Professional Documents
Culture Documents
MR - Bezbednost Računarske Mreže
MR - Bezbednost Računarske Mreže
Dunja Adi
Beograd, 2010.
UNIVERZITET SINGIDUNUM
Departman za poslediplomske studije
Dunja Adi
Mentor:
Kandidat:
Beograd, 2010.
2
Sadraj
1.
Uvod ...........................................................................................................................................7
Slike
Saetak:
Master rad na temu bezbednosti raunarske mree pisan je sa idejom da prikae visoku zatitu
mrene opreme i komunikacije na svim nivoima implementacijom bezbednosnih protokola i
mehanizama. Korienjem najnovije Cisco mrene opreme, zbog svoje pouzdanosti i
performansi ureaja, omoguava se visok stepen zatite mree bez smanjenja brzine protoka
podataka u mrei.
Abstract:
This Masters thesis on computer network security is written with the idea to show the high
protection of network equipment and communication at all levels of implementation of
security protocols and mechanisms. Using the latest Cisco network equipment, for its
reliability and performance of the devices allows that a high level of network security does
not affect the flow rate of traffic in the network.
1. Uvod
U ovom master radu izraen je projekta zatite podataka celokupne mree zamiljenog
preduzea DunjaInc Beograd d.o.o. U daljem tekstu koristi se re projekat, zato to bolje
opisuje kompletan sadraj rada.
Preduzee DunjaInc Beograd d.o.o. iz Beograda prua usluge konsaltinga, projektovanja,
implementacije i tehnike podrke u oblasti informacionih i komunikacionih tehnologija i
proizvoda.
U datom projektu potrebno je povezati tri lokacije (Beograd, Novi Sad , Ni), omoguiti
pristup Interntetu svim ureajima u mrei, zatiti mrenu opremu i komunikaciju, instalirati
mrene servise i administriratih ih, kao i obezbediti VOIP komunikaciju. Na svakoj od
lokacija, bie 50 internih korisnika mree, potrebni serveri za mrene servise, ureaji koji
omoguavaju rad IP telefonije (VOIP).
U ovom projektu odlueno je da proizvoa mrene opreme bude Cisco, zbog svoje opte
poznate pouzdanosti i performansi ureaja. Konektivnost izmeu lokacija omoguena je
iznajmljivanjem L3 MPLS VPN usluga od internet servis provajdera, u ovom sluaju
Telekom Srbija. Saobraaj izmeu lokacija e biti zatien IPSec-om, koji e se realizovati
podizanjem virtuelnih tunel interfejsa. Cisco ruteri predvieni ovim reenjem, podravaju
firewall, IPSEC, i ostale bezbednosne protokole i mehanizme.
Rutiranje saobraaja unutar mree e biti realizovano podizanjem OSPF ruting protokola.
Predvieno je da izlaz na internet bude obezbeen instalacijom linka na glavnoj lokaciji
( Beograd ), a ovim dizajnom je omogueno centralizovano reenje, u kojem mreni
administrator ( IT odeljenje) lako moe pratiti i vriti nadzor celokupnog izlaznog i ulaznog
eksternog saobraaja ( saobraaja ka i od interneta ).
U okviru ovog reenja bie podignuti svi potrebni mreni servisi i protokoli neophodni za
funkcionisanje mree zadatih uslova. Kao to je ve spomenuto, oprema e biti Cisco
proizvoaa. Planirana je instalacija rutera na svakoj lokaciji, koji e biti povezani
meusobno L3 MPLS VPN reenjem ( povezani sa provajderom optikim linkovima), a na
svakoj lokaciji bie instalirana po dva L3 Cisco switcha.
U projektu koristimo sledeu opremu:
C2911-VSEC/K9 --- Cisco ruter C2911, serije 2900 Cisco rutera, baziranih na preanjem
iskustvu Cisco-a kao proizvoaa u pruanju integrisanih usluga. Cisco 2900 serija nudi
hardversku enkrpciju, voice i video digitalne signalne procesore ( DSP moduli), opcioni
firewall, sistem preventive napada ( IPS Intrusion Prevention System ), procesiranje poziva,
glasovni e-mail sistem ( voicemail ), aplikativne servise, itd Ova serija, takodje podrava
irok spektar opcionih modula i interfejsa za LAN, kao i za WAN/MAN arhitekture. Ono po
emu se prozivodi ove serije izdvajaju su integrisani servisi ( voice, wireless, security , data
center tehnologije, mobilnost ureaja, itd), visoke perforamnse, visok stepen modularnosti
i mrene agilnosti, efikasno korienje elektrine energije, mogunost redundantnog
napajanja,podrka za PoE ( Power Of Ethernet, prenos napajanja preko mrene infrastrukture,
7
etherneta)
Cisco C2911-VSEC/K9 ruter je izabran, pored gore navedenog, zbog svojih mogunosti da
podri sve protokole i servise potrebne za dizajn i konfiguraciju ovog mrenog reenja. Cisco
C2911 podrava tri integrisana 10/100/100 Ethernet porta ( RJ-45 konektori), jedan servis
modul slot, etiri WAN portova visoke brzine, dva DSP modula, jedan interni slot za
aplikativne servise. Prua punu podrku za PoE reenje, integrisana bezbednosna reenja
( IPsec sa hardverskom enkripcijom , CBAC Firewall, IPS, ZBFW Firewall, Content Filtering
reenje) i kompletne servise i protokole potrebne za instalaciju IP telefonije.
Cisco 3560-48PS je izabrani model switcha u ovom projektu. Cisco 3560 serija switcheva je
serija fixne konfiguracije, namenjena firmama koje imaju potrebu za inteligentnom mrenom
infrastrukturom, svoje meto odlino pronalazi u pristupnom delu mree. Ima 48 10/100/100
Ethernet portova sa potpunom podrkom za PoE ( 802.3af ). Cisco 3560 ima podrku za L3
rutiranje saobraaja, implementaciju mehanizama za uspostavljanje kvaliteta servisa,
multicast menadment kao i veliki broj bezbednosnih protokola i mehanizama. Kao ovakav
Cisco 3560-48PS se idealno pokazao kao reenje za pristupni deo mree.
U glavi dva razmatra se povezivanje udaljenih lokacija Beograd, Ni i Novi sad, adresiranje
unutranje mree i tehnologija LAN povezivanja.
U glavi tri razmatra se rutiranje internog saobraaja, koji je sproveden OSPF ruting
protokolom kao i mane i prednosti kriptografskih reenja za protokol.
U glavi etiri razmatra se Contex-Based Access Control-Cisco IOS firewall set funkcija,
njihova implementacija, konfiguracija, prednosti i ogranienja.
U glavi pet razmatra se bezbednost kontrole pristupa, RADIUS server i protokol, njhova
implementacija i problemi sa protokolom RADIUS.
U glavi est razmatra se IPSec tehnologija, konfiguracija, reimi rada, uspostavljanje
komunikacije i konfiguracija NAT-a.
U glavi sedam razmatra se zatita udaljenog pristupa ureajima SSh protokolom,
konfiguracija protokola.
U glavi osam razmatra se L2 bezbednost, kao i konfiguracije ostalih protokola koji su
konfiigurisani u projektu: Storm Control, DHCP snooping itd.
U glavi devet razmatra se implementacija i konfiguracija IP telefonije.
U glavi deset navedene su konfiguracije rutera i switcheva na udaljenim lokacijama (Beograd,
Ni i Novi Sad).
Povezivanje izmeu udaljenih lokacija ( Beograd, Ni, Novi Sad), uspostavljena je uz pomo
L3 MPLS VPN-a koji e se iznajmiti od Telekoma Srbije, prikazano na slici 2.1. L3 MPLS
VPN kao servis, predstavlja reenje uz pomo kojeg klijenti ( u ovom sluaju udaljene
lokacije ) dobijaju direktan link prema internet servis provajderu, objavljuju svoje interne
mree ( koje ele da objave ka ostalim lokacijama ), zadravaju privatne opsege i izbegavaju
potrebu za NAT-om ( Network Address Translation ), a u konfiguraciji rutiranja uestvuju
potpuno samostalno ili uz pomo telekoma. MPLS kao tehnologija, prua mogunost internet
servis provajderima da unificiranom mrenom infrastrukturom nude broj servisa svojim
klijentima i korisnicima. MPLS je potpuno transparentan za krajne korisnike ( CE-Customer
Equipment rutere ).
10
2.1. Adresiranje
Unutranja mrea e biti adresirana privatnim opsegom 10.0.0.0/8. Na svakoj lokaciji e biti 3
vlana ( Virtual Local Area Network), i to jedan vlan namenjen za data saobraaj unutar same
lokacije, jedan za potrebe internet telefonije i jedan za menadment saobraaja ( mreni
servisi podignuti na serverima ).
Beograd
Vlan 11 data vlan -10.1.0.0/24
Vlan 12 voice vlan 10.1.1.0/24
Vlan 13 menagment vlan 10.1.2.0/24
Novi Sad
Vlan 21 data vlan 10.2.0.0/24
Vlan 22 voice vlan 10.2.1.0/24
Vlan 23 menagment vlan 10.2.3.0/24
Ni
Vlan 31 data vlan 10.3.0.0/24
Vlan 32 voice vlan 10.3.1.0/24
Vlan 33 menagment vlan 10.3.0.0/24
Obzirom da e izmeu lokacija biti podignuti virtuelni tunel interfejsi, radi uspostavljanja
IPsec konekcije, potrebno je i njih adresirati.
Beograd - Novi Sad 10.12.0.0/24
Beograd - Ni 10.13.0.0/24
Novi Sad - Ni-- 10.23.0.0/24
11
12
Lan konfiguracija:
Kreiranje VLAN-ova:
Switch3560(config)#vlan 11
13
Konfiguracija 802.1w Spanning Tree parametara. Na jednom switch-u e biti spusten prioritet
( poetna vrednost prioriteta je 32768 ) kako bi preuzeo ulogu RSTP root-switch-a.
Switch3560(config)#interface fa0/1
Switch3560(config-if)#switchport mode access
Switch3560(config-if)#no shutdown
Switch3560(config-if)#channel-group 1 mode on
Switch3560(config-if)#switchport mode trunk
Switch3560(config-if)#channel-group 1 mode on
14
Switch3560(config)#interface vlan 10
Switch3560(config-if)#ip address 10.1.0.254 255.255.255.0
Switch3560(config-if)#no shutdown
Router2911(config)#router ospf 1
Router2911(config-r)#router-id x.x.x.x
15
Novi Sad :
Router2911(config)#router ospf 1
Router2911(config-r)#router-id x.x.x.x
za svaki OSPF uredjaj u mrei
Ni :
Router2911(config)#router ospf 1
Router2911(config-r)#router-id x.x.x.x
Switch
Router2911(config)#router ospf 1
Router2911(config-r)#router-id x.x.x.x
Zbog brze konveregencije u sluaju pada linka, tajmeri kojima ospf prepoznaje pad linka bie
smanjenji kako bi se ceo process ubrzao. U sluaju potrebe, moe se i modifikovati OSPF
cena linka.
Router2911(config)#interface fa0/0
Router2911(config-if)#ip ospf hello-interval
16
Kada koristimo link state protokole, svaki ruter radi fluding stanja svoje veze sa svojim
susedima koji zauzvrat prosleuju informacije drugim ruterima u mrei. Rezultat toga je da
svaki ruter ima informacije o vezama svih rutera u mrei, i na kraju ima sliku cele topologije
mree. Open Shortest Path First (OSPF) je najpopularniji link state protokol.
Operacije OSPF protokola se sastoje iz tri faze:
1. Sastati se sa susedima
2. Razmena informacija veze
3. Izraunavanje najkrae rute
Nakon sastanka OSPF suseda u fazi jedan, svaki OSPF ruter stavlja informacije stanja svog
interfejsa i susedstva u link state oglaavanje (Link State Advertisement (LSA)) i radi fluding
ruting domena u fazi 2. Fluding u LSA moe biti periodian i kad god informacija nosi
promene (na primer kada se ukloni link). Nakon sakupljanja LSA-ova od suseda, ruter moe
da gradi link state bazu koja predstavlja topologiju mree. U treoj fazi baza se koristi da
izrauna najkrai put do destinacije. Faza dva je od kljunog znaaja za pravilnost ruting
operacija. LSA je primljen, sadraj link state baze i izraunata najkraa putanja e postati
netane.
Postoji razlika izmeu LSA i LS instance. LSA je povezan sa odreenom vezom. Na primer
ako ruter A ima link L do rutera B, ruter A mora da pokrene LSA opisujui taj link i flood
17
rutiranja domena. LSA moe biti jedinstveno indentifikovan od vrste LS-a, LS ID-a, i
oglaavanja ruterovih ID polja. Prikazano na slici 3.1.
16
Starost LS-a
24
31
Opcije
Tip LS-a
LS ID
Matini Ruter
LS sekvencionalni broj
LS kontrolni zbir
Duina
LSA instanca se odnosi na stanje odreenog LSA na odreeno vreme. Na primer, u vreme t1,
ruter radi flooding LSA instance opisujui da je izdatak linka L 100; meutim kasnije, u
vreme t2 ruter A menja izdatak linka L na 200, onda ruter A mora da radi flood druge LSA
instance, navodei novi izdatak. Dakle u ruting domenu, moe biti nekoliko instanci LSA.
Kako LSA instanca moe biti jedinstveno indentifikovana LS sekvencom, LS kontrolnim
zbirom i Poljem starosti LS-a, da bi odredili koja je instanca skorija, ova tri polja moraju biti
ispitana.
18
LS starosno polje u OSPF LSA zaglavlju bie poveano svakim skokom tokom flooding
procedure. Posto polje treba da se aurira od strane intermedijarnih rutera, generalno ne moe
biti pokriveno u potpisu. Meutim ako polje nije zatieno, napadai mogu falsifikovati polje
da srue ruting protokol.
Jedan od primera ove vrste napada je MaxAge napad. Procedura napada MaxAge-a je
sledea:
Kada napada primi LSA, promeni njegovu starost na MaxAge koji je po standardu 1 sat i
radi flood modifikovanog LSA u mrei. Kada ostali ruteri prime modifikovan LSA, obrisae
odgovarajui LSA iz svoje baze kao da je maksimalna starost dostignuta. Meutim u isto
19
vreme, matini ruter takoe prima modifikovani LSA od napadaa. Prema specifikacijama
OSPFv2, matini ruter e uzvratiti tako to e generisati novi LSA sa tanim link
informaicjama i novim sekvencionalnim brojem. Kao rezultat toga , ruteri koji su izbrisali link
iz svoje baze primaju novi LSA koji im govori da je link zapravo dostupan. Ako napada
nastavi da generie LSA-ove sa MayAge-om, mrea e postati nestabilna. Da bi zatitili
starosno polje i spreili napad MaxAge-a, potpis moe zatititi starosno polje samo onda kada
je starosna vrednost MaxAge. Drugim reima, MaxAge LSA-ovi moraju biti zatieni
digitalnim potpisom.
posmatranja, reenje pod nazivom Stable Link State (SLS) je predloeno da smanji
kriptografske trokove zajedno sa auriranjem rutiranja, procesiranjem i distribucijom.
Kljuna ideja SLS-a je da se koristi jedan lanac heeva kao tokeni za auntentifikaciju. Da bi
generisali lanac hea,prvo mora biti kreiran sluajan tajni kvantitet R. Kvantitet R je heovan
n puta koristei jaku jednosmernu he funkciju H, kao to su SHA i MD5. Uzastopne he
vrednosti mogu se lanati na sledei nain: H1(R), H2(R), ?, Hi(R), ?, Hn(R) gde je
Hi(R) = H(Hi - 1(R) ).
SLS reenje kreira dve nove aurirane link-state poruke: Anchor Link State Update (ALSU) I
Chained Link State Update (CLSU). ALSU je potpisan i koristi se kad god je link state
izmenjen ili je trenutni lanac hea iscrpljen, dok je CLSU nepotpisan, i koristi se kada nema
izmene link state-a ali CLSU mora biti poslat.
ALSU uglavnom sadri:
n duina lanca
Hn(R)- Anchor vrednost
Vremenska oznaka- za vremenske intervale
LSU- uobiajene informacije sadrane u OSPF LSU koje zapravo opisuju link state
Digitalni potpis- za upotrebu autentifikacije
21
Ako je i vee od n, he lanac se smatra osiromaenim, i novi ALSU mora biti generisan. Kada
ruter primi CLSU, nema potrebe za verifikacijom potpisa (poto CLSU nije digitalno
potpisan). Umesto toga prijemni ruter verifikuje CLSU tako to proverava
H(Hn-i(R)) = Hn-i+1(R). Na primer ako predpostavimo da je n = 5, kada ruter primi CLSU koji
sadri i = 1 i H4(R) , on proverava H(H4(R)) = H5(R).
Primer
Predpostavimo da je duina hash chain-a 5, matini ruter A, izraunava hash chain na osnovu
sluajne koliine R. U vreme T1, ruter A detektuje promenu stanja Linka 1, on alje ALSU (za
link 1) koji sadri vrednost H5(R) svom susedu, ruteru B. Nakon uspene verifikacije potpisa
ruter B belei parametre koje nosi ALSU. Kasnije u vreme T2 ruter A mora da poalje novi
LSU opisujui stanje Linka 1. Poto nema promene linka, ruter A generie CLSU koji sadri:
indeks i = 1 (nagovetavajui da je to prva promena od poslenjeg ALSU-a)
H4(R) (odgovarajua he vrednost). Nakon to je primio CLSU, ruter B ga verifikuje tako to
rauna he od primljenog H4(R) i poredi rezultat sa uskladitenim H5(R). Ako je verifikacija
uspena, stari parametri e biti zamenjeni onim koji su sadrani u ovom CLSU za buduu
upotrebu verifikacije. Istovetno, sledei CLSU sadri H3(R) i ruter B ga verifikuje
proveravanjem H(H3(R)) = H4(R). Ako predpostavimo da stanje linka nije promenjeno od
vremena T1 i da su poslate etiri CLSU poruke koristei H4(R), H3(R), H2(R), i H1(R),
naizmenino. Sada je dostignuta hash chain duina n = 5, i smatra se da je lanac istekao.
Tako da ruter A mora da kreira novi hash chain koristei nova svojstva na primer R i da
generie novi ALSU sa sledei izmenjeni interval. Na slici 3.2. je prikazan primer koji
ilustruje operaciju SLS-a.
22
Proveriti da li:
23
Da se
zameni
Glavna prednost ovog metoda je nizak stepen upotrebe dodatnih operacija. Dodatne operacije
koje se koriste za generisanje CLSU-a su zanemarljive. To je zbog toga to su vrednosti hea,
H4(R), su unapred izraunate. Sa druge strane, verifikacija CLSU-a je minimalna zato to se
izraunava samo jedna vrednost hea. Samo treba proveriti ako je H(Hn-1(R)) = Hn-1+1(R),
koji se moe tumaiti kao H(ova primljena vrednost hea) = poslednjoj uskladitenoj
vrednosti hea. Poto upotreba CLSU-a ne zahteva skup proraun potpisa ili verifikaciju
potpisa, to znaajno smanjuje dodatne operacije koje se koriste u tradicionalnoj emi
digitlanog potpisa.
Meutim kad kod ima promene stanja linka, novi ALSU mora biti generisan. Poto su ALSUovi potpisani, ako je link promenljiv mnogo ALSU.ova e biti generisano. U tom sluaju, bie
visok stepen prorauna potpisa, i prednost SLS-a e biti umanjena.
24
Link 1
Link j
Gornji
Donji
H1(R1)
:
Hj(R1)
:
Hn(R1)
F1(R1)
:
Fj(R)
:
Fn(R1)
Link k
Gornji
H1(Rj)
:
Hj(Rj)
:
Hn(Rj)
Donji
F1(Rj)
:
Fj(Rj)
:
Fn(Rj)
Gornji
H1(Rk)
:
Hj(Rk)
:
Hn(Rk)
Donji
F1(Rk)
:
Fj(Rk)
:
Fn(Rk )
Glavna razlika izmeu ovog ALSU-a i onog koji se koristi u SLS-u je to ovaj sadri set
anker vrednosti za sva stanja i sve linkove.
Po prijemu ALSU-a, prijemni ruter prvo verifikuje potpis. Ako je uspeno i vremenski
interval se smatra sveim, informacije noene u ALSU-u e biti uskladitene.
Generisanje i verifikacija CLSU-a:
Ako matini vor mora da poalje novo auriranje, on generie CLSU. CLSU koji se
koristi u FLS-u uglavnom sadri:
LSF i LSV su vana polja za prijemne rutere za odreivanje promena linka. Pod
predposavkom da postoje k linkovi, L1Lk, definisani su kao:
25
ako je Lj stanje = UP
Fn-1(Rj)
Gde LS(j) =
Na primer, ako je k=3, n=4, i=2, i stanja linkova su up,down, i up, odnosno LSF i LSV
postaju:
LSF[UP, DOWN,UP]
LSV[H2 (R1), F2(R2), H2(R3)]
Svaki prijemni vor skladiti informacije preanjeg CLSU-a, oznaen kao CLSUp, i
LSVp, gde je p=i-1. Po prijemu CLSU-a, prijemni ruter obavlja:
1. Trai trenutni pristup za nodeID, i potvruje sveinu izmene na osnovu vremenske
oznake.
2. Proverava d ali su stanja veze koja su noena u trenutno primljenom CLSU
promenjena. To se postie tako to se poredi sa CLSUp.
Ako je stanje ne promenjeno, izraunava se:
Hi-1(LS(j)) ako je Lj stanje UP
Fi-1(LS(j)) ako je Lj stanje DOWN
i poredi sa predhodno uskladitenom vrednou u LSVp; odbacuje se na osnovu
nepodudaranja.
Ako je stanje nepromenjeno, izraunava se:
Hi(Hn-1(Rj)) ako je Lj stanje UP
Fi(Fn-i(Rj)) ako je Lj stanje DOWN
i poredi sa odgovarajuim vrednostima u LSVn (koji je noen u ALSU i skladiten je
lokalno); odbacuje se na osnovu nepodudaranja
3. Nakon toga, primljeni LSV zamenjuje prednodni link state vector (LSVp)
26
Primer
Prvo, ruter A izraunava he vrednosti svojih konetktovanih linkova (Link 1 i Link 2).
Predpostavimo da je duina lanca 4, sa dva linka i dve he funkcije, postoje 4x2x2=16 he
vrednosti. Onda ruter A generie ALSU u T1, koji sadri hash chains za link 1 i link 2 za
svoj susedni ruter B. ALSU takoe sadri ID i vremensku oznaku matinog rutera, i ceo
proces je zatien potpisom matinog rutera. Nakon uspene verifikacije potpisa rutera A,
ruter B skladiti informacije noene u ALSU, koje se koriste za verifikaciju sledeeg
CLSU-a.
Predpostavimo da u T2, Link 2 pada. Ruter A tada generie CLSU svom susedu za
najnovije informacije stanja linka. Poto su stanja Linka 1 i Linka 2 naizmenino up i
down, LSF i LSV za ovaj CLSU postaju:
LSF=[UP, DOWN]
LSV=[H3(R1),F3(R2)].
Po prijemu CLSU-a, ruter B poredi primljeni LSF i uskladiteni LSF i pronalazi da je
stanje Linka 1 nepromenjeno, ali stanje Linka 2 je promenjeno. Dakle, za Link 1
izraunava se H1[H3(R1)] i poredi se sa predhodno uskladitenim H4(R1).
Za Link 2, izraunava se F1[F3 (R2)] i poredi se sa predhodno uskladitenim F4(R2).
Nakon ovog prorauna i uspene verifikacije primljenog CLSU-a, predhodno uskladiteni
LSF i LSV e biti zamenjeni ovim upravo primljenim. Na slici 3.3. je prikazan primer
FLS operacija.
27
Proveriti:
Proveriti:
28
29
Konfiguracija CBAC:
sesija
Na interfejsu koji vodi ka internetu bie implementirani access lista i unapred definisana
firewall polisa.
Router2911(config)#interface serial0/0
Router2911(config-if)#ip access-group 100 in
Router2911(config-if)#ip inspect FWALL out
33
CBAC ima niz prednosti nad perimetnim ruterom baziranim na IOS-u koji koristi ACL da
kontrolie spoljni pristup unutranjoj mrei. Stateful inspekcija paketa prua vie
sveobuhvatne i fleksibilne alternative za kontrolu protoka saobraaja nego access-liste, dok se
osposobljava Cisco IOS firewall za osnovnu detekciju i prevenciju napada, na primer DoS
napadi mogu biti inndentifikovani i blokirani.
CBAC kontrolisane sesije i naknadne izmene na access-listama su dinamine i privremene.
To znaajno smanjuje period vremena za koje je protok saobraaja dozvoljen u mrei,
smanjujui trajanje bilo kakvih propusta za taj tip sesije.
Funkcija upozorenja i revizorskog ispitivanja omoguava sveobuhvatno evidentiranje
statistika sesije i moe se koristiti u kombinaciji sa host-based i network-based za detekciju
upada za povezivanje informacija i indentifikaciju pokuaja napada.
U okruenjima gde protok saobraaja u velikoj meri potie iz untranjosti mree sposobnost
CBAC-a da se dinamiki auriraju access-liste omoguava znatno jau kontrolu, jau
konfiguraciju access-liste i potencijalno manje administrativne trokove za upravljanje
spoljnim access-listama.
CBAC ima brojna ogranienja koja mogu ograniiti njegovu efektivnost u odreenim
okolnostima. CBAC podrava samo saobraaj IP protokola tako da se samo TCP i UDP
paketi pregledaju. ICMP saobraaj se ne pregleda i mora biti omoguen uobiajenim accesslistama.
CBAC nee pregledati pakete gde je izvorna ili odredina adresa sam firewall, pristup ruteru
sa spoljne mree mora biti strogo kontrolisan sa tradicionalnim access-listama.
Kompabitilnost CBAC-a sa nekim drugim Ciscovim bezbednosnim funkcijama je ograniena
zato to CBAC nije u stanju da precizno ispita teret enkriptovanog saobraaja koji prolazi
kroz firewall i podrka za pregled protokola je dodatno ograniena ako su CBAC i enkripcija
konfigurisani na samom firewall-u. CBAC radi samo sa IPSec-om ako je firewall krajnja
taka IPSec-a za protok saobraaja, CBAC ne moe pregledati zaglavlje IPSec paketa koji
prolazi kroz firewall. Redudantni IOS firewall-i nisu podrani jer stanje firewall sesije je
unutar samog rutera.
Kada su omogueni, Cisco IOS Firewall set funkcija utiu na korienje resursa sistema, i
mora se osigurati da ruter ima dovoljno memorije i procesorske snage da bi zadovoljio
zahteve performansi.
34
Bez obzira koliko je dobra konfiguracija CBAC-a, ruter je otvoren za napad ako nije instaliran
softver za firewall. Politika bezbednosti takoe terba da bude napisana i aurirana, da bi se
formirala osnova konfigurisanja bezbednosti na samom ruteru, i takoe treba konfigurisati
CBAC politiku za inspekciju. Bez obzira da li konfigurisani Cisco IOS firewall radi na
perimetnom ruteru ili ima odvojeni firewall i dalje treba misliti o tom ruteru kao odvojenom
ureaju od firewall-a i primeniti principe dubinske odbrane , radi osiguravanja bezbednosti
na svim nivoima mree. Perimetni ruter i firewall rade zajedno da bi poboljali bezbednost
mree i obezbedili odbranu perimetra. Izgradnja Cisco IOS firewall instalacije na bezbedno
konfigurisanom eksternom ruteru je od sutinske vanosti jer:
1. CBAC se oslanja na efektivnost konfiguracije access-lista na ruteru i
2. CBAC ne moe pregledati saobraaj sa izvorne ili odredine adrese rutera.
To znai da se ne moe osloniti na CBAC da obezbedi bilo kakvu sigurnost za sam ruter.
35
Kontrola pristupa e biti implementirana uz pomo radius servera i AAA mehanizma. AAA
mehanizam je Ciscov nain da centralizuje kompletno reenje pristupa mrei. AAA vri tri
funkcije, autentifikaciju, autorizaciju i akaounting. Lokalno iskonfigurisane polise daju ruteru
mogunost da komunicira sa eksternim radius serverom postavljenim u mrei. Korisnici koji
pristupaju ureajima budu autentifikovani, autorizovani i sav njihov rad na ureajima se
belei na radius serveru. Radius server se instalira na server jedinici, i potrebno je uspostaviti
UDP konektvnost izmeu servera i samih Cisco ureaja.
Router2911(config)#aaa new-model
Router2911(config)#radius-server host x.x.x.x /ip addresa radius servera
Router2911(config)#aaa authentication
Router2911(config)#aaa
default radius
proveru identiteta korisnika, veina proizvoaa mrene opreme, zbog toga, u svoje ureaje
ugrauje podrku za RADIUS.
RADIUS se zasniva na troslojnoj klijent/server arhitekturi i koristi usluge UDP protokola
transpotrnog sloja (portovi 1812 i 1813 za proveru indentiteta). ISP zahteva da se unese
korisniko ime i lozinka. Te informacije se alju preko protokola PPP serveru za pristup mrei
tj. NAS ureaju (Network Access Server). NAS ureaj alje te podatke RADIUS serveru
preko protokola RADIUS. RADIUS server pomou PAP, CHAP ili EAP protokola proverava
da li su podaci koji su zadati ispravni. Ukoliko su uneti podaci, server e odobriti pristup
mrei, tj. posalti odgovor NAS ureaju koji e dalje dodeliti IP adresu i odgovarajue
parametre. RADIUS server takoe moe biti obaveten o poetku i zavretku sesije korienja
mree, to omoguava naplaivanje usluga prema vremenu korienja, a podaci o korienju
mree mogu se dalje upotrebiti za statistiku analizu.
RADIUS je incijalno razvila kompanija Livingstome Enterprises za svoju Port-Master seriju
servera za pristup mrei, ali je kasnije (1997. godine) objavljen u dokumentima RFC 2058 i
RFC 2059 (Tekue verzije su RFC 2865 i RFC 2866). Trenutno postoji nekoliko RADIUS
serverskih paketa- neki su komercijalni, a neki pripadaju kategoriji softvera sa otvorenim
kodom (open source). Ovi serverski paketi su slini po tome to je veina sposobna da uva
podatke o korisnicima u obliku tekstualnih datoteka, razliitih baza podataka ili na LDAP
serverima, kao da i informacije o korienju usluga izvozi u tekstualne datoteke ili razne baze
podataka. Treba uzeti u obzir da je RADIUS proiriv, to veini proizvoaa RADIUS
hardvera i softvera omoguava da implementiraju protokol shodno svojim potrebama.
Sl.5.1. RADIUS
37
5.2.Protokol RADIUS
Klijent i server razmenjuju podatke preko RADIUS paketa enkapsuliranih u UDP paketima
protokola transportnog sloja. Jedan RADIUS paket sadri sledee polja:
Kod (code). Polje duine jednog bajta na osnovu vrednosti definie tip RADIUS
paketa- npr, zahtev za pristup mrei (Access- Request) ili prihvatanje pristupa (Access
Accept).
Identifikator (indentifier,ID). Polje duine jednog bajta koji omoguava jednoznanu
indentifikaciju parova zahtev - odgovor.
Duina (lenght). Polje duine dva bajta koje odreje veliinu paketa.
Autentifikato (Authenticator). Vrednost koja se koristi za proveru ispravnosti
odgovora koji alje RADIUS server i za zatitu korisnike lozinke.
Atributi (Attributes). Deo paketa u kome se nalaze proizvoljni atributi koji pripadaju
samoj sesiji (zahtevu ili odgovoru). Jedini obavezni atributi su korisniko ime i
lozinka u zatienom obliku (User-Name i User-Password). Ostali atributi su opcioni.
Primer
Tipian postupak provere identiteta u protokolu RADIUS
NAS (RADIUS klijent) eli da na RADIUS serveru proveri parametre identiteta (korisniko
ime i lozinku) korisnika koji moe da prostupi bazi podataka sa opisima korisnika.
Na osnovu korisnikog zahteva, RADIUS klijent alje RADIUS serveru upit sa navedenim
korisnikim imenom i lozinkom. Na osnovu postavljenog upita, server obrauje korisniki
zahtev i - zavisno od projavljenih parametara- alje klijentu odgovarajui paket. Na osnovu
sadraja primljenog paketa NAS server korisniku dozvoljava ili zabranjuje pristup resursima.
Detaljnije, provere identiteta odvija se na sledei nain:
Klijentov zahtev
Kijent zapoinje sesiju generisanja zahteva (RADIUS Access-Request paket), Koji obavezno
sadri dva atributa korisnika: User- Name i User-Password. Bajt identifikacije (ID) tog paketa
klijent bira proizvoljno (algoritam za generisanje ovog broja nije zadat u protokolu). Paket
takoe sadri vrednost Request Authenticator u polju Autentifikator. Ta vrednost je takoe
16-bajtni niz koji generie generator pseudo sluajnih sekvenci. Algoritam generisanja ovog
niza znaajan za sigurnost ovog protokola, ali tip generatora nije zadat u protokolu i odreuje
se pri konkrtenoj implementaciji protokola. RADIUS paket nije zatien ni na koji nain
izuzev atributa User-Password koji je ifrovan. Na primer ako je K tajni klju koji dele
klijenti servera, a RA pseudo sluajna vrednost Request Authenticator. Lozinka se deli na 16bajtne blokove p1,,pn, pri emu se poslednji blok po potrebi dopunjuje nulama. Dalje se radi
sledee:
c1 = p1 xor MD5 (S + RA)
c2 = p2 xor MD5 (S + c1)
cn = pn xor MD5 (S + cn-1)
Zatieni atribut User-Password dobija se spajanjem dobijenih blokova c1,..,cn.
38
Serverov odgovor
Nakon primljenog zahteva, server proverava da li postoji tajni klju koji deli sa RADIUS
klijentom. Ako server ne poseduje tajni klju tog klijenta, zahtev se odbija. Ukoliko takav
klju postoji, server deifruje vrednost atributa User-Password i dobija korisniku lozinku.
Nakon toga server proverava ispravnost lozinke; ukoliko je lozinka validna, server klijentu
vraa paket Access-Acept. Lozinka ne odgovara paru korisniko ime-lozinka koji server uva
u svojoj bazi, klijentu se alje paket Access-Reject kojim se odbija nastavak provere
indentiteta. U oba sluaja vrednost polja ID paketa koji server alje, indentina je toj vrednosti
u kijentovom zahtevu. Vrednost atributa Response Authenticator dobija se primenom MD5
he funkcije na vrednost Resposne Authenticator klijentovog zahteva.
Obrada serverovog odgovora
Kada primi odgovor, klijent proverava da li su vrednosti u poljima ID zahteva i odgovora
identine, i na osnovu toga odreuje da li se odgovor zaista odnosi na njegov zahtev. Nakon
toga se proverava polje Response Authenticator primljenog paketa. Klijent generie svoju
vrednost na isti nain i uporeuje je sa dobijenom; ukoliko se vrednosti razlikuju, odgovor se
smatra neregularnim i sesija se prekida. Ako je klijentu vraen Access-Accept RADIUS paket
ispravnog sadraja, korisniko ime i lozinka smatraju se regularnim; Klijent smatra da je
identitet korisnika uspeno proveren i odobrava mu pristup mrenim resursima. Ukoliko je
klijentu vraen Access- Reject RADIUS paket ispravnog sadraja, korisniko ime i lozinka
smatraju se neregularnim, pa klijent ne dozvoljava korisniku da pristupi mrenim resursima.
kompatibilan sa njim ali je sigurniji i reava sve pomenute porbleme. U skorije vreme zamena
bi mogla biti protokol Diameter (za razliku od RADIUS-a, koristi usluge TCP protokola na
transportnom sloju). Diamater je jo uvek u fazi razvoja.
6. IPSec
IPsec. Saobraaj izmeu samih lokacija e biti zatien IPsec tehnologijom. U trenutnim
poslovnim okruenjima, kritino je da korporativne mree, konektovane na globalne mree,
imaju maksimalno zatien saobraaj. IPsec, kao framework, nudi maksimalnu zatitu
podataka, kao vid kreiranja bezbednih virtuelnih privatnih mrea. Dizajniran je da prui
kriptoloku bezbednost visokog kvaliteta i performansi. IPsec je skup protokola koji slue za
autentifikaciju i enkripciju IP paleta u dvosmernoj komunikativnoj sesiji. Bezbednost IP
saobraaja je omoguena tako to sam sistem bira skup unapred predefinisanih bezbednosnih
protokola i polisa, koji posle obavljaju slozene matematike funkcije koje obezbeuju
selektovan saobraaj. IPsec moe biti upotrebljen da se zatiti jedan ili vie kanala
komunikacije izmeu para hostova, para bezbednosih ureaja ili para bezbednosnih ureaja i
hosta. U bezbednosne ureaje spadaju razne vrste firewall-ova, VPN koncetratora i svih
ostalih ureaja ija je funkcija da omogue mrenu i sistemsku bezbednost. Jednostavno
reeno, IPsec omoguava sigurne tunele izmeu dva hosta (u ovom sluaju dva rutera).
Definie se koji paketi se smatraju od kritine vanosti za zatitu i koji bi trebalo da se poalju
kroz sigurne tunele, i mreni administrator definie parametre kojim bi paketi trebalo biti
zatieni. Onda, kada IPsec host primeti senzitivan paket, konstruie sigurni kanal
komunikacije, tunel, i alje tako zatien paket kroz taj tunel. Ti tuneli se isto tako nazivaju
bezbednosne asocijacije (SA Security Association). SA definie koji protokoli i algoritmi
trebaju biti primenjeni na senzitivne pakete, kao to definiu sistem razmene kljueva kao i
same kljueve. SA je skup algoritama i parametara koji moraju da budu isti na obe krajnje
take tunela. Izbor samih parametara,mehanizama i algoritama je na IPsec administratorima.
U cilju odluke koja i koji nivo protekcije se pridodaje selktovanom paketu, IPsec koristi SPI
parameter (Security Paramer Index), index koji je pokaziva na SADB (Security Association
Database), koji zajedno sa destinacionom IP adresom paketom , kreira jedinitstvenu
bezbednosnu asocijaciju za taj paket. IPsec u svojoj osnovi koristi tri protokola AH, ESP i
IKE.
AH (Authentication Header) se koristi da se omogui connectionless integritet i
autentifikacija izvora paketa. AH takodje prua zatitu od replay napada. AH je definisan kroz
RFC 2402. AH je mehanizam koji omoguava jak integritet i jaku autentifikaciju IP
datagrama. AH ne omoguava enkripciju, tako da korisnici koji ele da kripituju saobraaj,
moraju da se odlue za ESP.
ESP (Encapsulating Security Payload), pored mogunosti AH, daje mogunost i enkripcije
samih paketa. Trei protokol u okviru IPseca je IKE (Internet Key Exchange). IKE je hibridan
40
protokol koji uzima deo Oakley-a i deo drugog protokol skupa koji se zove Skeme unutar
ISAKMP (Internet Security Association and Key Menagment Protocol) framework-a. IKE se
koristi da bi se uspostavila deljena bezbednosna polisa i razmena samih kljueva. IKE radi u
dve faze. U fazi jedan dva ISAKMP hosta uspostavljaju siguran, autentifikovan kanal kojim
komuniciraju koji se naziva ISAKMP SA. IKE faza dva je zaduena sa samu razmenu
kljueva.
U projektu e biti implementiran IPsec izmeu svake od tri lokacije upotrebom predefinisanih
kljueva.
Prvo je potrebno ukljuiti ISAKMP kao protokol na ruteru.
Cisco2911(config)#crypto isakmp enable
Sledei korak e biti definisanje ISAKMP polise. U okviru jedne polise, moe se definisati
vie parametarnih mapa za definisanje same ISAKMP SA. ISAKMP polisa se definie na
sledei nain:
Cisco2911(config-isakmp)#encryption des|3des|aes
Cisco2911(config-isakmp)#hash md5|sha
Cisco2911(config-isakmp)#authentication pre-share
Cisco2911(config-isakmp)#group 1|2|5
Cisco2901(config-isakmp)#lifetime 36000
Cisco2911(config)#interface tunnel 12
TCP/IP je skup protokola koji je prihvaen kao de facto standard za mrenu komunikaciju u
veini dananjih raunarskih mrea. Internet, kao globalna mrea, zasnovan je na skupu
42
protokola TCP/IP, pri emu je IPv4 protokol Internet sloja. U verziji 6 protokola IP (IPv6)
ispravljeni su neki nedostaci protokola IPv4. Jedan od osnovnih nedostataka skupa protokola
TCP/IP jeste nepostojanje zatitnih mehanizama kojima bi se osigurao integritet podataka koji
se prenose mreom i proveri identitet uesnika u komunikaciji. IPSec- skup proirenja
protokola IPv4 koji obezbeuje osnovne sigurnostne aspekte mrene komunikacije su
privatnost, integritet, provera identiteta i neporecivost. IPSec pored toga to je proirenje
protokola IPv4 je integralni deo protokola IPv6. Poto se integrie sa IP protokolom, IPSec
implementira sigurnosne mehanizme mrene komunikacije na mrenom sloju OSI referentnog
modela, odnosno na Internet sloju skupa protokola TCP/IP, slika 6.1.
ISO OSI
TCP/IP
Protokoli
43
IPSec podrava dva reima rada: prenosni (transport mode) i tunelovanje (tunnel mode).
U prenosnom reimu rada ifruju se samo podaci tj. punjenje IP paketa, dok IP
zaglavlja ostaju u originalnom obliku (otvoreni tekst). Zaglavlja viih slojeva (npr,
sloja aplikacije) ifrovane su, a mogunost pregledanja paketa je ograniena. Prednost
ovog reima rada je to to se svakom paketu dodaje svega nekoliko okteta. U ovom
nainu rada, ruteri mogu na javnoj mrei videti adrese izvorita i odredita poruka, to
potrncijalnom napadau delimino omoguava da analizira mreni saobraaj.
Drugi reim rada IPSec je IP tunelovanje, pri kome se koristi poseban olik IP paketa.
Tunel ine klijent i server koji su konfigurisani da koriste IPSec tunelovanje i unapred
dogovorene mehanizme za enkapsulaciju i ifrovanje kompletnih IP paketa, to
obezbeuje potpuno siguran prenos preko javnih ili privatnih mrea. ifrovani podaci
se spajaju sa odgovarajuim neifrovanim IP zaglavljima, formirajui tako IP pakete
koji se na kraju tunela deifruju i obliku u IP pakete namenje krajnjem odreditu.
44
IP zaglavlje
TCP zaglavlje
Podaci
6.1.1. Protokol AH
Sl.6.3. AH zaglavlje
45
Sledee zaglavlje (next header). Osmobitno polje za identifikaciju tipa podataka koji
slede nakon AH zaglavlja. Polje sadri vrednost koja oznaava IP protokole (npr, 6TCP, 17-UDP, 50-ESP).
Duina punjenja (Payload Length). Duina punjenja izraena brojem 32-bitnih rei,
umanjenim za vrednost 2.
Rezervisano (Reserved). Polje duine 16 bitova rezervisano za budue potrebe
postavlja se na vrednost 0.
Skup sigurnosnih parametara (Security Parameters Index). Ovo polje duine 32 bita
sadri proizvoljnu vrednost, koja uz IP adresu i sigurnsosni protokol (u ovom sluaju
AH) definie jedinstven skup sigurnosnih parametara (Security Association- SA) koji
se koristi u sigurnoj komunikaciji izmeu dva entiteta. ESA skup sigurnosnih
parametara definie se prilikom uspostavljanja IPSec veze. Vrednost iz intervala 1-255
rezervisala je IANA za buduu upotrebu..
Redni broj (sequence number). Polje duine 32 bita koje slui kao zatita od napada
ponavljanjem paketa. Poveava se prilikom svakog slanja paketa koji ima identian
SA skup sigurnosnih parametara. Poiljalac mora da generie ovo polje, a primalac
moe, ali ne mora da ga interpretira. Na poetku komunikacije ovo polje se postavlja
na vrednost 1.
Podaci za proveru identiteta (Authentication Data). U polju koje sadri podatke za proveru
identiteta nalazi se ICV vrednost (Integrity Check Value) na osnovu koje se proverava
integritet i autentinost poruke. Duina tog polja je promenljiva ali mora biti celobrojni
umnoak 32-bitne rei. Ukoliko polje samo po sebi ne ispunjava taj uslov proizvoljnim
nizom bitova dopunjava se do duine n x 32 bita. Vrednost ICV-a se rauna na osnovu
svih polja IP zaglavlja koja se ne menjaju prilikom prenosa, itavog AH zaglavlja (koje je
za tu potrebu postavljeno na vrednost 0), i svih podataka protokola vieg sloja. ICV moe
biti kod (code) za proveru identiteta poruke (Message Authentication Code), izraunat
pomou simetrinih algoritama za ifrovanje ili rezultat he funkcija. Algoritam koji se
upotrebaljava za raunanje ICV-a definie se prilikom uspostavljanja komunikacije i deo
je SA skupa sigurnosnih parametara.
46
Protokol ESP definisan je u dokumentu RFC 2406. ESP obezbeuje sigurnosne usluge
provere identiteta, integriteta, neporecivosti i privatnosti podataka. Protokol definie ESP
zaglavlje koje se u IP paket smeta posle IP zaglavlja, enkapsulira sve podatke iz protokola
vieg sloja i dodaje zavrni slog u koji se mogu smestiti podaci za proveru identiteta. Na slici
6.4. prikazan je ESP paket sa odgovarajuim poljima u zaglavlju.
duina polja podaci, dopuna, duina dopune i sledee zaglavlje treba da bude
celobrojni umnoak 32-bitne rei.
Duina dopune (Padding Length). Ovo 8-bitno polje odreuje duinu (izraenu u
broju okteta) predhodno koriene dopune. Dozvoljene vrednosti su od 0 do 255;
vrednost 0 oznaava da dopuna ne postoji.
Sledee zaglavlje (Next Header). Sledee zaglavlje je kao i u protokolu AH 8-bitno
polje koje identifikuje tip podataka koji sledi posle ESP zaglavlja. Polje sadri
vrednosti iz definisanog skupa brojeva koji oznaavaju IP protokole.
Podaci za proveru identiteta(Authentication Data). Ovo polje proizvoljne duine nije
obavezno, a koristi se samo kada je u SA skupu sigurnosnih parametara specificirana
usluga provere identiteta. U tom sluaju, ovo polje sadri ICV koji se izraunava za
ceo ESP paket (ESP zaglavlje, podaci i dopuna) izuzev polja namenjenog podacima za
proveru identiteta. Duina ovog polja zavisi od primenjenog algortma za proveru
identiteta.
6.2.Reimi rada
IPSec definie dva osnovna reima rada: transportni reim i tunelovanje. Oba protokola, AH i
ESP, mogu se koristiti u transportnom reimu ili za tunelovanje. Ukoliko je potrebno dodatno
podii nivo sigurnosti, moe se koristiti i kombinacija oba protokola.
6.2.1. Transportni reim rada
Protokol AH. AH zaglavlje se dodaje odmah iza IP zaglavlja (slika 6.5.) . U tom
sluaju polje protokol u IP zaglavlju sadri vrednost 51 (AH), dok polje sledee
zaglavlje
u AH zaglavlju sadri vrednost koja odgovara enkapsuliranom datagramu iz vieg
sloja (npr. 6 za TCP segment). Kao to se na osnovu slike moe zapaziti AH u
transportnom reimu obezbeuje proveru identiteta, integriteta i neporecivost celog IP
paketa.
48
IP
Zaglavlje
IPSec AH
zaglavlje
TCP
zaglavlje
podaci
proveren identitet
IP
zaglavlje
IPSec ESP
zaglavlje
TCP
zaglavlje
podaci
ESP
dopuna
ifrovano
proveren identitet
Kao to se vidi sa slike, svi podaci iz vieg sloja (ukljuujui i ESP dopunu) ifrovani su.
Takoe, moe se uoiti da za razliku od protokola AH, koji proverava identitet celog IP
paketa (ukljuujui i IP zaglavlje) - ESP provera identiteta vlastitog zaglavlja i podataka, ali
49
ESP aut.
podaci
IP
zaglavlje
IPSec AH
zaglavlje
IPSec ESP
zaglavlje
TCP
zaglavlje
ESP
dopuna
podaci
ifrovano
proveren identitet
50
6.2.2. Tunelovanje
Tunelovanje je drugi reim rada IPSec protokola, u kome IPSec slui za uspostavljanje
sigurne komunikacije izmeu mrenih prolaza (Gateway) na udaljenim mreama (Gatway- toGateway), obezbeujui tako virtelnu privatnu komunikaciju, to jest uspostavljajui VPN
mreu izmeu udaljenih lokacija. U ovom sluaju krajnji entiteti u komunikaciji ne moraju da
podravaju IPSec. Za njih je itava komunikacija transparentna (nevidljiva) jer se sve
operacije neophodne za sigurnu komunikaciju obavljaju u mrenim prolazima. Mreni prolazi
na udaljenim mreama predtsvljaju ulaznu, odnosno izlaznu taku sigurnog komunikacionog
kanala. Oni formiraju siguran tunel kroz nesiguran medijum (internet) - zbog toga se taj nain
rada i zove tunelovanje slika (6.8.).
Sl.6.8. Tunelovanje
Tunelski nain rada mogue je i u komunikaciji raunar-raunar ili raunar-mreni prolaz, ali
tada krajnji entiteti (odnosno entitet) moraju podravati IPSec.
Za razliku od transparentnog naina rada, gde se AH, odnosno ESP zaglavlja dodaju u
postojei IP paket, pri tunelovanju se formira potpuno nov IP paket koji enkapsulira
kompletan originalni IP paket. Dva entiteta komuniciraju na sledei nain:
51
novo IP
zaglavlje
IPSec AH
zaglavlje
IP zaglavlje
TCP
zaglavlje
podaci
proveren identitet
Sl.6.9. AH tunelovanje
zaglavlja koje, isto kao i u AH zaglavlju, sadri gde su krajnje take IPSec tunela, ima
vrednost 50 (ESP), dok polje ''sledee zaglavlje'' u ESP zaglavlju ima vrednost 4(IP
paket enkapsuliran u IP paket).
novo IP
zaglavlje
IPSec ESP
zaglavlje
IP zaglavlje
TCP
zaglavlje
podaci
ESP
dopuna
ESP aut.
podaci
ifrovano
proveren identitet
53
6.3.1. IKE
IKE je standardni protokol za uspostavljanje sigurne IPSec komunikacije, definisan u
dokumentu RFC 2409. Protokol je implementiran kombinovanjem nekoliko postojeih
protokola: ISAKMP, Oakley i SKEME.
Uspostavljanje IPSec komunikacije primenom protokola IKE sastoji se od dve osnovne faze:
uspostavljanjem IKE SA skupa sigurnosnih parametara i uspostavljanja IPSec SA skupa
sigurnsosnih parametara korienjem IKE SA. Uobiajeno je da se za IKE komunikaciju
koristi UDP prikljuak (port) 500.
Uspostavljanje IKE SA. Osnovna funkcija IKE SA skupa sigurnosnih parametara jeste
osiguravanje provere identiteta i sigurnosti IKE saobraaja, a unutar tako
uspostavljene komunikacije moe se definisati vie IPSec SA. Uspostavljeni IKE SA
mora da sadri sledee atribute: algoritam za ifrovanje, he funkciju, metodu provere
identiteta i Oakley grupu koja definie Diffie-Hellmanovu razmenu kljueva (RSA,
eliptike krive).
Metoda provere identiteta je nain provere identiteta entiteta u predstojeoj
komunikaciji. IKE podrava sledee metode provere identiteta: Korienje digitalnih
potpisa (RSA ili DSS), korienje tajnog kljua (preshared key) i korienje
kripotgrafije sa javnim kljuevima. Metoda provere identiteta, zasnovana na tajnom
kljuu, ostljiva je na napade tipa ovek u sredini, to je inherentno svojstvo DiffieHellmanovog protokola za razmenu kljueva. Za sigurnu proveru identiteta
preporuuje se korienje infrastrukture javnih kljueva.
Za uspostaljanje IKE SA koriste se dva naina: glavni nain (Main Mode) i agresivni
nain (Aggressive Mode). Glavni nain se koristi kada je neophodna zatita identiteta
entiteta u komunikaciji. U glavnom nainu rada, entiteti razmenjuju 6 poruka kako bi
uspostavili IKE SA. Agresivni nain se moe upotrebiti kada nije neophodna zatita
identiteta, ali je poeljno to bre uspostavljanje komunikacije. Pri ovom nainu rada,
entiteti razmenjuju samo tri poruke. Potrebno je napomenuti da e, ukoliko se u
agresivnom nainu rada koristi kripotgrafija sa javnim kljuevima, zatita identiteta
takoe biti osigurana.
Za odravanje IKE komunikacije potrebno je generisati etiri raziita kljua: glavn
iklju koji se koristi za generisanje ostalih kljueva, klju koji IKE SA koristi za
ifrovanje poruka, klju koji IKE SA koristi da obezbedi integritet i proveru identiteta
poruka i klju koji slui za generisanje IPSec SA. Pri generisanju kljueva koriste se i
cookies koje generiu entiteti u komunikaciji i koji predtsvljaju he vrednosti
izraunate na osnovu indentifikatora (IP adresa entiteta, port, protokol), vremenske
oznake i tajne vrednosti poznate samo entitetu koji je generisao cookies
Uspostavljanje IPSec SA. Druga faza protokola IKE slui za uspostavljanje IPSec SA
skupa sigurnosnih parametara. Ova faza se izvodi u takozvanom brzom nainu rada
(Quick Mode). Cela komunikacija koje se odvija u drugoj fazi zatiena je jer se
koristi predhodno uspostavljen IKE SA skup sigurnosnih parametara. Ova faza u
54
Premaenje zaglavlja zavisi od naina rada IPSec-a, kao i od IPSec protokola koji se koristi.
Upotreba AH protokola (ukoliko se koriste propisane he funkcije MD5 ili SHA1) unosi
premaenje od 24 okteta, od kojih 12 odpada na zaglavlja bez polja podaci za proveru
identiteta, dok preostalih 12 okteta (96 bitova) odpada na polje sa ICV vrednsou koju je
generisala he funkcija. Treba napomenuti sledee: iako MD5 daje izlazni rezultat duine 128
bitova, a SHA1 160 bitova, te vrednosti se za potrebe IPSeca svode na 96 bitova.
Ukoliko se koristi protokol ESP, premaenje zavisi od toga da li se ESP upotrebljava samo za
obezbeivanje privatnosti ili slui za obezbeivanje integriteta, neporecivosti i proveru
identiteta prouke. Premaenje zavisi i od primljenog kriptografskog protokola. Esp zaglavlje
samo po sebi dodaje 8 okteta. Dalje, za kriptografske algoritme u reimu rada CBC
neophodan je inicijalizacioni vektor ija duina moe biti do 16 okteta (8 okteta za DES i
3DES ili 16 okteta za AES). Tu su jo etiri okteta koji se odnose na polja duina dopune i
sledee zaglavlje (dva okteta za polja i dva za dopunjavanje do 32-bitne rei), a ukoliko se
ESP koristi za osiguranje integriteta, neporecivosti i provere identiteta, potrebno je dodati i 12
okteta i za ICV prenos iz polja podaci za proveru identiteta na kraju ESP paketa. Ukoliko se
IPSec koristi u tunelskom nainu rada, treba dodati 20 okteta za novo IP zaglavlje.
Premaenje dopune zavisi i od IPSec protokola koji se koriste, to jeste direktno od algoritama
za ifrovanje i he funckija koje us navedene u SA skupu sigurnsosnih parametara. Dopuna je
nuna zato to algoritmi za ifrovanje i he funkcije kao ulaz koriste blokove fiksne duine, a
ta duina zavisi od algoritama koji e se koristiti. Za kriptografske algoritme
(DES,3DES,AES) to konkretno znai da e svaki paket imati dopunu koja obezbeuje da IP
palet bude duine n*64 bita, odnosno n*128 bitova. Pri upotrebi he funkcija (MD5 i SHA1),
zbog implementacijske specifinosti, paket e biti dopunjen do umnoka od 448 bitova.
55
Razlog je to to oba algoritma ulaznim podacima implicitno dodaju 64 -bitni blok podataka,
pa se skrauje ulazni blok koji se moe obraditi u he funkciji.
Premaenje ima vei uticaj na opadanje performansi mree ukoliko se uglavnom alju manji
paketi.
IPSec protokol, sam po sebi, donosi neke probleme koje je ponekada teko ili nemogue reiti
u specifinim mrenim okruenjima. To se prvenstveno odnosi na korienje NAT-a i IP
fragmentaciju koja se moe javiti prilikom IPSec komunikacije.
Ukoliko se bilo gde izmeu entiteta koji ele da uspostave IPSec komunikaciju koristi NAT,
ni u tansportnom ni u tunelskom reimu rada ne moe se upotrebiti AH, jer e NAT naruiti
integritet IP paketa pa e ga primalac odbaciti.
Ukoliko se za IPSec koristi samo ESP, situacija nije bezizlazna. U transportnom nainu rada
upotreba NAT-a takoe onemoguuje IPSec komunikaciju, ali u tunelskom reimu ESP moe
funkcionisati. Prilikom korienja NAT-a, treba obratiti panju i na IKE / ISAKMP, jer se pri
proveri identiteta zasnovanoj na tajnom kljuu koriste i cookies koji se generiu, zavisno od IP
adrese entiteta tada se takoe gubi integritet i ne moe se uspostaviti komunikacija. Ovaj
nedostatak, za razliku od problema sa AH i ESP, moe se otkloniti tako to e se primeniti
druge IKE metode za proveru identiteta (korienje digitalnih potpisa ili kripotgrafije sa
javnim kljuevima).
IPSec NAT-T (NAT Traversal) tehnologija unapreuje IPSec tako da, uz odreena
ogranienja, omoguava uspostavljanje IPSec komunikacije i izmeu entiteta koji se nalaze
iza NAT ureaja. U tehnologiji IPSec NAT-T osnovna ideja je korienje UDP paketa za
enkapsulaciju IPSec ESP i IKE paketa. IPSec AH paketi ne mogu se enkapsulirati
korienjem NAT-T tehnologijom. Standardni port za IPSec NAT-T komunikaciju je UDP
port 4500. Korienje istog UDP porta za NAT-T enkapsulaciju pojednostaljuje konkretnu
implementaciju i konfiguraciju (npr. mrenih barijera).
56
Core Dump. Core Dump sistem omoguava da ureaj usled otkaza poalje presek sistema
(memorije, procesora) u sluaju otkaza bilo koje vrste. Uz presek sistema, alje se i razlog
otkaza ureaja.
Cisco2911(config)#exception protocol ftp
57
59
Cisco3560(config-if)#switcport port-security
60
8.3. RSPAN
RSPAN ( Remote Switched Port Analyzer) je sistem koji se konfigurie u Ethernet mrei radi
sakupljanja podataka o saobraaju i slanja na software za analizu saobraaja mree.
Funkcionie tako to se na ureaju ( switch ) konfiguriu interfejsi ili ak i vlan-ovi koji se
ele pratiti/analizirati i taj saobraaj se replicira u jedan poseban vlan (konfigurisan samo za
potrebe RSPANA) koji saobraaj alje na server na kome je instaliran software za analizu
saobraaja. RSPAN je u sutini napredna verzija SPAN protokola. Najvee unapreenje u
odnosu na SPAN je to to se moe implmentirati kroz celu Ethernet mreu, a ne na ogranien
ureaj. Primer:
Cisco3560(config)#vlan 900
61
8.4. Menadment
Network menadment protokoli e biti implementirani na Cisco ureajima. Serveri za
network menadment e biti centralizovani na serverima u Beogradu radi bolje i preciznije
administracije. Funkcija ovog sistema je da analiza da upravljanje projektovanom mreom
budu pravovremeno, centralizovane i efikasne za administraciju od strane mrenog
adniministrativnog tima.
Logging. Jako je bitno pratiti dogaaje u mrei. Log poruke mogu biti od krucijalne vanosti
za celokupni mreni sistem, pogotovo u sluaju otkaza delova sistema ili upada u mreu. Log
poruke zapisuju vreme odreenog dogaaja u mrei, stepen njegove vanosti za sistem, i
kratak opis dogaaja. Poruke se alju na definisani server u mrei, odakle mreni
administrator moe pratatiti mrena deavanja. Primer:
Cisco2911(config)#logging on
Cisco2911(config)#ntp logging
SNMP (Simple Network Menagmet Protokol) je protokol aplikativnog sloja koji omoguava
komunikaciju izmeu SNMP servera i agenta. SNMP arhitektura se sastoji od 3 dela :
menader, agent i MIB. SNMP menader je sistem koji kontrolie i analizira mrene
aktivnosti agenata koristei SNMP protokol. Na menaderu se instalira software koji vri
analizu, upravljanje i monitoring.
SNMP Agent je ureaj koji komunicira sa SNMP Menaderom, u ovom sluaju Cisco ureaji.
MIB (Menagment Information Base) je virtuelna baza informacija koja se sastoji od skupa
objekata kojima se manipulie. SNMP Agent sadri MIB varijable ije vrednosti SNMP
Menader moe da zahteva radi upravljanja ili promene. SNMP agent i menader
komuniciraju posredstvom trap poruka. SNMP trenutno podrava 3 verzije rada : 1, 2c i 3.
Razlika izmeu verzija se najvie ogleda u bezbednosti i autentifikacije SNMP ureaja. U
ovom projektu bie koriena verzija 2c. Razmena poruka u v2c funkcionse pomou
community parametra koji slui kao osnovno sredstvno bezbednosti komunikacije (neto
62
63
Cisco2911(config)#policy-map PMAP
Cisco2911(config-pmap)#class VOIP
Cisco2911(config-pmap-c)#bandwith percent 20
Cisco2911(config-pmap)#class Klasa-korisnog-saobracaja
Cisco2911(config-pmap-c)#bandwith percent 40
Cisco2911(config-pmap-c)#random-detect
Cisco2911(config-pmap)#class Klasa-beskorisnog-saobracaja
Cisco2911(config-pmap-c)#drop
Cisco2911(config-pmap)#class class-default
Cisco2911(config-pmap-c)#exit
Cisco2911(config)#policy-map POLICE
Cisco2911(config-pmap)#class class-default
Cisco2911(config-pmap)#exit
Cisco2911(config)#interface ser0/1
64
9. IP telefonija
Model koji je predstavljen na slici 9.1. oznacava tehnologiju poznatu pod nazivom Multisite
WAN with Centralized Call-Processing Deployment. Ideja koja lezi u osnovi ovakvog
dizajna jeste da se u svim razgovorima koji se obavljaju izmedju udaljenih lokacija preskace
javna telefonska mreza i na taj nacin ostvari znatna usteda na telefonskom racunu.Medjutim,
svi ruteri moraju biti podeseni tako da u koliko dodje do pada IP mreze, svaki poziv moze biti
obavljen preko javne telefonske mreze.Ovaj dizajn podrazumeva podizanje Cisco Call
Manager klastera na centralnoj lokaciji koji ukljucuje Publisher (glavni server) i Subscriber
(redudantni server koji svoju bazu na odredjeni interval vremena osvezava podacima sa
glavnog servera). Ovaj klaster bi preko H323 protokola bio povezan na Cisco 2811 ruter koji
bi ujedno sluzio i kao voice gataway. Cisco 2811 tip rutera bi bio postavljen i na udaljenim
lokacijama iz razloga sto se na njemu moze instalirati Cisco Call Manager Express softver,
koji omogucava rutiranje voice saobracaja kroz Ip mrezu, a i moze raditi kao nezavista
telefonska centrala.Vazno je napomenuti da Cisco Call Manager i Cisco Call Manager
Express sluze za konfigurisanje telefona i njihovih mogucnosti ali se u slucaju koriscenja
H323 protokola celokupne telefonske ruting liste konfigurisu na ruterima!
65
IP adresa 12.0.0.1
IP adresa 13.0.0.1
66
Preko PSTN-a
Destination-pattern 10..
Destination-pattern 10..
port 1/0:23
Preference 1
Preference 2
Prefix 01145510
definisane cifre sto se moze videti i na prikazu gore, gde je u okviru prefiksa koji ce biti
dodan broju nalaze i 10.
Router2911#configure terminal
Router2911(config)#hostname Beograd2911
Beograd2911(config)#interface s0/1
Beograd2911(config-if)#no shutdown
Beograd2911(config)#interface ser0/0
Beograd2911(config)#interface fa0/0
Beograd2911(config)#router ospf 1
Beograd2911(config-r)#router-id 1.1.1.1
serial 0/1
Beograd2911(config)#interface fa0/0
Beograd2911(config)#interface fa0/1
Beograd2911(config)#aaa new-model
default radius
Beograd2911(config)#logging trap 7
Beograd2911(config)#ntp master
Beograd2911(config)#ntp logging
Beograd2911(config-isakmp)#authentication pre-share
Beograd2911(config-isakmp)#group 2
Beograd2911(config-isakmp)#lifetime 36000
Beograd2911(config-isakmp)#authentication pre-share
Beograd2911(config-isakmp)#group 2
Beograd2911(config-isakmp)#lifetime 36000
71
Beograd2911(config)#interface tunnel 12
Beograd2911(config)#interface tunnel 13
Beograd2911(config-pmap-c)#bandwith percent 20
Beograd2911(config-pmap)#class Klasa-korisnog-saobracaja
Beograd2911(config-pmap-c)#bandwith percent 40
Beograd2911(config-pmap-c)#random-detect
Beograd2911(config-pmap)#class Klasa-beskorisnog-saobracaja
Beograd2911(config-pmap-c)#drop
Beograd2911(config-pmap)#class class-default
Beograd2911(config-pmap-c)#exit
Beograd2911(config)#policy-map POLICE
Beograd2911(config-pmap)#class class-default
Beograd2911(config-pmap)#exit
Beograd2911(config)#interface ser0/1
Router2911#configure terminal
Router2911(config)#hostname Beograd2911
Novisad2911(config)#interface ser0/0
Novisad2911(config-if)#no shut
Novisad2911(config)#interface fa0/0
Novisad2911(config)#router ospf 1
Novisad2911(config-r)#router-id 2.2.2.2
Novisad2911(config)#aaa new-model
default radius
Novisad2911(config-isakmp)#authentication pre-share
Novisad2911(config-isakmp)#group 2
Novisad2911(config-isakmp)#lifetime 36000
Novisad2911(config-isakmp)#authentication pre-share
Novisad2911(config-isakmp)#group 2
Novisad2911(config-isakmp)#lifetime 36000
Novisad2911(config-crypto-map)#exit
Novisad2911(config)#interface tunnel 12
Novisad2911(config)#interface tunnel 23
76
Router2911#configure terminal
Router2911(config)#hostname Nis2911
Nis 2911(config)#interface ser0/0
default radius
Nis 2911(config-isakmp)#group 2
79
Konfiguracija switcheva:
Beograd Switch 1
Switch3560>enable
Switch3560#configure terminal
Switch3560(config)#hostname BeogradSW1
BeogradSW1(config)#vlan 11
BeogradSW1(config-vlan)#name DataVlan
BeogradSW1(config-vlan)#exit
BeogradSW1(config)#vlan 12
BeogradSW1(config-vlan)#name VoiceVlan
BeogradSW1(config-vlan)#exit
BeogradSW1(config)#vlan 13
BeogradSW1(config-vlan)#name MenagmentVlan
BeogradSW1(config-vlan)#exit
BeogradSW1(config)#vlan 900
BeogradSW1(config-vlan)#rspan vlan
BeogradSW1(config-vlan)#name RSPANVlan
BeogradSW1(config-vlan)#exit
80
BeogradSW1(config)#vtp version 2
BeogradSW1(config-if)#channel-group 1 mode on
BeogradSW1(config-if)#exit
BeogradSW1(config)#interface fa0/9
BeogradSW1(config-if)#no switcport
81
BeogradSW1(config-if)#no shut
BeogradSW1(config)#interface vlan 12
BeogradSW1(config-if)#no shut
BeogradSW1(config)#interface vlan 13
BeogradSW1(config-if)#no shut
BeogradSW1(config)#aaa new-model
default radius
BeogradSW1(config-r)#router-id 1.1.1.11
Beograd Switch 2
Switch3560>enable
Switch3560#configure terminal
Switch3560(config)#hostname BeogradSW2
BeogradSW2(config)#vlan 11
BeogradSW2(config-vlan)#name DataVlan
BeogradSW2(config-vlan)#exit
BeogradSW2(config)#vlan 12
83
BeogradSW2(config-vlan)#name VoiceVlan
BeogradSW2(config-vlan)#exit
BeogradSW2(config)#vlan 13
BeogradSW2(config-vlan)#name MenagmentVlan
BeogradSW2(config-vlan)#exit
BeogradSW2(config)#vlan 900
BeogradSW2(config-vlan)#rspan vlan
BeogradSW2(config-vlan)#name RSPANVlan
BeogradSW2(config-vlan)#exit
BeogradSW2(config-if)#channel-group 1 mode on
BeogradSW2(config-if)#exit
BeogradSW2(config)#interface fa0/9
BeogradSW2(config-if)#no switcport
BeogradSW2(config-if)#spanning-tree port-fast
BeogradSW2(config-if)#switcport port-security
BeogradSW2(config)#interface vlan 12
BeogradSW2(config-if)#no shut
BeogradSW2(config)#interface vlan 13
BeogradSW2(config-if)#no shut
BeogradSW2(config)#aaa new-model
default radius
BeogradSW2(config-r)#router-id 1.1.1.12
86
Switch3560#configure terminal
Switch3560(config)#hostname NovisadW1
NovisadSW1(config)#vlan 21
NovisadSW1(config-vlan)#name DataVlan
NovisadSW1(config-vlan)#exit
NovisadSW1(config)#vlan 22
NovisadSW1(config-vlan)#name VoiceVlan
NovisadSW1(config-vlan)#exit
NovisadSW1(config)#vlan 23
NovisadSW1(config-vlan)#name MenagmentVlan
NovisadSW1(config-vlan)#exit
NovisadSW1(config)#vlan 900
NovisadSW1(config-vlan)#rspan vlan
NovisadSW1(config-vlan)#name RSPANVlan
NovisadSW1(config-vlan)#exit
NovisadSW1(config-if)#channel-group 1 mode on
NovisadSW1(config-if)#exit
NovisadSW1(config)#interface fa0/9
NovisadSW1(config-if)#no switcport
NovisadSW1(config)#interface vlan 22
NovisadSW1(config-if)#no shut
NovisadSW1(config-if)#exit
NovisadSW1(config)#interface vlan 13
NovisadSW1(config-if)#no shut
NovisadSW1(config)#aaa new-model
default radius
NovisadSW1(config-r)#router-id 2.2.2.21
Switch3560#configure terminal
Switch3560(config)#hostname NovisadSW2
NovisadSW2(config)#vlan 21
NovisadSW2(config-vlan)#name DataVlan
NovisadSW2(config-vlan)#exit
NovisadSW2(config)#vlan 22
NovisadSW2(config-vlan)#name VoiceVlan
NovisadSW2(config-vlan)#exit
NovisadSW2(config)#vlan 23
NovisadSW2(config-vlan)#name MenagmentVlan
NovisadSW2(config-vlan)#exit
NovisadSW2(config)#vlan 900
NovisadSW2(config-vlan)#rspan vlan
90
NovisadSW2(config-vlan)#name RSPANVlan
NovisadSW2(config-vlan)#exit
NovisadSW2(config-if)#channel-group 1 mode on
NovisadSW2(config-if)#exit
NovisadSW2(config)#interface fa0/9
NovisadSW2(config-if)#no switcport
NovisadSW2(config-if)#exit
NovisadSW2(config)#interface vlan 22
NovisadSW2(config-if)#no shut
NovisadSW2(config)#interface vlan 23
NovisadSW2(config-if)#no shut
NovisadSW2(config)#logging trap 7
NovisadSW2(config)#aaa new-model
default radius
NovisadSW2(config-r)#router-id 2.2.2.22
93
Ni Switch 1
Switch3560>enable
Switch3560#configure terminal
Switch3560(config)#hostname NiSW1
Nis SW1(config)#vlan 31
Nis SW1(config-if)#exit
default radius
Ni Switch 2
Switch3560>enable
Switch3560#configure terminal
Switch3560(config)#hostname NiSW2
Nis SW2(config)#vlan 31
98
Nis SW2(config-if)#exit
default radius
100
11. Zakljuak
Projekat obraen u ovom master radu omoguava sve uslove za kvalitetan, skalabilan i
siguran rad mree.
Svi ureaji korieni u datom mrenom reenju su visoko kompatibalni sa visokim zahtevima
mree i predstavljalju poslednju generaciju Cisco mrenih ureaja. Praksa je pokazala da su
korieni ureaji idealni za SMB (small to medium business) reenja u ta spadaju i zahtevi
ovog projekta. Ureaji korieni u mrenom reenju pruaju visok stepen pouzdanosti,
sigurnosti skalabilnosti mree i podravaju sve traene funkcionalnosti.
Protokoli za uspostavljanje komunikacije u mrei su standardizovani i opte prihvaeni. OSPF
koji je implementiran kao protokol za razmenu ruting informacija u mrei je protokol
otvorenog koda visoko skalabilan, pouzdan sa veoma kratkim vremenom konvergencije. U
sluaju pada ili otkaza bilo kog mrenog elementa OSPF preuzima logiku odgovornost na
sebe i veoma brzo uspostavlja nesmetan rad mree u novonastalim uslovima. Kao jako
skalabilan protokol omoguava potencijalno brzo nadograivanje kompletnog mrenog
reenja informacionog sistema. Zbog visokih zahteva bezbednosti mree implementirana je
zatita razmena ruting informacija odnosno OSPF LSA paketa. OSPF je implementiran na
nivou vie OSPF area zbog trenutne veliine mrenog reenja ime je olakana administracija
mrenom administratoru. Zbog potrebe za skalabilnosti cele mree na nivou rutiranja, takoe
je implementirana je sumarizacija ruta.
Na drugom mrenom nivou OSI modela implementiran je opte prihvaen 802.1Q standard.
Interfejsi izmeu switcheva su postavljeni u Etherchannel mod rada ime se obezbeuje
ravnoprana raspodela saobraaja u mrei i ime se poveava propusni opseg izmeu
switcheva. Etherchannel interfejsi rade u trunk modu kako bi komunikacija izmeu razliitih
VLAN-ova bila mogua. Protokol za prevenciju petlji u mrei je 802.1W (rapid spanning
tree). U praksi se 801.W pokazao kao protokol sa najveom brzinom konvergencije i velikom
mogunou za proirenjem L2 domena. Ovime je omoguen nesmetan rad LAN mree.
Obzirom da je u datom projektu traen visok stepen bezbednosti i zatite implementiran je
veliki broj zatitnih mehanizama u mrei. Izabrani modeli Cisco ureaja podravaju sve
zahtevane protokole za bezbednost i veoma ih efikasno procesiraju. Za zatitu komunikacije
izmeu samih lokacija u mrei, implementirani su IPSec protokoli. Enkripcija saobraaja je
implementirana ESP protokolom koji koristi AES 256 enkripciju. Autentikacija samih rutera
(lokacija) je izvedena uz pomo PSK (Pre-Shared Key) arhitekture. PSK arhitektura se
uspostavlja uz pomo predefinisanih statikih kriptolokih kljueva. Za zatitu ulaznog
eksternog saobraaja u mreu konfigurisan je CBAC firewall koji prati ispravnost UDP,
ICMP i TCP konekcija. CBAC takoe vri praenje protokola na viem nivou OSI modela.
Za kontrolu pristupa koriene su Acces-liste koje pruaju statiku zatitu mrei. Zbog
administrativnog i menadment pristupa ureajima implementiran je AAA model. AAA
model predtsvlja integirsanu zatitu pristupa ureajima. Podrana je autentikacija, autorizacija
i accounting, ime se prati i obezbeuje svaki rad na ureaju. Zbog ove potrebe, AAA
direktno komunicira sa centralizovanim RADIUS serverom.
101
102
Literatura
[1] Dragan Pleskonji, Nemanja Maek, Borislav orevi, Marko Cari :Sigurnost
raunarskih sistema i mrea, Beograd 2007.
[2] Markus Jackobsson, Moti Yung, Jianying Zhou: Applied Cryptography and Network
Security USA 2004
[3] Raymond Blair, Arvind Durai: Cisco Secure Firewall Services Module (FWSM),
Indianapolis 2008.
[4] William Stallings: Cryptography and Network Security, USA 2005
[5] Michael Gregg, Stephen Watkins, George Mays, Chris Ries, Ron Bandes, Brandon
Franklin: Hack the Stack using snort and ethereal to master the 8 layers of an insecure
network Rockland 2006.
[6] Eric Cole: Hackers beware, USA 2002.
[7] John A. Vacca: Network and System Security, Burlington 2009.
[8] Dr. Eric Cole, Dr. Ronald Krutz, and James W. Conley: Network Security Bible.
[9] Andrew Lockhart: Network Security Hacks, 2006
[10] Jazib Frahim, Qiang Huang: SSL Remote Access VPNs, Indianapolis 2008.
[11] Nong Ye: Secure Computer and Network Systems Modeling, Analysis and Design,
Arizona State University, USA 2008.
[12] Stuart McClure, Joel Scambray, George Kurtz: Hacking Exposed 6: Network Security
Secrets & Solutions, USA 2009.
[13] Vijay Bollapragada, Mohamed Khalid, Scott Wainner: IPSec VPN Design,
Indianapolis 2005.
[14] James Henry Carmouche: IPSec Virtual Private Network Fundamentals, Indianapolis
2006.
[15] Joe Harris: Cisco Network Security Little Black Book, Scottsdale, Arizona 2002.
[16] Indranil Bose: Breakthrough Perspectives in Network and Data Communications
Security, Design, and Applications, USA 2009.
[17] Weijia Jia, Wanlei Zhou: Distributed Network Systems, Boston, USA 2005.
103