користе брзи рачунари са више процесора, кластери рачунара или наменски

уређаји. Пример наменског уређаја за разбијање шифрата применом „сирове

силе“ је уређај COPACOBANA развијен на немачким универзитетима Bochum и
Kiel.
Овај уређај је намењен разбијању свих симетричних система шифровања који
користе кључеве дужине до 64 бита. У систем је уграђена подршка за DES
алгоритам а систем се може проширити и сопственим модулима. Такође,
могуће је и серијско повезивање до 127 COPACOBANA уређаја који би паралелно
радили на истом задатку. Просечна брзина претраге система је око 43
милијарде кључева у секунди а снага система је 2006. године упоређена са
22.865 Pentium 4 рачунара. Цена једног уређаја је октобра 2006. године
износила 8.980 евра.
Као што је раније поменуто и приказано, у литератури и од стране различитих
организација које се баве безбедношћу комуникација, као подразумевани
метод заштите од разбијања шифрата применом сирове силе наводи се
коришћење кључева веће битске дужине, јер се полази од основне
претпоставке да је разбијање шифрата симетричних алгоритама могуће само
применом „сирове силе“. Међутим, једна од честих теза експерата на пољу
заштите у рачунарским мрежама јесте да веће битске дужине могу
представљати препреку за нападаче који за разбијање користе рачунарске
системе скромнијих процеских моћи али не и за нападаче који располажу
кластерима супер-рачунара или наменских уређаја.
6.1.3. Напад посредовањем у комуникацији
Један од најопаснијих напада у рачунарским и телекомуникационим мрежама
јесте напад путем посредовања између страна које комуницирају (енгл. Man in
the middle attack). С обзиром на то да данашње глобалне рачунарске и
телекомуникационе мреже најчешће подразумевају велики број
инфраструктурних посредника у комуникацији (рутери, репетитори и сл.),
могућности за извршавање оваквог типа напада су све веће.
Напад посредовања у комуникацији се, пре свега, односи на заштићене
(шифроване) и ауторизоване комуникације. Код незаштићених и
неауторизованих комуникација су подразумевано остварени сви предуслови за
успешан напад. Основни резултати посредовања у комуникацији јесу могућност
прислушкивања (односно снимања) комуникације и могућност измене њеног
садржаја. Предуслов за успешно извршавање напада јесте успешно лажно
представљање код обе стране, осносно, симулирање идентитета друге стране.

242 РАЧУНАРСКЕ МРЕЖЕ

 Слика 6.1.3-1. Структура напада са посредовањем у комуникацији
Процес извођења напада посредовања у комуникацији подразумева
прихватање, читање, евентуалну измену, и прослеђивање порука које стране
размењују. Код успешно изведеног напада регуларне комуникационе стране
имају илузију да комуницирају директно и немају никакву могућност да утврде
да је дошло до прислушкивања.
Постоји више механизама за одбрану од напада посредовања у комуникацији:
коришћење PKI инфраструктура, тајних кључева, посебних канала за размену,
итд. У овом делу су описана решења која се базирају на употреби симетричних
алгоритама са тајним кључевима који се размењују одвојеним комуникационим
каналима. Такав приступ се може сматрати безбедним од напада посредовања
у комуникацији.
6.1.4. Напад ускраћивањем услуге
Онемогућавање услуге (енгл. Denial of Service, DoS) је тип напада усмерен ка
комуникационој структури, односно, њеном капацитету (пропусној моћи). Циљ
напада овог типа није да нападачу омогући приступ или контролу над удаљеним
системом (или подацима) већ да заузимањем свих комуникационих капацитета
онемогуће приступ систему од стране регуларних корисника.
Постоји више типова напада са циљем онемогућавања услуге. Најједноставнији
типови напада овог типа се базирају слању што веће количине података жртви у
што мањем временском периоду. Нешто напреднији тип напада је напад са
модификованим пакетима мрежног нивоа. Пример оваквог типа напада је тзв.
рефлектовани напад. Код овог типа напада нападач посреднику (који није
компромитован – под нападачевом контролом) шаље пакете који захтевају
одговор а код којих је за изворишна адреса (адреса нападача) замењена
адресом жртве. Ово је уједно и најпримитивнији облик сакривања извора
напада.

Слика 6.1.4-1. Модел рефлектованог напада са циљем онемогућавања услуге

РАЧУНАРСКЕ МРЕЖЕ 243

Један од најопаснијих типова напада са циљем онемогућавања услуге је
дистрибуирани напад са циљем онемогућавања услуге (енгл. Distributed Denial
of Service, DDoS). Главна карактеристика оваквих напада је то што нападач не
зависи од капацитета сопствених комуникационих канала већ за напад може
истовремено користити капацитете хиљада компромитованих посредника.

Слика 6.1.4-2. Модел дистрибуираног напада са циљем онемогућавања услуге

Код овог типа напада самом нападу претходи процес компромитовања што
већег броја посредника (који се понекад називају и „зомбијима“). За
компромитовање посредника најчешће се користи малициозни софтвер. На
компромитоване посреднике се инсталира софтвер за удаљену контролу који,
када нападач добије адресу жртве, започиње слање података. Два значајна
проблема при одбрани од овог типа напада су та што се јавља велико
оптерећење комуникационих канала и што постоји велики број извора напада.
Средином 2008. године примећен је нови тип напада са циљем онемогућавања
услуге. Овај напад није усмерен на загушивање комуникационог канала жртве
већ на њен мрежни интерфејс. Редослед корака у извршавању овог типа напада
је следећи:
1. Кориснички програм на страни нападача са нивоа IP протокола шаље
жртви IP датаграм са садржајем који је идентичан садржају TCP пакета за
отварање сокета (иницирање везе).
2. Нападнути рачунар након пријема датаграма прослеђује садржај
транспортном нивоу - TCP протоколу – који отвара нови сокет сматрајући
да се ради о регуларном захтеву.
3. Процес се понавља док се комуникација са нападнутим рачунаром не
онемогући превеликим бројем отворених сокета.
Напади са циљем онемогућавања услуге не представљају реткост на Интернет

244 РАЧУНАРСКЕ МРЕЖЕ

мрежи а готово да их нема у локалним мрежама. Претпоставља се чак и да је
ово један од облика информационих ратова између земаља и великих
привредних субјеката. На пример, по речима Хозеа Назариа, мрежна компанија
Арбор Нетворкс из Лексингтона је 20. јула 2008. године приметила велику
количину саобраћаја из Русије усмерену ка сајтовима грузијског парламента
након чега су ти сервери искључени. Такође, оригиналан садржај сајта грузијског
парламента на адреси http://mfa.gov.ge замењен је садржајем који су поставили
руски хакери. Тачан идентитет нападача никада није утврђен.
Напади са циљем онемогућавања услуге могу проузроковати озбиљне
проблеме корисницима који зависе од комуникационих канала високе пропусне
моћи (Интернет провајдери, велики пословни субјекти, он-лајн пословања и сл.).
Постоје различити начини одбране од оваквих напада (конфигурација рутера,
алтернативни линкови итд.).

6.2. Популарни системи за заштиту комуникације

Данас се у пракси рекламира и среће велики број различитих система заштите.
Ови системи су пројектовани у складу са различитим наменама, окружењима и
начинима употребе. Неки од њих су пројектовани за крајње кориснике, а неки
пре представљају радне оквире за развој сопствених безбедносних
конфигурација. Категоризацију система заштите могуће је обавити по више
критеријума:
системи за заштиту издвојених система и системи за заштиту мрежа,
системи са доступним изворним кодом и затворени системи,
системи који користе јавне алгоритме и системи са сопственим
алгоритмима и други.
Преглед постојећих система заштите комуникације за потребе овог дела
извршена је категоризација на основу слоја OSI и TCP/IP референтних модела на
коме ти системи функционишу. У складу са тим, дат је преглед система заштите
комуникације који функционишу на нивоу апликативног протокола, нивоу
транспортног протокола и нивоу мрежног протокола.
6.2.1. Заштита на нивоу апликативног протокола
Апликативни слој представља најфлексибилније подручје за развој сопствених
система за заштиту комуникације из тог разлога што се при развоју протокола на
овом нивоу не мора водити рачуна о компатибилности са протоколима виших
нивоа. Безбедност сопственог система заштите на апликативном слоју зависи

РАЧУНАРСКЕ МРЕЖЕ 245