Pocetkom devedesetih  godina proslog veka racunari I ljudi koji su njima upravljali vise nisu bili tabu tema. Racunar  je poceo polako da zalazi u domacinstva, unoseci jedan novi vid primene za tzv. Obicne korisnike. Jedna od najinteresantnijih primena I zahteva korisnika bilo je umrezavanje vise racunara u cilju bolje I lakse medjusobne komunikacije izmedju dvoje ljudi. Tako su nastale prve lokalne mreze, a nesto kasnije  I trenutno najrasporostranjeniji vid komunikacije, Internet.  Iako je cela prica oko racunarskih mreza bila poznata daleko ranije – 1969. Godina navodi se kao godina stvaranja internet od strane vlade ministarstva SAD-a. Tadasnje ministarstvo je razvilo projekat pod imenom Advanced Research Project Agency Network ili skraceno ARPANET kao mrezu koja ce sluziti za komunikacije i preziveti nuklerane  napade. Sledeci korak u razvoju  dogodilo se 1983. Godine kada je  tadasnja mreza presla sa NCP-а (Network Control Protocol) na TCI/IP (Transmission Control Protocol / Internet Protocol), sto je znacilo prelazak na tehnologiju koja se i danas koristi.
11. Juna 2003. Godine kompanija “Gather group” koja se bavi istrazivanjima I savetovanjem objavila je da su uredjeji koji imaju za cilj zastitu iprevenciju napada na racunarske mreze cista prevara, koja od lakomih ljudi uzimaju ogromne svote novca I d a ce takva tehnologija zastariti do 2005. Kako je ta cinjenica I vest firmi Gather privukla veliku medijsku paznju, ispostavila se kao netacna. Stavise uredjaji za suzbijanje  napada na mreze nisu glavini faltori zastite  iste ali svakko odivaju veoma vaznu ulogu u njoj.


Napadi na racunarske mreze

  Od vremena nastanka racunarskih mreza i pocetka komunikacije izmedju racunara, stvorio se kult ljudi koji su imali potrebu nasilnog ulaska u racunarske mreze, osnosno pristupu privatnim podacima krajnjim korisnicima. Danas popularni nazivi za te osobe su:
-   Hakeri
-   Krekeri
-   Lameri

Mnogi ljudi, posebno oni koji rade u nasim medijima (stampa, radio i tv stanice...) nazivaju sve i svasta hakerima i hakovanjem. Gotovo svako sada moze da ode u neku TV stanicu, kaze da je haker, i odmah ce se oko njega okupiti novinari i traziti od njega intervju. Cak sta vise, intervju ce da urade bez ijednog dokaza da intervjuisu hakera! Na taj nacin ne samo sto pokazuju da su neprofesionalni, vec izazivaju i ogorcenje kod odredjenog broja gledaoca koji su bar malo upuceni u hakersku kulturu.


Pojam haker (eng. hacker) u svom izvornom znacenju opisuje osobu koja se bavi istrazivanjem mogucnosti kompjutera i njihovoj pozitivnoj primeni u svakodnevnom zivotu. Kao sto vidite, ovde se nigde ne spominje da su hakeri zli, da nanose stetu drugima i da su opasni po svet. Hakeri su veoma inteligentne osobe koje istrazuju ono sto je sakriveno u hardveru i softveru. Prostije receno, oni su pronalazaci onoga sto je ili neko sakrio od oci javnosti ili pronalazaci propusta koji su napravljeni greskom. Kod prvog slucaja kada se kaze „sakrio“ misli se obicno na programe, mada se i u hardveru moze sakriti dosta toga. Hakeri su po prirodi radoznali ljudi, vole sve da saznaju i ne vole kad je nesto sakriveno od njih. U programima moze dosta toga da se sakrije, narocito u programima ciji je izvorni kod nedostupan javnosti, kakav je ceo Windows i skoro svi programi koji rade pod njim. U takvim programima mogu da se recimo sakriju podprogrami za spijuniranje i programi koji ce samo odabranim ljudima omoguciti pristup zabranjenim resursima, poput hard-diskova.


Moze se slobodno reci da hakeri ne vole da neko nekome ugrozava privatnost, i zato proucavaju kompjutere, sa zeljom da nadju uljeze u njima. Oni se zalazu za apsolutnu privatnost, sto je uostalom i ljudsko pravo, i svi bi po pravilu trebali da imaju potpunu privatnost. Jednom recju, oni su za apsolutnu ravnopravnost, za razotkrivanje svih tajni i za privatnost. Kod drugog slucaja, ljudi puno puta nesvesno prave greske, koje mogu da se iskoriste za ugrozavanje necije privatnosti. Na primer, programer koji je pisao neku  Java funkciju u browseru Internet Explorer je zaboravio da napise rutinu za proveru duzine nekog podatka koji ucitana strana definise. I sada, ako neko pronadje propust i namerno napravi stranu koja iskoriscava propust, i ako neko ko ima pomenuti browser ucita tu stranu, IE ce uraditi nesto sto po pravilu ne bi smeo, i na taj nacin osteti posetioca strane. Hakeri traze takve propuste, i ako ih nadju, obavestavaju svet o tome kako bi proizvodjac datog programa ispravio propust i kako bi ljudi preduzeli odredjene korake i na taj nacin zastitili sebe na vreme.

Hakeri su  misljenja  da je bolje da svi znaju za odredjeni propust nego da „niko“  ne zna, zato sto veruju da ipak neko zna za propust, i to koristi da bi spijunirao nekoga. Kada ne bi bilo hakera, danas bi imali browsere, mail, news i icq klijente i servere prepunih bezbednosnih propusta, u proseku bi svaki klijent i server imao oko 5 propusta. Do sada je ukupno pronadjeno vise od 10 000 propusta, i pitanje je da li bas niko ne bi znao za te propuste, narocito ako kazemo da je za neke propuste dokazano da su namerno napravljeni.  Pitanje „zasto namerno“ je ovde suvisno, i bas zbog ovih razloga hakeri postoje, vredno rade i otkrivaju nove tajne. Dnevno se u proseku oko 5 novih propusta pronadje.

Sa druge strane, hakeri su casni ljudi, posteni, civilizovani, imaju svoju kulturu! Hakerska kultura im ne dopusta da propuste koje otkriju iskoriste u nehumane  svrhe. Ako nadju neki propust, oni moraju da obaveste javnost o tome, i ne smeju da ga iskoriste da bi ugrozili neciju privatnost ili napravili stetu bilo kome.
Sada jedan savet kako proveriti da li je doticni haker. Prvo ga pitajte da li je do sada naneo nekome stetu koristeci kompjuter. Ako odgovori potvrdno, ili cak pocne da se hvali time - imate posla sa crackerom, jer hakeri ne nanose stetu drugima. Zatim ga pitajte sta je otkrio. Ako kaze „nista, koristim vec pronadjene propuste“ - imate posla sa lamerom, jer je haker samo onaj koji pronadje nesto jedinstveno, sto jos niko nije pronasao. Upravo zbog toga ne moze svako da bude haker, bas kao sto ne moze svako da bude doktor nauka!
Crackeri (cita se 'krekeri') su isto pronalazaci, inteligetni ljudi, ali oni, izmedju ostalog, koriste svoje znanje i svoja otkrica da bi nekome naneli stetu. Crackeri pisu viruse i trojance, upadaju na servere i prave stetu na njima (uglavnom tako sto izmene prvu stranu sajta).
Lameri su uglavnom klinci, koji nisu nista otkrili i koji takodje nanose stetu drugima, obicno da bi ukrali neku sifru za Internet ili unistili nekome disk koristeci trojance, viruse, pa cak i exploite, koje su crackeri napisali. Oni su gotovani, nauce kako se koriste trojanci i onda prave stetu postenom sveti, misleci da su hakeri. Mnogi od njih ne znaju cak ni kako funkcionise Internet. Cilj im je samo da naprave neku pakost koristeci izum nekog crackera.
Onog trenutka kada haker svojim pronalaskom napravi nekome stetu - odmah prestaje da bude haker i postaje cracker! Sasvim je pogresno reci „hakeri su uhakovali sajt..“, kao i „hakeri su napravili novog crva...“. Hakeri uopste ne nanose stetu, to cine crackeri i lameri. I potpuno je pogresno mrziti hakere. One koje treba mrziti i prezirati su crackeri i lameri! Hakeri su pronalazaci, naucnici, i ne moze se postati haker preko noci. Profesija „haker“ je veoma cista, postena, plemenita i velikim trudom stecena profesija.



Sta napadac hoce?

Mrezni napad kao i infiltracije u sistem  su organizovani u sledecim postupcima :

Osnovno : Obezbediti “ulazak” u sistem;
-Dobiti privilegije;
-Napraviti stetu;
-Pripremiti teren za sledeci napad (opciono).


Neovlasceno ulazenje na racunarski sistem

Neovlascen pristup racunarskom sistemu se najcesce svodi na koriscenje i zloupotrebu neke vrste sigurnosne rupe u samom sistemu.

Najcesce se to svodi na pravljenje i koriscenje exploita (programi pisani da iskoriste postojanje sigurnosne rupe u nekom sistemskom programu i dozvole onom ko je pokrenuo exploit da dobije neovlascene privilegije na sistemu)

Najcesce koriscena metoda prilikom pravljenja exploita je klasican buffer overflow.

Naime buffer overflow je prepunjavanje buffera i pisanje po prostoru po kom ne bi smelo da se pise u normalnim okolnostima. Ali sta se time dobija? Sta se moze postici?
Svaka funkcija koja se poziva mora da se vrati na mesto svog poziva.To se radi tako sto se pri pozivu funkcije sa instrukcijom call na stacku sasuva EIP koji će se na kraju funkcije pokupiti i vratiti na mesto poziva.

Kako je main funkcija i ona ce biti pozvana (disass _start) i njen EIP ce biti sacuvan negde na stacku. Na samom kraju funkcija nalazi se instrukcija ret koja ce sacuvan EIP sa stack-a da pokupi i da se na taj nacin vrati odakle je pozvana. Medjutim zbog specificnosti samog rada sa memorijom i rada sa stackom (stack na i386 raste na dole) situacija u kojoj bi string bio veci od prostora koji smo mu dodelili definisuci mu buffer (u ovom slucaju 256 byte) izazvao bi rusenje integriteta memorije jer bi preostali deo stringa (preko 256 byte) prepisao u memoriji i mesto gde je zapisan EIP ispuniti string karakterima i time izazvati pad programa kada na kraju funkcija pokrene ret da u EIP upise string karaktere.  Medjutim, ako u EIP namerno upisemo adresu shell coda (tacnije prepuni buffer sa shell codom i cekamo da ga ret pokupi)   i rezultat pada programa bice novi shell koji ce se pokrenuti. Ako je program bio SUID (imao privilegije super korisnika (Super User ID)) dobicemo privilegije root-a na toj masini i samim tim postati korisnik sa administratorskim privilegijama.
U skorasnje vreme postoji programski paket pod imenom “libsafe” (koji sluzi za zastitu kriticnih elemenata stack-a za svaki program koji je startovan unutar operativnog sistema baziranih na UNIX platformama .”Libsafe” radi na principu terminacije, odnosno ukoliko dodje do prepisivanje stack-a “libsafe” automatski terminise odnosno nasilno iskljuci taj program. Jedina mana paketa “Libsafe” jeste sto je ogranicen na UNIX platforme, sto platforme tipa WINDOWS ostavlja u oskudici.


Sa povezivanjem korporacijskih racunarskih mreza na Internet, formiranjem extranet mreza i uvođenjem e-commerce aplikacija, zastita racunarskih mreza ima ogroman znacaj za pouzdano funkcionisanje mreze. Zastita racunarskih mreza obuhvata:
-  Identifikaciju korisnika i proveru privilegija koje korisnik poseduje za pristup podacima i uređajima na mrezi, identifikaciju uredjaja koji komuniciraju medjusobno.
-  Ocuvanje integriteta mreze, koje podrazumeva: obezbedjenje pouzdanog rada mreze, kontrolu pristupa segmentima mreze, zastitu podataka kriptovanjem saobracaja koji se prenosi kroz mrezu.
-  Pracenje pokusaja ugrozavanja bezbednosti mreze.
- Resenja kojima se definise, implementira i nadgleda zastita racunarskih mreza obuhvataju:
-  firewall sisteme realizovane kao hardver specijalne namene ili softver na ruterima,
-  kriptovanje podataka koriscenjem standardizovanog IPSec protokola,
-  softver za autentifikaciju, autorizaciju i pracenje pristupa mrezi,
-  uredjaje za pracenje pokusaja napada na racunarsku mrezu,
-  uredjaje za detekciju i prevenciju napada na mrezu u realnom vremenu i generisanje alarma i izvestaja o izvrsenim akcijama.

-  antivirus zastitu,
-  uredjaje za zastitu mail servera i korisnika od spam-a i virusa koji se prenose u okviru mail poruka,
-  uredjaje za detekciju i zastitu od distributed denial of service napada.




Firewall i VPN uređaji

Stalefull Firewall sistemi poseduju vise mreznih interfejsa između kojih prate stanje svih sesija i sprecava neautorizovani mrezni pristup. Sistemi vrse proveru mreznog saobracaja koji kroz njih prolazi na nivoima 3 do 7 modela komunikacije, pa tako omogucavaju zastitu i za VoIP, multimedijalne, instant messaging i peer-to-peer aplikacije.
Firewall sistem podrzava sledeće funkcije:
-  Paketske filtre,
-  NAT i PAT,
-  Autentifikaciju i/ili autorizaciju i akaunting za odredjene tipove saobracaja,
-  HTTP, HTTPS ili FTP filtriranje u saradnji sa proizvodima za Internet filtriranje, poput     Websense ili N2H2,
-  Deep packet inspection,
-  Ogranicavanje broja konekcija,
-  Rad u rutiranom ili transparentnom modu

Firewall sistemi podrzavaju i VPN funkcije:
-  Uspostavljanje tunela,
-  Dogovaranje parametara tunele,
-  Autentifikacija korisnika
-  Dodeljivanje IP adresa korisnicima
-  Enkripcija i dekripcija podataka
 - Upravljanje kljucevima za enkripciju,
 - Upravljanje prenosom podataka kroz tunel.

Pomenute  funkcije su  realizovane kroz podrsku razlicitih standardnih protokola definisanih u okviru IPSec i SSL protokola. Najpoznatiji proizvodjac  mrezne opreme  koja je zaduzena za zastitu racunarskih sistema i mreza jeste Linksys, odnono Cisco.

Pod pojmom “mrezni napad” ili “upadi u mrezne sisteme”  misljenje ljudi moze da se posmatra iz 2 ugla gledanja. Jedni ce ga definisati kao slabu I probijenu zastitu uredjaja koji nadgledaju mrezni saobracaj, dok ce drugi isto desavanje videti kao uspesnu reakciju istih I sprecenu prevenciju kradje poverljivih podataka, fajlova ili neki treci vid stete.
U vecim kompanijama, mrezni administratori su veoma obazrivi sto se ovakvih stvari tice I teze da postave sto vece vidove zastite  za racunare unutar lokalne mreze. Najcesci vid postavljanja zastite ogleda se u postavljanju uredjaja za nadgledanje saobracaja (senzore) koji nadgledaju dolazni signal(iz nezasticene zone), I jos jedan(ili vise njih) iza mrezne centralne tacke (bilo da je u pitanju ruter/firewall, njihova kombinacija ili nesto trece), koji vrse nadgledanje  unutrasnji saobracaj, odnosno saobracaj koji se odvija unutar zasticenog prosotora kompanije. Njihovim zabelezavanjem I medjusobnim uporedjivanjem, moze da se dodje do zakljucka kada I koja vrsta napada je bila izvrsena.


Sta su detekrori mreznih napada?

Detetktorima  mreznih napada (DMN)  bi se mogli nazvati alati, metode Ili resursi koji sluze  za pomoc u  identifikacije, pristupu I izvestaju u neovlascenim I nedozvoljenim mreznim aktivnostima. Sam njihov naziv treba da nam govori da nije rec o uredjajima koji vrse detekciju napada  vec samo detektuju kretanje saobracaja. Uredjaji koji detektuju napad na mrezu, se mogu postaviti na vise razlicitih lokacija u mrezi, u zavisnosti od potreba I zovu se  firewall-ovi.
Objasnjavajuci recima prosecnih korisnika, firewall mozemo prezentovati kao zakljucana vrata, a DMN kao alarmni system. Uzmimo primer da imamo prostoriju u kojoj se nalaze poverljivi dokumenti I da se kao zastita prostorije koriste zakljucana vrata, alarmni system I video nadzor. Vrata ce spreciti provalnika da udje u zasticenu zonu I njih mozemo da uporedimo sa firewall-om koji ima istu namenu, dok ce se u slucaju da se neovlasceni ulazak ipad izvrsi reagovati alarmni sistem koji ce da obavesti nadlezne(uredjaj za prevenciju, odnosno informisanje nadleznog o aktivnosti) I video nadzor  koji ce zabeleziti sam cin upada (DMN). 
 Kao sto se moze videti, skup od vise elemenata u ovom slucaju ce najverovatnije odvratiti napadaca od svoje namene, dok ce oni uporniji traziti alternativni put za ulazak unutar zasticene zone.
Tu je moguce postaviti vise ovakvih sklopova alarmnih I preventivnih sistema u svaki deo mreze I to je glavna razlika izmedju nezasticene, delimicno zasticene I potpuno  zasticene  mrezne  infrastructure.

Veoma je vazno napomenuti da su detektori I preventori mreznih napada samo jedan deo zastitne mreze I da nikako nece opravdati svoju ulogu I krajnji cilj u slucaju da rade samostalno. Zbog toga je potrebno strateski ih postaviti na delove mreze koji bi se smatrali ranjivijim, odnosno pogodnijim za napad, jer je opste  poznato da je mreza onoliko jaka, koliko je jaka njena najslabija tacka.

Uređaj za monitorisanje sistema zastite poseduje sledece funkcije:
-  Naprednu agregaciju dogadjaja na mrezi - Uredjaj poseduje integrisanu funkciju otkrivanja uredjaja na mrezi koja definisanise topolosku mapu, sakuplja konfiguracije uredjaja i prepoznaje trenutno primenjenu politiku zastite. Na osnovu ovih podataka uredjaj definise model toka saobracaja. Uređaj centralno agregira dogadjaje sa mreznih uredjaja (rutera, switcheva), namenskih uredjaja za zastitu mreze (firewall, IPS,...), host-ova, aplikacija i mrezni saobracaj (poput NetFlow).
-  Kontekst korelacija - Primljeni dogadjaji i podaci se u realnom vremenu grupisu u sesije, na osnovu topologije, konfiguracija uredjaja, aplikacija i tipova napada. Na sesije se primenjuju sistemska i od strane administratora definisana pravila za korelaciju i detekciju napada.
-  Uredjaj je optimizovan za prijem ekstramno velike kolicine poruka i visoke performanse agregacije i korelacije poruka.
-  Graficki interfejs prikazuje topolosku mapu koja u realnom vremenu prikazuje incidente, mesta na kojima su otkriveni, putanju napada i detalje napada.
-  Notifikacija.
-  Generisanje detaljnih izvestaja.
 Anti-spam sistem analizira dolazni, a ako je potrebno i odlazni, e-mail saobracaj i blokira prosledjivanje spam poruke na adresu primaoca. Za prepoznavanje spam poruka sistem koristi vise tehnika u cilju postizanja sto vece efikasnosti i smanjenja broja pogresnih procena (false positives). Tehnike koje se kombinuju za prepoznavanje spam poruka su:
- Reputacija servera koji salje poruku. Za odredjivanje reputacije servera koriste se baze podataka u kojima se prati aktivnost mail servera sirom sveta. Primer takve baze je SenderBase koja prati i belezi aktivnost 25% svetskog mail i web saobracaja. Razliciti parametri vezani za e-mail se koriste za određivanje reputacije mail servera koji šalje poruku. Pored baza podataka za odredjivanje reputacije servera koji salje poruku mogu se koristiti tzv. whitelists/blacklists definisane od strane administratora anti-spam sistema.
-  Analiaza i filtriranje na osnovu sadrzaja poruke.
-  Heuristicka analiza poruka.
-  Algoritmi koji omogucavaju prepoznavanje novih tipova spam poruka u trenutku njihovog nastajanja.
-  Uporedjivanje poruka sa predefinisanim signaturama.
Pored zastite od spam poruka anti-spam sistem omogucava zastitu od phishing napada, zombie napada, malware-a, spoofed mail-a, kao i da prepozna spam u obliku slike ili mp3 audio fajla.
Anti-spam sistem poseduje tzv. End-User Quarantine, koji daje mogucnost korisnicima mail-a da upravljaju porukama koje je sistem proglasio za spam, preko Web-baziranog pristupa quarantine-u. Kada sistem smesti poruku u quarantine krajnji korisnik o tome dobija notifikaciju.
U cilju autentifikacije korisnika, kako za prijem poruka, tako i za pristup quarantine-u, anti-spam sistem podržava LDAP protokol za integraciju sa bazom korisnckih naloga koju koristi i mail server.
Anti-spam sistem se moze integrisati sa anti-virus sistemom u cilju detekcije, zastite i uklanjanja ne samo virusa nego i ostalih malicioznih sadrzaja (trojanaca, adware-a, spyware-a, i drugih vrsta nezeljenih sadrzaja), u okviru dolaznog i odlaznog mail saobracaja. Anti-virus sistem podrzava tzv. zero-day zastitu.


DMN  rade u sklopu mrezne infrastructure kao pasivni mrezni senzori. Oni analiziraju pakete, kako bi u njihovim delovima pronasli odredjenu neregulativu. Ukoliko je pronadju, podatak se belezi I prosledjuje administrator mreze. DMN rade na slican nacin kao Anti Virusni program koji ima ulogu da detektuje paket informacija kao opasan po sigurnost sistema.


-   Aplikacioni sloj (korisnicki interfejs) ima funkciju da nadgleda aplikacije koje su vezane za HTTP, konstruisan je tako da ima pristup celoj mrezi I igra ulogu preventora, odnosno verifikatora pristupa odredjenim sadrzajima unutar mreze.
Protokoli koje ovaj sloj koristi su : DNS, FTP, TFTP, BOOTP, SNMP, RLOGIN, SMTP, MIME, NFS, FINGER, TELNET, APPC, AFP
Konvertori: Oni imaju ulogu da aplikativni zapis pretvore u zapis poznat mreznom uredjaju i obrnuto.  Takodje imaju zadatak da konvertuju svaki aplikativno poznati zapis iz slovno-numerickog oblika u binarni.
Protokoli koji se prilikom ove faze koriste su : Named Pipes, Mail Slots, RPC, NCP, SMB

-   Sesije: Sesije imaju zadatak da beleze pocetak mreznog saobracaja, njegovu duzinu, kolicinu prenetih podataka i kraj mreznog saobracaja izmedju dva klijenta. Protokol koji se ovom prilikom koristi je : NetBios
-   Transportni sloj: Ima zadatak da omoguci bezbedan protok podataka kroz mrezu. Protokoli koje koristi su: TCP, ARP, RARP, SPX, NWLink, ATP, NetBEUI
-    Adresiranje, rutiranje – Mrezni sloj koji ima zadatak da logicke mrezne adrese pretovori u fizicke i zaduzen je za blokiranje i rasporedjivanje, odnosno adresiranje podataka u odredjeni deo mreze. Protokoli koji se koriste su : IP, ARP, RARP,
ICMP, RIP, OSFP, IGMP, IPX, NWLink, OSI, DDP, DECnet
-   Fizicki slojevi: u njih spadaju fizicki delovi mrezne infrastrukture kao sto su ruteri, swich-evi, mrezne karte, kablovi, access point-i i slicno.  Za njihov rad se koriste sledeci protokoli:
 IEEE 802, IEEE 802.2, ISO 2110, ISDN

Tipovi detektora mreznih napada

Postoje 3 tipa detektora.

HIDS  ( host-based intrusion-detection system), NIDS (network-based intrusion-detection system) i kombinacija ova dva uredjaja.
HIDS uredjajima je potreban odredjeni software koji ce imati zadatak da vrsi pretragu  svih resursa unutar lokalne mreze. Svaka aktivost koju bude smatrao anomalicnom sacuvace u log  fajlu.
NIDS uredjaji se nalaze u mreznim delovima i imaju glavni zadatak pregled paketa koji putuju kroz mrezu , te u slucaju pojavljivanja odredjenog malicioznog paketa prenose informaciju korisniku.

U danasnje vreme se sve vise koristi kombinacija ova dva sistema . U tabeli ispod su prikazane dobre i lose strane NIDS i HIDS sistema, te se iz njih moze lako zakljuciti zasto je fuzija ta dva uredjaja bitna.
 



U sustini, glavni zadatak NIDS i HIDS sistema jeste prikupljanje  podataka i njihovo klasifikovanje. Uredjaji su sposobni i za „ucenje“, odnosno dodavanje odredjene aktivnosti u sigurnu zonu nakon odobrenja od strane administratora.

Takodje, poznata je i upotreba takozvanih „distributerskih“  detektora mreznih napada. Ovi uredjaji se nalaze na udaljenim lokacijama i vrse neku vrstu kontrole saobracaja u odredjenim odeljcima mreze i direktno su vezani na centralnu tacku , odakle se nad njima moze vrsiti kontrola.  Mreza kojom su ovi uredjaji povezani na centralnu tacku je privatna, odnosno preko nje se ne vrsi izlazak, tj veza racunara sa drugim mrezama(internetom).

Na slikama ispod se moze videti postavka NIDS i HIDS detektora mreznih napada u okviru jedne mreze.





Preventori mreznih napada


Preventori mreznih napada su uredjaji koji sprecavaju neovlascene  pristupe  mrezi i njenim aktivnostima. Jos uvek je njihovo koriscenje u  fazi razvoja .  Ove uredjaje najvise koriste Internet provajderi. Karakteristicna osobina ovih uredjaja je sto rade pasivno, tj sprecavaju sumnjive napade jos pre nego sto se oni dogode u blizini korisnickog racunara, odnosno do sprecavanja aktivnosti se desava jos u delu mreze koji pripada Internet provajderu.

Mrezno bazirani PMN sistemi prate saobracaj na delovima mreze koji se stite i precizno identifikuju, klasifikuju i odbacuju maliciozan saobracaj, koji obuhvata worms, spyware/adware, mrezne viruse i zloupotrebu legitimnih servisa.
U cilju detekcije napada i anomalija u mreznom saobracaju, sistem vrsi detaljnu analizu saobracaja na nivoima od 2 do 7 ISO OSI modela. Metodi identifikacije napada obuhvataju:
-  naprednu zastitu od virusa kroz integraciju IPS sistema sa anti-virus sistemom,
-  stateful pattern recognition - analiza vise uzastopnih paketa saobracaja za sve protokole,
-  analiza mreznih protokola - dekodovanje i validacija svih glavnih TCP/IP protokola, kao i protokola na aplikativnom nivou komunikacije,
-  detekcija anomalija u mreznom saobracaju,
-  detekcija anomalija u okviru mrežnih protokola,
-  poredjenje saobracaja sa predefinisanim signaturama napada, koje se regularno azuriraju sa pojavom novih napada.
PMN sistem daje preciznu analizu uticaja napada na mrezu, koja omogucava preduzimanje odgovarajuce akcije za sprecavanje napada. PMN poseduje adaptivni algoritam kojim se za svaki napad procenjuje stepen rizika, na osnovu detalja o napadu i trenutnih mreznih statistika. PMNpodrzava vise akcija, kao odgovor na detektovane napade: direktno odbacivanje paketa, terminaciju sesija i limitiranje protoka saobracaja na PMN uređaju ili implementaciju kontrole pristupa i limitiranje protoka saobracaja na ruterima i firewall-ima u mrezi. PMN uređaj rangira napade prema uticaju koji oni imaju na funkcionalnost mreže. Pored toga PMN  belezi detaljne informacije o svakom dogadjaju, pre, za vreme i nakon njegovog pojavljivanja.



     
Sakupljanje podataka


Postoje 2 nacina za sakupljanje podataka na razdvojenoj mrezi. To su takozvani port mirroring i
network taps.

Port mirroring  je nacin prilikom kojeg se meri duzina trajanja ciklusa u kojem se paket u jednom kraju mreze kroz jedan port prenes u drugi kraj mreze kroz neki drugi port gde isti moze biti analiziran.
Metoda network taps radi u realnom vremenu, tako sto nadgleda mrezni saobracaj i vrse kopije svkih paketa u oba smera koji se zatim analiziraju. Obe ove metode imaju dosta i prednosti i mana i moze se slobodno reci da ce njihov bolji razvitak i implementacija  u  mrezne  sisteme  tek zaziveti kroz odredjeni vremenski period.


Preventori mreznih napada(PMN) se konfigurisu na slini napad kao DMN i takodje mogu da budu
host-based IPS (HIPS) i network-based IPS (NIPS).
Kao sto je vec receno ovi uredjaji mogu da „uce“ kako da reaguju na odredjene sumnjive delatnosti.

Preventori mreznih napada se sastihe uz cetiri glavne komponente:

-   Normalizacije  mreznog saobracaja
-   Skenera servisa
-   Dela za detektovanje
-   Prilagodjaci mreznih saobracaja

Normalizer mreznog saobracaja ce prevesti mrezni saobracaj i prilikom analize paketa i njegovog eventualnog ciscenja izvrsiti osnovnu funkciju  blokade tog paketa. Prilikom takve akcije paket ide na analizu  u „deo za detektovanje“ i prolazi procetoru provere, odnosno „skeniranje“ servisa. U slucaju prolaska paketa kroz ovakav filter verifikacije on se salje u mrezu normalnim tokom, dokse u drugom slucaju odbacuje.


AAA softver
Softver za autentifikaciju, autorizaciju i accounting podrzava RADIUS protokol server. Mrezni pristupni uredjaji su klijenti koji se definisu na serveru i koji AAA zahteve prosledjuju serveru koriscenjem RADIUS protokola. Softver sadrzi bazu korisnickih naloga na osnovu kojih se vrsi autentifikacija. Za autentifikaciju korisnika softver treba da podrzava integraciju sa eksternim bazama korisnika, poput Windows Active Directory, LDAP servera i sl. Za autorizaciju korisnika na AAA serveru se definišu korisnicki profili koji sadrze RADIUS atribute na osnovu kojih se vrsi autorizacija. Na AAA serveru se skupljaju i akauntng informacije, koje se mogu proslediti i nekoj relacionoj bazi podataka i koristiti za tarifiranje mreznog pristupa.


Na slici ispod moze se videti sema postavki tz. „distributerskih“ detektora mreznih napada...



 Zbog cega su DMN i PMN uredjaji vazni?

DMN I PMN uredjaji se mogu koristiti u svim organizacijama, pocevsi od obicnih kucnih mreza, preko manjih kancelarijskihh pa sve do ogromnih mreza raznih multinacionalnih kompanija i mreza sa velikom kolicinom podmreza. Pruzaju brojne benificije poput:
-   Veoma dobro uradjena struktura koja u vecini slucajeva sama vrsi detekciju i blokadu napada
-   Mogucnost rada se velikom kolicinom paketa istovremeno svih kapaciteta.
-   Trenutno alarmiranje korisnika i sprecavanje potencijalnih proboja mrezne zastite
-   Automatsko zabelezavanje logova korisnickih pristupa i vrsenja bilo kakve izmene na uredjajima.
-   Cvrsta zastitna struktura


Gore navedeni razlozi ce sigurno svakoga ko poseduje racunarsku mrezu ohrabriti u odluci zarad postavljanja uredjaja ovog tipa.
Vrste Napada na racunarsku mrezu

1.   Pogadjanje TCP/IP paketa koji cirkulisu izmedju servera i clienta na mrezi;

2. Napadi sa sniferima.


1. Kao sto je navedeno na pocetku svaki racunar  na internetu ima svoju IP kao i serijski broj za za svaki IP paket koji komp posalje na internet. Ovo se moze odraditi ovako:

- IP adresu je moguce dobiti od servera, gledajuci statusbalk od browsera presretanjem paketa (packet sniffing) na networku. Ako jedan sistem ima napr. IP-192.0.0.15 to je jedan klase C network (128+64=192bits) sto znaci da moze da ima max 256 Ip-adrese (192.0.0.1-254) tako   da on pokusava da pogodi jednu adresu u ovom IP-rangeu i da se predstavi serveru kao klient iz njegovog sopstvenog networka (internog). Ako mu to uspe on moze da monitoruje TCP/IP data-stream na networku i posle odredjenog vremena mu moze uspeti da ih na osnovu odredjenog algoritma uspesno predvidi serijske brojeve TCP/IP paketa izmedju klijeta i servera i da tako preuzme ulogu jednog od klijenata na servervom networku i da ga ubedi da dobija informacije od svog klijenta a ustvari ih dobija sa hakerove machine. Na taj nacin haker moze da monitoruje data stream na networku sto ukljucuje login names, passworde, poverljive podatke itd. Ovo se obicno radi kao priprema napada na server ili na neki drugi server na istoj mrezi.


2. TCP-IP paket interception ili aktivno snifovanje. Ovo je jedan od najopasnijih oblika napada na jedan server koji je prikljucen na jedan TCP/IP network. U ovom slucaju haker ne pokusava da pogadja IP-adrese vec presrece TCP/IP konekciju izmedju trusted(verovanog) klijenta na networku i servera i primorava  server da hakerovu masinu na taj nacin prihvata kao trusted-host. Na taj nacin on simulira IP adresu i seriske brojeve TCP/IP paketa od zrtve kompjutera (to je takozvano IP-mimic (imitiranje)). Posto se on sada prestavlja kao trusted  host on baj-pasuje login i password indetifikaciju i moze da prodre do vise obezbedjenih sistema i preuzme kontrolu na njima. Pasivno snifovanje jedan dobro postavljeni network sniffer moze da monitoruje TCP/IP data-stream i da na taj nacin dodje do login namea i passworda od odredjenog racuna i da ga kopromituje i koristi kao bazu za provaljivanje super userovog passworda ili nekog drugog racuna sa visim privilegijama. (sto mu obicno pre ili kasnije uspeva). Isto tako ova tehnika se koristi i kao pocetna faza za sledece vrste napada:


- Napad aktivnom desinhronizacijom

U principu generiradje ogromnog broja ACK-paketa (acknowledgment) zbog prekida veze izmedju klijenta i servera;


- Napad ranom desihronizacijom

Ovo se zasniva na prekidanju veze izmedju klijenta i servera u jednoj ranoj fazi i zapocinjanju nove veze sa  masine napadaca sa (novim) serijskim brojem (a pod identitetom klijenta sa kojim je veza prekinuta);


- Napad sa desihronizacijom sa tzv. "zero-data"

Kao sto mu ime kaze ovaj napad se zasniva na slanju ogromnog broja tzv. Nula data serveru i klijentu (koje ne sadrze nista) koji nisu vidljivi ali primoravaju server i klijent da prekinu konekciju zbog preopterecenjaTCP/IP konekcije;



- Napad na Telnet-sesiju

Izvodi se slanjem velikog broja instrukcija specificnih za Telnet (IAC NOP IAC NOP) koji navodi Telnet protokol da pauzira i ceka sto napadac koristi da bi preuzeo kontrolu nad konekcijom i "umuva se unutra izmedju".


Zastita od ovakvih vrsta napada se sastoji u pazljivom monitorovanj i logovanju svih network aktivnosti i zapisivanju svega neobicnog (na primer neobicno velike procentaze ACK paketa na networku ) kao i u vodjenjem kriptografskih tehnika (Kerber-ove kartice, SSL.S-HTTP, one time passwords, firewalls itd …)


Postoje dosta legendi i prica vezanih za DMN i PMN. Dosta prica pokusavaju da ocigledno na neke nacine stvore negativna gledanja na ove uredjaje..


DMN i PMN su jedna ista tehnologija:

Mnogo ljudi veruje da DMN poseduju mogucnost „TCP kill-ovanja“ i funkciju „reset“  i da kao takvi rade uglavnom isti posao kap PMN.Ono sto je istina je da svaka od ovih tehnologija je odvojena popitanju funkcije. PMN reaguju trenutno i svi paketi podataka moraju da prodju kroz njih. U slucaju da paket ne prodje verifikacuju, odbacuje se. Slucaj sa DMN nije bas takav. Sumnjivi paketi se salju na internu programsku analizu dok paket prolazi dalje kroz mrezu i tek u slucaju da program obavesti o opasnoscu paketa, salje se obavestenje.  Ovo moze imati siroke posledice po mreze, iz razloga sto je maliciozni paket usao u mrezu i mozda vec nacinio neke napade.





DMN daju dosta negativnih odgovora na sumnive pakete nego sto je to zaista stanje:

Istina je da DMN za odredjene rezultate daju validnost iako su paketi maliciozni, a sve iz razloga obrade mnostovo mreznog saobracaja u kratkom vremenskom periodu. Resenje za ovaj problem lezi u bliskom podesavanju samog uredjaja sto cesto nije susred kod kompanija koje imaju „lenje“ administratore koji propustaju veliku kolicinu upozorenja i daju im permisije za prolaz. Najcesce resenje za takve slucajeve jeste postavljanje drugo lice koje ce da vrsi funkciju administratora.


DMN ce jednom u buducnosti zameniti firewall uredjaje.
 Netacno. Ovaj slucaj nije moguce da se desi iz razloga sto ta dva uredjaja razlicite i odvojene funkcije u mrezi. Moze se reci da firewall uredjaji u sebi sadrze i DMN i PMN, ali oni su samo posebni uredjaji, i kao takvi nisu u mogucnosti da zamene firewall.




DMN i PMN ce uhvatiti napadaca i spreciti napad na mrezu

Koliko god se cinjenica mogla tumaciti kao krajnje moguca. DMN i PMN ce spreciti napad na racunarsku mrezu, ali nece biti u mogucnosti da uhvate napadaca.


DMN i PMN ce doprineti drasticnom smanjenja ljudstva

Postoje istine u ovom slucaju, kako DMN i PMN ce moci da redukuju kolicinu potrebnog ljudstva za nadgledanje, ali kako su napadi na mrezne sisteme, pogotovo one vece, veoma ucestali, potrebno su i dobro poduceni kadrovi ali i kadrovi koji ce moci da primete svaki pokusaj upada sto nije bas najbolje resenje za sigurnost mreze.




Svakodnevni napredak mreznih i celokupnih informacionih tehnologija donece zasigurno u blizoj ili dalje buducnosti nove puteve za sprecavanje prevencije zastita kako mreza, tako i personalnih racunara.Kako je zastita mreznih sistema i uopsteno cela mrezna infrastruktura jedan veoma bitna stvar za celu IT industriju govori cinjenica da se u posao oko hardware-a i programskih paketa ukljucio sve veci broj kompanija izbacujuci skoro svakodnevno nove uredjaje i programski verzije pokusavajuci da „zakrpe rupe“ , odnosno da isprave greske u prethodnim verzijama i poboljsaju bezbednost. U tekstu iznad moglo je da se prinadje i prcvita dosta informacija koje ce svakako cak i prosecnom korisniku koji se ne razume toliko u terminologiju kojom se govori, biti jasno o cemu je rec i kako koji uredjaj radi, odnosno kako se izvrsava koja vrsta napada.  Cinjenica je da ce uvek biti „rupa“ u sistemima, koje ce zasigurno mnostvo njih hteti da iskoriste zarad raznih vidova zlopupotreba, te nam se ostaje nadati da ce se korisnici „opismeniti“  i sve manje podlegati raznim vidovima prevara na mrezama, koje kao sto se moglo i videti u tekstu su dosta opasne i mogu naneti velike stete kako fizickim infrastrukturama, tako i novcanom bilansu.

Svaka cas Bg

Puno korisnih informacija.