seminarski rad- zastita racunarskih mreza

Via eleznika kola

VISOKA TEHNIKA KOLA STRUKOVNIH STUDIJA NOVI BEOGRAD

Seminarski rad

- Senzori u robotici-

Student:

Profesor: ore Dihovinibr. indeksa: 184/12

Mesec, godina. 06.05.2015.

SENZORI U ROBOTICIUradio:

Ilija Miskovic

VTNovi BeogradStrana /

Sadraj:1.Uvod12.Sigurnosni problemi23. Korisnike nalozi3

3.1 Korisnicke lozinke5 3.2 Dozvole pristupa deljenim resursima.............................................................794.Borba protiv virusa

4.1 Vrste virusa12 4.2 Crvi i trojanci145.Zatita od virusa156.Zatita mree od napada spolja167. Mrene barijere19 7.1Vrste mrenih barijera228.Zakljuak24

9. Literatura...................................................................................25SENZORI U ROBOTICIUradio:

Ilija Miskovic

VTNovi BeogradStrana 1/25

1. Uvod

U poslednjih desetak godina, koncepti obezbeenja raunarskih mrea drastino su se promenili, izmeu ostalog i zbog injenice da je veina lokalnih mrea povezana na Internet.

Bezbednost mree svojevremeno se odnosila na obezbeenje resursa i informacija u izolovanoj mrei. Pitanja bezbednosti svodila su se na nivo korisnikog pristupa vanim mrenim resursima i na zatitu sistema od viru-sa (koji su se prenosili zaraenim disketama).

Takoe, bezbednost mree podrazumevala je i fiziku zatitu mree od, na primer, osobe koja bi neovlaeno ula u zgradu, pristupila nezati-enom raunaru, kopirala poverljive podatke na disketu i pobegla.

Bezbednost se zaista svodila na spreavanje napada iznutra. Ponekad bi se u napad mogla svrstati greka korisnika ili administratora, a ne samo zlonameran napad na mrene resurse. Na primer, korisniku bi nepanjom bio dodeljen neodgovarajui nivo pristupa vanim mrenim resursima i on bi ih nenamerno otetio ili unitio.

Danas teite bezbednosti mree predstavlja odbrana od spoljnih napa-da, zbog toga to je veina mrea povezana na Internet.

Mnoge kompanije imaju svoje Web lokacije. Mreu direktno napadaju razbijai (engl. crackers; u tampi esto meaju hakere i razbijae; hakeri ne odobravaju takvu terminologiju, jer sebe smatraju pasioniranim rauna-rskim strunjacima, a ne kriminalcima koji provaljuju u raunarske sisteme) i virusi, naroito oni koji se ire Internetom, putem elektronske pote.

Administratori mrea i strunjaci za bezbednost raunara morali su ra-zviti nove strategije za zatitu mrea. Kao odgovor na najnovije pretnje po bezbednost raunara, u proteklih nekoliko godina razvijeni su novi proizvo-di, kao to su posredniki serveri (engl. proxy server) i mrene barijere (engl. firewall).SENZORI U ROBOTICIUradio:

Ilija Miskovic


2. Sigurnosni problemiOsnovna karakteristika Interneta, i najvazniji razlog za njegov eksponcijalni razvoj, jeste njegova otvorenost i mogucnost jednostavnog prikljucivanja krajnjih korisnika. Istovremeno, ova otvorenost i sve veci broj korisnika unose doddatne sigurnosne rizike i probleme u funkcionisanju Interneta. U medijima se cesto govori o neovlascenom pristupu nekim racunarskim sistemima preko Interneta, o softverskim virusima, zloupotrebi kreditnih kartica, ugrozavanju privatnosti. I laicima postoje ocigledno da gde ima dima, tu ima i vatre-, i da postoje realni problemi i rizici u koriscenju Interneta.Napadi na racunarsku mrezu su ne dozvoljene aktivnosti u procesu prenosenja podataka od izvorista do odredista, a dele se, kao sto je i vec ranije receno, na pasivne i aktivne. Pasivni napadi su prisluskivanje i nadgledanje protoka podataka bez ikakvih izmena sadrzaja. Sifrovanje poruka je najcesci mehanizam borbe protiv ovakvih napada.

Aktivni napadi daleko su opasniji jer podrazumevaju neautorizovane promene u tokovima podataka. Postoje razliciti oblici ovih napada na podatke koji se razmenjuju preko mreze

promena sadrzaja poruka

ubacivanje novih poruka

prekidanje postojeceg toka poruka.Pored napada na tokove podataka u Internetu, javljaju se i problemi u vezi sa utvrdjivanjem verodostojnosti subjekta s kojim se obavlja komunikacija. Naime, postoji mogucnost laznog predstavljanja kao neko poznat

kao nepoznat, a postoji


Ilija Miskovic


kao potpuno izmisljeni subjekt.

Navedeni sigurnosni rizici uticu da se u poslednje vreme izrazavaju rezerve u vezi s primenom Interneta u poslovanju. Mnogi pod uticajem informacija o sigurnosnim problemima postavljaju pitanje da li da Internet uopste koriste za poslovanje. Naravno da je taj sgtrah preteran, ali treba biti strah preteran, ali treba biti svestan mogucih rizika i problema kako bise preuzele adekvatne zastitne mere. Rizici postoje i prilikom slanja pisma, faxa, ili obavljanja telefonskog razgovora, pa se ti servisi ipak koriste. Ocigledno je da ne postoje apsolutno sigurni nacini, kako u komuniciranju tako i u saobracaju uopste.3.Korisniki naloziKorisnik se, bez vaeeg korisnikog imena i lozinke, ne moe naja-viti za rad na mrei. Prvu liniju odbrane mree, koju postavlja administrator mree, ine korisniki nalozi. Kada se korisnik najavi na mreu sa klijents-kog raunara, njegovo korisniko ime i lozinka predstavljaju eton za ula-zak. Ovaj eton za ulazak slui za proveru identiteta korisnika mree (omo-guava prijavljivanje) i za utvrivanje nivoa pristupa mrenim resursima, koje korisnik moe osrvariti.

eton za ulazak, koji se primenjuje u svim mrenim operativnim sistemima, predstavlja vrstu elektronske identiflkacione kartice koja se ne razlikuje mnogo od ATM kartice. ATM karticom se proverava identitet ko-risnika kada pristupa ATM mrei banke i omoguava joj se pristup odre-enim resursima, kao to su tekui ili tedni rauni. Ovim etonom se tako-e utvrduje kojim se resursima moe pristupiti na mrei, kao i nivo pristupa koji se moe odobriti.

Administrator mree odgovoran je za izradu korisnikih naloga. Svaki mreni operativni sistem ima ugraen administratorski nalog, koji slui za upravljanje mrenim resursima i korisnikim nalozima. Administratorski nalog se razliito zove u razliitim mrenim operativnim sistemima: root, Admin i Administrator (u Linuxu, NetWareu i Windowsu).


Ilija Miskovic


Svaki mreni operativni sistem ima neki usluni program za otvaranje i menjanje korisnikih naloga. Slika 4.1 prikazuje okvir za dijalog Create User, koji slui za otvaranje novih korisnikih naloga u uslunom programu NetWare Administrator.

Svaki mreni operativni sistem sadri nekoliko optepriznatih pravila koja se odnose na upravljanje korisnikim nalozima:

Svako korisniko ime mora biti jedinstveno. lako nije neka mudrost, bitno je da to uvek imate na umu.

Ograniena je duina korisnikog imena, odnosno broj znakova u njemu. Iako dozvoljeni broj znakova varira od jednog do drugog mrenog operativnog sistema, pre nego to se upustite u izradu korisnikih naloga, morate poznavati konkretna pravila operativnog sistema na kome radite. Na primer, u Windowsu je za korisniko ime predvideno najvie 20 znakova. U UNetWa-reu, maksimalna duina korisnikih imena je 64 znaka.

U korisnikom imenu nije dozvoljena upotreba odreenih znakova. Uobiajeno. korisnika imena ne mogu sadrati kosu crtu (/), obrnutu kosu crtu (\) i jo neke specijalne znake. Pojedini operativni sistemi dozvoljavaju upotrebu znaka za razmak, a neki ne. Ponavljam, pre poetka otvaranja kori-snikih naloga, neophodno je znati pravila imenovanja koja vae u operativnom sistemu u kome radite.

Pored toga to svaki mreni operativni sistem ima pravila za izradu korisnikih imena, preporuljivo je da (kao administrator) sainite plan formiranja korisnikih imena.

Valjalo bi da se drite tog plana pri smiljanju novih imena. Na primer, planom moete predvideti sledei nain formiranja korisnikih imena: na poetno slovo imena nadovezae prezime slubenika.

Takvo pravilo treba sprovoditi dosledno, za sva korisnika imena. Takoe, planom treba predvideti reenje za situaciju kada se dva ili vie korisnika jednako prezivaju i imena im poinju istim slovom.


Ilija Miskovic


Ovaj plan izrade korisnikih naloga treba da obuhvati strategiju dodele lozinki korisnicima. Mreni operativni sistemi omoguavaju da utvrdite uslove pod kojima se lozinka moe menjati.

Recimo, dodeljena poetna lozinka se mora promeniti odmah pri prvom najavljivanju korisnika na mreu, a moe se pode-siti da korisnik nikada ne moe sam da promeni lozinku. Sada emo izbliza sagledati lozinke i njihovu vanost za bezbednost mree.

3.1 Korisnike lozinkePri proveri identiteta korisnika potrebni su vaee korisniko ime i odgova-rajua vaea lozinka. Zbog toga, strategija dodele lozinki korisnicima bitno utie na bezbednost mree. Veliki broj administratora mrea formira nova korisnika imena po ablonu: poetno slovo imena i prezime. Znai, ako neko zna da se zovem Petar Petrovic , moe pretpostaviti da je moje korisni-ko ime na mrei Petrovic.

Odatle zakljuujemo da je lozinka ona komponenta korisnikog nalo-ga koja proces prijavljivanja za rad na mrei ini bezbednim. Stoga, lozinka treba da bude tajna.

Mreni operativni sistemi pruaju izbor izmeu vie mogunosti za doelu lozinki korisnicima mree.

Na primer, slika 4.2 prikazuje okvir za dijalog New Object - User, kojim se u Windowsu 2000 Server, u okviru softvera Active Directorv, otvaraju novi korisniki nalozi za rad na mrei.

Kao to na slici vidite, niz polja za potvrdu daje vam vie razliitih mogunosti koje se odnose na korisnike lozinke.

Kada se korisnik prvi put prijavljuje, moete mu omoguiti da prome-ni poetnu lozinku. Moete zadati i opciju da korisnik nikada ne moe pro-meniti lozinku. ak je mogue podesiti neogranien rok vanosti lozinke (opcija password never expires).SENZORI U ROBOTICIUradio:

Ilija Miskovic


Kao poligon za dalja razmatranja, uzmimo razliite opcije, prikazane na slici 4.2. Cilj je da se uverimo da je zatita tajnosti lozinke taka oslonca bezbednosti mree. Evo nekih razmiljanja:

Korisnicima moete dozvoliti da sami kontroliu svoje lozinke. Varijanta, u kojoj dozvoljavate korisnicima samostalno formiranje lozinke, korisna je kad podesite vremensko ogranienje vaenja dozvole i ako od korisnika zahte-vate redovno menjanje lozinke. Meutim, u tom sluaju, korisnike morate obuiti za rukovanje lozinkama. Jvforate im objasniti, na primer, da upotreba njihovog imena ili rei lozinka" u svojstvu lozinke ne unosi bezbednost kojoj teite.

Moete u potpunosti preuzeti kontrolu nad korisnikim lozinkama. U tom sluaju, korisnicima dodeljujete lozinke koje ne mogu promeniti. Kada imate mnogo korisnika, imaete i mnogo posla, naroito ako zbog podizanja nivoa bezbednosti mree podesite kratak rok vaenja lozinki. tavie, ako pomislite da ste kadri smisliti vraje sloene lozinke, koje nikd ne moe pogoditi, razoarau vas kad vam kaem da to nikada neete imati efekta. Komplikovane lozinke korisnici esto zapiu i prikae na svoj monitor.

Moete zahtevati da se lozinke redovno menjaju. Dobro je imati neku strategiju za recikliranje lozinki. Lozinke sa neogranienim vremenom va-nosti samo stimuliu uljeze da provale lozinke korisnikih naloga, jer za to imaju dovoljno vremena. Redovno menjanje lozinki, vau mreu unapreuje iz nepokretne u pokretnu metu, pa ak i vie od toga.

Ljudi koji ele da provale u vau mreu verovatno nisu naivine, niti koriste samo proste tehnike pogadanja korisnikih imena i lozinki. U . poglavlju, Reavanje problema na mrei", objasnili smo ta su njukala", programi koje razbijai koriste za prislukivanje mrenog saobraaja. Mogunost hvatanja paketa podataka otvara vrata otkrivanju kori-snikih imena i lozinki, jer se oni u paketima prenose kao obian tekst. injenica je da nije teko uhvatiti paket podataka. Radi zatite poverljivih informacija, koriste se tehnike ifrovanja tajnih podataka, da bi se otealo korienje uhvaenih podataka za provalji-vanje u mreu. ifrovanje emo objasniti kasnije u ovom poglavlju.


Ilija Miskovic


Sutina je sledea: treba osmisliti postupak dodele lozinki, koji se lako koristi, i sa stanovita administratora i sa stanovita korisnika, a pri tome doprinosi bezbednosti mree. Naravno, broj korisnika i vanost resursa uslovljavaju taj postupak.

Ostale mogunosti upravljanja korisnikim nalozima mogu doprineti bezbednosti procesa prijavljivanja za rad na mrei. Sada emo se pozabaviti nekim od tih mogunosti, kao to su dozvoljena satnica za prijavu i mogu-nost uspostavljanja vie paralelnih veza sa mreom preko istog korisnikog naloga.

3.2 Dozvole pristupa deljenim resursima

Poto su korisnici dobili pristup mrei, potreban im je i pristup mrenim resursima. Ve smo objasnili deljene mrene resurse i resurse za tampanje. Kada se radi o deljenju informacija na mrei, osetljivi i privatni podaci isto-vremeno treba da budu i bezbedni i dostupni. To znai da samo pojedini korisnici imaju pristup odreenim informacijama. Takoe, korisnici nee imati podjednake nivoe pristupa podacima.

Dozvole odreuju prava pristupa deljenim mrenim resursima. Dozvola je pravo pristupa resursu. Dodeljujete je korisniku ili grupi korisnika. Budui da razliite dozvole, tj. prava pristupa, moete dodeliti svakom korisniku za svaki pojedinani resurs na mrei, na taj nain ete fino podesiti bezbednost pristupa vanim informacijama na mrei.

U Microsoft Windowsu, za definisanje razliitih nivoa pristupa mrenim resursima, upotrebljava se termin dozvola (engl. permission). U okruenjima Novell NetWare, dozvolama su ekvivalentna prava, engl. rights (u pitanju su razliiti nazivi za iste koncepte bezbednosti resursa).


Ilija Miskovic


U Windowsovom mrenom okruenju, novi deljeni resurs je inicijalno u potpunosti dostupan svim korisnicima mree, jer su grupi Evervone (svi; ubrzo emo objasniti grupe korisnika) data prava Full Control (potpuna ko-ntrola) nad novim deljenim resursom.

Znai, administrator mree odluuje o neophodnosti dizanja" nivoa bezbednosti deljenog resursa i regulie bezbednost ograniavanjem pristupa podacima s tog resursa. Mogu se najpre ukinuti dozvole optoj grupi Everyone, a zatim se razliita prava pristupa mogu dodeliti pojedinim korisnicima ili grupama korisnika.

Slika 4.6 prikazuje okvir za dijalog kojim se korisnici dodaju u okvir za dijalog Permissions datog deljenog resursa. Potom, svakom korisniku mogu biti dodeljene razliite dozvole.

Na mreama koje rade pod operativnim sistemima Microsoft Win-dows NT, Windovvs 2000 Server ili Windows XP Server, koncept bezbe-dnosti resursa se sprovodi na nivou datoteka. Ovo je mogue jer NTFS (NT File System) obezbeuje razliita prava pristupa datotekama, dire-ktorijumima i diskovima. Budui da direktorijum u Windowsu moe biti dvostruko zatien, dozvolama za zajedniko korienje (objanjavamo ih ovde) i NTFS dozvolama, ponekad je teko zakljuiti koja prava pristupa korisnik zapravo ima.

Na primer, ako korisnik ima puno pravo pristupa direktorijumu na osnovu dozvola za zajedniko korienje, ali nema NTFS dozvolu, on ne moe pristupiti direktorijumu. Ove dve vrste dozvola se tako kombinuju, da prava pristupa diktira stroa dozvola. Detaljnije informacije o dozvolama pristupa u mreama pod Windowsom potraite u knjizi Windows 2000 Server Biblija, u izdanju Mikro knjige.

Mreno okruenje NetWare administratorima omoguava da se korisnicima dodele razliita prava pristupa resursima (kao to su deljeni direktorijumi u mrei). Korisnik nad deljenim resursom moe imati prava kao to su Read (itanje), Write (upisivanje), Erase (brisanje) i Modify (menjanje).

Poto su korisniku dodeljena prava pristupanja pojedinim resursima mree (na primer direktorijumu), ta prava e odreivati interakciju izmeu kori-snika i resursa.


Ilija Miskovic


Na primer, ako korisnik u direktorijumu na serveru moe samo da ita, on u taj direktorijum ne moe upisivati datoteke, niti moe brisati postojee.

Slika 4.8 prikazuje ta se deava kada Windowsov klijentski program poku-a da napravi novu datoteku u direktorijumu za koji korisnik ima samo pra-vo pristupa Read (klijent je program u Windowsu, a server radi pod NetWareom). Pojavljuje se poruka koja korisnika obavetava kako nema pravo da pravi nove datoteke u tom direktorijumu.

4. Borba protiv virusa

Virusi predstavljaju jo jednu pretnju vaoj mrei. Virus je samorazmnoa-vajui deo softverskog koda. Poto virus kopira sam sebe, on se, naalost, vrlo lako iri od raunara do raunara.

Iako su mnogi virusi izvrni programi, ijim se pokretanjem izaziva njihovo razmnoavanje i oteenje raunarskog sistema, postoje i druge vrste virusa.

Na primer, virusi makroi, kriju se u dokumentu ili u radnim tabelama. Ako otvorite datoteku u kojoj se krije virus, zaraziete svoj raunarski sistem.

Virusi se mogu prenositi putem disketa i ostalih zamenjivih medija, namenjenih skladitenju informacija. Ako iz raunara izvadite inficirani disk i stavite ga u drugi raunar, irite zarazu. Raunari se takoe mogu inficirati virusima, koji se ire mreom, putem zaraenih deljenih resursa.

I Internet predstavlja izvor virusnih infekcija. Virusi se nepanjom mogu preuzeti sa Interneta. Takoe, oni se ire u porukama e-pote.

Zanimljivo je da mnogi virusi ne rade nita, sem to se razmnoavaju. Nisu svi virusi napravljeni da formatiraju vrsti disk ili unitavaju odreenu vrstu datoteka. Veliki broj virusa SENZORI U ROBOTICIUradio:

Ilija Miskovic


na koje nailazite predstavljaju samo smi-ljene neslane ale (ali te ale mogu da vas dobrano iznerviraju).

Jedan od prvih virusa, bio je virus Brain. To je bio (i jo uvek jeste) virus startnog sektora (engl. boot sector) koji sam sebe uitava u memoriju raunara (za par trenutaka objasniemo razliite vrste virusa).Ukratko, virus Brain se brzo rairio na skoro sve diskete . Sreom, bilo je vrlo lako otkriti zaraene diskete, jer je virus ime volumena diskete menjao u BRAIN, i sem toga nije pravio nikakvu tetuSvi korisnici raunara se boje virusa, koji se esto samo razmnoavaju. Ipak, mreni administrator ima obavezu da unitava viruse, bilo da su u pitanju oni aljivi ili zlonamerni, napravljeni za pustoenje podataka na mrei.Virusi mogu obrisati programe i datoteke, ali i sav sadraj diska.

Takoe, virusi se mogu sakrivati u mrenim podacima za koje redovno pravite rezervne kopije (engl. backup), na primer u serveru datoteka. To znai da u sluaju otkaza diska i gubitka originalnih podataka, izgubljene podatke treba rekonstruisati iz podataka koji su zaraeni virusima.Virusi ak mogu pronai administratorovu lozinku i proslediti je nekome van mree. Ta osoba se moe prijaviti na mreu kao administrator i nainiti ogromnu tetu. Znai, iako su mnogi virusi samo dosadni i kota vas njihovo uklanjanje, postoje virusi koji bezbednost mree izlau velikom riziku.

Izgleda da se savremena raunarska terminologija iri bre od raunarskih virusa. Crvi, virusi i ostale vrste softvera, koje su napravljene da na vaem raunaru prave haos (odnosno na svim raunarima), esto se nazivaju malware (skraenica od malidous software - zlonamerni softver).


Ilija Miskovic


4.1. Vrste virusa

Tokom godina, razvile su se razne vrste virusa. Razvrstali smo viruse po nainima na koje inflciraju raunar:

Virusi startnog sektora. Neki od prvih virusa pripadaju ovoj vrsti. Virus startnog sektora obino se iri putem zaraene diskete ili drugog zamenjivog medija. Zaboravnost korisnika potpomae irenje virusa startnog sektora.

Ako u disketu jedinicu raunara ubacim disket zaraenu virusom startnog sektora, nita se nee desiti. Tek ako resetujem sistem (na primer, sino sam iskljuio raunar i ukljuio ga jutros, a disketa se sve vreme nalazila u dis-ketnoj jedinici), a prethodno ne izvadim zaraenu disketu, pri podizanju sistema, virus startnog sektora uitava se u memoriju raunara (raunar obi-najpre pokua da digne sistem sa diskete). Potom virus moe inficirati vrsti disk i sve diskete koje stavite u disketnu jedinicu dok raunar radi. Brain (malopre je pominjan i Exebug su primeri virusa startnog sektora.

Virusi datoteke. Poslednjih godina retko se sreu. Inficiraju izvrne da-toteke, kao to su datoteke tipa EXE ili COM (znate da se operativni sistem sastoji od gomile izvrnih programa). Kada se inficirani program pokrene, virus se uitava u operativnu memoriju raunara. Potom, virus moe zaraziti ostale izvrne programe tokom njihovog izvravanja na raunaru. Postoji oblik virusa datoteka koji upisuje svoj kod preko koda izvrnog programa u kojem boravi. jedan od oblika virusa datoteka je virus pratilac. Ovaj oblik virusa se maskira kao datoteka sa nastavkom COM, istog imena kao neki postojei sistemski EXE program. Kada pokrenete taj sistemski program, makro e prvo izvriti istoimenu COM datoteku, jer COM datoteke imaju prednost nad EXE datotekama. Znai, prvo e se izvriti virus (COM dato-teka), a posle njega traeni sistemski EXE program. Zbog toga moda neete ni primetiti da imate virus. Primeri virusa datoteka su Dark Avenger i KMIT.

- Virusi makroi. Virus makro je novija vrsta virusa. Oni su obino pisani u Visual Basicu i mogu zaraziti dokumente i Excelove tabele (ali ne i izvrne programe). Kada se zaraenSENZORI U ROBOTICIUradio:

Ilija Miskovic

VTNovi BeogradStrana13/25

i dokument uita u aplikaciju, na primer, u Word, virus se u toj aplikaciji izvrava kao i svaki drugi makro. Neprijatna je injenica da virusi makroi ne zavise od operativnog sistema. Budui da se Microsoft Excel moe izvravati na raunarima zasnovanim na Macin-tosh i Windows tehnologijama, ovakva vrsta virusa se, deljenjem Excelovih tabela, iri s jedne platforme na drugu. Virusi makroi nisu ogranieni na Microsoftove aplikacije. Pojavljuju se i u drugim softverskim paketima, kao to je Lotus SmartSuite. Primer virusa makroa je ozloglaeni virus Melissa, Wordov makro koji se iri putem e-pote.

- Viedelni virusi. Oni imaju osobine virusa startnih sektora i virusa dato-teka. Mogu se iriti sa startnog sektora jednog diska na drugi, a mogu na-padati i izvrne datoteke. Neki viedelni virusi zaraavaju i upravljake programe (engl. drivers), recimo mrene kartice. Primer viedelnog virusa je Pastika. Ovaj virus aktivira se samo odreenih dana u mesecu (obino 21. i 22. dana) i moe obrisati sve informacije na vrstom disku.

Stvaran broj virusa ,,na slobodi" (misli se na one koji bitiu na raunarima i mreama) stalno se menja, ali, uopteno gledano, taj broj je u stalnom porastu. Broj virusa makroa neprekidno raste. Upoznajmo se sa ostalim zlonamernim sofrverom (engl. malware) koji ugroava bezbednost mree i njene resurse, a potom emo prouiti neke strategije za zatitu od virusa.

Sjajna Web lokacija, koja sadri svee informacije o pronaenim virusima, nalazi se na adresi http://www.f-secure.com/. Kompanija F-Secure, koja odrava ovu lokaciju, proizvodi itav niz softverskih paketa za obezbedenje mrea. Jo jedna lokacija, na kojoj treba potraiti informadje o virusima, jeste Institut SANS. Web adresa Instituta SANS je

http: //www. sans.org/newlook/home.htm. Tu ete nai informacije o virusima i ostalim temama u vezi sa bezbednou raunarskih mrea.


Ilija Miskovic


Crvi i trojanci

Nisu virusi jedine softverske pretnje po bezbednost raunarskih mrea. Postoje jo dva zloudna oblika softverskih proizvoda iz kuhinje opakih Ijudi, koji izmiljaju monstrume poput kompjuterskih virusa. To su crvi i trojanci.

Crv je program koji se iri od jednog do drugog umreenog raunara. Za razliku od virusa, ne treba ga akrivirati spolja. On se potpuno samostalno razmnoava. Crv moe opustoiti velike mree, poput Interneta, jer se sam iri po celoj mrei. Oni su obino zavisni od konkretne platforme i koriste slabe take operativnih sistema. Na primer, crv Linux.Ramen razmnoava se samo na raunarima koji rade pod verzijama 6.2 i 7.0 Red Hat Linuxa.

Trojanski konji (ili skraeno trojanci, kako ih esto nazivaju) jesu programi koji izgledaju sasvim bezazleno, kao to su igrica ili uvar ekrana.

Na primer, trojanac HAPPY99.EXE, kada se izvri, prikazuje mali vatromet na ekranu, a u pozadini uzima adrese iz vaeg programa za e-poru i na njih alje svoju kopiju (na slian nain razmnoava se i virus Melissa).

Jedan od prvih trojanaca bio je AIDS Information Disk i stizao je na adrese zdravstvenih ustanova, kao broura za borbu protiv istoimene bolesti. Po izvravanju, stvarao je na vrstom disku raunara skriveni direktorijum i ifrovao celokupan sadraj diska, skoro potpuno unitavajui postojee informacije.

Jedna od najveih opasnosti od trojanaca, jeste mogunost osvajanja kontrole nad raunarom. Stvara se prolaz koji omoguava potpun pristup zaraenom raunaru. To znai da razbija, koji kontrolie trojanca, moe sa raunarom initi ta mu je volja. Kontrolu nad vaim raunarom moe isko-ristiti za napad na neku Web lokaciju putem uskraivanja usluge (engl. denial of service), tako to se va raunar koristi za stvaranje prekomernog saobraaja sa odreenom Web lokacijom. Napad putem uskraivanja usluge objanjen je kasnije u ovom poglavlju, u odeljku Zatita mree od napada spolja".SENZORI U ROBOTICIUradio:

Ilija Miskovic


5 .Zatita od virusa

Za zatitu mree od virusa, trojanaca i crva, administrator mree mora sprovesti dve osnovne mere.

Prvo, mora sastaviti plan zatite od virusa.

Drugo, plan mora dosledno sprovoditi.

Svaki plan za borbu protiv zloudnog softvera treba da sadri spisak pravila koja vai korisnici moraju potovati. Ova pravila mogu biti zabrana donoe-nja diskova od kue, zabrana korienja privatne e-pote na poslu i zabrana preuzimanja datoteka sa Interneta.

Iako ova pravila mogu izgledati preotra, neke kompanije sprovode drakonske mere, stroe od navedenih. Stavie, mnoge kompanije veoma grubo kanjavaju slubenike koji ne potuju ova pravila, ak ih otputaju (budui da se ibanje prekrioca vie ne praktikuje). ta slubenik radi na svom kunom raunaru, to su njegove privatne stvari. Ali kada se u mrei nalaze podaci ivotno vani za kompaniju, stvarno morate biti onoliko strogi koliko nalau pravila upotrebe mrenih raunara.Korisnike treba obrazo-vati i pruiti im opte informacije o virusima i o teti koju su u stanju da naprave. Kad bi korisnici irom sveta bili malo razumniji, virus Melissa ne bi mogao tako lako da se rairi po celoj planeti.

Iako upoznavanje korisnika s opasnostima od virusa moe izazvati malu paranoju, velika je stvar imati oprezne korisnike na mrei. To moe pomoi da viruse zatrete jo u povoju, pre nego to postanu veliki problem.

U svom planu morate predvideti instaliranje i odravanje softvera za zatiru od virusa. Postoji vie kompanija koje nude antivirusni softver:

Symantec, McAfee, Norton, Dr. Solomon's...Antivirusni softver moe biti podeen da titi klijentske raunare i mrene servere od zaraze. Najvei deo antivirusnog sofrvera moe se pode-siti da proveri disketu im je ubacite u disketnu jedinicu.


Ilija Miskovic


Budui da mnoge kompanije nude da isprobate njihov softver, iskori-stite to za testiranje raznih mogunosti, da biste otkrili koji softver najvie odgovara vaem sluaju. Testiranje novog softvera pre koricenja mudar je potez.

Neki primerci antivirusnog softvera se instaliraju na svaki raunar, a neki se pokreu svaki put kada raunar podie mreni operativni sistem.

Budui da se neprestano pojavljuju novi virusi i zlonameran softver, va antivirusni softver mora biti sposoban da se nosi sa najnovijim i najsloenijim virusima. To se postie auriranjem najnovijih verzija antivirusnih podataka i programa, da bi antivirusni softver mogao prepoznati nove viruse i opraviti nastalu tetu. U svom planu borbe protiv virusa, morate predvideti redovno preuzimanje najnovijih verzija antivirusnog softvera.

Virusi u stopu prate pojavljivanje najnovijih raunarskih platformi. ak ni runi raunari, kao oni pod operativnim sistemom Palm, nisu imuni na napad virusa. Mnogi proizvoai antivirusnog softvera, medu kojima je i Computer Associates, nude antivirusni softver za operativni sistem Palm OS.

6.Zatita mree od napada spolja

Bezbednost vae mree ugroava i direktan napad. Uspostavljanje ve-ze izmeu vae mree i Interneta, otvara irok put onima koji ele da razbiju bezbednost mree i dobiju pristup vanim mrenim resursima.Direktni napadi na mreu mogu poprimiti nekoliko oblika. Mnogi od njih su posledica naina rada skupa protokola TCP/IP. Svaki pojedinani protokol iz skupa TCP/IP komunicira preko odgovarajueg kanala, pod imenom poznat broj prikljuka (engl. well known port number, brojevi prikljuaka .

Na primer, HTTP radi na prikljuku 80, a FTP na prikljuku 21. Postoji vie od 1000 poznatih brojeva prikljuka. Svaki prikljuak predstavlja putanju za napad na mreu. Mrene SENZORI U ROBOTICIUradio:

Ilija Miskovic


barijere imaju strategiju za blokiranje ovih prikljuaka. Njih emo objasniti kasnije u ovom poglavlju.

Sve dobre i loe strane bezbednosti mree, naroito one u vezi sa napadima spolja, mogle bi da ispune celu knjigu. Zaista, postoje brojne knjige na tu temu. Odbrana kom-panijskih mrea (privatnih mrea i Interneta) od mre-nih napada zahteva mnogo vre-mena i novca. Detaljnije informacije o bez-bednosti mrea potraite u knjizi Hakerske tajne: zatita mrenih sistema (Mikro knjiga). Ako elite konkretne, brojane podatke i grafikone, ili hoete da saznate neto o zloglasnim upadima u mreu, ili biste da ujete prie o industrijskoj pijunai, potraite knjigu Tangled Web: Tales of Digital Crime from the Shadows of Cyberspace, izdavake kue Que.

Razbijai direktno napadaju na jo jedan nain: pomou njukala" i raznog softvera za prislukivanje, otkrivaju poverljive i vane informacije, poput korisnikih imena i lozinki. . Razbija se moe nalaziti van mree, bilo gde na Interneru, i, bez obzira na udaljenost od mree koju napada, moe presretati prenos podataka i na taj nain dolaziti do informacija koje su mu potrebne za direktan napad na internu mreu.

IP mrea se moe napasti na razne naine. Sledi kratak opis svakog naina napada:

Prislukivanje (engl. eavesdropping) ili njukanje (engl. sniffing, snooping) predstavlja mogunost praenja saobraaja na mrei, da bi se do-znalo prenose li se podaci u nezatienom formatu. Prislukiva obino koristi neki softver za nadgledanje mrea.

Razbijanje lozinki. Ovi napadi su posledica prislukivanja. Kada razbi-ja ima sve bitne informacije o vaeem korisnikom nalogu (verovali ili ne, u internoj mrei ovi podaci nisu uvek odgovarajue zatieni), on moe neometano pristupiti mrei i dobiti sve informacije, poput stvarnih korisni-ka. Moe saznati imena raunara, podatke o korisnicima, lokacije resursa. Dalje, razbija je u stanju da izmeni, obrie ili preusmeri podatke na mrei.


Ilija Miskovic


Falsifikovanje IP adrese (engl. IP address spoofing). Napada moe preuzeti, odnosno koristiti tudu IP adresu, i na taj nain pristupati mrei.

Posredniki napadi (engl. man-in-the-middle). Napada moe da nadgleda, kontrolie i hvata podatke na putu izmeu ureaja poiljaoca i primaoca.

Napadi uskracivanja usluga (engl. denial-of-service attacks). Napada ostvaruje pristup mrei i onda alje nevaee podatke mrenim uslugama i aplikacijama, i time izaziva prekid rada mrenih usluga ili njihov pogrean rad. Ovoj vrsti napada pripada i zaguivanje, odnosno preplavlji-vanje (engl. flooding) usmereno ka odreenoj usluzi ili odreenom rauna-ru, to rezultira preoptereenjem i gaenjem ili kvarom. Ovom vrstom na-pada esto su obarani Web serveri i Web lokacije na Internetu.

Administratori mrea koriste sve strategije da bi spreili ove napade. Bezbedni usmerivai i mrene barijere (objanjene su u sledeem odeljku) samo su neka od tehnikih reenja za zatitu internih mrea. Na raspolaga-nju imate i protokol za bezbednost, Internet Protocol Security (IPSec). To je skup protokola i usluga za zaritu, koje su zasnovane na ifrovanju. IPSec se moe koristiti za zatitu internih mrea, mrea u kojima se za povezivanje koriste WAN tehnologije i mrea u kojima se koristi udaljeni pristup (na primer, virtuelne privatne mree - VPN, koje emo objasniti na vebama).

IPSec upotrebljava sve vrste metoda za zatitu podataka na mrei. ifrovanje podataka je tehnika preslikavanja podataka u neitljiv format.

IPSec za zatitu podataka moe koristiti sertifikate, pri emu primalac podatke moe proitati samo ako poseduje sertifi-kate koji potvruju nje-govo pravo itanja poverljivih informacija. Oigledno, za primenu IPSec-a, neophodno je dobro poznavanje skupa protokola TCP/IP. Ako vam treba vie informacija o IPSecu i zatiti mree pod Windowsom 2000 Server, pogledajte knjigu Microsoft Windows 2000 Security Handbook.Koja god da je veliina mree, za njihovu zatitu nije dovoljna samo jedna strategija. Znai da morate napraviti plan zatite mree. Kada napra-vite plan, moete ga realizovati pomou odgovarajueg hardvera i softve-rskih zatitnih alatki. Bezbednost mree zaista je aktuelna tema i vaan aspekt delatnosti administratora mrea. Nije lako zatititi mreu. ak i mo-ne igrae, kao to su Yahoo! i Microsoft, ponekad nokautiraju napadai iz mree. Razmatranje bezbednosti mrea zatvoriemo odeljkom o sjajnom izumu: mrenim barijerama.SENZORI U ROBOTICIUradio:

Ilija Miskovic


7. Mrene barijerePredvieno je da mrene barijere (engl. Firewall) stoje izmeu vae mree i Interneta, sa ciljem da zatite internu mreu od spoljnih napada.

Mrena barijera istovremeno ispituje i podatke koji naputaju internu mreu i podatke koji u nju ulaze. Ona moe preiavati" te podatke koji putuju u oba smera. Ako podaci ne odgovaraju zadatim pravilima, ne do-zvoljava im se prolaz, bez obzira na to u kom smeru idu. Znai da mrene barijere ne tite samo od spoljnih napada, ve kontroliu i vrste veza koje korisnici iz interne mree pokuavaju da uspostave sa spoljnim svetom (dru-gim reima, korisnicima interne mree moe se onemoguiti povezivanje sa odreenim Web lokacijama).

Mrene barijere su obino kombinacija hardvera i softvera.

Po svom izgledu, ne razlikuju se bitno od ostalih ureaja za poveziva-nje, kao to su razvodne kutije i usmerivai. Razni proizvoai prave mre-ne barijere. Meu njima su Cisco, 3Com i Ascend Communications.

Shodno veliini mrea koje treba da tite, postoje razni modeli mre-nih barijera. Na primer, 3Com proizvodi model mrene barijere Office-Connect, bezbednosni alat namenjen malim kompanijama.

Veim korporacijama, 3Com nudi mrenu barijeru SuperStack 3, sainjenu da kontrolie veliki broj VPN veza (VPN, odnosno virtuelne privatne mree, objasniemo u poglavlju-vebi). Ova mrena barijera podrava, izmeu ostalog, i IPSec.SENZORI U ROBOTICIUradio:

Ilija Miskovic


Postoje i isto softverske mrene barijere. Mnogi od ovih proizvoda namenjeni su za linu upotrebu, za zatitu PC raunara koji imaju stalnu vezu sa Internetom preko DSL linije ili kablovskog modema.

Pre nego to se upustimo u objanjavanje raznih vrsta mrenih barijera, reiemo neto o neophodnosti i vanosti mrenih barijera za bezbednost mree. U prethodnom odeljku, kratko je spomenuto da su TCP/IP prikljuci mala vrata za provaljivanje u mree i raunare. Zavisno od veliine mree u kojoj radite, moete se upitati: Zato bi neko gubio vreme pokuavajui da provali u moju mreu?"

Meutim, pogreno je miljenje da razbijai ciljaju samo na velike mree, kao to su Microsoft i Ministarstvo odbrane, Svi se pitamo zato uopte ljudi gube vreme pokuavajui da provale u raunarske mree, ali injenica je da takvi ljudi postoje. Ne samo to pokuavaju da upadnu u mree, nego upadaju i u line PC raunare. Na primer, na slici 4.11, prikazano je upozorenje koje daje softverska mrena barijera ZoneAlarm, koja je instalirana na PC raunar. PC raunar je kablovskim modemom neprekidno povezan na Internet, preko davaoca Internet usluga.

Prikazano upozorenje kae da je neko pokuao da poalje signal ping" PC raunaru. im to mogu da urade, znai da znaju moju IP adresu.

Mrena barijera ZoneAlarm blokirala je ovaj pokuaj slanja signala ping. Svakog dana, dok radite na raunaru, moete od mrene barijere da dobijete bar desetak upozorenja. Neki ljudi pokuavaju da provere da li je moj raunar ukljuen, pomou komande ping (to nije strano). Meutim, problem nastaje kada uljezi otkriju da je Va raunar ukljuen i pokuaju, kroz razne TCP/IP prikljuke, da uspostave vezu s mojim raunarom.Kada na svom raunaru, koji je povezan na Internet, instalirate mrenu barijeru, recimo ZoneAlarm (to je stvarno odlina mrena barijera za line raunare; vie informacija potraite na lokaciji :http://www.zonealarm.com/), upozorenja koja ete dobiti, ne moraju uvek biti posledica pokuaja loih momaka". I va davalac Internet usluga povremeno pokuava da uspostavi vezu sa vaim raunarom, zbog raznih ispitivanja i iz tehnikih razloga.


Ilija Miskovic


Meutim, postoje zaludni ljudi koji svakog trenutka bockaju" mree i raunare, pokuavajui da se poveu na njih. Da biste se dodatno uverili u to koliko su vane zatitne barijere, posetite lokaciju :

http: / /grc. com/default. htm.

Ovu lokaciju odrava kompanija Gibson Research Corporation i na njoj je veza ka posebnoj lokaciji ove kompani-e, pod imenom Shields Up (u prevodu, podigni titove). Lokacija Shields Up e vam pokazati koliko su raunari, koji rade pod Windowsom, osetljivi na spoljne napade.

Proverite da li ste izabrali hipervezu Shields Up na poetnoj stranici kompanije GRC. Ako nemate instaliranu i ukljuenu mrenu barijeru na svom raunaru, iznenadiete se kada vas Web lokacija Shields Up bude pozdravila NetBIOS imenom vaeg raunara.

Da bi stvari bile jo gore, u donjem delu Web stranice Shields Up potraite dugme Test My Shields i pritisnite ga.Kada pomou ovog testa ispitateVa raunar pod Windowsom namenjen za zajedniko korienje datoteka i resursa za tampanje, dobiete spisak svih direktorijuma i ta-mpaa na tom raunaru, koji su bili podeeni za zajedniko korienje.

Kada dalje sprovedete test prikljuaka, Probe Port (u njega se ulazi sa stranice Shields Up), ispostavie se da je gomila prikljuaka bila irom otvorena (HTTP, Telnet, NetBIOS...).

Posle ovog dogaaja, treba instalirati linu mrenu barijeru Zone-Alarm i ponovo pokrenuti iste testove. Test Shield je prijavio da raunar radi u stealth" (nevidljivom) reimu rada, to znai da nezvanim gostima nisu na raspolaganju bile nikakve informacije o raunaru, kao to su NetBIOS ime i spisak deljenih resursa.

Kada dalje pokrenute testiranje prikljuaka, svi prikljuci bili su zakljuani (rezultat rada mrene barijere).

Na slici 4.12 vidi se rezultat testiranja prikljuaka. Vidi se da su svi prikljuci nedostupni spolja i da ne postoji rupa kroz koju bi se uljez mogao uunjati u raunar preko Interneta.SENZORI U ROBOTICIUradio:

Ilija Miskovic


7.1 Vrste mrenih barijeraMrene barijere su klasifikovane prema nainu na koji rade sa mre-nimn saobraajem i prema tome na kojem sloju referentnog modela OSI funkcioniu . to je vii sloj na kojem mrena barijera funkcionie, to je ona sloenija. Evo nekih detalja:

Filter paketa. Ova vrsta mrenih barijera koristi skup pravila za utvri-vanje da li odlazei ili dolazei paket podataka sme da proe kroz mrenu barijeru. Ova pravila (ili filtri, kako ih jo nazivaju), zasnovana su na dozvo-ljenim IP adresama poiljaoca i na brojevima prikljuaka, koje angauje protokol od koga taj paket podataka potie. Filter paketa prosleuje podatke velikom brzinom. On predstavlja najjednostavniju mrenu barijeru. Poiva na sloju veze podataka i na mrenom sloju referentnog modela OSI. Usme-riva koji tokom svog rada konsultuje pristupne spiskove (pravila za propu-tanje ili blokiranje veza, na osnovu IP adresa) radi filtriranja prenosa poda-taka, moe se smatrati fllterom paketa.

Mrena barijera na nivou kola. Ova vrsta mrenih barijera slina je fi-ltrima paketa (obe vrste filtriraju pakete na osnovu nekakvih pravila). Meutim, mrene barijere na nivou kola rade u transportnom sloju refere-ntnog modela OSI, pa su zbog toga funkcionalnije. Ove mrene barijere imaju takvu mogunost preureivanja paketa (poslatih iz interne mree ka odreditu van mrene barijere), da izgleda kao da je mrena barijera izvo-rite paketa. Na taj nain, uva se tajnost informacija o unutranjoj organi-zaciji mree. Mrene barijere na nivou kola mogu procenjivati da li je TCP protokolom pravilno uspostavljena veza izmeu raunara u mrei i raunara van mree . Ako veza nije pravilno uspostavljena, mrena barijera je moe raskinuti. Na ovaj nain moe se prekinuti veza koju je uljez oteo da bi se uunjao u intemu mreu kroz mrenu barijeru.SENZORI U ROBOTICIUradio:

Ilija Miskovic


Mreni prolaz za aplikacije. Ova vrsta mrenih barijera funkcionie na sloju aplikacija referentnog modela OSI. Mreni prolazi za aplikacije koriste strogu proveru identiteta korisnika. Tako se proverava identitet raunara koji pokuava do se povee na mreu korienjem odreenog TCP/IP proto-kola iz sloja aplikacije (na primer, Telnet ili FTP). tavie, posle provere identiteta korisnika, ova vrsta mrenih barijera moe kontrolisati ureaje sa kojima je korisnik uspostavio vezu preko spoljnog raunara. Mreni prolazi za aplikacije predstavljaju efikasnu zatitu od falsifikovanja IP adrese (engl. IP spoofing, objanjeno je ranije u ovom poglavlju), jer se ne dozvoljava odravanje veze sa raunarom unutar mrene barijere u sluaju da se ne mo-e valjano utvrditi identitet korisnika.

Mnoge mrene barijere, izmeu ostalog, podravaju funkcije posrednikih servera (engl. proxyserver) i pretvaranje mrenih adresa (engl. Network Address Translation, NAT), u cilju zatite interne mree. Ako vam treba vie informacija o posrednikim i NAT serverima, vratite se na 12. poglavlje, Povezivanje mree na Internet".

Otkriete da su neke mrene barijere zapravo hibridi vrsta koje su ovde navedene.

Na primer, neka mrena barijera moe kombinovati funkci-je mrene barijere na nivou kola i mrenog prolaza za aplikacije.

Razvijanje novih mrenih barijera odvija se vrtoglavom brzinom. Zvuni novinski naslovi o obaranju mrea velikih flrmi i dravnih institu-cija, doveli su do porasta prodaje mrenih barijera i do njihovog usavrava-nja.SENZORI U ROBOTICIUradio:

Ilija Miskovic


8.Zakljuak:Zatita mree i njenih resursa sigurno je najvei izazov sa kojim se adminisrratori mrea sreu. Sutina je sledea: najpre prouite mogue pretnje po bezbednost mree. Zatim, na osnovu toga sainite plan za zatitu mree.

Svakoj mrei treba plan zatite, koji predvia mogue pretnje po bez-bednost mree i sadri mere koje ete sprovesti da biste otklonili te pretnje. Ako na vaoj mrei najvei problem predstavljaju korisnici koji cunjaju po vanim podacima, teite vaeg plana zatite treba da bude obuavanje kori-snika da ispravno koriste mreu. Ako u mrei imate osetljive podatke, vaa mrea bie izloena napadima spolja i iznutra; poverljive podatke pokuae iznutra da ukradu vai slubenici, skloni industrijskoj pijunai, a spolja e napadati razbijai, lovci na vredne informacije. Znai, morate pripremiti strategije zatite od napada spolja i iznutra.SENZORI U ROBOTICIUradio:

Ilija Miskovic


Literatura:

- Goran Vujacic, Mreze i telekomunikacije-racunarske mreze, Beograd,

2008 - Jovan Zivadinovic, Poslovni i finansijski informacioni sistemi, Cacak,

2006

- Nikola Bracika, Poslovni i finansijski informacioni sistemi, Cacak, 2006 Goran Vujacic, Mreze i telekomunikacije-racunarske mreze, Beograd, 2008

PAGE

seminarski rad- zastita racunarskih mreza

Documents