Professional Documents
Culture Documents
Dizaj Sigurnih Racunalnih Mreza PDF
Dizaj Sigurnih Racunalnih Mreza PDF
Dorian Ivančić
SEMINAR IZ PREDMETA
SIGURNOST RAČUNALNIH SUSTAVA
Zagreb, 2007.
Sadržaj
SADRŽAJ .............................................................................................................................................................. 2
POPIS SLIKA........................................................................................................................................................ 3
1. UVOD ................................................................................................................................................................. 5
1.1. ORGANIZACIJA RADA.................................................................................................................................... 6
2. KOMPONENTE I METODE OBLIKOVANJA RAČUNALNIH MREŽA ................................................ 7
2.1. SEGMENTACIJA MREŽE ................................................................................................................................. 7
2.1.1. Mostovi................................................................................................................................................. 8
2.1.2. Preklopnici........................................................................................................................................... 8
2.1.3. Usmjerivači .......................................................................................................................................... 9
2.1.4. Prospojnici......................................................................................................................................... 10
2.1.5. Mrežni segmenti ................................................................................................................................. 10
2.1.6. Virtualni mrežni segmenti .................................................................................................................. 12
2.1.7. Mrežne zone ....................................................................................................................................... 14
2.2. VATROZIDI ................................................................................................................................................. 15
2.2.1. Prozirni vatrozid ................................................................................................................................ 17
2.2.2. Filtar paketa ...................................................................................................................................... 18
2.2.3. Vatrozid s praćenjem stanja veze....................................................................................................... 20
2.2.4. Vatrozid zastupnik.............................................................................................................................. 22
2.3. DETEKCIJA I PREVENCIJA UPADA IZ MREŽE ................................................................................................. 24
2.3.1. Detekcija upada iz mreže ................................................................................................................... 24
2.3.2. Prevencija upada iz mreže ................................................................................................................. 27
2.4. VIRTUALNE PRIVATNE MREŽE .................................................................................................................... 28
2.5. OČVRŠĆIVANJE LOKALNOG RAČUNALNOG SUSTAVA .................................................................................. 31
2.5.1. Obrambene komponente lokalnog računalnog sustava ..................................................................... 33
2.6. KLOPKE NAMIJENJENE NAPADAČIMA .......................................................................................................... 34
3. PRIMJERI DIZAJNA SIGURNIH RAČUNALNIH MREŽA ................................................................... 37
3.1. KUĆNA RAČUNALNA MREŽA ....................................................................................................................... 37
3.2. KORPORACIJSKA MREŽA BEZ JAVNIH SERVISA ............................................................................................ 39
3.3. KORPORACIJSKA MREŽA S JAVNIM SERVISIMA............................................................................................ 41
3.4. PRIMJER DOBRO POSTAVLJENE KORPORACIJSKE MREŽE ............................................................................. 46
4. ZAKLJUČAK .................................................................................................................................................. 50
LITERATURA .................................................................................................................................................... 51
DODACI............................................................................................................................................................... 52
DODATAK A: POPIS POJMOVA ........................................................................................................................... 52
DODATAK B: POPIS KRATICA ............................................................................................................................ 54
Popis slika 3
Popis slika
Slika 1: Simbol za most......................................................................................... 8
Slika 2: Simbol za preklopnik ................................................................................. 9
Slika 3: Simbol za usmjerivač ................................................................................ 9
Slika 4: OSI/ISO 7-segmentni model.................................................................... 10
Slika 5: Primjer segmentirane mreže.................................................................... 11
Slika 6: Segmentacija mreže izvođenjem posebne infrastrukture ........................... 13
Slika 7: Segmentacije mreže uz 802.1Q ............................................................... 13
Slika 8: Primjer mrežnih zona .............................................................................. 14
Slika 9: Simboli za vatrozid.................................................................................. 15
Slika 10: Vatrozid između Internet zone i lokalne računalne mreže ........................ 15
Slika 11: Vatrozid između dviju nepovjerljivih mreža ............................................. 16
Slika 12: Vatrozid između dviju mreža različitog stupnja povjerljivosti .................... 16
Slika 13: Slojevi povezanosti prozirnog vatrozida s ostalim mrežnim uređajima....... 17
Slika 14: Slojevi povezanosti filtra paketa s ostalim mrežnim uređajima ................. 18
Slika 15: Tijek FTP veze ...................................................................................... 19
Slika 16: Tijek pasivne FTP veze .......................................................................... 19
Slika 17: Zaglavlje TCP paketa............................................................................. 20
Slika 18: Mehanizam trostrukog rukovanja ........................................................... 21
Slika 19: Slojevi povezanosti vatrozida zastupnika s ostalim mrežnim uređajima ..... 22
Slika 20: Vatrozid zastupnik u ulozi prospojnika .................................................... 22
Slika 21: Vatrozid zastupnik kao zasebni poslužitelj............................................... 23
Slika 22: Reverzni zastupnik ................................................................................ 23
Slika 23: Postavljanje senzora u tipičnu mrežu neke organizacije ........................... 25
Slika 24: Postavljanje senzora u mrežu raspodijeljene organizacije ........................ 26
Slika 25: NIPS kao kombinacija NIDS sustava i vatrozida ...................................... 27
Slika 26: NIPS kao integrirani NIDS sustav i vatrozid............................................. 28
Slika 27: Primjer VPN komunikacije...................................................................... 29
Slika 28: Primjer VPN veze od domaćina do domaćina .......................................... 29
Slika 29: Primjer VPN veze od domaćina do prospojnika........................................ 30
Slika 30: Slojevi na kojima je moguće uspostaviti VPN vezu .................................. 30
Slika 31: Slojeviti pogled na osiguranje lokalnih računalnih sustava ....................... 32
Slika 32: Primjer postavljanja klopke u mrežu omanje organizacije ........................ 35
Slika 33: Primjer postavljanja klope u fakultetsku mrežu ....................................... 35
Slika 34: Primjer kućne mreže ............................................................................. 37
Slika 35: Primjer kućne mreže s ugrađenim vatrozidom......................................... 38
Popis slika 4
1. Uvod
U današnje vrijeme gotovo da i ne postoje tvrtke koje u svom poslovanju ne
koriste računala. Najčešće se radi o više računala spojenih međusobno tako da tvore
računalnu mrežu. U prvotnom obliku računalne mreže upotrebljavale su se za
razmjenu informacija između radnih stanica. U današnje vrijeme pričamo o
distribuiranim aplikacijama i bazama podataka koje su, logički gledano, pokrenute na
računalnoj mreži. Kaže se da mreža pokreće servise i da se podaci nalaze na mreži.
Fizički se aplikacije i baze podataka nalaze instalirane na više poslužitelja koji se ne
nalaze nužno na istoj lokaciji. Računalne mreže omogućuju brz dohvat informacija, a
time i modernizaciju poslovanja te daljnji tehnološki napredak. Može se reći da su
računalne mreže okosnica svakog modernog poslovanja.
Međutim kako računalne mreže donose niz poboljšanja poslovanju one isto tako
uvode i niz rizika u poslovanje. Slično, primjerice, kao i strojevi za masovnu serijsku
izradu nekih artikala. Dok masovna serijska izrada ubrzava i pojeftinjuje proizvodnju,
jedna banalna greška pri, primjerice, radu stroja može dovesti do niza proizvedenih
artikala s greškom. To u konačnici znači veliki gubitak. Rizici s kojima se korporacije
susreću pri uvođenju i korištenju računalnih mreža u svojem poslovanju nisu ovakve
prirode. Uglavnom su orijentirani na prekid poslovanja, gubitak podataka, curenje
informacija, gubitak ugleda i slično, no obzirom na to kakav će utjecaj imati na
korporaciju odnosno kakav će gubitak stvoriti zasigurno su i više nego mjerljivi s
rizikom opisanim u gornjem primjeru i sličnim.
Kako računalne mreže i njihovi korisnici ne bi proizvodili gubitke za organizaciju,
potrebno ih je osigurati. Osiguranje računalnih mreža radi se počevši od faze idejnog
dizajna računalne mreže, preko projekta pa sve do implementacije. Nadalje, često se
smatra i griješi kada se misli da je proces osiguranja jednokratni postupak.
Osiguranje mreže radi se, kako je gore navedeno, u svim fazama razvoja, no i
tijekom cijelog života računalne mreže. Mrežu je potrebno konstantno nadgledati
kako bi se na vrijeme uočila ranjivost te uklonila potencijalna uska grla. Isto vrijedi i
za potencijalne slabosti i ranjivosti mreže. Kako se ranjivosti pojedinih mrežnih
uređaja otkrivaju gotovo svakodnevno, važno je i to imati u vidu. Potrebno je
nadzirati sve uređaje i na vrijeme se zaštiti od mogućih napada internih i vanjskih
korisnika.
Ovaj rad bavi se dizajnom sigurnih računalnih mreža. Cilj je čitatelja upoznati i
prikazati mu način na koji je uputno slagati već standardne mrežne uređaje
(primjerice, usmjerivače, vatrozide i ostale) kako bi se kao rezultat dobila računalna
Uvod 6
2.1.1. Mostovi
Mostovi (eng. bridge) u terminologiji računalne mreže predstavljaju uređaj koji
predstavlja spoj između dva dijela iste mreže. Mostovi u današnje vrijeme kada se
najčešće radi o optičkim mrežama i UTP mrežama udaljenosti manje od 100m nisu
popularni.
Posebna vrsta mostova, repetitori se koriste kada je potrebno povezati dva
uređaja ili dijela mreže koji su udaljeni više od maksimalne dozvoljene udaljenosti za
medij kojim putuje signal. Primjerice, kada se radi o spajanju dva dijela mreže
udaljena 150m UTP medijem čije je ograničenje 100m. Repetiror se tada spaja
približno u sredinu između dva dijela mreže. Kada repetitor primi signal iz jednog
dijela mreže, on ga pojača i pošalje u drugi dio mreže.
Valja naglasiti da, iako mrežu fizički možemo razdvojiti mostovima odnosno
repetitorima (segmentiramo je na prvom sloju OSI/ISO 7-segmentnog modela),
logički to ostaje ista mreža. I mostovi i repetitori ponašaju se kao medij tj. nemaju
mogućnosti čitanja i korištenja podataka koji se nalaze u mrežnim paketima kako bi
dalje usmjerili mrežni paket.
Slika 1 prikazuje simbol za most koji se upotrebljava pri crtanju računalnih
mreža.
2.1.2. Preklopnici
Preklopnici (eng. switch) su uređaji koji se koriste za spajanje više računala u
jednu centralnu točku. Ako računala i mrežni uređaji predstavljaju vrhove zvijezde,
preklopnik predstavlja njenu sredinu. Preklopnici su uređaji koji mrežu segmentiraju
na drugom sloju OSI/ISO 7-segmentnog modela. Uloga preklopnika je, zapravo,
stvaranje posebnog segmenta za svaki par uređaja koji međusobno komunicira.
Svoju zadaću preklopnici ostvaruju tako da pamte MAC adrese mrežnih uređaja.
Kada se uređaj prvi put spoji na preklopnik, te kada pokuša uspostaviti inicijalnu
konekciju s nekim drugim uređajem, preklopnik zapamti njegovu MAC adresu i
poveže je s vratima (eng. port) na koje je uređaj spojen. Pri svakom sljedećem
mrežnom paketu koji pristiže za taj uređaj, preklopnik pogleda u zaglavlje mrežnog
paketa, identificira odredišnu MAC adresu te paket šalje na vrata na koje je spojen
uređaj s tom MAC adresom.
Komponente i metode oblikovanja računalnih mreža 9
2.1.3. Usmjerivači
Usmjerivači (eng. router) imaju sličnu ulogu kao i preklopnici. Dok preklopnici
služe za povezivanje više mrežnih uređaja, usmjerivači povezuju više mreža odnosno
podmreža. Nadalje, preklopnici stvaraju segmente na razini komunikacije između dva
mrežna uređaja, a usmjerivači na razini mreže. To znači da usmjerivači segmentiraju
mrežu na trećem sloju OSI/ISO 7-segmentnog modela.
Uloga usmjerivača je prenošenje paketa iz jedne mreže u drugu. Usmjerivači
pregledavaju zaglavlja mrežnih paketa te u ovisnosti o odredišnoj IP adresi paket
šalju u odgovarajuću mrežu.
Osnovna uloga usmjerivača opisana je u prethodnom tekstu. Međutim, pored
samog prenošenja paketa pametniji usmjerivači mogu se koristiti i u neke druge
svrhe. Primjerice, mnogi programski i sklopovski usmjerivači imaju mogućnost
filtriranja prometa na osnovi izvorišne i/ili odredišne adrese. Usmjerivači isto tako
mogu filtrirati i tip prometa na bazi izvorišnih odnosno odredišnih vrata (eng.
source/destination port). Proizvođači naprednijih usmjerivača u njih vrlo često
ugrađuju i logiku kojom oni mogu poslužiti i kao pristupne točke računalnoj mreži
odnosno kao NAS (eng. Network Access Server). Pored uloge pristupnih točaka
nerijedak je slučaj kada ih nalazimo kao poslužitelje VPN (eng. Virtual Private
Network) veza. Usmjerivači u sebi vrlo često imaju ugrađene i druge mogućnosti,
međutim detaljnije razmatranje usmjerivača izlazi iz okvira ovog seminara.
Slika 3 prikazuje najčešće upotrebljavani simbol za usmjerivač pri predstavljanju
računalnih mreža.
2.1.4. Prospojnici
Prospojnik (eng. gateway) je ustvari usmjerivač gledan sa stajališta mrežnog
uređaja. Mrežni uređaj (primjerice, računalo, pisač i slično) nalazi se u jednoj mreži.
Dodijeljena mu je IP adresa i mrežna maska. Taj uređaj na temelju sebi dodijeljene
IP adrese i mrežne maske može započeti komunikaciju sa svim uređajima koji se
nalaze u istoj mreži. Isti uređaj, međutim, ne može komunicirati s uređajima van
njegove mreže jer ne zna kojim putem uspostaviti vezu s tim uređajem. Uloga
prospojnika jest pružiti uslugu usmjeravanja mrežnih paketa do uređaja koji se
nalaze na nekoj različitoj mreži od postojeće.
Vrlo često govorimo o dva tipa prospojnika: uobičajenom prospojniku (eng.
default gateway) i prospojniku za zadanu mrežu. Prospojnik za zadanu mrežu zna
kako uspostaviti vezu s nekim drugim uređajem iz te mreže. Uobičajeni prospojnik
zna kako uspostaviti vezu sa svim uređajima koji nisu u lokalnoj mreži.
1
Simbol x u adresi mreže govori da ta brojka nije bitna, odnosno da može biti bilo koja, za izračun
odnosno dobivanje mrežne adrese. U praksi se najčešće koristi ili taj simbol ili se jednostavno upiše 0.
Komponente i metode oblikovanja računalnih mreža 13
Slika 8 prikazuje mrežu neke organizacije koja se sastoji od tri mrežne zone.
Internet zona predstavlja zonu nad kojom organizacija nema kontrole niti je u
mogućnosti nametnuti sigurnosnu politiku. Zona s većim stupnjem sigurnosti te
nametnutom sigurnosnom politikom naziva se, u ovom slučaju, DMZ (eng.
Demilitarized Zone) zona. DMZ obično predstavlja mrežnu zonu koja nije niti dio
lokalne mreže niti dio Interneta. To je obično mreža između dviju mreža. Krajnji lijevi
usmjerivač predstavlja granicu zone i naziva se granični usmjerivač (eng. border
router). Slično razmatranje može se provesti i za zonu lokalne mreže odnosno LAN
zonu. LAN zona je mrežna zona s najvećim stupnjem sigurnosti te vrlo vjerojatno s
nametnutom sigurnosnom politikom. Promatrano iz perspektive osobe zadužene za
sigurnost u LAN zoni, desni usmjerivač predstavlja granični usmjerivač. Sigurnosne
politike nametnute su na usmjerivačima. Na lijevom usmjerivaču nameće se
Komponente i metode oblikovanja računalnih mreža 15
2.2. Vatrozidi
Vatrozid (eng. firewall) je uređaj koji, prema unaprijed definiranim pravilima,
dopušta ili zabranjuje uspostavu veze i protok mrežnog prometa. Slika 9 prikazuje
simbole za vatrozid. Lijevi simbol (simbol zida) koristi se kada se radi o vatrozidu
općenito. Desni simbol se obično koristi kada se radi o vatrozidu zastupniku (eng.
proxy firewall) o čemu će više riječi biti u narednim poglavljima.
Vatrozid se vrlo često postavlja između dva mrežna segmenta (odnosno dvije
mrežne zone) različitog stupnja povjerljivosti. Tipični primjer je postavljanje vatrozida
između Internet zone i zone lokalne računalne mreže što prikazuje Slika 10.
Drugi specijalni slučaj postavljanja vatrozida je između dviju mreža koje imaju
različiti stupanj povjerljivosti. Slika 12 prikazuje takav primjer. Prvi, lijevi vatrozid
odvaja Internet zonu od zone koja je u vlasništvu neke organizacije. Između dva
vatrozida nalazi se zona s poslužiteljima kojima je moguć pristup iz Interneta.
Konkretno, radi se o poslužiteljima web sadržaja te o poslužitelju elektroničke pošte.
Drugi, desni vatrozid odvaja tu zonu od zone s najvišim stupnjem povjerljivosti. U toj
zoni nalaze se poslužitelji s bazama podataka i unutarnji poslužitelj elektroničke
pošte. Ideja je sljedeća: poslužitelji koji se nalaze u zoni najviše povjerljivosti sadrže
podatke koji su kritični za poslovanje organizacije. Klijentima je direktni pristup
zabranjen. Podaci se s njih dohvaćaju isključivo pomoću poslužitelja koji se nalaze u
DMZ zoni. U slučaju napada, napadnuti mogu biti poslužitelji u DMZ zoni i vanjski
vatrozid. Razlog je jednostavan – jedino su oni vidljivi iz Internet zone. Ako
pretpostavimo da je napad uspješan, to će rezultirati gubitkom servisa odnosno
gubitkom dostupnosti, međutim povjerljivost i cjelovitost podataka je zadržana jer se
oni nalaze na drugim poslužiteljima. Ako postoji samo jedna zona s poslužiteljima i u
njoj se nalaze poslužitelji s bazama podataka, riskira se, pored gubitka dostupnosti i
gubitak cjelovitosti i povjerljivosti.
2
Vidljivi su samo po MAC adresama i to uređajima koji su neposredno s njima povezani.
3
Ovo je vrlo općeniti opis rada ovakvog tipa vatrozida. Za više informacija potrebno je pogledati
navedenu literaturu ili neku od Internet stranica.
Komponente i metode oblikovanja računalnih mreža 18
Valja posebno istaknuti da svojstvo nevidljivosti ovaj tip vatrozida čini izuzetno
otpornim na iskorištavanja i napade.
Prozirni vatrozid moguće je vrlo jednostavno izvesti uporabom bilo koje
distribucije operacijskog sustava GNU/Linux uz uporabu paketa ebtables
[http://ebtables.sourceforge.net, 20070304].
Podaci
Praćenje stanja TCP veze započinje tzv. mehanizmom trostrukog rukovanja (eng.
three-way handshake). Slika 18 prikazuje uspostavljanje TCP veze odnosno
mehanizam trostrukog rukovanja. U početnom trenutku poslužitelj je u stanju
osluškivanja. Klijent šalje inicijalni paket u kojem je postavljena zastavica SYN. U tom
trenutku klijent prelazi u stanje SYN_SENT. Poslužitelj po primitku paketa s
postavljenom SYN zastavicom prelazi u stanje SYN_RCVD i odgovara paketom u
kojem su istovremeno postavljene i zastavica SYN i zastavica ACK. Klijent po primitku
tog paketa prelazi iz stanja SYN_SENT u stanje ESTABLISHED pri čemu je, za njega,
veza uspostavljena. Odgovara paketom s postavljenom zastavicom ACK. Poslužitelj
po primitku tog paketa također prelazi u stanje ESTABLISHED. Vatrozid koji se nalazi
između klijenta i poslužitelja, nakon uspješno provedenog trostrukog rukovanja,
Komponente i metode oblikovanja računalnih mreža 21
podatke o uspostavljenoj TCP vezi smješta u svoju radnu memoriju. Naredne pakete,
koji pripadaju istoj vezi, propušta bez detaljnijeg pregleda uspoređujući neke od
osnovnih podataka s onima u radnoj memoriji. Veza se prekida ili istjekom
predefiniranog vremena ili dogovornim prekidom veze.
Osluškivanje
Slanje paketa s (LISTENING)
postavljenom
SYN zastavicom
(SYN_SENT) SYN
Primitak paketa
s postavljenom
SYN zastavicom
(SYN_RCVD)
SYN/ACK
Veza
uspostavljena
Klijent (ESTABLISHED) ACK Poslužitelj
Veza
uspostavljena
(ESTABLISHED)
Stanja Stanja
klijenta poslužitelja
podiže. Iako je princip rada ovakvih NIDS sustava jednostavan4, on pati od niza
nedostataka. Primjerice, mala modifikacija malicioznog sadržaja podataka u mrežnom
paketu rezultirat će uzorkom koji neće biti usporediv s uzorcima pohranjenim u bazi,
promet će biti klasificiran kao benigan te će biti propušten.
Nešto kompleksniji NIDS sustavi su oni koji se temelje na pregledu ponašanja
(eng. behaviour based) odnosno anomalija (eng. anomaly based). Princip rada oba
navedena sustava je vrlo sličan. U prvoj fazi sustav se podučava odnosno upoznaje s
normalnim mrežnim prometom. Sustav je zatim spreman za uporabu. Prilikom
očekivanog mrežnog prometa, sustav neće podizati alarm. Međutim, ako je promet
neočekivan, alarmira se zaduženo osoblje. Princip rada ovakvih NIDS sustava temelji
se na heuristici pa oni kao takvi pate od niza problema, a najčešće se radi o krivim
alarmiranjima.
Moderniji NIDS sustavi su hibridni, pokazuju odlike sustava temeljenih na
raspoznavanju uzoraka kao i onih temeljenih na prepoznavanju anomalija.
Prilikom ugradnje NIDS sustava u računalnu mrežu vrlo je važno pravilno
smjestiti senzore. Općenito, senzori se postavljaju u blizinu uređaja koji vrše
filtriranje prometa (usmjerivači, vatrozidi). Ako je na raspolaganju veći broj senzora,
tada se u svaki mrežni segment stavlja po jedan senzor. Ako je ne raspolaganju
ograničeni broj senzora, onda ih se postavlja barem na Internet segment te na
segment lokalne mreže u kojem se nalaze kritični podaci (primjerice, mreža odjela
prodaje).
Slika 23 prikazuje tipičnu mrežu neke organizacije. Mreža se sastoji od tri
segmenta: demilitarizirane zone, zone javnih servisa i mreže za računala korisnika.
Senzori su postavljeni u sve tri zone. Izlaz senzora povezan je putem preklopnika u
zasebni mrežni segment.
4
Vrlo je sličan principu rada programske podrške za zaštitu od malicioznog kôda.
Komponente i metode oblikovanja računalnih mreža 26
Slika 24, kao i prethodna slika, prikazuje postavljanje senzora u mrežu jedne
organizacije. Za razliku od organizacije čija je mreža prikazana na prethodnoj slici,
ovdje se radi o organizaciji koja se sastoji od lokalne mreže, poslovnica, a dozvoljava
se i udaljeni pristup putem modema za udaljeni pristup. Mreža se sastoji od nekoliko
segmenata koje, uglavnom, stvaraju vatrozidi. Gledano s lijeva na desno, prvi
vatrozid predstavlja vatrozid prema Internet segmentu. Postavljena su dva senzora,
jedan ispred, a drugi iza vatrozida. Uloga prvog senzora jest steći uvid u sav mrežni
promet koji s Interneta dopire do vatrozida. Drugi vatrozid reći će koji je to promet
kojeg je vatrozid propustio. Usporedbom zapisa ova dva senzora moguće je odrediti
učinkovitost kontrole odnosno, u ovom slučaju, vatrozida. Drugi vatrozid je vatrozid
prema modemima za udaljeni pristup. Jedan senzor nalazi se ispred vatrozida, dok je
drugi iza njega. Prvi će senzor pregledavati sav promet koji dolazi do vatrozida dok
će drugi pregledavati promet iza njega. Nešto specifičniji slučaj je treći vatrozid. On
predstavlja vezu između lokalne mreže i poslovnica. Pretpostavlja se da je broj
poslovnica veći pa senzori nisu postavljeni na svaku vezu prema poslovnici.
Postavljen je samo jedan senzor i to onaj iza vatrozida. Iako to nije prikazano, izlazi
svih senzora spojeni su u zajedničku točku (primjerice, preklopnik) koja predstavlja
zasebnu mrežu za upravljanje NIDS sondama.
Modemi za udaljeni
pristup
Internet Poslovnice
Telekomunikacijske
veze
Lokalna mreža
Slika 26 prikazuje NIPS sustav izveden kao integrirani NIDS sustav i vatrozid. U
ovom slučaju nije potrebno definirati zajedničku spojnu točku. Paketi s Internet zone
dolaze do uređaja, prvo se propuštaju kroz NIDS modul koji donosi odluku o tome
hoće li se paketi propustiti ili ne. Ako se propuštaju, vatrozid ih prosljeđuje u lokalnu
mrežu. U suprotnome paketi se odbijaju.
jednostavna: mrežni paketi koji se trebaju prenositi preko javne mreže umotavaju se5
u pakete javne mreže. Slika 27 prikazuje primjer VPN komunikacije. Pretpostavimo,
radi jednostavnosti, da je uspostavljena stalna VPN veza između lijeve i desne
lokalne mreže. Pretpostavimo, nadalje, da jedno računalo iz lijeve mreže šalje
podatke za ispis na pisač u desnoj mreži. Računalo šalje mrežne pakete prema
prospojniku za lokalnu mrežu6. Prospojnik prima pakete, analizira zaglavlje paketa i
na temelju odredišne adrese zaključuje da taj paket treba preusmjeriti do desne
mreže. Tada cijeli mrežni paket, dakle podatke u mrežnom paketu i zaglavlje paketa,
šifrira. Nakon prethodne operacije, prospojnik stvara drugi mrežni paket u kojem je
izvorišna adresa njegova, a odredišna adresa adresa prospojnika desne mreže. U taj
paket stavljaju se kriptirani podaci iz prethodnog koraka. Kada drugi prospojnik primi
paket, on ga dešifrira. Iz dešifriranih podataka stvara mrežni paket koji postavlja na
mrežu odnosno šalje do pisača. Ovo je vrlo bazičan opis VPN komunikacije, ali
predstavlja dovoljne temelje za daljnju razradu tematike.
VPN
VPN
5
Odnosno, njihov sadržaj smješta se u pakete javne mreže.
6
U ovom je slučaju prospojnik, vatrozid i uređaj za uspostavu VPN veze jedan uređaj.
Komponente i metode oblikovanja računalnih mreža 30
Aplikacijski sloj
(eng. Application)
Prezentacijski sloj
(eng. Presentation)
Sjednički sloj
(eng. Session)
Prijenosni sloj
(eng. Transport)
Mrežni sloj
(eng. Network)
Podatkovni sloj
(eng. Data link)
Postoji nekoliko vrsta VPN veza obzirom na sloj OSI/ISO 7-segmentnog modela
na kojem se uspostavlja veza. Tipično se to radi na jednom od navedenih slojeva:
Komponente i metode oblikovanja računalnih mreža 31
7
To se može učiniti na dva načina. Ili modifikacijom postojeće programske podrške ili tzv. metodom
tuneliranja mrežnog prometa.
Komponente i metode oblikovanja računalnih mreža 32
8
Mrežni vatrozidi sprječavaju neautorizirani pristup cijeloj mreži.
Komponente i metode oblikovanja računalnih mreža 34
Korisnik može dozvoliti pristup ili vezu, međutim, da bi razumio o čemu se radi,
odnosno dobro protumačio alarme koje podiže vatrozid potrebno je obučavanje.
Posljednja komponenta koja će biti dotaknuta u sklopu ovog dijela teksta jest
sustav za detekciju upada u lokalno računalo (eng. Host Intrusion Detection System,
HIDS u nastavku teksta). Uloga te komponente analogna je ulozi NIDS sustava
opisanog u poglavlju 2.3.1 na strani 24. HIDS sustavi nadgledaju mrežni promet koji
dolazi do i odlazi od lokalnog računala. Ako se radi o malicioznom prometu, podignut
će alarm. Valja istaknuti da oni, u nekim slučajevima, imaju uvid u šifrirani promet,
ovisno o tome šifrira li se promet prije provjere ili nakon provjere prometa HIDS
sustavom. Pored nadgledanja mrežnog prometa, HIDS sustavi nadgledaju integritet
datotečnog sustava, datoteke sa zapisima (eng. log files) te aktivnosti korisnika.
Nadgledanjem integriteta u mogućnosti su detektirati i najmanje promjene u
datotekama i time moguću prijetnju upada. U datotekama sa zapisima mogu pronaći
uzorke neautoriziranog ili drugog nedopuštenog ponašanja mrežnih i lokalnih servisa.
Slično razmatranje vrijedi i za nadgledanje aktivnosti korisnika.
9
U Europi je najčešće slučaj da su i linija i krajnji usmjerivač u vlasništvu ISP-a. U SAD je situacija
nešto drugačija. U ISP-ovom vlasništvu je samo veza dok je korisnik dužan sam dobaviti i podesiti
usmjerivač za spajanje. U prikazanom bi slučaju to značilo da korisnik doslovno dobije komad žice te
je za ostalo zadužen sam.
Primjeri dizajna sigurnih računalnih mreža 38
10
Kućne mreže su tipično male i ne nude mreže s javnim servisima, pa se u DMZ zonu, ako ona uopće
postoji, ne postavljaju dodatna računala. Primjeri s računalima u DMZ zoni bit će prikazani u nastavku.
Primjeri dizajna sigurnih računalnih mreža 39
Slika 37 prikazuje još jednu korporacijsku mrežu bez javnih servisa, no za razliku
od prethodne, ovdje se pristup Internetu ostvaruje preko stalne veze s fiksnom IP
adresom. Dodatno je postavljen i vatrozid na kojem su postavljena takva pravila da
ne dopušta pristup iz Internet zone u lokalnu zonu. Vatrozid može biti bilo kojeg tipa,
no presudni kriterij za izbor je, obzirom na veličinu mreže, cijena.
Slika 37: Primjer korporacijske mreže bez javnih servisa sa stalnom vezom
Primjeri dizajna sigurnih računalnih mreža 40
Slika 38 prikazuje još jedan primjer ovakvog tipa mreže, međutim, ovog puta
konkretni. Radi se o računalnoj mreži postavljenoj u poslovnici jedne turističke
zajednice. Poslovanje u turističkoj zajednici temelji se na računalima (rezervacije
karata, hotela, itd.) te je zbog toga važno da svaki zaposlenik posjeduje računalo.
Pored osobnih računala, važno je imati pisače te poslužitelje. Na poslužiteljima se
nalaze baze s podacima korisnika te već sklopljeni ugovori i ostali dokumenti.
Poslovnica, nadalje, želi omogućiti svojim posjetiteljima pregled Internet stranica
odredišnih lokacija, hotela, znamenitosti, itd.
ADSL
usmjerivač Zona s računalima
za javno korištenje
Internet
ADSL veza
Preklopnik
Vatrozid
Zona s računalima
zaposlenika
Sve mrežne uređaje koji se nalaze u poslovnici moguće je povezati putem jednog
preklopnika, no zbog osiguranja sadržaja koji se nalazi na poslužiteljima i računalima
zaposlenika potrebno je razdvojiti računala za javno korištenje od ostalih. To se može
učiniti ili putem dva preklopnika i usmjerivača ili na način kako je izvedeno u
primjeru, podešavanjem virtualnih mrežnih segmenata na preklopniku. Virtualni
mrežni segmenti i IEEE 802.1Q mehanizam opisan je u poglavlju 2.1.6 na stranici 12.
Važno je još napomenuti da je potrebno ispravno podesiti vatrozid. U prvom redu
potrebno je zabraniti pristup iz Internet zone iz očitih razloga. Zatim je potrebno
zabraniti pristup iz zone s računalima posjetitelja u zonu s računalima zaposlenika.
Na kraju, kako se ne bi zlouporabila računala za posjetitelje, na vatrozidu je potrebno
definirati takva pravila da posjetitelji mogu pristupiti samo Internet stranicama s
provjerenim sadržajem.
Na samom kraju ovog dijela zgodno je napomenuti da se u praksi vrlo često
nailazi na slučaj kada vlasnici ovakvog tipa mreža iznajmljuju javne servise.
Primjerice, iznajmljuje se servis web sadržaja i servis elektroničke pošte. Fizički se
poslužitelji s tim servisima nalaze izvan lokalne mreže pa taj slučaj nije razmatran.
Primjeri dizajna sigurnih računalnih mreža 41
U gornjem tekstu nije rečeno o kojim se tipovima vatrozida radi. U ovom slučaju
je to gotovo nebitno, međutim bilo bi dobro da barem unutarnji vatrozid ima
mogućnost praćenja stanja veze. Vanjski vatrozid može biti izveden kao prozirni
vatrozid (pri čemu bi sva računala u DMZ zoni poprimila javne IP adrese), kao filtar
mrežnih paketa ili kao vatrozid s praćenjem stanja veze. Uputno je, nadalje, da
izabrana rješenja za vatrozide budu od različitih proizvođača. Time se postiže nešto
veća sigurnost jer se smanjuje vjerojatnost da oba vatrozida imaju istu
novootkrivenu ranjivost.
Slika 40 prikazuje funkcionalno istu mrežu, no umjesto dva vatrozida koristi se
jedan. Ovime se izbjegava nabavka dva heterogena sustava, a samim time se
pojeftinjuje rješenje i pojednostavnjuje kasnije održavanje. Treba imati na umu,
međutim, da ovakav vatrozid mora znati barem osnove usmjeravanja mrežnog
prometa11 što neka tehnička rješenja ne podržavaju.
Vanjski Vanjski
imenički poslužitelj
poslužitelji web sadržaja
Usmjerivač
Stalna veza
Internet s fiksnom
IP adresom
Poslužitelji
Datotečni s bazom
Vatrozid poslužitelji podataka
Zastupnik
Zona s računalima i
poslužiteljima zaposlenika
11
Spojen je na tri mreže pa pored uloge vatrozida ima i ulogu usmjerivača.
Primjeri dizajna sigurnih računalnih mreža 44
Nadgledna stanica
Vatrozid
Usmjerivač
za
ve
a om
taln ksn som
S f i re
s ad
IP
Poslužitelji s
Poslužitelj bazama podataka
Internet Poslužitelj web sadržaja
elektroničke
pošte
St
a
s ln
IP fiks a ve Vanjski vatrozid
ad no za
re m
so
m
Usmjerivač
Unutarnji vatrozid
Poslužitelji
VPN web sadržaja Poslužitelji s
Klopka bazama podataka
IDS senzor IDS senzor IDS senzor IDS senzor IDS senzor
Nadgledna stanica
U gornjem dijelu mreže nalaze se računala zaposlenika. Vatrozid dijeli mrežu u tri
zone: Internet zonu, zonu za javne servise i zonu s računalima i poslužiteljima. U zoni
za javne servise nalazi se poslužitelj elektroničke pošte. Princip i način njegova rada
opisan je u gornjem tekstu. Zonu s računalima i poslužiteljima nije potrebno dodatno
objašnjavati. IDS sustav u gornjem dijelu mreže sastoji se od dva IDS senzora i
nadgledne stanice. IDS senzori spojeni su ispred i iza vatrozida kako bi se moglo
Primjeri dizajna sigurnih računalnih mreža 45
dobiti uvid u eventualne prijetnje. Način rada te način spajanja IDS sustava
objašnjen je u poglavlju 2.3.1 na stranici 24.
Donji dio slike predstavlja mrežu s poslužiteljima sadržaja. Budući da se
korporacija, čija se mreža analizira, bavi izradom, održavanjem i udomljavanjem web
sadržaja za klijente, ne smije se dopustiti niti najmanji ispad ovog dijela mreže. Ona
mora raditi bez smetnji i konstantno. Upravo je to razlog zbog kojeg je većina
sustava zalihosna. Kako je veza na Internet te usmjerivač u vlasništvu pružatelja
Internet usluga, pretpostavlja se da su te komponente također zalihosne iako to nije
eksplicitno ucrtano. Na usmjerivač je spojen zalihosni preklopnik čija je uloga
omogućiti spajanje vatrozida, VPN uređaja i klopke istovremeno.
Uloga vatrozida je jasna. Kako vanjski vatrozid propušta ili zabranjuje pristup
kritičnim poslužiteljima s web sadržajem te predstavlja prvu crtu obrane spomenuti
vatrozidi su takvi da imaju mogućnost pregledavanja mrežnog prometa sve do
najvišeg sloja OSI/ISO 7-segmentnog modela. Radi se, dakle, o vatrozidima
zastupnicima.
VPN uređaji služe za sigurno spajanje zaposlenika u mrežu s poslužiteljima.
Zaposlenici stvaraju i održavaju web sadržaj na svojim računalima i razvojnim
poslužiteljima koji su u sklopu gornje mreže na slici. Kada je razvoj gotov oni, iz
unutarnje mreže, uspostavljaju vezu s VPN uređajem. Ukoliko je autentikacija i
autorizacija uspješna, vatrozid ih propušta do web poslužitelja u štićenoj zoni.
Uloga i princip rada klopke opisani su u poglavlju 2.6 na stranici 34. Zadaća tog
sustava jest predstaviti se potencijalnom napadaču kao slaba točka koju će napadač
iskoristiti. Za to vrijeme administratori sustava prikupit će informacije o napadaču i
tipu napada posredno iz sustava klopke te neposredno iz IDS sustava. IDS senzori
postavljeni su ispred i iza klopke kako bi se mogle prikupiti informacije o napadu
usmjerenom prema klopci kao i onom prema drugim dijelovima mreže.
Sustav unutarnjih i sustav vanjskih vatrozida čine granice zone s poslužiteljima
web sadržaja. Vatrozidi su povezani putem zalihosnog preklopnika. Na preklopnik su,
pored vatrozida, spojeni svi poslužitelji web sadržaja. IDS senzori spojeni su i u ovaj
segment. Jedan je IDS senzor spojen na mrežu neposredno nakon vanjskog
vatrozida, dok je drugi spojen neposredno ispred unutarnjeg vatrozida. Uloga je
prvoga prikupiti informacije o prometu koji prolazi kroz vanjski vatrozid te je
usmjeren prema poslužiteljima web sadržaja. Uloga drugog vatrozida jest prikupiti
iste informacije za promet koji je usmjeren prema unutarnjem vatrozidu. U pravilu bi
se trebalo raditi o mrežnom prometu kojeg stvaraju poslužitelji web sadržaja, a
usmjeren je prema poslužiteljima s bazama podataka. Ako to nije slučaj, taj IDS
senzor može podignuti alarm.
Uloga unutarnjih vatrozida slična je ulozi vanjskih. Ono što za zonu s
poslužiteljima web sadržaja predstavlja Internet zona, to za zonu s poslužiteljima
baza podataka predstavlja zona s poslužiteljima web sadržaja. Može se reći da je
zona s poslužiteljima baza podataka najkritičnija zona pa se zato ona nalazi iza još
jednog sustava vatrozida. Po prethodnom principu i ovdje se IDS senzor nalazi
spojen neposredno iza vatrozida. Uloga tog IDS senzora u kombinaciji s onim
spojenim ispred vatrozida jest dobiti uvid u to koliko efikasno radi unutarnji vatrozid
kao sigurnosna kontrola. Uloga unutarnjeg vatrozida jest dopustiti pristup točno
jednom poslužitelju s bazom podataka od točno određenog poslužitelja web sadržaja
u zoni koja se nalazi ispred i to po točno određenom protokolu. Kako se radi o vrlo
Primjeri dizajna sigurnih računalnih mreža 46
kritičnim podacima (primjerice, u tim bazama podataka mogu se nalaziti razni cjenici
i druge vrlo kritične informacije) i ovaj vatrozid ima mogućnost pregledavanja
protokola na najvišem sloju OSI/ISO modela. Drugim riječima, i ovo je vatrozid
zastupnik. Donji dio mreže završava zalihosnim preklopnikom i poslužiteljima s
bazama podataka.
Važno je primijetiti da, iako su i vanjski i unutarnji vatrozidi zapravo vatrozidi
zastupnici, postoje razlike. Vanjski znaju tumačiti protokol kojim komuniciraju
preglednik web sadržaja i web poslužitelj. Unutarnji, s druge strane, tumači protokol
kojim komuniciraju web poslužitelji s bazama podataka (primjerice, Oracle SQLNet).
12
Primjerice, maliciozne programe koji prisluškuju rad korisnika te na Internet šalju korisnička imena,
lozinke, brojeve računa, PINove, itd.
13
RADIUS poslužitelj može se promatrati kao međusloj prema stvarnom mehanizmu autorizacije.
Stvarni mehanizam autorizacije može biti neki vanjski servis (kako je zapravo izvedeno u ovoj mreži) ili
lokalni servis (primjerice, autentikacija pomoću baze podataka).
Primjeri dizajna sigurnih računalnih mreža 49