Ime škole
Maturalni rad iz predmeta računarstvo LOKALNE MREŽE I NJIHOVA NJIHOVA ZAŠTITA ZAŠTITA
Mentor:
Učenik:
Vukovar, travanj 2013.
1
Sadržaj
Uvod
U ovom radu ćemo obraditi temu LOKALNE MREŽE I NJIHOVA ZAŠTITA iz predmeta računarstvo. Rad ćemo podijeliti na sljedeće cjeline: 1. Računalne mreže – općenito i podjela 2. Lokalne mreže – općenito i podjela 3. Zaštita lokalnih mreža Detaljnom razradom cjelina doći ćemo do spoznaje u kojoj se mjeri koriste lokalne mreže, a samim time i važnost zaštite tih mreža.
2
Računalne mreže 1. Općenito o računalnim mrežama Računalna mreža je sustav dvaju ili više povezanih računala ili uređaja s mogućnošću njihove međusobne komunikacije.. Glavne vrste usluga koje treba osigurati računalna mreža su sljedeće: •
Komunikacija govorom u digitalnom obliku, postupkom komutacije kanala ili paketa
•
Komunikacije tekstom
•
Komunikacije podataka postupcima komutacije kanala ili paketa u stvarnom vremenu
ili s vremenskom zadrškom
3
•
Pristup bankama podataka i računarskim uslugama te procesiranje
•
Komunikacije slikom, videofon, difuzija TV i HIFI višemedijske komunikacije
•
Telefaks
•
Daljinsko mjerenje i upravljanje.
Podjela računalnih mreža
Prema načinu povezivanja računala, razlikujemo tri vrste mreža. •
Lokalna mreža – LAN : sastoji se od računala smještenih na relativno malom
prostoru, na primjer u jednoj zgradi •
Rasprostranjena (globalna) mreža – WAN : povezuje računala rasporedena na većim
udaljenostima, na primjer u nekoliko gradova •
Internet: skup raznorodnih mreža (LAN ili WAN) medusobno povezanih tako da
djeluju kao jedinstvena mreža
Lokalne mreže 2. Općenito o lokalnim mrežama Lokalna mreža (engl. LAN - Local Area Network) je komunikacijska mreža koja omogućava međusobno povezivanje različitih uređaja koji razmjenjuju podatke unutar malenog prostora. Kao komukacijska mreža, lokalna mreža nije samo mreža računala, već mreža koja prenosi i govor, televizijsku sliku, faksimil itd. U uređaje koje lokalna mreža povezuje spadaju svi uređaji koji mogu komunicirati preko nekog prijenosnog medija, kao što su računala, pisači, crtači, telefoni, mjerni uređaji itd.
4
LAN mreže su namijenjene unutarnjoj uporabi, a pomažu pri učinkovitijem obavljanju poslova unutar neke ustanove, poduzeca i sl. (npr. u bolnici, školi, tvornici, banci itd.). Površina koju pokriva lokalna mreža obuhvaća najčešće jednu zgradu ili skupinu od nekoliko zgrada. Računala unutar lokalne mreže se povezuju fizičkim vezama tj. raznim vrstama kablova (podaci se medu računalima prenose putem kablova), no podaci se mogu prenositi i bežično (engl. WLAN - Wireless Local Area Network) ukoliko je veza putem kablova tehnički neizvediva.
Slika . Izgled LAN mreže
Prednosti lokalne mreže
Osnovna funkcija lokalne mreže je dijeljenja zajedničkih resursa i prijenos podataka velikom brzinom na malim udaljenostima, a to znači da korisnik može preko lokalne mreže dohvatiti podatke s udaljenog računala istom brzinom kao i s diska vlastitog računala. Umrežavanjem računala dobivaju se sljedeće prednosti:
Dijeljenje resursa - moguće je s jednog računala koristiti hardverske ili
softverske resurse koji pripadaju drugom računalu, na primjer štampač, disk, datoteku, program. 5
Otvorenost - moguće je međusobno povezati hardver i softver različitih
proizvođača, pod pretpostavkom da svi poštuju određene standarde.
Paralelni rad - sklađeni procesi koji se istovremeno odvijaju na više računala
mogu obaviti više posla nego što bi bilo moguće u jednakom vremenu na jednom računalu.
Skalabilnost - performanse umreženog sustava mogu se u principu povećavati
dodavanjem novih računala.
Robusnost - u slučaju kvara jednog računala u principu je moguće poslove
preraspodijeliti na preostala računala, tako da sustav i dalje radi.
Transparentnost - korisniku se umreženi sustav može predočiti kao
integrirana cjelina, dakle korisnik ne mora znati ni brinuti o tome gdje se fizički nalaze resursi koje on koristi.
Dijelovi LAN mreže
LAN mreže odlikuje ih se pristupačna cijena, relativno jednostavna uporaba i instalacija. Računala se standardno fizički povezuju u mrežu pomoću mrežnog kabela tako da se jedna strana kabela priključuje na mrežnu karticu, a druga na mrežni uredaj. Iznimka je
6
bežično povezivanje gdje se ne koristi žica, već mrežna kartica mora imati antenu (wireless kartica) putem koje se bežično povezuje s mrežnim uređajem. Povezivanje putem kabela je mnogo sigurnije i stabilnije, a bežično povezivanje se izvodi samo onda kada je kabelsko povezivanje nemoguće, nepraktično ili preskupo.
Najvažniji dijelovi LAN mreže su sljedeći:
Nadzorno računalo (engl. Server) – obično najsnažnije računalo u mreži koje vrši nadzor nad lokalnom mrežom
Slika . Primjer nadzornog računala LAN mreže
Koncentrator (engl. Hub) - uredaj na koji se priključuju sva računala u LAN mreži i koji omogucava da povezana računala mogu medusobno komunicirati. Ujedno i predstavlja centralnu (sabirnu) točku mreže, a broj povezanih računala određen je brojem slobodnih ulaza na koncentratoru.
7
Slika . Primjer koncentratora
Usmjernik (engl. Router) - uređaj koji medusobno povezuje mreže različitih vrsta (npr. LAN i WAN mreže) i usmjerava podatke do njihova odredišta.
Slika . Primjer usmjernika
Mrežna aplikacija (aplikacijski softver) - da bi mreže bilo uopće moguće koristiti, potreban je skup programa koji rade na više umreženih računala i međusobno komuniciraju
8
Slika . Primjer lokalne mreže sa svim dijelovima
Zaštita lokalnih mreža
9
1. Općenito o zaštiti lokalnih mreža
Računalne mreže postaju sve složenije. Njihova sigurnost i zaštita više nije samo zaštita servera i radnih stanica već ta zaštita zahtijeva detaljno razumijevanje mreže i spoznaju o ranjivostima mreže. Pojavom Interneta, otvorio se lako dostupni put prema unutrašnjosti svake mreže, pa i svakog računala. Kako bi se zaštitila sigurnost sustava mreže i podataka, potrabno je imati kvalitetan i efikasan plan zaštite. Takav plan se sastoji od 3 glavna dijela:
Fizička mjera zaštite – zaštita od neovlaštenog pristupa opremi i podacima i štite one elemente koji se mogu vidjeti, dodirnuti ili ukrasti.
Operativna mjera zaštite - odnose se na način obavljanja poslovnih funkcija u organizaciji te obuhvaćaju računala, mreže, komunikacijske sisteme i rad sa dokumentima. Ove mjere uključuju kontrolu pristupa, identifikaciju i topologiju zaštite nakon instaliranja računalne mreže, čime su obuhvaćeni dnevno funkcioniranje mreže, njeno povezivanje sa ostalim mrežama, način kreiranja rezervnih kopija (backup) i planovi oporavka nakon teških oštećenja.
Upravljanje i politika – definirane osnovne upute, pravila i procedure za nesmetani i sigurni rad zaštićenog okruženja
Neki od važniji praktičnih načina zaštite lokalnih mreža od raznih neovlaštenih upada, kako putem lokalno, tako i putem Interneta su sljedeći:
Kontrola i idetifikacija pristupa
Kriptiranje
Osiguranje WLAN mreže
Antivirusni programi
Vatrozid
2. Kontrola i identifikacija pristupa
10
Kontrole i identifikacija pristupa lokalnoj mreži je ključni dio sigurnosnog sustava jer nije nužno da svi korisnici u lokalnoj mreži imaju jednaka prava pristupa Ovaj način zaštite definira međusobnu komunikaciju korisnika i računalnih sistema te ograničava i kontrolira pristup sistemskim resursima, uključujući i podatke, čime je spriječen neovlašten pristup podacima. Osnovni načini kontrole i identifikacije pristupa su:
PAP protokol (Password Authentcation Protocol) - korisničko ime i lozinka se u obliku otvorenog teksta šalju na server gdje se vrši njihova provjera i u slučaju da ime i lozinka odgovaraju podacimana serveru korisniku se odobrava pristup, u suprotnom, pristup je zabranjen.
Smart kartice – identifikacija putem kartica koje sadrže podatke o identitetu korisnika i njegovim pravima pristupa. Čitač kartice je povezan sa radnom stanicom, preko koje sigurnosni sistem provjerava karticu
Certifikati – identifikacija putem fizičkih uređaja (poput smart kartica) ili u elektroničkom obliku u kome se upotrebljavaju kao dio procesa identifikacije. Izdavanje i upravljanje certifikatima je definirano dokumentom čiji je naziv Certificate Practice Statement (CPS)
Biometrija - identifikacija korisnika i to njegovih fizičkih karakteristika kao što su dlan i retina ali se očekuje da će se uskoro pojaviti i DNK skeneri
11
3. Kriptiranje
Zaštita od neovlaštenog čitanja podataka koji putuju mrežom postiže se kriptiranjem. Neke od tehnologija za kriptiranje su: •
Kriptiranje tajnim ključem – zasniva se na tajnom ključu kojeg znaju samo pošiljatelj i primatelj
•
Kriptiranje javnim ključem – zasniva se na tome da se svakom korisniku pridruže dva ključa. Prvi ključ korisnik čuva kao svoju tajnu, a drugog objavljuje zajedno sa svojim imenom i prezimenom. Prednost ove tehnologije je u tome što pošiljatelj i primatelj ne razmjenjuju tajni ključ preko nesigurnog komunikacijskog kanala.
•
Kriptiranje digitalnim potpisom
4. Osiguranje WLAN mreže
Za razliku od LAN mreže koja se umrežava žicom, WLAN se umrežava putem etera, a domet signala uglavnom daleko prelazi udaljenost granične jačine signala potrebne za minimalnu spojivost. Najveći problem kod takvog umrežavanja je mogućnost pristupa Lokalnoj mreži izvan lokacije na kojoj se ostvaruje bežična spojivost. Tako se stvara posve nova ulazna točka za mrežne napadače - sam medij lokalne mreže postaje moguća ulazna točka. Velika većina opreme za bežično povezivanje dolazi neosigurano po tvorničkim postavkama i to može biti iskorišteno za provalu u lokalnu mrežu bez fizičkog pristupa. Neki od najčešćih primjera kršenja sigurnosnog sustava putem bežične mreže su: •
Krađa Internet veze - korisnici koji nemaju flat-rate vezu, već vezu sa ograničenjem količine proteklih podataka, mogu na ovaj način ostati bez veće količine novaca u obliku računa za naknadu za korištenje Internet veze. Razina
12
znanja koju upadač u mrežu treba imati je minimalna •
Zagušenje konekcije - u slučaju spajanja previše zlonamjernih, neodgovornih ili čak slučajnih korisnika, ionako relativno mala protočnost višestruko pada što zbog zagušenja uređaja, što zbog zagušenja medija – etera
•
Upad u lokalnu mrežu putem korisnika koji se služe prijenosnim računalima sa nezaštićenim bežičnim adapterom – mogućnost upada u lokalnu mrežu je moguća sa više stotina metara
Zbog svih navedenih razloga, izuzetno je bitno dobro zaštiti pristup WLAN-u putem jednog od sljedećih tipova zaštite: •
MAC filtriranje - najjednostavniji oblik zaštite, radi na temelju liste dopuštenih/zabranjenih MAC adresa, tj hardverskih adresa. Ovo može biti korisno, ali ga je lako zaobići jer većina mrežnih adaptera ima mogućnost (privremenog) mijenjanja MAC - adrese. Može dobro poslužiti kao dodatan tip zaštite - uz neki oblik enkripcije i autorizacije.
•
IP filtriranje - također dodatni oblik zaštite, upadač koji se ipak spoji na pristupnu točku bi trebao svom uređaju namjestiti neku od dopuštenih IP adresa, što može dodatno smanjiti rizik
•
WEP enkripcija (engl. Wired Equivalency Privacy) - originalni standard za bežičnu enkripciju prevaziđen jer je pronađena učinkovita metoda za razbijanje
•
WPA, WPA2 enkripcija (engl. Wi-Fi Protected Access) - razvijeni kao zamjena za WEP i puno teži za razbijanje
•
TKIP protokol (engl. Temporal K ey Integrity Protocol) - sigurnosni protokol korišten u WPA/WPA2, namjenjen da zamijeni nesigurni WEP bez da korisnici moraju mijenjati opremu, bilo preko nadogradnje drivera bilo firmware-a. Svaki mrežni paket ima vlastiti enkripcijski ključ.
•
AES standard (engl. Advanced Encryption Standard) - kriptirajuća tehnologija koju je kao standard donijela vlada SAD-a.
13
•
CCMP protokol (engl. Counter mode with Cipher block chaining Message authentication code Protocol) - koristi AES kao enkripciju, služi za osiguravanje povjerljivosti i integriteta podataka, kao i za izbjegavanje nekih sigurnosnih napada
•
IEEE 802.1X standard - standard za autentifikaciju uređaja priključenih na mrežu, koja i ne mora biti bežična .
5. Antivirusni programi
Antivirusni programi su programi koji služe za pregledavanje i zaštitu računala i mreže od virusa, crva i drugih oblika zloćudnog koda. Ukoliko AV program prepozna virus - pokušati će ga izbrisati, neutralizirati ili ukloniti virus. U nekim slučajevima, ovisno od vrsti virusa, nakon tog postupka biti će potrebno popraviti određene datoteke koje je virus svojim djelovanjem oštetio. Antivirusni programi će spriječiti zarazu mreže tako što će pregledati datoteke koje se pokrenu u potrazi za kôdom (programom unutar programa) i ako nađu kôd koji naznačuje prisustvo virusa, antivirusni programi zabranjuju pokretanje zaraženog programa. Datoteke koji su već zaraženr čiste tako što jednostavno unutar zaražene datoteke brišu kôd za koji su sigurni da je virus. Kako se novi virusi pojavljuju svakodnevno, potrebno je uvijek ažurirati verzije programa i listu virusa od kojih program može zaštiti računalo ili mrežu sustavom stalnog praćenja rada računala i sprječavanjem destruktivnih akcija virusa. Neki od provjerenih i kvalitetnih antivirusnih programa su: •
Kaspersky Anti-Virus (www.kaspersky.com)
•
Norton Antivirus (www.symantec.com)
•
AVG AntiVirus (www.grisoft.com)
•
PC-Cilin (www.antivirus.com)
•
F-Prot (www.complex.is)
14
•
Sophos Anti-Virus (www.sophos.com)
•
McAfee VirusScan (www.mcafee.com)
•
F-Secure Anti-Virus (www.f-secure.com)
•
Panda Antivirus (www.pandasoftwere.com)
6. Vatrozid
Vatrozid (engl. Firewall) je sigurnosni element koji je dizajniran kako bi zaštitio povjerljive korporativne i korisničke podatke od neautoriziranih korisnika blokiranjem i zabranom prometa po pravilima koje definira usvojena sigurnosna politika. Sastoji od vatrozid uređaja i pravilnika o zaštiti koji omogućuje korisniku filtriranje određenih tipova mrežnog prometa sa ciljem da poveća sigurnost i pruži određeni nivo zaštite od provale.
Slika . Primjer zaštite lokalne mreže putem vatrozida
Osnovna namjena vatrozida je da spriječi neautorizirani pristup sa jedne mreže na drugu. Ukratko, to znači zaštitu lokalne mreže od Interneta. Ako sustav lokalne mreže raspolaže vatrozidom, to znači da je sigurnosna politika lokalne mreže donijela odluku o tome što je 15
dozvoljeno. Za ispravan rad vatrozida, potrebno je precizno odrediti niz pravila koja definiraju kakav mrežni promet je dopušten u pojedinom mrežnom segmentu. Takvom politikom se određuje nivo zaštite koji se želi postići implementacijom vatrozida. Postavljanjem vatrozida između dva ili više mrežnih segmenata može se kontrolirati i prava pristupa pojedinih korisnika pojedinim djelovima mreže. U takvom slučaju vatrozid dopušta pristup valjanim zahtjevima, a blokira sve ostale. Vatrozid ujedno predstavlja idealno rješenje za kreiranje Virtualne Privatne mreže (VPN) jer stvarajući virtualni tunel kroz koji putuju kriptirani podaci, omogućuje sigurnu razmjenu osjetljivih podataka među dislociranim korisnicima.
Slika . VPN mreža
Vatrozid je odgovoran za više važnih stvari unutar računalnog sustava: •
Implementacija sigurnosne politike
•
Bilježenje sumnjivih događaja
•
Upozoravanje administratora na pokušaje proboja i komprimitiranja sigurnosne politike
Vatrozid može biti: •
Softverski - omogućuje zaštitu jednog računala, osim u slučaju kada je to računalo određeno za zaštitu cijele mreže.
16
•
Hardverski - omogućuje zaštitu cijele mreže ili određenog broja računala
Zaključak
U današnje vrijeme, kada je brzi pristup podacima i resursima unutar jedne organizacije ključan segment u poslovanju, lokalne mreže su nužne kako bi ta organizacija mogla funkcionirati. No, kako je i Internet neizbježan resurs u svim organizacijama, izuzetno je bitno veoma je bitno posvetiti veliku pažnju sigurnosti lokalnoj mreži i svim korisnicima unutar te mreže. Ovisno o potrebama organizacije ili korisnika, ključan je odabir odgovarajućeg tipa zaštite kako i mreže i korisnika, tako i svih podataka koji se nalaze u mreži i koji ulaze i izlaze iz iste. U ovim radu smo pojasnili najčešće tipove zaštita lokalnih mreže koja se koriste, no na žalost, još uvijek je ljudski faktor najveći uzrok nesigurnosti lokalnih mreža u smislu nepažljive uporabe softvera te u smislu uštede na sigurnosti lokalnih mreže pod geslom „ne treba to nama“. Zbog navedenog gesla, lokalne mreže održava nestručni kadar te se koriste besplatni antivirusni programi i vatrozidi malih mogućnosti zaštite i na taj način je veliki broj lokalnih mreža otvoren za napade zlonamjernih korisnika.
17
Literatura:
Ilišević, Saša, Brzi vodič kroz kućen mreže, BUG & SysPprint, Zagreb, 2003. Sinković, Vjekoslav, Informacijske mreže, Školska knjiga, Zagreb 1994. Srdić, Ida, Hrpka, Branko, Kadić, Goran, Udžbenik iz informatike, ALFA d.d., Zagreb, 2007. http://www.microsoft.com/croatia/security/virus.mspx http://osnove.tel.fer.hr/nastavnici/randic/oum/Seminar0405/Security.pdf
18
