При успостављању безбедне везе IKE протокол поред сета безбедносних

протокола који ће бити коришћени (ESP, AH) утврђује и који ће шифарски

алгоритми бити коришћени за те протоколе. Иницијално се листа подржаних
шифарских алгоритама (трансформација) размењује у виду предлога. За сваки
од алгоритама могу се јавити атрибути уколико сам назив алгоритма није
довољан за једнозначно одређивање жељене трансформације (нпр. дужина
кључа код алгоритама који подржавају различите дужине).
Шифарски кључ који се уговори IKE протоколом може се користити ограничен
период времена, за шифровање ограничене количине података. Ова
ограничења уједно представљају и животни век заштићене везе за коју је кључ
искоришћен. Уколико се достигне било које од поменута два ограничења
заштићена веза се више не сме користити, а уколико постоји потреба за даљим
преносом података мора се успоставити нова заштићена веза. За успостављање
нове заштићене везе користи се термин rekeying . Нова заштићена веза се
успоставља нешто раније у односу на сам истек текуће заштићене везе, у циљу
елиминисања прекида у преносу података.
6.2.4. Фајервол
Један од најефикаснијих начина заштита рачунарских мрежа и њених чланова
јесте коришћење фајервол система за контролу приступа. Ови системи
функционишу по принципу прихватања или одбијања мрежних комуникација
одређених полисама фајервол система. Постоји више типова фајервол система у
зависности од тога у ком облику су реализовани, какве могућности нуде, на ком
нивоу се извршавају и која је њихова улога у мрежи у којој се налазе.
У зависности од тога у ком облику су реализовани фајервол системе можемо
поделити на наменске уређаје и рачунарски софтвер. Наменски фајервол
уређаји углавном су намењени заштити рачунарских мрежа, пре него заштити
појединачних рачуанра. Реализовани су у облику независних мрежних уређаја
са најчешће два мрежна интерфејса од која их један повезује са непоузданом
мрежом (на пример Интернетом) а други са мрежом коју треба заштитити (на
пример локална мрежа). Уређаји у себи садрже фирмвер који врши анализу
улазних и излазних података и на њих примењује постављења правила (полисе).
Ова правила се постављају најчешће путем рачунара који се са уређајем
повезује путем мрежног или серијског кабла.
Предност наменских фајервол уређаја над осталим решењима јесте
једноставност (нема додатног софтвера) и наменски дизајн (хардвер уређаја је
прилагођен сврси). Рачунарски софтвер такође може обављати улогу фајервола.

272 РАЧУНАРСКЕ МРЕЖЕ

Овакав софтвер се инсталира на рачунаре у виду корисничког софтвера или дела
оперативног система што уједно представља и поделу по томе на ком нивоу се
софтвер извршава.

Слика 6.2.4-1. Примена фајервола

Предност интеграције фајервола у језгро оперативног система јесу пре свега
перформансе, док основну ману у одређеним случајевима (када је направљен
пропуст у софтверу) чини могућност приступа функцијама оперативног система
при „пуцању“ софтвера. Предност реализације фајервол система у облику
додатног рачунарског софтвера јесте пре свега могућност инсталирања фајервол
система на обичне рачунаре и на сваки рачунар појединачно, једноставно
инсталирање нових верзија софтвера као и могућност избора софтверског
решења.
Главна мана реализације фајервол система у облику додатног рачунарског
софтвера наспрам наменских уређаја су, пре свега перформансе а затим и
потреба да се на рачунар инсталира ненаменски оперативни систем, односно
оперативни систем који осим функционалности везаних за фајервол поседује и
додатне функционалности које могу бити злоупотребљене и извор
нестабилности/несигурности система.
У зависности од тога какве могућности нуде фајервол системе можемо пре свега
поделити на основу тога које слојеве TCP/IP модела подржавају и које
информације о свакој комуникацији могу извући путем целокупне комуникације
а не само на основу тренутног саобраћаја. У складу са таквим критеријума
фајервол системе можемо поделити на:

РАЧУНАРСКЕ МРЕЖЕ 273

 1. Системе прве генерације
Ови системи имају могућност рада са прва четири слоја TCP/IP модела
тако да је највиша јединица из које могу добити информације порт
транспортног слоја. Додатно, ови системи немају могућност извлачења
закључака на основу претходно достављених јединица за пренос
података већ у анализу укључују само тренутно актуелну јединицу.
2. Системе друге генерације
Фајервол системи друге генерације се називају и statefull фајервол. Овај
атрибут указује на то да подручје рада ових система није ограничено
само на тренутно актуелну јединицу за пренос података већ јединице
анализирају у контексту везе. Ови системи најчешће могу да утврде да
ли је достављена јединица иницијатор нове везе (енг. нењ цоннецтион)
или је у питању јединица већ остварене везе (енг. естаблисхед
цоннецтион). Информације овог типа представљају додатни критеријум
који се може искористити за креирање полиса статефулл фајервол
система.
3. Системе треће генерације
Фајервол системи треће генерације осим раније описаних
функционалности имају и могућност коришћења параметара
апликативног слоја. Из тог разлога се понекад називају и проџy басед
фајервол системима. Овакви системи најчешће долазе са модуларном
подршком за различите протоколе апликативног слоја а скуп модула је
углавном могуће проширивати.
У зависности од улоге коју имају у мрежи у којој се налазе фајервол системи се
могу поделити на мрежне и личне. Мрежни фајервол системи најчешће се
налазе на тачкама мреже које је спајају са једном или више спољних мрежа.
Улога ових система јесте да заштите све чланове локалне мреже или да им
забране одређене мрежне акције усмерене ка спољним мрежама. Мрежни
фајервол системи се могу штитити локалну мрежу од спољних мрежа али се
такође могу наћи и на више тачака у локалној мрежи да би штитили сегменте
локалне мреже. За разлику од мрежних фајервол система лични фајервол
системи имају за задатак да штите локални рачунар.
6.2.5. Системи за откривање и спречавање напада
За разлику од фајервол система који своје одлуке о дозволи или забрани
одређене мрежне комуникације базирају на статичним полисама, системи за
спречавање напада (енгл. Intrusion Prevention System, IPS) су софистициранији и

274 РАЧУНАРСКЕ МРЕЖЕ

за извршавање свога задатка – спречавање упада на систем(е) који штити –
користе детаљнију анализу (сличну фајервол системима треће генерације) а
понекад и „интелигентне“ алгоритме који имају могућност да развију модел
„нормалног“ понашања и да одбију све захтеве који не спадају под тај модел.
Као и фајервол системи, IPS системи могу бити дизајнирани за заштиту једног
рачунара (Host based IPS, HIPS ) или целе мреже ( Network based IPS, NIPS ).
Осим потребе за одбраном од напада, у рачунарским мрежама постоји и
потреба за утврђивањем да ли је до напада дошло и да ли је напад успешно
обављен. Иакона први поглед ове потребе делују мање важно, треба узети у
обзир да циљ напада не мора бити коначна акција на нападнутом рачунару већ
и континуална измена података, саботирање обраде или коришћење ресурса.
Са друге стране, успешни напади који омогућавају потпуну контролу нападнутог
рачунара омогућавају такву измену лог фајлова и алата за увид у стање система
након које више није могуће утврдити не само да је рачунар био нападнут већ и
да је рачунар још увек под контролом нападача. На Униџ системима постоје тзв.
рооткит алати који из лог фајлова уклањају све записе о активностима нападача
а алате за увид у стање система (нпр. увид у листе процеса и фајлова на систему)
замењују измењеним алатима који из приказа такође изостављају процесе и
фајлове нападача. Рачунар на којем је инсталиран рооткит може годинама бити
под контролом нападача (што отвара могућности сталног преузимања, измене
или уклањања података и коришћења ресурса) а да надлежни администратор
не добије ни најмањи наговештај да је рачунар под туђом контролом. Улога
система за отркивање напада (енгл. Intrusion Detection System, IDS ) система је да
препозна успешно обављене нападе, о томе обавести администратора и
евенутално уклони заостале компоненте напада. IDS системи се веома разликују
и најчешће су строго везани за одређени оперативни систем или окружење.
Систем рада ових система се креће од једноставне провере адекварних
елемената система путем алата који се налазе ван домета нападача до
коришћења „интелигентних“ алгоритама способних да развију модел нормалног
понашања у систему и на основу њега препознају све акције корисника које
одступају од тог модела. Питање које се поставља код IDS система јесте зашто се
системи који имају могућност да утврде да је напад остварен не искористе
превентивно. Одговор на ово питање лежи у области рада IDS система јер IDS
системи најчешће не анализирају мрежни саобраћај већ интерне активности
система до којих долази, осим код регуларног коришћења, тек када је напад
остварен. Такође, IDS системи најчешће имају могућност да обуставе све
активности на систему и обавесте о томе администратора уколико утврде да је
напад остварен.

РАЧУНАРСКЕ МРЕЖЕ 275