Univerzitet Demal Bijedi Mostar

Fakultet informacijskih tehnologija

Godina studija: Trea

Sigurnost web servera

Zavrni rad

Mentor:

Kandidat:

doc. dr. Jasmin Azemovi

Edin enanovi, 2324

Mostar, juni 2013.

Saetak
Sigurnost web infrastrukture je uvijek bio teak i zahtjevan posao. Koliko god se trudili opet
ne postoji nigdje na svijetu potpuno sigurni informacioni sistem. Cilj ovog projekta je
implementacija i poboljanje sigurnost serverskog okruenja na Windows i Linux platformi.
Kako je na ovim sistemima i dostupnost jako bitna ne udi da se koristi i u poslovne svrhe. U
poslovnim okruenjima je naroito bitno da je serversko okruenje dostupno 24 sata, 7 dana
u sedmici, kako kompanije ne bi gubile novana sredstva. Tim reeno e ovaj projekat imati
naglasak na poslovne informacione sisteme, njihovu implementaciju te poboljanje njihove
sigurnosti i dostupnosti.
Kljune rijei: Windows, Linux, server, servsi

Abstract
Web server security was always a difficult job. As much as we try there are no completely safe
information systems in the world. The objective of this project is the implementation and
hardening of a server environment on the Windows and Linux platform. As the avialability of
these servers are very important, it is also used in business environments. In business
environments it is particularly important that the servers are up 24 hours, 7 days a week,
because of the money loss if they don't. So, this project will have an accent on business
information systems, their implementation with the aspect on avialbility and security.
Keywords: Windows, Linux, server, services

Sadraj:
1.

Uvod ................................................................................................................................................ 1

2.

Analiza problema ............................................................................................................................ 1

3.

Analiza cilja...................................................................................................................................... 2

4.

Logiki okvir projekta ...................................................................................................................... 3

5.

Upravljanje projektom .................................................................................................................... 4

5.1

Tehniki aspekti........................................................................................................................... 4

5.2.

Vremenski aspekti ....................................................................................................................... 5

5.3.

Finansijski aspekti ....................................................................................................................... 6

5.4.

Projektni tim................................................................................................................................ 7

6.

Ocjena opravdanosti investicije ...................................................................................................... 8

7.

Implementacija ............................................................................................................................. 10

8.

Instalacija i ojaavanje web servera.............................................................................................. 11

8.1.

Instalacija web servera.............................................................................................................. 11

8.1.1.

Apache web server................................................................................................................ 11

8.1.2.

Microsoft IIS web server ....................................................................................................... 12

8.2.

Ojaavanje web servera ............................................................................................................ 14

8.2.1.
8.2.2.
9.

Apache web server............................................................................................................ 14

IIS web server ........................................................................................................................ 18

DDoS web servera ......................................................................................................................... 22

9.1.

Apache web server.................................................................................................................... 22

9.2.

IIS web server ............................................................................................................................ 23

10.

Odbrana web servera................................................................................................................ 25

10.1.

Odbrana od DDoS napada..................................................................................................... 26

10.1.1.

Layer 3 i 4 napadi .................................................................................................................. 26

10.1.2.

DNS amplificirani (umnoeni) napadi ................................................................................... 27

10.1.3.

SMURF napadi ....................................................................................................................... 28

10.1.4.

ACK napadi ............................................................................................................................ 29

10.1.5.

Layer 7 napadi ....................................................................................................................... 29

11.

Zakljuak.................................................................................................................................... 31

12.

Literatura................................................................................................................................... 32

Slike:
Slika 1: Piramida problema ..................................................................................................................... 2
Slika 2: Pirmida cilja ................................................................................................................................ 3
Slika 3: Raspored zadataka projekta ....................................................................................................... 6
Slika 4: Koritenost najpoznatijih web servera danas........................................................................... 10
Slika 5: Poruka da je Apache web server uspjeno instaliran ............................................................... 12
Slika 6: Server Manager i instalacija IIS web servera ............................................................................ 12
Slika 7: Poruka o uspjeno zavrenoj instalciji IIS web servera............................................................. 13
Slika 8: Apache signature ...................................................................................................................... 14
Slika 9: Apache signature je uspjeno uklonjen .................................................................................... 15
Slika 10: Onemoguen directory listing ................................................................................................ 16
Slika 11: Directory Listing na IIS web serveru ....................................................................................... 18
Slika 12: IIS Manager ............................................................................................................................. 19
Slika 13: Onemoguen Directory Listing ............................................................................................... 19
Slika 14: Autentifikacija na IIS-u ............................................................................................................ 20
Slika 15: Logovi na IIS-u ......................................................................................................................... 21
Slika 16: Provjeravanje potrebnog timeout-a ....................................................................................... 23
Slika 17: Izvravanje napada na IIS web server ..................................................................................... 24
Slika 18: Odbrana sa i bez CloudFLare servisa ...................................................................................... 25
Slika 19: DNS amplifikacijski napad ....................................................................................................... 27
Slika 20: CloudFlare odbrana od DNS amplifikacijskog napada ............................................................ 28
Slika 21: SMURF napad ......................................................................................................................... 29
Slika 22: Challenge stranica................................................................................................................... 30

Tabele:
Tablica 1: Logiki okvir projekta .............................................................................................................. 3
Tablica 2: Resursi projekta ...................................................................................................................... 4
Tablica 3: Zadaci projekta ....................................................................................................................... 5
Tablica 4: Cijena po pojedinim zadacima ................................................................................................ 7
Tablica 5: Ljudski resursi projekta ........................................................................................................... 7
Tablica 6: Ukupni godinji trokovi ......................................................................................................... 8
Tablica 7: Ukupni godinji prihodi ........................................................................................................... 8
Tablica 8: Finansijski efekti projekta ....................................................................................................... 9

1. Uvod
Dananje elektroniko poslovanje je teko zamisliti bez weba i web servera. Iako ovisimo o
ovoj tehnologiji, njenoj se sigurnosti jo uvijek posveuje malo panje. Zbog injenice da je
praktiki danas svaka razvijena aplikacija ovisna o webu kao tehnologiji, s druge strane
zauuje i zabrinjava injenica koliko se malo panje posveuje zatiti ovih kritinih
infrastrukturnih elemenata. Zato s jedne strane i ne treba uditi injenica da danas esto
moemo proitati ili uti o kompromitovanim web stranicama ili njihovoj nedostuposti.
U ovom radu e fokus biti na implementaciji i sigurnosti samih web servera, te e se pokazati
kako moemo zatiti njihove osnovne servise. Najvie panje e se posvetiti, naravno,
Microsoftovom IIS Serveru te Apache web serveru, koji predstavljaju dvije najkoritenije
tehnologije na tritu kad su web serveri u pitanju.
Projektom je predvieno istraiti kako najbolje zatiti web servere i koje su to najbolje prakse
pri zatiti i odbrani. Prvi dio je upoznavanje karakteristika i naina na koji rade web serveri.
Kada se savladaju osnove web servera, fokus e se prebaciti na ranjivosti istih. Izvrit e se
simulacije nekih od najeih napada, i nakon toga i neke od tehnika odbrane.

2. Analiza problema
Svaka kompanija danas bi trebala imati pouzdanu i funkcionalnu serversku infrastrukturu,
posebno ako ta ista kompanija posluje elektronski i svaki trenutak gdje neto ne radi kako
treba je gubitak za kompaniju. Najea greka kod projektovanja jednog poslovnog okruenja
je nekompatibilnost servera i servisa koje pruaju, a isto tako i neprojektovanje sigurnih
okruenja. Tako na primjer, esto se postavlja Apache web servis na Windows platforme. To
su poptuno razliite tehnologije i ne funkcioniraju najbolje zajedno.
Pored gore navednih problema takoer veliki problem predstavljaju neadekvatne prostorije
gdje je smjetena serverska infrastruktura, nemar sistemskih administratora u smislu da
ostavljaju aktivne nepotrebne servise koje sadravaju propuste i samim tim napadaima daju
dodatnu metu za napad.
Problemi koji e se rijeiti ovim projektom su:

Smanjena dostupnost servisa od kojih zavisi poslovanje kompanije, to oteava

blagovremeno dobijanje poslovnih informacija
Nestabilnost servera zbog neodgovarajueg hardvera ili njegovih loih performansi ili
nestabilnosti zbog neprovjerenog softvera
Ugroena sigurnost i pouzdanost servera i servisa koje pruaju

Neefikasnost poslovanja

Nedostupnost servera
kompanije

Neefikasno koritenje
hardvera

Nedostatak sigurnosti i
pouzdanosti

Nestabilni servisi koje serveri

pruaju

Slika 1: Piramida problema

3. Analiza cilja
Cilj ovog projekta je projektovati i implementirati visokodostupno serversko okruenje,
bazirano na Windows i Linux operativnim sistemima u hipotetskoj kompaniji srednje veliine,
te omoguiti visok stepen sigurnosti i stabilnosti.
Ciljevi koji e se ostvariti ovim projektom su:

Posjedovanje visokodustupnog serverskog okruenja

Serversko okruenje e biti dodatno osigurano tako da je povrina za napad smanjena
na minimum
Sigurnost i pouzdanost ovog okruenja e biti na visokom nivou
Putem odreenih mehanizama servisi koji e se nalaziti na serveru biti e kompajlirani
direktno na serveru, kako bi se obezbijedio stabilan rad
Poveat e se dostupnost poslovnih informacija unutar i izvan kompanije

Visoka dostupnost i
sigurnost servera u
kompaniji

Optimalna iskoritenost
harvera

Stabilnost u radu

Visok stepen sigurnosti

Koritenje odgovarajueg
softvera

Slika 2: Pirmida cilja

4. Logiki okvir projekta

Saetak prethodnih koraka moe se prikazati logikim okvirom projekta, koji je predstavljen u
nastavku:
Svrha projekta

Implementacija visokodostupnih i sigurnih Windows i Linux servera u

poslovnom okrenju

Problemi

Nedostupnost servera, nestabilni servisi koje serveri pruaju i nedostatak

sigurnosti i pouzdanosti

Ciljevi

Visoka dostupnost servera, stabilnost u radu servera, povean stepen

sigurnosti

Ulazi

Materijalni resursi koriteni prilikom implementacije okruenja, dokumenti,

instalacijski paketi za operativne sisteme i pratee aplikacije

Izlazi

Visoko dostupno Windows i Linux serversko okruenje

Korisnici projekta

Uposlenici kompanije
Tablica 1: Logiki okvir projekta

5. Upravljanje projektom
Ovim projektom se namjerava izgraditi visokodostupno serversko okruenje za potrebe malih
i srednjih kompanija. Za tu svrhu napravit e se dva servera sa prateom opremom na koje e
se instalirati operativni sistemi kao i potrebne aplikacije, te utvrditi na koji nain je iskorititi
da zadovolji sigurnosne aspekte.

5.1 Tehniki aspekti

U tehnike aspekte projekta spadaju koritena oprema, materijal i tehnologije. Za ljudske
resurse odabrana su etiri ovjeka. Voa projekta e voditi itav projekat. Analitiar e se
baviti prikupljanjem podataka i analizom istih. Ininjer i sistemski administrator e obavljati
kompletan posao nabavke opreme, njene implementacije i njenog stavljanja u funkciju.
Na tabeli 2. prikazana je potrebna oprema sa cijenama, koja je predmet ovog projekta i koja
zadovoljava potreban kvalitet i standard, te koja je kompatibilna sa Windows i Linux
operativnim sistemima. Sva oprema je istog proizvoaa, tanije IBM-a, koji je ujedno i jedan
od najpoznatijih i najpouzdanijih u oblasti serverskih tehnologija.

Tablica 2: Resursi projekta

Ono to se moe vidjeti sa prethodne tabele su dodatni SAS1 diskovi koji e omoguiti
povezivanje u RAID polja, to predstavlja dodatni vid zatite podataka, kao i poveanje
performansi. Svi serveri e imati po dva diska za pohranu podataka koji e biti u RAID 1 polju
(redudantnost podataka). Potrebno je naglasiti da je rije o hardverskom RAID polju, koji nije
potrebno podeavati na operativnom sistemu. U prethodnoj tabeli prikazan je i UPS za

Serial Attached SCSI disk ima memoriju i izvrne kontrolere unutar kuita diska i ne troi sistemske resurse za
svoj rad, te koristi serijski interfes za povezivanje

nastavak rada servera u sluaju nestanka elektrine energije. BackTrack Linux e se koristiti u
svhru testiranja okruenja kako bi se provjerila i poboljala sigurnost, a CloudFlare je sistem
koji e se koristiti za odbranu od DoS i DDoS napada kao i za poboljanje performansi web
stranica kompanije.

5.2. Vremenski aspekti

Ovaj projekat traje 27 dana to se moe vidjeti iz sljedee slike i to u periodu od 14.06.2013
do 22.07.2013. najvie vremena e oduzeti implementacija, jer se radi na dva servera, na koje
posebno treba instalirati operativne sisteme, servise koji e se koristiti, poboljasti sigurnost
istih i instalirati CloudFlare radi odbrane. Kako je i planirano snimanje procesa instalacije
operativnih sistema, servisa i poboljanja sigurnosti servera e se odvijati uporedo.
Bitno je napomenuti da je radno vrijeme 5 sati dnevno u radnom vremenu kompanije, ali u
toku instalacije nee ometati njen rad zbog injenice da se izgrauje poptuno novo okruenje:

Tablica 3: Zadaci projekta

Na prethodnoj tabeli se vidi raspored zadataka projekta. Zadatak penetracijski testovi

oduzima dodatno vrijeme ali je i kljuan u implementaciji visoko dostupnog i sigurnog
serverskog okruenja. Ovo ukljuuje takoer i testiranje na nestanak struje ili ak iskljuivanje
diskova u toku rada sistema. RAID polja su postavljena tako da mogu podrati prestanak rada
jednog diska na bilo kom serveru, a da sistem i dalje nastavi raditi, bez smanjenja performansi.

Slika 3: Raspored zadataka projekta

5.3. Finansijski aspekti

U tabeli 4. se moe vidjeti koliko ukupno kota izvoenje ovog projekta, kao i kotanje po
pojedinim fazama projekta. Ukupni trokovi projekta iznose 35248 KM, od toga nabavljena
oprema iznosi 29728 KM. Satnica voe projekta iznosi 20 KM, analitiara 15 KM, ininjera 15
KM i sistem administratora 15 KM po satu.

Tablica 4: Cijena po pojedinim zadacima

5.4. Projektni tim

Tim koji e raditi na projektu se sastoji od 4 lana. Od tih 4 lanova 2 osobe (Ininjer i Sistem
administrator) su zadueni za implementaciju samog serverskog okruenja.

Tablica 5: Ljudski resursi projekta

6. Ocjena opravdanosti investicije

Mjerljive koristi od projekta su implementirano serversko okruenje koje je sigurno i moe
opsluivati vei broj korisnika. Ovakvo serversko okruenje e osigurati dostupnost servisa od
99,99% na godinjem nivou, te visok stepen sigurosti servisa i njihovih korisnika. Snimljeni
video zapisi e se iskoristiti kao video materijal za nastavu na Fakultetu Informacijskih
Tehnologija. Taj proces e se izvravati uporedo sa instalacijom sistema, servisa i poboljanja
sigurnosti servera.
Trenutno prosjean downtime2 kompanije na godinjem nivou iznosi 2%. Ovo znai da od
raspoloivih 365*24=8760 sati kompanija ne radi 2% sati ili 175,2 h. Uzeti su postojei podaci
o poslovanju kompanije, ime je utvreno da ostvaruje neto dobit od 150000 KM godinje,
to daje profit od 150000 KM/8740h = 17,16 KM/h. Ako je prethodno reeno da e
dostupnost na godinjem nivou biti 99,99%, onda je razlika u korist projekta 1,99% godinje,
odnosno 174,32 h. Mnoenjem sa profitom po satu dobija se 2991,33 KM utede godinje, u
odnosu na druga rjeenja. Ovdje treba napomenuti i to da isto okruenje smanjuje trokove
administracije za 50%, te ako pretpostavimo da bi u prosjeku trokovi administracije na
godinjem nivou bili 24000 KM, dobija se uteda od 12000 KM.

Tablica 6: Ukupni godinji trokovi

Sa tabele 7. moemo vidjeti da e razlika izmeu trenutnih trokova, te onih nakon

implementacije biti 14.976,30 KM. Kada na godinji prihod dodamo iznos razlike u trokovima
dolazimo do prihoda od 164.976,30 KM godinje.

Tablica 7: Ukupni godinji prihodi

Termin u engleskoj literaturi za nedostupnost sistema

Procjene financijskih efekata metodom sadanje vrijednosti dobiju vrijednosti u sljedeoj

tabeli:

Tablica 8: Finansijski efekti projekta

Pri diskontnoj stopi od 10% projekt pokazuje visoke finansijske prilive, to se moglo i oekivati
uprkos velikim trokovima opreme. Iz prethodnog moemo zakljuiti da bi se ulaganje u
implementaciju visoko dostupnog i sigurnog serverskog okruenja svakako isplatilo.

7. Implementacija
Prije same instalacije sistema trebalo bi rei jo par stvari o odabiru web server tehnologija.
Kako je ve ranije reeno u ovom sistemu e se koristiti Apache Web server, koji radi na Linux
platformi i Microsoftov IIS web server. Razloga je nekoliko, ali najvaniji je da se naa firma
bavi razvijanjem softvera. Tanije, razvija web stranice koje pokreu i Apache, a i IIS. Zbog
toga je veoma bitno da imaju obezbjeene obje platforme kako bi nesmetano mogli testirati
svoje web stranice. Sigurnost i stabilnost je takoer jako vaan aspekt u njihovom razvoju.
Radi ugovora koje potpisuju sa klijentima, moraju biti apsolutno diskretni u toku razvoja i
testiranja, pa bi neautorizovan ulazak u sistem prouzrokovao nepovjerenje i velike probleme.
Apache i IIS su takoer dvije tehnologije koje su do skoro bile dvije najkoritenije tehnologije
kada je u pitanju opsluivanje sadraja na internetu, to se moe vidjeti i iz slike 4, koja
pokazuje koritenost razliitih web server tehnologija danas.

Slika 4: Koritenost najpoznatijih web servera danas. Preuzeto sa: http://news.netcraft.com/archives/2013/06/06/june2013-web-server-survey-3.html#more-10309

Iz prethodne slike se takoer moe zakljuiti da su ove dvije web server tehnologije i
najpodlonije napadima, iz prostog razloga to su najrasprostranjenije, a samim tim
opsluivaju veliki broj web stranica. Napadai e naravno praviti maliciozni softver i traiti
propuste na onim sistemima koji su najvie u upotrebi.
Radi svih ovih stvari emo se naroito fokusirati na poboljanje sigurnosti, njeno testiranje i
instaliranje dodatnih mehanizama za odbranu.

10

8. Instalacija i ojaavanje web servera

8.1. Instalacija web servera
8.1.1.

Apache web server

Pretpostaviemo da su Linux i Windows operativni sistemi instalirani na nae servere, tako da

moemo odmah poeti sa instalacijom web servera.
Prvo kreemo sa instalacijom Apache web servera koji radi na Linux platformi. Na jednom
serveru je instaliran Ubuntu Server 12.04.2, to je linux distribucija koju emo mi koristiti.
Poto se linux operativni sistemi (a posebno server operativni sistemi) skoro iskljuivo koriste
uz pomo komandne linije i mi emo koristiti tu metodu za upravljanje serverom, pa stoga
nam i ne treba GUI3. Nakon uspjenog logiranja na sistem nalazimo se dakle u linux shell-u4, i
tu ukucavamo sve potrebne komande. Prva komanda koju ukucavamo je komanda za
instalaciju Apache web servera:
# sudo apt-get install apache2
U ovoj komandi sudo je poruka sistemu da samo za izvravanje konkretno ove radnje koristi
root5 privilegije. Generalno je dobra praksa da niste logovani kao root osim ako to nije
potrebno, jer ako bi se kojim sluajem desio upad na sistem, napada bi imao privilegije onog
korisnika koji je trenutno logovan. Ako su to root privilegije, znai da bi imao potpunu ovlast
nad sistemom.
Instalacija je ubrzo zavrena i sad je potrebno provjeriti da li je sve prolo kako treba. Da bi
provjerili radi li na novoinstalirani Apache web server ukucat emo ip adresu naeg servera
u neki internet preglednik na drugoj maini.
# ifconfig Provjeravanje ip adrese servera
Ako je sve instalirano kako treba u internet pregledniku, gdje ste ukucali ip adresu servera, bi
se trebala pojaviti klasina It Works poruka, koja oznaava da je Apache web server upaljen i
da radi.

Graphical User Interface GUI je nain interakcije ovjeka sa raunarom kroz manipulaciju grafikim
elementima
4
Linux shell je jedna vrsta programa ili aplikacija koja komande koje korisnik unosi pretvara u nardbe koje
razumije raunar
5
Administratorski raun na Linux operativnim sistemima

11

Slika 5: Poruka da je Apache web server uspjeno instaliran

8.1.2.

Microsoft IIS web server

Za razliku od Linux operativnog sistema, na Windows sistemima je uobiajena praksa da se

koristi GUI za komunikaciju sa raunarom. Nakon logovanja na sistem otvaramo Server
Manager da bi dobili popis skoro svih stvari koji slue za upravljanje i monitoring naeg
servera. IIS web server je samo dio Microsoft Server platforme, koju moemo instalirati kad
odemo na Roles. Nakon to kliknemo Add Roles odabraemo Web Server (IIS), to se moe
vidjeti i na iduoj slici.

Slika 6: Server Manager i instalacija IIS web servera

12

Kad odaberemo da elimo instalirati IIS, potrebno je i odabrati koje servise elimo instalirati.
Ovdje svakako treba skrenuti panju na to da to vie servisa instalirate to je sistem nesigurniji,
odnosno otvoreniji za napad. Napadai jednostavno imaju veu metu. Zbog toga se
preporuuje da instalirate to manje servisa, odnosno instalirajte smo one za koje ste
apsolutno sigurni da e se i koristiti. U sluaju nae kompanije potrebni servisi su: ASP.NET6
servisi, servisi za logovanje stvari koje se deavaju na IIS-u, te FTP7 servis za koji je takoer
potrebno instalirati IIS 6 Management Compatibility servise. Po odabiru servisa instalacija
moe da pone.
Kad se instalacija zavri, na isti nain kao to smo to uradili i kod Apache web servera
provjeravamo da li smo sve uradili kako treba. Dakle, na drugoj maini ukucavamo ip adresu
servera gdje je IIS instaliran i ako je sve prolo kako treba dobiemo poruku kao na sljedeoj
slici:

Slika 7: Poruka o uspjeno zavrenoj instalciji IIS web servera

ASP.NET je web framework koji se koristi za razvoj dinaminih web stranica

File Transfer Protocol FTP je standradni mreni protokol koji se koristi za prebacivanje sadraja sa jednog
raunara na drugi
7

13

8.2. Ojaavanje web servera

Jedna od najveih greaka sistemskih administratora je instaliranje servisa koji su nepotrebni,
a samim tim i velika sigurnosna prijetnja. Postoji niz koraka kako bi dodatno osgiurali nae
web servere od raznih vrsta napada. Ti koraci su na prvi pogled jednostavne stvari i vrlo lako
se implementiraju, a znae puno kad je sigurnost u pitanju.

8.2.1. Apache web server

Kreemo sa ojaavanjem Apache web servera. Ovdje emo uraditi sljedee stvari:

Iskljuivanje Apache signature-a i onemoguavanje trace HTTP-a

Iskljuivanje directory listinga
Iskljuivanje WebDAV-a8
Zabrana pristupa .htaccess9 fajlu
Ukljuivanje moda protiv HTTP DoS i Brute Force10 napada

Idemo redom i svaku od gore navedenih stavki emo instalirati na na Apache web server.
Apache signature su informacije o vaem web serveru koje nikako ne bi trebale biti otkrivene.
Te informacije, kao to je verzija Apache servera, operativnog sistema i ip adresa istog, u
pogrenim rukama mogu dovesti do kompromitovanja sistema.

Slika 8: Apache signature

WebDAV je protokol koji omoguava upload i download fajlova i minjenjanje sadraja web stranice
Konfiguracijski fajl na Apache web serverima koji sadri odreene postavke servera
10
Brute Force je napad gdje se pokuavanjem kombinacijom slova, brojeva i karaktera te uz pomo rjenika
pokua provaliti lozinka
9

14

Da bi uklonili Apache signature potrebno je prepraviti sigurnosni konfiguracijski fajl. To

radimo sljedeim komandama:
# cd /etc/apache2/conf.d/
# sudo nano security Sigurnosni konfiguracijski fajl
Izmjeniti:
# ServerTokens Prod
# ServerSignature Off
# TraceEnable Off

Ovim takoer iskljuujemo trace HTTP metodu, koja zlonamjernom korisniku moe vratiti
neke podatke koje on potom moe iskoristiti da provali u sistem. Potrebno je restartovati
Apache web server kako bi se promjene primjenile:
# sudo /ect/init.d/apache2 restart
Ako opet provjerimo na web server putem njegove ip adrese vidjeete da je nestao Apache
signature, to se moe vidjeti iz sljedee slike:

Slika 9: Apache signature je uspjeno uklonjen

15

Na slici 9 moete vidjeti da je na Apache web server izlistao sve iz root (glavnog) direktorija,
to svakako predstavlja veliku prijetnju, jer naravno da ne elite da svaki korisnik tek tako ima
pristup vaim podacima na serveru. Ovaj directory listing iskljuujemo na sljedei nain:
#
#
#
#

cd /etc/apache2/mods-enabled/
sudo rm -f autoindex.conf
sudo rm -f autoindex.load
sudo /etc/init.d/apache2 restart

Konfiguracijski fajlovi za directory listing se nalaze u mods-enabled direktoriju Apache web

servera. Potrebno je ui u mods-enabled direktorij i obrisati oba autoindex konfiguracijska
fajla. Nakon brisanja i restartovanja Apache web servera korisnici dobivaju 404 error, a ne
izlistane fajlove, to moemo i vidjeti na sljedeoj slici:

Slika 10: Onemoguen directory listing

Sljedee to radimo je iskljuivanje WebDAV protokola. Ovo je protokol koji omoguva upload
i download fajlova i minjenjanje sadraja web stranice. Ono to je vano ovdje napomenuti
jeste da je ovaj protokol vrlo rijetko koriten i stoga ga je bolje iskljuiti. Koristiemo ove
komande:
#
#
#
#

cd /etc/apache2/mods-enabled/
sudo a2dismod dav_fs
sudo a2dismod dav
sudo /etc/init.d/apache2 restart

16

Za iskljuivanje WebDAV protokola koristimo alat a2dismod, uz pomo kojeg onemoguujemo

protokol. Ovim smo na servere uinili jo malo sigurnijim.
Kako bi jo dodatno osigurali svoj Apache web server, dobra praksa je da zabranimo pristup
.htaccess fajlu. Ovo je fajl uz pomo kojeg maliciozni korisnici mogu promijeniti neke postavke
web servera. Upravo iz ovog razloga je najbolje da mu onemoguimo pristup. To radimo na
sljedei nain:
# cd /etc/apache2/conf.d
# sudo nano security
Izmjeniti:
# AllowOverride None

Restartovaemo web server da se primjene promjene:

# sudo /etc/init.d/apache2 restart
Zadnje to emo uraditi kako bi popravili sigurnost Apache Web servera je instalacija evasive
moda koji web server dodatno titi od HTTP DoS napada, koji mogu biti izuzetno nezgodni i
fatalni po kompaniju ako se uestalo deavaju. Poto evasive mod ne doe sa instalacijom
Apache web servera potrebno ga je prvo skinuti, i to komandom:
# sudo apt-get install libapache2-mod-evasive
Mod se nakon instalacije samostalno ukljuuje. To emo provjeriti uz pomo sljedeih
komandi:
# cd /etc/apache2/mods-enabled/
# ls Izlistavanje svih fajlova iz direktorija
Ako na popisu fajlova vidite mod-evasive.load onda ste uspjeno insalirali dodatni zid odbrane
protiv HTTP DoS napada na va Apache web server.
Sa ovim zakljuujemo poboljanje sigurnosti Apache web servera. Naravno, nikad neemo
moi potpuno osigurati niti jedan sistem, ali sa prethodnim koracima smo doprinjeli tome da
e se mogui maliciozni korisnici dobro napatiti da provale u na sistem.

17

8.2.2.

IIS web server

Iako je IIS web server manje podloan napadima zato to je Apache jednostavno zastupljeniji,
te samim tim i podloniji napadima, svakako treba i njemu poboljati sigurnosti koliko god
smo u mogunosti. Ono to emo uraditi jeste:

Iskljuivanje nepotrebnih modula

Iskljuivanje directory listinga
Izoliranje korisnikih rauna
Brisanje AdminScripts foldera
Onemoguavanje anonimne atutentifikacije
Onemoguavanje detaljnih greaka u radu aplikacije
uvanje logova na nekoj drugoj lokaciji

Poinjemo sa iskljuivanjem nepotrebnih modula. Ako se sjeate instalacije IIS web servera,
sigurno ete se i sjetiti kad smo instalirali web server na poetku smo birali koje module da
instaliramo. Moda ste nakon instalacije uvidjeli da ste ustvari instalirali i neke module koje u
produkcijskom okruenju nee trebati. Ako je ovo sluaj, najbolje bi bilo te module iskljuiti,
kako ne bi od sebe pravili metu za napad. Da bi iskljuili neke module, potrebno je da odete u
Server Manager, pa onda na Role i saekate da se pojavi instalirani IIS web server. Nakon toga
kliknete na Remove Role Services i uklonite kvakice sa onih modula koji vie nisu potrebni.
Restartujete server i moduli su uspjeno onemogueni.
Kao to smo to uradili na Apache web serveru, takoer emo i ovdje iskljuiti directory listing
koji prikazuje datoteke i fajlove na serveru.

Slika 11: Directory Listing na IIS web serveru

18

Potrebno je otii u IIS Manager, pa na na server. Tu e nam se otvoriti opcije, gdje moemo
skoro sve u vezi naeg web servera podeavati.

Slika 12: IIS Manager

Nama za sad samo treba opcija Directory Browsing, jer uz pomo nje iskljuujemo
pregledavanje datoteka i fajlova na naem serveru. Sve to je potrebno je kliknuti na Disable
u Directory Browsingu, i ve je onemogueno prelistavanje sadraja.

Slika 13: Onemoguen Directory Listing

19

Na proloj slici moete vidjeti da nam je uspjelo onemoguvanje pregledavanja sadraja na

serveru. Meutim takoer moete vidjeti da sad ima dosta nekih informacija, koje isto tako
mogu biti prijetnja. Uklanjanjem ovih informacija emo se zabaviti malo kasnije.
Sad emo izolirati korisnike raune, odnosno odrediemo koja grupa korisnika e imati
pristup web serveru. Recimo da to mogu biti samo nalozi programera u nekoj kompaniji. Ovo
radimo uz pomo Application Pool-ova. Ove Pool-ove koriste .NET aplikacije kako bi se
izvravale. Naa imaginarna kompanija posjeduje tri Pool-a. Na svaki od njih treba kliknuti
desnim tasterom mia, odabrati Advanced Settings i u opcijama nai Identity, te njega
postaviti na ApplicationPoolIdentity.
Jo jedna druga stvar, koju ne treba nikako preskoiti je brisanje AdminScripts direktorija. Ovaj
direktorij u sebi sadri odreene skripte koje mogu biti potencijalna opasnost, a ono to je
najbitnije ovaj direktorij nee biti potreban u produkcijskom radu, tako da ga moemo
slobodno obrisati. On se nalazi u C:\inetpub direktoriju.
Vjerovatno isto tako ne elite da se neko anonimno konektuje na va server. Ovu vrstu
autentifikacije emo naravno iskljuiti, i to tako to emo u IIS Manager-u odabrati prvo
Authentication i Anonymous Authentication postaviti na Disabled.

Slika 14: Autentifikacija na IIS-u

Kao to moete vidjeti na slici 13 nakon iskljuivanja Directory Listinga, server vraa odreene
greke. Ove greke su moda dobre za programere, kako bi znali gdje su u kodu pogrijeili, ali
nikako ne bi bilo dobro da neki maliciozni korisnik vidi te greke, jer bi u protivnom mogao
nainiti tetu. Da bi sakrili greke koje vraa server, potrebno je postaviti tzv. deployment
retail parametar u machine configu-u servera. Ovaj parametar e takoer poboljati
performanse
sistema.
Machine
config
se
nalazi
u
20

C:\Windows\Microsoft.NET\Framework\V2.0.50727\CONFIG. Njega moete ediovati sa

tekst editorom po vaoj elji. Potrebno je u <system.web> dodati sljedei parametar:
<deployment retail = true />
Posljednju stvar koju emo uraditi kako bi poboljali sigurnost IIS web servera jeste spremanje
logova na drugu lokaciju. Ne treba ni napominjati koliko su logovi vani za jednog sistem
administratora. Bez njih ne bi znao ta je bilo sa sistemom ako neto poe po krivu. Stoga je
dobra praksa da se logovi spremaju na neku drugu lokaciju, kako bi se nakon evenutalnog
pada sistema mogli pregledati. Odaberite Logging iz IIS Manager-a i tu dodajte lokaciju.

Slika 15: Logovi na IIS-u

U naem sluaju je to eksterni disk, ali bi jo bolje bilo da se logovi uvaju na nekoj udaljenoj
lokaciji na internetu.

21

9. DDoS web servera

DoS (Denial of service attack) ili DDoS (Distributed denial of service attack) u svijetu
informatike je pokuaj da se odreena maina ili raunarska mrea uine nedostupnom. Tako
da je svrha ovakvih napada upravo nemogunost korisnika da pristupe odreenim servisima
koji su povezani na internet. Tipine mete DoS ili DDoS napada su banke, dns i name serveri.
Ovim servisima je jako bitno da su nonstop online, pa su stoga i ovi napadi veoma tetni.
Najpopularniji nain vrenja ovakvih napada je slanje mnogo upita prema targetiranom web
serveru, kako bi se zbunio isti i to tako to vie ne razlikuje legitimne od tetnih upita. Ovo
dovodi do preoptereenja web servera to vue za sobom reset servera ili totalno
preoptereenje gdje server opet nije u mogunosti da vri svoju osnovnu funkciju, a to je
procesiranje upita i sadraja. Neki od najpoznatijih napada su: lejer 3 i 4 napadi, DNS
amplificirani (umnoeni) napadi, SMURF napadi, ACK napadi i lejer 7 napadi.
Ono to je jako vano je injenica da moramo znati i izvriti odreene napade kako bi se
odbranili od istih. Koristiemo BackTrack linux distribuciju, koja je najpoznatija linux
distribucija za sigurnosno testiranje sistema, odnosno vrenje napada. Treba napomenuti da
su svi napadi vreni u testnom okruenju i nikako se ne bi smjeli zloupotrebljavati i koristiti na
sistemima koja su na bilo koji nain u funkciji.

9.1. Apache web server

Za napad na Apache web server emo koristiti alat slowloris, njega je prvo potrebno skinuti,
poto ga u BackTrack linux distribuciji nema. Alat moete skinuti sa sljedee adrese:
http://ha.ckers.org/slowloris/slowloris.pl. Nakon to skinete perl11skriptu (.pl ekstenzija je
znak da se radi o perl skripti), radimo test pomo kojeg saznajemo koliki timeout nam treba
za uspjean napad, i to pomou ove komande:
# perl slowloris.pl -dns 192.168.36.134 -port 80 test
Ovom komandom provjeravamo koliko je paketa potrebno poslati da bi zaustavili rad web
servera. U naem primjeru je potrebno 30 sekundi za timeout da bi se napad uspjeno izvrio.

11

Perl je skupina dinamikih interpretiranih programskih jezika

22

Slika 16: Provjeravanje potrebnog timeout-a

Kad znamo koliko timeout nam treba moemo poeti s napadom:

# perl slowloris.pl dns 192.168.36.134 port 80 timeout 30
num 500 tcpto 5
Napad se izvrava, a uspjenost istog moemo provjeriti tako to sa neke druge maine
pokuamo pristupiti web serveru kojeg napadamo. Ovo radimo zbog toga to je esto maina
koja vri napad takoer zaguena radi istog, pa provjeravanje sa te maine stoga ne bi bilo
dovoljno vjerodostojno. Ako web server ne vraa nikakve odgovore znai da je napad
uspjeno izvren. Napad e se izvravati sve dok ga ne prekinemo i samim tim uinimo
targetirani web server opet dostupnim.

9.2. IIS web server

Poto alat slowloris nije efektivan kad je u pitanju IIS web server, u svrhu napada na IIS emo
koristiti alat koji se zove Tor's Hammer. Njega je takoer prvo potrebno skinuti i otpakovati:
http://packetstormsecurity.com/files/download/98831/torshammer.tgz.
Otpakivanje radimo na sljedei nain:
# tar xvf torshammer.tgz

23

Dobivamo tri pyhton12 skripte, od kojih emo jednu koristiti za samo vrenje napada.
# python torshammer.py t 192.168.36.131 r 256
Argument t oznaava web server koji napadamo, a r je broj paketa koje emo slati web
serveru u svrhu zaguenja.

Slika 17: Izvravanje napada na IIS web server

Napad se izvrava, a mi, isto kao to smo to radili kad smo vrili napad na Apache web server,
provjeravamo dostupnost istog sa neke druge maine. Ako je web server nedostupan znai
da je napad uspio. Napad e se izvravati sve dok ga ne prekinemo.

12

Python je dinamiki programski jezik koji svojim dizajnom omoguava programerima da uz pomo manje
koda dobiju istu funkcionalnost nego npr. u C jeziku

24

10. Odbrana web servera

Kada znamo kako izvriti neke napade i kakve oni imaju posljedice za na sistem, potrebno je
osigurati nesmetan rad web servera, kako kompanija ne bi gubila novac i mogla opsluivati
svoje klijente bez smetnji. U svrhu odbrane emo koristiti jedan od najboljih alata danas, a to
je CloudFlare.
CloudFlare je sistem koji titi i ubrzava bilo koju web stranicu. Kada vau stranicu ukljuite u
CloudFlare community, sav njen saobraaj ide preko CloudFlare-ove globalne mree. Oni tako
automatski optimizuju dostavljanje vaih web stranica i poboljavaju load time i performanse
openito. Takoer blokiraju eventualne prijetnje i dre mnoge botove dalje od vae stranice,
kako isti ne bi bespotrebno troili resurse. CloudFlare mogu koristiti svi koji imaju svoju
domenu, nebitno na kojoj platformi im je stranica.

Slika 18: Odbrana sa i bez CloudFLare servisa. Preuzeto sa: https://www.cloudflare.com/overview

Sistem koji stoji iza CloudFlare-a je tzv. CDN (Content Delivery Network), to je sistem koji uz
pomo cache tehnologije bre dostavlja sadraj. Recimo da imate neki css fajl na vaoj stranici.
Ako koristite CND takoer ete imati odreeni folder na stranici gdje e biti fajlovi koje
korisnici esto pregledavaju. Kada korisnik pristupa tom fajlu on alje zahtjev web serveru,
odnosno CDN-u. CDN potom kupi taj fajl sa vae stranice i isporuuje ga korisniku. Sad
zamislite da mnogo korisnika u isto vrijeme ele isti fajl. CDN ve ima taj fajl koji isporuuje
svakom korisniku ponaosob. Ovo znai da se mnogo manje upita alje direktno na vau web
stranicu, to je u mnogome ubrzava. Jo jedna stvar koja je dobra kod CDN-a je da stranica
praktino vie nikad nee biti offline. Ako naprimjer selite stranicu na drugi server, korisnicima
e

se

stranica

dalje

prikazivati

iz

cache-a.
25

Uz ovo sve, CloudFlare je jednostavno implementirati. Prvo to treba uraditi je napraviti

korisniki nalog i ulogovati se. Nakon toga je potrebno podesiti DNS servere na vaoj domeni
tako da sve ide preko CloudFlare-ove mree. Ovo nekad moe trajati i do 24 sata, ali sa
CloudFlare-om to ide prilino brzo (desetak minuta u mom sluaju). Kad sve ovo zavrite
vratite se u CloudFlare Dashboard, uvjerite se da je stranica online i moete poeti sa
konfiguracijom.

10.1. Odbrana od DDoS napada

CloudFlare-ov napredni sistem za odbranu od DDoS napada je izrastao u alat koji svoje
korisnike titi od sofisticiranih i jako kompleksnih napada. On vam moe pomoi u odbrani od
napada kojima je meta UDP13 i ICMP14 protokol, te SYN/ACK napada i DNS15 amplificiranih
napada. Odnosno, gotovo od svih najee koritenih vrsta napada danas. U narednim
redovima emo objasniti kako to CloudFlare titi svoje korisnike i protiv kojih napada je on
uinkovit.

10.1.1. Layer 3 i 4 napadi

Veina DDoS napada danas su usmjereni na transportni i mreni sloj OSI16 komunikacijskoj
modela. Ovi slojevi se takoer mogu predstaviti kao 3 i 4 sloj OSI modela. Tzv. transportni sloj
mree definira protokol koji e se koristiti (TCP ili UDP), gdje dvije maine komuniciraju jedna
sa drugom preko mree. Napadi koji su usmjereni na ova dva sloja su dizajnirani tako da
preplave mrene ureaje sa beskorisnim saobraajem kako bi potroili sve resurse i
onemoguili slanje legitimnog saobraaja. Tanije, ovi napadi imaju za cilj da onemogue
mrene switch-eve, mrene karte servera i da dovedu do preoptereenja procesora servera.
Izuzezno je teko zaustaviti ove napade, jer ako napada moe poslati vie saobraaja nego
to to vaa infrastruktura moe podnijeti, nikakav softver vam nee pomoi da se odbranite
od ovakve vrste napada.
Veliki sloj 3 i 4 napadi skoro uvijek dolaze od nekoliko izvora. Svaki od ovih izvora zasebno
alje tetan saobraaj na istu lokaciju na internetu, pravei neku vrstu talasa koji razara
resurse mete. Ovakav napad je ustvari distribuiran. Izvori tetnog saobraaja mogu biti
nekoliko ljudi koji zajedno rade, botnet kompromitovanih raunara, botnet kompromitovanih
servera i ak kuni routeri sa slabim passwordima.

13

User Datagram Protocol UDP je jedan od protokola koji sainjavaju Internet protkol
Internet Control Message Protocol ICMP je protkol koji koriste operativni sistemi umreenih raunara u
razmjeni razliitih poruka
15
Domain Name System DNS je ditribuirani sistem za raunare i servise konektovane na internet koji asocira
odreene informacije sa imenima domena
16
Open System Interconnection OSI model standarizira interne funkcije komunikacijskog sistema tako to ih
dijeli na apstraktne slojeve
14

26

Uz pomo CloudFlare servisa sav saobraaj koji bi inae direktno pogodio va server e se
preusmjeriti na CloudFlare-ovu globalnu mreu sainjenu od mnogo datacentara. Kada se
saobraaj preusmjeri, on se rasporeuje u njihovoj ogromnoj mrei kako bi mogao apsorbirati
tu koliinu saobraaja i malo po malo je neutralisati. Ovo znai da uz pomo CloudFlare-a niti
jedan tetni paket nee doi do vaeg servera.

10.1.2. DNS amplificirani (umnoeni) napadi

DNS amplificirani napadi su u zadnje vrijeme postali jako popularni meu malicioznim
korisnicima. U ovim napadima napada alje zahtjeve otvorenim DNS serverima sa ip adresom
rtve i eka odgovor DNS servera. DNS serveri naravno vraaju odgovore, a poto on samo
zna za ip adresu koju dobije, alje svoje odgovore rtvi i samim ti zaguuje mreu i
onesposobljava ga.

Slika 19: DNS amplifikacijski napad. Preuzeto sa: http://www.cloudflare.com/ddos

CloudFlare je u mogunosti da rasporedi jednu ip adresu na svoja 24 datacentra. To znai da

on 'seli' va server lokacijski najbliem datacentru, tako da je stranica uvijek dostupna
korisnicima. U normalnim uslovima ovo u mnogome poboljava performanse vae stranice,
tako to je ini brom i dostupnijom vaim korisnicima. Kada se dogodi napad, ovaj sistem
dovodi do toga da se napad 'raspri' kroz CloudFlare-ovu mreu.

27

Slika 20: CloudFlare odbrana od DNS amplifikacijskog napada. Preuzeto sa: http://www.cloudflare.com/ddos

Upravo zato to CloudFlare moe preseliti vau ip adresu na neki od svojih servera, napada
ima problema da svoj tetni saobraaj usmjeri na jednu lokaciju. Ovo znai da je mnogoprema-jedan napad, postaje mnogo-prema-mnogo napad to znatno oteava napadau u
svojim zlonamjernim poduhvatima.

10.1.3. SMURF napadi

SMURF napadi su jedni od prvih amplificiranih napada. U ovoj vrsti napada zlonamjerni
korisnik alje ICMP zahtjeve prema mrenoj broadcast17 adresi, odnosno routeru koji je
konfigurisan tako da prosljeuje ovu vrstu saobraaja svakom ureaju koji stoji iz tog routera.
Iz razloga to ICMP protokol ne zahtjeva tzv. handshake ili pregledanje validnosti paketa,
destinacijska maina nema naina da provjeri da li je saobraaj koji joj dolazi legitiman. Nakon
to svaki ureaj primi pakete, oni odgovaraju i tako dolazi do zaguenja mree. Napada je u
mogunosti da pojaa napad i to onoliko puta koliko ima ureaja iza routera, to moete
vidjeti na sljedeoj slici:

17

Paketi koji se alji na broadcast adresu bivaju dostavljeni svim ureajima u mrei, umjesto samo jednom

28

Slika 21: SMURF napad. Preuzeto sa: http://www.cloudflare.com/ddos

SMURF napadi su veinom prolost. Najvie iz razloga to su mreni operateri i administratori

konfigurisali svoje routere tako da je zabranjen ICMP saobraaj prema broadcast adresi.

10.1.4. ACK napadi

Kako bi razumjeli ACK napade, moramo dobro razumijeti TCP protokol i kako se odvija
saobraaj kroz mreu, tanije kroz ovaj protokol. Kada se uspostavlja TCP konekcija, postoji
neto to se zove handshake. Server koji eli da uspostavi vezu sa drugim serverom prvo alje
SYN (sinkronizacija) upit prema drugom serveru. Server koji prima zahtjev onda odgovara sa
ACK (potvrda) paketom. Nakon ovog procesa, konekcija izmeu dva servera moe biti
uspostavljena.
U ACK napadu, napada alje mnogo ACK paketa serverima sa ip adresom koja vodi do mete.
Ti serveri povodom toga alju SYN odgovore rtvama pravei tako napad. Slino DNS
amplificirajuim napadima, ACK napad zavarava servere tako to djeluje da je izvor slanja
upita ustvari rtva. Ali ipak postoji jedna razlika, a to je da ne dolazi do pojaavanja napada.
CloudFlare mrea je tako konfigurisana da odbacuje razliite ACK zahtjeve, tako da ne
neutralie opasnost.

10.1.5. Layer 7 napadi

Sistem koji koristi CloudFlare protiv Layer 7 napada se zove "I'm Under Atack Mode" (IUAM),
i vrlo je jednostavan ali isto tako i uinkovit. Kada web server primi inicijalni zahtjev za spajanje
od klijenta, umjesto da vrati web stranicu on klijentu vrati tzv. challenge stranicu. Ova stranica
zahtjeva od internet preglednika klijenta da uradi malu kalkulaciju u Javascriptu i dobiveni
rezultat vrati serveru. Ako je rezultat odgovarajui, web server korisniku vraa sadraj stranice
uz jedan cookie (cf_clearence) kako bi naredni put kad korisnik bude zahtjevao sadraj sa
stranice ne bi morao opet prolaziti kroz isti proces.
29

Slika 22: Challenge stranica. Preuzeto sa: http://www.cloudflare.com/ddos

IUAM sistem je dostupan u besplatnoj varijanti servisa. Preporuuje se da ga tek ukljuite ako
ste sigurni da ste pod napadom, da ne optereujete korisnike bez razloga challenge stranicom.
Moete ga ukljuiti tako to odete na: Settings->CloudFlare Settings->Seurity Settings->Basic
Security Level->I'm Under Attack. Za sve normalne korisnike e ovaj sistem biti sasvim
dovoljan da svoje web stranice tite od DDoS napada. Za sve korisnike koji ele vei stepen
sigurnosti i koji imaju problema sa svim gore spomenutim napadima ipak e se morati
pretplatiti na jedan od plaenih CloudFlare paketa, i to na Business ili Enterprise paket.
CloudFlare se ispotavio kao dosta uinkovit sistem u borbi protiv DoS i DDoS napada. Ovdje
treba istai da ne postoji definitivna zatita protiv DoS i DDoS napada, ali uz pomo CloudFlare
servisa ste prilino sigurni, a uz to, ovaj sistem je u svojoj najjednostavnijoj varijanti besplatan.

30

11. Zakljuak
Na poetku su spomenute sve prednosti serverskog okruenja za potrebe jedne kompanije.
Takoer su spomenute mnoge sigurnosne prijetnje koje mogu ugroziti rad jedne ovakve
kompanije a samim tim i dovesti do gubitka klijenata i novca. Vidjeli smo da uz relativno malo
napora moete svoje serversko okruenje dovesti na nivo da je potencijalnim zlonamjernim
korisnicima u mnogome otean nezakonit pristup resursima. Poboljane su performanse,
sistem je prilino siguran i dostupnost je na visokom nivou. Napravili smo okruenje u kojem
e programeri, bez straha da e se neto desiti, moi testirati stranice koje izrauju za klijente.
Isto tako postoji mogunost da zavrene stranice mogu ii u produkciju, i da e one, kad
uzmemo u obzir serversku stranu, biti sigurne i uvijek dostupne.
Uz pomo CoudFlare servisa smo dodali jo jednu novu razinu sigurnost, koja nam pomae u
odbrani od DoS i DDoS napada, te dodatno poboljava performanse sistema i stranica koje su
na sistemu.
Kompletna analiza je pokazala da se ulaganje u ovakvo okruenje sigurno isplati, to je i
predstavljeno u prethodnim dijelovima ovog rada.

31

12. Literatura
1. Internet Information Services (IIS) 7.0 Resource Kit, Mike Volodarsky, Olga Longer,
Brett Hill, Bernard Cheah, Steve Schofield, Carlos Aguilar Mares, Kurt Meyer, Microsoft
IIS Team, March 2008. (http://www.amazon.com/exec/obidos/tg/detail//0735624410/)
2. Apache Security, Ivan Risti, March 2005. (http://www.amazon.com/ApacheSecurity-ebook/dp/product-description/B0061YCT26)
3. Mrea,
asopis
za
IT
profesionalce,
4/XVII
(http://www.bug.hr/mreza/travanj-2012/94329.aspx)

travanj

2012.

4. Poslovni reporting, Murat Prao, Univerzitetska knjiga Mostar, 2003.

5. Uvod u upravljanje projektom, Murat Prao, Univerzitetska knjiga Mostar, 2005.
6. PMI: A Guide to Project Management Body of Knowledge, 3rd edition, 2009, Newton
Square PA.
7. Europe Aid Co-operation Office: Project Cycle Management Handbook.
8. FIT: MS Project 2003 u planiranju i upravljanju projektima Prirunik za studente,
Mostar 2005.

32