jednu takvu mreu koja je u nastavku objanjena detaljnije.
Veza na Internet mreu mora biti stalna s fiksnom IP adresom kako bi se servisi
uvijek pruali na istoj IP adresi. Pretpostavlja se da je usmjeriva u vlasnitvu
pruatelja Internet usluga. Na usmjeriva je povezan vanjski vatrozid.
Slika 39: Primjer korporacijske mree s javnim servisima (dva vatrozida)

S druge strane vanjskog vatrozida nalazi se preklopnik te unutarnji vatrozid.
Zona koju ine vanjski i unutarnji vatrozid za navedenu mreu smatra se DMZ
zonom. Zona koju ine usmjeriva i vanjski vatrozid takoer je DMZ zona. Meutim,
vanjska DMZ zona ovdje nije u fokusu pa se pod DMZ zonom u nastavku teksta misli
na unutarnju odnosno onu koju ine dva vatrozida. Na preklopnik su spojeni
posluitelji koji pruaju javne servise. Radi se o imenikim (eng. Domain Name
System, u nastavku DNS) posluiteljima, posluitelju web sadraja, posluitelju
elektronike pote te datotenom posluitelju. Uloga DNS posluitelja jest pretvaranje
42
IP adresa u, korisniku pristupanija, imena (primjerice, 161.53.72.111 u www.fer.hr).

Uloga posluitelja web sadraja je jasna. Posluitelj elektronike pote u DMZ zoni
prima elektroniku potu pristiglu s Interneta i preusmjerava je na unutarnji
posluitelj. Datoteni posluitelj u DMZ zoni slui za razmjenu datoteka. Na njega,
primjerice, djelatnici korporacije stavljaju zakrpe za produkte koje nude kako bi
zakrpe bile dostupne svim njihovim korisnicima. Unutarnji vatrozid ini granicu prema
zoni interne mree. Interna mrea dalje je podijeljena u tri zone pomou 802.1Q
mehanizma. U prvoj zoni nalaze se posluitelji s globalnim servisima. Radi se o
servisu elektronike pote, DNS servisu, unutarnjem posluitelju web sadraja, itd. U
drugoj zoni nalaze se posluitelji datoteka i baza podataka. Posljednja zona unutarnje
mree sadri korisnika raunala i zastupnik za pristup Internetu. Navedenoj zoni
imaju pristup svi zaposlenici (plavi ovjeuljci) dok prijanjim dvjema zonama imaju
pristup iskljuivo administratori sustava (crveni ovjeuljci).
Zgodno je napomenuti da se ovakva organizacija DMZ-a u praksi naziva i DMZ s
dva suelja (eng. Dual-homed DMZ). Naime, DMZ se nalazi izmeu dva vatrozida:
vanjskog i unutarnjeg pa u skladu s navedenim postoje vanjsko i unutarnje suelje.
Zanimljivo je vidjeti tijek komunikacije prilikom primitka elektronike poruke.
Pretpostavimo da elektroniku poruku alje posluitelj koji se nalazi u Internet zoni.
On u prvom koraku za poznato ime odredita dobavlja IP adresu. To radi tako da
kontaktira vanjski vatrozid koji proputa upit do DNS posluitelja. Vraena IP adresa
je ustvari IP adresa vatrozida na koju se preslikava vanjski posluitelj elektronike
pote. U drugom koraku posluitelj koji se nalazi u Internet zoni pokuava uspostaviti
vezu s vanjskim posluiteljem elektronike pote. Opet se javlja vanjski vatrozid koji
proputa vezu do posluitelja. Kada je veza izmeu dva posluitelja elektronike
pote uspostavljena, alje se poruka. Nakon uspjeno poslane poruke, veza se
prekida. Sada posluitelj elektronike pote u DMZ zoni uspostavlja vezu s unutarnjim
posluiteljem elektronike pote koji se nalazi u zoni unutarnje mree i to u zoni u
kojoj se nalaze posluitelji s globalnim servisima. Postupak uspostave veze slian je
kao i onaj prethodno opisani s razlikom da se ovdje radi o unutarnjem vatrozidu.
Elektronika pota smjeta se u potanski sandui odredinog korisnika.
Kada korisnik proita poruku i odgovori na nju, komunikacija tee u obrnutom
smjeru. Unutarnji posluitelj elektronike pote preko unutarnjeg vatrozida
uspostavlja vezu s posluiteljem elektronike pote u DMZ zoni. Kada poruka
pristigne u cijelosti na posluitelj u DMZ zoni, veza s unutarnjim posluiteljem se
prekida, a vanjski uspostavlja vezu s posluiteljem elektronike pote u Internet zoni
preko vanjskog vatrozida.
Uloga zastupnika koji se nalazi u zoni s raunalima i posluiteljima nije opisana.
Zadaa tog zastupnika je dvostruka. U prvom redu, on igra ulogu prirunog
spremnika sadraja web stranica. Kada korisnici pristupaju web sadraju unutar
Internet zone, on pristigli web sadraj pamti kako bi naredni korisnici koji pristupaju
istom sadraju dobili bre odgovore te kako se ne bi uzaludno optereivala veza
prema Internetu. Druga uloga zastupnika jest provjera sadraja kojeg alju i primaju
zaposlenici. On pregledava svaki izlazni i svaki ulazni mreni paket kako po mrenim
podacima (primjerice, IP adresa) tako i po sadraju. Ovaj zastupnik zna tumaiti sve
protokole kojima se slue zaposlenici kada dohvaaju sadraj s Interneta. Zastupnici
su detaljnije opisani u poglavlju 2.2.4 na stranici 22.
43
U gornjem tekstu nije reeno o kojim se tipovima vatrozida radi. U ovom sluaju
je to gotovo nebitno, meutim bilo bi dobro da barem unutarnji vatrozid ima
mogunost praenja stanja veze. Vanjski vatrozid moe biti izveden kao prozirni
vatrozid (pri emu bi sva raunala u DMZ zoni poprimila javne IP adrese), kao filtar
mrenih paketa ili kao vatrozid s praenjem stanja veze. Uputno je, nadalje, da
izabrana rjeenja za vatrozide budu od razliitih proizvoaa. Time se postie neto
vea sigurnost jer se smanjuje vjerojatnost da oba vatrozida imaju istu
novootkrivenu ranjivost.
Slika 40 prikazuje funkcionalno istu mreu, no umjesto dva vatrozida koristi se
jedan. Ovime se izbjegava nabavka dva heterogena sustava, a samim time se
pojeftinjuje rjeenje i pojednostavnjuje kasnije odravanje. Treba imati na umu,
meutim, da ovakav vatrozid mora znati barem osnove usmjeravanja mrenog
prometa11 to neka tehnika rjeenja ne podravaju.
Vanjski
posluitelj
web sadraja
Vanjski
imeniki
posluitelji
Unutarnji
Unutarnji
posluitelj
imeniki
web sadraja posluitelji
Vanjski
datoteni
posluitelj
Vanjski
posluitelj
elektronike
pote
Unutarnji
posluitelj
elektronike
pote
Zona posluitelja s unutarnjim

globalnim servisima
Usmjeriva
Internet
Stalna veza
s fiksnom
IP adresom
Vatrozid
Datoteni
posluitelji
Posluitelji
s bazom
podataka
Zona posluitelja datotenog

sadraja i baza podataka
Zastupnik
Zona s raunalima i
posluiteljima zaposlenika
Slika 40: Primjer korporacijske mree s javnim servisima (jedan vatrozid)
11
Spojen je na tri mree pa pored uloge vatrozida ima i ulogu usmjerivaa.
44
Nadalje, moglo bi se zakljuiti kako je gornje rjeenje s dva vatrozida robusnije

te prua veu sigurnost obzirom na kvarove. To je djelomina istina. Naime, ako se
dogodi kvar unutarnjeg vatrozida, moe se pretpostaviti da servisi koji se pruaju iz
DMZ zone potpuno ili djelomino funkcioniraju (primjerice, ako doe do kvara
unutarnjeg vatrozida, pristigla pota nee biti odbijena jer e se skupljati na
posluitelju unutar DMZ zone). Ako se pak dogodi kvar na vanjskom vatrozidu, iz
funkcije ispada kompletna mrea. U drugom sluaju postoji jedan vatrozid te
njegovim kvarom ispada cijela mrea. Jedini nain zatite od kvarova vatrozida je
ostvarivanje zalihosti u njima samima.
Gledano na sigurnost s aspekta tehnologije, prvo rijeenje nudi neto bolju
otpornost na napade i proboje ako se radi o vatrozidima razliitih proizvoaa.
Slika 41 prikazuje mreu korporacije koja se bavi izradom, udomljavanjem (eng.
hosting) i odravanjem web sadraja za druge korporacije. Mrea u vlasnitvu ove
korporacije sastoji se od dva dijela: mree s raunalima zaposlenika i mree s
posluiteljima na kojima se nalaze web stranice i podaci njihovih klijenta.
IDS senzor
IDS senzor
Nadgledna stanica
Vatrozid
Usmjeriva
za
ve
a om
aln ksn som
t
S f i re
s ad
IP
Internet
St
a
s ln
IP fiks a ve
ad no za
re m
so
m
Posluitelji s
bazama podataka
Posluitelj
web sadraja
Posluitelj
elektronike
pote
Vanjski vatrozid
Usmjeriva
Unutarnji vatrozid
IDS senzor
Posluitelji
web sadraja
VPN
Klopka
IDS senzor
IDS senzor
Posluitelji s
bazama podataka
IDS senzor
IDS senzor
Nadgledna stanica
Internet zona
DMZ zona
(vanjska zona)
Zona s posluiteljima
web sadraja
Zona s posluiteljima
baza podataka
Slika 41: Primjer stvarne mree s javnim servisima

U gornjem dijelu mree nalaze se raunala zaposlenika. Vatrozid dijeli mreu u tri
zone: Internet zonu, zonu za javne servise i zonu s raunalima i posluiteljima. U zoni
za javne servise nalazi se posluitelj elektronike pote. Princip i nain njegova rada
opisan je u gornjem tekstu. Zonu s raunalima i posluiteljima nije potrebno dodatno
objanjavati. IDS sustav u gornjem dijelu mree sastoji se od dva IDS senzora i
nadgledne stanice. IDS senzori spojeni su ispred i iza vatrozida kako bi se moglo
45
dobiti uvid u eventualne prijetnje. Nain rada te nain spajanja IDS sustava
objanjen je u poglavlju 2.3.1 na stranici 24.
Donji dio slike predstavlja mreu s posluiteljima sadraja. Budui da se
korporacija, ija se mrea analizira, bavi izradom, odravanjem i udomljavanjem web
sadraja za klijente, ne smije se dopustiti niti najmanji ispad ovog dijela mree. Ona
mora raditi bez smetnji i konstantno. Upravo je to razlog zbog kojeg je veina
sustava zalihosna. Kako je veza na Internet te usmjeriva u vlasnitvu pruatelja
Internet usluga, pretpostavlja se da su te komponente takoer zalihosne iako to nije
eksplicitno ucrtano. Na usmjeriva je spojen zalihosni preklopnik ija je uloga
omoguiti spajanje vatrozida, VPN ureaja i klopke istovremeno.
Uloga vatrozida je jasna. Kako vanjski vatrozid proputa ili zabranjuje pristup
kritinim posluiteljima s web sadrajem te predstavlja prvu crtu obrane spomenuti
vatrozidi su takvi da imaju mogunost pregledavanja mrenog prometa sve do
najvieg sloja OSI/ISO 7-segmentnog modela. Radi se, dakle, o vatrozidima
zastupnicima.
VPN ureaji slue za sigurno spajanje zaposlenika u mreu s posluiteljima.
Zaposlenici stvaraju i odravaju web sadraj na svojim raunalima i razvojnim
posluiteljima koji su u sklopu gornje mree na slici. Kada je razvoj gotov oni, iz
unutarnje mree, uspostavljaju vezu s VPN ureajem. Ukoliko je autentikacija i
autorizacija uspjena, vatrozid ih proputa do web posluitelja u tienoj zoni.
Uloga i princip rada klopke opisani su u poglavlju 2.6 na stranici 34. Zadaa tog
sustava jest predstaviti se potencijalnom napadau kao slaba toka koju e napada
iskoristiti. Za to vrijeme administratori sustava prikupit e informacije o napadau i
tipu napada posredno iz sustava klopke te neposredno iz IDS sustava. IDS senzori
postavljeni su ispred i iza klopke kako bi se mogle prikupiti informacije o napadu
usmjerenom prema klopci kao i onom prema drugim dijelovima mree.
Sustav unutarnjih i sustav vanjskih vatrozida ine granice zone s posluiteljima
web sadraja. Vatrozidi su povezani putem zalihosnog preklopnika. Na preklopnik su,
pored vatrozida, spojeni svi posluitelji web sadraja. IDS senzori spojeni su i u ovaj
segment. Jedan je IDS senzor spojen na mreu neposredno nakon vanjskog
vatrozida, dok je drugi spojen neposredno ispred unutarnjeg vatrozida. Uloga je
prvoga prikupiti informacije o prometu koji prolazi kroz vanjski vatrozid te je
usmjeren prema posluiteljima web sadraja. Uloga drugog vatrozida jest prikupiti
iste informacije za promet koji je usmjeren prema unutarnjem vatrozidu. U pravilu bi
se trebalo raditi o mrenom prometu kojeg stvaraju posluitelji web sadraja, a
usmjeren je prema posluiteljima s bazama podataka. Ako to nije sluaj, taj IDS
senzor moe podignuti alarm.
Uloga unutarnjih vatrozida slina je ulozi vanjskih. Ono to za zonu s
posluiteljima web sadraja predstavlja Internet zona, to za zonu s posluiteljima
baza podataka predstavlja zona s posluiteljima web sadraja. Moe se rei da je
zona s posluiteljima baza podataka najkritinija zona pa se zato ona nalazi iza jo
jednog sustava vatrozida. Po prethodnom principu i ovdje se IDS senzor nalazi
spojen neposredno iza vatrozida. Uloga tog IDS senzora u kombinaciji s onim
spojenim ispred vatrozida jest dobiti uvid u to koliko efikasno radi unutarnji vatrozid
kao sigurnosna kontrola. Uloga unutarnjeg vatrozida jest dopustiti pristup tono
jednom posluitelju s bazom podataka od tono odreenog posluitelja web sadraja
u zoni koja se nalazi ispred i to po tono odreenom protokolu. Kako se radi o vrlo
46
kritinim podacima (primjerice, u tim bazama podataka mogu se nalaziti razni cjenici
i druge vrlo kritine informacije) i ovaj vatrozid ima mogunost pregledavanja
protokola na najviem sloju OSI/ISO modela. Drugim rijeima, i ovo je vatrozid
zastupnik. Donji dio mree zavrava zalihosnim preklopnikom i posluiteljima s
bazama podataka.
Vano je primijetiti da, iako su i vanjski i unutarnji vatrozidi zapravo vatrozidi
zastupnici, postoje razlike. Vanjski znaju tumaiti protokol kojim komuniciraju
preglednik web sadraja i web posluitelj. Unutarnji, s druge strane, tumai protokol
kojim komuniciraju web posluitelji s bazama podataka (primjerice, Oracle SQLNet).
3.4. Primjer dobro postavljene korporacijske mree

Posljednji primjer ovog poglavlja prikazuje dobro postavljenu korporacijsku
mreu gledano s aspekta sigurnosti. Kako nisu opisivani poslovni procesi korporacije,
a prikazana mrea je izgraena za openitu primjenu, ovo je ujedno i vrlo dobar
predloak za izgradnju i dizajn sigurnih raunalnih mrea.
Slika 42 na stranici 47 prikazuje spomenutu raunalnu mreu. Mrea se sastoji od
nekoliko zona koje su opisane u nastavku teksta.
Vezu na Internet pruaju dva razliita pruatelja Internet usluga. Svaki od njih
ima svoj usmjeriva. Iza usmjerivaa nalaze se dvostruki vatrozidi i dvostruki VPN
ureaji za udaljeno spajanje.
IDS senzor spojen je ispred vatrozida kako bi se dobio uvid u prijetnje iz Internet
zone. Vanjski vatrozid dijeli korporacijsku mreu na dva dijela: podmreu za pruanje
Internet servisa (vidi desni dio slike) i unutarnju mreu (vidi donji dio slike).
Komunikacija korisnika iz Internet zone s posluiteljima koji pruaju Internet
usluge odvija se preko obrnutog zastupnika. On je ujedno i jedina veza izmeu
vanjskih vatrozida i tih posluitelja. Svaka se veza prema tim posluiteljima dodatno
pregledava na tom obrnutom zastupniku.
Prikazana korporacija u zoni za pruanje Internet servisa ima nekoliko posluitelja
(vidi gornji desni dio slike). U prvom redu tu su primarni i sekundarni vanjski imeniki
posluitelji (DNS) te posluitelji za sinkronizaciju tonog vremena (NTP). U istoj se
zoni nalazi posluitelj web sadraja, posluitelj elektronike pote s postavljenom
zatitom od malicioznih programa i neeljenog sadraja, te datoteni posluitelj
(FTP). IDS senzor vezan je na segment mree koji dijele vanjski vatrozid i obrnuti
zastupnik kao i na segment mree na koji su vezani gore opisani posluitelji.
U unutarnjoj se mrei, odmah iza vanjskog vatrozida, nalaze usmjeriva,
zastupnik i unutarnji posluitelj elektronike pote (vidi sredinu slike).
Uloga unutarnjeg posluitelja elektronike pote jest pohrana i razmjena poruka
zaposlenika korporacije. Pored navedenog, on od vanjskog posluitelja elektronike
pote prima poruke namijenjene korisnicima unutar korporacije. Vano je istaknuti da
i vanjski i unutarnji posluitelj imaju postavljenu zatitu od malicioznih programa i
neeljenog sadraja. Kako bi se poveao stupanj detekcije malicioznog i neeljenog
sadraja, na posluitelje su postavljeni proizvodi za detekciju razliitih proizvoaa.
Drugim rijeima, ako virus nije prepoznat na vanjskom posluitelju, postoji vea
vjerojatnost da e biti prepoznat na unutarnjem budui da se radi o razliitom
47
Slika 42: Primjer dobro postavljene korporacijske mree
dobavljau podrke za detekciju malicioznih programa. Kada se elektronika pota

alje van organizacije, poruke se prvo skupljaju na unutarnjem posluitelju, a potom
ih on predaje vanjskom koji je zaduen za slanje na Internet.
Druga navedena komponenta u tom dijelu mree je zastupnik. U ovom se sluaju
radi o normalnom zastupniku. Njegova uloga je, u prvom redu, smanjiti optereenje
veze na Internet tako da se izbjegnu viestruki uzastopni dohvati istog sadraja. Uz
spomenuto, ovaj e zastupnik otkriti i prekinuti napade i neke tipove curenja
informacija12 iz unutarnje mree prema Internetu.
Trea komponenta je obini usmjeriva. Njegova je uloga propustiti sve
protokole iz unutarnje mree prema vanjskoj Internet mrei ili prema mrei u kojoj se
nalaze posluitelji Internet servisa, a koji nisu podrani zastupnikom. Drugim
rijeima, ako zastupnik ne zna tumaiti neki od protokola koji je organizaciji, odnosno
nekom poslovnom procesu unutar organizacije, potreban za rad, tada se on proputa
kroz ovaj usmjeriva. Ovo se smatra loom praksom, meutim, ovisno o protokolu,
takvo rjeenje ne mora unositi dodatne rizike u ve postojeu mreu. Primjerice,
koristi li se taj usmjeriva za proputanje protokola za nadgledanje (primjerice,
SNMP) posluitelja u zoni za Internet servise, njegova uporaba je opravdana. Tim
vie to e taj protokol biti proputen iskljuivo od stanice za nadgledanje mree do
pojedinih posluitelja.
Kako je na slici prikazano, IDS senzori vezani su na oba mrena segmenta.
Unutarnji vatrozid ponovno ima tri mrena suelja i shodno tome dijeli taj dio
mree u tri segmenta. Prvi segment opisan je u prethodnom tekstu. Drugi segment
je segment za nadzor i upravljanje mrenim sustavima, dok je trei segment onaj s
raunalima i unutarnjim posluiteljima. Analiza ova dva segmenta slijedi u nastavku.
Segment za nadzor i upravljanje mrenim sustavima prikazan je na lijevom dijelu
slike. Prikazani su samo neki, vaniji sustavi u tom segmentu. U prvom redu, tu se
nalazi stanica za nadzor i upravljanje IDS senzorima. Svi IDS senzori koji su ucrtani u
slici vezani su na tu nadzornu stanicu. Na njoj je mogue pregledavati zapise i alarme
IDS senzora, vremenski korelirati zapise i slino.
Sljedei je tu RADIUS posluitelj. Njegova je uloga autentikacija udaljenih
korisnika. Kada se udaljeni korisnici spajaju na ovu mreu koriste Internet kao medij.
Spajaju se putem VPN mehanizma koji je detaljnije opisan u poglavlju 2.4 na stranici
28. VPN ureaji za prihvat udaljenih korisnika ve su opisani, a nalaze se spojeni
paralelno uz vanjski vatrozid. Kada se udaljeni korisnik spoji na VPN ureaj on od
njega zatrai korisniko ime i lozinku. Potom se uspostavlja veza s RADIUS
posluiteljem koji na neki nain provjerava podatke i potom, ili daje odobrenje, ili
odbija korisnika. To se moe uiniti na vie naina13, meutim u ovom primjeru, iako
nije prikazano, RADIUS posluitelj postavlja upit unutarnjem Windows temeljenom
autentikacijskom posluitelju te prosljeuje njegov odgovor natrag do VPN ureaja.
U ovom segmentu mree nalazi se jo i nadzorna i upravljaka stanica za
vatrozide. Ideja je sljedea. Na vatrozidima direktno nije mogue promijeniti niti
12
Primjerice, maliciozne programe koji prislukuju rad korisnika te na Internet alju korisnika imena,
lozinke, brojeve rauna, PINove, itd.
13
RADIUS posluitelj moe se promatrati kao meusloj prema stvarnom mehanizmu autorizacije.
Stvarni mehanizam autorizacije moe biti neki vanjski servis (kako je zapravo izvedeno u ovoj mrei) ili
lokalni servis (primjerice, autentikacija pomou baze podataka).
49
jedan parametar. Drugim rijeima, nije mogue mjenjati datoteke s postavkama

vatrozida. Navedeno predstavlja dodatno osiguranje. Pretpostavimo li da napada
nekako i uspije probiti vatrozid, on nee moi modificirati njegove postavke zbog
upravo obrazloenog. Nadgledna i upravljaka stanica koja se nalazi u unutarnjoj
mrei radi upravo to, prikuplja zapise s vatrozida, podie alarme te ovlatenom
osoblju omoguuje promjenu postavki na vatrozidima.
Jedna radna stanica odnosno posluitelj s bazom podataka takoer se nalazi u
ovom segmentu mree. Uloga tog posluitelja je prikupljati zapise sa svih mrenih
ureaja. Na njemu su postavljeni agenti koji prikupljaju zapise iz vatrozida, VPN
ureaja, usmjerivaa, zastupnika i ostalih. U konanici, na njemu se nalaze svi zapisi
koji pristiu u vremenskom redoslijedu dogaaja. Ovlateno osoblje te zapise moe
koristiti za analizu sigurnosnih dogaaja i incidenata. Pomou njih je mogue tono
ustanoviti to je potencijalni napada pokuavao uiniti, na kojem ureaju i kojim
redoslijedom.
Posljednja radna stanica ucrtana na slici ima ulogu nadzorne i upravljake radne
stanice za mrene ureaje. Ona putem SNMP protokola prikuplja informacije s
ureaja (primjerice, optereenje procesora, iskoritenje memorije, iskoritenje
diskova, promet po vratima preklopnika, broj spajanja na VPN ureaj i slino),
sprema ih u lokalnu bazu te po potrebi moe uiniti analizu (primjerice, iscrtati
grafove i slino). Pomou ove radne stanice mogue je takoer mijenjati postavke na
mrenim ureajima za koje je to dozvoljeno (primjerice, iskljuiti jedna vrata
preklopnika ili usmjerivaa ako je ustanovljeno da s njih pristie maliciozni mreni
promet).
Konano, posljednji segment ove mree predstavljaju raunala zaposlenika i
unutarnji posluitelji (vidi dolje desno). Taj segment nije detaljnije opisivan. U njemu
se nalaze posluitelji koje koriste iskljuivo zaposlenici (primjerice, pojedini imeniki
posluitelji, razno-razne baze podataka) te radne stanice i prijenosna raunala
zaposlenika. Pored raunala, u ovom se segmentu nalaze mreni pisai i drugi slini
ureaji (primjerice, fax ureaj).
Prikazana mrea izvuena je iz cjelokupne stvarne mree jedne korporacije. Kako
predstavlja izvrstan primjer dobro projektirane mree obzirom na sigurnost te kako
mrea s raunalima zaposlenika nije detaljno razraena niti su postavljeni specifini
servisi, slijedi da je ovaj primjer mogue iskoristiti kao predloak pri projektiranju
nekih buduih raunalnih mrea.
4. Zakljuak
Ovaj je rad kroz prethodna poglavlja imao za cilj arhitektima i dizajnerima
raunalnih mrea prikazati prave korake pri projektiranju te ukazati na potencijalne
probleme i rjeenja pri izradi sigurnih raunalnih mrea.
U poglavlju nakon uvoda opisane su najee susretane komponente i metode
oblikovanja raunalnih mrea. Opisana je segmentacija mree te principi i ureaji koji
slue za segmentiranje. U nastavku su opisani vatrozidi te najee tehnologije
vatrozida. Isto je tako opisana detekcija i prevencija upada iz mree. Kako se sve
ee pojavljuju korisnici koji ele imati udaljeni pristup mrei, pojava virtualnih
privatnih mrea sve je uestalija. Tehnologije i naini rada virtualnih privatnih mrea
takoer su dotaknuti u ovom poglavlju. Kae se da je lanac jak koliko i njegova
najslabija karika. Na sigurnost cjelokupnih raunalnih mrea utjee sigurnost
pojedinih raunala. Dio ovog poglavlja posveen je ovrivanju lokalnih raunalnih
sustava. Na samom kraju su opisane klopke koje slue zavaravanju napadaa.
Tree poglavlje sadri primjere dizajna sigurnih raunalnih mrea. Cilj ovog
poglavlja jest upoznati itatelja s potrebama koje treba ispuniti i ogranienjima koja
ine okvir unutar kojeg se mora pronai konano predloeno rjeenje raunalne
mree. Poglavlje zapoinje opisom najjednostavnije raunalne mree, a to je kuna
mrea. Ona se, u drugom dijelu, proiruje kako bi se dobila korporacijska mrea bez
javnih servisa. Prikazana je konkretna mrea ovakvog tipa, a radi se o mrei
poslovnice jedne turistike zajednice. Naredni dio ovog poglavlja prikazuje
korporacijsku mreu s javnim servisima. Prikazana su dva primjera koja se u sutini
razlikuju po broju vatrozida. Prikazana je konkretna mrea ovakvog tipa, a radi se o
mrei tvrtke koja se bavi izradom, odravanjem i, u konanici, udomljavanjem web
sadraja. Pri kraju ovog poglavlja prikazana je jedna dobro postavljena korporacijska
mrea koja moe posluiti kao predloak pri projektiranju buduih raunalnih mrea.
U vrijeme globalne informatizacije vie gotovo i ne postoje tvrtke koje barem u
jednom svojem segmentu ne koriste raunalo. Raunala su obino povezana u
raunalnu mreu. Raunalna mrea postala je okosnica modernog poslovanja. Kako
bi se osiguralo besprekidno i profitabilno poslovanje potrebno je zatiti resurse i
najvanije poslovne procese, koji se nalaze ili se pogone putem raunalne mree.
Ovaj rad, kroz niz primjera prikazuje na koji nain osigurati raunalnu mreu
upotrebljavajui moderne tehnologije i pri tome prilagoavajui se potrebama
korisnika.
Literatura
A. G. Blank (2004), TCP/IP fundations, Sybex, USA, ISBN 978-0782143706.
G. Ziemba, D. Reed, P. Traina (1995), Security Considerations for IP Fragmented
Filtering, RFC 1858.
Information Systems Audit and Control Association Inc. (2006), CISA Review Manual
2006, ISACA, USA, ISBN 1-933284-15-3.
Information Systems Audit and Control Association Inc. (2007), CISM Review Manual
2007, ISACA, USA, ISBN 1-933284-53-6.
J. Postel (1980), User Datagram Protocol, RFC 768.
J. Postel (1981), Internet Control Message Protocol, RFC 792.
J. Postel (1981), Transmission Control Protocol, RFC 793.
J. Postel, J. Reynolds (1985), File Transfer Protocol (FTP), RFC 959.
J. Sherwood, A. Clark, D. Lynas (2005), Enterprise Security Architecture: A BusinessDriven Approach, CMP Books, ISBN 978-1578203185.
K. Lam, D. LeBlanc, and B. Smith (2004), Assessing Network Security, Microsoft
Press, USA, ISBN 0-7356-2033-4.
S. Bellovin (1994), Firewall-Friendly FTP, RFC 1579.
S. Harris (2005), CISSP All-in-One Exam Guide, 3rd ed., McGraw Hill, USA, ISBN
0-07-225715-6.
S. Northcutt, L. Zeltser, S. Winters, K. K. Frederick, R. W. Ritcey (2003), Inside
Network Perimeter Security, New Riders Publishing, USA, ISBN 0-73571-232-8
T. Lammle (2005), CCNA: Cisco Certified Network Associate Study Guide, 5th ed.,
Sybex, USA, ISBN 978-0782143911.
http://ebtables.sourceforge.net, 20070304.
http://www.netfilter.org, 20070304.
http://www.securityfocus.com/infocus/1670, 20070320.
http://software.newsforge.com/article.pl?sid=04/09/24/1734245, 20070402.
Dodaci
Dodatak A: Popis pojmova
Engleski naziv
Prijevod
Anomaly based
Anti-adware
Anti-spyware
Anti-virus
Attack
Behaviour based
Border router
Bridge
Broadcasting
Control stream
Data stream
Default gateway
Domain name system
Dual-homed DMZ
End-to-end
False negative
False positive
Firewall
Forward proxy
Gateway
Gateway to gateway
Host intrusion detection system
Host to gateway
Host to host
Hosting
Temeljeno na detekciji anomalija

Program za zatitu od reklama
Program za zatitu od trojanskih konja
Program za zatitu od malicioznih programa
Napad
Temeljeno na pregledu ponaanja
Granini usmjeriva
Most
Emitiranje
Kontrolna veza
Podatkovna veza
Uobiajeni prospojnik
Imeniki servis
DMZ s dva suelja
S kraja na kraj
Pogrena klasifikacija malicioznog prometa
Pogrena klasifikacija benignog prometa
Vatrozid
Zastupnik unaprijed
Prospojnik
Od prospojnika do prospojnika
Sustav za detekciju upada u lokalno raunalo
Od domaina do prospojnika
Od domaina do domaina
Udomljavanje
53
Dodaci
Engleski naziv
Prijevod
Hybrid switches
Internet service provider
Layer seven switches
Log files
Logging
Network intrusion detection
system
Network intrusion prevention
system
Network time protocol
Packet-filtering
Patches
Port
Proxy
Remote authentication dial in
user service
Reply message type
Request message type
Reverse proxy
Probe
Proxy firewall
Remote user
Road warrior
Router
Scan
Secure Shell
Signature based
Simple network management
protocol
Switch
Three-way handshake
Transparent firewall
Trunking
Updates
Virtual private network
Hibridni preklopnici
Pruatelj Internet usluga
Preklopnici na sedmom sloju
Datoteke sa zapisima
Biljeenje
Sustav za detekciju upada iz mree
Sustav za prevenciju upada iz mree
Protokol za sinkronizaciju vremena
Filtar paketa
Zakrpe
Vrata
Zastupnik
Protokol i servis za autentikaciju udaljenih
korisnika
Tip poruke odgovora
Tip poruke zahtjeva
Reverzni ili obrnuti zastupnik
Ispipavanje
Vatrozid zastupnik
Udaljeni korisnik
Udaljeni korisnik
Usmjeriva
Skeniranje
Sigurni udaljeni pristup koljci
Temeljeno na raspoznavanju uzoraka
Protokol za nadgledanje u upravljanje mrenom
opremom
Preklopnik
Mehanizam trostrukog rukovanja
Prozirni vatrozid
Dijeljenje jedne fizike veze
Updates
Virtualna privatna mrea
54
Dodaci
Dodatak B: Popis kratica

Kratica
Puni naziv
ADSL
DMZ
DNS
FTP
HIDS
ICMP
IEEE
IP
ISDN
ISP
LAN
MAC
NIDS
NIPS
NTP
OSI/ISO
RADIUS
SMTP
SNMP
SSH
TCP
UDP
UTP
Asymmetric Digital Subscriber Line

DeMilitarized Zone
Domain Name System
File Transfer Protocol
Host Intrusion Detection System
Internet Control Message Protocol
Institute of Electrical and Electronics Engineers
Internet Protocol
Integrated Services Digital Network
Internet Service Provider
Local Area Network
Medium Access Control
Network Intrusion Detection System
Network Intrusion Prevention System
Network Time Protocol
International Standards Organization / Open Systems Interconnect
Remote Authentication Dial In User Service
Simple Mail Transfer Protocol
Simple Network Management Protocol
Secure SHell
Transmission Control Protocol
User Datagram Protocol
Unshilded Twisted Pair

Web PDF

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Web PDF

Uploaded by

Copyright:

Available Formats

SVEUILITE U ZAGREBU

FAKULTET ELEKTROTEHNIKE I RAUNARSTVA

DIZAJN SIGURNIH RAUNALNIH MREA

korporacijske mree bez javnih servisa ....................................... 39

mrea koja je odgovarajua za odravanje poslovnih procesa odnosno osiguranje

1.1. Organizacija rada

2. Komponente i metode oblikovanja raunalnih

2.1. Segmentacija mree

Komponente i metode oblikovanja raunalnih mrea

Slika 1: Simbol za most

Komponente i metode oblikovanja raunalnih mrea

Vrlo jednostavna ideja rada preklopnika rjeava problem emitiranja (eng.

Slika 2: Simbol za preklopnik

Slika 3: Simbol za usmjeriva

Komponente i metode oblikovanja raunalnih mrea

2.1.5. Mreni segmenti

Slika 4: OSI/ISO 7-segmentni model

Komponente i metode oblikovanja raunalnih mrea

Odvajanje komunikacijskih puteva ureaja koji su povezani na isti preklopnik vri

Slika 5: Primjer segmentirane mree

Komponente i metode oblikovanja raunalnih mrea

Usmjeriva, koji se nalazi u sreditu mree, segmentira mreu na treem sloju

2.1.6. Virtualni mreni segmenti

Komponente i metode oblikovanja raunalnih mrea

Slika 6: Segmentacija mree izvoenjem posebne infrastrukture

Slika 7: Segmentacije mree uz 802.1Q

Komponente i metode oblikovanja raunalnih mrea

2.1.7. Mrene zone

Slika 8: Primjer mrenih zona

Komponente i metode oblikovanja raunalnih mrea

sigurnosna politike pristupa iz Interneta (primjerice, korisnik, tip prometa, odredina

Slika 9: Simboli za vatrozid

Slika 10: Vatrozid izmeu Internet zone i lokalne raunalne mree

Komponente i metode oblikovanja raunalnih mrea

Slika 11: Vatrozid izmeu dviju nepovjerljivih mrea

Slika 12: Vatrozid izmeu dviju mrea razliitog stupnja povjerljivosti

Komponente i metode oblikovanja raunalnih mrea

sadraja koji nema veze s poslovnim zadatkom. Sigurnosnom politikom moe se

2.2.1. Prozirni vatrozid

Slika 13: Slojevi povezanosti prozirnog vatrozida s ostalim mrenim ureajima

Vidljivi su samo po MAC adresama i to ureajima koji su neposredno s njima povezani.

Komponente i metode oblikovanja raunalnih mrea

2.2.2. Filtar paketa

Slika 14: Slojevi povezanosti filtra paketa s ostalim mrenim ureajima

Komponente i metode oblikovanja raunalnih mrea

Fragmentirani (rascjepkani) mreni promet predstavlja najvei problem za

Slika 15: Tijek FTP veze

Inicijacija FTP podatkovne veze

Slika 16: Tijek pasivne FTP veze

Komponente i metode oblikovanja raunalnih mrea

2.2.3. Vatrozid s praenjem stanja veze

Slika 17: Zaglavlje TCP paketa

Komponente i metode oblikovanja raunalnih mrea

Slika 18: Mehanizam trostrukog rukovanja

Komponente i metode oblikovanja raunalnih mrea

2.2.4. Vatrozid zastupnik

Slika 19: Slojevi povezanosti vatrozida zastupnika s ostalim mrenim ureajima

Slika 20: Vatrozid zastupnik u ulozi prospojnika

Komponente i metode oblikovanja raunalnih mrea

Zastupnik u ulozi vatrozida najee se postavlja na mjesto prospojnika. Slika 20

Slika 21: Vatrozid zastupnik kao zasebni posluitelj

Slika 22: Reverzni zastupnik

Komponente i metode oblikovanja raunalnih mrea