Professional Documents
Culture Documents
Bezbednost Računarskih Mreža
Bezbednost Računarskih Mreža
Bezbednost Računarskih Mreža
INFORMATIKA
SADRAJ
Uvod ...................................................................................................................... 3
Vrste napada na raunarske mree....................................................................... 4
Najede primenjivani napadi i pretnje.................................................................. 7
Sigurnost mrea u poslovnim sistemima................................................................ 9
Sigurnosni ciljevi................................................................................................... 10
Sigurnosni servisi ili usluge.................................................................................. 11
Kriptoloka zatita............................................................................................... 14
Vrste podataka..................................................................................................... 15
Kriptografski algoritmi.......................................................................................... 16
Simetrina kriptografija........................................................................................ 16
Asimetrina kriptografija...................................................................................... 17
Tehnologija digitalnog potpisa............................................................................. 19
Potpisivanje cele poruke...................................................................................... 19
Potpisivanje saetka poruke................................................................................. 20
Infrastruktura javnih kljueva.............................................................................. 21
Sigurnosni protokoli............................................................................................. 22
SSL/TLS................................................................................................................. 23
Zakljuak ............................................................................................................. 25
Literatura ............................................................................................................ 26
Uvod
Zatita i nadgledanje raunarskih mrea imaju izuzetan znaaj za normalan rad i funkcionisanje
informacionih tehnologija.
Zbog ubrzanog razvoja i sve vedeg znaaja raunarskih i komunikacionih tehnologija neophodnih za
savremeno poslovanje, problemu sigurnosti mora se posvetiti posebna panja. Zahtevi koji se odnose
na sigurnost informacija unutar neke organizacije znaajno su se promenili u nekoliko poslednjih
decenija. Pre nego to su se poeli masovno primedivati ureaji za obradu podataka, podaci koji su
smatrani znaajnim za jednu organizaciju, titili su se fizikim i administrativnim merama. Sa
uvoenjem raunara, pojavila se potreba i za novim i automatizovanim alatima za zatitu datoteka i
drugih informacija smetenih na raunar. To je posebno znaajno za deljene sisteme, kao to su
sistemi s deljenjem datoteka, kojima se pristupa preko javnih raunarskih mrea. Vana promena koja
je takoe uticala na
sigurnost jeste pojava i irenje distribuiranih sistema, kao i irenje primene raunarskih mrea i
komunikacija. Opte ime za skup alata, procedura, pravila i reenja ija je namena da umreeni sistem
odbrane od napada, glasi sigurnost raunarskih mrea (engl.computer network security).
U prolosti se termin zatita podataka obino vezivao za zatitu podataka na izolovanim raunarima.
Meutim, pojavom raunarskih mrea i njihovim stalnim razvojem i proirivanjem otvorila su se nova
pitanja koja se tiu zatite podataka koji se razmenjuju komunikacionim kanalima. Opasnost od
ugroavanja podataka je ovoga puta veda nego ikada ranije, pre svega zbog fizikih i funkcionalnih
karakteristika raunarskih mrea.
Rizik je, u kontekstu sigurnosti raunarskih sistema i mrea, mera opasnosti, tj.mogudnost da nastane
otedenje ili gubitak neke informacije, hardvera, intelektualne svojine, prestia ili ugleda. Rizik treba
definisati eksplicitno, na primer, rizik od naruavanja integriteta baze klijenata ili rizik odbijanja
usluga od strane on-line portala banke.
Pretnja (engl.threat) jeste protivnik, situacija ili splet okolnosti s mogudnodui/ili namerama da se
eksploatie ranjivost. Pretnja moe biti strukturirana ili nestrukturirana. Strukturirane pretnje su
protivnici sa formalnom metodologijom, finansijskim sponzorom i definisanim ciljem.
Takve pretnje su karakteristine za ekonomsku pijunau, organizovani kriminal, strane obavetajne
slube i takozvane informatike ratnike. Pretnje se dele na pasivne i aktivne.
Aktivne pretnje mogu uticati na ponaanje i funkcionisanje sistema ili na sadraj podataka. U
aktivne pretnje spadaju: maskiranje, tj. pretvaranje, lairanje (engl. masquerade),
reprodukcija, tj. ponavljanje mrenog saobradaja (engl. replay), izmena sadraja poruke i
odbijanje usluge.
Ranjivost (engl.vulnerability) predstavlja slabost u nekoj vrednosti, resursu ili imovini koja moe biti
iskoridena, tj. eksploatisana. Ranjivosti su posledica loeg projektovanja, implementacije ili
zagaenja.
Loe projektovanje je greka projektanta sistema. Proizvoa koji pie lo kod kod koji sadri
greke (engl.bugs), kao to je prekoraenje bafera na steku ili u dinamikoj memoriji (engl.
heap memory) pravi osetljiv proizvod koji se moe lake razbiti. Pametni napadai de
iskoristiti slabosti u arhitekturi softvera.
svim pravima administratora sistema. Odluke koje ponekad donesu proizvoai i korisnici,
mogu da prouzrokuju zagaenje tj. da stvore mogudnost za prekoraenje predviene
upotrebe proizvoda.
1. Presecanje, tj. Prekidanje (engl. interruption) predstavlja napad na raspoloivost (engl. availability).
Presecanjem se prekida tok informacija, tj. onemogudava se pruanje neke usluge ili funkcionisanje
nekog sistema. Ovakav napad je aktivan.
Napad se moe obaviti i unutar nekog raunarskog sistema u tom sluaju radi se o izmeni podataka,
pristupnih prava, naina funkcionisanja programa ili sistema i slino. Iako menja podatke ili sistem,
esto ostaje neprimeden izvesno vreme, kako zbog nepanje, tako i zbog sloenih tehnika koje se pri
ovom napadu koriste.
Raunarski sistem i raunarska mrea mogu se napasti na mnogo naina. Najee koriene metode
eksploatacije slabosti jesu DoS, lairanje IP adresa i njukanje.
Odbijanje usluga (engl. Denial of Service, DoS). DoS izaziva prestanak rada servisa ili
programa, ime se drugima onemogudava rad s tim servisima ili programima. DoS napad se
najlake izvrava na transportnom sloju slanjem velikog broja SYN paketa (TCP CONNECTION
REQUEST) a zatita se postie kontrolisanjem broja SYN paketa u jedinici vremena.
Lairanje IP adresa (engl. spoofing). Napada prati IP adrese u IP paketima i predstavlja se kao
drugi raunar. Kako DNS ne proverava odakle dolaze informacije, napada moe da izvri
napad lairanjem tako to DNS servisu daje pogrenu informaciju (ime raunara od poverenja).
Najbolja zatita od ovog napada je spreavanje rutiranja paketa sa adresama izvorita (engl.
Source address) za koje sigurno znamo da su neispravne na primer, odbacivanje paketa koji
stiu na javni interfejs rutera, a imaju adresu lokalne mree.
Njukanje (engl. sniffing). Napada specijalnim programima presrede TCP/IP pakete koji
prolaze kroz odreeni raunar i po potrebi pregleda njihov sadraj. Kako se kroz mreu obino
kredu neifrovani podaci, program za njukanje (snifer) lako moe dodi do poverljivih
informacija.
Osim toga, program koji je napisao jedan korisnik (programer), a kojim se slue drugi korisnici, moe
da predstavlja pretnju i da dovede do uspenog napada na sistem.
Pretnje ovakvog tipa zovu se programske pretnje. U njih se ubrajaju trojanski konji, klopke i
prekoraenje, tj. prelivanje bafera.
Trojanski konj (engl. trojan horse) ilegalan je segment koda, podmetnut u kod nekog
programa, a cilj mu je da promeni funkciju ili ponaanje originalnog programa. Na primer, u
editor teksta moe biti podmetnut potprogram koji pretrauje otvorenu datoteku i, u sluaju
da pronae eljenu sekvencu, kopira datoteku na mesto dostupno programeru koji je napisao
taj editor.
Specijalna varijanta trojanskog konja je program koji oponaa proceduru prijavljivanja na sistem ili
mreu; napada koristi programe ovog tipa, a i neznanje korisnika, kako bi obezbedio pristup
raunarskom sistemu ili mrei s tuim akreditivima.
Klopka (engl. trap door). Autor programa moe sluajno ili namerno ostaviti prazna mesta u
svom kodu (klopku) uljez koji zna za ta mesta moe da podmetne svoj kod i time ostvari
neku dobit. Osim toga, autor programa moe izmeniti deo koda tako da se izmena ne moe
jednostavno primetiti.
Prekoraenje, tj. prelivanje bafera (engl. buffer overrun, buffer overflow) na steku ili u
dinamikom delu memorije. Prekoraenje bafera je najedi napad mree pri pokuaju
neovladenog pristupanja sistemu. Ovladeni korisnici takoe mogu da odaberu ovu vrstu
napada kako bi prevarili sistem i ostvarili veda prava od onih koja imaju. Po pravilu, napada
koristi greku u programu, to jest, neodgovarajudu kontrolu razdvajanja steka, podataka i
koda.
Tada napada alje vie ulaznih podataka nego to program oekuje, prepunjava ulazno polje,
argumente komandne linije ili ulazni bafer, sve dok ne doe do steka. Potom preko vaede adrese
u steku upisuje adresu svog koda, puni deo steka svojim kodom, koji na primer izvrava neku
komandu (kopira neke podatke ili pokrede komandni interpreter). U sluaju uspenog napada,
umesto nedovoljno zatidenog programa izvride se ilegalan kod, ubaen zahvaljujudi
prekoraenju bafera.
Mnogi operativni sistemi imaju mehanizam pomodu kojeg procesi mogu da generiu druge procese. U
takvom okruenju mogude je zlonamerno koridenje datoteka i sistemskih resursa. Pretnje ovog tipa
nazivaju se sistemske pretnje. Dve metode kojima se one mogu postidi jesu crvi i virusi.
Crvi su samostalni zlonamerni programi koji se ire s raunara na raunar. Uobiajene metode
prenoenja na rtvu jesu upotreba elektronske pote i Internet servisa. Crv eksploatie
ranjivost rtve (na primer, prekoraenje bafera nekog mrenog servisa) ili koristi metode
prevare i obmanjivanja, poznate kao drutveni inenjering (engl. social engineering), kako bi
primorao korisnika da ga pokrene. Crv degradira performanse, a ponekad nanosi i dodatnu
tetu.
Za razliku od crva, koji su samostalni programi, virusi su fragmenti koda koji se ubacuju u
druge legitimne programe. Dakle, virus zahteva nosioca u vidu izvrne datoteke. Posle
pokretanja, virus obino inficira i druge izvrne datoteke na sistemu. Virusi su, najede, vrlo
destruktivni i teko se uklanjaju ukoliko administrator zaraenog sistema nema zdrave kopije
izvrnih datoteka. Zbog svega navedenog, virusi su jedan od glavnih problema pri koridenju
personalnih raunara.
Kod bezbednosti raunarskih mrea treba obratiti panju na vie aspekata. Osnovni cilj je
odrati bezbednost i integritet podataka, to znai da ne bi trebalo dopustiti da se podaci otete ili
izgube na bilo koji nain, kao ni da bilo ko neovladeno pristupa i raspolae istima. Zbog naina
funkcionisanja mrea za ovo se koristi vie razliitih tehnologija.
Kada se kae da je sigurnost proces, onda se misli na injenicu da se sigurnost ne moe kupiti
kao proizvod ili usluga, ved da je to proces u kome se koriste razliiti proizvodi i usluge, procedure i
pravila, ali se smatra i to da postoje drugi bitni elementi kao to su edukacija, podizanje svesti i stalno
pradenje stanja u ovoj oblasti. Ostvarivanje sigurnosti takoe podrazumeva odravanje sistema u
stanju prihvatljivog rizika, tj. kompromis izmeu potrebnih ulaganja i smanjenja mogudnosti da
nastane teta koja se tim ulaganjem postie.
Dakle, kada se govori o sigurnosti i zatiti informacionih sistema i mrea, nekoliko principa danas vae
kao osnovni postulati:
Sigurnost je proces. Sigurnost nije proizvod, usluga ili procedura, ved skup koji ih sadri uz jo
mnogo elemenata i mera koje se stalno sprovode.
Uz razliite metode zatite, treba imati u vidu i ljudski faktor, sa svim slabostima.
Sigurnosni ciljevi
10
Kao to je ved reeno, sigurnosna usluga (servis) jeste usluga koja povedava sigurnost sistema
za obradu i prenos podataka. Sigurnosni servis podrazumeva upotrebu jednog ili vie sigurnosnih
mehanizama, tj. mehanizama koji treba da detektuju ili preduprede napad na sigurnost, ili da oporave
sistem od napada. Sigurnosni mehanizmi su reenja, tehnologije, pravila i procedure koje moemo
implementirati na sistemu. Sigurnosni mehanizmi se menjaju i unapreuju uvoenjem novih
tehnologija. Da bi se izabrao odgovarajudi mehanizam, stanje na tritu mora se proveriti kad god se
projektuju ili poboljavaju servisi. Za razliku od mehanizama, servisi se ree menjaju, a komponente
CIA trijade ostaju konstantne. U sigurnosne usluge spadaju:
I.
II.
11
injenino stanje (na primer, uvid u to ko je napravio ili izmenio odreenu datoteku na disku servera,
ko je preuzeo podatke ili ih poslao van mree itd.).
III.
Integritet (engl. integrity) usluga koja obezbeuje celovitost podataka, tj. obezbeuje da napada
ne moe da izmeni podatke, a da to ostane neprimedeno. Dakle, integritet je usluga zatite od
neovladenog, nepredvienog ili nenamernog modifikovanja. to se tie podataka, oni moraju biti
zatideni od neovladenih izmena tokom skladitenja, obrade ili transporta, a sistem treba da
neometano izvrava predviene operacije (usluge) bez neovladenog manipulisanja.
IV.
Neporicanje, priznavanje (engl. non-repudiation) usluga koja obezbeuje da korisnik koji poalje
poruku ili izmeni neki podatak ne moe kasnije tvrditi da on to nije uradio. Na primer, korisnik koji
digitalno potpie dokument svojim privatnim kljuem kasnije nede modi da tvrdi kako on nije napravio
i potpisao taj dokument, jer se potpis lako moe proveriti. Uopteno govoredi, sporovi mogu nastati
oko odreenog dogaaja: da li se desio, kada je bio zakazan, koje su strane bile ukljuene i koje su
informacije bile relevantne. Cilj ove usluge je da obezbedi neoboriv dokaz koji omogudava brzo
reavanje sporova.
V.
Kontrola pristupa (engl. access control) usluga koja treba da predupredi zloupotrebu resursa.
Pomodu kontrole pristupa dozvoljava se objektu s proverenim identitetom i sa odgovarajudim
ovladenjima da koristi odreene usluge sistema ili odreene operacije definisane u takozvanim
matricama pristupa, u ijim se vrstama nalaze operacije sistema, a u kolonama korisnici. Kontrola
pristupa, najjednostavnije reeno, odreuje ko ima pravo da pristupi resursima, i na kakav nain.
VI.
12
13
Kriptoloka zatita
Pojavom raunarskih mrea kriptografija naglo dobija na znaaju. Naroito je bitno obezbediti
zatitu vanih podataka (na primer finansijskih) koji se prenose mreom.
Protokol predstavlja skup pravila i konvencija koji definie komunikacioni okvir izmeu dva ili vie
uesnika u komunikaciji. Tu spadaju: uspostavljanje veze, odravanje veze, raskid veze i obnavljanje
veze u sluaju prekida. Kriptografski protokoli se upotrebljavaju za uspostavljanje sigurne
komunikacije preko nepouzdanih globalnih mrea i distribuiranih sistema. Oslanjaju se na
kriptografske metode zatitekako bi korisnicima obezbedili osnovne sigurnosne usluge poverljivosti,
integriteta i neporicljivosti.
14
Vrste podataka
Kako raunarske mree predstavljaju deo informacionog sistema pomodu koga se prenosi najvedi broj
podataka, posebnu panju treba obratiti upravo na njihovu zatitu. Podaci u okviru informacionih
sistema se mogu javiti u slededim oblicima:
Javni podaci podaci koji nisu poverljivi i iji integritet nije vaan, moe ih koristiti bilo ko bez ikakvih
posledica. Primeri ovakvih podataka su javni servisi za pruanje informacija.
Interni podaci pristup ovim podacima je dozvoljen samo za odreene grupe korisnika. Javno
objavljivanje internih podataka nije dozvoljeno, ali objavljivanje ove vrste podataka nije od kritine
vanosti. Primer su podaci u razvojnim grupama, firmama, radni dokumenti i projekti, interni
telefonski imenici.
Poverljivi podaci poverljivi podaci unutar odreene grupe (kompanije) koji su zatideni od
neovladenog pristupa. Neivladeni pristup ovim podacima moe prouzrokovati znaajane posledice
kao to su: finansijski gubitak kompanije ili dobitak konkurentskoj kompaniji, smanjenje poverenja
korisnika usluga ili potroaa proizvoda. Primeri ovih informacija su: podaci o platama, podaci o
zaposlenima, projektna dokumentacija, raunovodstveni podaci, poverljivi ugovori.
Tajni podaci podaci kod kojih je neautorizovan pristup strogo zabranjen. Integritet podataka je na
najviem nivou. Broj ljudi koji moe da pristupi ovim podacima trebalo bi da bude ogranien. Prilikom
pristupa ovim informacijama moraju se potovati veoma striktna pravila. Primer ovih podataka su:
vojni podaci, podaci o vedim finansijskim transakcijama, podaci od dravnog znaaja i slino. Ova vrsta
podataka se treba uvati u kriptovanom obliku ili u ureajima sa hardverskom zatitom.
Kada se govori o zatiti podataka na mrei, uglavnom se misli na zatitu poverljivih i tajnih
podataka koji se prenose putem raunarske mree. Sve masovnija upotreba raunarskih mrea
iziskuje koridenje mehanizama i mera za zatitu podataka koji se tim putem prenose. Mere za zatitu
podataka uopte, se zasnivaju na tri principa:
15
Kriptografski algoritmi
Kriptovanje podataka podrazumeva koridenje raznih kriptografskih algoritama tj. skupova pravila po
kojima se vri kriptovanje. Algoritmi za kriptovanje se mogu podeliti u dve grupe:
Danas se najvie koriste algoritami za kriptovanje zasnovani na kljuu, a mogu se klasifikovati u tri
grupe:
Simetrini, kod kojih se koristi jedan klju,
Asimetrini, kod kojih postoje dva kljua i
Hibridni, kombinacija predhodna dva.
Simetrina kriptografija
16
Poznati simetrini kriptografski algoritmi ukljuuju Data Encryption Standard (DES) i Advanced
Encryption Standard (AES) algoritme, koji su osmiljeni i standardizovani na zahtev amerike vlade, pa
su esto korideni na Internetu.
Kod ove vrste kriptografije najvedi je problem u sigurnoj distribuciji kljueva, tj. kako dostaviti tajni
klju primaocu na siguran nain. Ovde govorimo o svojevrsnom paradoksu, jer poiljalac treba, kako
bi omogudio sigurnu komunikaciju (ifrovanim porukama), pre svega sigurno dostaviti tajni klju
primaocu. Problem dostave tajnog kljua reili su Whitfield Diffie i Martin Hellman 1976. godine
uvoenjem asimetrine kriptografije.
Algoritmi koji koriste simetrini klju za kriptovanje odlikuju se visokom efikasnodu, to se ogleda u
kratkom vremenu kriptovanja poruka. Razlog kratkog vremena kriptovanja je upotreba kratkih
kljueva. Iz tih razloga se ova vrsta algoritama koristi za kriptovanje ili dekriptovanje poruka velike
duine.
Simetrino kriptovanje ima dva osnovna nedostatka. Oba korisnika moraju posedovati jedinstveni
simetrini klju, te se javlja problem distribucije kljueva. Naime, korisnici koji ele da razmene
poruku prethodno moraju da se dogovore o kljuu. Jedini pouzdan nain je da se oba korisnika fiziki
sretnu i izvre razmenu kljua. Meutim, esto su korisnici fiziki razdvojeni i ne mogu da dou u
neposredan kontakt, zato moraju da koriste neki zatiden kanal da bi sigurno razmenili kljueve.
Problem je to to zatiden kanal praktino ne postoji.
Drugi problem koji se javlja kod simetrinih kripto-sistema je veliki broj potrebnih kljueva.
Na primer za 1 milion ljudi potrebno je 500 milijardi simetrinih kljueva. Radi dobijanja toliko velikog
broja razliitih kljueva moraju se koristiti kljuevi vede duine. Tako na primer, duina kljua od 56
bita je danas na granici dovoljnog s obzirom na to da savremeni raunari mogu relativno brzo da
otkriju klju te duine.
Asimetrina kriptografija
Tvorci asimetrine kriptografije su opisali ideju kriptografije koja se temelji na dva kljua,
privatnom (ili esto zvanim tajnim) i javnom kljuu. U literaturi pojam asimetrinog kriptovanja se
poistoveduje sa terminom asymmetric-key ili public-key kriptovanjem.
17
Osnovni nedostatak ovog naina kriptovanja je njegova sporost i neprikladnost za kriptovanje velikih
koliina podataka. Takoe, ostaje otvoreno pitanje autentinosti poruke, odnosno kako da osoba B
bude sigurna da je poruku koju je primila uistinu poslala osoba A.
18
Osnovu ove metode za potpisivanje ini cela poruka. Osoba koja alje poruku koristi tajni klju za
kriptovanje cele poruke i na taj nain je potpisuje. Onaj ko primi tako potpisanu poruku, koristi javni
klju da bi dekriptovao primljenu poruku i na taj nain sprovodi verifikaciju osobe koja je poslala
poruku.
Treba zapaziti da se prilikom koridenja tehnike digitalnog potpisa, za kriptovanje koristi tajni, a za
dekriptovanje javni klju, to je obrnuti postupak u odnosu na postupak koji sprovode asimetrini
algoritmi za kriptovanje. Ovo je mogude zato to su algoritmi koji su danas u upotrebi, kao RSA,
bazirani na simetrinim matematikim formulama. Obrnuti postupak koridenja kljueva ovde je
opravdan iz razloga to je cilj verifikacija identiteta osobe koja je poslala poruku, a ne da se zatiti
sadraj poruke.
19
Ukoliko su poruke dugake, koridenje kriptovanja sa javnim kljuem za potpisivanje cele poruke je
veoma nepraktino. Nepraktinost se ogleda u veoma velikim duinama poruka, to iziskuje dosta
resursa i troi mnogo vremena za kriptovanje. Kao logino reenje ovog problema javlja se mogudnost
, potpisivanja samo saetka umesto potpisivanja cele poruke. Osoba koja alje poruku kreira skradenu
verziju poruke tj. njen saetak.
Tako formiran saetak potpisuje i alje komunikacionim kanalom. Osoba koja primi tako skradenu
poruku proverava njen potpis. Svaka promena izvorne poruke izaziva promenu u sadraju, to se
odraava na promenu potpisa, ime se minimizuje mogudnost zloupotrebe
Tehnika potpisivanja sadraja poruke uglavnom koristi neku od dve he funkcije: MD5 (Message
Digest 5) sa 128-bitnim sadrajem i SHA-1 (Secure Hash Algorithm 1) sa 160-bitnim sadrajem.
20
Tajnost, koja se postie ifrovanjem poruke to jest primenom nekog kriptografskog sistema, pa se
garantuje da sadraj poruke saznaje jedino onaj kome je ta poruka namenjena.
Autentifikaciju, kojom se verifikuje intentitet korisnika koji komuniciraju preko mree, to se realizuje
primenom tehnologije digitalnog potpisa, kao i naredne dve funkcije.
Infrastruktura javnih kljueva, zakljuno, je sloen sistem koji obuhvata kriptografske tehnologije,
protokole, standarde, politike, procedure, servise i aplikacije. Infrastruktura javnih kljueva ima svoj
osnovni koncept na kome se zasniva a to je asimetrina kriptografija.
Soft certifikati se nalaze na magnetnom mediju (na primer hard disk), dok se drugi proizvode na
sigurnim hardverskim ureajima, na primer na pametnim karticama.
21
Sigurnosni protokoli
Savremene raunarske mree se uglavnom zasnivaju na TCP/IP protokolima. Prenos podataka
pomodu TCP/IP protokola se vri u obliku paketa te je relativno jednostavno ubacivanje poruka uz
nemogudnost kasnijeg odreivanja njihovog porekla i sadraja. Stoga, ovi protokoli sa aspekta
bezbednosti poseduju brojne slabosti, i kao takvi su nezamislivi bez upotrebe sigurnosnih protokola.
Sigurnosni protokoli se baziraju na kriptotehnologijama i implementiraju se u arhitekturu TCP/IP
modela u cilju unapreenja modela po pitanju bezbednosti. Na slici je prikazan TCP/IP model sa
implementiranim sigurnosnim protokolima.
U okviru modela se moe primetiti upotreba razliitih sigurnosnih protokola za zatitu podataka u
zavisnosti o kom se TCP/IP sloju radi. Zatita na mrenom sloju obezbeuje se izmeu mrenih
vorova pri emu se vri zatita IP paketa. Zatita IP paketa se ostvaruje primenom kriptografskih
algoritama (simetrini i asimetrini algoritmi za kriptovanje, he funkcije, digitalni potpis i drugi).
Najpoznatiji sigurnosni protokol na ovom nivou je IPSec protokol.
Na transportnom sloju se ostvaruje zatita tajnosti podataka primenom simetrinih kriptografskih
algoritama i proverama identiteta (digitalni potpis, he funkcije, digitalni sertifikati) strana koje
komuniciraju. Najpoznatiji sigurnosni protokoli koji se koriste na ovom sloju su: SSL, SSH, TLS i WTLS.
22
Kako standardni IP protokol nije pruao nikakve elemente zatite, pred IPSec postavljeni su i slededi
zahtevi:
SSL/TLS
SSL (Secure Socket Layer) protokol koji je razvila firma Netscape, je trenutno najvie koriden
metod za obavljanje sigurnih transakcija na Internetu. Podrava ga vedina Web servera kao i klijenata
ukljuujudi Microsoft Internet Explorer, Netscape Navigator, Mozilla Firefox i drugi. Posebna
nezatidena verzija SSL protokola 3.0 je poznata po imenu TLS (Transport Layer Security). esto se SSL
i TLS poistoveduju.
23
SSL Handshake protokol ini najsloeniji deo SSL protokola i omogudava uspostavljanje sesije. Tom
prilikom SSL Handshake vri proveru identiteta klijenta i identiteta servera, usaglaavanje algoritma
za kriptovanje, izraunavanje saetka i razmenu kljueva. Koristi se u fazi uspostavljanja konekcije pre
bilo kakve razmene aplikacionih podataka. Ovaj protokol se sastoji od niza poruka koje se razmenjuju
izmeu strana u komunikaciji.
SSL omogudava proveru identiteta pomodu sertifikata koji izdaje sertifikaciono telo CA. Ovaj vid SSL
transakcije nudi zadovoljavajudi nivo sigurnosti, te je relativno brzo postao standard za sigurnu
komunikaciju. Upravo zbog ove injenice, SSL protocol se najede koristi u aplikacijama za plaanje
kreditnim karticama.
24
Zakljucak
Da bi jedno mreno okruenje bilo dobro zatideno svi raunari u mrei kao i korisniki rauni
na njima moraju biti obezbeeni. Posebno treba naglasiti da je stepen zatidenosti jedne mree
jednak sigurnosti najloije zatidenog raunara u njoj s obzirom da neovladeni pristup jednom
raunaru dozvoljava istovremeno i pristup podacima koji se razmenjuju kroz mreu. Dakle, svi hostovi
u mrei moraju biti jednako dobro tideni. Ne postoje bitni i manje bitni hostovi.
25
Literatura
I.
Dr Jasmina Novakovid, Informatika, Megatrend univerzitet, ISBN 978 86- 7747 388 4, Beograd,
2010.
II.
An Introduction to Computer Security: The NIST Handbook by National Institute of Standards and
Technology, 2006.
III.
Linkovi
http://www.conwex.info/draganp/SRM_Predavanje_1.pdf
http://sr.wikipedia.org/wiki/Za%C5%A1tita_ra%C4%8Dunarskih_mre%C5%BEa
http://www.diplomski-rad.com/201007243737/INFORMATIKA/seminarski-diplomski-rad-informatikabezbednost-racunarskih-mreza.html
http://www.tfc.kg.ac.rs/publikacije/OS/11/OS%20kroz%20IT%20Zbornik%202003/5.%20Primer%20sk
ripte/OS%20kroz%20IT%20-%20HTML/UNIX%20na%20kraju%20XX%20veka/html/mreza.html
http://www.e-booksdirectory.com/details.php?ebook=5299
http://www.e-booksdirectory.com/details.php?ebook=1161
http://es.elfak.ni.ac.rs/Papers/Zastita%20podataka.pdf
26