33

Filtriranje saobraaja uvid u tehnologije i

mesta njihove primene u AMRESu
Dokument najbolje prakse
(smernice i preporuke)

Izraen u okviru AMRES tematske grupe za oblast Sigurnost

(AMRES BPD 102)

Autori:ZoranMihailovi,BojanJakovljevi,MaraBukvi

Jul2011.

 TERENA 2010. All rights reserved. (Sva prava zadrana.)

Dokument broj:
Verzija / datum:
Izvorni jezik :
Originalni naslov:
Originalna verzija / datum:
Kontakt:

GN3-NA3-T4-AMRES-BPD-102
Jul 2011.
Srpski
Preporuke za filtriranje saobraaja u krajnjim institucijama
Revizija 1 (dela dokumenta iz maja 2010.) / 11. jul 2011.

helpdesk@rcub.bg.ac.rs

AMRES/RCUB snosi odgovornost za sadraj ovog dokumenta. U izradi dokumenta uestvovala je tematska grupa za
Sigurnost organizovana u AMRESu radi sproveenja zajednikih aktivnosti na razvoju i irenju dokumenata sa tehnikim
smernicama i preporukama za mrene servise u viokokolskim obrazovnim i istraivakim ustanovama u Srbiji.
Delovi dokumenta mogu se slobodno kopirati, nepromenjeni, pod uslovom da je originalni izvor naveden i autorska prava
sauvana.
Dokument je nastao kao rezultat istraivanja koja su finansirana sredstvima Sedmog okvirnog programa Evropske
zajednice (FP7/2007-2013) po ugovoru br. 238875, koji se odnosi na projekat Multi-Gigabit European Research and
Education Network and Associated Services (GN3).

Sadraj
Rezime

Uvod

etiri polazne preporuke za filtriranje saobraaja

Pregled tehnologija za filtriranje saobraaja

2.1

Paketski filtar nasuprot stateful firewall-a

2.2

Opis drugih raspoloivih firewall tehnologija

10

2.2.1

Application Firewall

10

2.2.2

Application Proxy Gateway

11

2.2.3

Dedicated Proxy Server

12

2.3

Reenja u kojima se filtriranje saobraaja kombinuje sa drugim tehnologijama

12

2.3.1

NAT (Network Address Translation)

12

2.3.2

VPN (Virtual Private Networking)

13

2.3.3

IDP (Intrusion Detection and Prevention)

14

Primene tehnologija za filtriranje saobraaja u hijerarijskoj strukturi AMRESa

16

Reference

21

Renik

22

Rezime
Cilj ovog dokumenta je da predstavi raspoloive tehnologije filtriranja saobraaja, njihovu generalnu upotrebu,
ali i da ukae na naine i mesta njihove oekivane primene u hijerarijskoj strukturi AMRES mree.
U elji da se smanje sigurnosne pretnje, u AMRESu se koriste razliiti ureaji, tehnologije i tehnike za filtriranje
saobraaja. Svaka institucija/organizacija koja eli da pobolja efikasnost filtriranja i bezbednost u svojoj mrei
treba da se, u skladu sa zahtevima i sopstvenim potrebama, opredeli za tehnologiju i pravila filtriranja
saobraaja koju e da implementira u svojoj lokalnoj mrei.
Bolje razumevanje naina na koji se saobraaj filtrira na pojedinim mestima u AMRES mrei, trebalo bi da
olaka definisanje pravila u pojedinanim institucijama i postizanje bolje usklaenosti pravila svake institucije sa
praksom u ostatku mree.
Dokument je namenjen prvenstveno rukovodiocima i onim administratorima koji uestvuju u izradi pravila
filtriranja i izboru tehnologije filtriranja za mreu institucije za koju su odgovorni. Pored toga, dokument moe
posredno da pomogne mrenim administratorima u krajnjim institucijama kod identifikacije i otklanjanja uzroka
problema vezanih za filtriranje saobraaja na nekim mestima u mrei.

Uvod
Veliki broj radnih stanica, servera i drugih ureaja u AMRES mrei je svakodnevno izloen negativnim uticajima,
kako unutar same AMRES mree, tako i sa Interneta. Zbog toga se pred administratore u AMRESu postavlja
zadatak da maksimalno onemogue negativne uticaje na svoju mreu, a pri tome omogue normalno
funkcionisanje mree. Pored toga, potrebno je onemoguiti i irenje negativnih uticaja sa mree za koju je
odgovoran administrator, ka ostalim mreama unutar AMRES mree, kao i na Internet.
Da bi ispunili ove zadatke, administratori filtriraju saobraaj na razliitim mestima u AMRES mrei. Filtriranje
saobraaja se moe izvesti pomou pravila filtriranja implementiranih na ruterima i/ili firewall ureajima, kao i
primenom drugih tehnologija opisanih u ovom dokumentu.
Dokument je pripremljen s ciljem da administratore koji upravljaju mreama, bilo na lokalnom nivou, bilo na
nivou servisnog centra ili na nivou AMRES-a, upozna sa osnovnim pravilima i praksom filtriranja paketa u
AMRES-u, kao i o pozicijama na kojima su filtriranje saobraa implementira u hijerarhijskoj topologiji AMRES
mree.
Bolje razumevanje naina na koji se saobraaj filtrira na pojedinim mestima u AMRESu, trebalo bi da olaka
definisanje pravila u pojedinanim institucijama i postizanje bolje usklaenosti pravila svake institucije sa
praksom u ostatku mree.
Postupak razvoja i primena paketskih filtara u krajnjim institucijama/organizacijama AMRESa definisani su u
dokumentu AMRES BPD 110 Filtriranje saobraaja u krajnjim institucijama.
Dokument moe da doprinese razumevanju potrebe za definisanjem ili objavljivanjem ve postojeih pravila u
formi pravilnika, kao izradi i usvajanju pravilnika u razliitim institucijama AMRESa.

etiri polazne preporuke za filtriranje

saobraaja
1

Da bi se smanjile sigurnosne pretnje, u AMRESu se koriste razliiti ureaji, tehnologije i tehnike za filtriranje
saobraaja. Svaka institucija/organizacija koja eli da pobolja efikasnost filtriranja i postigne vei nivo
bezbednost u svojoj mrei, treba da primeni sledee preporuke:
1. Da definie pravila o filtriranju saobraaja, kojima e biti odreeno kako se regulie protok dolaznog i
odlaznog saobraaja u mrei. Skup pravila o filtriranju saobraaja se moe usvojiti kao samostalan
pravilnik (packet filtering policy) i kao deo pravilnika o bezbednost IKT u instituciji (information security
policy).
2. Da se u skladu sa zahtevima i potrebama opredeli za tehnologiju filtriranja saobraaja koju e da
implementira.
3. Da na izabranoj tehnologiji, izvri implemenatciju definisanih pravila i uskladi ih sa performansama
ureaja.
4. Da odrava sve komponente reenja, to ukljuuje ne samo ureaje, ve i pravilnik.
Vano je primetiti da se ove preporuke mogu primeniti u bilo kojoj organizaciji, pa i u AMRESu kao celini.
Dokument AMRES BPD 102 Filtriranje saobraaja uvid u tehnologije i mesta njihove primene u AMRESu je
pripremljen da podri implemenatciju preporuke broj 2, dok je AMRES BPD 110 Filtriranje saobraaja u
krajnjim institucijama pripremljen u vezi sa implementacijom preporuka 1 i 3 u krajnjim institucijama.

Pregled tehnologija za filtriranje

saobraaja
2

Tehnologije za filtiraranje saobraaja, najee se dele na tehnologiju filtriranja paketa (packet filtering
stateless firewall) i stateful firewall tehnologije.
Funkcijonalnost filtriranja paketa (stateless firewall) je ugraena u veinu operativnih sistema i ureaja koji
mogu da rutiraju saobraaj. Najee je to ruter na kome su primenjene liste za kontrolu pristupa (access
control list ACL).
Paketski filtar implementiran na ruteru je najjednostavniji, i samo jedan od moguih metoda za filtriranje
saobraaja. U okviru ovog poglavlja su opisane druge raspoloive firewall tehnologije i njihova generalna
upotreba. Date su preporuke za njihovu primenu u okviru hijerarhijske strukture AMRES mree.

2.1

Paketski filtar nasuprot stateful firewall-a

Funkcija filtriranja paketa je osnovno obeleje svih firewall ureaja. Rani firewall ureaji koji nisu imali nita vie
od paket filtera su se nazivali i stateless inspection firewalls. Nasuprot tome, smatra da dananji firewall ureaji
imaju daleko vie mogunosti u pogledu filtriranja paketa.
Paket filter omoguava implementaciju kontrole pristupa resursima, tako to na osnovu informacija u zaglavlju
IP paketa donosi odluku, da li je doputen prolaz tom paketu ili ne. Paket filter ne proverava sadraj paketa
(poput content filtera), niti na osnovu informacija iz TCP ili UPD zaglavlja paketa pokuava da ustanovi kojim
sesijama pripadaju pojedinani paketi, pa ne donosi ni dalje odluke u skladu sa tim. Zbog toga je opisani
process poznat jo pod nazivom stateless packet inspection.
Zbog ovakvog naina rada, gde se ne prate informacije o stanju konekcija, prilikom konfiguracije stateless
firewall ureaja potrebno je eksplicitno dozvoliti saobraaj u oba smera veze.
Stateless firewall ureaji proveravaju svaki paket pojedinano i filtriraju pakete na osnovu informacija na 3. i 4.
sloju OSI referentnog modela.
Odluku o filtriranju donose na osnovu sledeih informacija:
7

izvorina IP adresa

odredina IP adresa

protokol

izvorini broj porta

odredini broj porta

Najee su implementirani kao deo funkcionalnosti na samim ruterima (ACL, firewall filtri itd.), ali i na
serverima.
Prednosti primene paketskih filtera:

jednostavni za implementaciju;

veina rutera ih podrava, te ne mora da se investira u novu opremu i softver;

retko prouzrokuje usko grlo na mestu primene, ak i pri velikim brzinama u gigabitnim mreama.

Nedostaci primene paketskih filtera:

osetljivi su na IP spoofing napade;

ranjivi su na napade koji koriste nedostatke u TCP/IP protokol steku i specifikaciji protokola;

imaju problem sa filtriranjem fragmentiranih paketa (uzrok inkopatibilnosti i nefunkcionisanja VPN veza);

ne podravaju dinamiko fitriranje pojedinih servisa (takvih servisa koji zahtevaju dinamiko
dogovaranje o portovima koji se koriste u komunikaciji pasivni FTP)

Mesto primene paketskih filtara u AMRES mrei: Imajui u vidu hijerarhijsku strukturu AMRESa opisanu u
poglavlju 3, paketski filtri se koriste na vezama AMRESa prema Internetu (pozicija/nivo 1), na vezama izmeu
pojedinih institucija/organizacija i regionalnog servisnog centra kome pripadaju (pozicija/nivo 3), na serverima
posveenim konkretnom servisu (dedicated servers). Mogu se nai, mada ree, i u internim mreama
institucija/organizacija lanica.
Stateful packet inspection nastoji da unapredi proces filtriranja paketa, tako to prati stanje svake konekcije
koja se uspostavlja kroz firewall ureaj.
Poznato je da TCP protokol podrava pouzdanu dvosmernu komunikaciju i da TCP saobraaj opisuju tri glavna
stanja - uspostavljanje konekcije, razmena podataka i terminacija konekcije. Stateful packet inspection pri
uspostaljanju konekcije evidentira svaku vezu u tabeli stanja.
Tokom razmene podataka, ureaj prati odreene parametre u zaglavlju L3 paketa i L4 segmenta i u zavisnosti
od njihovih vrednosti i sadraja tabele stanja donose odluku o filtriranju. U tabeli stanja se nalaze sve trenutno
aktivne konekcije. Zbog ovakvog naina rada, eventualni napada, koji pokua da podmetne paket sa
zaglavljem koje oznaava da je paket deo uspostavljene veze, moe biti otkriven samo sa stateful inspection
firewall ureajem, prilikom provere da li konekcija postoji zabeleena u tabeli stanja.
Tabela stanja sadri sledee informacije:

izvorina IP adresa

odredina IP adresa

izvorini broj porta

odredini broj porta

TCP brojevi sekvence

TCP vrednosti flag-ova

U okviru TCP zaglavlja, prati se stanje flag-ova synchronize (SYN), reset (RST), acknowledgment (ACK), finish
(FIN) i na osnovu njih donosi zakljuak o stanju pojedine konekcije.
UDP protokol nema formalni postupak za uspostavljanje i prekid konekcije. Meutim, ureaji sa stateful
inspekcijom mogu da prate stanje pojedinanih flows-ova1 i mogu da upare raliite flows-ove, kada logiki
odgovaraja jedni drugima. (npr. prolaz DNS odgovora sa spoljnog servera moe biti dozvoljen samo ako je
prethodno evidentiran odgovarajui DNS upit iz internog izvora ka tom serveru)
Prednosti primene stateful firewall ureaja:

pruaju vii stepen zatite u odnosu na stateless firewall ureaje (vea efikasnost i detaljnija analiza
saobraaja);

otkrivaju IP spoofing i DoS napade;

pruaju vie log informacija u odnosu na paketske filtre.

Nedostaci primene stateful firewall ureaja:

ne pruaju zatitu od napada na aplikativnom sloju;

degradiraju performanse rutera na kojima su pokrenuti (zavisi od veliine mree i drugih servisa
pokrenutih na ruteru);

ne pruaju svi podrku za UDP, GRE i IPSec protokole, ve ih tretiraju kao i stateless firewall ureaji;

ne podravaju autentifikaciju korisnika.

Mesto primene stateful firewall ureaja u AMRES mrei: Imajui u vidu hijerarhijsku strukturu AMRESa
opisanu u poglavlju 3, stateful firewall ureaji se ne mogu oekivati iznad pozicije/nivoa 3. Mogu se nai i u
internim mreama institucija AMRES lanica.

Preporuka: Uporediti zahteve i potrebe institucije za filtriranjem saobraaja sa mogunostima ureaja, koji se
planira nabaviti. U skladu doneti i odluku o opravdanosti investicije u znaajno skuplji firewall ureaj. Imati u
vidu iskustvo mnogih administratora u AMRESu, koji smatraju da je paketski filter implementiran na ruteru
dovoljno dobro reenje za veinu potreba u manjim institucijama.

Flows je definisan konkretnom izvorinom i odredinom IP adresom, parom portova (izvor, odredite),
protokolom, TOS poljem i ulaznim interfejsom ureaja.
9

Opis drugih raspoloivih firewall tehnologija

2.2

U novije vreme, standardna stateful packet inspection tehnologija pokuava se unaprediti dodavanjem
osnovnih reenja iz intrusion detection tehnologije. Unapreena tehnologija se zove stateful protokol analiza, a
neretko se korisi i naziv DPI (deep packet inspection) analiza podataka na aplikativnom sloju.
Ureaja nastali iz takvog pravca razvoja su Application Firewall, Application Proxy Gateways i Proxy serveri.
Za razliku od stateful firewall ureaja koji saobraaj filtriraju na osnovu podataka na 3., 4. i 5. sloju OSI
referentnog modela, ovi ureaji mogu da filtriraju saobraaj i na osnovu informacija na aplikativnom (7) sloju
OSI referentnog modela.

2.2.1

Application Firewall

Application Firewall (AF) ureaji vre stateful protokol analizu protokola aplikativnog nivoa. Podravaju dosta
uobiajenih protokola, kao to su HTTP, SQL, email servis (SMTP, POP3 i IMAP), VoIP, XML itd.
Stateful protokol analiza se oslanja na predefinisane profile prihvatljivog rada odabranog protokola, na osnovu
kojih se mogu identifikovati eventualna odstupanja i nepravilnosti u konkretnom toku poruka tog protokola kroz
ureaj. Problemi se mogu pojaviti ukoliko postoji konflikt izmeu profila rada odreenog protokola, definisanog
na AF ureaju, i naina implementacije protokola u verziji same aplikacije ili operativnih sistema koji se koriste
u mrei.
Stateful protokol analiza moe da:

ustanovi da li email poruka sadri tip attachemta koji nije dozvoljen (npr. exec fajlove);

ustanovi da li se instant messaging koristi preko HTTP porta;

da blokira konekciju preko koje se izvava neeljena komanda (npr. FTP put komanda na FTP server);

da blokira pristup stranici koja sadri neeljeni aktivni sadraj, npr. Java;

identifikuje nepravilnu sekvencu komandi koje se razmenjuju u komunikaciji izmeu 2 hosta (npr.
neuobiajeno veliki broj ponavljanja iste komande ili upotrebljavanje neke komande pre komande od
koje je zavisna i sl.);

omogui proveru pojedinanih komandi, minimalne i maksimalane duina odgovarajuih argumenata

komande (npr. broj karatera koji se koriste za username i sl.).

AF ureaj ne moe da detektuju napade koji ne kre generalno prihvatljive procedure rada odreenog
protokola, poput DoS (denial of service) napada, izazvanog ponavljanjem velikog broja prihvatljivih sekvenci
poruka u kratkom vremenskom intervalu.
Zbog kompleksnosti analize koju vre, kao i zbog praenja stanja velikog broja istovremenih sesija, glavni
nedostatak metoda stateful protokol analize je intenzivno korienje resursa AF ureaja.

10

Mesto primene AF ureaja u AMRES mrei: Imajui u vidu hijerarhijsku strukturu AMRESa opisanu u
poglavlju 3, upotreba AF ureaja nije esta, ali je uslovno opravdana u internim mreama institucija AMRES
lanica. Primena AF ureaja se ne moe oekivati iznad pozicije 3.

2.2.2

Application Proxy Gateway

Application Proxy Gateway (APG) ureaji, takoe vre analizu toka saobraaja na aplikativnom nivou. U
odnosu na AF ureaje, APG ureaji pruaju vei stepen sigurnosti za pojedinane aplikacije, jer
onemoguavaju direktnu vezu izmeu dva hosta, a mogu da vre inspekciju sadraja poruka aplikativnog sloja.
APG ureaji sadre proxy agente, tzv. posrednike u komunikaciji izmeu dva krajnja hosta. Na taj nain ne
dozvoljavaju direktnu komunikaciju izmeu njih. Svaka uspena konekcija izmeu krajnjih hostova, sastoji se iz
dve konekcije prva je izmeu klijenta i proxy servera, a druga izmeu proxy servera i odredinog ureaja.
Proxy agenti, na osnovu pravila filtriranja definisanim na APG ureaju, donose odluku da li e mreni saobraaj
biti doputen ili ne. Odluke o filtriranju saobraaja mogu donositi i na osnovu informacija u zaglavlju poruke
aplikativnog sloja ili ak i na osnovu sadraja koju ta poruka prenosi. Dodatno, proxy agenti mogu da zahtevaju
autentifikaciju korisnika.
Postoje APG ureaji, koji imaju i mogunost dekripcije paketa, njihovog ispitivanja i ponovnog enkriptovanja,
pre nego to se paket prosledi odredinom hostu. Paketi, koji se ne mogu dekriptovati, se jednostavno
prosleuju kroz ureaj.
U odnosu na paketske filtre i stateful ureaje, APG ureaji imaju niz nedostataka. Nain rada APG ureaja
uzrokuje znatno vei utroak resursa, tj. zahtevaju vie memorije i vei utroak procesorskog vremena za
ispitivanje i interpretaciju svakog paketa koji kroz ureaj prolazi. Zbog toga, APG ureaji nisu pogodni za
filtriranje aplikacija zahtevnijih u pogledu propusnog opsega ili aplikacija koje su osetljive na vremensko
kanjenje (real-time aplikacije). Kao jo jedan nedostatak, moe se navesti i ogranienost u broju servisa koji
se mogu filtrirati kroz ove ureaje. Svaki tip saobraaja koji prolazi kroz ureaj, zahteva specifian proxy agent,
koji bi bio zaduen za posredovanje u komunikaciji. Zbog toga se moe desiti da APG ureaji ne podravaju
filtriranje novih aplikacija ili protokola.
Zbog svoje cene, APG ureaji se najee koristi za zatitu date centara ili ostalih mrea koje sadre javno
dostupne servere, a koji su od veeg znaaja za neku organizaciju.
Da bi se smanjilo optereenje na APG ureaje i postigla vea efikasnost, u dananjim mreama ee se
koriste proxy serveri (dedicated proxy serveri) zadueni za tano odreene servise, koji nisu toliko osetljivi na
vremensko kanjenje (npr. email ili web proxy serveri).
Mesto primene APG ureaja u AMRES mrei: Imajui u vidu hijerarhijsku strukturu AMRESa opisanu u
poglavlju 3, upotreba APG ureaja nije esta, ali je uslovno opravdana u internim mreama institucija AMRES
lanica. Primena APG ureaja se ne moe oekivati iznad pozicije 3.

11

2.2.3

Dedicated Proxy Server

Dedicated proxy (DP) serveri, kao i APG ureaji, imaju ulogu posrednika u komunikaciji izmeu 2 hosta, ali su
njihove mogunosti u filtriranju saobraaja znaajno manje. Ova vrsta ureaja, namanjena je analizi rada
specifinih servisa i protokola (npr. HTTP ili SMTP).
Zbog ogranienih mogunosti u filtriranju saobraaja, DP ureaji se u arhitekturi mree, postavljaju iza firewall
ureaja. Njihova glavna funkcija je da izvre specijalizovano filtriranje odreenog tipa saobraaja (na osnovu
ogranienog skupa parametara) i izvre operaciju logovanja. Izvravanjem ovih specifinih aktivnosti, znaajno
se smanjuje optereenje samog firewall ureaja, koji se nalazi ispred DPS ureaja.
Najpoznatiji primer, za ovakav tip ureaja, jesu Web Proxy serveri. Karakteristini primer primene je HTTP
proxy server (upotrebljen iza firewall ureaja ili rutera), na koji se korisnici moraju povezati kada ele da
pristupe eksternim web serverima. Kada institucija raspolae izlaznom vezom (uplink-om) nieg propusnog
opsega preporuuje se da koristi funkciju keiranja (caching), da bi se smanjio nivo saobraaja i poboljalo
vreme odziva.
Zbog, porasta dostupnih Web aplikacija i poveanog broja pretnji koje se prenose preko HTTP protokola, Web
Proxy serveri dobijaju na znaaju. Stoga danas imamo situaciju, da razni proizvoai opreme, klasinim Web
Proxy serverima dodaju funkcionalnosti raznih firewall tehnologija i na taj nain poveavaju njihove mogunosti
u filtriranju saobraaja.
Mesto primene dedicated proxy servera u AMRES mrei: Imajui u vidu hijerarhijsku strukturu AMRESa
opisanu u poglavlju 3, dedicated proxy serveri u servisnim centrima AMRESa (pozicija/nivo 2) su konfigurisani
tako da mogu da podre opcionu upotrebu proxy servera u internim mreama institucija AMRES lanica
(pozicija/nivo 4). Konfiguracije i upotreba proxy tehnologije na razliitim mestima mora biti usklaena.

2.3

Reenja u kojima se filtriranje saobraaja kombinuje sa

drugim tehnologijama

Pored svoje osnovne namene, da blokiraju neeljeni saobraaj, firewall ureaji esto funkciju filtriranja
kombinuju i sa drugim tehnologijama, pre svega sa rutiranjem. Za rutere vai obrnuto. Otuda se NAT ponekad
doivljava kao firewall tehnologija, mada je u sutini tehnika rutiranja.
Na firewall ureajima su esto raspoloive i druge srodne funkcionalnosti poput VPN, IDP. U ovom poglavlju su,
zbog kompletnosti pregleda i uestalosti njihove upotrebe, kratko opisane i ove tehnologije.

2.3.1

NAT (Network Address Translation)

NAT (Network Address Translation) je tehnologija koja omoguava ureajima koji koriste privatne IP adrese,
da komuniciraju sa ureajima na Internetu. Ova tehnologija prua servis translacije privatnih IP adresa, koje
ureaji mogu da koriste u okviru LAN mree, u javno dostupne Internet adrese.
Primenom NAT tehnologije moe se (namerno ili sluajno) ograniiti broj dostupnih servisa, odnosno
onemoguiti funkcionisanje servisa koji zahtevaju direktnu end-to-end komunikaciju (poput VoIP i dr.).
12

Postoje 3 tipa NAT translacija: dinamiki, statiki i PAT

Dinamiki NAT koristi skup javno dostupnih IP adresa, koje sukcesivno dodeljuje hostovima sa privatnim IP
adresama. Kada host sa privatnom IP adresom ima potrebu da komunicira sa ureajem na Internetu, dinamiki
NAT vri translaciju njegove privatne IP adrese u javno dostupnu IP adresu, uzimanjem prve slobodne IP
adrese iz definisanog skupa javno dostupnih IP adresa. Pogodan je za klijentske raunare.
Statiki NAT podrazumeva jednoznano mapiranje izmeu privatne IP adrese nekog hosta i njemu dodeljene
javne IP adrese. Na ovaj nain, host sa privatnom IP adresom se na Internetu pojavljuje uvek sa istom javnom
IP adresom. Ovo je glavna razlika izmeu statike i dinamike translacije. Pogodan je za servere.
Kod oba pomenuta tipa translacija, svaka privatna IP adresa se translira u posebnu javnu IP adresu. Da bi bio
podran zadovoljavajui broj istovremenih korisnikih sesija, organizacija koja koristi dinamiki i/ili statiki NAT,
mora da poseduje dovoljan broj javnih IP adresa.
PAT (Port Address Translation ili kako se jo naziva NAT overload) translacija vri mapiranje izmeu vie
privatnih IP adresa i jedne ili vie javnih IP adresa. Mapiranje svake od privatnih IP adresa se vri pomou
broja porta javne IP adrese. PAT translacija obezbeuje da se svakom klijentu iz LAN mree, koji uspostavlja
konekciju sa ureajem na Internetu, dodeli razliit broj porta javne IP adrese. Odgovor sa Interneta, koji stie
kao rezultat upuenog zahteva, se alje na port sa kojeg je zahtev i upuen. Na ovaj nain je omogueno, da
ureaj koji vri translaciju (ruter, firewall ili server), zna ka kom hostu iz LAN mree, treba da prosledi paket.
Ova osobina PAT translacija, na neki nain poveava nivo sigurnosti LAN mree, jer onemoguava
uspostavljanje konekcija sa Interneta, direktno ka hostovima u LAN mrei. Zbog ovakvog naina rada, PAT se
ponekad pogreno svrstava u sigurnosne tehnologije, iako je primarno tehnologija rutiranja.

2.3.2

VPN (Virtual Private Networking)

VPN (Virtual Private Networking) tehnologija se koristi za poveanje bezbednosti prenosa informacija, kroz
mrenu infrastrukturu koja ne prua odgovarajui stepen bezbednosti podataka. Ona omoguava enkripciju i
dekripciju mrenog saobraaja izmeu spoljanjih mrea i unutranje, zatiene mree.
VPN funkcionalnost, moe biti raspoloiva na samim firewall ureajima ili implementirana na VPN serverima
koji se u arhitekturi mree, postavljaju iza firewall ureaja.
U mnogim sluajevima, implementacija VPN servisa na samom firewall ureaju je najoptimalnije reenje.
Smetanje VPN servera iza firewall ureaja, zahteva da VPN saobraaj proe kroz firewall ureaj enkriptovan.
Na taj nain, firewall ureaj nije u mogunosti da izvri inspekciju, kontrolu pristupa ili logovanje mrenog
saobraaja i izvri skeniranje na odreene sigurnosne pretnje.
Meutim, bez obzira na mesto implementacije, VPN servis zahteva, da odgovarajua pravila filtriranja firewall
ureaja omoguavaju njegovo nesmetano funksionisanje. U skladu sa tim, pri implementaciji bilo kog reenja
VPN arhitekture, posebnu panju treba obratiti na doputanje odgovarajuih protokola i TCP/UDP servisa,
neophodnih za funkcionisanje izabranog VPN reenja.

13

2.3.3

IDP (Intrusion Detection and Prevention)

Detekcija mrenih upada (intrusion detection - ID) se bazirana na praenju rada raunarskih sistema ili
mrea i analizi procesa koji se u njima odvijaju, a koji mogu da ukau na pojavu odreenih incidenata.
Incidenti su dogaaji koji predstavljaju pretnju ili krenje definisanih sigurnosnih pravila, krenje AUPa
(acceptable use policies) pravila ili krenje opteprihvaenih sigurnosnih normi. Pojavljuju se usled delovanja
razliitih malware programa (npr. crvi, spyware, virusi, trojanci itd.), pokuaja neautorizovanog pristupa sistemu
kroz javnu infrastrukturu (Internet), usled delovanja autorizovanih korisnika sistema koji zloupotrebljavaju svoje
privilegije itd.
Prevencija mrenih upada (intrusion prevention IP) obuhvata proces otkrivanja mrenih upada, ali i
proces spreavanja i zaustavljanja uoenih ili verovatnih mrenih incidenata.
Sistemi za detekciju i prevenciju mrenih upada (IDP) se zasnivaju na procesu identifikovanja moguih
incidenata, logovanju informacija o njima, pokuaju da se oni spree i alarmiranju administratora zaduenih za
sigurnost. Takoe, pored ove svoje bazine funkcije, IDP sistemi se mogu koristiti i za identifikaciju problema
sa usvojenim sigurnosnim pravilima, dokumentovanju postojeih sigurnosnih pretnji, kao i kod obeshrabrivanja
pojedinaca u krenju sigurnosnih pravila.
IDP sistemi koriste razliite metodologije za otkrivanje incidenata.
Tri primarna klase u metodologiji detekcije su:
a. Metod detekcije zasnovan na karakteristinom potpisu napada (Signature-based detection)
Neke sigurnosne pretnje mogu biti prepoznate po svom karakteristinom nainu pojavljivanja. Oblik
ponaanja neke od ve otkrivenih sigurnosnih pretnji, opisan u formi koja se moe iskoristiti za otkrivanje
sledeih pojava iste pretnje, naziva se potpis (signature) napada.
Metod detekcije zasnovan na karakteristinom potpisu napada, predstavlja proces uporeivanja poznatih
oblika pojavljivanja pretnje sa konkretnim mrenim saobraajem, kako bi se identifikovali pojedini incidenti.
Iako veoma efikasan u otkrivanje narednih pojava poznatih pretnji, ovaj metod detekcije je izrazito
neefikasan u detekciji kako potpuno nepoznatih pretnji, tako i pretnji koje su prikrivene razliitim tehnikama,
kao i ve poznatih sigurnosnih pretnji koje su na neki nain u meuvremenu izmenjene. Smatra se
najjednostavnijim metodom detekcije i ne moe se koristiti u praenju i analizi stanja nekih komleksnijih
vidova komunikacije.
b. Metod detekcije zasnovan na detekciji anomalija (Anomaly-based detection)
Ovaj metod rada IDP sistema se zasniva na otkrivanju anomalija u konkretnom toku saobraaja u mrei.
Detekcija anomalija se vri na osnovu definisanog profila prihvatljivog saobraaja, njegovim poreenjem sa
konkretnim saobraajem u mrei.
Profili prihvatljivog saobraaja formiraju se praenjem tipinih karakteristika saobraaja u mrei (npr. broj email poruka poslatih od strane nekog korisnika, broj pokuaja logovanja na neki host ili nivo korienja
procesora u datom vremenskom intervalu) tokom odreenog vremenskog intervala, pri emu se smatra da
su karakteristike ponaanja korisnika, hostova, konekcija ili aplikacija, u istom vremenskom intervalu,
potpuno prihvatljive.
14

Meutim, profili prihvatljivog ponaanja, mogu nenamerno sadrati i pojedine sigurnosne pretnje, to
dovodi do problema u njegovoj primeni. Takoe, neprecizno definisani profili prihvatljivog ponaanja, mogu
uzrokovati i pojavu mnotva alarma, a koje generie sam sistem, kao reakciju na pojedine (ak prihvatljive)
aktivnosti u mrei.
Najvea prednost ovog metoda detekcije je velika efikasnost u otkrivanju predhodno nepoznatih
sigurnosnih pretnji.
c.

Metod detekcije zasnovan na stateful protokol analizi

Stateful protokol analiza je proces uporeivanja predefinisanih profila rada nekog protokola sa konkretnim
tokom podataka tog protokola u mrei. Predefinisane profile rada nekog protokola, definiu proizvoai IDP
ureaja i u njima je identifikovano ta je prihvatljivo, a ta ne u razmeni poruka odreenog protokola. Za
razliku od metoda detekcije anomalija u saobraaju, gde se profili kreiraju na osnovu hostova ili specifinih
aktivnosti u mrei, stateful protokol analiza koristi opte profile generisane od strane proizvoaa opreme.
Veina IDP sistema koristi istovremeno vie metoda detekcije i na taj nain omoguava sveobuhvatniji i
precizniji nain detekcije.

15

Primene tehnologija za filtriranje

saobraaja u hijerarijskoj strukturi AMRESa
3

Pravila o filtriranju saobraaja mogu da se definiu i usvajaju na razliitim mestima u mrei.

S obzirom na topologiju Akademske mree Srbije (AMRES), moe se identifikovati vie mesta na kojima se vri
filtriranja saobraaja:

Pozicija/Nivo 1 na vezama AMRES-a prema Internetu;

Pozicija/Nivo 2 u servisnim centrima AMRES-a (RCUB, CIT-UNS, JUNIS i UNIC);

Pozicija/Nivo 3 na vezama pojedinih institucija/organizacija i regionalnog servisnog centara kome

pripadaju i na koji su povezane;

Pozicija/Nivo 4 u internoj mrei samih institucija/organizacija lanica AMRESa.

U ovom poglavlju, opisana su konkretna reenja, odnosno nain na koji su tehnologije za filtriranja saobraaja
primenjene ili se moe oekivati da budu primenjene na pojedinim hijerarhijskim pozicijama u AMRES mrei.
Bolje razumevanje naina na koji se saobraaj filtrira na pojedinim mestima u AMRES mrei, trebalo bi da
koristi administratorima u krajnjim institucijama pri izradi pravila filtriranja u sopstvenim mreama, kao i u
postizanju bolje usklaenosti pravila u svakoj instituciji sa praksom u ostatku mree.

16

Osnovna pravila i praksa na mestima filtriranja saobraaja u AMRES-u:

Na svim vezama AMRES mree prema Internetu, primenjuje se paketsko filtriranje saobraaja na
ruterima, ija je primarna svrha da odbaci nedozvoljene protokole, odredine servis portove i IP adrese,
kao i nedozvoljene izvorine IP adrese i servis portove.
Dokument kojim bi trebalo da se regulie filtriranje na ovom nivou je Pravilnik o filtriranju saobraaja u
AMRESu. Pravilnik o filtriranju saobraaja se utvruje na nivou NREN-a, a usvaja ga upravljako telo
NREN-a. Izraen je nacrt Pravilnika o filtriranju saobraaja u AMRESu. U isekivanju njegovog
usvajanja, u AMRES-u se primenjuju pravila utvrena kodeksom ustanovljenim u ranijim razvojnim
fazama AMRES-a.

Na poziciji 2 sa slike, primenjuju se tehnike filtriranja saobraaja na aplikativnom nivou. Koriste se

namenski proxy serveri i povremeno drugi ureaji specijalne namene (kao to su ureaji za filtriranje
sadraja). Reenja i tehike, koje se u kontinuitetu koriste, implementirane su iskljuivo u servisnim
centrima AMRES-a: RCUB-u, JUNIS-u, CIT-UNS i UNIC-u. Ureaji specijalne namene, druga reenja i
tehnike, koje mogu da se primenjuju i povremeno nad delovima mree ili mreom u celini, mogu da se
po potrebi implementiraju ne samo u servisnim centrima AMRES-a, ve i u svim ostalim veim
voritima AMRES-a (PoP AMRES).

17

Na poziciji 2, kao najznaanije, izdvaja se filtriranje HTTP saobraaja upotrebom proxy servera. Prema
on-line statistikama, udeo HTTP saobraaja u ukupnom saobraaju je oko 80%. Tradicionalni razlozi
upotrebe, radi ublaavanja nedostatka resursa i potrebe ouvanja propusnog opsega, nisu vie primarni
razlozi korienja proxy servera u AMRESu. Trenutni razlozi su, pre svega, vezani za ispunjavanje
obaveze evidencije saobraaja u AMRES-u, zatiti od razliitih sigurnosnih pretnji i kontrolisanoj podrci
servisu KOBSON.
Od drugih tehnologija, na nivou dva, moe biti primenjeno filtriranje sadraja (content filetring).
Dokument kojim bi trebalo da se regulie filtriranje saobraaja na drugom nivou je Pravilnik o filtriranju
saobraaja u AMRES mrei, isto kao i za predhodni nivo (poziciju 1).

Pristup stranim strunim asopisima i literaturi, obezbeen preko servisa za objedinjenu nabavku
asopisa KOBSON, moe se ostvariti iskljuivo korienjem namenskih HTTP proxy servera na
poziciji 2. Prema zahtevu Narodne biblioteke i resornog ministarstva, servis KOBSON mora biti
ogranien i raspoloiv jedino za korisnike iz institucija lanica AMRES mree. Reenje sa
autentifikacijom svakog pojedinanog korisnika pri pristupu KOBSON servisu je izbegnuto, a
ispunjavanje postavljenog zahteva je podrano kroz tzv. proxy servis AMRESa i prati se na proxy
serverima u servisnim centrima AMRES-a. Svi HTTP proxy serveri na poziciji 2 se koriste u
netransparetnom modu. To znai da se raunari krajnjih korisnika, u institucijama lanicama AMRES
mree, moraju konfigurisati za prolaz kroz proxy servis AMRESa.

Prema priloenoj slici, pozicija 3 se nalazi izmeu voria servisnog centra/PoP AMRES-a i
pojedinanih institucija koje pristupaju backbone-u preko tog servisnog centra/PoP AMRES-a. U
dokumentu AMRES BPD 110 Filtriranje saobraaja u krajnjim institucijama nalaze se preporuke za
institucije lanice AMRESa o izradi i upotrebi pravila filtriranja saobraaja na poziciji 3.
Postoji praksa da servisni centri filtriraju saobraaj u ime svih svojih fakulteta/instituta na jednom mestu
- mestu isporuke saobraaja prema/od AMRES PoP-u. Bez obzira to se takvo reenje fiziki
implementira u AMRES servisnom centru, ono logiki pripada poziciji 3 sa slike, pa se mogu primeniti
iste preporuke kao i za svaku drugu pojedinanu instituciju.

Na poziciji 3 se mogu primeniti gotovo sve tehnologije filtriranja saobraaja pobrojane u predhodnim
poglavljima ili njihove kombinacije. Naee se koriste paketski filteri na ruterima/L3 svievima,
samostalni ili kombinovani sa NAT tehnologijom. Druga popularna opcija je upotreba firewall ureaja,
na kome je ponekad podignut i VPN server.

Preporuka za AMRES servisne centre je da na interfejsu ka svakoj instituciji lanici, primene paketski
filter ija je svrha da brani ostatak mree od nedozvoljenog saobraaja koji potie iz mree institucije
lanice AMRES-a (IP spoofing, i sl.). Obratite panju na injenicu da je ovo preporuka o primeni tzv.
skupa generalnih pravila filtriranja u AMRESu na saobraaj institucije u samo jednom smeru (na
odlazni saobraaj sa mrea AMRES lanica).
Skup generalnih pravila filtriranja u AMRESu sadri pravila za antispoofing, anti spam, ograniavanje
upotrebe privatnog i adresnog prostora, ograniavanje ICMP protokola (na raunare koje koristi osoblje
zadueno za administraciju mree), ograniavanje upotrebe protokola koji se preteno koriste u LAN
mreama (tipa NetBIOS, SQL i sl.). Vie o skupu generalnih pravila filtriranja potraite u dokumentu
AMRES BPD 110 Filtriranje saobraaja u krajnjim institucijama. Skup generalnih pravila filtriranja je
ukljuen u nacrt Pravilnika o filtriranju saobraaja u AMRESu.

18

Nivo 3 ujedno je i perimetar mree institucije lanice AMRES mree. U odnosu na tu poziciju se definie
termin odlazni i dolazni saobraaj. Odlazni saobraaj je saobraaj koji generie resurs iz interne mree
AMRES lanice u pokuaju pristupa eksternoj usluzi. Alternativni termini za odlazni saobraaj su izlazni
ili egress saobraaj. Dolazni saobraaj je saobraaj koji generie eksterni resurs u pokuaju pristupa
usluzi (servisu) u internom delu AMRES lanice. Alternativni termini za dolazni saobraaj su ulazni ili
ingress saobraaj.
Svaka institucija lanica AMRES mree bi trebalo da, na perimetru svoje mree, samostalno kontrolie
dolazni i odlazni saobraaj po vaeim pravilima u AMRESu, koja mogu biti proirenja definisanjem
sopstvenih pravila i upotrebom tehnologije po sopstvenom izboru. To, od institucija/organizacija lanica
AMRESa, zahteva izvesno angaovanje na ovim aktivnostima, naroito na poetku. AMRES BPD 110
dokument o filtriranju saobraaja u krajnjim institucijama sadri preporuke i predloge (ukljuujui
komande za konfiguraciju paketskih filtara na IOS operativom sistemu). Miljenja smo da ove preporuke
mogu pomoi institucijama lanicama u postupku preuzimanja filtriranja u svoju naleost, ali ne
obavezuje pojedinane institucije/organizacije da ih primene. U krajnjem, primena preporuka iz ovog
dokumenta, treba da podigne nivo bezbednosti i efikasnost filtriranja saobraaja u celom AMRESu.
Dokument kojim bi institucija lanica AMRES mree trebalo, ukoliko to eli, da regulie filtriranje na
treem, etvrtom i svim sledeim nivoima je Pravilnik o filtriranju saobraaja te institucije (ukoliko se
donosi kao samostalni dokument). Filtriranje moe biti regulisano i kao deo Pravilnika o bezbednost IKT
u toj instituciji (information security policy), ukoliko takav Pravilnik postoji.

Trenutno se u AMRESu na vie mesta koristi tehniko reenje, koje za posledicu ima, da se perimetar
mree krajnje institucije nalazi unutar jednog ureaju (najee L3 svi pod administrativnom
kontrolom AMRES servisnog centra), a ne na vezi izmeu dva ureaja, kao to je prikazano na
priloenoj slici. Svi takvi sluajevi, zbog pitanja nadlenosti, zahtevaju vie koordinacije izmeu
servisnog centra i krajnje instituciije, pri implementaciji i odravanju pristupnih listi. Pitanje prenosa
nadlenosti se reava upotrebom neke od metoda autorizacije raspoloive na mrenom ureaju. Za
Cisco ureaje (koji se koriste u najveem broju situacija) testirana su dva reenje kojima se korisniku
prava proiruju na skup komandi potrebnih za implementaciju pristupnih listi. Autorizacija se ostvaruju
pomou rola u Role-based CLI okruenju ili definisanjem razliitih nivoa privilegija za enable password.

Nivo 4 je ukljuen, da bi objasnili razliite potrebe i naine primene tehnologija filtriranja saobraaja,
unutar mree pojedinih institucija lanica AMRES-a. Posebno vano mesto je upotreba proxy servisa.
Kao to je pomenuto, iza paketskog filtra na poziciji 3, moe se implementirati HTTP proxy server
institucije (na poziciji 4 u internoj mrei institucija lanica AMRES-a). Pri tome se mora uzeti u obzir
injenica, da se pristup KOBSON servisu, moe ostvariti iskljuivo upotrebnom proxy servera u AMRES
servisnim centrima (nivo dva). Preporuka za institucija lanice AMRES mree, koje koriste sopstvene
proxy servere je da ih konfiguriu u parent modu u odnosu na HTTP proxy servere u servisnim cetrima
AMRES-a (na poziciji 2).
Postoji mogunost da se samostalni proxy server u instituciji lanici AMRES mree podesi tako, da
direktno pristupa HTTP ili HTTPS serverima izvan AMRES-a, sem za servise KOBSON, koji se odvijaju
preko proxy servera u AMRES servisnim centrima. Ovakvo reenje zahteva vie vetine pri
podeavanju i vie truda pri odravanju.
Svi servisni centri AMRES-a, kao i sve lanice AMRES-a, moraju koristiti standard (X-Forwarded-For)
za identifikaciju originalne IP adrese klijenta koji je inicirao saobraaj, pri prolasku kroz proxy server.
Datoteke sa logovima se moraju uvati minimalno 3 meseca.

19

20

Institucije lanice AMRESa, mogu da koriste firewall na poziciji 4 sa slike, da bi obezbedile dodatni nivo
bezbednosti u lokalnoj mrei. Time se najee eli spreiti neovlaen pristup onim delovima mree,
na kojima se nalaze posebno vani resursi ili se vre posebno osetljive funkcije poput raunovodstva,
studentske slube i sl.

Preporuka je svim institucijama da koriste paketske filtere ili razliita firewall reenja, raspoloiva na
serverima, i da putem njih omogue pristup samo ka servisima tog servera, a da onemogue svi druge
portove na serveru.

4
[1]

Reference
Karen Scarfone, Paul Hoffman, Guidelines on Firewalls and Firewall Policy, Recommendations of the
NIST, September 2009.

[2]

Eizabet D. Zwicky, Simon Cooper & D. Brent Chapman, Buidling Internet Firewalls, O'Reilly
Media, Second Edition, June 2000.

[3]

Brian Morgan, Neil Lovering, CCNP ISCW Official Exam Ceerification Guide, Cisco Press, July 2007.

[4]

NIST SP 800-95, Guide to Secure Web Services, http://csrc.nist.gov/publications/PubsSPs.html.

[5]

NIST

SP

800-94,

Guide

to

Intrusion

Detection

and

Prevention

Systems

(IDPS)

http://csrc.nist.gov/publications/PubsSPs.html.
[6]

JNCIA-Junos Study GuidePart 2, https://learningportal.juniper.net

21

Renik

ACL

Access Control List

AF

Application Firewall

AMRES

Akademska mrea Srbije

APG

Application Proxy Gateway

AUP

Acceptable Use Policy

CIT-UNS

Centar za informacione tehnologije Univerziteta u Novom Sadu

DP

Dedicated Proxy

DPI

Deep Packet Inspection

DNS

Domain Name System

DoS

Denial of Service

FTP

File Transfer Protocol

GRE

Generic Routing Encapsulation

HTTP

HyperText Transfer Protocol

HTTPS

HyperText Transfer Protocol Secure

ICMP

Internet Control Message Protocol

IDP

Intrusion Detection and Prevention

ID

Intrusion Detection

IMAP

Internet Message Access Protocol

IP

Internet Protocol

IP

Intrusion Prevention

IPSec

Internet Protocol Security

JUNIS

Jedinstveni nauno-nastavni informacioni sistem Univerziteta u Niu

KOBSON

Konzorcijum biblioteka Srbije za objedinjenu nabavku naunih asopisa

LAN

Local Area Network

L3

OSI layer 3 Network layer

L4

OSI Layer 4 Transport layer

NAT

Network Address Translation

NetBIOS

Network Basic Input/Output Sistem

NREN

Nacional Research and Education Network

OSI

Open Systems Interconnection

PAT

Port Address Translation

POP3

Post Office Protocol Version 3

RCUB

Raunarski centar Univerziteta u Beogradu

SMTP

Simple Mail Transfer Protocol

SQL

Structured Query Language

TCP

Transmission Control Protocol

22

UNIC

Raunarski Centar Univerziteta u Kragujevcu

VoIP

Voice over Internet Protocol

VPN

Virtual Private Network

XML

Extensible Markup Language

23