Megatrend univezitet primenjenih nauka Beograd

Visoka poslovna kola

-POSLOVNA INFORMATIKA-

SEMINARSKI RAD

Tema: Bezbednost raunarskih mrea

Studenti:
Maja Eremi br.indeksa 006/08/1000
Vida Peanac br.indeksa 010/08/1000
Gal Danijela br.indeksa 002/08/1000

Profesor:
Doktor Zoran ivkovi

Zrenjanin,
Maj 2009 godine

SADRAJ

1. Uvod.................................................................................................3
 Raunarske mree..................................................................3.1
Grafiki prikazi......................................................................4
2. Vrste napada na raunarske mree ..................................................5
Grafiki prikazi...........................................................................5.1
Najee primenjivani napadi i pretnje.......................................5.2
Programske pretnje.....................................................................5.3
Sistemske pretnje........................................................................5.4
3. Sigurnosni servisi.............................................................................6
Sigurnost kao proces...................................................................7
Slojevita zatita grafik................................................................7.1

4. Metode zatite..................................................................................8
5. Razliiti aspekti zatite.....................................................................8.1

6. Naini i alati za stvaranje sigurnih sistema.......................................9

Backup.........................................................................................9.1

Anti-virusni softver .....................................................................9.2

Zatitni zid (Firewall).................................................................10
Anti-spyware .............................................................................10.1
Sigurnosne zakrpe .....................................................................10.2
Preventive .................................................................................10.3

7. Ostale vrste zatita..........................................................................11

8. Kriptoloka atita u raunarskim mreama...................................12
9. Sistemi za ifrovanje podataka.......................................................12.1
10.Simetrini ifarski sistemi..............................................................12.2
11.Asimetrini ifarski sistemi............................................................12.3
12.Digitalni potpis...............................................................................12.4
13.Zlonamerni programi..13
Virus........................................................................................13.1
Raunarski crvi.......................................................................13.2
Trojanski konj.........................................................................13.3
14. Zatita podataka raunarskih mrea..............................................14
Kerberos.................................................................................14.1
SDNS.....................................................................................14.2
Secure NFS14.3
Project MAX.14.4

2
15.Web aplikacije....15
Web servisi.............................................................................15.1
HTTP i bezbednost Web aplikacija........................................15.2
16.Zakljuak.........................................................................................16
17.Literatura.........................................................................................17

3
Uvod

Ekspanzija popularnosti Interneta koja se odigrala u prethodnoj deceniji,

kaopromovisanje Web browsera kao platforme za distribuciju aplikacija, doveli su do
toga da razvoj Web aplikacija predstavlja oblast u kojoj se raunari danas najvie
koriste.Web bezbednou se oduvek bavila mala grupa ljudi koja se obicno fokusirala na
bezbednost mrea i operativnih sistema. Pojavom sve sloenijih Web aplikacija i Web
servisa kao i injenica da se na njima nalazi velika koliina poverljivih informacija
povlai sa sobom veliku odgovornost programera koji ih kreiraju.

Raunarske mree

Raarsku mreu ine dva ili vie raunara povezana na odgovarajui nain kako bi mogli
da dele raunarske resurse. Pod raunarskim resursima podrazumevaju se hardverske
komponente (skener,tampa, modem) i softverske komponente (informacije, baze,
aplikacije).

Umreeni raunari mogu da dele:

1. podatke,
2. poruke,
3. softver,
4. raunarske faks ureaje,
5. modeme
6. ostale hardverske komponente

Osnovni razlog zbog ega se raunari povezuju u mree su poveavanje efikasnosti i

smanjenje trokova. Povezivanje raunara dovodi do znatnih uteda kako u okviru
jedne organizacije, tako i na globalnom svetskom nivou zato to se istim informacijama
moe pristupati sa razliitih lokacija.

Raunarske mree se mogu podeliti u dve osnovne klase prema

veliini razdaljine koje pokrivaju:

1. lokalne
2. globalne mree

4
Lokalne mree (Local Area Network LAN)
predstavlja mreu raunara i drugih komponenata, lociranu u okviru relativno malog
prostora. Lokalna mrea omoguava zajedniko korienje korporacijskih resursa, kao
to su ureaji za arhiviranje, tampai, skeneri, baze podataka, aplikacije itd. Postojanje
LAN-a moe da eliminie potrebu za cirkulacijom dokumenata u papirnoj formi, tako to
omoguava dostavljanje beleki, poslovnih pisama i drugih materijala u elektronskoj
formi na radnu stanicu svakog slubenika. Lokalne mree karakterie velika brzina
prenosa i malo kanjenje.

1.1 Primer mogue arhitekture LAN mree

Globalne mree (Wide Area Network WAN)

predstavlja mreu koja povezuje raunare locirane na veim udaljenostima. WAN pokriva
veliku geografsku oblast i generalno su javno dostupne mree. Globalne mree
obuhvataju regionalne mree, kao to su telefonske kompanije ili meunarodne mree,
kao to su globalni provajderi, odnosno isporuioci komunikacionih usluga. Ove mree
mogu da kombinuju komutirane i direktne linije, mikrotalase i satelitske komunikacije.
Globalne mree mogu biti komercijalne, pravilima regulisane mree, dok su neke u
privatnom vlasnitvu, obino u vlasnitvu velikih kompanija koje mogu da podnesu
odgovarajue trokove. Postoje i globalne mree koje su "javne" u smislu upravljanja,
resursa i pristupa.

5
 1.2Primer mogue arhitekture WAN mree

Proces zatite raunarskih mrea je kontinuiran, ali mora biti i sveobuhvatan u cilju
postizanja eljenih rezultata, visokog nivoa bezbednosti i pune funkcionalnosti
raunarske mree i mrenih sistema u njoj. Panja ovog rada je usmerena na bezbednost
raunarskih mrea.Zbog obimnosti problematike, u radu je prezentiran samo deo
moguih brojnih napada i adekvatnih mera zatite raunarskih mrea.

U prolosti se termin zatita podataka obino vezivao za zatitu

podataka na izolovanim raunarima. Meutim, pojavom raunarskih
mrea i njihovim stalnim razvojem i proirivanjem otvorila su se nova
pitanja koja se tiu zatite podataka koji se razmenjuju komunikacionim
kanalima.Opasnost od ugroavanja podataka je ovoga puta vea nego
ikada ranije pre svega zbog fizikih i funkcionalnih karakteristika
raunarskih mrea.

VRSTE NAPADA NA RAUNARSKE MREE

U osnovi, napadi su akcije koje su usmerene na ugroavanje sigurnosti informacija,

raunarskih sistema i mrea. Postoje razliite vrste napada, ali se oni generalno mogu
klasifikovati u etiri osnovne kategorije:

1. Presecanje, prekidanje
2. Presretanje
3. Izmena
4. Proizvodnja, fabrikovanje

6
 1.3. Primeri napada na raunarske mree
U zavisnosti od uticaja potencijalnog napadaa na tok informacija sve
pretnje
na raunarske mree moemo podeliti u dve grupe:

1. Pasivne pretnje
2. Aktivne pretnje

Pasivne pretnje su one koje ne utiu neposredno na ponaanje sistema i njihovo

funkcionisanje. U pasivne pretnje spadaju otkrivanje sadraja poruka(na primer,
prislukivanje) i analiza saobraaja.

Aktivne pretnje mogu uticati na ponaanje i funkcionisanje sistema ili na sadraj

podataka. U aktivne pretnje spadaju: maskiranje, tj. pretvaranje, lairanje reprodukcija, tj.
ponavljanje mrenog saobraaja izmena sadraja poruke i
odbijanje usluge.

7
Najee primenjivani napadi i pretnje

1. Odbijanje usluga (engl. Denial of Service, DoS)

2. Lairanje IP adresa (engl. spoofing)
3. Njukanje (engl. sniffing)

Programske pretnje:

1. Trojanski konj
2. Klopka
3. Prekoraenje, tj. prelivanje bafera

Sistemske pretnje :

1. Crvi
2. Virusi

SIGURNOSNI SERVISI

Sigurnost je proces odravanja prihvatljivog nivoa rizika. Znai, sigurnost je proces, a

ne zavrno stanje, tj. nije konani proizvod.

Kada se govori o sigurnosti i zatiti informacionih sistema i mrea, nekoliko principa

danas vae kao osnovni postulati:

Sigurnost je proces. Sigurnost nije proizvod, usluga ili procedura, ve skup koji ih
sadri - uz jo mnogo elemenata i mera koje se stalno sprovode.
Ne postoji apsolutna sigurnost.
Uz razliite metode zatite, treba imati u vidu i ljudski faktor, sa svim slabostima.

Sigurnosna usluga (servis) jeste usluga koja poveava sigurnost sistema za obradu i
prenos podataka. Sigurnosna usluga podrazumeva upotrebu jednog ili vie sigurnosnih

8
mehanizama, tj. mehanizama koji treba da detektuju ili preduprede napad na sigurnost, ili
da oporave sistem od napada.

Sigurnosni mehanizmi su reenja, tehnologije, pravila i procedure koje moemo

implementirati na sistemu.

U sigurnosne usluge spadaju :

1. Poverljivost, privatnost
2. Autentifikacija
3. Integritet
4. Neporicanje, priznavanje
5. Kontrola pristupa
6. Raspoloivost, upotrebljivost

Tajnost podataka obuhvata zatitu podataka od presretanja od

strane neovlaenog lica. Realizuje se fizikom zatitom
komunikacionog medija i
kontrolom pristupa.

Autentifikacijom se dokazuje identitet korisnika i sistema koji

alje poruku. Pored toga autentifikacija treba da sprei
mogunost lanog predstavljanja i neautorizovanu fabrikaciju
poruka u mrei. Realizuje se uz pomo razliitih kriptografskih
tehnika: ifrovanja, digitalnih potpisa,vremenskih peata i sl.

Servis integriteta podataka obezbeuje integritet i tanost

poruke koja se prenosi, odnosno, spreava mogunost promene
tela i zaglavlja poruke bez obzira da li je promena rezultat
namernog ili nenamernog oteenja.

Kontrola pristupa obezbeuje regulisanje odnosa izmeu

korisnika I resursa mree. Najbezbednije reenje je svakako
fiziko odvajanje pojedinih segmenata ili celokupne mree
odnosno spreavanje svakog pristupa raunarskoj mrei. Sa
druge strane mogue je vriti filtraciju mrene komunikacije i na
taj nain omoguiti restriktivan pristup ili zabranu pojedinim
komunikacionim servisima.

Neporicanje -Da bi se spreila pojava da primalac po volji izmeni

primljenu poruku a da zatim tvrdi da ju je upravu kao takvu i
primio, primenjuje se servis neporicanja poruka. Mehanizam koji
obezbeuje ovaj sigurnosi servis je digitalni potpis.

9
 Raspoloivost resursa oznaava servise koji imaju za cilj
odravanje funkcionalnosti raunarskih mrea u sluaju otkaza
mrene opreme ili napada na mreu.

Sigurnost kao proces

Procena (engl. assessment)

Zatita (engl. protection)
Otkrivanje (engl. detection)
Odgovor (engl. response)

Strategije ostvarivanja sigurnosti

1.4 Slojevita zatita

Metode zatite

Kriptografske metode
Programske metode
Organizacione metode
Fizike metode

10
Razliiti aspekti zatite

Zatita na nivou aplikacije

Zatita na nivou operativnog sistema
Zatita na nivou mrene infrastrukture
Proceduralna i operaciona zatita

NAINI I ALATI ZA STVARANJE SIGURNIH SISTEMA

Backup
Backup je nain osiguravanja podataka. U osnovi, to je samo kopija najvanijih (ili svih)
podataka na raunaru. Podaci se uvaju na hard diskovima, CD, DVD i ostalim
medijima.. Za sigurnost raunara, priuvni podaci su takoe bitni ako se desi neka
prirodna nesrea kao to je potres, poar i tako dalje. Naime, backup e najsigurnije
zatrebati kada neki od virusa,inficira neke datoteke na raunaru .

Anti-virusni softver

Uloga antivirusnog softvera na raunaru je spreiti aktiviranje poznatih zlonamernih

aplikacija, poznatijih pod nazivima virusi, crvi i trojanski konji. Ovi nametnici ometaju ili
ak onemoguuju normalan rad na raunaru, a mnogi od njih se usput i proiruju na
druge raunare.Antivirusni softver prepoznaje zlonamerne aplikacije koje su mu poznate,
to ini usporeivanjem njihovog koda s bazom takozvanih antivirusnih definicija.Neki
antivirusni alati nude i metodu pod nazivom heuristika koja nastoji prepoznati nametnike
po njihovom ponaanju, meutim budui da autor zlonamerne aplikacije moe isprobati
svoj kod antivirusnim programom pri putanja na mreu, ova je metoda vrlo niske
efikasnosti. Zbog toga je vrlo vano redovno aurirati definicije antivirusnog softvera
poseivanjem stranice proizvoaa ili koritenjem automatskog auriranja dostupnog u
veini antivirusnih alata (automatic update).Kada antivirusni softver prepozna
zlonamernu aplikaciju koja se eli aktivirati, obino postavi pitanje korisniku to eli
uiniti. Tipini ponueni odgovori su "obrisati", "oistiti", "karantenirati" i "ignorisati".
Obino je cela datoteka zlonamerna, zbog ega je opcija "obrisati" najloginiji izbor.
Firewall

Zatitni zid (Firewall, u prevodu vatreni zid) je hardver ili softer koji u sklopu
raunarske mree ima mogunost da sprei nepropisni ili neeljeni prenos podataka preko
mree koji je zabranjen od strane sigurnosne politike postavljene na mrei.Zatitni zid
ima zadatak da kontrolie protok podataka izmeu razliitih zona u raunarskoj
mrei.Zone se dele na osnovu koliine poverenja u bezbednost nekog dela mree. Obino
se Internet zona smatra nesigurnom, dok se lokalna mrea smatra relativno sigurnom.
Najbitniji cilj je ostvarivanje normalnog odnosa izmeu ove dve zone tako da jedna ne

11
nakodi drugoj.U najeem sluaju zatitni zid se brine da na raunar ne dospe tetni
kod (virus, crv itd.) sa globalne mree - Interneta. Zatitni zid spreava viruse da dospeju
na raunar, ali ih ne lei, odnosno uklanja.Zatitni zid ne moe raditi sam, i najee
zahteva iskusnijeg korisnika koji e odobravati ili zabranjivati pristup nekoj mrenoj
aktivnosti. Zatitni zid je najosnovnija komponenta koja ini sigurnu raunarsku mreu,
koja je uslov normalnog rada, kako na internetu, tako i na lokalnoj mrei.

1.5. Pojednostavljen
prikaz funkcije
jednog hardverskog
Zatitni zid-a;
Crvene nule i jedinice su tetni kod, dok su zelene nule i jedinice ono to korisnik
stvarno hoe da vidi na raunaru.

Anti-spyware

Neeljene aplikacije su spyware, adware i dialeri. Njihovi uklonitelji poznati su pod

nazivom anti-spyware i deluju na slinoj osnovi kao i antivirusni softver - prepoznaju
unapred ugraene definicije poznatih neeljenih aplikacija. Dodue, dok je veina
antivirusnog softvera stalno aktivna, uklonitelji neeljenih aplikacija uglavnom se
pokreu na zahtev korisnika. Osim to tite vau privatnost, ovi se alati brinu i o zatiti
vae e-mail adrese od neeljenih poruka (obino su e-mail adrese na raunaru prvo to
spyware "ukrade").Neki od uklonitelja, npr. SpyBot Search & Destroy, imaju mogunost
trajne zatite web-pregledaa uklanjanjem nekih njegovih ranjivosti i blokiranjem
neovlatenog pristupa poetnoj stranici te podeavanjima pretraivanja Interneta.(najvie
vai za Internet Explorer).Budui da kao i antivirusni softver zahteva stalno aurne
definicije kako bi mogao prepoznati nove oblike neeljenih aplikacija, potrebno je nove
definicije esto i redovito preuzimati s Interneta putem web-stranice proizvoaa ili
ugraene mogunosti automatskog auriranja.

Sigurnosne zakrpe

Sigurnosne zakrpe su obino mali instalacijski paketi koje proizvoa operativnog

sistema ili neke aplikacije objavljuje kao reakciju na otkriveni propust. U tom se paketu
nalazi ispravljena verzija dela aplikacije u kojem se nalazi greka i kd potreban da se
staro rjeenje zameni novim.Korisnicima Microsoftovog operativnog sustava Windows
najvanije su zakrpe za sam operativni sistem odreene verzije i za web-pregleda
Internet Explorer. Takoer su vane sigurnosne zakrpe za alate kao to su osobni firewall
i antivirusni program.

12
Sigurne ifre

ifre koje se koriste za pristup Internetu i elektronskoj poti (e-mail) ne smeju biti
predvidljive.Primer Na raspolaganju imamo mesece za isprobavanje razliitih
kombinacija znakova kako bismo pogodili tuu ifru. Raunar moe isprobati vrlo velik
broj razliitih kombinacija znakova u vrlo kratkom vremenu. Pritom e se sluiti
renicima raznih jezika, pokuati sve kombinacije moguih datuma roenja, jednostavne
ifre kao to su vae korisniko ime uz mogu dodatak jednog ili dva slova i slino. Kako
biste izbjegli mogunost da programi dizajnirani za pogaanje ifri pogode vau, ona ne
smije sadravati predvidljive podatke. Dobra metoda postavljanja ifre je skraenica od 6
- 8 znakova uz ubacivanje 2 - 4 interpunkcijska znaka ili broja.

Preventive

U veini sluajeva postoji vie korisnikih aplikacija koje zadovoljavaju odreenu

primenu - vie razliitih web-pregledaa, vie e-mail klijenata i slino. Razliite
aplikacije ne reavaju iste logike probleme na jednak nain se korisniku moe initi da
se uglavnom ponaaju jednako.Zbog tog razliitog pristupa, zlonameran kd pisan s
ciljem napada na najraireniju aplikaciju na nekoj drugoj nee funkcionisati. Prema tome,
upotrebom alternativnih aplikacija u svakodnevnom radu znaajno se smanjuje izloenost
takvim napadima. Alternativne aplikacije nee biti bez propusta, no njihovi propusti e u
manjem broju biti poznati i koriteni pri izradi novih virusa, crva, spywarea i slinih
nametnika.

Dobra sigurnosna praksa

Koristiti i redovno aurirati sigurnosne alate. Alati smanjuju mogunosti napada na

raunar, ime vas svrstavaju u ui krug dobro zatienih korisnika. Ne postoji savreno
zatien raunar, no uz malo truda e biti manje privlano potencijalnom napadau. Kako
je Microsoftov Internet Explorer najraireniji web-pregleda, veina zlonamernog koda
pisana je upravo s namerom iskoritavanja njegovih propusta. Koritenjem Mozilla
Firefox ili nekog drugog alternativnog web-pregledaa uveliko smanjujemo mogunost
zloupotrebe raunara.
Takoe bi na raunaru trebalo imati instalirane: antivirus, firewall, anti-spyware i
alternativni web-pregleda kao to je Mozilla Firefox ili Opera

Ostale vrste zatita

Kontrola pristupa je nain zatite raunara gde samo ovlatene osobe mogu koristi
raunar, najee ulazei na raunar preko ifre, identifikacione kartice, ali u zadnje
vreme se javljaju mnogo napredniji naini kao to su pametne kartice ili prepoznavanje
pomou otiska prstiju.Enkripcija je nain zatite neke poruke tako da je neko drugi ne
vidi. To se moe uraditi na vie naina, na primer mogu se izpremetati znakovi u nekoj
rei ili jednostavno zamjeniti obine znakove (slova) nekim drugim.

13
Uoavanje upada je obino tehnika prepoznavanja ljudi koji pokuavaju da uu u
raunarsku mreu. Kao primer moe posluiti osoba koja u kratkom vremenu isprobava
vie raznih ifri za njegov raun.

Kriptoloka atita u raunarskim mreama

Najvaniji element zatite podataka u raunarskim mreama predstavlja ifrovanje

mrene komunikacije. Kriptoloka zatita podataka koji se transportuju mreom moe se
implementirati na dva naina:

1. ifrovanjem sa kraja na kraj (engl. end to end encryption),

2. ifrovanjem po vezi (engl. link encryption).

Kod ifrovanja sa kraja na kraj poruka se ifruje pri slanju, a deifruje po prijemu. Poruka
ostaje ifrovana tokom celog putovanja kroz mreu, od poetka do kraja. Kod ifrovanja
po vezi poruka se ifruje pri slanju, ali se deifruje i ponovo ifruje pri svakom prolasku
kroz komunikacione vorove mree. To znai da se poruka u komunikacionim vorovima
nalazi u neifrovanom stanju, to predstavlja potencijalnu opasnost.

Sistemi za ifrovanje podataka

Moderni ifarski sistemi se mogu klasifikovati u dve grupe:

1. Simetrini ifarski sistemi (private key systems),

2. Asimetrini ifarski sistemi (public key systems).

Kod simetrinih ifarskih sistema klju za ifrovanje identian je kljuu za deifrovanje.

Zbog toga se klju mora tajnim kanalima dostaviti strani koja treba da izvri deifrovanje,
to ujedno predstavlja jedan od najvanijih nedostataka ovakvih ifarskih sistema.
Simetrini ifarski sistemi nazivaju se jo i klasini ifarski sistemi. Sedamdesetih godina
prologa veka dolazi do pojave i naglog razvoja asimetriih ifarskih sistema kod kojih se
klju za ifrovanje razlikuje od klua za deifrovanje i koji su ispravili postojee
nedostatke simetrinih ifarskih sistema.

Simetrini ifarski sistemi

Simetrini ifarski sistemi karakteriu se relativno velikom brzinom rada i jednostavnom

implementacijom. Mogu da obezbede kvalitetnu zatitu komunikacionih kanala u
raunarskim mreama pod uslovom da se tajni klju za proces ifrovanja, odnosno
deifrovanja transportuje sigurnim kanalima i da je nepoznat potencijalnim napadaima.
Zahtevi za tajnou i autentinou kod simetrinih ifarskih sistema zasnivaju se upravo
na tajnosti kljua. Ukoliko napada ne poseduje tajni klju, on nije u mogunosti da
otkrije sadraj poruke. Zbog ove injenice najvei problem kod simetrinih ifarskih

14
sistema je upravo obezbeivanje sigurnih kanala za distribuciju tajnih kljueva. DES
("Federal Data Encryption Standard") je jedan od najpoznatijih simetrinih sistema za
ifrovanje. U novije vreme od simetrinih sistema za ifrovanje izdvojio se tzv. IDEA
(International Data Encryption Algorithm) algoritam koji koristi klju od 128 bita i koji
je dosta bri u softverskoj implementaciji od DES algoritma.

Asimetrini ifarski sistemi

Sedamdesetih godina prologa veka uinjen je veliki napredak u kriptografiji sa pojavom

asimetrinih ifarskih sistema koji se jo nazivaju i sistemi javnih kljueva (engl. public
key systems). Do tada su se koristili samo simetrini ifarski sistemi koji se zbog toga i
nazivaju konvencionalnim sistemima za ifrovanje.Kod asimetrinih sistema postoje dva
kljua. Jedan za ifrovanje a drugi za deifrovanje. Kljuevi nisu isti ali su povezani
jedan sa drugim odreenim transformacijama. Jedan od kljueva se oznaava za javni
(eng. public key) i moe se slobodno distribuirati, dok se drugi oznaava kao tajni i mora
biti dostupan samo njegovom vlasniku. Javni klju se obino koristi za ifrovanje poruka
koje se upuuju njegovom vlasniku. Ovakve poruke moe deifrovati samo vlasnik
odgovarajueg tajnog kljua. Na taj nain mogue je izvriti ifrovanje ali ne i
deifrovanje poruke.

Digitalni potpis

Digitalni potpis odgovara fizikom potpisu pisanog dokumenta i primenjuje se da bi se

nedvosmisleno garantovao identitet kreatora poruke. Digitalni potpis treba izmeu
ostalog da omoguava verifikaciju autora i vremena potpisa kao i jednostavno kreiranje,
prepoznavanje i proveru potpisa.Zlonamerno menjanje potpisa bez mogunosti otkrivanja
mora biti vremenski neisplativo. Digitalni potpis mora biti razliit pri svakom procesu
potpisivanja. Da bi se ovaj zahtev ispunio, digitalni potpis se postavlja kao funkcija
poruke koja se potpisuje.

ZLONAMERNI PROGRAMI

Virus je program ili kod koji se sam replikuje u drugim datotekama s kojima dolazi u
kontakt.Moe se nalaziti i zaraziti bilo koji program sektor za podizanje raunala,
dokument koji podrava makronaredbe, tako da promeni sadraj te datoteke i u nju kopira
svoj kod. Virusi se mogu prenositi na puno naina, a u dananje vreme se skoro svi virusi

15
prenose preko Interneta, a mogu se prenositi i disketama, izmenjivim hard diskovima,
CD-ovima i drugim prenosivim medijima.

Raunarski crvi su raunarski programi koji umnoavaju sami sebe. Pri tome koriste
raunarske mree da bi se kopirali na druga raunare, esto bez uticaja ovjeka. Za
razliku od virusa, sa svoje delovanje ne moraju inficirati druge programe. Mogu stii i
kao fajl u mejlu te im pristup raunaru omoguuju propusti u operativnim sistemima i
aplikacijama. Crvi oteavaju rad mree, a mogu otetiti podatke i smanjiti sigurnost
raunara.Crvi se sastoje od samokopirajueg koda koji omoguava razmnoavanje i
irenje crva i tereta (payload).

Crvi i virusi su kreirani za prenos payloda na raunar. Paylod je kreiran za provoenje

specifinih funkcija kao to su brisanje ili promena podataka, instaliranje softvera na
raunar i kreiranje stranjih vrata koja napada moe kasnije upotrebiti da bi dobio
neovlaten pristup raunaru. Internet crvi i virusi stvaraju probleme inficiranim
raunarima, ali crvi mogu napraviti veu tetu zbog mrenog prometa koji generiraju
prilikom irenja Internetom. Npr. crv SQL Slammer u januaruu 2003. godine je na
vrhuncu brzine irenja udvostruavao je broj zaraenih raunala svakih 8,5 sekundi.

Najbolja zatita od virusa i crva je antivirusni softver. Taj softver moe spreiti
instaliranje virusa, a moe i otkriti, izolovati i ukloniti crve i viruse s raunala koji su se
provukli kroz obrambene mehanizme. Ali moe nas zatiti od poznatih virusa, a od onih
za koje se ne zna (novih virusa) zatiti se je tee. Metode zatite su i [[firewall]-]ovi, ne-
otvaranje neobinih poruka e-pote i redovito auriranje softvera.

Trojanskim konjem se u raunarskom argonu oznaavaju zloudni programi, koji su

"maskirani" kao korisni ili se proiruju "prikaeni" na druge korisne programe. "Trojanci"
obino vre, neeljene akcije u raunaru i to u "pozadini" i prikriveno. Najea od tih
neeljenih akcija je otkrivanje korisnikih lozinki, bankovnih podataka i drugih
poverljivih informacija "prislukivanjem" razmjene podataka ili jednostavno itanjem tih
datoteka, i javljanje istih "vlasniku" trojanskog konja.

Postoje i trojanski konji u slubi policije koji se bave prikupljanjem informacija sa ciljem
otkrivanja krivinog djela (engl. Remote Forensic Software). Taj oblik pijuniranja
graana je u nekim zemljama pravosnaan i vri se po sudskom nalogu (npr. SAD,
Australija), u nekima je i pored sukoba sa Ustavom, u fazi pripreme Nemaka, Austrija
vajcarska), dok je u nekima odbijen . Takvi trojanci se ire instalacijom ili
aktuelizovanjem komercijalnih operativnih sistema i drugih softverskih i hardverskih
komponenti raunara, kao i putem internet provajdera infiltriranjem u postojee
mehanizme prenosa podataka, koji takvu mogunost u svojim produktima i uslugama, na
zahtjev dotine drave, moraju predvidjeti.

ZATITA PODATAKA RAUNARSKIH MREA

16
KERBEROS
Kerberos je dizajniran na principu distribucije kljueva koji su razvili Needhan i
Schroeder .Klju je baza autenifikacije, koristi se za enkripciju i dekripciju poruka. Time
se eleminie potreba za dokazivanjem posedovanja osetljivih informacija samim
njihovim otkrivanjem. Da bi se neki subjekt autentificirao Kerberosu, jedna od dve stvari
se treba dogoditi

1. korisnik treba u nekom trenutku unijeti tajni podatak

2. tajni podatak treba biti pohranjena negdje u raunalu

Kerberos baza podataka

Baza podataka unutar Kerberos posluitelja ima slogove za svakog principala (svaki
korisnik i usluga) poznatog unutar tog podruja (realm). U bazi su pohranjene slijedee
informacije

principalski identifikator, ukljuujui instancu identifikatora

principalov tajni klju (lozinka)

datum isticanja

datum zadnje promene sloga

identitet principala koji je zadnji menjao slog

maksimalno razdoblje valjanosti ulaznica (lifetime) koje se dodjeljuju

dotinom principalu

atributi

implementacijski podaci, nevidljivi izvana: verzija kljua (key version) i

verzija glavnog kljua (master key version), te pokaziva na stare
vrijednosti tog sloga; razliiti kljuevi mogu biti povezani s istim
principalom, pa se svakom kljuu pridruuje verzija

Tajni klju mora ostati tajan. Ta se polja u bazi reverzno kriptiraju (reversibly encipher)
glavnim kljuem (master key) autentifikacijskog posluitelja. Tako kriptirani kljuevi
mogu se mreom poslati pomonim (slave) posluiteljima, bez poduzimanja nekih
rigoroznih mjera zatite prenosa. Glavni klju ne sprema se u bazi, nego se njime upravlja
odvojeno.

17
SDNS (Secure Data Network System)

Ovaj sistem zatite podataka u raunarskim mreama razvijan je ods trane amerike NSA
(National Security Agency) a u njega je ukljueno deset velikih amerikih kompanija.
Izmeu ostalih u projektu su uestvovali i AT&T, DEC (Digital Equipment Corporation) i
IBM. Cilj ovog projekta je bio da se razvije zatitna arhitektura bazirana na OSI modelu.

Secure NFS

Proizvod firme Sun Microsistems NFS (Network File System) predstavlja

skup mrenih protokola koji su postali industrijski standard za UNIX
operativne sisteme. NFS omoguava klijent sistemu (radna stanica) da
montira ureaj na fajl serveru ba kao da je server fiziki prikljuen na
sistem. Ovaj sistem koristi dva tipa ifrovanja: prvi je DES (Data
Encryption Standard) koji spada u simetrine sisteme ifrovanja, a
drugi je sistem javnih kljueva.

Projekat MAX (Project MAX)

Ovaj projekat je uraen od strane mnogih komercijalnih ponuaa

ukljuujui tu i SecureWare, Sun i Hewlett-Packard. Cilj projekta je bio
razvoj sigurne mrene tehnologije koja je nezavisna od proizvoaa
hardverske platforme, specifinog operativnog sistema i mrenih
protokola. To bi omoguilo sigurnu razmenu podataka izmeu razliitih
raunarskih sistema i mrea. Ova grupa proizvoaa razvila je proizvod
pod nazivom MaxSix (Multilevel Architecture for X for Security
Information Exchange). MaxSix sainjava skup poboljanja UNIX
operativnom sistemu i mrenom komuniciranju. Posebna panja
posveena je standardizaciji oznaavanja podataka koji se unose i
iznose iz sistema.MaxSix je razvijen tako da podrava sigurnosne
mrene standarde ukljuujui tu i DNSix i TSIG.

18
Web aplikacije

Web aplikacije imaju klijent/server arhitekturu koja omoguuje interakciju sa korisnicima

ili drugim sistemima koristei HTTP protokol. Za korisnike, klijent je najee Web
browser kao to je Internet Explorer ili Netscape Navigator. Krajni korisnik vidi Web
stranice i on je sposoban da vri interakciju slanjem izbora. Funkcije koje se izvode mogu
biti jednostavni zadaci kao pretraga lokalnog direktorijuma do visoko sofisticiranih
aplikacija koje vre npr. prodaju u realnom vremenu, B2B i B2C... Tehnologije koja
omoguavaju rad Web aplikacija veoma se brzo razvijaju. Tradicionalno jednostavne
aplikacije, pravljene sa CGI (Common Gateway Interface), obino su pokretane na Web
serveru povezane na jednostavnije baze podataka ( takodje na istom serveru). Moderne
aplikacije su tipino napisane u Javi (ili slinim jezicima ) i pokretane na aplikacionim
serverima povezane sa vie baza podataka.Nivo prezentacije je odgovoran za
prezentovanje podataka ka krajnjem korisniku ili sistemu. Web server prua podatke, a
Web browser ih slae u itljivu formu koju korisnik moe da interpretira. To takodje
doputa korisniku da odgovori slanjem povratnih parametara koje Web server proputa
kroz aplikaciju. Ovaj nivo prezentacije ukljuuje Web servere kao to su npr. Apache i
MS IIS. On takodje moe ukljuiti komponente aplikacije koje kreiraju izgled
stranice.Aplikacioni nivo je pokreta Web aplikacije. On omoguava realizaciju poslovne
logike, obradu ulaznih podataka, donoenje odluka, upotreba vie podataka i
prezentovanje istih do nivoa prezentacije za slanje korisniku. Nivo aplikacije moe
ukljuiti tehnologije kao to su: CGI, Java, .NET servisi ili PHP. Nivo podataka se koristi
za skladitenje podataka potrebnih za aplikaciju i odgovoran je za privremene i stalne
podatke. Savremeni sistemi skladite podatke u XML formatu radi lake komunikacije sa
drugim sistema.

Web servisi predstavljaju kolekciju funkcija koje su upakovane kao celina i publikovane
na mreu za upotrebu od strane drugih programa. Web servisi su namenjeni za kreiranje
otvorenih distributivnih sistema koji omoguavaju kompanijama i individualnim
korisnicima da brzo i jeftino uine da svoje informacije dostupnim irom svetske mree.
Jedan Web servis moe koristiti drugi da napravi bolje karakteristike za krajnjeg
korisnika. Web servisi za iznajmljivanje automobila i avio prevoz su primeri. Web servisi
se zasnivaju na XML-u (extensible Markup Language) i SOAP-u (Simple
Object Access Protocol).

HTTP i bezbednost Web aplikacija

Sa tehnike strane, osnovni protokol na mrei je HTTP protokol. Njegova jednostavnost
nainila ga je vrlo popularnim. Protokol radi na aplikacionom nivou.Klijent alje zahtev
HTTP serveru, HTTP server interpretira zahtev i alje odgovarajuiodgovor klijentu.
Kada je Web aplikacija postavljena na Web server, korisnici alju HTTP zahteve za
odreene stranice. Napadi zlonamernih korisnika koji se nalaze u tim zahtevima, bez
ikakvih prepreka prolaze kroz firewall-ove zato to su oni deo legalnog HTTP zahteva.
Zavrni udarac su dali Web servisi (REST, XML i SOAP), koji omoguavaju da se kroz
samo jedan port provuku razni formati dokumenata.

19
ZAKLJUAK
Danas, kad je sve mrea i do svega se moe doi preko raunarske mree, vie nije
mogue rei da se napadi mogu zanemariti. U umreenim okolinama, dok distribuirano
raunarstvo uzima sve vie maha, zatita raunarskih mrea mora biti sveobuhvatan i
kontinuiran proces. Sveobuhvatnost se ogleda u adekvatnoj zatiti. Takoe, proces zatite
mora biti kontinuiran, tj. stalno se mora testirati i unapreivati.Kontinuiranost procesa
zatite raunarskih mrea bi se mogla posmatrati kao toak koji se stalno okree,

1.6 Toak bezbednosti

Toak definie etiri faze implementacije bezbednog sistema i odravanja istog u

bezbednom stanju:

1. Nakon detaljnog prouavanja sistema isti treba zatititi na adekvatan

nain,korienjem odreenih tehnologija (neke od njih su pomenute u prethodnom
delu rada)
2. Nadgledanje sistema podrazumeva konstantno praenje aktivnosti sa
aspektabezbednosti praenje logova, korienje alata za monitoring i sl., a sve to
radi pravovremenog uoavanja eventualnih propusta i pokuaja napada na mrene
sisteme.
3. Testiranje sistema moe da obuhvata testiranje novih tehnologija i procesa da bi
se utvrdilo da li zadovoljavaju politiku bezbednosti, testiranje postojeih procesa
da bi se utvrdilo da li su i dalje na zadovoljavajuem nivou bezbednosti.
4. Unapreenje nivoa bezbednosti treba da bude produkt prethodne dve faze.
Konstantno unapreenje mora da se sprovodi, da bi se trenutno bezbedan sistem,
odrao bezbednim i u budunosti

20
LITERATURA

Tehniki lanci "CERT Coordination Center" Carnegie Mellon

Software Engineering Institute; www.cert.org
"Professional PHP Web Services"; James Fuller, Harry Fuecks, Ken
Egervari,Bryan Waters, Daniel Solin, Jon Stephens, Lee Reynolds;
Wrox Press 2003.
D. Pleskonji, N. Maek, B. orevi, M. Cari: Sigurnost
raunarskih sistema i mrea
Dr Jasmina Novakovi Dr Dragan Milanovi Dr Alempije Veljovi-
Poslovna informatika
Internet
PC NET Zrenjanin, Prodavnica i servis za odravanje raunara i
programa

21