Dizaj Sigurnih Racunalnih Mreza PDF

SVEUČILIŠTE U ZAGREBU
FAKULTET ELEKTROTEHNIKE I RAČUNARSTVA
Dorian Ivančić
DIZAJN SIGURNIH RAČUNALNIH MREŽA
SEMINAR IZ PREDMETA
SIGURNOST RAČUNALNIH SUSTAVA
Zagreb, 2007.
Sadržaj
SADRŽAJ .............................................................................................................................................................. 2
POPIS SLIKA........................................................................................................................................................ 3
1. UVOD ................................................................................................................................................................. 5
1.1. ORGANIZACIJA RADA.................................................................................................................................... 6
2. KOMPONENTE I METODE OBLIKOVANJA RAČUNALNIH MREŽA ................................................ 7
2.1. SEGMENTACIJA MREŽE ................................................................................................................................. 7
2.1.1. Mostovi................................................................................................................................................. 8
2.1.2. Preklopnici........................................................................................................................................... 8
2.1.3. Usmjerivači .......................................................................................................................................... 9
2.1.4. Prospojnici......................................................................................................................................... 10
2.1.5. Mrežni segmenti ................................................................................................................................. 10
2.1.6. Virtualni mrežni segmenti .................................................................................................................. 12
2.1.7. Mrežne zone ....................................................................................................................................... 14
2.2. VATROZIDI ................................................................................................................................................. 15
2.2.1. Prozirni vatrozid ................................................................................................................................ 17
2.2.2. Filtar paketa ...................................................................................................................................... 18
2.2.3. Vatrozid s praćenjem stanja veze....................................................................................................... 20
2.2.4. Vatrozid zastupnik.............................................................................................................................. 22
2.3. DETEKCIJA I PREVENCIJA UPADA IZ MREŽE ................................................................................................. 24
2.3.1. Detekcija upada iz mreže ................................................................................................................... 24
2.3.2. Prevencija upada iz mreže ................................................................................................................. 27
2.4. VIRTUALNE PRIVATNE MREŽE .................................................................................................................... 28
2.5. OČVRŠĆIVANJE LOKALNOG RAČUNALNOG SUSTAVA .................................................................................. 31
2.5.1. Obrambene komponente lokalnog računalnog sustava ..................................................................... 33
2.6. KLOPKE NAMIJENJENE NAPADAČIMA .......................................................................................................... 34
3. PRIMJERI DIZAJNA SIGURNIH RAČUNALNIH MREŽA ................................................................... 37
3.1. KUĆNA RAČUNALNA MREŽA ....................................................................................................................... 37
3.2. KORPORACIJSKA MREŽA BEZ JAVNIH SERVISA ............................................................................................ 39
3.3. KORPORACIJSKA MREŽA S JAVNIM SERVISIMA............................................................................................ 41
3.4. PRIMJER DOBRO POSTAVLJENE KORPORACIJSKE MREŽE ............................................................................. 46
4. ZAKLJUČAK .................................................................................................................................................. 50
LITERATURA .................................................................................................................................................... 51
DODACI............................................................................................................................................................... 52
DODATAK A: POPIS POJMOVA ........................................................................................................................... 52
DODATAK B: POPIS KRATICA ............................................................................................................................ 54
Popis slika 3
Popis slika
Slika 1: Simbol za most......................................................................................... 8
Slika 2: Simbol za preklopnik ................................................................................. 9
Slika 3: Simbol za usmjerivač ................................................................................ 9
Slika 4: OSI/ISO 7-segmentni model.................................................................... 10
Slika 5: Primjer segmentirane mreže.................................................................... 11
Slika 6: Segmentacija mreže izvođenjem posebne infrastrukture ........................... 13
Slika 7: Segmentacije mreže uz 802.1Q ............................................................... 13
Slika 8: Primjer mrežnih zona .............................................................................. 14
Slika 9: Simboli za vatrozid.................................................................................. 15
Slika 10: Vatrozid između Internet zone i lokalne računalne mreže ........................ 15
Slika 11: Vatrozid između dviju nepovjerljivih mreža ............................................. 16
Slika 12: Vatrozid između dviju mreža različitog stupnja povjerljivosti .................... 16
Slika 13: Slojevi povezanosti prozirnog vatrozida s ostalim mrežnim uređajima....... 17
Slika 14: Slojevi povezanosti filtra paketa s ostalim mrežnim uređajima ................. 18
Slika 15: Tijek FTP veze ...................................................................................... 19
Slika 16: Tijek pasivne FTP veze .......................................................................... 19
Slika 17: Zaglavlje TCP paketa............................................................................. 20
Slika 18: Mehanizam trostrukog rukovanja ........................................................... 21
Slika 19: Slojevi povezanosti vatrozida zastupnika s ostalim mrežnim uređajima ..... 22
Slika 20: Vatrozid zastupnik u ulozi prospojnika .................................................... 22
Slika 21: Vatrozid zastupnik kao zasebni poslužitelj............................................... 23
Slika 22: Reverzni zastupnik ................................................................................ 23
Slika 23: Postavljanje senzora u tipičnu mrežu neke organizacije ........................... 25
Slika 24: Postavljanje senzora u mrežu raspodijeljene organizacije ........................ 26
Slika 25: NIPS kao kombinacija NIDS sustava i vatrozida ...................................... 27
Slika 26: NIPS kao integrirani NIDS sustav i vatrozid............................................. 28
Slika 27: Primjer VPN komunikacije...................................................................... 29
Slika 28: Primjer VPN veze od domaćina do domaćina .......................................... 29
Slika 29: Primjer VPN veze od domaćina do prospojnika........................................ 30
Slika 30: Slojevi na kojima je moguće uspostaviti VPN vezu .................................. 30
Slika 31: Slojeviti pogled na osiguranje lokalnih računalnih sustava ....................... 32
Slika 32: Primjer postavljanja klopke u mrežu omanje organizacije ........................ 35
Slika 33: Primjer postavljanja klope u fakultetsku mrežu ....................................... 35
Slika 34: Primjer kućne mreže ............................................................................. 37
Slika 35: Primjer kućne mreže s ugrađenim vatrozidom......................................... 38
Popis slika 4
Slika 36: Primjer korporacijske mreže bez javnih servisa ....................................... 39

Slika 37: Primjer korporacijske mreže bez javnih servisa sa stalnom vezom............ 39
Slika 38: Primjer mreže poslovnice turističke agencije ........................................... 40
Slika 39: Primjer korporacijske mreže s javnim servisima (dva vatrozida) ............... 41
Slika 40: Primjer korporacijske mreže s javnim servisima (jedan vatrozid) .............. 43
Slika 41: Primjer stvarne mreže s javnim servisima ............................................... 44
Slika 43: Primjer dobro postavljene korporacijske mreže ....................................... 47
Uvod 5
1. Uvod
U današnje vrijeme gotovo da i ne postoje tvrtke koje u svom poslovanju ne
koriste računala. Najčešće se radi o više računala spojenih međusobno tako da tvore
računalnu mrežu. U prvotnom obliku računalne mreže upotrebljavale su se za
razmjenu informacija između radnih stanica. U današnje vrijeme pričamo o
distribuiranim aplikacijama i bazama podataka koje su, logički gledano, pokrenute na
računalnoj mreži. Kaže se da mreža pokreće servise i da se podaci nalaze na mreži.
Fizički se aplikacije i baze podataka nalaze instalirane na više poslužitelja koji se ne
nalaze nužno na istoj lokaciji. Računalne mreže omogućuju brz dohvat informacija, a
time i modernizaciju poslovanja te daljnji tehnološki napredak. Može se reći da su
računalne mreže okosnica svakog modernog poslovanja.
Međutim kako računalne mreže donose niz poboljšanja poslovanju one isto tako
uvode i niz rizika u poslovanje. Slično, primjerice, kao i strojevi za masovnu serijsku
izradu nekih artikala. Dok masovna serijska izrada ubrzava i pojeftinjuje proizvodnju,
jedna banalna greška pri, primjerice, radu stroja može dovesti do niza proizvedenih
artikala s greškom. To u konačnici znači veliki gubitak. Rizici s kojima se korporacije
susreću pri uvođenju i korištenju računalnih mreža u svojem poslovanju nisu ovakve
prirode. Uglavnom su orijentirani na prekid poslovanja, gubitak podataka, curenje
informacija, gubitak ugleda i slično, no obzirom na to kakav će utjecaj imati na
korporaciju odnosno kakav će gubitak stvoriti zasigurno su i više nego mjerljivi s
rizikom opisanim u gornjem primjeru i sličnim.
Kako računalne mreže i njihovi korisnici ne bi proizvodili gubitke za organizaciju,
potrebno ih je osigurati. Osiguranje računalnih mreža radi se počevši od faze idejnog
dizajna računalne mreže, preko projekta pa sve do implementacije. Nadalje, često se
smatra i griješi kada se misli da je proces osiguranja jednokratni postupak.
Osiguranje mreže radi se, kako je gore navedeno, u svim fazama razvoja, no i
tijekom cijelog života računalne mreže. Mrežu je potrebno konstantno nadgledati
kako bi se na vrijeme uočila ranjivost te uklonila potencijalna uska grla. Isto vrijedi i
za potencijalne slabosti i ranjivosti mreže. Kako se ranjivosti pojedinih mrežnih
uređaja otkrivaju gotovo svakodnevno, važno je i to imati u vidu. Potrebno je
nadzirati sve uređaje i na vrijeme se zaštiti od mogućih napada internih i vanjskih
korisnika.
Ovaj rad bavi se dizajnom sigurnih računalnih mreža. Cilj je čitatelja upoznati i
prikazati mu način na koji je uputno slagati već standardne mrežne uređaje
(primjerice, usmjerivače, vatrozide i ostale) kako bi se kao rezultat dobila računalna
Uvod 6
mreža koja je odgovarajuća za održavanje poslovnih procesa odnosno osiguranje

poslovanja neke organizacije.
Razumijevanje potreba korisnika te rada računalnih mreža ključan je faktor za
uspješnost izrade adekvatne mrežne arhitekture i njenog dizajna. Kako su izrada
arhitekture i dizajn prvi korak pri projektiranju mreže, predstavljajući temelje daljnjih
aktivnosti, izuzetno je važno donijeti prave zaključke i ispravno postupiti u navedenim
koracima.
Cilj ovog rada je, upravo to, prikazati arhitektima i dizajnerima računalnih mreža
prave korake te ukazati na potencijalne probleme i rješenja pri izradi sigurnih
računalnih mreža.
1.1. Organizacija rada

Ovaj rad organiziran je u četiri poglavlja.
Nakon uvoda slijedi poglavlje koje govori o komponentama i metodama
oblikovanja računalnih mreža. U tom je poglavlju opisana uloga i način rada svake
mrežne komponente zasebno. Opisuju se sljedeće tematike: segmentacija mreže,
vatrozidi, detekcija i prevencija upada iz mreže, virtualne privatne mreže,
očvršćivanje lokalnog računalnog sustava te klopke. Svaku od ovih komponenti je
važno razumjeti jer se pomoću njih grade mreže koje su prikazane u narednom
poglavlju.
Treće poglavlje prikazuje primjere dizajna sigurnih računalnih mreža. Poglavlje
počinje jednostavnijim mrežama, koje se tijekom istoga nadograđuju, a završava s
dva kompleksnija primjera. Prvo se opisuje najjednostavniju računalnu mrežu, a to je
kućna računalna mreža. Potom, mreža se dograđuje kako bi izrasla u korporacijsku
mrežu bez javnih servisa. Treći dio ovog poglavlja posvećen je korporacijskim
mrežama s javnim servisima. Prikazan je primjer dvije mreže te konkretna mreža
jedne korporacije. Posljednja prikazana računalna mreža u ovom poglavlju može se
iskoristiti kao predložak pri građenju nekih budućih mreža jer vrlo općenito građena.
Posljednje poglavlje sadrži zaključak.
Na kraju rada nalazi se popis literature i dodaci. Prvi dodatak je popis pojmova.
Svaki je uporabljeni pojam napisan u originalu, na engleskom jeziku, a pored njega
se nalazi prijevod na hrvatski. Drugi dodatak je popis kratica.
2. Komponente i metode oblikovanja računalnih
mreža
U ovom poglavlju dan je pregled najčešće upotrebljavanih metoda i komponenti
kojima se oblikuje sigurna računalna mreža odnosno kojima se povećava sigurnost
postojeće mreže.
Pri samom početku poglavlja opisan je pojam segmentacije računalne mreže i
pojašnjene su najčešće upotrebljavane metode i tehnike kojima se računalna mreža
segmentira. Drugi dio ovog poglavlja tiče se vatrozida. Opisan je pojam vatrozida i
njegova funkcija. Tipovi vatrozida, njihove prednosti, nedostaci i funkcije opisani su u
nastavku. Treći dio poglavlja sadrži opise metoda i tehnika detekcije i prevencije
upada u računalnu mrežu. Virtualne privatne mreže opisane su u sljedećem dijelu,
dok se peti dio ovog poglavlja bavi tematikom očvršćivanja lokalnog računalnog
sustava. Obrambene komponente lokalnog računalnog sustava objašnjene su u
nastavku. Poglavlje završava opisom klopki namijenjenih napadačima.
2.1. Segmentacija mreže

Nerijetko je slučaj da moderne računalne mreže broje i nekoliko tisuća mrežnih
uređaja spojenih na nju samu. Tako veliku mrežu vrlo je nepraktično, a gotovo i
nemoguće održavati i kontrolirati. Uspostaviti i održavati sigurnost cjelokupne mreže,
upotrebljavanih komunikacijskih protokola, kao i uređaja spojenih na mrežu izazivalo
bi iznimne napore, bilo bi vrlo teško i nepraktično. Zbog toga se pribjegava tehnici
nazvanoj segmentacija mreže.
Segmentacija mreže, kada se radi o računalnoj mreži, predstavlja razdvajanje
računalne mreže u podmreže tako da se svaka podmreža može promatrati zasebno
kao zasebni mrežni segment. Prednosti razdvajanja računalne mreže su višestruki, a
najčešće se radi o postizanju boljih performansi (primjerice, smanjenjem zagušenja) i
poboljšanoj sigurnosti (primjerice, postavljanjem dodatnih pravila na dio mreže u
kojem se nalaze kritični sustavi) [Wikipedia, 2007-02-21].
Segmentacija mreže ostvaruje se pomoću uređaja za segmentiranje. Najčešće se
radi o mostovima (eng. bridge), preklopnicima (eng. switch) i usmjerivačima (eng.
router).
Komponente i metode oblikovanja računalnih mreža 8
2.1.1. Mostovi
Mostovi (eng. bridge) u terminologiji računalne mreže predstavljaju uređaj koji
predstavlja spoj između dva dijela iste mreže. Mostovi u današnje vrijeme kada se
najčešće radi o optičkim mrežama i UTP mrežama udaljenosti manje od 100m nisu
popularni.
Posebna vrsta mostova, repetitori se koriste kada je potrebno povezati dva
uređaja ili dijela mreže koji su udaljeni više od maksimalne dozvoljene udaljenosti za
medij kojim putuje signal. Primjerice, kada se radi o spajanju dva dijela mreže
udaljena 150m UTP medijem čije je ograničenje 100m. Repetiror se tada spaja
približno u sredinu između dva dijela mreže. Kada repetitor primi signal iz jednog
dijela mreže, on ga pojača i pošalje u drugi dio mreže.
Valja naglasiti da, iako mrežu fizički možemo razdvojiti mostovima odnosno
repetitorima (segmentiramo je na prvom sloju OSI/ISO 7-segmentnog modela),
logički to ostaje ista mreža. I mostovi i repetitori ponašaju se kao medij tj. nemaju
mogućnosti čitanja i korištenja podataka koji se nalaze u mrežnim paketima kako bi
dalje usmjerili mrežni paket.
Slika 1 prikazuje simbol za most koji se upotrebljava pri crtanju računalnih
mreža.
Slika 1: Simbol za most
2.1.2. Preklopnici
Preklopnici (eng. switch) su uređaji koji se koriste za spajanje više računala u
jednu centralnu točku. Ako računala i mrežni uređaji predstavljaju vrhove zvijezde,
preklopnik predstavlja njenu sredinu. Preklopnici su uređaji koji mrežu segmentiraju
na drugom sloju OSI/ISO 7-segmentnog modela. Uloga preklopnika je, zapravo,
stvaranje posebnog segmenta za svaki par uređaja koji međusobno komunicira.
Svoju zadaću preklopnici ostvaruju tako da pamte MAC adrese mrežnih uređaja.
Kada se uređaj prvi put spoji na preklopnik, te kada pokuša uspostaviti inicijalnu
konekciju s nekim drugim uređajem, preklopnik zapamti njegovu MAC adresu i
poveže je s vratima (eng. port) na koje je uređaj spojen. Pri svakom sljedećem
mrežnom paketu koji pristiže za taj uređaj, preklopnik pogleda u zaglavlje mrežnog
paketa, identificira odredišnu MAC adresu te paket šalje na vrata na koje je spojen
uređaj s tom MAC adresom.
Vrlo jednostavna ideja rada preklopnika rješava problem emitiranja (eng.

broadcasting) mrežnih paketa. Nadalje, stvaranjem posebnog segmenta za svaku
komunikaciju mreža se osigurava od prisluškivanja s treće strane.
Slika 2 prikazuje simbol za preklopnik.
Slika 2: Simbol za preklopnik
2.1.3. Usmjerivači
Usmjerivači (eng. router) imaju sličnu ulogu kao i preklopnici. Dok preklopnici
služe za povezivanje više mrežnih uređaja, usmjerivači povezuju više mreža odnosno
podmreža. Nadalje, preklopnici stvaraju segmente na razini komunikacije između dva
mrežna uređaja, a usmjerivači na razini mreže. To znači da usmjerivači segmentiraju
mrežu na trećem sloju OSI/ISO 7-segmentnog modela.
Uloga usmjerivača je prenošenje paketa iz jedne mreže u drugu. Usmjerivači
pregledavaju zaglavlja mrežnih paketa te u ovisnosti o odredišnoj IP adresi paket
šalju u odgovarajuću mrežu.
Osnovna uloga usmjerivača opisana je u prethodnom tekstu. Međutim, pored
samog prenošenja paketa pametniji usmjerivači mogu se koristiti i u neke druge
svrhe. Primjerice, mnogi programski i sklopovski usmjerivači imaju mogućnost
filtriranja prometa na osnovi izvorišne i/ili odredišne adrese. Usmjerivači isto tako
mogu filtrirati i tip prometa na bazi izvorišnih odnosno odredišnih vrata (eng.
source/destination port). Proizvođači naprednijih usmjerivača u njih vrlo često
ugrađuju i logiku kojom oni mogu poslužiti i kao pristupne točke računalnoj mreži
odnosno kao NAS (eng. Network Access Server). Pored uloge pristupnih točaka
nerijedak je slučaj kada ih nalazimo kao poslužitelje VPN (eng. Virtual Private
Network) veza. Usmjerivači u sebi vrlo često imaju ugrađene i druge mogućnosti,
međutim detaljnije razmatranje usmjerivača izlazi iz okvira ovog seminara.
Slika 3 prikazuje najčešće upotrebljavani simbol za usmjerivač pri predstavljanju
računalnih mreža.
Slika 3: Simbol za usmjerivač

2.1.4. Prospojnici
Prospojnik (eng. gateway) je ustvari usmjerivač gledan sa stajališta mrežnog
uređaja. Mrežni uređaj (primjerice, računalo, pisač i slično) nalazi se u jednoj mreži.
Dodijeljena mu je IP adresa i mrežna maska. Taj uređaj na temelju sebi dodijeljene
IP adrese i mrežne maske može započeti komunikaciju sa svim uređajima koji se
nalaze u istoj mreži. Isti uređaj, međutim, ne može komunicirati s uređajima van
njegove mreže jer ne zna kojim putem uspostaviti vezu s tim uređajem. Uloga
prospojnika jest pružiti uslugu usmjeravanja mrežnih paketa do uređaja koji se
nalaze na nekoj različitoj mreži od postojeće.
Vrlo često govorimo o dva tipa prospojnika: uobičajenom prospojniku (eng.
default gateway) i prospojniku za zadanu mrežu. Prospojnik za zadanu mrežu zna
kako uspostaviti vezu s nekim drugim uređajem iz te mreže. Uobičajeni prospojnik
zna kako uspostaviti vezu sa svim uređajima koji nisu u lokalnoj mreži.
2.1.5. Mrežni segmenti

Kako je već prije spomenuto u samom uvodu ovog poglavlja o segmentaciji
mreža, mrežu se segmentira iz više razloga. Najčešće se to radi zbog postizanja
većeg stupnja sigurnosti, radi boljih performansi te lakšeg održavanja. Kako se ovaj
seminar bavi isključivo tematikom sigurnosti, ostala dva aspekta neće biti detaljnije
opisivani. U gornjem su tekstu opisane osnove mrežnih uređaja koji omogućuju
segmentiranje. Segmentiranje mreže se vrši uglavnom na donja tri sloja po OSI/ISO
7-segmentnom modelu [S. Harris, 2005]. Slika 4 prikazuje 7-segmentni OSI/ISO
model. Pored modela prikazani su gore opisani uređaji kojima se vrši segmentacija.
Slika 4: OSI/ISO 7-segmentni model
U okviru sigurnosti računalnih mreža, segmentacija na najnižem, fizičkom sloju je

ustvari transparentna.
Odvajanje komunikacijskih puteva uređaja koji su povezani na isti preklopnik vrši

se na drugom sloju OSI/ISO modela. Takvom se segmentacijom komunikacijski kanal
osigurava od prisluškivanja (odnosno neovlaštenog čitanja) te od smetnji (odnosno
neovlaštenog modificiranja). Adresiranje mrežnih uređaja na ovom sloju vrši se MAC
adresama. Valja naglasiti da preklopnici u pravilu nemaju mogućnosti filtriranja pa se
na njima ne mogu spriječiti eventualni napadi koje bi iniciralo jedno ili više računala
vezano na taj preklopnik prema preostalim računalima. Važno je znati da postoji
definirana MAC adresa i to ff:ff:ff:ff:ff:ff koja se koristi za emitiranje (eng.
broadcasting) poruka svim uređajima.
Na trećem, mrežnom sloju OSI/ISO modela, uveden je pojam IP adresa. Svaki
mrežni uređaj mora imati barem jednu jedinstvenu IP adresu kako bi mogao
sudjelovati u mrežnoj komunikaciji. Na ovom sloju rade usmjerivači i prospojnici. Tim
se uređajima ujedno segmentira mreža u onom općenitom i najčešće poznavanom
slučaju: adresama mreže i mrežnim maskama. Usmjerivači i prospojnici, za razliku od
preklopnika, u pravilu imaju mogućnost filtriranja i upravljanja mrežnim prometom pa
se na njima mogu spriječiti svi napadi koji bi bili inicirani iz jedne podmreže u drugu.
Oni dakle mogu spriječiti sve napade kojima bi se oni našli na putu. Najčešće se to
radi filtriranjem izvorišne i/ili odredišne adrese odnosno filtriranjem tipa prometa
prema vratima u slučaju TCP [J. Postel (1981)] i UDP [J. Postel (1980)] prometa,
odnosno prema tipu poruke u slučaju ICMP [J. Postel (1981)] prometa. Slično kao i
za MAC adrese, i ovdje postoji adresa definirana za emitiranje poruka svim
uređajima. To je posljednja adresa u opsegu mrežnih adresa nekog mrežnog
segmenta (primjerice, ako se radi o mreži koja ima adresu 192.168.0.0 i masku
255.255.255.0 onda 192.168.0.255 predstavlja adresu emitiranja odnosno adresu
koju osluškuju svi mrežni uređaji u toj mreži).
Slika 5 prikazuje primjer segmentirane mreže. Ova se mreža sastoji on nekoliko
različitih mrežnih segmenata. U desnom dijelu slike vidimo most koji vrlo vjerojatno
predstavlja poveznicu između dvije lokacije. U mreži također vidimo i nekoliko
preklopnika.
Slika 5: Primjer segmentirane mreže

Usmjerivač, koji se nalazi u središtu mreže, segmentira mrežu na trećem sloju

OSI/ISO modela. Svaka od podmreža ima svoju mrežnu adresu i pripadajuću masku.
Usmjerivač, ujedno, ima i ulogu prospojnika za sve podmreže.
Tabela 1 prikazuje jednu od mogućih raspodjela mrežnih adresa po mrežnim
segmentima za gornji primjer. Prva kolona tablice sadrži popis svih mrežnih
segmenata. U drugoj koloni tablice dana je adresa mreže1. Treća kolona tablice
sadrži mrežnu masku dok je u zadnjoj dana adresa emitiranja za pojedinu mrežu.
Način dobivanja adrese emitiranja te ostali izračuni vezani za mrežne adrese
(primjerice, mrežne adrese kod spajanja mreža (eng. superneting), mrežne adrese
kod rastavljanja mreža (eng. subneting)) prelaze opseg ovog seminara. Za više
informacija pogledati [Todd Lammle (2005), Andrew G. Blank (2004)].
Tabela 1: Primjer dodijeljenih adresa
Mreža Adresa mreže Mrežna maska Adresa emitiranja

Mreža za PC računala 192.168.10.x 255.255.255.0 192.168.10.255
Mreža za MAC računala 192.168.20.x 255.255.255.0 192.168.20.255
Mreža za prijenosna računala 192.168.30.x 255.255.255.0 192.168.30.255
Mreža za poslužitelje 192.168.40.x 255.255.255.0 192.168.40.255
2.1.6. Virtualni mrežni segmenti

Prilikom segmentiranja mreže pomoću standardnih preklopnika i usmjerivača
primijećeno je da postoji problem povezivanja uređaja koji su fizički razdvojeni, a
spadaju u isti mrežni segment. Primjerice, segmentira li se mreža, u nekoj
organizaciji koja se nalazi u dvije zgrade, u dvije manje mreže po fizičkom smještaju,
rješenje je relativno jednostavno: potrebno je ugraditi usmjerivač između mreža na
jednoj i drugoj lokaciji te dodijeliti novi skup IP adresa jednoj i/ili drugoj mreži.
Ukoliko je pak zahtjev da se u istoj organizaciji mreža segmentira tako da su pisači u
jednom segmentu, poslužitelji u drugom, a osobna računala u trećem bez obzira na
fizičku lokaciju, rješenje se komplicira. Naime, kako bi se to ostvarilo potrebno bi bilo
izgraditi posebnu kabelsku infrastrukturu te ugraditi preklopnike za svaku od mreža.
Mreže bi se povezale u jednu, u centralnom čvoru, kojeg bi, isto kao i prethodnom
primjeru, predstavljao usmjerivač.
Slika 6 prikazuje upravo takvu situaciju. Na svakoj se lokaciji nalaze osobna
računala, pisači i poslužitelji. Svaka lokacija, dakle, ima tri mrežna segmenta. Ukupno
ih je šest. Svi mrežni segmenti povezuju se u centralnoj točki.
1
Simbol x u adresi mreže govori da ta brojka nije bitna, odnosno da može biti bilo koja, za izračun
odnosno dobivanje mrežne adrese. U praksi se najčešće koristi ili taj simbol ili se jednostavno upiše 0.
Slika 6: Segmentacija mreže izvođenjem posebne infrastrukture
Kao odgovor na prethodni problem razvijen je IEEE 802.1Q mehanizam odnosno

standard. IEEE 802.1Q je mehanizam koji omogućuje korištenje jedne fizičke veze za
veći broj logičkih mreža (eng. trunking). Logičke mreže, pri tome, mogu i ne moraju
biti svjesne jedna druge. Upravo su preklopnici i usmjerivači tipični uređaji koji
podržavaju 802.1Q standard.
Za segmentiranje mreže, kako je opisano u drugom primjeru gornjeg teksta, uz
uporabu IEEE 802.1Q standarda, nije potrebno izvoditi posebnu kabelsku
infrastrukturu. Iskorištava se postojeća, a na preklopnicima se pojedina vrata
dodjeljuju pojedinoj logičkoj mreži. Slika 7 prikazuje tako segmentiranu mrežu.
Slika 7: Segmentacije mreže uz 802.1Q

2.1.7. Mrežne zone

Prilikom dizajna odnosno segmentacije računalnih mreža često se priča o
mrežnim zonama. Naziv mrežne zone može se dodijeliti bilo kojem mrežnom
segmentu, no obično se koristi kada se referencira na neki dio mreže odvojen od
ostalih dijelova uređajem koji na neki način filtrira mrežni promet. To su u pravilu
uređaji uz pomoć kojih se nameću pravila sigurnosne politike. Najčešće se radi o
vatrozidima o kojima će više riječi biti u poglavlju 2.2. Osim vatrozida to mogu biti i
usmjerivači. Obično je slučaj da (dvije ili) više mrežnih zona predstavlja (dva ili) više
mrežnih segmenata na koje se primjenjuju različite sigurnosne postavke. Ti mrežni
segmenti, u pravilu, imaju različiti nivo povjerljivosti i vrlo često različitu klasifikaciju
sigurnosti.
Slika 8: Primjer mrežnih zona
Slika 8 prikazuje mrežu neke organizacije koja se sastoji od tri mrežne zone.
Internet zona predstavlja zonu nad kojom organizacija nema kontrole niti je u
mogućnosti nametnuti sigurnosnu politiku. Zona s većim stupnjem sigurnosti te
nametnutom sigurnosnom politikom naziva se, u ovom slučaju, DMZ (eng.
Demilitarized Zone) zona. DMZ obično predstavlja mrežnu zonu koja nije niti dio
lokalne mreže niti dio Interneta. To je obično mreža između dviju mreža. Krajnji lijevi
usmjerivač predstavlja granicu zone i naziva se granični usmjerivač (eng. border
router). Slično razmatranje može se provesti i za zonu lokalne mreže odnosno LAN
zonu. LAN zona je mrežna zona s najvećim stupnjem sigurnosti te vrlo vjerojatno s
nametnutom sigurnosnom politikom. Promatrano iz perspektive osobe zadužene za
sigurnost u LAN zoni, desni usmjerivač predstavlja granični usmjerivač. Sigurnosne
politike nametnute su na usmjerivačima. Na lijevom usmjerivaču nameće se
sigurnosna politike pristupa iz Interneta (primjerice, korisnik, tip prometa, odredišna

adresa, itd.). Desni, granični usmjerivač za LAN zonu, služi za nametanje sigurnosne
politike korištenja Interneta (primjerice, koji tip prometa je dopušten i prema kojim
odredišnim adresama).
2.2. Vatrozidi
Vatrozid (eng. firewall) je uređaj koji, prema unaprijed definiranim pravilima,
dopušta ili zabranjuje uspostavu veze i protok mrežnog prometa. Slika 9 prikazuje
simbole za vatrozid. Lijevi simbol (simbol zida) koristi se kada se radi o vatrozidu
općenito. Desni simbol se obično koristi kada se radi o vatrozidu zastupniku (eng.
proxy firewall) o čemu će više riječi biti u narednim poglavljima.
Slika 9: Simboli za vatrozid
Vatrozid se vrlo često postavlja između dva mrežna segmenta (odnosno dvije
mrežne zone) različitog stupnja povjerljivosti. Tipični primjer je postavljanje vatrozida
između Internet zone i zone lokalne računalne mreže što prikazuje Slika 10.
Slika 10: Vatrozid između Internet zone i lokalne računalne mreže
Specijalan slučaj gornjeg primjera jest postavljanje vatrozida između dviju

nepovjerljivih mreža. To prikazuje Slika 11. Vatrozid u ovom slučaju igra ulogu
čuvara za obje mreže: desnu mrežu štiti od lijeve i obrnuto. Ovaj slučaj se najčešće
susreće kada dvije ili više organizacija povezuje svoje mreže radi rada na
zajedničkom projektu.
Slika 11: Vatrozid između dviju nepovjerljivih mreža
Drugi specijalni slučaj postavljanja vatrozida je između dviju mreža koje imaju
različiti stupanj povjerljivosti. Slika 12 prikazuje takav primjer. Prvi, lijevi vatrozid
odvaja Internet zonu od zone koja je u vlasništvu neke organizacije. Između dva
vatrozida nalazi se zona s poslužiteljima kojima je moguć pristup iz Interneta.
Konkretno, radi se o poslužiteljima web sadržaja te o poslužitelju elektroničke pošte.
Drugi, desni vatrozid odvaja tu zonu od zone s najvišim stupnjem povjerljivosti. U toj
zoni nalaze se poslužitelji s bazama podataka i unutarnji poslužitelj elektroničke
pošte. Ideja je sljedeća: poslužitelji koji se nalaze u zoni najviše povjerljivosti sadrže
podatke koji su kritični za poslovanje organizacije. Klijentima je direktni pristup
zabranjen. Podaci se s njih dohvaćaju isključivo pomoću poslužitelja koji se nalaze u
DMZ zoni. U slučaju napada, napadnuti mogu biti poslužitelji u DMZ zoni i vanjski
vatrozid. Razlog je jednostavan – jedino su oni vidljivi iz Internet zone. Ako
pretpostavimo da je napad uspješan, to će rezultirati gubitkom servisa odnosno
gubitkom dostupnosti, međutim povjerljivost i cjelovitost podataka je zadržana jer se
oni nalaze na drugim poslužiteljima. Ako postoji samo jedna zona s poslužiteljima i u
njoj se nalaze poslužitelji s bazama podataka, riskira se, pored gubitka dostupnosti i
gubitak cjelovitosti i povjerljivosti.
Slika 12: Vatrozid između dviju mreža različitog stupnja povjerljivosti
Iako je već prije spomenuto, dobro je naglasiti ponovo: vatrozidi su uređaji

kojima se mogu nametnuti pravila sigurnosne politike. Primjerice, pretpostavimo da
neka organizacija ima vezu na Internet kapaciteta 1Mbit/s. Nadalje, recimo da u istoj
organizaciji 100 i više zaposlenika koristi tu vezu za svoj svakodnevni rad. Jasno je da
će prekomjerno korištenje te veze od strane jednog ili više korisnika rezultirati
sveukupnom degradacijom usluge za druge korisnike. To se najčešće događa ako
neki od korisnika tu vezu koriste za dohvaćanje raznog multimedijalnog i sličnog
sadržaja koji nema veze s poslovnim zadatkom. Sigurnosnom politikom može se

zabraniti, primjerice, posjet web stranicama s takvim sadržajem, korištenje protokola
za dohvat takvog sadržaja, itd. Implementaciju te sigurnosne politike može se izvršiti
kroz pravilno podešavanje vatrozida za pristup Internet zoni. U tom slučaju vatrozid
postaje preventivna kontrola tj. kontrola kojom se nameću pravila sigurnosne
politike.
U narednim poglavljima nalazi se pregled osnovnih tipova vatrozida. Tipovi su
klasificirani po kompleksnosti odnosno po načinu i dubini pregleda mrežnog prometa.
2.2.1. Prozirni vatrozid

Prozirni vatrozid (eng. Transparent firewall) za obavljanje svoje funkcije ne mora
imati dodijeljenu IP adresu. Bez dodijeljene IP adrese on nije vidljivi na mreži2 i od
tuda mu potječe ime. Slika 13 prikazuje na kojim se slojevima OSI/ISO modela vrši
komunikacija s okolnim uređajima. Vidimo da je prozirni vatrozid fizički spojen s
ostatkom mreže (primjerice, UTP kabel). Komunikacija staje na drugom sloju, što
znači na razini IP adresa.
Slika 13: Slojevi povezanosti prozirnog vatrozida s ostalim mrežnim uređajima
Kada uređaj s jedne strane vatrozida zatraži komunikaciju s uređajem s druge

strane vatrozida, on se predstavlja IP adresom drugog uređaja i vlastitom MAC
adresom. Za uređaj sa suprotne strane čini upravo suprotno. Komunikacija se na
ovaj način odvija kroz vatrozid. Vatrozid, s druge strane, prilikom primitka paketa
može pregledati paket na podatkovnom ili višim slojevima te na temelju nekog
parametra izvršiti filtriranje3.
2
Vidljivi su samo po MAC adresama i to uređajima koji su neposredno s njima povezani.
3
Ovo je vrlo općeniti opis rada ovakvog tipa vatrozida. Za više informacija potrebno je pogledati
navedenu literaturu ili neku od Internet stranica.
Valja posebno istaknuti da svojstvo nevidljivosti ovaj tip vatrozida čini izuzetno
otpornim na iskorištavanja i napade.
Prozirni vatrozid moguće je vrlo jednostavno izvesti uporabom bilo koje
distribucije operacijskog sustava GNU/Linux uz uporabu paketa ebtables
[http://ebtables.sourceforge.net, 20070304].
2.2.2. Filtar paketa

Filtar paketa (eng. Packet filtering firewall) barata podacima mrežnog paketa koji
odgovaraju trećem (mrežnom) i četvrtom (prijenosnom) sloju OSI/ISO modela. Slika
14 predstavlja slojeve na kojima ovaj tip vatrozida razmjenjuje podatke s ostalim
uređajima.
Slika 14: Slojevi povezanosti filtra paketa s ostalim mrežnim uređajima
Ovaj tip vatrozida u mogućnosti je pregledavati IP zaglavlje paketa te filtrirati

promet prema podacima koji se nalaze u njemu. Prvenstveno se to odnosi na
izvorišnu i odredišnu IP adresu. Može se odnositi i na tip prometa kojeg nosi IP paket
(primjerice, TCP, UDP, ICMP, itd.). Podaci koji se nalaze u četvrtom sloju pobliže
opisuju protokol umotan u IP protokol. Ovaj tip vatrozida može pregledavati i te
podatke. Primjerice, ukoliko se radi o TCP prometu, može pregledavati izvorišna i
odredišna vrata, redni broj paketa, zastavice, itd. Ukoliko se radi, primjerice, o ICMP
prometu, mogu se pregledavati tipovi ICMP poruka.
Filtri mrežnih paketa jedna su od najstarijih tehnika filtriranja mrežnog prometa.
Izvode se kao zasebni sklopovski uređaji te kao dodatak većini usmjerivača
(primjerice, Cisco usmjerivači). Mogu se pronaći i u većini modernijih operacijskih
sustava (primjerice, GNU/Linux uz uporabu paketa iptables [http://www.netfilter.org,
20070304]).
Fragmentirani (rascjepkani) mrežni promet predstavlja najveći problem za

ovakav tip vatrozida. Naime, dozvoljeno je da jedan tijek podataka od izvorišta k
odredištu putuje različitim putovima. Neki putovi imaju veće, a neki manje kapacitete
i brzine. Ovisno o putovima, neki će paketi prije, a neki kasnije, doći na odredište.
Drugim riječima, poredak paketa na odredištu ne mora nužno odgovarati paketima
na izvorištu. Paketi koji ne pristignu u odgovarajućem redoslijedu slažu se u ispravan
redoslijed prije obrađivanja [G. Ziemba, D. Reed, P. Traina (1995)]. Filtri mrežnih
paketa nemaju mogućnosti pamćenja određenog broja mrežnih paketa i njihova
preslagivanja po primitku. To napadači često iskorištavaju tako da prvo pošalju
ispravan paket, a onda pakete s malicioznim sadržajem. Filtri mrežnih paketa koji
filtriraju promet po prvom paketu njega propuštaju, a potom i sve ostale jer dolaze
od istog pošiljatelja za kojeg je već utvrđeno da šalje ispravne pakete.
Drugi problem za filtar mrežnih paketa predstavlja dvosmjerni promet. Primjer
dvosmjernog prometa je FTP (eng. File Transfer Protocol) [J. Postel, J. Reynolds
(1985)]. FTP je vrlo specifičan protokol zbog njegova načina rada. Prvo FTP klijent
uspostavlja kontrolnu (eng. control) vezu s FTP poslužiteljem. Kontrolna veza
uspostavlja se na vratima 21. Zatim klijent šalje slučajni i slobodni broj vrata, veći od
1023 FTP poslužitelju. FTP poslužitelj zatim uspostavlja podatkovnu vezu s FTP
klijentom na vrata broja primljenog u prethodnom koraku. Slika 15 prikazuje tijek
netom opisane FTP veze.
Slika 15: Tijek FTP veze
Ovakav način komunikacije predstavlja problem za filtar mrežnih paketa jer on

ne prisluškuje razgovor između dvije strane, ne zna odrediti vrata podatkovne veze
pa time je niti ne može propustiti. Rješenje ovog problema ponuđeno je tzv.
pasivnim FTP protokolom. Inicijaciju veze, u oba slučaja, vrši FTP klijent [S. Bellovin
(1994)]. Slika 16 prikazuje tijek pasivne FTP veze.
Inicijacija FTP kontrolne veze
Vrata za podatkovnu FTP vezu
Inicijacija FTP podatkovne veze
Podaci
Slika 16: Tijek pasivne FTP veze

2.2.3. Vatrozid s praćenjem stanja veze

Vatrozid s praćenjem stanja veze (eng. Stateful firewall) barata podacima
mrežnog paketa koji odgovaraju trećem (mrežnom) i četvrtom (prijenosnom) sloju
OSI/ISO modela slično kao i prethodno opisani tip vatrozida. Razlika je, međutim, u
tome što on dodatno prati stanje mrežne veze između dva ili više uređaja te ima
dodatne mogućnosti filtriranja prometa. Slika 14, kao i za prethodni tip vatrozida,
predstavlja slojeve na kojima ovaj tip vatrozida razmjenjuje podatke s ostalim
uređajima.
Princip rada ovog tipa vatrozida opisan je u nastavku. Kada uređaj s jedne strane
vatrozida pokušava uspostaviti kontakt s uređajem s druge strane vatrozida, on prvo
provjerava zadana pravila (primjerice, izvorišnu i odredišnu IP adresu, izvorišna i
odredišna vrata, itd.) te prihvaća ili odbija mrežni paket. Ukoliko se paket prihvati,
vatrozid u radnoj memoriji stvara zapis u kojem se drže podaci koji opisuju netom
uspostavljenu vezu. Paket se potom propušta, kao i svi paketi koji slijede, a dio su
uspostavljene veze. Za odgovor, vatrozid pregleda samo dio podataka koji se nalaze
u zaglavlju, povezuje odgovor s podacima koji su smješteni u radnoj memoriji te taj
odgovor proglašava dijelom konekcije i propušta pakete.
Vatrozid s praćenjem stanja veze, prilikom praćenja TCP tipa veza, oslanja se na
zastavice koje se nalaze u zaglavlju TCP paketa [J. Postel (1981)]. Slika 17 prikazuje
zaglavlje TCP paketa s posebno istaknutim poljem u kojem se nalazi šest zastavica.
Slika 17: Zaglavlje TCP paketa
Praćenje stanja TCP veze započinje tzv. mehanizmom trostrukog rukovanja (eng.
three-way handshake). Slika 18 prikazuje uspostavljanje TCP veze odnosno
mehanizam trostrukog rukovanja. U početnom trenutku poslužitelj je u stanju
osluškivanja. Klijent šalje inicijalni paket u kojem je postavljena zastavica SYN. U tom
trenutku klijent prelazi u stanje SYN_SENT. Poslužitelj po primitku paketa s
postavljenom SYN zastavicom prelazi u stanje SYN_RCVD i odgovara paketom u
kojem su istovremeno postavljene i zastavica SYN i zastavica ACK. Klijent po primitku
tog paketa prelazi iz stanja SYN_SENT u stanje ESTABLISHED pri čemu je, za njega,
veza uspostavljena. Odgovara paketom s postavljenom zastavicom ACK. Poslužitelj
po primitku tog paketa također prelazi u stanje ESTABLISHED. Vatrozid koji se nalazi
između klijenta i poslužitelja, nakon uspješno provedenog trostrukog rukovanja,
podatke o uspostavljenoj TCP vezi smješta u svoju radnu memoriju. Naredne pakete,
koji pripadaju istoj vezi, propušta bez detaljnijeg pregleda uspoređujući neke od
osnovnih podataka s onima u radnoj memoriji. Veza se prekida ili istjekom
predefiniranog vremena ili dogovornim prekidom veze.
Osluškivanje
Slanje paketa s (LISTENING)
postavljenom
SYN zastavicom
(SYN_SENT) SYN
Primitak paketa
s postavljenom
SYN zastavicom
(SYN_RCVD)
SYN/ACK
Veza
uspostavljena
Klijent (ESTABLISHED) ACK Poslužitelj
Veza
uspostavljena
(ESTABLISHED)
Stanja Stanja
klijenta poslužitelja
Slika 18: Mehanizam trostrukog rukovanja
Važno je napomenuti da se TCP veza može u proizvoljnom trenutku nalaziti samo

u jednom od 11 definiranih stanja [J. Postel (1981)].
Prilikom razmjene UDP paketa ne uspostavlja se veza između izvorišta i
odredišta. UDP nema niti zastavice, a time niti mehanizam trostrukog rukovanja. UDP
veza prati se prema izvorišnoj i odredišnoj adresi te prema izvorišnim i odredišnim
vratima. Kao dodatni parametar za praćenje UDP veze neki vatrozidi koriste i vrijeme.
Slična je situacija i s prometom tipa ICMP. Također ne postoje zastavice, ali ni
izvorišna niti odredišna vrata. ICMP promet prati se zato po izvorišnoj i odredišnoj
adresi te po tipu ICMP poruke odnosno preko tipa poruke zahtjeva (eng. request
message type) i tipa poruke odgovora (eng. reply message type).
Kao i filtri mrežnih paketa, tako i vatrozidi s praćenjem stanja veze nalaze se kao
sklopovski uređaji (primjerice, Cisco PIX) te kao dodaci većini usmjerivača
(primjerice, Cisco usmjerivači). Mogu se pronaći i u većini modernijih operacijskih
sustava (primjerice, GNU/Linux uz uporabu paketa iptables [http://www.netfilter.org,
20070304]).
Ovakav tip vatrozida uglavnom nema problema s fragmentiranim mrežnim
prometom. Dvosmjerni promet, primjerice FTP, i dalje predstavlja problem. Rješenje
je, međutim, isto kao i za prethodni tip vatrozida. Uporaba pasivnog FTP protokola.
Napredniji vatrozidi ovog tipa imaju mogućnost zaviriti u sadržaj FTP paketa u
kontrolnoj vezi. Na taj način mogu se nositi i s aktivnim tipom FTP protokola.
Nedostatak je, dakako, što takvo rješenje radi samo za FTP, a ne i neke druge
protokole. Primjerice, protokoli za multimediju, koji se ponašaju na sličan način, i
dalje predstavljaju veliki problem.
2.2.4. Vatrozid zastupnik

Vatrozid zastupnik (eng. Proxy firewall) barata podacima mrežnog paketa na
svim slojevima OSI/ISO modela. Slika 15 predstavlja slojeve na kojima ovaj tip
vatrozida razmjenjuje podatke s ostalim uređajima.
Slika 19: Slojevi povezanosti vatrozida zastupnika s ostalim mrežnim uređajima
Uloga zastupnika jest osiguranje obje strane uključene u komunikaciju

sprečavanjem direktne komunikacije između njih. Kada klijentsko računalo želi
uspostaviti vezu s poslužiteljem, veza se prvo uspostavlja sa zastupnikom u ulozi
vatrozida. Zastupnik potom sa svoje druge strane uspostavlja vezu s poslužiteljem.
Prilikom slanja podataka, svi podaci koji pristignu od klijentskog računala ili
poslužitelja prvo se pregledaju u zastupniku. Pregledavaju se gotovo svi podaci
sadržani u mrežnom paketu počevši s atributima mrežne veze (izvorišnom i
odredišnom IP adresom, izvorišnim i odredišnim vrata, itd.) pa sve do podataka koji
se prenose mrežnim paketom. Zastupnik, drugim riječima, zna razumjeti odnosno
interpretirati komunikaciju između klijentskog računala i poslužitelja. On, dakle,
poznaje protokol kojim se komunicira.
Slika 20: Vatrozid zastupnik u ulozi prospojnika

Zastupnik u ulozi vatrozida najčešće se postavlja na mjesto prospojnika. Slika 20

prikazuje jedan takav tipičan slučaj. Zastupnik u ulozi vatrozida može se podesiti za
rad i kao zasebno računalo. U tom slučaju potrebno je sva klijentska računala
preusmjeriti na zastupnik za odgovarajući tip protokola. Slika 21 prikazuje takav
tipičan slučaj.
Slika 21: Vatrozid zastupnik kao zasebni poslužitelj
U gore prikazanom slučaju, klijentska računala iz lokalne mreže prvo bi

uspostavila vezu s prikazanim zastupnikom koji bi tada preko standardnog vatrozida
uspostavio vezu s poslužiteljima na Internetu. Standardni vatrozid bi u tom slučaju
trebalo podesiti tako da određeni tip prometa iz lokalne mreže prema Internetu
propušta samo od vatrozida zastupnika. Na taj način spriječila bi se klijentska
računala u pokušaju direktne komunikacije s računalima na Internetu.
U praksi najčešće razlikujemo dva tipa zastupnika. Prvi tip je standardni
zastupnik odnosno zastupnik unaprijed (eng. proxy, forward proxy) koji je opisivan u
gornjem tekstu. Njegova je uloga, pored zaštite klijenta, spremanje sadržaja u
priručnu memoriju radi bržih uzastopnih pristupa (primjerice, ako više klijenata
posjećuje istu web stranicu). Drugi tip zastupnika jest reverzni odnosno obrnuti
zastupnik (eng. reverse proxy). Takav je tip zastpnika najčešće u ulozi zaštitnika
nekog poslužitelja čiji je sadržaj objavljen većem broju korisnika ili na Internetu.
Funkcionalno, zapravo, ima istu ulogu, ali gledano s drugog aspekta. Dok standardni
zastupnik štiti klijentska računala, reverzni zastupnik štiti poslužitelj. Slika 22
prikazuje tipično postavljeni reverzni zastupnik kao zaštitnik za poslužitelj web
sadržaja na Internetu.
Slika 22: Reverzni zastupnik
Zbog svojeg načina rada, odnosno detaljnog pregleda mrežnog paketa,

zastupnici imaju niz prednosti, ali i nedostataka u odnosu na druge tipove vatrozida.
Zapisi o mrežnom prometu su detaljniji. Vrlo jednostavno je uočiti pokušaje kršenja
sigurnosnih politika kroz pregled zapisa. Pristup određenim zonama može se ostvariti
nizom autentikacijskih odnosno autorizacijskih modula, primjerice, parom

ime/lozinka, parom javni/tajni ključ, certifikatom, pametnom karticom, itd. Pored
svega navedenog, zastupnici također omogućuju sakrivanje topologije interne mreže.
Nedostaci su također mnogobrojni, u prvom redu smanjuju se performanse zbog
mnogobrojnih uspostavljenih veza od strane samog zastupnika te detaljnog pregleda
svakog mrežnog paketa. Zastupnik vrlo lako postaje usko grlo. Nadalje, za svaku je
novu aplikaciju, ukoliko ona priča novim protokolom potrebno razviti novi zastupnik,
odnosno zastupnički modul. Zastupnici su najčešće programska rješenja koja se
upogonjuju na sustavima opće namjene, što znači da se ispod njih nalazi operacijski
sustav opće namjene. Zastupnici nasljeđuju sve propuste operacijskog sustava.
Ovom tipu vatrozida problem predstavljaju uglavnom kriptirane veze s kraja na
kraj (eng. end-to-end) jer u tom slučaju zastupnici ne mogu gledati u sadržaj
mrežnog paketa. Tipično se radi o IPSec ili SSL vezama.
2.3. Detekcija i prevencija upada iz mreže

U ovom poglavlju opisani su sustavi za detekciju i sustavi za prevenciju upada iz
mreže. Kako su sustavi za detekciju ujedno osnova sustava za prevenciju, naglasak
ovog poglavlja je većinom na prvima.
2.3.1. Detekcija upada iz mreže

Sustavi za detekciju upada iz mreže (eng. Network Intrusion Detection Systems,
NIDS u danjem tekstu) su sustavi koji pregledavaju mrežni promet kako bi prepoznali
moguće prijetnje. Njihova je uloga pravovremeno otkrivanje skeniranja (eng. scan),
ispipavanja (eng. probe), napada (eng. attack) i sličnog. Uloga NIDS sustava jest
pružanje uvida u potencijalne prijetnje u svrhu osiguranja mreže.
Tipični NIDS sustav sastoji se od sljedećih komponenti (ove su komponente u
većini slučajeva integrirane):
mrežnog senzora (prisluškuje mrežni promet i stvara poruke),
centralnog mehanizma (primljene poruke od mrežnog senzora sprema u
bazu podataka, stvara izvješća prema unaprijed zadanim pravilima),
konzole (služi za pregled sigurnosnih događaja, incidenata, odnosno
alarma).
NIDS sustav može se klasificirati u nekoliko kategorija ovisno o načinu rada
odnosno načinu prikupljanja i obradi podataka.
Najjednostavniji sustavi su oni koji se temelje na raspoznavanju uzoraka (eng.
signature based). Takvi NIDS sustavi pored baze podataka u koju se spremaju
prikupljeni podaci imaju još jednu, statičku bazu u kojoj su pohranjeni svi poznati
uzorci malicioznog mrežnog prometa. Princip njegova rada je jednostavan: svi
prikupljeni podaci uspoređuju se s uzorcima iz statičke baze podataka. Ukoliko se
uzorci podudaraju, podiže se alarm jer se radi o potencijalno opasnom prometu.
Ukoliko se uzorci ne podudaraju, promet se klasificira kao benigan te se alarm ne
podiže. Iako je princip rada ovakvih NIDS sustava jednostavan4, on pati od niza
nedostataka. Primjerice, mala modifikacija malicioznog sadržaja podataka u mrežnom
paketu rezultirat će uzorkom koji neće biti usporediv s uzorcima pohranjenim u bazi,
promet će biti klasificiran kao benigan te će biti propušten.
Nešto kompleksniji NIDS sustavi su oni koji se temelje na pregledu ponašanja
(eng. behaviour based) odnosno anomalija (eng. anomaly based). Princip rada oba
navedena sustava je vrlo sličan. U prvoj fazi sustav se podučava odnosno upoznaje s
normalnim mrežnim prometom. Sustav je zatim spreman za uporabu. Prilikom
očekivanog mrežnog prometa, sustav neće podizati alarm. Međutim, ako je promet
neočekivan, alarmira se zaduženo osoblje. Princip rada ovakvih NIDS sustava temelji
se na heuristici pa oni kao takvi pate od niza problema, a najčešće se radi o krivim
alarmiranjima.
Moderniji NIDS sustavi su hibridni, pokazuju odlike sustava temeljenih na
raspoznavanju uzoraka kao i onih temeljenih na prepoznavanju anomalija.
Prilikom ugradnje NIDS sustava u računalnu mrežu vrlo je važno pravilno
smjestiti senzore. Općenito, senzori se postavljaju u blizinu uređaja koji vrše
filtriranje prometa (usmjerivači, vatrozidi). Ako je na raspolaganju veći broj senzora,
tada se u svaki mrežni segment stavlja po jedan senzor. Ako je ne raspolaganju
ograničeni broj senzora, onda ih se postavlja barem na Internet segment te na
segment lokalne mreže u kojem se nalaze kritični podaci (primjerice, mreža odjela
prodaje).
Slika 23 prikazuje tipičnu mrežu neke organizacije. Mreža se sastoji od tri
segmenta: demilitarizirane zone, zone javnih servisa i mreže za računala korisnika.
Senzori su postavljeni u sve tri zone. Izlaz senzora povezan je putem preklopnika u
zasebni mrežni segment.
Slika 23: Postavljanje senzora u tipičnu mrežu neke organizacije
4
Vrlo je sličan principu rada programske podrške za zaštitu od malicioznog kôda.
Slika 24, kao i prethodna slika, prikazuje postavljanje senzora u mrežu jedne
organizacije. Za razliku od organizacije čija je mreža prikazana na prethodnoj slici,
ovdje se radi o organizaciji koja se sastoji od lokalne mreže, poslovnica, a dozvoljava
se i udaljeni pristup putem modema za udaljeni pristup. Mreža se sastoji od nekoliko
segmenata koje, uglavnom, stvaraju vatrozidi. Gledano s lijeva na desno, prvi
vatrozid predstavlja vatrozid prema Internet segmentu. Postavljena su dva senzora,
jedan ispred, a drugi iza vatrozida. Uloga prvog senzora jest steći uvid u sav mrežni
promet koji s Interneta dopire do vatrozida. Drugi vatrozid reći će koji je to promet
kojeg je vatrozid propustio. Usporedbom zapisa ova dva senzora moguće je odrediti
učinkovitost kontrole odnosno, u ovom slučaju, vatrozida. Drugi vatrozid je vatrozid
prema modemima za udaljeni pristup. Jedan senzor nalazi se ispred vatrozida, dok je
drugi iza njega. Prvi će senzor pregledavati sav promet koji dolazi do vatrozida dok
će drugi pregledavati promet iza njega. Nešto specifičniji slučaj je treći vatrozid. On
predstavlja vezu između lokalne mreže i poslovnica. Pretpostavlja se da je broj
poslovnica veći pa senzori nisu postavljeni na svaku vezu prema poslovnici.
Postavljen je samo jedan senzor i to onaj iza vatrozida. Iako to nije prikazano, izlazi
svih senzora spojeni su u zajedničku točku (primjerice, preklopnik) koja predstavlja
zasebnu mrežu za upravljanje NIDS sondama.
Modemi za udaljeni
pristup
Internet Poslovnice
Telekomunikacijske
veze
Lokalna mreža
Slika 24: Postavljanje senzora u mrežu raspodijeljene organizacije
NIDS sustavi koriste se kada je potrebno biti pravovremeno obaviješten o

potencijalnim napadima te kako bi se napadi spriječili i prije samog nastajanja. Ako
pak nije moguće spriječiti napad, NIDS sustav koristi se za upozoravanje gotovo isti
tren kad napad započne. Tijekom napada, pomoću navedenoga je moguće prikupiti
podatke o napadu i napadaču. Ti se podaci kasnije mogu iskoristiti kako bi se u
buduće spriječili takvi i slični napadi ili kao osnova za sudsku tužbu. Dodatno, NIDS
sustavi mogu se koristiti za identifikaciju slabosti, ispitivanje sigurnosne politike i
otkrivanje povreda sigurnosne politike. Također se mogu koristiti i za detekciju

napada koji se iniciraju iz lokalne mreže kao i za analizu protokola.
Pogreške koje se najčešće susreću kod NIDS sustava su pogrešna klasifikacija
benignog prometa (eng. false positive) i pogrešna klasifikacija malicioznog prometa
(eng. false negative). Prva pogreška stvara dodatne napore osoblju zaduženom za
nadgledanje NIDS sustava. Svaka pogrešna klasifikacija benignog prometa stvara
dodatni zapis, a to iziskuje dodatno vrijeme za pregledavanje zapisa. Pogrešna
klasifikacija malicioznog prometa puno je ozbiljniji problem. Kod takve pogreške ne
stvaraju se zapisi, ne podiže se alarm te se, općenito, takav promet propušta u
lokalnu mrežu.
2.3.2. Prevencija upada iz mreže

Sustavi za prevenciju upada iz mreže (eng. Network Intrusion Prevention
Systems, NIPS u danjem tekstu) uglavnom se temelje na kombinaciji sustava za
detekciju upada iz mreže i vatrozida. Ideja je jednostavna: kada sustav koji je
zadužen za detekciju upada prepozna maliciozni promet, on obavještava vatrozid čija
je potom uloga zabrana malicioznog prometa.
Ovakvi sustavi mogu se izvoditi kao zasebna ili integrirana rješenja. Oba pristupa
imaju prednosti i nedostatke. Ako se sustavi izvode kao integrirani, kvar jedne
komponente ujedno znači i kvar druge komponente, a to gotovo sigurno znači da će
doći do prekida tijeka mrežnog prometa. Prednost je ta što je takav uređaj u
konačnici jeftiniji i robusniji. Ako se pak radi o zasebnim rješenjima, problem obično
nastaje zbog nekompatibilnosti NIDS sustava i vatrozida. Razdvojena rješenja obično
su kompleksnija, teže ih je integrirati u već postojeću mrežu te zahtijevaju više
vremena za prilagodbu. U praksi je, uza sve navedeno, ipak češći slučaj da se sustavi
za prevenciju upada izvode kao integrirana rješenja NIDS sustava i vatrozida.
Slika 25 prikazuje izvedbu NIPS sustava kao kombinaciju NIDS sustava i
vatrozida. Vatrozid i NIDS sustav moraju imati zajedničku spojnu točku, a to je
preklopnik neposredno iza usmjerivača. Kada mrežni promet dolazi iz Internet zone,
distribuira se na obje komponente. NIDS odlučuje hoće li se promet propustiti ili ne,
to dojavljuje vatrozidu, a vatrozid zatim propušta ili odbija promet.
Slika 25: NIPS kao kombinacija NIDS sustava i vatrozida

Slika 26 prikazuje NIPS sustav izveden kao integrirani NIDS sustav i vatrozid. U
ovom slučaju nije potrebno definirati zajedničku spojnu točku. Paketi s Internet zone
dolaze do uređaja, prvo se propuštaju kroz NIDS modul koji donosi odluku o tome
hoće li se paketi propustiti ili ne. Ako se propuštaju, vatrozid ih prosljeđuje u lokalnu
mrežu. U suprotnome paketi se odbijaju.
Slika 26: NIPS kao integrirani NIDS sustav i vatrozid
Iako su prethodna dva pristupa, gledano iz perspektive sustava za prevenciju

upada, funkcionalno ista, drugo rješenje je, kako je već prije rečeno, puno
jednostavnije integrirati u već postojeći sustav. Tome dodatno pridonosi i činjenica
da se obično integrirani uređaji izvode na bazi transparentnog vatrozida, opisanog u
poglavlju 2.2.1 na strani 17, pa za njihovo uklapanje nije potrebno mijenjati već
dodijeljene mrežne adrese. Integracija takvog rješenja, gotovo uvijek, svodi se na
jednostavno uključivanje mrežnih vodova u sam uređaj.
Pored navedenih tehnika postoje i neke sofisticiranije tehnike za prevenciju
upada iz mreže. U novije doba pružatelji Internet usluga i velike kompanije na
centralnim korporacijskim preklopnicima koriste specijalne module kojima ti
preklopnici dobivaju uvid u najviši, sedmi sloj OSI/ISO modela. Takvi preklopnici
nazivaju se preklopnicima na sedmom sloju (eng. layer seven switches)
[http://www.securityfocus.com/infocus/1670, 20070320].
Postoje i druge tehnike za prevenciju upada iz mreže, kao primjerice aplikacijski
vatrozidi, hibridni preklopnici (eng. hybrid switches) i slično, međutim objašnjenje
svake od navedenih tehnologija prelazi okvire ovog seminara. Više o tome može se
pronaći u popisu literature.
2.4. Virtualne privatne mreže

Virtualna privatna mreža (eng. Virtual Private Network, VPN u danjem tekstu) je
tehnologija uspostavljanja privatne komunikacijske mreže koja omogućava korištenje
javne mreže (primjerice, Interneta) u svrhu ostvarivanja povjerljive komunikacije.
VPN mrežom mogu se prenositi podaci (primjerice, datoteke, elektronička pošta,
itd.), audio i video sadržaj i ostali sadržaj u elektroničkom obliku.
Ostvarivanje povjerljive komunikacije odnosno uspostava privatne mreže kroz
javnu mrežu postiže se tehnikom umotavnja (eng. encapsulate). Ideja je vrlo
jednostavna: mrežni paketi koji se trebaju prenositi preko javne mreže umotavaju se5
u pakete javne mreže. Slika 27 prikazuje primjer VPN komunikacije. Pretpostavimo,
radi jednostavnosti, da je uspostavljena stalna VPN veza između lijeve i desne
lokalne mreže. Pretpostavimo, nadalje, da jedno računalo iz lijeve mreže šalje
podatke za ispis na pisač u desnoj mreži. Računalo šalje mrežne pakete prema
prospojniku za lokalnu mrežu6. Prospojnik prima pakete, analizira zaglavlje paketa i
na temelju odredišne adrese zaključuje da taj paket treba preusmjeriti do desne
mreže. Tada cijeli mrežni paket, dakle podatke u mrežnom paketu i zaglavlje paketa,
šifrira. Nakon prethodne operacije, prospojnik stvara drugi mrežni paket u kojem je
izvorišna adresa njegova, a odredišna adresa adresa prospojnika desne mreže. U taj
paket stavljaju se kriptirani podaci iz prethodnog koraka. Kada drugi prospojnik primi
paket, on ga dešifrira. Iz dešifriranih podataka stvara mrežni paket koji postavlja na
mrežu odnosno šalje do pisača. Ovo je vrlo bazičan opis VPN komunikacije, ali
predstavlja dovoljne temelje za daljnju razradu tematike.
VPN
Slika 27: Primjer VPN komunikacije
Postoje tri vrste VPN veze obzirom na kranje točke veze.

U VPN vezi od domaćina do domaćina (eng. host to host) krajnje točke
komunikacije su pojedina računala što znači da se VPN veza uspostavlja između
svaka dva kranja računala. Ovakva VPN veza često se naziva i VPN veza s kraja na
kraj (eng. end to end). Najčešće se koristi za povjerljivi udaljeni pristup na
poslužitelje i mrežnu opremu. Može se koristiti i za udaljeni pristup na lokalna
računala radi održavanja istih. Slika 28 prikazuje VPN vezu ovog tipa.
VPN
Slika 28: Primjer VPN veze od domaćina do domaćina
5
Odnosno, njihov sadržaj smješta se u pakete javne mreže.
6
U ovom je slučaju prospojnik, vatrozid i uređaj za uspostavu VPN veze jedan uređaj.
U VPN vezi od domaćina do prospojnika (eng. host to gateway) krajnje točke

komunikacije predstavlja pojedino računalo i prospojnik. Ovaj tip VPN veze najčešće
se uporablja u svrhe udaljenog pristupa u korporacijsku mrežu. Vrlo često se radi o
korisnicima koji moraju dohvaćati podatke s lokalne mreže, a nalaze se dislocirani
(eng. remote user, road warrior). Slika 29 prikazuje VPN vezu netom opisanog tipa.
Slika 29: Primjer VPN veze od domaćina do prospojnika
Veza od prospojnika do prospojnika (eng. gateway to gateway) treći je tip VPN

veze. Ovaj tip veze najčešće se koristi pri spajanju dvije udaljene lokalne mreže. VPN
veza se, u ovom slučaju, uspostavlja između dva prospojnika. Slika 27 prikazuje
tipični primjer VPN veze od prospojnika do prospojnika.
Aplikacijski sloj
(eng. Application)
Prezentacijski sloj
(eng. Presentation)
Sjednički sloj
(eng. Session)
Prijenosni sloj
(eng. Transport)
Mrežni sloj
(eng. Network)
Podatkovni sloj
(eng. Data link)
Sloj fizičkog medija

(eng. Physical)
Slika 30: Slojevi na kojima je moguće uspostaviti VPN vezu
Postoji nekoliko vrsta VPN veza obzirom na sloj OSI/ISO 7-segmentnog modela
na kojem se uspostavlja veza. Tipično se to radi na jednom od navedenih slojeva:
aplikacijskom (sedmom), prijenosnom (četvrtom), mrežnom (trećem sloju) ili

podatkovnom (drugom sloju). Slika 30 prikazuje OSI/ISO 7-segmentni model s
posebno označenim slojevima na kojima je moguće uspostaviti VPN vezu. Na slici je
također grafički prikazan odnos cijena kao i težina integracije pojedinih rješenja u već
postojeću mrežnu infrastrukturu odnosno u već postojeću programsku podršku.
Primjerice, razmotrimo VPN vezu uspostavljenu na aplikacijskom sloju. Radi se o
programskoj izvedbi kriptiranja veze kao što je, primjerice, sigurni udaljeni pristup
školjci (eng. secure shell, SSH). Ovakvo rješenje je najjeftinije (postoje besplatni
programi koji omogućuju takav način zaštite komunikacije), međutim iznimno je
teško takvu vrstu VPN veze integrirati u već postojeće programe7. Tipični primjer
ovakvih veza jest spajanje udaljenih računala na poslužitelje u svrhu obavljanja nekih
operacija na samom poslužitelju. Slika 28 prikazuje takav primjer.
Suprotan primjer neka predstavlja VPN veza uspostavljena na mrežnom sloju. U
ovom se slučaju radi o sklopovskoj komponenti koja omogućuje ostvarivanje veze.
Klijenti uopće ne moraju biti svjesni postojanja VPN veze. Povezivanje udaljenih
mreža je tipičan primjer ovakvih veza. Udaljene mreže povezuju se preko sklopovskih
uređaja koji služe isključivo za to, ostvarivanje VPN veze između dviju ili više lokacija.
Sklopovski uređaji u sebi imaju ugrađenu svu logiku za šifriranje i distribuciju
mrežnog prometa. Slika 27 prikazuje tipičan primjer.
VPN veze koriste se kada je potrebno osigurati tajnost odnosno povjerljivost
informacija, očuvati cjelovitost i u svrhe autentikacije. Postoje i neki problemi
odnosno nedostaci VPN veza. Najznačajniji nedostatak je taj što je za uspostavu i
slanje paketa putem VPN veze potrebna dodatna obrada podataka (zbog šifriranja).
U svakom mrežnom paketu, pored korisnih informacija, potrebno je postaviti i neke
dodatne podatke (primjerice, radi očuvanja integriteta) kojima se koriste uređaji
odnosno programi s obje strane veze. To dovodi do smanjenja prostora u mrežnom
paketu za korisne informacije tj. do povećanja broja mrežnih paketa odnosno do
većeg mrežnog prometa. Zbog toga što VPN uspostavlja mrežni tunel između dvije
krajnje točke i logički skriva sve mrežne uređaje i putove (primjerice, usmjerivače i
slično) kojima prolaze paketi dijagnostika problema je otežana. K tome, šifrirani
mrežni promet još više otežava dijagnostiku.
2.5. Očvršćivanje lokalnog računalnog sustava

Sigurnost uspoređujemo s lancem. Kažemo da je lanac jak koliko i njegova
najslabija karika. Dio mreže čine pojedina računala odnosno računalni sustavi. Kako
računalni sustavi ne bi postali upravo ta najslabija karika, u ovom će poglavlju kratko
biti opisane metode i načini očvršćivanja lokalnih računalnih sustava.
Postupak očvršćivanja lokalnog računalnog sustava uglavnom se svodi na
modificiranje instalacije operacijskog sustava i/ili aplikacije kako bi se smanjio broj
ranjivosti (ako su poznate), odnosno broj prijetnji koje mogu djelovati na pojedine
atribute operacijskog sustava odnosno aplikacije.
7
To se može učiniti na dva načina. Ili modifikacijom postojeće programske podrške ili tzv. metodom
tuneliranja mrežnog prometa.
Osiguranje lokalnih sustava najčešće se vrši na 3 razine: na razini lokalne

sigurnosti, na razini mrežne sigurnosti te na razini aplikacijske sigurnosti. Slika 31
prikazuje slojeviti pogled na osiguranje lokalnih računalnih sustava.
Slika 31: Slojeviti pogled na osiguranje lokalnih računalnih sustava
Zaštita sustava od lokalnih napada uglavnom se svodi na postavljanje

odgovarajućih prava i restrikcija nad korisničkim računima i grupama. U nastavku je
popisano nekoliko kritičnih točaka koje je neophodno ispuniti kako bi se sustav
osigurao od lokalnih napada:
Potrebno je postaviti odgovarajuće restrikcije nad programima i alatima koji
služe za modifikaciju korisničkih podataka i podataka na disku,
Potrebno je izbrisati sve programe i alate koji nisu potrebni za rad sustava,
Potrebno je postaviti odgovarajuće dozvole nad datotečnim sustavom,
Potrebno je postaviti restrikcije nad korisničkim računima,
Potrebno je postaviti odgovarajuće dozvole nad korisničkim grupama,
Korisničke račune uputno je smjestiti u odgovarajuće grupe,
Vrlo je važno uspostaviti sustav bilježenja (eng. logging) informacija vezanih
uz sigurnosne događaje i sigurnosne incidente,
Vrlo je važno uspostaviti procedure za instalaciju redovitih osvježavanja
(eng. updates) i zakrpa (eng. patches).
Kada se sustav osigura od lokalnih napada, on i dalje nije siguran ako ga se ne

osigura od mogućih napada iniciranih s mreže. Slijedi popis kritičnih točaka koje je
potrebno ispuniti kako bi se sustav osigurao od napada iniciranih s mreže:
Potrebno je izbrisati sve nepotrebne korisničke račune,
Potrebno je postaviti prisilno korištenje snažnih zaporki,
Potrebno je uspostaviti odgovarajući mehanizam autentikacije/autorizacije
pri korištenju mrežnih servisa,
Potrebno je onemogućiti sve nepotrebne servise,
Potrebno je onemogućiti sve nepotrebne servise za dijeljenje resursa,
Potrebno je onemogućiti sve nepotrebne servise za udaljeni pristup,
Vrlo je važno uspostaviti procedure za instalaciju redovitih osvježavanja i
zakrpa.
Posljednji korak osiguranja računalnog sustava uključuje osiguranje na razini

aplikacijske podrške. To najčešće uključuje postavljanje odgovarajućih prava
pristupa, prisilno korištenje lozinki te uspostavljanje procedura za redovita
osvježavanja i zakrpe:
Potrebno je postaviti odgovarajuća prava pristupa,
Potrebno je postaviti prisilno korištenje snažnih zaporki,
Vrlo je važno uspostaviti procedure za instalaciju redovitih osvježavanja i
zakrpa.
2.5.1. Obrambene komponente lokalnog računalnog sustava

Jedno računalo, bilo poslužitelj ili osobno računalo, može se promatrati kao
računalna mreža u malom. Kako su u gornjem tekstu opisivane komponente i metode
oblikovanja sigurnih računalnih mreža, u nastavku će ukratko biti opisane obrambene
komponente lokalnog računalnog sustava.
Zaštita od malicioznih programa (eng. anti-virus) jedna je od najstarijih
upotrebljavanih komponenti. Uloga anti-virusnih programa jest detekcija i uklanjanje
malicioznih programa. Anti-virusni programi tipično imaju nizak stupanj krivo
prepoznatog benignog prometa, relativno su jeftini, a time i široko prihvaćeni
(postoje besplatne inačice ovih programa). Ovi programi imaju i neka ograničenja.
Oni otkrivaju maliciozne programe čiji sažetak već posjeduju u svojoj bazi. To
predstavlja poteškoće pri detekciji mutirajućih virusa. Nadalje, ako se osvježavanje
baze sažetaka ne radi redovito ili se radi prerijetko, odnosno ako je reakcija
dobavljača na nove viruse prespora, anti-virus najčešće neće biti u mogućnosti
detektirati maliciozne programe koji su relativno novi i vrlo brzo se šire.
Zaštita od prenosivog kôda, trojanskih konja i reklama (eng. anti-spyware, anti-
adware) još je jedna od komponenti. Programi ovog tipa najčešće uklanjaju prenosivi
kôd, trojanske konje i reklame koje anti-virusni programi ne prepoznaju.
Lokalni vatrozid također je komponenta koja se upotrebljava za zaštitu lokalnog
računalnog sustava. Dok je ideja mrežnog vatrozida zaštita cjelokupne mreže koja se
nalazi iza njega, uloga lokalnog vatrozida jest zaštita samo jednog - lokalnog
računala. Lokalni vatrozidi pregledavaju mrežne veze odnosno tijek podataka od i do
lokalnog računala. Njihova uporaba je obavezna na mobilnim računalima i računalima
koja se sele između mreža ili spajaju direktno na Internet mrežu (primjerice, putem
ISDN ili ADSL priključka). Uloga lokalnih vatrozida je dvojaka. U prvom redu oni služe
za sprječavanje neautoriziranih pristupa računalu8. Druga, manje očita, namjena jest
za indirektnu detekciju trojanskih konja. Naime, trojanski konji, po uspješnoj zarazi
računala, najčešće šalju podatke o zaraženom računalu na Internet. Podesi li se
lokalni vatrozid tako da promatra sve izlazne veze te dozvoljava samo autorizirane,
trojanski konj će pri pokušaju komunikacije s Internetom biti spriječen u svojem
naumu. Lokalne vatrozide je vrlo često potrebno ručno namještati odnosno
intervenirati dok ne postignu stabilno stanje. Navedeni proces predstavlja problem za
neobučeno osoblje. Nadalje, prilikom detekcije neautoriziranog pristupa ili
neautoriziranog pokušaja komunikacije, vatrozid, najčešće, podiže alarm s porukom.
8
Mrežni vatrozidi sprječavaju neautorizirani pristup cijeloj mreži.
Korisnik može dozvoliti pristup ili vezu, međutim, da bi razumio o čemu se radi,
odnosno dobro protumačio alarme koje podiže vatrozid potrebno je obučavanje.
Posljednja komponenta koja će biti dotaknuta u sklopu ovog dijela teksta jest
sustav za detekciju upada u lokalno računalo (eng. Host Intrusion Detection System,
HIDS u nastavku teksta). Uloga te komponente analogna je ulozi NIDS sustava
opisanog u poglavlju 2.3.1 na strani 24. HIDS sustavi nadgledaju mrežni promet koji
dolazi do i odlazi od lokalnog računala. Ako se radi o malicioznom prometu, podignut
će alarm. Valja istaknuti da oni, u nekim slučajevima, imaju uvid u šifrirani promet,
ovisno o tome šifrira li se promet prije provjere ili nakon provjere prometa HIDS
sustavom. Pored nadgledanja mrežnog prometa, HIDS sustavi nadgledaju integritet
datotečnog sustava, datoteke sa zapisima (eng. log files) te aktivnosti korisnika.
Nadgledanjem integriteta u mogućnosti su detektirati i najmanje promjene u
datotekama i time moguću prijetnju upada. U datotekama sa zapisima mogu pronaći
uzorke neautoriziranog ili drugog nedopuštenog ponašanja mrežnih i lokalnih servisa.
Slično razmatranje vrijedi i za nadgledanje aktivnosti korisnika.
2.6. Klopke namijenjene napadačima

Klopke namijenjene napadačima (eng. Honeypot) su posebno podešena računala
ili sustavi kojima se pokušava napadače uloviti u klopku, skrenuti im pažnju od
važnih sustava ili na neki način pružiti otpor napadu. Ideja je vrlo jednostavna:
Napadaču ponuditi računalo ili sustav koji je ranjiv i čiju se ranjivost može relativno
jednostavno iskoristiti. To računalo se napadaču mora činiti kao dio mreže, a ono,
ustvari, mora biti izolirano računalo van mreže koju se štiti ili računalo smješteno u
posebnoj mrežnoj zoni. Za sustave ovakvog tipa često se kaže da su to sustavi čija
vrijednost leži u njihovoj neautoriziranoj uporabi.
Klopke se najčešće dijele na klopke s visokim i niskim stupnjem interakcije
[http://software.newsforge.com/article.pl?sid=04/09/24/1734245, 20070402].
Stupanj interakcije iz prethodne definicije odnosi se na količinu odnosno broj
interakcija između klopki i potencijalnog napadača. Veći stupanj interakcije znači
prikupljanje više informacija o napadaču, ali i veći rizik za organizaciju.
Klopke s niskim stupnjem interakcije često rade na principu emulacije
operacijskog sustava i servisa pokrenutih povrh operacijskog sustava (primjerice,
SMTP servis na porodici operacijskih sustava Windows). Servisi su najčešće izvedeni
tako da podržavaju samo uski skup instrukcija odnosno protokola. Napadač je
ograničen isključivo na korištenje tog skupa instrukcija. Klopke s niskim stupnjem
interakcije relativno se jednostavno mogu uklopiti u već postojeću mrežu zbog svoje
jednostavnosti. Ovakve klopke predstavljaju minimalni rizik za organizaciju jer
napadač ne može iskoristiti slabosti operacijskog sustava ili servisa jer, zapravo,
operacijski sustav niti pravi servis ne postoje.
Klopke s visokim stupnjem interakcije razlikuju se od klopi opisanih u gornjem
tekstu utoliko što se sastoje od stvarnih operacijskih sustava i stvarnih servisa
(primjerice, postoji računalo s podešenim sustavom iz Windows porodice operacijskih
sustava te SMTP servisom podešenom povrh operacijskog sustava). Prednosti
ovakvih sustava u odnosu na one s niskim stupnjem interakcije nisu zanemarive. Ne
samo da se mogu prikupiti podaci o napadaču, već se može vidjeti na koji način
napadač upada u servis i operacijski sustav. Pruža se mogućnost presretanja

malicioznih programa koje napadač pokušava naseliti na računalo. Moguće je također
presresti interakciju napadača s računalom (akcije koje čini, primjerice, tipke koje
pritišće) i interakciju s drugim napadačima nakon uspjelog proboja. Iako ovaj tip
klopki ima niz prednosti, postoje i neki nedostaci. Klopke s visokim stupnjem
interakcije predstavljaju puno veći rizik za organizaciju. Kako se radi o stvarnim
operacijskim sustavima i servisima, napadač ih može iskoristiti za daljnje napade.
Nadalje, ovakvi su sustavi kompleksniji od prethodnih te zahtijevaju dodatna
podešavanja prilikom ugradnje u postojeću mrežu.
Klopka se u postojeću mrežu može ugraditi gotovo na bilo koje mjesto. Uputno
je, međutim, smjestiti je na mjesto s kojeg očekujemo napade. Slika 32 prikazuje
mrežu jedne omanje organizacije. Kako se napadi očekuju iz Internet zone, klopka
mora biti postavljena tako da se s njom može vršiti interakcija iz Internet zone.
Postavljena je, dakle, uz vatrozid.
Slika 32: Primjer postavljanja klopke u mrežu omanje organizacije
Slika 33 prikazuje načelnu mrežu računala jednog fakulteta. Klopka se postavlja

ispred zone s administrativnim računalima. Tamo se nalaze poslužitelji s bazama
podataka u kojima se nalaze svi podaci o studentima (uključujući ocjene).
Slika 33: Primjer postavljanja klope u fakultetsku mrežu

Klopke, zbog svojeg specifičnog načina rada, imaju nekoliko nedostataka. U

prvom redu, one prikupljaju podatke o napadaču samo kada napadač vrši interakciju
s njima. Važno je uočiti da potencijalni napadač može, zapravo, napasti stvarnu
mrežu i u tome uspjeti, a da klopka nije niti taknuta. Podaci o napadaču i metodi
napada, u tom slučaju, neće biti prikupljeni. Sljedeći, manji, nedostatak jest
uvođenje dodatnog rizika što ponajviše vrijedi za klopke s visokim stupnjem
interakcije. U gornjem je tekstu rečeno da se takve klopke mogu iskoristiti za daljnje
napade.
Ovakvi sustavi, međutim, imaju i niz prednosti. Smanjit će se broj krivo
podignutih alarma. Vjerojatnije je da će se interakcija s klopkom vršiti namjerno
(napad) nego slučajno. S druge strane, alarm će biti podignut za napade koji bi inače
prošli neopaženo. Primjerice, pretpostavimo li da se radi o novom tipu napada, IDS
sustav ga vrlo vjerojatno neće prepoznati jer u njegovoj bazi ne postoji zapis o
takvom napadu. Klopka će, međutim, poslužiti kao žrtveno janje te će napad biti
identificiran na tom sustavu što će omogućiti uvid u napad, a time i bržu reakciju
zaštite kritičnih sustava u mreži. Klopke mogu poslužiti i za detekciju napada sa
šifriranim mrežnim prometom. Naime, ukoliko se radi o takvom prometu i napadač
napada klopku, promet mora biti dešifriran pri interpretaciji u sustavu klopke.
Posljednja značajna prednost je izuzetno malen zahtjev na resurse. Za klopku može
poslužiti već gotovo odbačeno računalo.
Primjeri dizajna sigurnih računalnih mreža 37
3. Primjeri dizajna sigurnih računalnih mreža

U ovom poglavlju prikazani su primjeri nekolicine računalnih mreža. Prikazane
računalne mreže dizajnirane su za različite vrste korisnika. Dizajn je ostvaren tako da
se postigne maksimalna sigurnost uz potpunu zahtijevanu funkcionalnost.
Najjednostavnija prikazana mreža je kućna mreža. Potom slijedi prikaz korporacijske
mreže bez javnih servisa. Uvođenje javnih servisa u korporacijsku mrežu te daljnje
segmentiranje mreže prikazano je u narednom primjeru. Posljednji primjer prikazuje
dio korporacijske mreže jedne institucije koja se bavi prodajom knjiga putem
Interneta.
3.1. Kućna računalna mreža

Kućna računalna mreža je, vrlo vjerojatno, najjednostavniji mogući primjer
računalne mreže. Općenito takve se mreže sastoje od priključka na Internet mrežu,
često putem nekog javnog servisa, i nekolicine računala. Slika 34 prikazuje jednu
takvu mrežu. S lijeve strane slike nalazi se Internet zona. Internet zona i mreža koju
promatramo vezane su ADSL vezom. ADSL veza kao i ADSL usmjerivač u vlasništvu
su pružatelja Internet usluga (eng. Internet Service Provider, ISP u danjem tekstu)9.
Slika 34: Primjer kućne mreže
9
U Europi je najčešće slučaj da su i linija i krajnji usmjerivač u vlasništvu ISP-a. U SAD je situacija
nešto drugačija. U ISP-ovom vlasništvu je samo veza dok je korisnik dužan sam dobaviti i podesiti
usmjerivač za spajanje. U prikazanom bi slučaju to značilo da korisnik doslovno dobije komad žice te
je za ostalo zadužen sam.
Kako je u lokalnu mrežu potrebno spojiti više od jednog računala, usmjerivač se

dalje povezuje na preklopnik. U preklopnik se, u prikazanom primjeru, spajaju stolno
i prijenosno računalo. Pisač u ovom slučaju nije bitan jer se radi o pisaču spojenom
na stolno računalo, a ne o mrežnom pisaču.
ADSL usmjerivač u prikazanom primjeru spaja dvije mreže: javnu, Internet
mrežu i lokalnu mrežu. Usmjerivači barataju s podacima mrežnog paketa na 3 sloju
ISO/OSI 7-segmentnog modela kako je i opisano u poglavlju 2.1.3 na strani 9. To
znači da IP adrese jedne i druge mreže moraju biti različite. Javna IP adresa, koju
dodjeljuje ISP, postavlja se na lijevoj strani usmjerivača. Privatna IP adresa, koja
može biti dodijeljena automatski ili postavljena ručno, dodjeljuje se računalima
spojenim na preklopnik. Maleni, kućni preklopnici tipično nemaju dodijeljenu IP
adresu.
Valja još primijetiti da usmjerivač prikazanu mrežu segmentira u dvije zone:
lokalnu zonu i Internet zonu.
Slika 35 prikazuje istu mrežu s dodatno ugrađenim vatrozidom. Vatrozid se
postavlja između preklopnika i usmjerivača. Preklopnik je tipično u vlasništvu vlasnika
kućne mreže dok je usmjerivač u vlasništvu ISP-a. Granica se, obzirom na ovlasti,
može povući između te dvije naprave. Upravo je iz tog razloga tu postavljen vatrozid.
U ovako postavljenoj mreži, u odnosu na onu prikazanu prethodno, postoje 3 mrežne
zone. To su: Internet zona, DMZ zona i zona lokalne mreže. Internet zona obuhvaća
sve do usmjerivača i usmjerivač. DMZ zona nalazi se između usmjerivača i vatrozida i
u prikazanom slučaju je prazna10. Vatrozid čini granicu između DMZ zone i lokalne
mreže.
Slika 35: Primjer kućne mreže s ugrađenim vatrozidom
Kada se priča o kućnim mrežama općenito se radi o mrežama s nekoliko

računala. Najčešće se radi o dvije ili tri mrežne zone odvojene usmjerivačem odnosno
vatrozidom. Računala se spajaju u jednu komunikacijsku točku putem preklopnika
koji se nalazi u zoni lokalne mreže.
Dodatnu analizu mreža ovakvog tipa i veličine ne treba dalje provoditi. Ovo
poglavlje opisuje samo osnove koje predstavljaju polaznu točku za naredne,
kompleksnije primjere.
10
Kućne mreže su tipično male i ne nude mreže s javnim servisima, pa se u DMZ zonu, ako ona uopće
postoji, ne postavljaju dodatna računala. Primjeri s računalima u DMZ zoni bit će prikazani u nastavku.
3.2. Korporacijska mreža bez javnih servisa

Mreža korporacije koja nema javnih mrežnih servisa nešto je kompleksniji primjer
od kućne mreže opisane u prethodnom poglavlju. Načelno je organizacija mreže ista.
Pristup Internetu ostvaruje se putem ADSL ili slične tehnologije, ili putem stalne veze
(primjerice, optička veza ili bežične komunikacije). Slika 36 prikazuje jednu
korporacijsku mrežu bez javnih servisa. Vidimo da se veza prema Internetu ostvaruje
putem ADSL priključka. Kao i prije, postoji ADSL usmjerivač koji je povezan s
preklopnikom u unutarnjoj mreži. Na preklopnik su povezana računala zaposlenika,
mrežni pisač i poslužitelj. Ova mreža sastoji se od dvije mrežne zone koje dijeli
usmjerivač: lokalne zone i Internet zone.
Slika 36: Primjer korporacijske mreže bez javnih servisa
Slika 37 prikazuje još jednu korporacijsku mrežu bez javnih servisa, no za razliku
od prethodne, ovdje se pristup Internetu ostvaruje preko stalne veze s fiksnom IP
adresom. Dodatno je postavljen i vatrozid na kojem su postavljena takva pravila da
ne dopušta pristup iz Internet zone u lokalnu zonu. Vatrozid može biti bilo kojeg tipa,
no presudni kriterij za izbor je, obzirom na veličinu mreže, cijena.
Slika 37: Primjer korporacijske mreže bez javnih servisa sa stalnom vezom
Slika 38 prikazuje još jedan primjer ovakvog tipa mreže, međutim, ovog puta
konkretni. Radi se o računalnoj mreži postavljenoj u poslovnici jedne turističke
zajednice. Poslovanje u turističkoj zajednici temelji se na računalima (rezervacije
karata, hotela, itd.) te je zbog toga važno da svaki zaposlenik posjeduje računalo.
Pored osobnih računala, važno je imati pisače te poslužitelje. Na poslužiteljima se
nalaze baze s podacima korisnika te već sklopljeni ugovori i ostali dokumenti.
Poslovnica, nadalje, želi omogućiti svojim posjetiteljima pregled Internet stranica
odredišnih lokacija, hotela, znamenitosti, itd.
ADSL
usmjerivač Zona s računalima
za javno korištenje
Internet
ADSL veza
Preklopnik
Vatrozid
Zona s računalima
zaposlenika
Slika 38: Primjer mreže poslovnice turističke agencije
Sve mrežne uređaje koji se nalaze u poslovnici moguće je povezati putem jednog
preklopnika, no zbog osiguranja sadržaja koji se nalazi na poslužiteljima i računalima
zaposlenika potrebno je razdvojiti računala za javno korištenje od ostalih. To se može
učiniti ili putem dva preklopnika i usmjerivača ili na način kako je izvedeno u
primjeru, podešavanjem virtualnih mrežnih segmenata na preklopniku. Virtualni
mrežni segmenti i IEEE 802.1Q mehanizam opisan je u poglavlju 2.1.6 na stranici 12.
Važno je još napomenuti da je potrebno ispravno podesiti vatrozid. U prvom redu
potrebno je zabraniti pristup iz Internet zone iz očitih razloga. Zatim je potrebno
zabraniti pristup iz zone s računalima posjetitelja u zonu s računalima zaposlenika.
Na kraju, kako se ne bi zlouporabila računala za posjetitelje, na vatrozidu je potrebno
definirati takva pravila da posjetitelji mogu pristupiti samo Internet stranicama s
provjerenim sadržajem.
Na samom kraju ovog dijela zgodno je napomenuti da se u praksi vrlo često
nailazi na slučaj kada vlasnici ovakvog tipa mreža iznajmljuju javne servise.
Primjerice, iznajmljuje se servis web sadržaja i servis elektroničke pošte. Fizički se
poslužitelji s tim servisima nalaze izvan lokalne mreže pa taj slučaj nije razmatran.
3.3. Korporacijska mreža s javnim servisima

Korak dalje od korporacijske mreže bez javnih servisa opisane u prethodnom
poglavlju je korporacijska mreža s javnim servisima. Pružanje javnih servisa je opći
pojam kojim se govori da korisnici preko Interneta mogu koristiti neke od servisa
koje pruža korporacija.
Slika 39 prikazuje jednu takvu mrežu koja je u nastavku objašnjena detaljnije.
Veza na Internet mrežu mora biti stalna s fiksnom IP adresom kako bi se servisi
uvijek pružali na istoj IP adresi. Pretpostavlja se da je usmjerivač u vlasništvu
pružatelja Internet usluga. Na usmjerivač je povezan vanjski vatrozid.
Slika 39: Primjer korporacijske mreže s javnim servisima (dva vatrozida)
S druge strane vanjskog vatrozida nalazi se preklopnik te unutarnji vatrozid.

Zona koju čine vanjski i unutarnji vatrozid za navedenu mrežu smatra se DMZ
zonom. Zona koju čine usmjerivač i vanjski vatrozid također je DMZ zona. Međutim,
vanjska DMZ zona ovdje nije u fokusu pa se pod DMZ zonom u nastavku teksta misli
na unutarnju odnosno onu koju čine dva vatrozida. Na preklopnik su spojeni
poslužitelji koji pružaju javne servise. Radi se o imeničkim (eng. Domain Name
System, u nastavku DNS) poslužiteljima, poslužitelju web sadržaja, poslužitelju
elektroničke pošte te datotečnom poslužitelju. Uloga DNS poslužitelja jest pretvaranje
IP adresa u, korisniku pristupačnija, imena (primjerice, 161.53.72.111 u www.fer.hr).

Uloga poslužitelja web sadržaja je jasna. Poslužitelj elektroničke pošte u DMZ zoni
prima elektroničku poštu pristiglu s Interneta i preusmjerava je na unutarnji
poslužitelj. Datotečni poslužitelj u DMZ zoni služi za razmjenu datoteka. Na njega,
primjerice, djelatnici korporacije stavljaju zakrpe za produkte koje nude kako bi
zakrpe bile dostupne svim njihovim korisnicima. Unutarnji vatrozid čini granicu prema
zoni interne mreže. Interna mreža dalje je podijeljena u tri zone pomoću 802.1Q
mehanizma. U prvoj zoni nalaze se poslužitelji s globalnim servisima. Radi se o
servisu elektroničke pošte, DNS servisu, unutarnjem poslužitelju web sadržaja, itd. U
drugoj zoni nalaze se poslužitelji datoteka i baza podataka. Posljednja zona unutarnje
mreže sadrži korisnička računala i zastupnik za pristup Internetu. Navedenoj zoni
imaju pristup svi zaposlenici (plavi čovječuljci) dok prijašnjim dvjema zonama imaju
pristup isključivo administratori sustava (crveni čovječuljci).
Zgodno je napomenuti da se ovakva organizacija DMZ-a u praksi naziva i DMZ s
dva sučelja (eng. Dual-homed DMZ). Naime, DMZ se nalazi između dva vatrozida:
vanjskog i unutarnjeg pa u skladu s navedenim postoje vanjsko i unutarnje sučelje.
Zanimljivo je vidjeti tijek komunikacije prilikom primitka elektroničke poruke.
Pretpostavimo da elektroničku poruku šalje poslužitelj koji se nalazi u Internet zoni.
On u prvom koraku za poznato ime odredišta dobavlja IP adresu. To radi tako da
kontaktira vanjski vatrozid koji propušta upit do DNS poslužitelja. Vraćena IP adresa
je ustvari IP adresa vatrozida na koju se preslikava vanjski poslužitelj elektroničke
pošte. U drugom koraku poslužitelj koji se nalazi u Internet zoni pokušava uspostaviti
vezu s vanjskim poslužiteljem elektroničke pošte. Opet se javlja vanjski vatrozid koji
propušta vezu do poslužitelja. Kada je veza između dva poslužitelja elektroničke
pošte uspostavljena, šalje se poruka. Nakon uspješno poslane poruke, veza se
prekida. Sada poslužitelj elektroničke pošte u DMZ zoni uspostavlja vezu s unutarnjim
poslužiteljem elektroničke pošte koji se nalazi u zoni unutarnje mreže i to u zoni u
kojoj se nalaze poslužitelji s globalnim servisima. Postupak uspostave veze sličan je
kao i onaj prethodno opisani s razlikom da se ovdje radi o unutarnjem vatrozidu.
Elektronička pošta smješta se u poštanski sandučić odredišnog korisnika.
Kada korisnik pročita poruku i odgovori na nju, komunikacija teče u obrnutom
smjeru. Unutarnji poslužitelj elektroničke pošte preko unutarnjeg vatrozida
uspostavlja vezu s poslužiteljem elektroničke pošte u DMZ zoni. Kada poruka
pristigne u cijelosti na poslužitelj u DMZ zoni, veza s unutarnjim poslužiteljem se
prekida, a vanjski uspostavlja vezu s poslužiteljem elektroničke pošte u Internet zoni
preko vanjskog vatrozida.
Uloga zastupnika koji se nalazi u zoni s računalima i poslužiteljima nije opisana.
Zadaća tog zastupnika je dvostruka. U prvom redu, on igra ulogu priručnog
spremnika sadržaja web stranica. Kada korisnici pristupaju web sadržaju unutar
Internet zone, on pristigli web sadržaj pamti kako bi naredni korisnici koji pristupaju
istom sadržaju dobili brže odgovore te kako se ne bi uzaludno opterećivala veza
prema Internetu. Druga uloga zastupnika jest provjera sadržaja kojeg šalju i primaju
zaposlenici. On pregledava svaki izlazni i svaki ulazni mrežni paket kako po mrežnim
podacima (primjerice, IP adresa) tako i po sadržaju. Ovaj zastupnik zna tumačiti sve
protokole kojima se služe zaposlenici kada dohvaćaju sadržaj s Interneta. Zastupnici
su detaljnije opisani u poglavlju 2.2.4 na stranici 22.
U gornjem tekstu nije rečeno o kojim se tipovima vatrozida radi. U ovom slučaju
je to gotovo nebitno, međutim bilo bi dobro da barem unutarnji vatrozid ima
mogućnost praćenja stanja veze. Vanjski vatrozid može biti izveden kao prozirni
vatrozid (pri čemu bi sva računala u DMZ zoni poprimila javne IP adrese), kao filtar
mrežnih paketa ili kao vatrozid s praćenjem stanja veze. Uputno je, nadalje, da
izabrana rješenja za vatrozide budu od različitih proizvođača. Time se postiže nešto
veća sigurnost jer se smanjuje vjerojatnost da oba vatrozida imaju istu
novootkrivenu ranjivost.
Slika 40 prikazuje funkcionalno istu mrežu, no umjesto dva vatrozida koristi se
jedan. Ovime se izbjegava nabavka dva heterogena sustava, a samim time se
pojeftinjuje rješenje i pojednostavnjuje kasnije održavanje. Treba imati na umu,
međutim, da ovakav vatrozid mora znati barem osnove usmjeravanja mrežnog
prometa11 što neka tehnička rješenja ne podržavaju.
Vanjski Vanjski
imenički poslužitelj
poslužitelji web sadržaja
Unutarnji Unutarnji Unutarnji

poslužitelj imenički poslužitelj
web sadržaja poslužitelji elektroničke
pošte
Vanjski Vanjski Zona poslužitelja s unutarnjim

poslužitelj datotečni
poslužitelj
globalnim servisima
elektroničke
pošte
Usmjerivač
Stalna veza
Internet s fiksnom
IP adresom
Poslužitelji
Datotečni s bazom
Vatrozid poslužitelji podataka
Zona poslužitelja datotečnog

sadržaja i baza podataka
Zastupnik
Zona s računalima i
poslužiteljima zaposlenika
Slika 40: Primjer korporacijske mreže s javnim servisima (jedan vatrozid)
11
Spojen je na tri mreže pa pored uloge vatrozida ima i ulogu usmjerivača.
Nadalje, moglo bi se zaključiti kako je gornje rješenje s dva vatrozida robusnije

te pruža veću sigurnost obzirom na kvarove. To je djelomična istina. Naime, ako se
dogodi kvar unutarnjeg vatrozida, može se pretpostaviti da servisi koji se pružaju iz
DMZ zone potpuno ili djelomično funkcioniraju (primjerice, ako dođe do kvara
unutarnjeg vatrozida, pristigla pošta neće biti odbijena jer će se skupljati na
poslužitelju unutar DMZ zone). Ako se pak dogodi kvar na vanjskom vatrozidu, iz
funkcije ispada kompletna mreža. U drugom slučaju postoji jedan vatrozid te
njegovim kvarom ispada cijela mreža. Jedini način zaštite od kvarova vatrozida je
ostvarivanje zalihosti u njima samima.
Gledano na sigurnost s aspekta tehnologije, prvo riješenje nudi nešto bolju
otpornost na napade i proboje ako se radi o vatrozidima različitih proizvođača.
Slika 41 prikazuje mrežu korporacije koja se bavi izradom, udomljavanjem (eng.
hosting) i održavanjem web sadržaja za druge korporacije. Mreža u vlasništvu ove
korporacije sastoji se od dva dijela: mreže s računalima zaposlenika i mreže s
poslužiteljima na kojima se nalaze web stranice i podaci njihovih klijenta.
IDS senzor IDS senzor
Nadgledna stanica
Vatrozid
Usmjerivač
za
ve
a om
taln ksn som
S f i re
s ad
IP
Poslužitelji s
Poslužitelj bazama podataka
Internet Poslužitelj web sadržaja
elektroničke
pošte
St
a
s ln
IP fiks a ve Vanjski vatrozid
ad no za
re m
so
m
Usmjerivač
Unutarnji vatrozid
Poslužitelji
VPN web sadržaja Poslužitelji s
Klopka bazama podataka
IDS senzor IDS senzor IDS senzor IDS senzor IDS senzor
Nadgledna stanica
DMZ zona Zona s poslužiteljima Zona s poslužiteljima

Internet zona
(vanjska zona) web sadržaja baza podataka
Slika 41: Primjer stvarne mreže s javnim servisima
U gornjem dijelu mreže nalaze se računala zaposlenika. Vatrozid dijeli mrežu u tri
zone: Internet zonu, zonu za javne servise i zonu s računalima i poslužiteljima. U zoni
za javne servise nalazi se poslužitelj elektroničke pošte. Princip i način njegova rada
opisan je u gornjem tekstu. Zonu s računalima i poslužiteljima nije potrebno dodatno
objašnjavati. IDS sustav u gornjem dijelu mreže sastoji se od dva IDS senzora i
nadgledne stanice. IDS senzori spojeni su ispred i iza vatrozida kako bi se moglo
dobiti uvid u eventualne prijetnje. Način rada te način spajanja IDS sustava
objašnjen je u poglavlju 2.3.1 na stranici 24.
Donji dio slike predstavlja mrežu s poslužiteljima sadržaja. Budući da se
korporacija, čija se mreža analizira, bavi izradom, održavanjem i udomljavanjem web
sadržaja za klijente, ne smije se dopustiti niti najmanji ispad ovog dijela mreže. Ona
mora raditi bez smetnji i konstantno. Upravo je to razlog zbog kojeg je većina
sustava zalihosna. Kako je veza na Internet te usmjerivač u vlasništvu pružatelja
Internet usluga, pretpostavlja se da su te komponente također zalihosne iako to nije
eksplicitno ucrtano. Na usmjerivač je spojen zalihosni preklopnik čija je uloga
omogućiti spajanje vatrozida, VPN uređaja i klopke istovremeno.
Uloga vatrozida je jasna. Kako vanjski vatrozid propušta ili zabranjuje pristup
kritičnim poslužiteljima s web sadržajem te predstavlja prvu crtu obrane spomenuti
vatrozidi su takvi da imaju mogućnost pregledavanja mrežnog prometa sve do
najvišeg sloja OSI/ISO 7-segmentnog modela. Radi se, dakle, o vatrozidima
zastupnicima.
VPN uređaji služe za sigurno spajanje zaposlenika u mrežu s poslužiteljima.
Zaposlenici stvaraju i održavaju web sadržaj na svojim računalima i razvojnim
poslužiteljima koji su u sklopu gornje mreže na slici. Kada je razvoj gotov oni, iz
unutarnje mreže, uspostavljaju vezu s VPN uređajem. Ukoliko je autentikacija i
autorizacija uspješna, vatrozid ih propušta do web poslužitelja u štićenoj zoni.
Uloga i princip rada klopke opisani su u poglavlju 2.6 na stranici 34. Zadaća tog
sustava jest predstaviti se potencijalnom napadaču kao slaba točka koju će napadač
iskoristiti. Za to vrijeme administratori sustava prikupit će informacije o napadaču i
tipu napada posredno iz sustava klopke te neposredno iz IDS sustava. IDS senzori
postavljeni su ispred i iza klopke kako bi se mogle prikupiti informacije o napadu
usmjerenom prema klopci kao i onom prema drugim dijelovima mreže.
Sustav unutarnjih i sustav vanjskih vatrozida čine granice zone s poslužiteljima
web sadržaja. Vatrozidi su povezani putem zalihosnog preklopnika. Na preklopnik su,
pored vatrozida, spojeni svi poslužitelji web sadržaja. IDS senzori spojeni su i u ovaj
segment. Jedan je IDS senzor spojen na mrežu neposredno nakon vanjskog
vatrozida, dok je drugi spojen neposredno ispred unutarnjeg vatrozida. Uloga je
prvoga prikupiti informacije o prometu koji prolazi kroz vanjski vatrozid te je
usmjeren prema poslužiteljima web sadržaja. Uloga drugog vatrozida jest prikupiti
iste informacije za promet koji je usmjeren prema unutarnjem vatrozidu. U pravilu bi
se trebalo raditi o mrežnom prometu kojeg stvaraju poslužitelji web sadržaja, a
usmjeren je prema poslužiteljima s bazama podataka. Ako to nije slučaj, taj IDS
senzor može podignuti alarm.
Uloga unutarnjih vatrozida slična je ulozi vanjskih. Ono što za zonu s
poslužiteljima web sadržaja predstavlja Internet zona, to za zonu s poslužiteljima
baza podataka predstavlja zona s poslužiteljima web sadržaja. Može se reći da je
zona s poslužiteljima baza podataka najkritičnija zona pa se zato ona nalazi iza još
jednog sustava vatrozida. Po prethodnom principu i ovdje se IDS senzor nalazi
spojen neposredno iza vatrozida. Uloga tog IDS senzora u kombinaciji s onim
spojenim ispred vatrozida jest dobiti uvid u to koliko efikasno radi unutarnji vatrozid
kao sigurnosna kontrola. Uloga unutarnjeg vatrozida jest dopustiti pristup točno
jednom poslužitelju s bazom podataka od točno određenog poslužitelja web sadržaja
u zoni koja se nalazi ispred i to po točno određenom protokolu. Kako se radi o vrlo
kritičnim podacima (primjerice, u tim bazama podataka mogu se nalaziti razni cjenici
i druge vrlo kritične informacije) i ovaj vatrozid ima mogućnost pregledavanja
protokola na najvišem sloju OSI/ISO modela. Drugim riječima, i ovo je vatrozid
zastupnik. Donji dio mreže završava zalihosnim preklopnikom i poslužiteljima s
bazama podataka.
Važno je primijetiti da, iako su i vanjski i unutarnji vatrozidi zapravo vatrozidi
zastupnici, postoje razlike. Vanjski znaju tumačiti protokol kojim komuniciraju
preglednik web sadržaja i web poslužitelj. Unutarnji, s druge strane, tumači protokol
kojim komuniciraju web poslužitelji s bazama podataka (primjerice, Oracle SQLNet).
3.4. Primjer dobro postavljene korporacijske mreže

Posljednji primjer ovog poglavlja prikazuje dobro postavljenu korporacijsku
mrežu gledano s aspekta sigurnosti. Kako nisu opisivani poslovni procesi korporacije,
a prikazana mreža je izgrađena za općenitu primjenu, ovo je ujedno i vrlo dobar
predložak za izgradnju i dizajn sigurnih računalnih mreža.
Slika 42 na stranici 47 prikazuje spomenutu računalnu mrežu. Mreža se sastoji od
nekoliko zona koje su opisane u nastavku teksta.
Vezu na Internet pružaju dva različita pružatelja Internet usluga. Svaki od njih
ima svoj usmjerivač. Iza usmjerivača nalaze se dvostruki vatrozidi i dvostruki VPN
uređaji za udaljeno spajanje.
IDS senzor spojen je ispred vatrozida kako bi se dobio uvid u prijetnje iz Internet
zone. Vanjski vatrozid dijeli korporacijsku mrežu na dva dijela: podmrežu za pružanje
Internet servisa (vidi desni dio slike) i unutarnju mrežu (vidi donji dio slike).
Komunikacija korisnika iz Internet zone s poslužiteljima koji pružaju Internet
usluge odvija se preko obrnutog zastupnika. On je ujedno i jedina veza između
vanjskih vatrozida i tih poslužitelja. Svaka se veza prema tim poslužiteljima dodatno
pregledava na tom obrnutom zastupniku.
Prikazana korporacija u zoni za pružanje Internet servisa ima nekoliko poslužitelja
(vidi gornji desni dio slike). U prvom redu tu su primarni i sekundarni vanjski imenički
poslužitelji (DNS) te poslužitelji za sinkronizaciju točnog vremena (NTP). U istoj se
zoni nalazi poslužitelj web sadržaja, poslužitelj elektroničke pošte s postavljenom
zaštitom od malicioznih programa i neželjenog sadržaja, te datotečni poslužitelj
(FTP). IDS senzor vezan je na segment mreže koji dijele vanjski vatrozid i obrnuti
zastupnik kao i na segment mreže na koji su vezani gore opisani poslužitelji.
U unutarnjoj se mreži, odmah iza vanjskog vatrozida, nalaze usmjerivač,
zastupnik i unutarnji poslužitelj elektroničke pošte (vidi sredinu slike).
Uloga unutarnjeg poslužitelja elektroničke pošte jest pohrana i razmjena poruka
zaposlenika korporacije. Pored navedenog, on od vanjskog poslužitelja elektroničke
pošte prima poruke namijenjene korisnicima unutar korporacije. Važno je istaknuti da
i vanjski i unutarnji poslužitelj imaju postavljenu zaštitu od malicioznih programa i
neželjenog sadržaja. Kako bi se povećao stupanj detekcije malicioznog i neželjenog
sadržaja, na poslužitelje su postavljeni proizvodi za detekciju različitih proizvođača.
Drugim riječima, ako virus nije prepoznat na vanjskom poslužitelju, postoji veća
vjerojatnost da će biti prepoznat na unutarnjem budući da se radi o različitom
Slika 42: Primjer dobro postavljene korporacijske mreže

dobavljaču podrške za detekciju malicioznih programa. Kada se elektronička pošta
šalje van organizacije, poruke se prvo skupljaju na unutarnjem poslužitelju, a potom
ih on predaje vanjskom koji je zadužen za slanje na Internet.
Druga navedena komponenta u tom dijelu mreže je zastupnik. U ovom se slučaju
radi o normalnom zastupniku. Njegova uloga je, u prvom redu, smanjiti opterećenje
veze na Internet tako da se izbjegnu višestruki uzastopni dohvati istog sadržaja. Uz
spomenuto, ovaj će zastupnik otkriti i prekinuti napade i neke tipove curenja
informacija12 iz unutarnje mreže prema Internetu.
Treća komponenta je obični usmjerivač. Njegova je uloga propustiti sve
protokole iz unutarnje mreže prema vanjskoj Internet mreži ili prema mreži u kojoj se
nalaze poslužitelji Internet servisa, a koji nisu podržani zastupnikom. Drugim
riječima, ako zastupnik ne zna tumačiti neki od protokola koji je organizaciji, odnosno
nekom poslovnom procesu unutar organizacije, potreban za rad, tada se on propušta
kroz ovaj usmjerivač. Ovo se smatra lošom praksom, međutim, ovisno o protokolu,
takvo rješenje ne mora unositi dodatne rizike u već postojeću mrežu. Primjerice,
koristi li se taj usmjerivač za propuštanje protokola za nadgledanje (primjerice,
SNMP) poslužitelja u zoni za Internet servise, njegova uporaba je opravdana. Tim
više što će taj protokol biti propušten isključivo od stanice za nadgledanje mreže do
pojedinih poslužitelja.
Kako je na slici prikazano, IDS senzori vezani su na oba mrežna segmenta.
Unutarnji vatrozid ponovno ima tri mrežna sučelja i shodno tome dijeli taj dio
mreže u tri segmenta. Prvi segment opisan je u prethodnom tekstu. Drugi segment
je segment za nadzor i upravljanje mrežnim sustavima, dok je treći segment onaj s
računalima i unutarnjim poslužiteljima. Analiza ova dva segmenta slijedi u nastavku.
Segment za nadzor i upravljanje mrežnim sustavima prikazan je na lijevom dijelu
slike. Prikazani su samo neki, važniji sustavi u tom segmentu. U prvom redu, tu se
nalazi stanica za nadzor i upravljanje IDS senzorima. Svi IDS senzori koji su ucrtani u
slici vezani su na tu nadzornu stanicu. Na njoj je moguće pregledavati zapise i alarme
IDS senzora, vremenski korelirati zapise i slično.
Sljedeći je tu RADIUS poslužitelj. Njegova je uloga autentikacija udaljenih
korisnika. Kada se udaljeni korisnici spajaju na ovu mrežu koriste Internet kao medij.
Spajaju se putem VPN mehanizma koji je detaljnije opisan u poglavlju 2.4 na stranici
28. VPN uređaji za prihvat udaljenih korisnika već su opisani, a nalaze se spojeni
paralelno uz vanjski vatrozid. Kada se udaljeni korisnik spoji na VPN uređaj on od
njega zatraži korisničko ime i lozinku. Potom se uspostavlja veza s RADIUS
poslužiteljem koji na neki način provjerava podatke i potom, ili daje odobrenje, ili
odbija korisnika. To se može učiniti na više načina13, međutim u ovom primjeru, iako
nije prikazano, RADIUS poslužitelj postavlja upit unutarnjem Windows temeljenom
autentikacijskom poslužitelju te prosljeđuje njegov odgovor natrag do VPN uređaja.
U ovom segmentu mreže nalazi se još i nadzorna i upravljačka stanica za
vatrozide. Ideja je sljedeća. Na vatrozidima direktno nije moguće promijeniti niti
12
Primjerice, maliciozne programe koji prisluškuju rad korisnika te na Internet šalju korisnička imena,
lozinke, brojeve računa, PINove, itd.
13
RADIUS poslužitelj može se promatrati kao međusloj prema stvarnom mehanizmu autorizacije.
Stvarni mehanizam autorizacije može biti neki vanjski servis (kako je zapravo izvedeno u ovoj mreži) ili
lokalni servis (primjerice, autentikacija pomoću baze podataka).
jedan parametar. Drugim riječima, nije moguće mjenjati datoteke s postavkama

vatrozida. Navedeno predstavlja dodatno osiguranje. Pretpostavimo li da napadač
nekako i uspije probiti vatrozid, on neće moći modificirati njegove postavke zbog
upravo obrazloženog. Nadgledna i upravljačka stanica koja se nalazi u unutarnjoj
mreži radi upravo to, prikuplja zapise s vatrozida, podiže alarme te ovlaštenom
osoblju omogućuje promjenu postavki na vatrozidima.
Jedna radna stanica odnosno poslužitelj s bazom podataka također se nalazi u
ovom segmentu mreže. Uloga tog poslužitelja je prikupljati zapise sa svih mrežnih
uređaja. Na njemu su postavljeni agenti koji prikupljaju zapise iz vatrozida, VPN
uređaja, usmjerivača, zastupnika i ostalih. U konačnici, na njemu se nalaze svi zapisi
koji pristižu u vremenskom redoslijedu događaja. Ovlašteno osoblje te zapise može
koristiti za analizu sigurnosnih događaja i incidenata. Pomoću njih je moguće točno
ustanoviti što je potencijalni napadač pokušavao učiniti, na kojem uređaju i kojim
redoslijedom.
Posljednja radna stanica ucrtana na slici ima ulogu nadzorne i upravljačke radne
stanice za mrežne uređaje. Ona putem SNMP protokola prikuplja informacije s
uređaja (primjerice, opterećenje procesora, iskorištenje memorije, iskorištenje
diskova, promet po vratima preklopnika, broj spajanja na VPN uređaj i slično),
sprema ih u lokalnu bazu te po potrebi može učiniti analizu (primjerice, iscrtati
grafove i slično). Pomoću ove radne stanice moguće je također mijenjati postavke na
mrežnim uređajima za koje je to dozvoljeno (primjerice, isključiti jedna vrata
preklopnika ili usmjerivača ako je ustanovljeno da s njih pristiže maliciozni mrežni
promet).
Konačno, posljednji segment ove mreže predstavljaju računala zaposlenika i
unutarnji poslužitelji (vidi dolje desno). Taj segment nije detaljnije opisivan. U njemu
se nalaze poslužitelji koje koriste isključivo zaposlenici (primjerice, pojedini imenički
poslužitelji, razno-razne baze podataka) te radne stanice i prijenosna računala
zaposlenika. Pored računala, u ovom se segmentu nalaze mrežni pisači i drugi slični
uređaji (primjerice, fax uređaj).
Prikazana mreža izvučena je iz cjelokupne stvarne mreže jedne korporacije. Kako
predstavlja izvrstan primjer dobro projektirane mreže obzirom na sigurnost te kako
mreža s računalima zaposlenika nije detaljno razrađena niti su postavljeni specifični
servisi, slijedi da je ovaj primjer moguće iskoristiti kao predložak pri projektiranju
nekih budućih računalnih mreža.
4. Zaključak
Ovaj je rad kroz prethodna poglavlja imao za cilj arhitektima i dizajnerima
računalnih mreža prikazati prave korake pri projektiranju te ukazati na potencijalne
probleme i rješenja pri izradi sigurnih računalnih mreža.
U poglavlju nakon uvoda opisane su najčešće susretane komponente i metode
oblikovanja računalnih mreža. Opisana je segmentacija mreže te principi i uređaji koji
služe za segmentiranje. U nastavku su opisani vatrozidi te najčešće tehnologije
vatrozida. Isto je tako opisana detekcija i prevencija upada iz mreže. Kako se sve
češće pojavljuju korisnici koji žele imati udaljeni pristup mreži, pojava virtualnih
privatnih mreža sve je učestalija. Tehnologije i načini rada virtualnih privatnih mreža
također su dotaknuti u ovom poglavlju. Kaže se da je lanac jak koliko i njegova
najslabija karika. Na sigurnost cjelokupnih računalnih mreža utječe sigurnost
pojedinih računala. Dio ovog poglavlja posvećen je očvršćivanju lokalnih računalnih
sustava. Na samom kraju su opisane klopke koje služe zavaravanju napadača.
Treće poglavlje sadrži primjere dizajna sigurnih računalnih mreža. Cilj ovog
poglavlja jest upoznati čitatelja s potrebama koje treba ispuniti i ograničenjima koja
čine okvir unutar kojeg se mora pronaći konačno predloženo rješenje računalne
mreže. Poglavlje započinje opisom najjednostavnije računalne mreže, a to je kućna
mreža. Ona se, u drugom dijelu, proširuje kako bi se dobila korporacijska mreža bez
javnih servisa. Prikazana je konkretna mreža ovakvog tipa, a radi se o mreži
poslovnice jedne turističke zajednice. Naredni dio ovog poglavlja prikazuje
korporacijsku mrežu s javnim servisima. Prikazana su dva primjera koja se u suštini
razlikuju po broju vatrozida. Prikazana je konkretna mreža ovakvog tipa, a radi se o
mreži tvrtke koja se bavi izradom, održavanjem i, u konačnici, udomljavanjem web
sadržaja. Pri kraju ovog poglavlja prikazana je jedna dobro postavljena korporacijska
mreža koja može poslužiti kao predložak pri projektiranju budućih računalnih mreža.
U vrijeme globalne informatizacije više gotovo i ne postoje tvrtke koje barem u
jednom svojem segmentu ne koriste računalo. Računala su obično povezana u
računalnu mrežu. Računalna mreža postala je okosnica modernog poslovanja. Kako
bi se osiguralo besprekidno i profitabilno poslovanje potrebno je zaštiti resurse i
najvažnije poslovne procese, koji se nalaze ili se pogone putem računalne mreže.
Ovaj rad, kroz niz primjera prikazuje na koji način osigurati računalnu mrežu
upotrebljavajući moderne tehnologije i pri tome prilagođavajući se potrebama
korisnika.
Literatura
A. G. Blank (2004), TCP/IP fundations, Sybex, USA, ISBN 978-0782143706.
G. Ziemba, D. Reed, P. Traina (1995), Security Considerations for IP Fragmented
Filtering, RFC 1858.
Information Systems Audit and Control Association Inc. (2006), CISA Review Manual
2006, ISACA, USA, ISBN 1-933284-15-3.
Information Systems Audit and Control Association Inc. (2007), CISM Review Manual
2007, ISACA, USA, ISBN 1-933284-53-6.
J. Postel (1980), User Datagram Protocol, RFC 768.
J. Postel (1981), Internet Control Message Protocol, RFC 792.
J. Postel (1981), Transmission Control Protocol, RFC 793.
J. Postel, J. Reynolds (1985), File Transfer Protocol (FTP), RFC 959.
J. Sherwood, A. Clark, D. Lynas (2005), Enterprise Security Architecture: A Business-
Driven Approach, CMP Books, ISBN 978-1578203185.
K. Lam, D. LeBlanc, and B. Smith (2004), Assessing Network Security, Microsoft
Press, USA, ISBN 0-7356-2033-4.
S. Bellovin (1994), Firewall-Friendly FTP, RFC 1579.
S. Harris (2005), CISSP All-in-One Exam Guide, 3rd ed., McGraw Hill, USA, ISBN
0-07-225715-6.
S. Northcutt, L. Zeltser, S. Winters, K. K. Frederick, R. W. Ritcey (2003), Inside
Network Perimeter Security, New Riders Publishing, USA, ISBN 0-73571-232-8
T. Lammle (2005), CCNA: Cisco Certified Network Associate Study Guide, 5th ed.,
Sybex, USA, ISBN 978-0782143911.
http://ebtables.sourceforge.net, 20070304.
http://www.netfilter.org, 20070304.
http://www.securityfocus.com/infocus/1670, 20070320.
http://software.newsforge.com/article.pl?sid=04/09/24/1734245, 20070402.
Dodaci
Dodatak A: Popis pojmova

Engleski naziv Prijevod
Anomaly based Temeljeno na detekciji anomalija
Anti-adware Program za zaštitu od reklama
Anti-spyware Program za zaštitu od trojanskih konja
Anti-virus Program za zaštitu od malicioznih programa
Attack Napad
Behaviour based Temeljeno na pregledu ponašanja
Border router Granični usmjerivač
Bridge Most
Broadcasting Emitiranje
Control stream Kontrolna veza
Data stream Podatkovna veza
Default gateway Uobičajeni prospojnik
Domain name system Imenički servis
Dual-homed DMZ DMZ s dva sučelja
End-to-end S kraja na kraj
False negative Pogrešna klasifikacija malicioznog prometa
False positive Pogrešna klasifikacija benignog prometa
Firewall Vatrozid
Forward proxy Zastupnik unaprijed
Gateway Prospojnik
Gateway to gateway Od prospojnika do prospojnika
Host intrusion detection system Sustav za detekciju upada u lokalno računalo
Host to gateway Od domaćina do prospojnika
Host to host Od domaćina do domaćina
Hosting Udomljavanje
Dodaci 53
Engleski naziv Prijevod

Hybrid switches Hibridni preklopnici
Internet service provider Pružatelj Internet usluga
Layer seven switches Preklopnici na sedmom sloju
Log files Datoteke sa zapisima
Logging Bilježenje
Network intrusion detection Sustav za detekciju upada iz mreže
system
Network intrusion prevention Sustav za prevenciju upada iz mreže
system
Network time protocol Protokol za sinkronizaciju vremena
Packet-filtering Filtar paketa
Patches Zakrpe
Port Vrata
Proxy Zastupnik
Remote authentication dial in Protokol i servis za autentikaciju udaljenih
user service korisnika
Reply message type Tip poruke odgovora
Request message type Tip poruke zahtjeva
Reverse proxy Reverzni ili obrnuti zastupnik
Probe Ispipavanje
Proxy firewall Vatrozid zastupnik
Remote user Udaljeni korisnik
Road warrior Udaljeni korisnik
Router Usmjerivač
Scan Skeniranje
Secure Shell Sigurni udaljeni pristup školjci
Signature based Temeljeno na raspoznavanju uzoraka
Simple network management Protokol za nadgledanje u upravljanje mrežnom
protocol opremom
Switch Preklopnik
Three-way handshake Mehanizam trostrukog rukovanja
Transparent firewall Prozirni vatrozid
Trunking Dijeljenje jedne fizičke veze
Updates Updates
Virtual private network Virtualna privatna mreža
Dodaci 54
Dodatak B: Popis kratica

Kratica Puni naziv
ADSL Asymmetric Digital Subscriber Line
DMZ DeMilitarized Zone
DNS Domain Name System
FTP File Transfer Protocol
HIDS Host Intrusion Detection System
ICMP Internet Control Message Protocol
IEEE Institute of Electrical and Electronics Engineers
IP Internet Protocol
ISDN Integrated Services Digital Network
ISP Internet Service Provider
LAN Local Area Network
MAC Medium Access Control
NIDS Network Intrusion Detection System
NIPS Network Intrusion Prevention System
NTP Network Time Protocol
OSI/ISO International Standards Organization / Open Systems Interconnect
RADIUS Remote Authentication Dial In User Service
SMTP Simple Mail Transfer Protocol
SNMP Simple Network Management Protocol
SSH Secure SHell
TCP Transmission Control Protocol
UDP User Datagram Protocol
UTP Unshilded Twisted Pair

Dizaj Sigurnih Racunalnih Mreza PDF

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Dizaj Sigurnih Racunalnih Mreza PDF

Uploaded by

Copyright:

Available Formats

SVEUČILIŠTE U ZAGREBU

FAKULTET ELEKTROTEHNIKE I RAČUNARSTVA

DIZAJN SIGURNIH RAČUNALNIH MREŽA

Slika 36: Primjer korporacijske mreže bez javnih servisa ....................................... 39

mreža koja je odgovarajuća za održavanje poslovnih procesa odnosno osiguranje

1.1. Organizacija rada

2.1. Segmentacija mreže

Slika 1: Simbol za most

Vrlo jednostavna ideja rada preklopnika rješava problem emitiranja (eng.

Slika 2: Simbol za preklopnik

Slika 3: Simbol za usmjerivač

2.1.5. Mrežni segmenti

Slika 4: OSI/ISO 7-segmentni model

U okviru sigurnosti računalnih mreža, segmentacija na najnižem, fizičkom sloju je

Odvajanje komunikacijskih puteva uređaja koji su povezani na isti preklopnik vrši

Slika 5: Primjer segmentirane mreže

Usmjerivač, koji se nalazi u središtu mreže, segmentira mrežu na trećem sloju

Tabela 1: Primjer dodijeljenih adresa

Mreža Adresa mreže Mrežna maska Adresa emitiranja

2.1.6. Virtualni mrežni segmenti

Slika 6: Segmentacija mreže izvođenjem posebne infrastrukture

Kao odgovor na prethodni problem razvijen je IEEE 802.1Q mehanizam odnosno

Slika 7: Segmentacije mreže uz 802.1Q

2.1.7. Mrežne zone

Slika 8: Primjer mrežnih zona

sigurnosna politike pristupa iz Interneta (primjerice, korisnik, tip prometa, odredišna

Slika 9: Simboli za vatrozid

Slika 10: Vatrozid između Internet zone i lokalne računalne mreže

Specijalan slučaj gornjeg primjera jest postavljanje vatrozida između dviju

Slika 11: Vatrozid između dviju nepovjerljivih mreža

Slika 12: Vatrozid između dviju mreža različitog stupnja povjerljivosti

Iako je već prije spomenuto, dobro je naglasiti ponovo: vatrozidi su uređaji

sadržaja koji nema veze s poslovnim zadatkom. Sigurnosnom politikom može se

2.2.1. Prozirni vatrozid

Slika 13: Slojevi povezanosti prozirnog vatrozida s ostalim mrežnim uređajima

Kada uređaj s jedne strane vatrozida zatraži komunikaciju s uređajem s druge

2.2.2. Filtar paketa

Slika 14: Slojevi povezanosti filtra paketa s ostalim mrežnim uređajima

Ovaj tip vatrozida u mogućnosti je pregledavati IP zaglavlje paketa te filtrirati

Fragmentirani (rascjepkani) mrežni promet predstavlja najveći problem za

Slika 15: Tijek FTP veze

Ovakav način komunikacije predstavlja problem za filtar mrežnih paketa jer on

Inicijacija FTP kontrolne veze

Vrata za podatkovnu FTP vezu

Inicijacija FTP podatkovne veze

Slika 16: Tijek pasivne FTP veze

2.2.3. Vatrozid s praćenjem stanja veze

Slika 17: Zaglavlje TCP paketa

Slika 18: Mehanizam trostrukog rukovanja

Važno je napomenuti da se TCP veza može u proizvoljnom trenutku nalaziti samo

2.2.4. Vatrozid zastupnik

Slika 19: Slojevi povezanosti vatrozida zastupnika s ostalim mrežnim uređajima

Uloga zastupnika jest osiguranje obje strane uključene u komunikaciju

Slika 20: Vatrozid zastupnik u ulozi prospojnika

Zastupnik u ulozi vatrozida najčešće se postavlja na mjesto prospojnika. Slika 20

Slika 21: Vatrozid zastupnik kao zasebni poslužitelj

U gore prikazanom slučaju, klijentska računala iz lokalne mreže prvo bi

Slika 22: Reverzni zastupnik

Zbog svojeg načina rada, odnosno detaljnog pregleda mrežnog paketa,

nizom autentikacijskih odnosno autorizacijskih modula, primjerice, parom

2.3. Detekcija i prevencija upada iz mreže

2.3.1. Detekcija upada iz mreže

Slika 23: Postavljanje senzora u tipičnu mrežu neke organizacije