Embed Size (px)
Citation preview
Ekonomski fakultet u BeograduKamenička 6 11000 Beogradwww.ekof.bg.ac.yu
Seminarski radiz predmeta
Poslovna Informatika
TEMA
ZAŠTITA POSLOVNIH INFORMACIONIH SISTEMA
Beograd,2003
Sadržaj:
Uvodni deo.............................................................2 Napad: 1.Kompjuterski virusi..........................................4 2.Internet worms..................................................5 3.Lameri...............................................................5 4.Mail bombe.......................................................6 5.Trojanci.............................................................6 6.Napad preko NetBiosa......................................7 Zaštita: 1.AntiVirus programi...........................................9 2.Firewall............................................................10 2.1. Filtriranje paketa........................................................11 2.2. NAT...........................................................................13 2.3. Proxy Services...........................................................15 2.4. Firewall-ovi...............................................................15 2.5. Zaključak...................................................................18 Objašnjenja nekih izraza......................................19 Literatura..............................................................20
UVODNI DEO
1
Sve veći problem i ograničavajući faktor razvoja i primene računarskih sistema postaje bezbednost informacionih sistema. Činjenice koje povećavaju opasnost od zlopotrebe su:
Stalno uvečanje broja osoba koje koriste računarske sisteme Stalno uvečanje broja osoba koje se školuju i poseduju znanje iz informatike Vrednost informacija koje se danas nalaze u računarskim sistemima je velika
Oblici kompjuterskog kriminala su raznovrsni i brojni: Krađa računarske opreme Krađa internet vremena Krađa softvera radi neovlašćenog korišćenja i prodaje Upadi u računarsku komunikacionu mrežu radi kopiranja i menjanja podataka Kopiranje podataka iz računarskih centara bežičnim putem Pronevere zaposlenog osoblja u informacionim centrima
Mere zaštite mogu se podeliti u tri grupe:1. organizacione2. tehničke3. telekomunikacione
Organizacione mere zaštite se preduzimaju da bi se obezbedio integritet, raspoloživost i tajnost podataka. One obuhvataju:
uslove za rad računara i osoblja stručne kadrove tehnologiju obrade podataka medijume za čuvanje podataka pravne aspekte zaštite podataka
Tehničke mere obuhvataju zaštitu hardvera, softvera, prenosa, i obrade podataka mogu se podeliti na:
1. fizičke2. mere zaštite u računarskom sistemu
Fizička zaštita treba da obezbedi zaštitu od: neispravnih instalacija požara poplava zagađene okoline štetnih zraćenja neurednog napajanja električnom energijom nepovoljnih klimatskih i temperaturnih uslova za rad sistema elementarnih nepogoda
U mere zaštite u računarskom sistemu spadaju: zaštita hardvera zaštita sistemskog i aplikativnog softvera zaštita datoteka sa podacima kontrola radnih postupaka koje moraju da primenjuju svi korisnici usluga informacionog
sistema
U mere zaštite u telekomunikacionom prenosu spadaju: softversku --- šifrovanje podataka i posebne protokole--- tehničku ---posebnu opremu---
2
Sistem zaštite treba postaviti u celom lancu između korisnika računarskih resursa, računarskih sistema, programa, podataka i nosilaca podataka. Područja zaštite mogu se podeliti na:
identifikaciju terminala, odnosno radnih stanica i proveru u listi odobrenja za pristup programima i datotekama sa podacima
identifikaciju korisnika računarskih resursa i provera u listi ovlašćenja za korišćenje određenih terminala, radnih stanica, programa i datoteka,
odobrenje programima za pristup određenim datotekama i određivanje nivoa tajnosti podataka
Cilj svih mera zaštite je obezbeđenje integriteta i pouzdanosti poslovnog informacionog sistema. Pouzdanost sistema označava njegovu sposobnost da se brzo i tačno obnovi posle greške ili nepravilnog rada bilo koje sistemske komponente. U poslednjih nekoliko godina veliku opasnost za informacione sisteme predstavljaju kompjuterski virusi, trojanci, internet crvi, mail bombe. Tako da će se seminarski rad prevashodno okrenut zaštiti informacionih sistema baš od tih napada kao i od napada na portove. Pošto je lakše pobediti “neprijatelja“ ako ga poznajemo, prvo će mo obraditi napadače a zatim i zaštitu od njih.
NAPAD
3
1. KOMPJUTERSKI VIRUSI
Računarske komunikacije, bilo one u lokalu, bilo preko interneta, predstavljaju idealnu podlogu za širenje kompjuterskih virusa. Veliki broj povezanih radnih stanica i servera, koji jedni drugima daju posebne privilegije u međusobnoj razmeni podataka i korišćenja zajedničkih resursa olakšavaju širenje virusa među mašinama i sve njihove destruktivne aktivnosti. Sa druge strane umrežavanje računara otežava efikasno otkrivanje i uklanjanje virusa. Kompjuterski virusi su mali, samoreprodukujući programi (nekoliko KB) koji imaju isključivo cilj da naprave štetu na zaraženom kompjuteru. Pišu ih hakeri - iskusni programeri koji su ili stvarno zlobni ili žele da pokažu kako su Microsoftovi operativni sistemi namerno nezaštičen. Mogu neopaženo da se ubace u sektore za inicijalno punjenje, module operativnog sistema i razne aplikativne programe. Štetu prave tako što brišu ili menjaju fajlove na disku, a najveća šteta nastaje ako dođe do potpunog gubljenja podatka i raspada celog informacionog sistema. Virusi i druge vrste zlonamernog koda u računarsku mrežu mogu dospeti na više načina, u zavisnosti od mogućnosti razmene podataka sa okruženjem:
Internet konekcije Elektronska pošta Prenos datoteka Zaraženi prenosni mediji (CD ili diskete) Instalacija piratskog softvera Razmena podataka sa lokalnim mrežama na udaljenim lokacijama i druge
Razvojem internet komunikacija kao ubedljivo najznačajniji vid širenja virusa možemo istaći elektronsku poštu (95%), zbog činjenice da je pojava novih virusa pitanje minuta. Često su virusi "upakovani" kao katalog proizvoda, neka pošalica, čestitka za praznik i slično. Međutim, svi oni imaju jednu zajedničku stvar -svi su izvršni fajlovi. Ukoliko se desi da dobijemo poruku koja ima attachment (fajl prikačen uz poruku), ne treba ga odmah otvoriti. Ovako izbegavamo opasnost da sa startovanjem attachmenta zarazimo računar. Većina modernih programa za e-mail često ne prikazuje kojeg je tipa prikačeni fajl, prikazuju samo njegovo ime. Dakle, ukoliko je poslat izvršni fajl, prostim pritiskom miša na njega (u okviru za attachmente) startovaće se program. Na sreću, svi e-mail programi omogućavaju da se fajl snimi na disk. Preporuka bi bila da svaki attachment koji stigne, prvo snimi na disk, pa tek onda proveri. Provera snimljenog fajla počine sa proverom kojeg je tipa. Ako je u pitanju slika (.gif, .jpg, .bmp) ili tekst (.txt, .asc), onda ga slobodno možemo otvoriti. Ukoliko je u pitanju dokument popularnog tekst procesora, Word (.doc), izvršni fajl (.exe, .com, .bat, .cmd) ili nešto nam nepoznato, potrebno je da taj direktorijum pretražimo (skeniramo) antivirusnim programom. Ukoliko je u pitanju arhiva fajlova, tj. fajl koji sadrži druge fajlove u kompresovanoj formi (.zip, .arj, .rar ili .tgz), potrebno je fajl "otpakovati", a onda ponoviti prethodno uputstvo i utvrditi kojeg su tipa fajlovi. Sve što je navedeno za e-mail attachmente, važi i za attachmente iz news grupa. Fajlovi koje preuzimamo sa Web ili FTP adresa nisu ništa različiti od attachmenta. Sa njima je potrebno biti isto toliko oprezan, ako ne i više. Dakle, svaki fajl koji preuzimamo treba proveriti.
2. INTERNET WORMS ( CRVI )
4
Internet crvi predstavljaju običan program koji se širi putem e-maila i pravi štetu na računaru korisnika koji ga je iz neznanja (ili zahvaljujući Microsoftu) pokrenuo. Kada se crv useli u nečiji računar, u zavisnosti od mašte hakera koji ga je napisao, crv pravi neku pakost po hard-disku, uglavnom briše fajlove (dokumenta, slike i MP3 muziku) a ima i onih crva koji pune hard-disk i tako izazivaju krah operativnog sistema. Paralelno sa tim, šalju sami sebe na e-mailove koje nađu u Adress Book-u ili uz svaki poslati e-mail , i na taj način se razmnožavaju. Postoji više tipova crva, prvi su oni koji nose ekstenziju EXE, i oni su standardni (pod EXE spada i COM a i SCR), drugi su makro crvi (napredniji makro virusi) i oni se prenose kao *.DOC dokumenti, treći su VBS crvi, idu kao *.VBS (Visual Basic Script), i zadnja generacija, četvrti tip je *.PIF . Više nije dovoljno upozoravati da se ne startuju prikačeni fajlovi, sada moramo biti pažljivi saOutlook Express-om, jer postoji puno načina da se zarazimo ako ga koristimo. Microsoft je "omogućio" da samo pogledom pristiglog e-mail već budemo zaraženi, uopšte nemoramo dastartujemo prikačeni fajl. Crv se, koristeći Javu ili ActiveX, sam startuje, što po pravilu nikako nebi smelo da se desi. Skoro je pronađena i rupa u Outlook Expressu koja omogućava hakeruda startuje kod na računaru čim e-mail uđe u inbox, ne trebate ni da se otvori e-mail a već smo zaraženi. Prepreke širenju crva su im samo oni korisnici koji ne koriste Outlook Express ili ne koriste Windows uopšte. Kako odstraniti internet crva i sebe sačuvati!: Kliknite desnim tasterom miša nad ikonicom OutlookExpressa, izaberite “Delete” i potvrdite sa “Yes” kada vas bude pitao dali ste sigurni. Postupak ponoviti nad svim ikonicama Outlook Expressa, a potom isprazniti Recycle Bin (da se ne povampiri!). Posle toga se zakačite na internet i skinite neki mail klijent, naprimer The Bat koga možemo naći na lokaciji www.ritlabs.com/the_bat/ jer je jednostavan, moćan, ne podržava nikakvu Javu niti nekakve ActiveX i druge skripte, pa je samim tim i bezbedan. On nas neće zaštiti od brzih prstiju koji žure da startuju prikačeni fajl, pa tako još uvek važi upozorenje da ne startujemo prikačene fajlove čija je ekstenzija EXE, COM, BAT, SCR, DOC, EXL, VBS, VBA i PIF, pa makar oni došli i od naših prijatelja, jer 90% zaraženih crvom i ne zna da su zaraženi! U Antiviruse ne treba nikada da se uzdamo, jer oni neće otkriti najnovije crve i viruse, i ne treba ostajati u Outlook Expressu jer imamo Antivirus. Antivirus treba imati, ali nikada mu ne treba verovati kada je u pitanju fajl prikačen uz email.Internet Explorer isto tako treba izbegavati, mnogo je bezbednije koristiti recimo Operu (jer niNetscape nije čeličan), ona još nema ni jednu ozbiljnu otkrivenu rupu.
3. LAMERI
Lameri su uglavnom “deca” (od 13 do 20 godina) koja se zabavljaju tako što upadaju u kompjuterske sisteme i na njima prave štetu, i “deca” koja bi htela pristup internetu non-stop i to besplatno! Da bi ukrali tuđe internet sate ili napravili štetu na nekom kompjuteru moraju prvo da dobiju “daljinski” pristup nekom kompjuteru. Logično je da se sva komunikacija odvija preko internet i nju uspostavljaju ili preko trojanaca ili preko NetBiosa (ako postoji lokalna mreža).
5
4. MAIL BOMBE
Prvo što nas može snaći ako se zamerimo nekom lameru je da nas bombarduje e-mailovima. Postoje lamerski programi koji šalju nekoliko hiljada običnih poruka na zadati e-mail. Kada nam lamer pošalje oko 5 000 poruka, trebaće nam oko 3-4 sata da ih skinemo, ako ne znamo da se zaštitimo od toga. Lek je jednostavan: to je program koji se zove Magic Mail Monitor, veliki je samo 59kB i veoma je lak za korišćenje. Omogućiće nam da vidimo listu svih e-mailova (sa podacima: veličina, subject, autor pisma), da pročitamo samo izabrane e-mailove i omogućiće nam da za relativno kratko vreme obrišemo na hiljade poruka koje smo označili za brisanje. Podešavanje ovog programa je jednostavno, treba uneti adresu POP3 servera, naš username i šifru za e-mail. Kada Magic Mail Monitor skine listu e-mailova, “mail Bombe” će mo prepoznati tako što ti e-mailovi uvek imaju isti subject i istu sadržinu, tako da ih je vrlo lako selektovati i obrisati. Mail bombardovanje je veoma primitivna tehnika, pa se gotovo više i ne koristi. Skoro svi provajderi imaju zaštitu od mail bombi (server odmah zaustavi mailove ako primeti da dolaze samo jedni isti) a i krajnja zaštita je jednostavna.
5. TROJANCI
Trojanac je program, koji, kada se “ubaci” u nečiji kompjuter, šalje sve šifre na e-mail lameru (koji ga je i ubacio), omogućava tom istom lameru da preko njega (trojanca) pristupi zaraženom disku (što znači da lamer tada može da čita/piše/briše fajlove na zaraženom kompjuteru) ili čak dobije pun pristup zaraženom kompjuteru, što znači da može recimo da ugasi zaraženi kompjuter ili ga iskoristi za napad na neki drugi kompjuter. Sve to bez znanja vlasnika zaraženog kompjutera! Posledice mogu da budu katastrofalne: lamer može da nam uništi sva dokumenta na disku ili neki projekat koji smo radili godinama, može da nam potroši internet sate, ili čak može da sa našeg kompjutera napadne server neke banke. Da bi sprečili da nam lameri ubace trojanca moramo da znamo kako ih oni ubacuju. Lameri ubacuju trojance tako što pošalju email koji sadrži fajl (koji je u stvari trojanac) i u kojem neprimetno mole primaoca e-maila da startuje program koji su mu poslali, lažući ga da mu šalju neku igru, sliku, screensaver... Ovo važi i za ICQ, i uopšte za sve programe koji služe za komunikaciju preko interneta. I ovde važi zlatno pravilo: - Ne otvarajte ni jedan fajl koji stigne uz e-mail ili ICQ a koji niste tražili. Samo fajlove za koje ste se prethodno dogovorili da vam ih pošalju smete da otvarate! Najbolja zastita od trojanaca je Firewall!Preporučuje se, da se ne koristiti Outlook Express jer skripte koje ubacuju viruse mogu poslati na e-mail, tako da je dovoljno samo da se pročita e-mail i već da budemo zaraženi! Daleko je bezbednije da se za e-mail koristite Netscape Messanger, Eudoru ili The Bat.
6. NAPAD PREKO NETBIOSA
6
Da li ste znali da hakeri mogu pročitati ceo sadržaj vašeg diska bez ijednog trojanca i virusa?Recimo da imamo jednu firmu, sa desetak kompjutera koji su medjusobno povezani u mrežu. Kod takvih mreža, ljudi obično veruju jedni drugima i često postave mrežu tako da je svima svedozvoljeno, tj. svako vidi svačiji disk i može sa tuđim fajlovima da radi šta hoće. To postignu tako što “share-uju” svoje diskove, i preko servisa koji se zove NetBios razmenjuju fajlove preko mreže. Ako bilo koji kompjuter u mreži pristupi internetu sa aktivnim NetBios-om, hakeri mogu da se bez problema posluže svim fajlovima na tom kompjuteru u firmi. Sve alate već sadrži Windows, klijent i server, samo treba znati to (zlo)upotrebiti. Kako ih hakeri nađu?Uzmu NetBios scaner, ukucaju IP rang koji žele da pretresu (recimo od 195.178.50.0 do 195.178.50.255), kliknu na “Search” i za manje od pet minuta skeniraju sve kompjutere koji su u tom trenutku prikačeni na neki od (npr.naših) provajdera. Na ekranu im se ispišu imena kompjutera i imena grupe kompjutera, to oni zapišu u jednom specijalnom fajlu, kliknu na Start/Find/Find Computers, ukucaju ime kompjutera, pritisnu “Search”, pojavi im se ispod ime kompjutera, i sada je samo dupli klik potreban da bi pristupili disku na udaljenom kompjuteru. Šta mogu da urade?Prvo će vam verovatno pokupiti *.pwl fajlove koji se nalaze u Windows-ovom direktorijumu, a koji sadrže sve šifre za internet. Zašto ljudi da plaćaju internet kada non-stop na internetu mogu da nađu šifre “na izvolte”. Zatim će malo “procunjati” diskom, možda nađu neki interesantan dokument, u kojem su zapisane recimo informacije koje nisu za svačije oči, na primer poslovne tajne firme. Na kraju, kada sve pregledaju, poželeće možda da obrišu sve što može. Pravi raj za hakere i pakao za žrtve! Ima li zaštite?Kada “share-ujete” diskove, stavite i password, i ako vam okolnosti to dozvoljavaju, stavite disku koji “share-ujete” atribut “Read-only”, tako da niko ne može da briše ili menja fajlove sa vašeg diska. Na ovaj način, ako vas hakeri nađu na internetu neće moći da pristupe vašem disku jer ne znaju password, a ako i kojim slučajem uspeju da mu pristupe, neće moći ništa da unište.Netbios komnunicira preko TCP/IP protokola, što znaći da koristi i određene portove, a to su 137, 138 i 139. Te portove treba zatvoriti, što možemo da učinimo na sledeće načine:
korišćenjem Firewall-a (npr. AtGuard-a) pomoću programa NoShare.exe preko Control Panel-a
Firewall AtGuard treba konfigurisati na sledeći način:Po Default pravilima, dozvoljen je pristup na portove 137 i 138 (NBName i NBDatagram). Servis NBName pokazuje ime kompjutera. To može pomoći hakeru da nađe na internetu kompjuter koji mu je potreban. Ovo ne sme da bude dozvoljeno, pa stoga obrišite ova dva pravila. Treba napraviti nova pravila za blokiranje pristupa na portove 137, 138 i 139. To se radi tako što kliknete na Dashboard/Settings, pa na “Add” i popunite polja koja vidite na sledeći način:
Name: upišite na primer "Blokiranje Netbiosa". Action: Block Direction: Either Application: Any Application Protocol: TCP or UDP Service: List of services, pa kliknite na ADD, otkucajte redom 137, pa 138, pa 139 i na levoj i na desnoj strani AtGuard Setting prozora. Address: Any Address Postoji i program od 7 KB koji se zove NoShare.exe i koji zatvara kompletan NetBIOS. Može se naći na sajtu www.grc.com . Program “ubije” NetBIOS automatski i samo prikaže na ekranu da je potreban restart kompjutera. Posle restartovanja, NetBIOS je uništen. Postoji i još jedan način za isključivanje NetBiosa, a to je preko Control Panela:
7
Idite u Contol Panel -> Network, zatim TCP/IP (i Dial-Up ako je instaliran), pritisnite “Properties” i u sekciji Bindings isključite “File And Print Sharing” a ubacite samo Microsoft Family Logon. Korisnici koji nemaju lokalnu mrežu ovo mogu odmah da urade, jer ova opcija služi samo za lokalnu mrežu. Najvažnije je da nemate Virtual Networking, File and Printer sharing i Microsoft Client. Može se otići i korak dalje, Contol Panel -> Network, obrisati sve stavke i ostaviti samo TCP/IP iDial-Up Adapter. Ovo se početnicima ne preporučuje jer ce posle toga Windows svaki put kadauđete u Control Panel/Network prijaviti da konfigurisanje nije dovedeno do kraja. Prijaviće samo to, a sve ostalo će raditi normalno, a NetBios će biti zatvoren. Ovo treba uraditi ako nemate lokalnu mrežu a slučjno ste instalirali File and Printer sharing. Ako niste sigurni da li je instaliran, pogledajte da li se na vašem Desktopu nalazi ikonica "Network Neighborhood". Ako je imate, onda je File and Printer sharing instaliran. Ako imate mrežu, ne smete zatvoriti Netbios, jer u protivnom vaš kompjuter neće moći darazmenjuje fajlove u mreži. Umesto toga trebate na svaki disk staviti Password i dobrokonfigurisati Firewall tako da portovima 137, 138 i 139 mogu pristupiti samo kompjuteri iz vašemreže, a ne i sa celog interneta.
ZAŠTITA
1. ANTIVIRUS PROGRAMI
8
Svi moderni antivirusni programi imaju nekoliko komponenata. Ove komponente su najčešće deo za proveru fajlova (scan), deo za dezinfekciju, odnosno čišćenje zaraženih programa (clean) i stalno aktivni deo koji nadgleda ulazno-izlazne operacije na računaru i proverava da li se možda tu kreće i neki virus (monitor). Scan delom programa se proverava sadržaj diska u potrazi za virusima. Sprečavaju zarazu tako što skeniraju fajlove koji se pokrenu u potrazi za kodom (programom unutar programa) i ako nađu kod koji odaje prisustvo virusa oni zabrane pokretanje zaraženog programa. Tada će scan program automatski pokrenuti clean deo i pokušati da dezinfikuje fajl. Čiste ih tako što unutar zaraženog fajla brišu kod za koji su sigurni da je virus. Nekad je jedino rešenje brisanje zaraženog fajla. Štaviše, to je najbolje rešenje koje treba primenjivati kad god je moguće. Što se tiće monitor programa, većina antivirusnih programa ovakve programe instalira da se automatski startuju po podizanju računara. Ovo je dosta dobra zaštita, pošto stalno imamo antivirusnog čuvara koji nadgleda šta radimo. Međutim, ovo je operacija koja dosta usporava rad na računaru. Naime, svaki fajl koji kopiramo, otvaramo, snimamo ili starujemo, antivirusni monitor proverava. Stoga, ovo nije uvek moguće primeniti. Uz dovoljan oprez, monitor program nam nije neophodan. Ako pak utvrdimo da nam ne smanjuje brzinu rada, previše, slobodno ga možemo držati stalno aktivnog. Mesečno se u proseku pojavi oko 100-150 novih virusa. Ovde dolazimo do pitanja kako su Antivirusi sigurni da su pronašli virus, da li su 100% sigurni (tj. da li je moguće da im neki virusi promaknu) i da li je moguće napraviti univerzalni antivirus. Antivirusi imaju bazu kodova virusa koje su proizvođači Antivirusa uspeli da nabave. Antivirusi traže kodove koje imaju u svojoj bazi, tako da ako ste zaraženi nekim novim virusom, antivirusi neće otkriti ništa ili neće ga detektovati kao “mogući virus” koji naravno neće uspeti da očiste. Zaključak je da ni jedan antivirus nije savršen i da nam u nekih 20% slucajeva Antivirusi neće pomoći. Postoji i program (FileProtector) pomoću koga možemo zabraniti da se izabrani fajlovi menjaju (recimo važni EXE fajlovi) ali na žalost, taj program nije savršen jer usporava perfomanse diska, i ne može se definisati da se svim EXE fajlovima zabrani menjanje. Kao što smo i videli, primorani smo da još uvek radimo sa nesavršenim antivirusima. Svi moderni antivirusni programi mogu da se nadograđuju novijom verzijom (upgrade). Nove verzije izlaze najčešće jednom ili dva puta mesečno, a po nekad i česće, tj. po pojavi nove opasnosti (novog, jako opasnog virusa). Stoga, treba da vodimo računa i uvek imamo najnoviju verziju antivirusnog programa. Najčešći i najbolji antivirusni programi sa njihovim web stranicama:
AVP (www.kasparsky.com) Norton Anti Virus (www.symantec.com) Comand Anti Virus (www.commandcom.com) F-prot, za DOS (www.datafellows.com/gallery) McAfee Virus Scan (www.mcafee.com) Panda Anti Virus (www.pandasoftware.com) PC-cillin (www.antivirus.com) Sophos Anti Virus (www.sophos.com)
2. FIREWALL
Da bi računari međusobno uspešno komunicirali, moraju koristiti standarde, pravila i protokole. TCP/IP je osnovni skup protokola koji se koristi na internetu. I ako je razvoj TCP/IP
9
protokola počeo za potrebe vlade SAD-a, on je prvenstveno dizajniran da bude pouzdan, a ne i siguran. Namera je bila razviti protokol koji će biti dobar za dotok informacija, čak i ako različiti delovi tih informacija putuju različitim putevima. Zbog toga što se razvoj odvijao u okruženju u kojem je vladalo poverenje, između relativno malog broja korisnika, sigurnost podataka u prometu između korisnika nije bila glavna briga. Sada je internet globalna mreža, sa više stotina milijona računara, gde većina korisnika nema poverenje prema drugima. Osim interneta to mogu biti bilo koje mreže nad kojima nemamo kontrolu. Kada spajamo privatnu mrežu na internet, u suštini vršimo spajanje naše privatne mreže direktno na svaku mrežu koja je spojena na internet. Ne postoji jedna centralna tačka kontrole sigurnosti. Firewall koristimo kako bi stvorili sigurnosne kontaktne tačke na granicima privatnih mreža. Na tim kontrolnim tačkama, firewall ispituje sve pakete koji se razmenjuju između privatne mreže i interneta, te odlučuje da li će propustiti ili odbaciti paket. Ta odluka se temelji na pravilima koja su ugrađena u firewall. Npr. Postoje tri mreže u kojima se nalaze korisnici kojima se može verovati i dve u kojima se nalaze korisnici u koje nepostoji poverenje. Između tih mreža postoje tačke na kojima želimo vršiti kontrolu prometa (firewall). Mudro bi bilo postaviti firewall na tačke na kojima se nalazi veza prema korisnicima u koje nemamo poverenja, ali isto tako bi mogao biti postavljen i između korisnika u koje imamo poverenje. Firewall bi na tim tačkama ispitivao koji korisnik ima pravo pristupa zaštićenoj lokalnoj mreži i ako ima pravo pristupa, kolika ovlašćenja ima taj korisnik. Nadalje bi trebao da ispituje koji tipovi paketa smeju proći kroz tu tačku. Ti, a i mnogi drugi principi se trebaju primenjivati na svim stupnjevima rada na internetu, od malih biroa do biroa velikih firmi, od nekoliko povezanih LAN-ova do korporacijskih WAN-ova, od računara za pretraživanje Weba do servera za elektronsku trgovinu. Postoje specifični napadi kojima crackeri (hakeri) žele onesposobiti neki računar u privatnoj lokalnoj mreži, pa čak i celu lokalnu mrežu, ili bilo koji računar koji je spojen na internet. Recimo, cracker može zapisati u polje izvorišta neku IP adresu iz privatne zaštićene mreže i tako pokušati da “prevari” firewall (Address Spoofing napad). Ali zato firewall odbacuje sve TCP/IP pakete koji dolaze na kontakt prema javnim mrežama, prema nepoverljivim računarima, a imaju u zaglavlju IP adresu iz privatne lokalne mreže. Moguće je i postavljanjem određenih zastavica u zaglavlju TCP/IP paketa zauzeti računarske resurse ili identifikovati određene otvorene pristupe (Syn-Flood, Port-Scanner napad). Nadalje je moguće onesposobiti operativne sisteme šaljući velike i česte ping zahteve (Smurf, Ping-of-Depth napad). Svu moguću štetu, koju mogu uzrokovati ti napadi, je moguće sprečiti odgovarajućom upotrebom firewalla. Firewall-ovi se nalaze na granicama privatne mreže, spojeni direktno na veze prema drugim mrežama. Koncept sigurnosti na granicama privatnih mreža je važno, jer bez njega svaki računar u privatnoj mreži bi morao izvoditi funkcije firewall-a trošeći resurse računara i povećavajući vreme potrebno za spajanje, autentifikaciju i dekodiranje podataka u LAN-ovima velikih brzina. Po svojoj prirodi firewall-ovi stvaraju “usko grlo” između privatne i spoljne mreže, jer sav promet između njih mora proći kroz jednu kontrolnu tačku. Zbog toga što su veze između mreža relativno spore u odnosu na brzinu modernih računara, kašnjenje koje izaziva firewall može se zanemeriti. Neke zemlje koriste firewall-ove velikih brzina za cenzurisanje interneta, što samo dokazuje njihuvu efikasnost.
Firewall-ovi funkcionišu prvenstveno koristeći tri osnovne metode: Packet Filtering Odbacuje TCP/IP pakete od neautorizovanih računara i pokušaja
uspostavljanja veze sa neautorizovanim servisima. Network Address Translation (NAT) Prevodi IP adresu internog računara da bi ga
“sakrio” od spoljnog monitoringa.
10
Proxi Servises Stvara visoki-stepen aplikacijske veze sa strane internog računara da bi kompletno prekinuo vezu mrežnog sloja između internog i spoljnog računara.
Većina firewall-ova ima još dva važna sigurnosna servisa: Encrypted Authentication Dopušta korisnicima na javnoj mreži da dokažu svoj
identitet firewall-u, da bi dobili pristup privatnoj mreži sa spoljnih lokacija. Virtual Private Networking Uspostavlja sigurnu vezu između dve privatne mreže
preko javnog medija kao što je internet.
2.1. Filtriranje paketa (Packet Filtering)
Prvi pokušaji da se poboljša sigurnost TCP/IP-a su bili utemeljeni na ideji da je usmeritelju veoma lako ispitati zaglavlje TCP/UP paketa i jednostavno odbaciti pakete koji ne zadovoljavaju specifikacije koje želimo prihvatiti. Ipak filteri paketa imaju probleme koji ih čine nedovoljnima da bi postigli potpunu zaštitu za privatnu mrežu. Zbog toga se oni upotrebljavaju sa proxy servisima i NAT-om. Proxy servisi su prvenstveno dizajnirani da bi učinili World Wide Web bržim. NAT je ipak prvenstveno dizajniran da bi povećao adresni prostor dostupan privatnim organizacijama i rešio problem spajanja privatnih mreža na internet. A posle su iskorišćena njihova dobra svojstva, koja su spojena sa filtriranjem paketa i tehnologijom kodiranja/dekodiranja, da bi se stvorili moderni firewall-ovi. Postoje dva primarna tipa filtriranja paketa:
Filteri paketa bez pamćenja stanja, koji se upotrebljavaju u usmeriteljima i operacijskim sistemima
Filteri paketa sa pamćenjem stanja, koji se upotrebljavaju u savremenim firewall-ovima
2.1.1 Filteri paketa bez pamćenja stanja (Stateless packet filters)
Filteri paketa su granični usmeritelji koji povećavaju sigurnost odlučujući da li da proslede paket na osnovu informacija koje sadrži zaglavlje svakog paketa. Filteri teoretski mogu biti knfigurisani da tu odluku donesu na osnovu svakog dela zaglavlja, ali najčešće se ta odluka donosi na osnovu:
Izvor usmeravanja (source routing) Tip protokola IP adresa TCP/UDP porta Numeriranje fragmenata
Izvor usmeravanjaPredstavlja listu u kojoj je definisana egzaktna ruta, kroz koju paket mora proći između računara koji su spojeni preko IP veze. Izvor usmeravanja je originalno bio korišćen za otkrivanje grešaka i testiranje, ali sada ga često koriste crackeri koji mogu staviti svoj računar u rutu.Dva tipa definisanja izvora usmeravanja su: -Neizričito definisanje izvora usmeravanja (Loose source routing), koje određuje jedan ili više računara kroz koja paket mora proći na putu između računara. -Striktno definisanje izvora usmeravanja (Strict source routing), koji određuje egzaktnu rutu kroz koju paket mora proći na putu između računara.Prvi tip crackeri češće upotrebljavaju, stavljanjem svoje IP adrese u zaglavlje paketa osiguravaju da on dođe do njihovog računara. Filtriranje protokolaPolje u zaglavlju koje označava koji protokol je upotrebljen, može se iskoristiti da se diskriminira celi skup usluga, kao što su:
User Datragram Protocol (UDP) Transmisson Control Protocol (TCP)
11
Internet Control Mesage Protocol (ICMP) Internet Group Menagment Protocol (IGMP)
Na primer, ako imamo server koji poslužuje koristeći uslugu temeljenu na TCP protokolu, onda možemo filtrirati UDP usluge. Ipak polje protokola je previše opšte da bi ga mogli koristiti za filtriranje. Filtriranje IP adreseOmogućuje da zabranimo vezu na (ili sa) određeni računar na temelju njegove IP adrese. Većina filtera dopušta da se zabrani pristup svim računarima osim onih koji su na listi prihvatljivih, ili obrnuto. Specifično odbijanje je u suštini beskorisno, jer bi trebalo pratiti svakog crackera koji je napao privatnu mrežu. Specifično prihvaćanje adresa određenih računara predstavlja relativno dobru zaštitu. Odbija pristup svim računarima čija IP adresa nije na spisku, da bi cracker provalio u privatnu mrežu morao bi imati pristup listi znanih IP adresa. Moguće je da cracker iskoristi izvor usmeravanja da bi pokrao IP adrese zato treba filter paketa konfigurisati tako da odbaci pakete sa rutom usmerivanja. Dobri filteri paketa dopuštaju da se specificiraju računari na osnovu protokola. TCP/UDP portoviInformacija o TCP/UDP portu je najćešče upotrebljavana za filtriranje jer ona tačno označava koji se protokol koristi. Kao i kod filtriranja IP adrese mogu se nabrojati svi prihvatljivi ili svi neprihvatljivi protokoli. Za razliku od filtriranja IP adrese kod protokola je korisno nabrojati i sve neprihvatljive jer crackeri uglavnom napadaju određene protokole. Neki od njih koji se i mogu filtrirati na osnovu TCP ili UDP porta su:Telnet (port 23) računar dopušta crackeru da otvori command promt sa dopuštenjem za npr. Brisanje nekih datoteka.NetBIOS Session (por 139) računar server će dopustiti crackeru da se spoji na server kao da je lokalni klijent.POP (port 110) dopušta crackeru da ukrade korisnikovu lozinku.Kao i protokoli:Echo,FTP,SMTP,DNS,HTTP… FragmentiranjeJe nastalo da bi se olakšao prolazak velikih IP paketa kroz dati link.Tu nastaju problemi zbog čijenice da podatke o protokolu (o portu koji on koristi) se nalazi samo na početku IP paketa i zbog toga će se on nalaziti samo u nultom fragmentu. Fragment br.1 i viši neće sadržavati tu informaciju i zbog toga ne mogu biti filtrirani. Prvi filteri su, pod pretpostavkom da je nulti paket odbačen i da će zbog toga svi ostali biti bezvredni, prosleđivaće ostale pakete. Ali ta pretpostavka nje tačna. Neke starije verzije TCP/IP-a, koje su se izvodile na računarima, su sve jedno pokušale ponovo spojiti paket i ako je svaki taj paket, od prvog do n-tog, bio ispravan TCP paket on ga je upotrebio. To znači da je cracer mogao promeniti svoj IP paket da kad započne njegovo fragmentiranje da prvi fragment ima oznaku 1 i tako dalje. Na taj način bi zaobišao filter.
Problemi sa filtriranjem paketa bez pamćenj stanjaImaju dva bitna problema:
Ne mogu proveriti sadržaj paketa Ne pamte stanje veze
Većina filtera paketa su bez pamćenja stanja (stateless),što znači da oni ne sadrže informaciju o vezi kojoj pripadaju. Oni donose odluku o propuštanju/odbacivanju paketa na osnovu informacije koju taj paket sadrži. Isto tako ne mogu odlučiti o odbacivanju fragmenta, jer fragmenti ne sadrže informacije o portu koji se koristi. Ovakvi filteri paketa ne mogu ustanoviti da li spoljna veza odgovara vezi koja je uspostavljena unutar mreže, pa zbog toga moraju propustiti pakete na svim portovima iznad 1024.Moderni filteri i firewall-ovi prate status veze i pamte to stanje, tako da mogu kontrolisati rutu paketa kroz privatnu mrežu.
12
2.1.2. Filteri paketa sa pamćenjam stanja (Statefull packet filters)
Standardni filteri paketa imaju određen broj mana, koje sve proizilaze iz činjenice da jedan paket u komunikaciji ne sadrži dovoljno informacija da bi se odlučilo da li ga treba odbaciti, jer je on deo veće komunikacije. To znači da jedan paket možda ne može naneti štetu računaru ili lokalnoj mreži, ali veći broj paketa koji dolaze na računar moglo bi biti opasno i zbog toga treba pratiti stanje te veze i na osnovu tog stanja odlučiti da li odbaciti pakete ili ne. Filteri paketa sa pamćenjem stanja pamte stanje veze na mrežnom i serijskom sloju snimajući informacije o paketima koji prolaze kroz filter. Filteri tada koriste te informacije da bi razlikovali važeće pakete od nevažećih pokušaja uspostave veze. Kada se unutrašnji računar, kojem se može verovati (npr: 192.168.0.45), spoji na TCP pristup na spoljnom računaru, kojem se nemože verovati (npr:10.0.0.1), on pošalje sinhronizacijski paket (IP adresu i port) na kojem očekuje odgovor. Kada taj SYN paket prođe kroz filter sa pamćenjem stanja veze, filter upiše u svoju tablicu stanja odredišni port i port na kojem očekuje odgovor. Kada dođe odgovor, filter pogleda izvorište paketa i odredišne portove koji su zapisani u njegovoj tablici stanja, vidi da se oni poklapaju i propusti paket. Ako u tablici ne postoji takva informacija, paket se jednostavno odbaci, jer nije tražen iz unutrašnje mreže. Naprimer da je cracker (npr. 10.0.5.55) pokušao da pristupi računaru 192.168.0.45 na port 1220. Filter paketa već ima zapisano u svojoj tablici da je port 1220 na 192.168.0.45 otvorio IP adresu 10.0.0.1. Dakle filter upoređuje zapis u tablici sa sadržajem zaglavlja paketa koji šalje cracker. Utvrđuje da port 1220 ne pripada vezi sa 10.0.5.55 i blokira taj paket. Filteri brišu unose u tablici stanja kada kroz njih prođe TCP close paket. To osigurava da prekinute veze ne ostavljaju sigurnosne rupe u tablicama stanja.Filteri sa pamćenjem stanja veze su programirani pomoću pravila (policies), koja određuju njegovo ponašanje. Pravila su obično za pakete koje treba uvek odbaciti, nikad odbaciti, usluge kojima je dopušten prolaz do određenih računara unutar mreže.
2.2 Network Address Translation (NAT)
NAT prevodi privatne IP adrese, koja se nalazi u privatnoj lokalnoj mreži u globalno jedinstvene IP adrese, za upotrebu na internetu. Iako je NAT prvenstveno razvijen kao trik kojim se može povećati broj dostupnih IP adresa privatnim mrežama, ima sigurnosni aspekt koji se pokazao važnim –skrivanje internih računara. NAT skriva TCP/IP informacije o računarima unutar lokalne mreže od crackera na internetu, prikazujući kao da sav promet iz privatne mreže dolazi sa jedne IP adrese. Firewall-ovi sadrže tablicu pristupa lokalnoj mreži (računara unutar lokalne mreže) i odgovarajućih pristupa firewalla prema internetu. Kada unutrašnji klijent uspostavi vezu sa spoljnim računarom, firewall promeni izvorišni pristup (klijent) u jedan od firewall-ovih pristupa prema internetu i unese u tablicu prevođenja izvorišni, odredišni i odgovarajući pristup firewalla, koji je upotrebljen kod tog prevođenja. Kada spoljni računar (na internetu) šalje podatke računaru u lokalnoj mreži, firewall prevodi inverznu translaciju. Ako ne postoji unos u tablici prevođenja ili je paket došao sa IP adrese koju on ne očekuje, odbacuje paket.
Primer kako NAT prevodi adrese:Neka je računar u privatnoj mreži sa IP adresom 192.168.1.9 želi da uspostavi vezu sa javnim web serverom 10.50.23.11. Koristeći sledeći slobodni port 192.168.1.9:1234 šalje TCP paket na 10.50.23.11:80. Router/Firewall (192.168.1.1 adresa kontakta prema privatnoj mreži, 10.0.30.2 adresa kontakta prema internetu) prima paket i kreira sledeći unos u tablicu prevođenja: Prevedi 192.168.1.9:1234
13
U 10.0.30.2:15465 Samo za 10.50.23.11:80Nakon toga šalje paket na odredište I 10.50.23.11:80 prima paket ali sa adrese 10.0.30.2:15465. Kada odredište želi da odgovori onda on šalje odgovor na tu adresu misleći da je to originalno izvorište. Kada primi paket firewall traži u svojoj tablici prevođenja odgovarajući pristup i nalazi ga. Tada ustanovi da je izvorište tog paketa isto kao i IP adresa javnog računara koja je unešena već ranije. Ako ne postoji odgovarajući unos, paket se odbacuje.Četiri primarne funkcije NAT firewalla su:
Dynamic Translation
Dynamic translation (IP Masquerade) štiti unutrašnje računare zamenjujući njihove IP adrese sa adresama koje vode do firewalla. Individualni računari unutar firewalla identifikuju se na osnovu broja porta u svakoj vezi koja prolazi kroz firewall. Zbog toga što informacija o prevođenju ne postoji dok unutrašnji klijent ne uspostavi vezu kroz firewall, spoljni računari ne mogu adresirati unutrašnja koja su zaštičena sa dinamičkim prevedenom IP adresom. NAT ne čini ništa drugo da zaštiti klijenta, osim što sprečava spoljni računar da se spoji na njega. Ako je klijent zaveden da se spoji na maliciozni spoljni računar ili ako je trojanac nekako instaliran na računar koji se spaja na specifični spoljni računar, on (klijent) može da bude komprimitiran. Zbog ovoga sam NAT nije dovoljan. Zavesti klijenta da se spoji na malicioznu stranicu je veoma jednostavno. Npr. Ako vam prijatelj pošalje e-mail u kojem piše da proverite određenu stranicu, vi ćete verovatno kliknuti na link, To je sve što creckeru treba.
Static Translation
Static translation se koristi kada unutar firewalla postoje resursi za koje želimo da budu dostupni javnosti ili kada se koristi protokol koji mora da koristi određeni port ili IP adresu. Static translation se može koristiti da bi se određeni skup IP adresa preveo u određeni skup privatnih adresa. Npr. Može se prevesti 128.110.121.0-128.110.121.255 u unutrašnji skup 10.1.2.0-10.1.2.255. Firewall može prevesti svaku IP adresu u tom skupu. Prosleđivanje porta (Port forwarding) je tip statičkog prevođenja koji se odnosi na prosleđivanje samo specifičnog porta. Recimo da je IP adresa vašeg e-mail servera 10.1.1.21, a spoljna adresa firewalla je 10.0.30.2 . Onda se statički može spojiti pristup 10.0.30.2:25 na 10.1.1.21:25, Ta statička veza će prouzrokovati da firewall prevodi sve veze na SMTP port na e-mail server unutar firewalla.
Load Balancing Translation
Jedna IP adresa i port su prevedeni na više identično konfiguriranih servera, tako jedna javna IP adresa može da bude na više servera.
Network Redundancy Translation
Višestruke internet veze su spojene na NAT firewall. Firewall izabere i koristi mrežu na osnovu dostupnosti, propusnosti i zakrčenju prometa. 2.3 Proxy Services
NAT rešava mnoge probleme, ali ne ograničava dovoljno tok kroz firewall. Mouće je da neko posmatrajući mrežu nadgleda promet koji izlazi iz firewalla i zaključi da firewall prevodi adrese drugih mašina. Tada je moguće da cracker preuzme TCP vezu ili da je vrati nazad kroz firewall.
14
Proxy aplikacijskog sloja sprečavaju tako nešto. Proxy nam dopušta da prekinemo protok protokola mrežnog sloja kroz firewall i ograničiti promet samo na protokole viših slojeva kao što su HTTP, FTP, i SMTP. Proxy se ne mora izvršavati na firewall-u. Bilo koji server, unutar ili izvan privatne mreže može da bude proxy. Ipak bez firewalla ne postoji dovoljna sigurnost. Mora postojati barem neki filter paketa koji će štititi proxy.
2.4 Firewall-ovi 2.4.1. AtGuard (http://www.zastita.co.yu/atguard.html) (1435 kB)
Je jedan od programa koji poseduje Firewall za Windows95,98,2000. Posle instalacije, uključite opciju Firewall tako da će vas AtGuard za svaki program pitati da li mu dozvoljavate pristup internetu. Ako se radi o vašem programu (IE ili ICQ) recite mu da mu je pristup internetu uvek dozoljen da vas ne bi pitao svaki put. Tako će AtGuard znati koji su vaši programi a koji su uljezi jer vi sigurno nećete dozvoliti programu koji nema ime da pristupi internetu. Ako neko pokuša da pristupi vašem računaru (u cilju rušenja vašeg sistema) ili neki program kome niste dali pravo da pristupi internetu pokuša da uspostavi konekciju na nekom portu, Firewall će tog istog momenta blokirati sumnjivi port i pitati vas da li dozvoljavate konekciju, što znači da ništa ne može ući ili izaći bez vašeg znanja. Pored Firewalla, AtGuard vam omogućava da vidite listu otvorenih portova sa imenima programa koji ih koriste, možete videti kompletnu istoriju konekcija i još mnogo toga. AtGuard ignoriše dosadne web reklame i daje vam potpunu statistiku svega što je ušlo i izašlo iz vašeg računara.
2.4.2. BlackIce (http://www.networkice.com/)(www.iss.net)
BlackIce Defender je gotovo savršen “podesi i zaboravi” Windows personal firewall. Za razliku od AtGuarda, Conseal PC firewall-a i SyShield-a, BlackICE pojednostavljuje firewall podešavanja izborom jednog od četri “sigurnosnih” nivoa: Trusting, Cautious, Nervous, and Paranoid. BlackIce pravila dinamičkog firewall-a eliminišu potrebu za korak-po-korak podešavanjima koja koriste ConSeal i AtGuard. Takođe izvrsno kontroliše Windows NetBIOS portove izdvajajući ih i blokirajući u startu. Ustanovljavanje prava “verovanja” nekom kompjuteru tj. njegovoj IP adresi je svedeno na dodavanje IP adrese u “Trusted Addresses” . Jednostavno savršeno! Bilo koji nivo "sigurnosti" da izaberete, BlackICE-ovo praćenje i zaštita analiziraće svaki paket koji prolazi mrežom i njegovu sumnjivu aktivnost. Ukoliko želite možete odobriti sve NetBIOS portove i zaštititi ih passwordom. Ovo je zgodno kod putovanja kadaželite pristup vašim fajlovima kroz Dial In Internet. Tada ne znate koja je vaša IP adresa zbog dinamičkog dodeljivanja. BlackICE-ov sistem provere detektuje bilo koga ko pokušava pristup vašem računaru sa pogrešnim password-om i momentalno tu IP adresu stavlja na crnu listu, onemogućavajući bilo kakav dalji pristup toj adresi. Kao nijedan proizvod BlackICE ubrzava postupak detekcije i otkrivanja napada i njihovu prevenciju. Ukoliko BlackICE detektuje pokušaj napada na vaš sistem, staruje se "backtracking trace" koji ido do napadačevog računara i sakuplja sve moguće informacije (IP adresu, DNS ...) i beleži ih u log fajl koji kasnije možete analizirati. BlackIce omogućava sve što i ostali firewall programi uz dramatično pojednostavljenje učenja i konfigurisanjaje koje se zahteva od običnog korisnika. Iz navedenog sledi da je BlackIce najbolji izbor za 99.9% korisnika koji koriste računar kući ili u malim firmama.
2.4.3.Jammer 1.95 (http://jammer.comset.net/)
15
Kompletna zaštita protiv Back Oriffice-a , Net Bus-a i trojanaca. NetworkJammer je alat koji kompletno štiti vaš PC protiv NetBus, Back Orifice-a 1.x BO2K. Haker može da koristiti bilo koji port i bilo koji pasword kao i bilo koju verziju ovih alata, pa ipak Jammer ce detektovati napad. Jammer prisluškuje dolazeće i odlazeći mrežni saobraćaj. Svi servisi, portovi i proptokoli se aktivno prate u Jammer-u. Jammer analizira pakete u realnom vremenu, dekriptuje sav mrežni saobračaj i pronalazi NetBus ili Back Orifice koji pokušavaju da se loguju na vaš kompjuter. Jammer detektuje NetBus 1.2, NetBus 1.53, NetBus 1.6, NetBus 1.7, NetBus 2.0 Pro Beta, NetBus 2.0 Pro, Back Orifice 1.2, Back Orifice 1.2 Modified (sve modifikacije verzijeBack Orifice 2000). Pošto prihvati napad Back Orifice-a 1.x, on dekriptuje hakerov pasword i enkripcijski ključ, šalje poruku hakeru i uzima njegovu IP adresu tako da možete poslati upozorenje njegovom provajderu i kazniti napadača. NetstatJammer uključuje i mrežni monitor (Netstat) tako da možete videti otvorene portove na kompjuteru. RegystryJammer sadrži i registry monitor, tako da registruje promene koje Trojanci prave u registri bazi. Jammer će vas obavestiti o tome tako da blagovremeno možete blokirati napad. ProcessJammer sadrži i napredni algoritam za pregledanje procesa na računaru. Daće vam i potpuni opis programa koji su trenutno startovani kao i naziv prozivođača softvera. Grozdafly.to/grozda - sajt na kome možete naći registracione brojeve za shareware programe!
2.4.4. T.Rex
T-Rex firewall je visoko integrisani sigurnosni paket koji kombinuje funkcije, koje bi normalno zahtevale instalaciju više proizvoda. Pruža organizacijama mogućnost definisanja jedne sigurnosne police na više firewall-a sa jedne radne stanice administratora. T-Rex je napredni hibridni firewall dizajniran da bi sprečio sofisticirane napade od veštih i odlučnih napadača. Aplikacijski proxy bokira napade bazirane na aplikacijama, a koji su prošli neopaženo kroz statefull filter paketa. T-Rex osigurava računare na zaštićenoj mreži provodeći striktnu kontrolu nad dostupnim funkcijama, ko ih i kako ih sme koristiti. On se sam štiti od napada dizajnom njegovih funkcija i specijalnim kontrolama koje su ugrađene u uređaj. T-Rex je dizajniran da bi odbacio sve poznate metode napada. Programi sa poznatim sigurnosnim problemima su eliminisani Standardni demoni su zamenjeni sa sigurnim proxy-ima Prosleđivanje IP paketa je onemogućeno. Zaštićene mreže IP adresibilne iz nezaštićenih mreža Jedini način da se dođe do informacije kroz firewall je koristeći sigurni proxy sa t.Rex-omSvi nepotrebni programi su deaktivirani i uklonjeni. Jedino funkcije, koje su eksplicitno dopuštene, mogu proći kroz firewall. Ako IP paket stigne sa sigurne IP adrese na nesigurni mrežni kontakt, tada će veza biti prekinuta. T-Rex podržava stotine aplikacijskih usluga i protokola. Podrška je pružena za sve glavne internet usluge i protokole, kao što su:Web browser, Web server, e-mail, sve TCP/IP aplikacije, kao i RPC i UDP aplikacije.
2.4.5. Cisco PIX Firewall v.6.2
Cisco PIX firewall-ovi pružaju široki raspon naprednih firewall usluga, koje štite privatne lokalne mreže od pretnji koje kruže internetom. Cisco Adaptive Security Algorithm (ASA) pruža
16
ispitivanje paketa sa pamćenjem stanja (statefull). Administratori lako mogu kreirati sigurnosnu politiku koja će se provoditi na mrežnom prometu, koji prolazi kroz firewall. Cisco PIX firewall-ovi pružaju zaštitu za brojne voice-over-IP (VoIP) standarde i druge multimedijalne standarde, uključujući H.323, Session Initiation Protocol (SIP), Real-Time Transport Protocol (RTP), Real-Time Streaming Protocol (RTSP) i Real-Time Transport Control Protocol (RTCP). Koristeći standarde, temeljene na site-to-site VPN (Virtual Private Networking) mogućnostima, sa Cisco PIX firewall-ovima, firme mogu sigurno proširiti svoje mreže preko internet veza do poslovnih partnera i udaljenih ureda širom sveta. Izgrađen na Internet Key Exchange (IKE) i IP Security (IPSec) VPN standardima, Cisco PIX firewall-ovi kodiraju podatke koristeći 56-bitni DES (Data Encryption Standard) ili napredni 168-bitni Triple DES (3DES). Isto tako se koristi i RSA, asimetrični algoritam kodiranja, te hash algoritmi MD5 i SHA-1. Javne ključeve razmenjuju sa Diffie-Hellman-ovim postupkom. Time se sprećavaju pojedinci (napadači) da vide osetljive poslovne podatke, koji putuju preko interneta. Cisco PIX firewall-ovi, isto tako, mogu sudelovati u Public Key Infrastructure (PKI-struktura javnog ključa) baziranoj na X.509 protokolu. Integrisane mogućnosti zaštite lokalnih mreža od napadača sprečavaju mnoge popularne oblike današnjih napada, uključujući i DoS (Denial of Service) napade. Koristeći napredne zaštitne programe (DNSGuard, FloodGuard, MailGuard,…), Cisco PIX firewall-ovi nadgledaju promet. Ako dođe do napada firewall će ga blokirati i obavestiti administratora u stvarnom vremenu. Cisco PIX firewall-ovi podržavaju fragmentiranje paketa, ali isto tako ispituje te fragmentirane pakete, da ne bi u njima bilo skrivenih napada.
2.4.6 ConSeal Private Desktop (www.signal9.com)
Program firme Signal 9 Solutions ima mogućnost podešavanja Blocked i Trusted aplikacija i filtriranja mrežnog saobraćaja za sve IP servise (na primer: ARP, ICMP, DHCP, DNS, TCP, File Sharing, UDP i ostale protokole). Log fajl je u čitljivom (TXT) obliku za razliku od BlackIce-a. Program prijavljuje sumljivi saobraćaj zvučnim signalom, koji se može isključiti za skoro svaku stavku.
2.4.7 Zone Alarm (www.zonelabs.com)
Proizvod firme ZoneLabs je besplatan program, namenjen manje iskusnim korisnicima. Korisnički interfejs je moderno urađen, podešavanje se obavlja jednostavno tako što se bira nivozaštite za lokalnu zonu (podrazumevano je Medium) i za internet zonu. Podrazumevani nivo zaštite za internet zonu je High čime se blokira prustup na računar putem NetBIOS servisa i računar je u Stealth modu (firewall "sakriva" sve portove koje nisu korišćeni od strane dozvoljenih programa). Ovo zatvaranje portova dovodi do problema sa mnogim aplikacijama koje imaju ulogu servera pa za njih treba izabrati opciju Allow server. Lista aplikacija dopunjava se automatski i za svaku se može dozvoliti ili zabraniti pristup, posebno za lokalnu a posebno zainternet zonu, i dodeliti Pass Lock opcija. Pritiskom na dugme “Unlocked” (koje tada menja naziv u "Locked") može se prekinuti mrežni saobraćaj za sve aplikacije izuzev onih koje imaju Pass Lock pristup, dok se pritiskom na dugme STOP prekida celokupni saobraćaj bez obzira na Pass Lock privilegiju. Mana mu je što nema log fajl u kome se beleži sumljivi mrežni saobraćaj.
2.5 Zaključak Ako želimo da imamo bezbedan računar koji ima pristup internetu i koji će posedovati program koji će beležiti sve što je prošlo kroz naš modem ili link, i program koji nadgleda sve portove i koji neće dozvoliti sumnjivim programima ili hakerima (cracker) da uspostave
17
konekciju, koristimo Firewall. Firewall je najbolja zaštita od hakera koji pokušavaju da nam sruše sistem i najbolja zaštita od BackDoor trojanaca. On je neprobojan čak i za velike hakere pa se zbog toga Firewall koristi na svim sistemima kojima je potrebna bezbednost! Za sada je veoma teško zaobići Firewall tako da ne postoji program koji će uspeti da pristupi internetu bez znanja Firewalla.
Objašnjenja nekih izraza
IP adresa
18
Onog trenutka kada se poruka "Veryfing User Name and Password" ukloni sa ekrana i poćne da se odbrojava vaše vreme na internetu, vaš provajder vam je dodelio jedinstvenu adresu koju u tom trenutku imate samo vi na internetu i niko drugi - to je tzv. IP adresa ili niz od 4 broja između 0 i 255 razdvojenih tačkom (npr. 213.240.4.100). Postoji mnogo računara na internetu koji su prikačeni 24h i imaju svoju IP adresu koja se ne menja, ali većina nas, koji se prikačimo s vremena na vreme da razmenimo poštu ili prosurfujemo internetom, dobijamo tzv. dinamičku IP adresu (svaki provajder ih ima nekoliko i kada se neko prikači na Internet, dobije prvu slobodnu). Ove adrese (odnosno brojevi) vam mogu pomoći da identifikujete sagovornika, jer se za one stalne IP adrese taćno zna kome pripadaju dok se za dinamičke vodi evidencija kod provajdera kome su bile dodeljene u određenom trenutku. Kada želite da pristupite nekom računaru, sve što je potrebno je da otkucate njegovu adresu, ali da bi nam prekratili muke, uvedeni su tzv. DNS (Domain Name Server) računari koji prevode adrese tipa www.ekof.bg.ac.yu u IP adresu i obrnuto.
PORT
Sama adresa nije dovoljna, jer je potrebno obezbediti posebne kanale za komunikaciju kako ne bi došlo do zabune. Zbog toga su uvedeni portovi - zamislite ih kao autoput na ulazu u grad sa 65536 traka (koliko god pomisao na puževske brzine u domaćim uslovima ometa sliku autoputa) i dva računara koja se uvek dogovoraju kojim će se trakama odvijati saobraćaj. Pošto je standardizacija uvek poželjna, portovi sa brojevima manjim od 1024 su rezervisani i imaju specijalnu namenu (znaći samo za posebna “vozila”) dok su oni preostali namenjeni korisnicima. Tako npr. kada skidate neke fajlove sa ftp servera, vaš računar će dotičnom slati sve komande samo na port 21, a dotični će ih samo tamo i očekivati. Neki drugi program, recimo ICQ, može bez problema slati podatke na port 1508 a primati ih na 1509. To objasšnjava kako je moguće istovremeno surfovati na tri stranice, skidati nekoliko fajlova, slati i primati poštu i chatovati.
PINGOVANJE
Pingovanje je slanje podataka sa jednog kompjutera na određenu IP adresu i određeni port. Na prvi pogled, tu nema nićeg opasnog, tako rade svi programi za internet, ali zamislite da na tom udaljenom kompjuteru kome se šalje taj paket podataka postoji trojanac koji osluškuje unapret definisani port. Šta će se desiti? Prvi kompjuter koji koristi haker, će uspostaviti vezu sa drugim kompjuterom, i moći će da radi sa tim kompjuterom sve što mu u normalnim situacijama nije dozvoljeno. Međutim, ukoliko udaljeni računar nema nikakvog trojanca, teorijski se ništa neće desiti. Naravno, to je samo teorija, u praksi nije uvek tako. Win95 ima bug koji dozvoljva hakeru da na portu 137, koji je inače rezervisan za NetBios servis, pošalje određeni skup karaktera (paket podataka). Windows 95 će pokušati da protumaći šta znači taj skup karaktera i iz neobjašnjivih razloga će upasti u mrtvu petlju i blokiraće ceo sistem. Ovaj BUG je ispravljen u Win98, tako da nema razloga za paniku!
19
LITERATURA:
1) Dr.Rade Stankić: “Poslovna Informatika”,Ekonomski fakultet , Beograd, 20022) www3.ptt.yu3) www.zastita.co.yu4) www.eunet.yu5) Ivica Katić: “Firewall”, Fakultet Elektrotehnike i Računarstva , Zagreb, 20036) www.pctv.co.yu7) www.cisco.com8) www.firewallguide.com9) www.infosky.net
20
