Embed Size (px)
Citation preview
1
TEHNIČKO VELEUČILIŠTE U ZAGREBU POLITEHNIČKI SPECIJALISTIČKI DIPLOMSKI STRUČNI STUDIJ
Specijalizacija informatika
Marko Crnić
SIGURNOST U VIRTUALNIM LOKALNIM
MZEŽAMA (VLAN Security)
DIPLOMSKI RAD br. broj I494
Zagreb, rujan 2015.
2
TEHNIČKO VELEUČILIŠTE U ZAGREBU POLITEHNIČKI SPECIJALISTIČKI DIPLOMSKI STRUČNI STUDIJ
Specijalizacija informatika
Marko Crnić
JMBAG: 0246005975
SIGURNOST U VIRTUALNIM LOKALNIM
MZEŽAMA (VLAN Security)
DIPLOMSKI RAD br. broj 1494
Povjerenstvo:
1. Danijela Pongrac, prof., predavač, predsjednica _______________
2. Tomislav Novak, dipl.ing., predavač, član _______________
3. mr.sc. Dubravko Žigman, v. predavač, mentor _______________
Zagreb, rujan 2015.
3
4
SAŽETAK DIPLOMSKOG RADA
Problem istraživanja je slijedeći: Moćno oružje današnjice upravo je Internet, te se bez
interneta ne može se zamisliti produktivan rad niti u jednom poslovnom okruženju, bilo da je
riječ o malom uredu, nekoj ustanovi ili kompletnom ministarstvu. Današnji problem Interneta
najviše se očituje u propusnoj moći prema inozemstvu. Upravo dostupnost svim mogućim
bazama znanja svijeta treba biti strateška orijentacija svakog društva ako ne želi zaostati u
zahuktaloj informatičkoj utrci. Kako broj korisnika Interneta neprestano raste postoji stalna
potreba proširivanja kapaciteta veza koje nas spajaju s inozemstvom
U okviru spomenutog ističe se činjenica da se rad u navedenim poslovnim
okruženjima već odavno ne može zamisliti bez lokalne mreže, te njena simbioza s Internetom
postaje neizbježna. Rezultat je intranet, Internet u malome potpuno pod lokalnim nadzorom.
Iz problema rada proizlazi slijedeći predmet istraživanja, a to je istražiti značajke
tradicionalnih LAN mreža, odnosno krajnjih uređaja (hosts-radne stanice, printeri, skeneri...)
spojenih međusobno preko huba ili repeatera koji propagiraju dolazni promet svima na mreži.
U tom slučaju ako dva ili više uređaja pokušaju ostvarit komunikaciju u istom trenutku
događa se kolizija i promet je izgubljen, a kolizija se dalje propagira kroz mrežu hubova i
repeatera. Originalna informacija se u tom slučaju po potrebi ponovno šalje nakon što je
riješen problem trenutne kolizije. U takvim mrežama dio vremena i resursa (bandwidth) je
izgubljen. Da bi riješili kolizije danas se koriste switchevi (starija i lošija varijanta bridge) koji
kolizijsku domenu mikrosegmentiraju.
Imajući na umu prethodno naveden problem istraživanja, predmet istraživanja i objekt
istraživanja moguće je postaviti temeljnu radnu hipotezu : Na temelju saznanja o pristupu
lokalnoj mreži sa udaljenih lokacija, odnosno aktivnostima i funkcijama lokalne mreže,
moguće je dokazati da se pristup lokalnoj mreži odvija po određenim pravilima sa posebnim
oblicima i instrumentima sigurnosti, rezultat čega je intranet, kao simbioza lokalne mreže i
Interneta.
Na temelju iznesene radne hipoteze, moguće je formirati sljedeće pomoćne hipoteze:
1) Spoznajama o pristupu lokalnoj mreži, moguće je utvrditi raznolikost nivoa sigurnosti
lokacija sa kojih se pristupa.
2) Objektivnim znanjem o lokalnim mrežama, moguće je dokazati važnost poznavanja
sustava lokalnih mreža.
5
3) Switchevi i bridgevi neće dopustiti širenje kolizije kroz mrežu, ali dopuštaju broadcast
i multicast promet svakom uređaju u mreži
4) Broadcast i multicast u smislu dostavljanja prometa je identičan, informacija poslana
broadcastom ili multicastom dolazi do svih uređaja unutar iste mreže (subneta), te je
upravo takav tip poruka koji sa jedne točke u mreži dolazi do svih krajnjih uređaja
stvara nepotrebno iskorištavanje resursa u današnjim mrežama.
6
KAZALO:
1. POZADINA PRISTUPA MREŽAMA .......................................................................... 11
1.1. Teorije i prakse pristupa mrežama ................................................................................. 11
1.2. Kontrolirani pristup lokalnoj mreži ................................................................................ 13
2. KOMPARATIVNI PREGLED ZNAČAJKI VIRTUALNE LOKALNE MREŽE U
VREMENSKOJ PERSPEKTIVI .......................................................................................... 19
2.1. Pojam LAN segmenata .................................................................................................. 19
2.2. Definicija i značajke virtualne lokalne mreže ................................................................. 19
2.3. Princip rada VLAN-ova ................................................................................................. 20
Dva pristupa za uključivanje uređaja u VLAN su:[8] .................................................................... 20
Tipovi VALNova: ........................................................................................................................ 21
1. Sloj 1 VLAN: pripadnost po portu (interface) .......................................................................... 21
2.4. Povezivanje računala u VLAN mrežu ............................................................................ 23
2.5. Povezivanje istih VLAN mreža preko više preklopnika ................................................. 23
2.6. Povezivanje različitih VLAN-ova .................................................................................. 24
2.7. Značajke VLAN članstva .............................................................................................. 25
2.7.1. Statičko VLAN članstvo ........................................................................................................ 25
2.7.2. Dinamičko VLAN članstvo .................................................................................................... 25
2.8. Prednosti i nedostatci VLAN mreža ............................................................................... 26
2.8.1. Povećanje performansi mreže ............................................................................................. 26
2.8.2. Olakšana administracija mreža ............................................................................................ 26
2.8.3. Neovisnost o fizičkoj topologiji mreža .................................................................................. 26
2.8.4. Ograničenje razašiljanja prometa na VLAN-u ....................................................................... 27
2.8.5. Zaštita od malicioznih korisnika ........................................................................................... 27
2.8.6. Povećana sigurnost mreže ................................................................................................... 27
2.8.7. Prioritiziranje mrežnog prometa .......................................................................................... 28
2.9. Glavi nedostatci upotrebe VLAN-ova ............................................................................ 28
2.9.1. Komunikacija između VLAN-ova .......................................................................................... 28
2.9.2. Kompleksnost VLAN-ova ...................................................................................................... 28
2.9.3. Noseći kapacitet usmjerivača............................................................................................... 28
2.9.4. Neovlašteno uključivanje u pojedini VLAN ........................................................................... 29
3. TIPOVI KONEKCIJA U VLAN MREŽAMA ............................................................... 29
3.1. Trunk link ..................................................................................................................... 29
7
3.2. Access link .................................................................................................................... 29
3.3. Hybrid link .................................................................................................................... 30
3.4. Identifikacija VLAN-a ................................................................................................... 30
4. PREGLED VLAN POTOKOLA I DIZAJNA ................................................................ 31
4.1. IEEE 802.1Q standard ................................................................................................... 31
4.2. ISL standard .................................................................................................................. 31
4.3. IEEE 802.1Q standard ................................................................................................... 33
4.4. Vrste VLAN-ova ........................................................................................................... 34
4.4.1. VLAN-ovi bazirani na priključcima preklopnika ..................................................................... 35
4.4.2. VLAN-ovi bazirani na tipu protokola..................................................................................... 36
4.4.3. VLAN-ovi bazirani na MAC adresama ................................................................................... 36
4.4.4. Korisnički definirano povezivanje ......................................................................................... 37
4.4.5. VLAN-ovi bazirani na definiranim pravilima ......................................................................... 37
4.4.6. Sprega IEEE 802.1Q protokola s IEEE 802.1P protokolom ..................................................... 37
4.5. Kreiranje VLAN-a ......................................................................................................... 38
4.6. Testiranje VLAN mreže na simulatoru .......................................................................... 39
5. PLATOFRMA ZA ZAŠTITU VLAN MREŽE .............................................................. 40
5.1. Značajke protokola za razmjenu ključeva ...................................................................... 40
5.2. Funkcionalnosti IKE protokola ...................................................................................... 41
5.3. Razlozi za uvođenje IKEv2 protokola ............................................................................ 42
5.4. Ipsec implementacija sa IKEv2 daemonom.................................................................... 45
5.5. IP sec i Ipv6 protokol .................................................................................................... 47
5.6. Pojam zaštite mrežnog pristupa ..................................................................................... 49
5.6.1. NAP u kontekstu zaštite mreže ............................................................................................ 50
5.6.2. NAP kao podrška u VLAN procesima .................................................................................... 50
5.6.3. Provjera ispunjavanja sigurnosnih zahtjeva .......................................................................... 51
5.6.4. Zabrana pristupa mreži ........................................................................................................ 52
5.6.5. Automatsko ispravljanje ...................................................................................................... 52
5.6.6. Provjera u realnom vremenu ............................................................................................... 52
5.7. Komponente NAP rješenja ............................................................................................ 53
5.8. Implementacija NAP-a .................................................................................................. 53
5.9. VPN karantena .............................................................................................................. 54
5.10. Dobre i loše strane NAP-a ............................................................................................ 55
6. IMPLEMENTACIJA MREŽE – PRAKTIČNI PRIMJER ............................................. 56
8
7. SEGMENTACIJA MREŽE ........................................................................................... 57
8. SHEMA MREŽE .......................................................................................................... 58
9. VIRTUALNA LOKALNA MREŽA (VLAN) .................................................................. 59
9.1. Kontorla pristupa ........................................................................................................... 59
9.2. SSH protokol ................................................................................................................. 63
9.3. Implementacija VLAN mreže ........................................................................................ 65
9.4. VLAN konfiguracija ...................................................................................................... 67
9.5. Sigurnost portova ........................................................................................................... 71
9.6. Etherchannel .................................................................................................................. 73
10. KONFIGURACIJA USMJERIVAČA ........................................................................... 74
10.1. Kontrola pristupa usmjerivaču ...................................................................................... 74
10.2. INTER-VLAN usmjeravanje ........................................................................................ 75
10.3. Kontrolne liste pristupa (Access control list) ................................................................ 76
11. VRSTE NAPADA NA MREŽU ..................................................................................... 80
11.1. DHCP vrste napada ...................................................................................................... 80
11.2. STP napadi (Spanning tree protocol) ............................................................................ 82
11.3. MAC flooding ............................................................................................................. 84
11.4. Cdp snifanje ................................................................................................................. 85
11.5. Napad Switch spoofing ................................................................................................ 86
11.6. Napad Double tagging ................................................................................................. 86
12. TESTIRANJE FUNKCIONALNOSTI MREŽE ............................................................ 87
13. ZAKLJUČAK ............................................................................................................... 94
9
Popis slika:
Slika 1: Lokalna mreža povezana na internet [4] ................................................................... 15 Slika 2: Segmentacija radnih stanica u dva VLAN-a [7] ....................................................... 20
Slika 3: Primjer kreiranih VLAN-ova baziranih na sloju 1 [8]............................................... 22 Slika 4: Prikaz dvije zasebne lokalne mreže [8] .................................................................... 22
Slika 5: Povezivanje računala u VLAN mrežu [9] ................................................................. 23 Slika 6: Povezivanje odvojenih VLAN-ova trunk linkom [10] .............................................. 24
Slika 7: Podjela sučelja usmjernika na podsučelja [11] ......................................................... 25 Slika 8: Trunk link [18] ........................................................................................................ 30
Slika 9: Format 802.1 Q zaglavlja [20] ................................................................................. 31 Slika 10: Opis polja ISL zaglavlja [22] ................................................................................. 32
Slika 11: IEEE 802.1q zaglavlje [23] .................................................................................... 34 Slika 12: Sučelje mrežnog simulatora Packet Tracer [25] ...................................................... 39
Slika 13: Uspostavljanje SA udruživanja prema ISAKMP protokolu unutar IKE protokola
[32] ...................................................................................................................................... 42
Slika 14: Prikaz simulirane mreže kod kvantitativne usporedbe IKE i IKEv2 protokola [34]. 44 Slika 15: Uspostava sigurnosnog udruženja uz korištenje IKEv2 daemona [35] .................... 46
Slika 16: Arhitektura NAP metoda prisile [41]...................................................................... 51 Slika 17: Shema lokalne mreže ............................................................................................. 58
Slika 18: Message of the day ................................................................................................ 59 Slika 19: Konfiguracija console 0 ......................................................................................... 60
Slika 20: Konfiguracija vty ................................................................................................... 60 Slika 21: Konfiguracija konzolnog i vty ulaza....................................................................... 61
Slika 22: Service password-encryption ................................................................................. 61 Slika 23: Konfiguracija konzolnog i vty ulaza....................................................................... 61
Slika 24: Dekriptiranje cisco 7 lozinke.................................................................................. 62 Slika 25: Postavljanje lozinke za Privileged mod .................................................................. 62
Slika 26: User i Privileged mod ............................................................................................ 63 Slika 27: Generiranje 1024 bitnog ključa .............................................................................. 64
Slika 28: Konfiguracija SSH protokola za sve ulazne vty linije ............................................. 65 Slika 29: Postupak daljinskog spajanja ................................................................................. 65
Slika 30: Show vlan .............................................................................................................. 68 Slika 31 ................................................................................................................................ 69
Slika 32: Shema VLAN - ova ............................................................................................... 70 Slika 33: Prikaz sučelja ......................................................................................................... 71
Slika 34: Prikaz ugašenih portova ......................................................................................... 72 Slika 35: Sigurnosne postavke portova ................................................................................. 72
Slika 36: Etherchannel .......................................................................................................... 73 Slika 37: Channel-group 2 .................................................................................................... 74
Slika 38: Login block ........................................................................................................... 75 Slika 39: INTER-VLAN usmjeravanje ................................................................................. 75
Slika 40: INTER-VLAN usmjeravanje ................................................................................. 76 Slika 41: Konfiguracija ACL liste ......................................................................................... 77
Slika 42: ACL lista ............................................................................................................... 78 Slika 43: Primjena ACL lista ................................................................................................ 79
Slika 44: DHCP konfiguracija .............................................................................................. 80 Slika 45: DHCP zahtjev ........................................................................................................ 81
Slika 46: Konfiguracija STP protokola ................................................................................. 83 Slika 47: BPDU Guard ......................................................................................................... 84
10
Slika 48: CDP protokol ......................................................................................................... 85
Slika 49: Konfiguracija native vlan ....................................................................................... 87 Slika 50: Telnet test .............................................................................................................. 87
Slika 51: Enable secret.......................................................................................................... 88 Slika 52: Port shutdown ........................................................................................................ 89
Slika 53: Port security........................................................................................................... 89 Slika 54: Test usmjerivač ...................................................................................................... 90
Slika 55: Ping 1 .................................................................................................................... 90 Slika 56: Ping 2 .................................................................................................................... 91
Slika 57: Server Razvoj ........................................................................................................ 91 Slika 58: Server Računovodstvo i administracija .................................................................. 92
Slika 59: Razvoj – Računovodstvo ....................................................................................... 92
Popis tablica:
Tabela 1: Primjer pripadnosti priključaka preklopnika pojedinim VLAN-ovima ................... 35
Tabela 2: Primjer pripadnosti protokola pojedinim VLAN-ovima ......................................... 36 Tabela 3: Primjer pripadnosti MAC adresa pojedinim VLAN-ovima .................................... 36
Tabela 4: Popis uređaja, sučelja, ip adresa, sabnet maski i pristupnika .................................. 40
11
1. POZADINA PRISTUPA MREŽAMA
Zbog brzog razvoja informacijskih sustava i općenito online poslovanja, organizacije
sve više ovise o IT tehnologiji te se suočavaju sa sve većim izazovima na području
informacijske sigurnosti. Radi se o tome da napadi na IT sustav mogu dovesti do velikih
prekida u poslovanju što rezultira smanjenjem produktivnosti te financijskim gubicima. Slabe
sigurnosne granice omogućuju češći nedozvoljeni pristup podacima te unutarnje napade na IT
sustav, što povećava rizik da organizacija pretrpi gubitke u vidu intelektualnog vlasništva te
da se razotkriju povjerljive informacije. Stoga se uvode novi zakoni i propisi koji zahtijevaju
specifične sigurnosne politike i procedure.
Poteškoće s primjenom sigurnosnih procedura i politika na uređaje koji se spajaju na
internu mrežu sve su veće, zbog sve kompleksnijih prijetnji sigurnosti sustava organizacije,
koje se moraju rješavati ograničenim IT resursima. Uslijed sve sofisticiranijih prijetnji
sigurnosti sustava, obrana samo od vanjskih napada nije više dovoljna. Organizacije nisu
zatvoreni entiteti s jasno određenim sigurnosnim granicama, nego se stvaraju mreže bez jasno
određenog prava pristupa. Zbog toga postoji velika potreba za internim sigurnosnim
sustavima koji moraju biti kompleksniji i integriraniji nego ikada prije.
1.1. Teorije i prakse pristupa mrežama
Prvi praktični korak u izgradnji svake računalne mreže je strukturno kabliranje.
Strukturno kabliranje je skup pravila i standarda koji određuju na koji način je potrebno
izvesti postavljanje pasivne mrežne opreme koja uključuje kablove, utičnice u radnom
prostoru na koje se spajaju računala, te prospojne točke u mrežnim ormarima na mjestu
12
koncentracije svih mrežnih priključaka. Skup standarda definira tipove kablova, dopuštene
udaljenosti, tj. dužine kablova, pravila za terminaciju kablova i tipove priključaka na
kablovima. Osim pravila za planiranje i postavljanje pasivne mrežne opreme, standardi
propisuju i minimalne zahtjeve koje kod postavljanja pasivna mrežna oprema mora
zadovoljavati. Osnovna ograničenja se odnose na dopuštene dužine kablova, no standardi
određuju i ograničenja koja se odnose na električne karakteristike postavljene instalacije. Kao
primjer može se navesti jedan od parametara koji instalacija mora zadovoljavati. Standard
propisuje tzv. "Insertion loss" koji je mjera gubitka signala, a koji nastaje u prijenosnom
mediju između predajnika i prijemnika. Često se naziva "Atenuacija". Izražava se u dB
relativno primljenoj razini signala. Mjeri se za sve parove kabla na 20 ± 3°C pri čemu je
moguće uzeti korektivni faktor od 0.4%/°C na temperaturu od 20 °C. Strukturno kabliranje je
vrlo važan korak u izgradnji računalne mreže te mu je potrebno posvetiti posebnu pažnju
prilikom implementacije. Polaganje mrežnih kablova, postavljanje ormara i priključnih mjesta
u radnom prostoru često zahtijeva građevinske radove te je ovaj korak potrebno vrlo pažljivo
planirati i kvalitetno implementirati. Eventualne greške i propusti koje se otkrivaju nakon
implementacije tijekom ispitivanja instalacije i njezine usklađenosti sa standardima, mogu
znatno produžiti rokove i podići cijenu izvedbe. Smatra se da je strukturno kabliranje
izvedeno te da je izvedena infrastruktura sukladna navedenim standardima, kada je kabliranje
je izvedeno koristeći pasivnu mrežnu opremu kategorije 5e ili kategorije 6. Navedene
kategorije kablova i općenito pasivne mrežne opreme omogućavaju korištenje 100BASE-TX
Ethernet standarda i 1000BASE-T Ethernet standarda pri čemu je preporučljivo koristiti
pasivnu mrežnu opremu kategorije 6. ISP router je mrežni uređaj koji se nalazi u prostorijama
korisnika a najbliže je davatelju usluga pristupa Internetu. Iako se nalazi u prostoru korisnika,
često je taj uređaj u vlasništvu davatelja usluga i u njegovoj je nadležnosti, no to nije nužno
pravilo i ovisi o samom davatelju usluga pristupa Internetu. Davatelj usluga taj uređaj
podešava za korisnika te mu daje određeni broj javnih IP adresa na korištenje. Dodijeljeni broj
IP adresa može se kretati od jedne do teoretski najviše 224 što iznosi 16,777,216 IP adresa u
slučaju kada je korisniku pridijeljena A klasa IP adresa što je u današnje vrijeme u praksi
gotovo nemoguće. Razlog tome je iscrpljenost adresnog prostora. Na prvi pogled se možda
ova brojka čini velikom no potrebno je uzeti u obzir da svaki korisnik Interneta, svaki
poslužitelj i općenito svaki uređaj koji se spaja na Internet mora imati jedinstvenu IP adresu.
Iskoristivi broj IP adresa smanjuju mehanizmi i protokoli koji su nužni za njihovo korištenje.
Upravo zbog tih razloga vrlo je vjerojatno da će korisnik imati na raspolaganju manji broj IP
adresa u opsegu od 20 do 25 najviše. [1] U ovom radu pretpostavljamo da korisnik ima jednu
13
ili najviše osam javnih IP adresa za korištenje. Potrebno je napomenuti da od navedenih osam
IP adresa ostaje zapravo samo pet na korištenje korisniku. Dvije su potrošene automatski kao
adresa mreže i broadcast adresa za korisnikovu mrežu a treća je IP adresa koju koristi ISP
usmjernik. Pitanje koje se postavlja ovdje je na koji način spojiti istovremeno 100 računala na
Internet s samo 5 raspoloživih javnih IP adresa ako svako računalno mora imati jedinstvenu
IP adresu? Odgovor na ovo pitanje sadržan je u tome da kako bi se riješio problem manjka IP
adresa na ISP, na usmjernik s korisnikove strane može se spojiti još jedan usmjernik koji je u
nadležnosti korisnika čija je zadaća da omogući računalima u lokalnoj mreži pristup Internetu
i pored nedostatka IP adresa. Zadaću ovog, drugog, usmjernika može obavljati samo jedan
usmjernik, npr. ISP usmjernik, no ovdje se razmatra slučaj kada to nije moguće ili iz nekog
razloga nije poželjno. Jedan od mogućih slučajeva je uspostava demilitarizirane zone (DMZ)
za poslužitelje. To je slučaj kada korisnik unutar svojeg adresnog prostora ima poslužitelje
koji su direktno spojeni na ISP usmjernik. Poslužitelji se mogu postaviti i iza drugog
usmjernika koji je podešen tako da se omogući pristup tim poslužiteljima s javnim IP
adresama, no ovakva razmatranja prelaze okvire ovog rada. Prednosti korištenja PC računala
kao usmjernika su ujedno i nedostatci navedenog rješenja. U širem kontekstu za računala
može se reći da je PC računalo stroj općenite namjene te kao takvo nije automatski
pripremljeno za upravljanje mrežnim prometom za razliku od hardverskih usmjernika. Kako
bi ga pripremili za upravljanje mrežnim prometom, na njega je potrebno instalirati operacijski
sustav te dodatne alate koji to podržavaju. Primjer takvih operacijskih sustava su svi
operacijski sustavi izgrađeni na Linux jezgri. Posljednji mrežni uređaj na koji se spajaju
računala je komutator. Komutator se s jedne strane spaja na Linux NAT usmjernik a s druge
strane se na njega spajaju računala. [2]
1.2. Kontrolirani pristup lokalnoj mreži
Iako Internet nije novotvorina, prihvatljivo grafičko sučelje usmjereno običnom
korisniku prema HID načelima (Human Interface Device), učinilo ga je 'odjedanput' vrlo
popularnim i raširenim, gotovo neizbježnim načinom komunikacije. Kako lokalne mreže osim
svojih internih protokola, kao NetBEUI ili IPX / SPX ili neki drugi, za komunikaciju prema
svijetu kao i unutar svoje infrastrukture koriste TCP / IP protokol i one su sastavni dio
Interneta. Kako ipak imaju neke svoje osobitosti nazivaju se intranet, ili jednostavnije Internet
na malo.
14
Pojava Windows 9X i Windows NT operativnih sustava s implementiranim TCP / IP
skupom protokola ponukala je proizvođače programske potpore za izradu klijentskih i
serverskih aplikacija svih vrsta, u čemu su se posebni istakli NETSCAPE i IE, ako po ničem
drugom onda po znamenitom međusobnom nadmetanju.
Administratori lokalnih mreža uspješno su iskoristili TCP / IP skup protokola (HTTP, FTP,
SMTP, POP3, NNTP i druge) da u svojoj lokalnoj mreži omoguće razmjenu e-mail poruka,
pristup WEB dokumentima, transfer datoteka i ostalo. Realizirano u vidu više fizički
odvojenih računala kao poslužitelja ili u samo jednom poslužitelju sa svim navedenim
mogućnostima, skupa s radnim postajama koje im mogu pristupiti, tvore mali lokalni Internet-
intranet. [3]
Intranet je u suštini u funkciji same tvrtke, ustanove ili neke organizacije za njezine
vlastite potrebe, ali s mogućnosti nadziranog pristupa izvana i prema vani. Kako su već
poprilično sve poslovne aplikacije tipa Microsoft OFFICE ili LOTUS DOMINO WEB-olike,
njihova uporaba vrlo je jednostavna i gotovo dostupna svima. Da bi se uopće lokalna mreža
mogla ponašati kao Internet, WEB poslužitelj je nužan. Svi ostali samo obogaćuju
mogućnosti. Struktura jedne lokalne mreže - LAN (Local Area Network), mogla bi izgledati
kao na narednoj slici.
15
Slika 1: Lokalna mreža povezana na internet [4]
Mrežna infrastruktura, na slici prikazana crvenom bojom samo je ilustracija protoka
podataka, a ne njihova fizička struktura (UPS, switch, hub i drugo). Vezu sa svijetom
omogućava usmjerivač (router). Kako na navedeni način lokalna mreža postaje meta svakog
znatiželjnika u svijetu, a potrebno je neke sadržaje lokalno zaštiti a nasuprot tome druge u
svrhu promidžbe ili prodaje učiniti pristupačnima, osobit problem koji se nameće je sigurnost
lokalnog sustava. Postavljanjem 'Firewall' sustava lokalnim korisnicima se može omogućiti
ograničen pristup Internetu, a dolazeći zahtjevi s Interneta mogu se usmjeriti samo na
određene sadržaje koji ne sadrže nikakve poslovne tajne. Firewall zaštitni sustav
podrazumijeva uporabu PROXY poslužitelja da bi se moglo komunicirati s Internetom.
Administracijom firewall-a omogućiti će se pojedini port-ovi ili će se djelomično ili potpuno
onemogućiti. Dio zaštite obaviti će se konfiguracijom usmjerivača a dio dodjelom
odgovarajućih prava na pojedine sadržaje poslužitelja. Kako WEB tehnologija kao temelj
pregleda dokumenata i komunikacije nije ovisna o platformi na kojoj se koristi te zbog
izuzetne fleksibilnosti omogućava međusobno povezivanje raznolikih sustava. Naizgled rasut
16
sustav utemeljen na različitim operativnim sustavima i programskom potporom tipa 'office'
može se pretočiti u jedinstveno funkcionalno okruženje.
Vezano za odgovor na pitanje što sve intranet omogućava, radi se o tome da
omogućava gotovo iste usluge kao na Internetu, ali na lokalnom nivou, u funkciji uspješnije
komunikacije a time i poslovnosti po svim segmentima informacijskog sustava. 25%
uspješnih svjetskih tvrtki već ga koristi a oko 50% ga implementira. Za ostalih 25% nema
nade ako se ne okrenu budućnosti. Aplikacije za grupni rad (groupware) su relativno nove, ali
vodeći proizvođači programske potpore (kao Lotus i Novell) počeli su izrađivati mrežne
aplikacije kojima je glavni komunikacijski protokol upravo HTTP. Uspješne velike kompanije
već imaju na stotine vlastitih poslužitelja različite namijene sa stotinama tisuća HTML
dokumenata na njima. HTML kao standard svakodnevno se dorađuje i napreduje te nudi sve
više mogućnosti. Integrira tekst, sliku i film u najjednostavnijem smislu. Klasična LAN mreža
postaje sve više intranet. [4]
Veličina lokalne mreže je relativan pojam. Osnovna razlika između Interneta, velikog
intraneta, i malog intraneta je u strukturi i funkciji. Iako je koncept u osnovi isti, razlika je
između mase i klase. Široki korisnički intraneti teže ponuditi sve stvari svim ljudima zbog
svih razloga, dok dimenzionirani intraneti, za npr. određenu tvrtku, fokusirani su na konačan
broj ljudi koji zahtijeva određen raspon mogućnosti kako bi se postigli zadani ciljeve. Internet
nije u vlasništvu ni jedne tvrtke ili osobe dok je intranet privatna mreža tvrtke ili organizacije
kojem pristup imaju samo osobe s ovlaštenjem za razliku od Interneta kojem ima pristup
svaka osoba koja ima odgovarajuće tehničke mogućnosti (modem na računalu kod kuće je
dovoljan).
Samo uvođenje intraneta za svaku organizaciju predstavlja sigurnosni rizik ali i
nužnost u uvjetima elektroničkog poslovanja. Povećava se vjerojatnost namjernih ili slučajnih
incidenata budući da se podacima može pristupiti s velikog broja lokacija što je i jest značaj
intraneta. Osobe koje mogu uzrokovati takve sigurnosne incidente mogu biti sami
namještenici tvrtke, suradničke tvrtke, klijenti te hakeri. Ipak, ne postoji jedinstveno sredstvo
kao rješenje sigurnosnog problema intraneta i zaštita rada u mreži pa se za smanjene
sigurnosnih rizika najčešće koriste vatrozid (firewall), enkripcija i autentifikacija. Najveća
sigurnost postiže se kombinacijom sklopovskih, programskih, organizacijskih i
administrativnih rješenja. I vratar na porti ustanove, uz jasno definirane zadaće dio je
kvalitetne sigurnosne politike.
Računalna mreža pod nazivom intranet je, dakle, samostojna, interna (na razini jedne
organizacije) računalna mreža koja korisnike povezuje pomoću Internet tehnologija. Zapravo,
17
intranet stavlja ogradu oko bezgraničnog Internet teritorija, uspostavljajući 'lokalnu' mrežu s
kontroliranim pristupom u kojoj korisnici mogu komunicirati na isti način kao na Internetu.
Najčešće tu mrežu sačinjavaju računala jedne organizacije, a često je izgrađena oko World
Wide Web sučelja, koje omogućava komunikaciju između autoriziranih korisnika bez obzira
na platformu ili operativni sustav na kojem rade, u realnom vremenu.
Svaki uređaj u mreži ima svoju jedinstvenu IP adresu. No, ponuditelj usluge spajanja
za Internet često nije u mogućnosti omogućiti cijelu klasu adresa korisniku na uporabu, te se u
tom slučaju pribjegava NAT (Network Address Translation) mehanizmu prebacivanja javnih
adresa u privatne što omogućava lokalu uporabu bilo koje od klasa računala. Za javne adrese
kaže se da je to 'vanjska' mreža, a za privatne adrese da je to 'unutarnja' mreža. O tome obično
brine namjenski uređaj router / firewall koji osim prevođenja IP adresa ima i ostale elemente
zaštite unutarnje mreže, kao što je zaštita od DoS napada i slično. Prema shemi na slici
poslužitelji su u unutarnjoj mreži. No to ne znači da se u NAT uređaju ne može konfigurirati
da se jedna javna adresa prevodi uvijek u istu privatnu adresu, što automatski poslužitelj s
takvom adresom čini javno dostupnim. Dakle, radi se o logičkoj podijeli adresnog prostora u
dvije zone: javnu-vidljivu i privatnu-nevidljivu, a korištenjem iste fizičke infrastrukture. No
javna-vidljiva adresa, na koju je moguće spojen javni web-poslužitelj, ostaje pod kontrolom
uređaja koji podržava NAT i koji vrši nadzor prometa. Iako je poslužitelj javno dostupan,
dodatno je zaštićen. Ova zona-skup javno-vidljivih adresa naziva se DEMILITALIZIRANA
ZONA (DMZ - DeMilitarized Zone). Koju od klasa uporabiti za NAT ovisi o mogućnostima
router/firewall uređaja. Jedan Windows poslužitelj s dvije mrežne kartice može se uporabiti za
NAT uz nadzor cijelu jedne privatne A klase, a pomoću LINUX poslužitelja s dvije ili više
kvalitetnih mrežnih kartica i besplatnom programskom potporom za firewall (vatrozid), kao
SHOREWALL, može se ostvariti učinkovit i jeftin NAT-firewall uređaj, ali i siguran ako se
prijava na njega omogući samo s KONZOLE.
Intranet je u osnovi privatna mreža neke ustanove ili firme. Pomoću vatrozida može se
organizirat tako da je u potpunosti 'nevidljiva' za ostale učesnike Interneta, ili su prema svijetu
vidljivi samo neki od mogućih resursa. Sve ovisi o vrsti poslovanja vlasnika LAN-a. No može
se dogoditi da vlasnik mreže ima potrebu povezati se sa svojom drugom dislociranom
mrežom ili omogućiti poslovnom partneru pristup dijelu svoje mreže. Takva dislocirana
struktura naziva seEXTRANET (EXtended inTRANET) i s matičnom mrežom povezana je
preko već postojeće javne mrežne infrastrukture, ali je cjelokupni promet kriptiran.
Extranet predstavlja elektroničko poslovno povezivanje među organizacijama zasnovano na
Internetskim otvorenim standardnim protokolima. Korištenjem extraneta organizacije mogu
18
dijeliti privatne i tekuće informacije pohranjene na svojim intranetima sa svojim poslovnim
suradnicima. Extranet se može koncipirati kao uzajamni i središnji. U uzajamnom extranetu
svaka od organizacija omogućuje svom partneru pristup specifičnim organizacijama sa svog
intraneta, dok u središnjem extranetu jedna organizacija omogućuje svojim poslovnim
suradnicima pristup njenim informacijama.
Kada se više dislociranih LAN-ova međusobno povezuje u jedinstvenu mrežu preko
već postojećih javnih mrežnih sustava, ali je promet između njih kriptiran i koriste se jaki
sigurnosni mehanizmi, rabi se termin VPN (Virtual Private Network) - virtualna privatna
mreža kojoj je cilj lako i jeftino povezivanje dislociranih lokalnih poslovnih sustava.
Prijenosno računalo koristiti će VPN programsku potporu za vezu s matičnom ustanovom
preko javne Internet infrastrukture.
Namjenski mrežni sustav Storage Area Network - SAN, vrlo brza skalabilna mreža za
spajanje računala predviđenih za pohranu podataka (poslužitelji sa SAS diskovima
u RAID polju na primjer), najčešće bazirana na optičkoj tehnologiji umrežavanja, ne može se
strogo svrstati u LAN, MAN ili WAN. Vrlo brze optičke komunikacije omogućavaju da to
bude i van infrastrukture lokalne mreže, raspoloživo za više ustanova i za različite funkcije.
Takav sustav koristi računalni CLUSTER 'Isabella', za potrebe znanstvenog istraživanja
unutar projekta 'CRO-GRID Infrastruktura' kojeg vodi SRCE, Pa ako je to već brza
podatkovna mreža odvojena od lokalne mreže s moćnim računalnim resursima, može se
'izvana' promatrati kao jedan entitet koji funkcionira kao super-računalo.
SAN nudi ogromne diskovne resurse za uporabu, ali pod nadzorom operativnog
sustava uređaja koji ga nadzire, što znači da je datotečni sustav kojeg koristi operativni sustav
nadzornog uređaja u biti i datotečni sustav SAN sustava.
Za SOHO (Small Office / Home Office) okruženje prihvatljiviji
je NAS(Network Attached Storage) sustav. NAS ima svoj operativni sustav pa time i vlastiti
datotečni sustav koji nadzire diskove. Windows OS korisnika moguće ne bi ni znao što će s
njim. Zato se na korisnikov sustav instalira posebna 'klijentska' programska potpora kako bi
NAS bio raspoloživ. To znači da je NAS nezavisan od operativnog sustava (OS) korisnika, ali
OS korisnika mora imati programsku potporu koja će omogućiti komunikaciju s NAS-om.
Dakle, NAS posredstvom mrežne infrastrukture mogu koristiti različiti OS-ovi računala
(Windows, Linux, MAC OS ...), ali uz uvjet da imaju odgovarajuću programsku potporu za
pristup. Ovo podosta podsjeća na Novell-NetWare korisnik-poslužitelj (client-server)
koncepciju. [5]
19
2. KOMPARATIVNI PREGLED ZNAČAJKI
VIRTUALNE LOKALNE MREŽE U
VREMENSKOJ PERSPEKTIVI
2.1. Pojam LAN segmenata
Krajnji uređaji, hubovi i repeateri čine LAN segmente koji se isto tako definiraju kao
kolizijska domena, kolizija ostaje unutar istog segmenta. Područje unutar kojeg su zadržane
broadcast i multicast poruke se zove broadcast domena ili LAN segment. Znači LAN se može
sastojat od više LAN segmenata. Ovisno o načinu spajanja uređaja posrednika (hub, repeater,
bridge, switch, router) definiraju se kolizijske i broadcast domene, što nas dovodi do
zaključka da se LAN mora nalazit na istom fizičkom području. [6]
2.2. Definicija i značajke virtualne lokalne mreže
Virtualna lokalna mreža (VLAN) je grupa uređaja sa zajedničkim zahtjevima u
komunikaciji koji su grupirani u istu podmrežu (eng. Subnet). Vlan predstavlja broadcast
domenu bez obzira na fizičku lokaciju uređaja unutar istog VLAN-a. Znači jedna od prednosti
VLAN-ova je u mogućnosti grupiranja uređaja u istu mrežu (brodacast domenu, subnet) bez
potrebe mijenjanja fizičke topologije mreže. Ako uzmemo u obzir mrežu organizacije u kojoj
nisu implementirani VLAN-ovi , a postoje potreba skaliranja, samo uključivanje dodatnih
uređaja zahtjeva i izmjenu dizajna fizičke topologije.Što može značiti i dodatni trošak
kabliranja i opreme koja je potrebna u takvoj mreži. VLAN-ovi nam daju fleksibilnost u
održavanju, ali i u skaliranju odnosno fizičku mrežu može se „modelirati“ u bilo kakvu
logičku mrežu. Implementacijom VLAN-ova osim što je pojednostavljeno skaliranje,
podižemo i razinu sigurnosti razdvajanjem prometa (komunikacije) između VLAN-ova,
rješavamo nepotrebno nakupljanje broadcast prometa i time povećavamo performanse,
pojednostavljujemo administraciju i smanjujemo troškove mreže. [7]
Do pojave VLAN-ova jedini način blokiranja takvog prometa je bio moguć uređajem
koji radi na trećem sloju (OSI model) npr. routerom. Znači da bi blokirali broadcast ili
multicast poruke i tako riješili nepotrebni gubitak bandwidtha moramo odvojiti broadcast
domene ruterom ili kreirati dodatne podmreže. VLAN-ovi omogućavaju mrežnom
administratoru logičko segmentiranje LAN-a u različite broadcast domene, a pošto je
segmentiranje logičko uređaji u istom logičkom segmentu ne moraju biti na fizički istim
20
lokacijama. Znači da korisnici u različitim sobama, katovima, zgradama, gradovima... mogu
pripadati istom logičkom segmentu odnosno VLAN-u. VLAN-ovi dozvoljavaju kreiranje
broadcast domena bez korištenja uređaja trećeg sloja OSI modela kao što je router. Ipak za
komunikaciju između VLANova moramo koristiti uređaj trećeg sloja.
Slika 2: Segmentacija radnih stanica u dva VLAN-a [7]
Na slici je prokazana logička segmentacija radnih stanica u dva VLAN-a. Uređaji u
plavom VLAN-u (VLAN 100) slanjem broadcast ili multicast poruka dostavljaju samo poruke
uređajima istog VLAN-a, isto vrijedi i za uređaje crvenog VLAN-a (VLAN 200).
2.3. Princip rada VLAN-ova
U trenutku kada switch dobije dolazni promet, svaki frame (drugi sloj OSI modela) se
tagira VLAN tagom koji identificira kojem VLAN-u promet pripada. Ovakav način
označavanja se zove eksplicitno tagiranje. Frameove je moguće i implicitno tagirati, što se
odrađuje preko portova koji primaju promet na način da svaki switch točno zna kojem
VLAN-u koji port pripada.
Dva pristupa za uključivanje uređaja u VLAN su: [8]
1. Statičko dodjeljivanje
2. Dinamičko dodjeljivanje
U večini slučajeva VLAN-ovi se kreiraju na switchevima na način da se portovi
(interfacei) dodjeljuju odgovarajućim logičkim grupama (VLAN-ovima), gdje svaki switch za
21
svaki dolazni promet točno zna kojem VLAN-u port pripada. Međutim tagiranje frameova se
može bazirati osim po portovima, prema polju MAC (Media Access Control) adresa, prema
izvornoj adresi mreže ili preko drugih polja, kao protokolima adresiranja ili kombinacije
različitih polja framea i paketa.
Tipovi VALNova:
1. Sloj 1 VLAN: pripadnost po portu (interface)
2. Sloj 2 VLAN: pripadnost po MAC adresi
3. Sloj 2 VLAN: pripadnost po tipu protokola
4. Sloj 3 VLAN: pripadnost po IP adresi mreže
Viši slojevi: pripadnost po vrsti apliakcije, servisa ili kombinacji
22
Slika 3: Primjer kreiranih VLAN-ova baziranih na sloju 1 [8]
Slika 4: Prikaz dvije zasebne lokalne mreže [8]
23
2.4. Povezivanje računala u VLAN mrežu
Slika 5: Povezivanje računala u VLAN mrežu [9]
Na slici je prikazan preklopnik na kojem postoje tri VLAN-a. Na preklopnik je
spojeno 6 računala, odvojenih u različite VLAN-ove. Svako računalo vidi samo ono računalo
koje se nalazi u istom VLAN-u. Bez "vanjske pomoći", podatak iz jednog VLAN-a ne može
prijeći u drugi VLAN. Da bi podatak prešao iz jednog VLAN-a u drugi, potrebno je isto ono
što je potrebno i da bi prošao iz jednog LAN segmenta u drugi – preusmjeravanje podataka.
[9]
2.5. Povezivanje istih VLAN mreža preko više preklopnika
VLAN mreža može se kreirati tako da obuhvaća više povezanih preklopnika.
Povezivanje računala u VLAN mrežu obavlja se konfiguracijom preklopnika. Portovi na
preklopniku se u odgovarajući VLAN smještaju statički. Administrator mreže mora za svaki
port odrediti pripadnost određenom VLAN-u. Ako se želi povezati iste VLAN-ove na fizički
različitim preklopnicima, potrebno je koristiti trunk linkove.
24
Slika 6: Povezivanje odvojenih VLAN-ova trunk linkom [10]
Na slici su prikazana 2 preklopnika koji u povezani trunk linkom te je definirano koji
VLANovi se propuštaju. Na taj način računala spojena npr., VLAN 5 preklopnika br. 1 i
računala spojena na VLAN 5 preklopnika br. 2, mogu komunicirati međusobno kao da su
spojeni u lokalnu mrežu. Portovi preklopnika koji se nalaze u različitim VLAN-ovima ne
mogu komunicirati izravno, već im je za to potreban uređaj koji radi na mrežnoj (L3) razini
(usmjernik ili L3 preklopnik). Kada preklopnik dobije označeni okvir preko trunk veze,
uklanja oznaku prije slanja na access port. Preklopnik šalje okvir jedino ako je access port
član istog VLAN-a kao i označeni okvir. Da bi se smjestio neoznačeni promet, koristi se
posebni VLAN nazvan native VLAN. Neoznačeni promet primljen na DOT1Q trunk portu
automatski se prebacuje u native VLAN. Na Ciscovim Catalyst preklopnicima po defaultu je
VLAN 1 native VLAN. Bilo koji VLAN se može postaviti kao native; mora se jedino voditi
računa o tome da je isti postavljen na oba kraja DOT1Q trunk veze. Ukoliko bi bili drugačiji,
postoji mogućnost pojave spanning-tree petlje zbog nepodudaranja native VLAN-a na oba
kraja. Za postavljanje VLAN-a kao native, na DOT1Q trunk portu se koristi naredba DOT1Q
native vlan broj. [10]
2.6. Povezivanje različitih VLAN-ova
Iako se VLAN-ovi mogu prostirati preko nekoliko preklopnika, samo članovi istog
VLAN-a mogu komunicirati. Uređaj trećeg sloja OSI modela se koristi za komunikaciju
između različitih VLAN-ova. Veza između preklopnika, veza usmjernika i preklopnika se
može napraviti postavljanjem posebnih veza za svaki VLAN posebno ili ekonomičnije, spojiti
s jednom vezom; na portu preklopnika konfigurirati trunk vezu a na portu usmjernika uključiti
podsučelja. Podsučelja dijele jedno fizičko sučelje u više logičkih veza. Za svaki VLAN je
potrebno aktivirati na usmjerniku po jedno podsučelje, te uključiti DOT1Q enkapsulaciju. Na
25
taj način svako podsučelje (i svaki VLAN) ima svoju vlastitu logičku vezu i zadani pristupnik
(default gateway).
Slika 7: Podjela sučelja usmjernika na podsučelja [11]
2.7. Značajke VLAN članstva
Administratori dodjeljuju članstvo u VLAN-u statički ili dinamički. [11]
2.7.1. Statičko VLAN članstvo
Statičko VLAN članstvo zahtjeva od administratora da ručno dodjeli pojedini port
preklopnika pojedinom VLAN-u. Npr. ukoliko je na portu Fa0/1 dodjeljen VLAN 20, bilo
koji uređaj koji se spoji na port Fa0/1 automatski postaje član VLAN-a 20. Ovakvo VLAN
članstvo je najednostavnije za postaviti, te je najpopularnije, iako zahtjeva najviše potpore od
administratora kod dodavanja, mjenjanja ili premještanja. Npr. ukoliko se želi premjestiti host
iz jednog VLAN-a u drugi, potrebno je ručno promjeniti VLAN postavke za port preklopnika,
ili kabel uređaja priključiti u drugi port preklopnika postavljen na drugi VLAN.
2.7.2. Dinamičko VLAN članstvo
Dinamičko VLAN članstvo zahtjeva VMPS (VLAN Management Policy Server).
VMPLS sadrži bazu podataka koja mapira MAC adrese sa pripadajućim VLAN-ovima. Kada
26
se uređaj priključi na port preklopnika,VMPS traži postoji li MAC adresa zapisana u bazi te
privremeno dodjeljuje taj port odgovarajućem VLAN-u. U dinamičkom članstvu sva
premještanja, dodavanja i promjene su automatizirane te ne zahtjevaju dodatni rad
administratora. Bilo statičko ili dinamičko članstvo, maksimalni broj VLAN-ova ovisi o
modelu preklopnika i o njegovom IOS-u (Internetwork Operating System).
2.8. Prednosti i nedostatci VLAN mreža
U nastavku ovog poglavlja navedene su neke od glavnih prednosti upotrebe VLAN-
ova u računalnim mrežama.
2.8.1. Povećanje performansi mreže
U preklapanim mrežama grupiranje korisnika u VLAN-ove rezultira povećanjem
performansi mreže limitiranjem prometa na korisnike koji provode slične funkcije ili se
nalaze unutar individualnih grupa. Isto tako budući da se kreira manje prometa, to znači da se
i manje prometa usmjerava prema drugim mrežama što rezultira smanjenom latencijom koju
uzrokuju usmjerivači.
2.8.2. Olakšana administracija mreža
Uporabom virtualnih LAN-ova mreža s preklapanjem se logički segmentira (dijeli)
prema nekoj funkciji: organizacijskoj strukturi, radu na projektu ili prema tome koju
aplikaciju neki korisnik rabi, a ne prema fizičkoj odnosno zemljopisnoj lokaciji. Tako VLAN-
ovi pružaju jednostavniji, fleksibilniji i jeftiniji način administriranja mreža u okolinama koje
se konstantno i učestalo mijenjaju. Također, VLAN-ovi kod administriranja i održavanja
velikih mreža dopuštaju centraliziranu konfiguraciju krajnjih uređaja koji su fizički dislocirani
jedni od drugih.
2.8.3. Neovisnost o fizičkoj topologiji mreža
VLAN-ovi omogućavaju neovisnost o fizičkoj topologiji mreže dopuštajući grupiranje
korisnika na različitim lokacijama, pri čemu su oni logički spojeni u iste domene razašiljanja.
Ujedno ako se mijenja lokacija korisnika i krajnjih uređaja, jednostavnim dodjeljivanjem
priključaka na preklopniku pojedinom VLAN-u korisnik ostaje u svom VLAN-u.
27
2.8.4. Ograničenje razašiljanja prometa na VLAN-u
VLAN-ovi promet razašiljanja (eng. broadcast) zadržavaju samo unutar sebe. Iako na
jedan preklopnik može biti spojeno više krajnjih uređaja, ako oni ne pripadaju istom VLAN-u,
pakete koje jedno od računala pošalje neće dobiti sva ostala računala spojena na isti
preklopnik, već samo ona koja se nalaze u istom VLAN-u. Računala koja su spojena na jedan
preklopnik, a pripadaju različitim VLAN-ovima međusobno ne mogu komunicirati, osim ako
je to dozvoljeno. Da bi paketi mogli prolaziti između različitih VLANova potrebno je imati
L3 preklopnik ili usmjerivač koji će znati usmjeravati pakete s jedne mreže na drugu.
2.8.5. Zaštita od malicioznih korisnika
Pošto su u VLAN-ovima svi korisnici na jednoj podmreži, ako se jedan od njih zarazi
virusom ili nekim drugim malicioznim programom postoji velika mogućnost da se i ostali
korisnici tog VLAN-a isto zaraze. Ali u mrežama gdje nisu implementirani VLAN-ovi svi
korisnici na mreži mogu biti zaraženi malicioznim kodom, dok je kod mreža izvedenih
pomoću VLAN-ova prijetnja ograničena samo na dotični VLAN.
2.8.6. Povećana sigurnost mreže
Na usmjerivačima ili L3 preklopnicima se može implementirati kontrola prometa
između VLAN-ova. Na taj način je moguće već na mrežnom nivou zaštititi određene dijelove
mreže (npr. računovodstvo, dekanat,…). Primjer takve povećane sigurnosti je Blaster crv koji
tokom svog rada generira ogromnu količinu broadcast-a, koja je u ovom slučaju ograničena
samo na pripadajući VLAN. Računala koja su spojena na jedan preklopnik, a pripadaju
različitim VLAN-ovima međusobno ne mogu komunicirati. Da bi paketi mogli prolaziti
između VLAN-ova potrebno je imati usmjerivač koji će znati usmjeravati pakete s jedne
mreže na drugu. Ukoliko postoji nekoliko međusobno spojenih preklopnika te na njima
definirano nekoliko istih VLAN-ova potrebno je omogućiti promet između dva računala koja
se nalaze u istom VLAN-u, ali su spojena na različite preklopnike. Za to je potrebno koristiti
VLAN Trunking Protocol (VTP). Ovaj protokol omogućava da se preko jednog sučelja
prenosi promet svih VLAN-ova. Na Cisco uređajima u istu svrhu se može koristiti i ISL (eng.
Inter- Switch Link Protocol). [12]
28
2.8.7. Prioritiziranje mrežnog prometa
IEEE 802.1Q posjeduje mogućnost rada u tandemu s IEEE 802.1P standardom koji
omogućava prioritiziranje mrežnog prometa. Time je moguće povećati kvalitetu usluge
prijenosa mrežnog prometa. Svaki put kad se unutar preklopnika spremnici koji čuvaju
primljene mrežne pakete prepune, preklopnik može na temelju prioriteta koji su dodijeljeni
pojedinim mrežnim paketima, odrediti koje pakete treba početi prvo uklanjati. Takvim
načinom rada mrežni promet višeg prioriteta ima veću mogućnost dolaska na cilj. [13]
2.9. Glavi nedostatci upotrebe VLAN-ova
Iako se o VLAN-ovima prvenstveno razmišlja kao o unaprjeđenju postojećih mreža,
VLAN-ovi ipak imaju i svoje nedostatke od kojih su glavni razloženi u nastavku ovog
poglavlja.
2.9.1. Komunikacija između VLAN-ova
Računala koja se nalaze u kreiranim VLAN-ovima međusobno nisu vidljiva te ukoliko
se želi omogućiti međusobna komunikacija, potrebno je koristiti usmjerivač. Ukoliko je
potrebno da usmjerivač preusmjerava pakete iz jednog VLAN-a u drugi, mrežno sučelje
usmjerivača treba podijeliti na onoliko podsučelja koliko postoji VLAN-ova. Svakom od tih
virtualnih sučelja se dodjeljuje IP adresa iz raspona pojedinog VLAN-a i tu je ujedno adresa
predefiniranog izlaza (eng. default gateway) za taj VLAN. Osim adrese, na podsučelju je
potrebno definirati kojem VLAN-u pripada te koji trunking protokol podržava. [14]
2.9.2. Kompleksnost VLAN-ova
S povećavanjem računalne mreže bazirane na VLAN-ovima povećava se
proporcionalno i broj VLAN-ova te broj pripadnika pojedinih VLAN-ova. Također potrebno
je definirati i nove politike propuštanja prometa između VLAN-ova te modificirati postojeće.
Svime time raste ukupna kompleksnost konfiguracije i implementacije VLAN-ova. [15]
2.9.3. Noseći kapacitet usmjerivača
Ukoliko se usmjerivači koriste za usmjeravanje prometa između različitih VLAN-ova
tada se može pojaviti problem propusnosti usmjerivača. Kod velikih mreža koje imaju mnogo
VLAN-ova nije dobro da se za usmjeravanje koristi jedan usmjerivač zbog nemogućnosti
obrade velikih količina paketa. [16]
29
2.9.4. Neovlašteno uključivanje u pojedini VLAN
Ukoliko lokalni korisnici imaju mogućnost pristupa preklopniku koji određuje
pripadnost pojedinim VLAN-ovima, tada su oni u mogućnosti neovlašteno se uključiti u
VLAN u koji ne pripadaju. Ovaj slučaj moguć je kod VLAN-ova baziranih na priključcima
preklopnika koji su ujedno i najčešći oblik, a rješenje za to je korištenje nekog drugog sustava
VLAN-ova kao što je npr. sustav VLAN-ova baziranih na MAC adresama. [17]
3. TIPOVI KONEKCIJA U VLAN MREŽAMA
Uređaji u VLAN mrežama se mogu spojiti u mrežu na tri različita načina, ovisno o
uređajima koji su „svjesni“ VLAN tehnologije, uređajima prema kojima je transparenta („nisu
svjesni“) VLAN tehnologija i uređajima koji moraju poštovati odgovarajući VLAN format.
3.1. Trunk link
Svi spojeni uređaji moraju podržavat VLAN tehnologiju, moraju sadržavat specifični
format zaglavlja framea koji govori o pripadnosti VLAN-u. Moguće je konfigurirati trunk
linkove da filtriraju promet odgovarajućih VLAN-ova. Uključivanjem uređaja 3 sloja OSIa
kao što je Layer 3 Switch ili ruter na trunk link,omogućeno je preusmjeravanje (rutiranje)
prometa različitih VLAN-ova. [18]
3.2. Access link
Spojeni uređaji na ovaj tip linka ne podržavaju VLAN tehnologiju, a switch na koji je
vezan link može imati port bazirano dodjeljivanje linkova.
30
Slika 8: Trunk link [18]
Na slici je prikazan TRUNK link koji prenosi frameove različitih VLAN-ova, ali i ACCESS
portovi koji pripadaju odgovarajućem VLAN-u.
3.3. Hybrid link
Ovaj tip linka je kombinacija TRUNK i ACCESS linka na koji je moguće spojiti
uređaje koji podržavaju ili ne podržavaju VLAN tehnologiju. Odnosno, ovaj tip porta može
primiti tagirane ili netagirane frameove. Hibridni link se u prošlosti koristio za
implementaciju VLAN-ova u mrežama koje su uključivale hubove i repeatere, a koji ne
podržavaju VLAN tehnologiju, dok u današnjim mrežama se koriste u VoIP telefoniji. [19]
3.4. Identifikacija VLAN-a
Kod putovanja prometa s više VLAN-ova preko jedne veze, potrebna je VLAN
identifikacija tj. označavanje okvira. Za razlikovanje pripadnosti pojedinog podatka 802.1Q
standard koristi zaglavlje (header) koje unutar sebe sadrži informaciju o oznaci VLAN-a.
Dakle svi podaci koji se šalju kroz trunk link će se slati sa ovakvim zaglavljem te će se na
drugom kraju, tj. na odredištu u skladu s time svrstati u pravi VLAN. [20]
31
Slika 9: Format 802.1 Q zaglavlja [20]
Napomena: pojam trunk link, tj. trunk port je pojam koji koristi Cisco u svojoj
implementaciji. Drugi proizvođači mogu koristiti drugačije nazive.
4. PREGLED VLAN POTOKOLA I DIZAJNA
4.1. IEEE 802.1Q standard
Najčešći protokol koji se danas koristi u konfiguraciji VLAN-ova je IEEE 802.1Q
(Institute of Electrical and Electronics Engineers). IEEE 802.1Q standard definira metodu
multipleksiranja prometa različitih VLAN-ova u mrežama gdje je implementirana oprema
različitih proizvođača. U trenutku pojave 802.1Q standarda postojeći protokoli kao Cisco ISL
(Inter-Switch Link) i 3Com VLT (Virtual LAN Trunk) su podržavali mreže istog proizvođača
i nisu radili u mrežama koje su sačinjavali uređaji različitih proizvođača.
ISL i 802.1Q tagiraju promet eksplicitnom metodom, sam frame je tagiran s VLAN
informacijama. ISL koristi proces vanjskog tagiranja koji ne mijenja postojeći ethernet frame,
dok 802.1Q koristi polje koje se ubacuje unutar framea i tako ga mijenja. [21]
4.2. ISL standard
Inter-Switch Link (ISL) je Cisco standard, i radi samo na Cisco opremi, a omogućava
tagiranje i opisuje format framea za point-to-point linkove između uređaja, obično switcheva.
ISL dozvoljava implementaciju između switcheva, rutera, NIC (Network Interface Cards) koji
32
koriste krajnji uređaji kao serveri. Da bi ISL fukncionirao svaki uređaj na takvom linku mora
biti ISL kofiguriran. Svaki uređaj koji ne podržava ISL standard zaključit će da je došlo do
greške unutar framea, a odgovarajuća radnja je uništavanje takvog framea.
ISL radi na drugom sloju OSI modela enkapsulirajući (priprema) frameove sa novim
zaglavljem i novim ISL CRCom (cyclic redundancy check). Zbog specifične enkapsulacije
gdje ISL obuhvaća frame, gdje je originalni frame sačuvan unutar samog ISL formata čini ga
neovisnom o Data-link protokolu.
Svaki frame pripremljen ISL standardom dobija 26B zaglavlje i 4B CRC prije slanja.
Zaglavlje definira 10b identifikaciju što omogućava identificiranje 1024 VLANa (210
=1024),
dok broj podržanih VLANova definira hardware/software samog ISL uređaja. [22]
Slika 10: Opis polja ISL zaglavlja [22]
· DA - 40b multicast destinacijska adresa.
· Type - 4bopsinikenkapsuliranog tipa framea
o Ethernet (0000)
o Token Ring (0001)
o FDDI (0010)
o ATM (0011).
· User - 4bopisnik koji služi za definiranje prioriteta
o 0 - najniži prioritet
33
o 3najviši prioritet
· SA -48bizvorna MAC adresakoju koriste Catalyst switchevi
· LEN - 16bdužina framea minus DA type, user, SA, LEN, and CRC.
· AAAA03 - Standard SNAP 802.2 LLC (Logical Link Control) zaglavlje
· HSA - prva 3B SA uključuje identifikaciju proizvođača ili identifikaciju
organizacije
· VLAN - 15b VLAN ID –koriti se nižih 10b za identifikaciju VLANova
· BPDU - 1bopsinik koji identificira da li je BPDU (Bridge Protocol Data Unit)
frame koji se koristi unutar STP (Spanning Tree Protocol) protokola ili CDP (Cisco
Discovery Protocol) frame
· INDEX - 16bopsinik koji definira izvorni port
· RES - 16brezervirano polje za dodatne informacije kao što su Token Ring i Fiber
Distributed Data Interface (FDDI) frame Frame Check (FC) polje.
4.3. IEEE 802.1Q standard
IEEE 802.1Q standard je nadogradnja na standard IEEE 802.1. IEEE 802.1Q ili
skraćenog naziva dot1q standard se obično veže za enkapsulacijski protokol koji dozvoljava
kreiranje VLANova u Ethernet mrežama i rutiranje između VLAN mreža pomoću uređaja
Layer3 switcha ili rutera.
Frame koji putuje unutar istog VLANa kroz mrežu organizacije dobiva oznaku
VLANa na način kako je definiran 802.1Q standardom. [23]
34
Slika 11: IEEE 802.1q zaglavlje [23]
U dot1q standardu rezervirano je 12b za oznaku VLANa što daje ukupan mogući broj
od 4096 (212
=4096) mogućih VLANova po trunk linku.
TPID - Tag Protocol Identifier: 16b bitno polje postavljeno na heksa vrijednost 0x8100 ili
binarno 1000 0001 0000 0000 koji služe kao identifikator framea kao 802.1Q frame. Kod
netagiranih frameova se nalazi na polju EtherType/Size.
PCP - Priority Code Point: 3b polje koje definira 8 razina prioriteta, 0 kao najmanji i 7 kao
najviši. Može se koristiti za klasifikaciju prometa (zvuk, video, podaci itd.).
CFI - Canonical Format Indicator: 1b polje koje se koristi zbog kompatibilnosti Ethernet i
Token Ring mreža. U Ethernet mrežama CFI bit je postavljen na 1, a u Token Ring mrežama
na 0.
VID - VLAN Identifier: 12bpolje koje određuje u kojem VLAN-u frame pripada
4.4. Vrste VLAN-ova
Pridjeljivanje računala odnosno korisnika VLAN-ovima može se izvesti na nekoliko
načina koji su opisani u nastavku ovog poglavlja. [24]
35
4.4.1. VLAN-ovi bazirani na priključcima preklopnika
VLAN-ovi bazirani na priključcima preklopnika (eng. port based), tzv. statički ili
Layer 1 VLAN-ovi, obično se koriste u organizacijama kako bi omogućili smanjivanje
prometa razašiljanja te za povećanje sigurnost računalne mreže. Pripadnost pojedinog
računala određenom VLAN-u određena je dodjelom priključka preklopnika, na koji je to
računalo spojeno, tom definiranom VLAN-u. Time, uređaj postaje član određenog VLAN-a
na osnovu pripadnosti priključka na preklopniku tom definiranom VLAN-u. Implementacija
VLAN-ova baziranih na priključcima preklopnika je relativno jednostavna pošto nije potrebna
implementacija nikakvog protokola da bi se krajnji uređaj smjestio u odgovarajući VLAN.
Tijekom svog rada, krajnji uređaji ne znaju za postojanje VLAN-a, a grupa mrežnih korisnika
dodijeljena jednom VLAN-u formira zasebnu domenu razašiljanja koja je odvojena od ostalih
VLANova konfiguriranih na mreži. Paketi se prosljeđuju samo između priključaka
preklopnika koji prenose promet za konkretni VLAN. Promet razašiljanja između pojedinih
VLAN-ova je eliminiran na preklopnicima (osim ako se ne intervenira korištenjem Layer 3
uređaja) i širina propusnog sloja je sačuvana tako što se dopušta preplavljivanje paketa na
samo određene priključke preklopnika. [25]
Priključci na preklopniku se u odgovarajući VLAN smještaju statički i administrator
mora za svaki priključak odrediti pripadnost određenom VLAN-u. Na osnovu pripadnosti
pojedinom VLAN-u, priključci dobivaju Port VLAN ID (PVID) koji pokazuje njihovu
pripadnost odgovarajućem VLANu. Time je omogućena brza i jednostavna dodjela VLAN-a
krajnjem uređaju i ukoliko se korisnik preseli na drugi priključak, a želi imati isti VLAN kao i
prije, tada se mora obaviti pridjeljivanje priključka u odgovarajući VLAN, tzv. port-to-VLAN
dodjeljivanje.
Priključak na
preklopniku
VLAN ID
1 1 2 1 3 2 4 3 5 4 6 3 7 4 8 1
Tabela 1: Primjer pripadnosti priključaka preklopnika pojedinim VLAN-ovima
36
4.4.2. VLAN-ovi bazirani na tipu protokola
Mrežni promet se može razdvajati u pojedine VLAN-ove na temelju protokola koji se
koriste. Time pojedini protokoli bivaju smješteni u definirani VLAN. Preklopnici pri tome
koriste liste tipova protokola kako bi dodjeljivali korisnike u definirane VLAN-ove. Ovo je
jedan vrlo fleksibilan način povezivanja koji se bazira na programskoj konfiguraciji računala.
Promjenom konfiguracije i korištenih protokola korisnik sam mijenja pripadnost VLAN
mreži. U nekim je okolnostima ova osobina poželjna zbog svoje jednostavnosti, ali negdje
može biti i nepoželjna zbog sigurnosnih razloga.
Protokol VLAN ID
IP 1 PBX 2 VoIP 3
Tabela 2: Primjer pripadnosti protokola pojedinim VLAN-ovima
4.4.3. VLAN-ovi bazirani na MAC adresama
Kod VLAN-ova baziranih na MAC adresama mrežnih kartica, tzv. dinamički ili Layer
2 VLAN-ovi, preklopnici se konfiguriraju s pristupnim listama (eng. access lists) koje
povezuju individualne MAC adrese krajnjih uređaja s definiranim VLAN-ovima. Time je
pripadnost određenom VLAN-u određena MAC adresom krajnjeg uređaja. Kada se krajnji
uređaj spoji na preklopnik, preklopnik mora pregledati bazu kako bi krajnji uređaj smjestio u
odgovarajući VLAN. Administrator mora u tu bazu unijeti MAC adrese i VLAN-ove u koje te
MAC adrese treba smjestiti. Budući da su MAC adrese dio mrežne kartice, kada se uređaj
premjesti na neku drugu lokaciju nije potrebna nikakva nova konfiguracija da bi korisnik
ostao na istom VLAN-u. Ovakav način daje veću fleksibilnost.
MAC adresa VLAN ID
080007A92BFC 1 090007A9B2EB 4 09104AB9E2A4 4 006008C499AA 2 08000935C99D 4 009027A79DDA 3
Tabela 3: Primjer pripadnosti MAC adresa pojedinim VLAN-ovima
37
4.4.4. Korisnički definirano povezivanje
Najfleksibilniji način povezivanja, ali ga podržava mali broj opreme. Pripadnost
VLAN mreži je definirana kroz identifikaciju korisnika, aplikacije koje korisnik trenutno
upotrebljava i sl. Potrebno je izgraditi centraliziranu bazu podataka o korisnicima i njihovim
pravima pristupa, što je znatan posao pri izgradnji mreže, ali znatno olakšava kasnije
održavanje i nadzor.
4.4.5. VLAN-ovi bazirani na definiranim pravilima
Određeni proizvođači omogućili su u svojim uređajima korištenje VLAN-ova
baziranih na definiranim pravilima (eng. rule based) koji omogućavaju administratorima
kreiranje takvih VLANova gdje se pripadnost određenom VLAN-u određuje na
informacijama koje se nalaze u mrežnom paketu koji se prosljeđuje preko preklopnika. Iako
ova metoda pruža veliku fleksibilnost, postavljanje i održavanje ovakve mreže može biti
kompleksno. Primjer definiranog pravila za pripadnost jednom VLAN-u:
Svi uređaji s IP adresama 100.100.10.x
Osim uređaja s IP adresama 100.100.10.10 i 100.100.10.11
Osim uređaja s MAC adresom 06-1A-0A-05-3C-02-04
4.4.6. Sprega IEEE 802.1Q protokola s IEEE 802.1P protokolom
IEEE 802.1P protokol omogućava Layer 2 preklopnicima da prioritiziraju mrežni
promet pri čemu se izvodi dinamičko filtriranje prometa prema važnosti. Sama prioritizacija
se obavlja na MAC sloju. Drugi naziv za prioritiziranje prometa je CoS (eng. Class of
Service) jer se promet dijeli u klase prioriteta zavisno o protokolima koji se koriste. Pri tome
se e-mail i http prometu često pridjeljuju najniži prioriteti. CoS predstavlja samo dio QoS-a
(eng. Quality of Service) standarda očuvanja kvalitete usluge. IEEE 802.1P protokol
predstavlja nadopunu na IEEE 802.1Q protokol i oni rade u tandemu. IEEEovo 802.1Q
zaglavlje u mrežnom paketu uključuje 802.1P polje koje se sastoji od 3 bita što omogućava
grupiranje mrežnih paketa u 8 različitih klasa prioriteta. Iako mrežni administratori mogu
definirati željeni poredak prioriteta, IEEE je preporučio da se u najviši prioritet 7 stavlja
mrežni promet visokog prioriteta kao što su RIP (eng. Routing Information Protocol) i OSPF
(eng. Open Shortest Path First) protokoli za definiranje usmjeravanja mrežnog prometa.
Vrijednosti 6 i 5 imaju niži prioritet i preporuča se njihovo korištenje za mrežne pakete koji
nose promet koji bi trebao biti isporučen u stvarnom vremenu – npr. interaktivni video prikaz
38
ili glas. Vrijednosti od 4 do 1 preporuča se koristiti za aplikacije koje posjeduju poslovnu
važnost kao što su npr. razmjene poslovnih podataka pa sve do prometa koji se može i
izgubiti. Razina 0 je predefinirana vrijednost koja će biti automatski postavljena ukoliko se ne
definira niti jedna druga vrijednost. Određivanje razina za pojedini promet obavlja se na
preklopnicima te ukoliko određeni preklopnik postane zagušen mrežnim paketima, preklopnik
počinje odbacivati mrežne pakete počevši s onima koji su najnižeg prioriteta. [25]
4.5. Kreiranje VLAN-a
Kada se stvara VLAN, dodjeljuje mu se port i ime. Broj može biti bilo koji u rasponu
koji preklopnik podržava, osim VLAN 1. Neki preklopnici podržavaju oko 1000 VLAN-ova,
dok drugi podržavaju više od 4000. U praksi se pokazalo da je imenovanje VLAN-a poželjno
radi daljnjeg održavanja i upravljanja mreže. U Cisco IOS-u VLAN se kreira u globalnom
konfiguracijskom modu na sljedeći način:
Nakon kreiranja VLAN-u se dodjeljuju portovi. Po defaultu, svi portovi su dodjeljeni
VLAN1. Ukoliko se žele dodijeliti pojedinačni portovi, koristi se sljedeća naredba:
Ukoliko se želi dodjeliti raspon portova npr. od Fa0/1 do Fa0/15, koristi se naredba za
označavanje raspona:
Ako se želi ukloniti port iz određenog VLAN-a, koristi se negirana naredba tj. no
switch access vlan VLAN_broj. Kada port nije povezan s nekimVLAN-om automatski se
povezuje ponovno na VLAN 1. Za brisanje VLAN-a se također koristi negirajuća naredba tj.
no vlan VLAN_broj. Kod provjere, održavanja te rješavanja problema vezanih uz VLAN-ove,
najčešće se koristi naredba show vlan. Ona prikazuje detaljnu listu svih aktivnih VLAN-ova
na preklopniku, zajedno sa portovima koji su im dodjeljeni.
39
4.6. Testiranje VLAN mreže na simulatoru
Simulator za testiranje mreže naziva se Packet tracer. To je Cisco program koji je
razvijen u svrhu vježbanja konfiguriranja mreža. U njemu postoji izbor raznovrsne opreme
koja se u simulatoru ponaša identično kao i u stvarnosti. Da bi isprobali funkcionalnost
potrebno je prvo tu mrežu spojiti u Packet traceru. Testiranje mreže radi se na način da se
odabere paket koji se nalazi na desnoj strani u packet traceru i zatim se klikne na polazno
računalo (R1), te zatim na odredišno računalo (U2). Nakon tog čeka se rezultat koji se ispiše u
donjem kutu packet tracera. Kada se prikaže poruka da je statusa SUCCESSFUL, znači da je
paket prošao.
Slika 12: Sučelje mrežnog simulatora Packet Tracer [25]
40
5. ZAŠTITA VLAN MREŽE
5.1. Značajke protokola za razmjenu ključeva
Problemi ručne razmjene ključeva su:
· dijeljeni ključ je potrebno na siguran način razmijeniti između Alice i Boba preko
nesigurne mreže,
· za komunikaciju sa svakim udaljenim partnerom, Alice mora čuvati drugačiji dijeljeni
ključ (veliki broj unaprijed dodijeljenih ključeva),
· postoji mogućnost napada prisluškivanjem i otkrivanja dijeljenog ključa na temelju
prikupljenih podataka (nema perfect forward secrecy zaštite),
· SA poveznica se u jezgru unosi ručno s točno definiranim enkripcijskim i
autentifikacijskim algoritmom te duljinama ključeva.
Neki od protokola za razmjenu ključa su:
· IKE (Internet Key Exchange) [26]
Device
Interface /
subinterface
Port
switch-a IP Address /
Subnet Mask
Default Gateway
Router SPLIT Fao/0 Fa0/1
Fa0/0.2 192.168.1.3 255.255.255.0 Fa0/0.3 192.168.2.3 255.255.255.0 Fa0/0.4 192.168.3.3 255.255.255.0
Switch GUSAR1 Fa0/2 Access Vlan 2 Fa0/3 Access Vlan 3 Fa0/4 Access Vlan 4 Fa0/1 Trunk Fa0/5 Trunk
Switch GUSAR2 Fa0/2 Access Vlan 2 Fa0/3 Access Vlan 3 Fa0/4 Access Vlan 4 Fa0/1 Trunk Fa0/5 Trunk
PC - P1 NIC Fa0/2 192.168.1.1 255.255.255.0 192.168.1.3
PC –P 2 NIC Fa0/2 192.168.1.2 255.255.255.0 192.168.1.3
PC –R1 NIC Fa0/3 192.168.2.1 255.255.255.0 192.168.2.3 PC - R2 NIC Fa0/3 192.168.2.2 255.255.255.0 192.168.2.3
Tabela 4: Popis uređaja, sučelja, ip adresa, sabnet maski i pristupnika
41
· IKEv2 (Internet Key Exchange version 2) [27]
· KINK (Kerberized Internet Negotiation of Keys) [28]
· JFK (Just Fast Keying) [29]
5.2. Funkcionalnosti IKE protokola
IKE (eng. Internet Key Exchange) je protokol za ostvarivanje sigurnosnog udruživanja
unutar IPsec skupa protokola. Sigurnosno udruživanje podrazumijeva razmjenu sigurnosnih
podataka između dva mrežna subjekta, a s ciljem uspostavljanja sigurne komunikacije među
njima. IKE protokol postoji u dvije inačice: IKEv1 i IKEv2. Iako je prva inačica ovog
protokola fleksibilna te posjeduje brojne i raznolike mogućnosti, njegova složenost
predstavlja značajnu zapreku popularizaciji. [30]
IKE protokol postoji u dvije inačice: IKEv1 (odnosno IKE) i IKEv2. Iako je prva
inačica ovog protokola fleksibilna te posjeduje brojne i raznolike mogućnosti, njegova
složenost predstavlja značajnu zapreku popularizaciji. IKEv2 protokol nastao je evolucijom
prve inačice protokola, značajno je jednostavniji i razumljiviji te pokazuje bolje performanse.
IKE protokol razvio se na temelju tri starija protokola:
• ISKAMP (eng. Internet Security Association and Key Management Protocol)
• Oakley
• SKEME (eng. Versatile Secure Key Exchange Mechanism for Internet).
ISAKMP pruža okvir za implementaciju autentifikacije i razmjene ključeva, ali ih ne definira.
Oakley i SKEME protokoli definiraju niz tehnika razmjene ključeva.
ISAKMP protokol definira postupke:
• autentifikacije učesnika komunikacije
• stvaranja i upravljanja SA udruživanjem
• tehnike stvaranja kriptografskih ključeva
• izbjegavanja sigurnosnih prijetnji.
Ovim protokolom određeni su formati podatkovnih paketa korištenih za
uspostavljanje, usuglašavanje, izmjenu i brisanje SA udruživanja. Sigurnosna udruženja
sadrže sve podatke potrebne za izvođenje različitih mrežnih sigurnosnih usluga, kao što su:
• usluge IP sloja, npr. autentifikacija zaglavlja i ugrađivanje sadržaja, tzv. payload
encapsulation
• usluge transportnog i aplikacijskog sloja
• samozaštita vlastitog prometa.
42
ISAKMP protokol pored toga definira podatkovne strukture za razmjenu enkripcijskih
ključeva i autorizacijskih podataka, a koje su neovisne o načinu stvaranja ključeva,
enkripcijskim algoritmima i mehanizmima autorizacije. [31]
Slika 13: Uspostavljanje SA udruživanja prema ISAKMP protokolu unutar IKE protokola [32]
IKE protokol temelji se na usuglašavanju SA udruženja među dvama korisnicima.
Sigurnosno udruženje je kombinacija dogovorenih ključeva, protokola i SPI (eng. Security
Parameter Index) indeksa, koja definira sigurnosne parametre potrebne za zaštitu
komunikacije između pošiljaoca i primatelja. SPI indeks predstavlja jedinstvenu
identifikacijsku vrijednost unutar SA udruženja koja se koristi za razlikovanje različitih
sigurnosnih udruženja prisutnih na istom računalu. Na primjer, na računalu koje istovremeno
provodi sigurnosnu komunikaciju s nekoliko računala može biti prisutno više udruženja. Ovo
je čest slučaj kod računala koja djeluju kao poslužitelji datoteka ili poslužitelji za udaljeni
pristup, a koja poslužuju veći broj klijenata. Računalo koje prima podatkovni paket u takvim
situacijama koristi SPI indeks za određivanje kojem SA udruženju će primljeni paket biti
pridijeljen. [32]
Razmjena ključeva prema IKE protokolu provodi se u dvije faze:
1. Prva faza IKE protokola odnosi se na usuglašavanje MM (eng. Main Mode) SA
udruživanja.
2. Tijekom druge faze IKE protokola provodi se usuglašavanje QM (eng. Quick Mode) SA
udruživanja.
5.3. Razlozi za uvođenje IKEv2 protokola
IKEv2 protokol uveden je zbog:
• definiranja cjelokupnog IKE protokola jednim dokumentom, koji nadomješta dokumente
RFC 2407, RFC 2408 i RFC 2409, te kako bi se u protokol ugradile izmjene koje omogućuju
NAT-T (eng. Network Address Translation – Traversal) komunikaciju, EA (eng. Extensible
43
Authentication) autentifikaciju i dohvaćanje udaljenih adresa (eng. Remote Address
acquisition)
• pojednostavljenja IKE protokola zamjenom osam razmjena jednom razmjenom koja se
provodi u četiri poruke
• kako bi se uklonili DOI (eng. Domain of Interpretation), SIT (eng. Situation) i LDI (eng.
Labeld Domain Identifier) polja te Commit i Authentication only bitovi
• povećanja brzine IKE protokola u najuobičajenijem slučaju i to skraćivanjem prvotne
razmjene na četiri poruke
• zamijene kriptografske sintakse korištene za zaštitu IKE podatkovnih paketa sintaksom
temeljenom na ESP zaglavlju kako bi se pojednostavila implementacija i sigurnosna analiza,
• smanjenja broja mogućih pogrešaka povećanjem pouzdanosti protokola: poruke se šalju u
nizu i na svaku se odgovara potvrdom o primitku
• povećanja robusnosti smanjenjem količine proračuna koje neinicijalizirajući korisnik
provodi prije no što utvrdi da inicijator komunikacije prima poruke na navedenoj IP adresi te
ne sudjelovanjem u razmjeni prije no što se provede kriptografska autentifikacija inicijatora,
ispravljanja pojedinih kriptografskih slabosti
• slanja TS (eng. Traffic Selector) odabira unutar zasebne poruke, umjesto zajedno s
identifikacijskim podacima s ciljem povećanja fleksibilnosti
• definiranja postupaka u slučaju pojedinih pogrešaka ili primitka nerazumljivih podataka te
kako bi se olakšalo stvaranje budućih revizija protokola s unazadnom kompatibilnošću
• pojednostavljenja i razjašnjenja postupka održavanja zajedničkog stanja u slučaju poteškoća
u radu mreže ili prilikom napada uskraćivanjem usluga (eng. Denial of Service)
IKEv2 protokol je u odnosu na IKE protokol jednostavniji, fleksibilniji i sigurniji.
Najveće i najznačajnije preinake uvedene u drugoj inačici IKE protokola odnose se na
povećanje razumljivosti teksta kojim je protokol propisan kao i na značajno pojednostavljenje
samog protokola. Radi se o tome da brojne analize prvoj inačici ovog protokola zamjeraju
pretjeranu složenost kojom je uvelike otežana njegova implementacija. Kod IKEv2 protokola
smanjen je broj faza kao i broj poruka poslanih tokom svake faze. Ranjivost na napade
uskraćivanjem usluga značajan je nedostatak prve inačice IKE protokola koji je kod IKEv2
protokola umanjen uvođenjem zamjenskih mehanizama. Kako bi se otežali spomenuti napadi,
korisnik koji nije započeo komunikaciju može od inicijatora zatražiti slanje posebne
podatkovne strukture (eng. cookie) kako bi se potvrdila njegova vjerodostojnost. Jedan od
oblika napada uskraćivanjem usluga je slanje velikog broja zahtjeva kako bi se zauzeli svi
raspoloživi procesorski i memorijski resursi na napadnutom računalu. Zbog toga je unutar
44
IKEv2 ugrađen mehanizam prepoznavanja takvih poruka te čak i mogućnost identificiranja IP
adrese s koje je napad pokrenut. Stalan izvor pomutnje kod prve inačice IKE protokola
međuodnos je atributa, transformacija i prijedloga. Zahvaljujući hijerarhijskom
prestrukturiranju navedenih pojmova druga inačica IKE protokola mnogo je shvatljivija. Na
primjer, kod prve inačice protokola rok valjanosti SA udruženja dogovara se na početku
stvaranja sjednice i oba korisnika moraju se pridržavati dogovorene vrijednosti tog
argumenta. Kod IKEv2 protokola korisnik odabire trajanje sigurnosnog udruženja neovisno o
izboru drugog korisnika. [33]
Slika 14: Prikaz simulirane mreže kod kvantitativne usporedbe IKE i IKEv2 protokola [34]
IKE protokol, i njegova nova inačica IKEv2, predstavlja jedan od tri protokola koji
čine IPSec skupinu protokola za osiguravanje IP komunikacije. Sigurnosne karakteristike
IPSec protokola obuhvaćaju nepovredivost podataka, autentifikaciju i tajnost, a
implementacija i primjena ovog protokola moguće su bez izmjena programskog koda
aplikacija koje ga koriste. Pri tome je za nepovredivost podataka i njihovu autorizaciju
zadužen AH protokol, ESP protokol uz autorizaciju i nepovredivost omogućuje i očuvanje
tajnosti podataka, a IKE protokol se koristi za stvaranje i distribuiranje kriptografskih
45
ključeva pomoću kojih se stvaraju ESP i AH zaglavlja. IKE protokol razvio se na temelju triju
starijih protokola. Prvi od njih je ISAKMP protokol koji pruža okvir za implementaciju
autentifikacije i razmjene ključeva, ali ih ne definira. Druga dva protokola na kojima se IKE
temelji, Oakley i SKEME protokoli, definiraju niz tehnika razmjene ključeva. IKE protokol
provodi usuglašavanje SA udruženja među dvama korisnicima. Sigurnosno udruženje je
kombinacija dogovorenih ključeva, protokola i SPI indeksa, koja definira sigurnosne
parametre potrebne za zaštitu komunikacije. IKE protokol provodi se u dvije faze. U prvoj
fazi usuglašava se MM SA udruženja, a u drugoj se provodi usuglašavanje QM SA udruženja.
Prva je faza računski zahtjevnija te se udruženje dogovoreno njome može koristiti za zaštitu
većeg broja drugih faza protokola, čime se postiže značajno ubrzanje cjelokupne razmjene.
IKEv2 protokol nastao je evolucijom prve inačice protokola s ciljem pojednostavljenja istoga,
uklanjanja određenih sigurnosnih nedostataka i kriptografskih ranjivosti te povećanja
performansi. Teoretske analize kao i kvantitativne usporedbe pokazuju superiornost IKEv2
protokola nad svojim prethodnikom. [34]
5.4. Ipsec implementacija sa IKEv2 daemonom
Protokol za razmjenu ključeva, iako je opcionalan dio IPSec arhitekture, iz
sigurnosnih i praktičnih razloga je neophodan za praktične primjene. Trenutno je u praksi
najčešće korišten protokol IKE (verzija 1), no on je zamijenjen novijom verzijom –
protokolom IKEv2. Dok do prije dvije godine nije postojala još niti jedna slobodna
(opensource) implementacija IKEv2 protokola, danas ih postoji nekoliko, primjerice: racoon2
(KAME projekt), strongSwan 4.0 (nasljednikFreeS/WAN projekta) te ikev2 (ZEMRIS).
IPSec implementacija se sastoji od IPSec stoga i daemona za uspostavu ključeva kao
opcionalnog dijela. Uobičajeno je da je IPSec stog implementiran u jezgri operacijskog
sustava, dok je daemon u korisničkom prostoru. Prva slobodna implementacija IPSec-a za
Linux napravljena je unutar FreeS/WAN projekta, a sadržavala je IPSec stog KLIPS i daemon
nazvan pluto. Jednu od najpoznatijih IPSec implementacija (posebice po daemonu za
razmjenu ključeva) napravio je KAME projekt. Njihov daemon naziva se racoon, a
implementacija je izvorno napravljena za FreeBSD i NetBSD. OpenBSD je napravio vlastitu
implementaciju ISAKMP/IKE daemona i nazvao ga je isakmpd. Pluto, isakmpd i racoon su
implementacije verzije 1 protokola. Prva verzija protokola bila je opisana u nekoliko rfc-ova
(2407, 2408, 2409), a predstavljala je protokol koji obavlja obostranu autentifikaciju
sugovornika i uspostavlja sigurnosno udruženje (Security Associations, SAs). Dodatno, ima i
46
druge karakteristike – NAT traversal, različite vrste ovjere (certifikati, EAP, dijeljena tajna),
dodjeljivanje adrese udaljenom čvoru (road warrior scenarij) koji nisu bili specificirani u
navedena tri dokumenta. IKEv2 protokol započet je s nekoliko ciljeva:
specifirati IKE protokol unutar jednog dokumenta
zadržati sve dobre funkcionalnosti protokola
pojednostaviti protokol
riješiti uočene probleme protokola
Nažalost, svaki od navedenih problema u IKEv2 je rješen tek djelomično.
Standardizacijski postupak IKEv2 protokola i nove IPSec arhitekture tekao je velikim dijelom
istovremeno, no uz premalo suradnje što je dovelo do propusta u specifikaciji. Dodatni
propusti nastali su zbog toga što je radna grupa prilikom specifikacije zanemarila dodatne
specifikacije dokumente IKEv1 (uzimala je u obzir samo 2407, 2408 i 2409), a dok su
preostali (NAT traversal, EAP, Configuration Payloadi) uključeni naknadno i gotovo
doslovno prepisani iz starog protokola. Iako je ideja bila opisati protokol u jednom
dokumentu, ovi propusti doveli su do potrebe stvaranja novih dokumenata. Također, iako je
protokol vrlo pojednostavljen, pokazalo se da je mogao biti još jednostavniji – upravo zbog
ovih dodatnih dijelova protokola. [35]
Slika 15: Uspostava sigurnosnog udruženja uz korištenje IKEv2 daemona [35]
47
5.5. IP sec i Ipv6 protokol
IPsec arhitektura, za razliku od ostalih sigurnosnih rješenja i arhitektura na Internetu,
djeluje na mrežnom sloju OSI modela i po tome je specifična. U novoj generaciji Interneta,
IPv6, IPsec je obavezna dok je kod IPv4 opcionalna. IPv4 koji je sada gotovo dvadeset godina
star. IPv4 je izuzetno elastičan unatoč svojoj dobi, ali počinje imati problema. Najveć i
problem IPv4 protokola je količina IPv4 adresa koje mogu biti dodijeljene korisnicima
Interneta.
IETF je 1992. postala svjesna globalnog nedostatka IPv4 adresa i tehničkih prepreka u
implementaciji novih protokola zbog ograničenja nametnutih od strane IPv4. Rasprava oko
kreiranja novog Internet Protokola opisana je u raznim RFC-ovima, počevši od RFC-1550.
1995. godine, IPv6 (Internet Protocol Version 6) izglasan je kao novi konačni prijedlog, tj.
kao IPng (IP next generation). Osnovne karakteristike IPv6 protokola navedene su u RFC-
2460. Glavne značajke IPv6 protokola su:
Veći IP adresni prostor. IPv4 koristi 32 bita u IP adresnom prostoru čime omogućava
identifikaciju oko 4 milijarde čvorova na Internetu. 4 milijarde izgleda kao velik broj,
međutim to je manje od ljudske populacije na zemlji dok IPv6 koristi 128 bita za IP
adresni prostor čime se jedinstveno može identificirati 340 trilijuna trilijuna trilijuna
čvorova na Internetu. (Za usporedbu, prikažimo neke brojke: Broj IPv4 adresa:
4,294,967,296 ; Svjetska populacija 2008.: 6,706,000,000; Broj IPv6 adresa:
340,282,366,920,938,463,463,374,607,431,768,211,456)
Razvijanje novih tehnologija. IPv6 uključuje velik broj tehničkih poboljšanja u svojim
osnovnim specifikacijama. Nabrojat ćemo samo neka: Autokonfiguriranje: IPv4
protokol omogućuje DHCP (Dynamic Host Configuration Protocol), no ta tehnologija
je opcionalna i ovisi o mrežnim administratorima hoće li je uključiti i koristiti ili ne.
IPv6 protokol omogućuje stateless host autoconfigurationmehanizam. Specifikacija
mehanizma autokonfiguriranja unutar IPv6 protokola opisana je u RFC-2462. Protokol
koji omogućuje autokonfiguriranje je ICMPv6
Sigurnost: IPsec je opcionalan za IPv4 protokol i za uspostavljanje sigurne veze nužno
je pitati drugu stranu podržava li IPsec. IPv6 protokol u svojoj osnovi podržava IPsec,
te se može pretpostaviti da se IP komunikacija može puno lakše osigurati nego u IPv4
svijetu
Multicast: Osnovne specifikacije IPv6 protokola uvelike koriste multicast za
komunikaciju. Mora se napomenuti da je multicast zamijenio broadcast
48
Bolja podrška za traffic engineering: IPv6 je dizajniran sa boljom podrškom za traffic
engineering kao su diffserv ili intserv (RSVP). IPv6 za takve tehnologije rezervira 24
bita u zaglavlju
Bolja podrška ad-hoc mrežama: Scoped (Link-local) adrese (više o tome u nastavku)
osiguravaju bolju podršku ad-hoc ili zeroconf mrežama. IPv6 također
podržava anycast adrese koje mogu poslužiti u svrhu otkrivanja (discovery) mrežnih
uređaja
Fleksibilne ekstenzije u protokolu. IPv6 dopušta fleksibilnije ekstenzije protokola od
IPv4 tako što uvodi protocol header chain. Iako IPv6 dopušta fleksibilne nastavke
protokola, on ne nameće overhead usmjernicima kroz koje ide promet. To je
postignuto razdjeljivanjem zaglavlja (header) na dvije cjeline: jednu cjelinu
pregledava usmjernik kroz koji ide promet, a drugu cjelinu odredišni čvor. Ovo
također ubrzava rad hardverskih IPv6 usmjernika
Hijerarhijsko mrežno adresiranje. IPv6 adresna specifikacija ograničava
brojbackbone usmjerivačkih zapisa zagovarajući agregaciju ruta. S trenutnom IPv6
specifikacijom može se očekivati samo 8192 ruta u default-free zoni
Pojednostavljeno zaglavlje IP paketa. Zaglavlje (header) IPv6 paketa jednostavnije je
od zaglavlja IPv4 paketa što omogućuje jednostavniju implementaciju IPv6 protokola
u sklopovlju usmjernika
Mobility. Mobility IPv6 (MIPv6) omogućuje IPv6 korisnicima mobilnost, tj.
mijenjanje fizičke lokacije (wireless, SIP omogućeni mobiteli) uz korištenje samo
jedne mrežne konekcije, kako je opisanu u RFC-3775
Notacija i adresiranje IPv6 adresa - IPv6 adresa veličine je 128 bita, kao što je
definirano u RFC-4291, i logički je podijeljena na dva dijela: network prefix koji se
dodjeljuje od strane vršnih institucija ihost prefix koji se dodjeljuje ili automatski
(autokonfiguriranje) iz MAC adrese ili od strane mrežnog administratora [36]
Osim tri glavna protokola (ESP, AH i IKEv2), IPsec definira i koristi dvije vrlo bitne
baze podataka – bazu sigurnosne politike (Security Policy Database, SPD) i bazu sigurnosnih
udruživanja (Security Association Database, SAD). Ove dvije baze podataka kroz svoje
zapise odgovaraju na dva važna pitanja – koji promet štititi i kako ga štititi. U SPD bazi
administrator definira sigurnosnu politiku (security policy) i to na način da definira u kojem
49
rasponu IP adresa je štićeni promet, koji protokol se koristi, razina zaštite itd. Najvažniji dio
SPD baze su tzv. selektori prometa (traffic selectors) koji specificiraju koje pakete štititi preko
izvorišne i odredišne IP adrese, protokola višeg sloja i pristupa. SAD baza čuva pak tzv.
sigurnosna udruživanja (security association) koja su zapravo skup sigurnosnih parametara,
npr. kriptoalgoritmi korišteni u komunikaciji. Svako sigurnosno udruživanje jedinstveno je
definirano protokolom (AH ili ESP), odredišnom IP adresom i SPI-em (Security Parameters
Index – 32-bitni cijeli broj). Zapisi u jednoj i drugoj bazi nalaze se zapravo u samoj jezgri
operacijskog sustava. Sami zapisi dolaze u parovima; obje baze čuvaju po jedan zapis za
odlazeće i jedan za dolazeće pakete. [37] U budućnosti, kada IPv6 zaživi, IPsec će biti
obavezan za korištenje a dotada se njegova upotreba najviše temelji na virtualnim privatnim
mrežama (Virtual Private Networks). Iako postoje razne definicije ovisno o veličini mreže,
može se reći da je virtualna privatna mreža sigurni, privatni komunikacijski tunel između dva
ili više uređaja preko javne mreže (npr. Interneta). Promet unutar VPN tunela je kriptiran i
drugi korisnici ga ne mogu čitati makar sam promet bio i snimljen. Implementiranjem VPN-a,
tvrtka može ponuditi pristup internoj mreži korisnicima iz cijelog svijeta. Prije pojave VPN-a,
udaljeni (remote) zaposlenici pristupali su internoj mreži tvrtke preko iznajmljenih vodova ili
preko udaljenih dial-up poslužitelja. S VPN-om, oni su dobili najisplativiji način za spajanje,
tuneliranjem preko javne mreže. Internet VPN rješenje bazira se na klijent/poslužitelj
arhitekturi. Klijent koji se želi spojiti na internu tvrtkinu mrežu prvo mora ostvariti pristup
Internetu preko bilo kojeg davatelja Internet usluga (Internet Service Provider). Nakon toga,
on uspostavlja VPN konekciju prema tvrtkinom VPN serveru preko VPN klijenta koji je
instaliran na samom klijentskom računalu. Jednom kad je komunikacija uspostavljena,
udaljeni zaposlenik komunicira sa ostatkom korporacijske mreže preko Interneta baš kao da je
lokalno računalo u toj mreži. Protokoli drugog sloja koji se koriste za uspostavu VPN
konekcije su PPTP (Microsoftovo vlasništvo) i L2TP (Ciscovo vlasništvo). L2TP je često
korišten upravo u kombinaciji s IPsec-om koji služi za enkripciju i time za bolju sigurnost.
Kao takav, IPsec je jedna od najraširenijih VPN tehnologija u današnjim mrežama. [38]
5.6. Pojam zaštite mrežnog pristupa
Zaštita mrežnog pristupa (Network Access Protection, NAP) platforma je koja
administratorima mreže može pomoći u zaštiti sigurnosti mreže. Kada se povezujete s
korporativnom mrežom koja koristi NAP, vaše se računalo provjerava da bi se vidjelo postoje
li na njemu potrebni programi i postavke i jesu li ti programi i postavke ažurirani. Ako bilo
50
što nedostaje ili je zastarjelo, računalo se automatski ažurira. Tijekom tog postupka, pristup
mreži mogao bi vam biti ograničen, ali obično se provodi brzo, nakon kojeg se vraća potpuni
mrežni pristup. [39]
5.6.1. NAP u kontekstu zaštite mreže
Zaštita mreže izazov je broj jedan u većini današnjih tvrtki. Ono što komplicira posao
zaštite jest velik broj ljudi koji trebaju pristup računalnoj mreži, uključujući stalne zaposlenike
koji rade na stolnim računalima, trgovačke putnike koji koriste prijenosna računala, radnike
od kuće (teleworkers) te eventualne goste. Kontroliranje sigurnosnog stanja svakog računala
koje se želi spojiti na mrežu izuzetno je teško, a dozvoljavanje pristupa mreži računalu koje je
zaraženo malicioznim kôdom znači dozvoliti malicioznom kôdu pristup svim ostalim
računalima unutar mreže. U Windows Server 2008 ugrađena je platforma pod nazivom
Network Access Protection (NAP), koja administratorima omogućava pojednostavljeno
ispitivanje sigurnosnog stanja računala koje se želi spojiti na mrežu te dopuštanje ili odbijanje
pristupa mreži na osnovu tog stanja. NAP nije dizajniran za zaštitu mreže i njegova namjena
nije zamijeniti vatrozide, antivirusne programe ili druge sigurnosne elemente. NAP je
dizajniran da radi zajedno s ovim elementima kako bi osigurao da uređaji na mreži
ispunjavaju uvjete koje je definirao administrator. [40]
5.6.2. NAP kao podrška u VLAN procesima
NAP (Network Access Protection) ne treba miješati s Ciscovim rješenjem koje se zove
NAC (Network Admission Control). Cilj oba proizvoda je onemogućavanje pristupa mreži i
mrežnim resursima računalima koja ne zadovoljavaju mrežne sigurnosne politike. NAP i
NAC se po potrebi mogu i međusobno integrirati i raditi zajedno, a podržavaju i Trusted
Network Connect (TNC) standarde. Ipak, NAC agent se može instalirati na bilo koju
platformu, dok Microsoftovo rješenje za sada radi samo s operacijskim sustavima Windows te
je bolje integrirano u sam OS i druge Microsoftove tehnologije (System Center Configuration
Manager, Forefront, DirectAccess). Cisco NAC ne podržava API-je drugih proizvođača, dok
Microsoftovo rješenje omogućava proširivanje kroz API-je koje je Microsoft učinio slobodno
dostupnima.
NAP može provjeravati nekoliko sigurnosnih aspekata računala. Može se provjeravati
postojanje antivirusne zaštite ili stanje vatrozida. Isto tako se može provjeravati kada su
antivirusne definicije zadnji puta nadograđene, to jest kada je zadnji put računalo instaliralo
zakrpe za operacijski sustav. Ovisno o našim postavkama, računalo će biti zdravstveno
51
ispravno ili ne. NAP te informacije može samo zapisati u log-datoteku radi evidencije ili na
osnovi njih zabraniti ili omogućiti računalu pristup mrežnim resursima. Da bismo uspješno
implementirali NAP u svojoj okolini, moramo zadovoljiti nekoliko softverskih i hardverskih
uvjeta. NAP serverska komponenta može se instalirati kao servis samo na Windows Serveru
2008 ili novijem, dok na klijentskoj strani NAP agent postoji u Windows XP SP3 i novijim
operacijskim sustavima.
S obzirom da postoji nekoliko scenarija implementacije NAP rješenja, neki od tih
scenarija će zahtijevati dodatne servise (Certificate Authority, Health Registration Authority)
ili hardver (802.1X preklopnici). Administratoru su na raspolaganu četiri različite
implementacije NAP servisa: DHCP, IPSec, VPN i 802.1X. Postoji i peta, Terminal Services
Gateway, ali njome se nećemo baviti u ovom tekstu jer je namijenjena za specifične situacije i
ne implementira sve mogućnosti NAP-a. U daljnjem tekstu ćemo se detaljnije pozabaviti
svakom od navedenih metoda. NAP metode je moguće kombinirati, ali tada moramo imati na
umu da to značajno povećava kompleksnost mrežne infrastrukture. [41]
Slika 16: Arhitektura NAP metoda prisile [41]
5.6.3. Provjera ispunjavanja sigurnosnih zahtjeva
Provjera ispunjavanja sigurnosnih zahtjeva (health policy validation) znači da NAP
može provjeriti jesu li sigurnosne postavke računala koje želi pristupiti mreži u skladu sa
sigurnosnim postavkama koje je odredio administrator. Na primjer, jedan od zahtjeva može
biti da računalo ima instaliran vatrozid, ili da računalo ima instalirane najnovije zakrpe. [42]
52
5.6.4. Zabrana pristupa mreži
Zabrana pristupa mreži (network access limitation) znači da NAP može limitirati ili
potpuno zabraniti pristup mrežnim resursima onim računalima koja ne ispunjavaju
postavljene zahtjeve. Limitiranje pristupa se može odnositi na zabranu pristupa svim ostalim
računalima na mreži ili na stavljanje tog računala u karantenu u određenu podmrežu. Također
je moguće dozvoliti računalu koje ne prođe provjeru potpuni pristup na mrežu, te samo pratiti
njihovu prisutnost na mreži te raditi izvještaje. [43]
5.6.5. Automatsko ispravljanje
Automatsko ispravljanje (automatic remediation) znači da NAP može automatski
popraviti računala koja ne prolaze sigurnosne kriterije. Na primjer, ako prijenosno računalo
koje nema instalirane najsvježije sigurnosne zakrpe pokuša pristupiti mreži, NAP će to
računalo prepoznati te ga staviti u karantenu, u podmrežu gdje ono može pristupiti samo
serverima za ažuriranje (Windows Server Update Services - WSUS). Nakon toga, NAP će
uputiti računalo na WSUS servere i reći mu da skine zakrpe sa njega. Nakon što računalo
skine i instalira zakrpe, NAP će mu dopustiti pristup glavnoj mreži. Automatsko ispravljanje
poput ovoga omogućava NAP-u ne samo zabranu pristupa mreži računalima koja ne
ispunjavaju sigurnosne kriterije, nego mu omogućuje pomaganje tim računalima da instaliraju
potrebne zakrpe i programe kako bi prošla sigurnosne zahtjeve. Naravno, moguće je isključiti
automatsko ispravljanje te samo korisniku objasniti zašto mu je onemogućen pristup mreži te
što treba učiniti kako bi prošao sigurnosne provjere. [44]
5.6.6. Provjera u realnom vremenu
Provjera u realnom vremenu (ongoing compliance) znači da NAP ne provjerava
računala samo onda kad ona zatraže pristup na mrežu, nego to radi čitavo vrijeme dok su ona
priključena na mrežu. Na primjer, administrator je postavio uvjet da na računalima koja žele
pristupiti mreži postoji instaliran i pokrenut vatrozid. Računalo na kojem je instaliran
operacijski sustav Windows Vista želi pristup mreži te, budući da je na njemu pokrenut
vatrozid, NAP mu to i dopušta. U nekom trenutku rada na mreži vlasnik računala odluči
isključiti vatrozid. Ako je NAP ispravno konfiguriran, on će automatski ponovno uključiti
vatrozid. Naravno, moguće je i isključiti automatsko uključivanje vatrozida te automatski
zabraniti pristup mreži tom računalu. [45]
53
5.7. Komponente NAP rješenja
Da bismo se uopće mogli upustiti u objašnjavanja NAP metoda, moramo prvo
definirati koje su to komponente od kojih se sastoji sam servis. Softver i hardver koji će nam
trebati ovisi o korištenoj metodi prisile (enforcement method). Na priloženoj slici vidimo sve
komponente koje podržavaju neku od NAP metoda. NAP točke prisile (enforcement points)
su uređaji koji koriste NAP ili se mogu koristiti s NAP-om da bi kontrolirali pristup internim
resursima mreže i onemogućili pristup klijentima koji nisu u skladu sa sigurnosnim
politikama mreže. Na raspolaganju su nam četiri točke prisile. Health Registration Authority
(HRA) ima instaliranu IIS ulogu i on prima zdravstvene certifikate (health certificates) od CA
(certification authority) servera za računala koja su u skladu sa sigurnosnim politikama mreže.
VPN server ima instaliranu RRAS ulogu i omogućava eksternim klijentima spajanje u internu
mrežu. Dalje su tu uređaji za kontrolu mrežnog pristupa kao što su mrežni preklopnici ili
bežične pristupne točke koje podržavaju 802.1x protokol te DHCP server koji dinamički
dodjeljuje IP adrese klijentima mreže. Osim točaka prisile, potrebni su nam i network policy
serveri (NPS) koji su ustvari Microsoftova implementacija RADIUS-a (Remote Access Dial-
In Service) te zamjenjuju IAS (Internet Authentication Service) koji je postojao u Windows
Serveru 2003. NPS funkcionira kao mrežni zdravstveni server bez obzira na metodu prisile.
Isto tako pruža usluge autorizacije, autentikacije i čuvanja logova kada se koristi 802.1X
metoda prisile. Health requirement serveri određuju trenutno stanje klijenata i šalju ga policy
serverima. Primjer je antivirusni server koji prati koje su zadnje antivirusne definicije
instalirane na klijentima. SCCM, SCOM i WSUS su isto tako primjeri health requirement
servera. U situacijama kada ćemo koristiti IPSec, 802.1x ili VPN metode prisile, moramo
imati funkcionalnu domenu i domenske kontrolere. Kao što smo već rekli, neizostavan dio su
i NAP klijenti, a to su svi operacijski sustavi od Windowsa XP SP3 nadalje. [46]
5.8. Implementacija NAP-a
Da bismo implementirali ovu metodu NAP prisile potreban nam je DHCP server koji
zna raditi s NAP servisom, kao što je DHCP servis ugrađen u Windows Server 2008 i novije.
DHCP metoda prisile primjenjuje se svaki put kada klijent traži ili obnavlja IP adresu na
DHCP serveru. Isto tako, prisila se primjenjuje i svaki put kada se zdravstveno stanje računala
promijeni. Pojedina računala je moguće izuzeti od NAP sigurnosnih politika kada koristimo
DHCP metodu. Najjednostavnije je to napraviti kroz sigurnosne grupe na NPS serveru, ali u
54
tom slučaju je nužno da su ta računala dio domene. Ukoliko nemamo domenu ili u našu mrežu
dolaze računala koja nisu u našoj domeni, od sigurnosnih politika možgu se izuzeti na način
da MAC adresu samog računala dodamo kao izuzetak u NPS serveru. Ukoliko NPS server
nije dostupan pa stoga nije moguće usporediti zdravstveno stanje klijenta sa sigurnosnim
politikama, svim klijentima mogu biti dodijeljene IP adrese za sigurni dio mreže ili
jednostavno sve klijente staviti u karantenu. Iako DHCP metoda jest najjednostavnija za
implementaciju, upravo iz tog razloga je najnesigurnija. Naime, bilo koji korisnik koji ima
dovoljnu razinu prava na računalu može promijeniti IP adresu u onu koja mu omogućava
pristup sigurnom dijelu mreže. Stoga implementacija DHCP metode prisile zahtijeva
konfiguriranje dodatnih sigurnosnih parametara na klijentskim računalima. [47]
5.9. VPN karantena
U verziji Windows Servera 2003 SP1, Microsoft je dao administratorima mogućnosti
izoliranja nepodobnih VPN klijenata u karantenu korištenjem servisa Network Access
Quarantine Control. Implementacija ove tehnologije zahtijevala je dosta planiranja i
konfiguriranja od strane administratora na serverskoj i klijentskoj strani. Kako u klijentima
nije postojao agent već se kompletan proces oslanjao na skripte koje je izvršavao klijent,
maliciozni korisnici su vrlo lako mogli modificirati ponašanje klijenta i na taj način zaobići
karantenu. Iako Windows Server podržava servis Network Access Quarantine Control pa ga
možete i dalje koristiti, preporuka je da se svi VPN serveri i klijenti prebace na VPN metodu
prisile. Nekoliko je razloga za to, ali najvažniji je taj što se VPN karantena koju imamo u
Windows Serveru 2008 oslanja na ugrađeni NAP agent u samom operacijskom sustavu. Stoga
je gotovo nemoguće zaobići provjeru zdravstvenog stanja klijenta i karantenu. VPN metoda
prisile funkcionira slično kao 802.1X: klijent će nakon procesa provjere biti u jednom od tri
moguća stanja - neautenticiran, autenticiran s neograničenim pristupom mreži te autenticiran s
ograničenim pristupom mreži. Korištenjem IPv4 ili IPv6 filtara na VPN serveru kontroliramo
gdje će se klijent nakon provjere nalaziti - u karanteni ili u sigurnom dijelu mreže, ovisno o
tome da li zadovoljava ili ne zadovoljava sigurnosne politike. Preporuka je da VPN klijenti
budu članovi domene jer ih je lakše konfigurirati ili izuzeti od djelovanja sigurnosnih politika.
Računala koja nisu članovi domene moramo ručno konfigurirati. [48]
55
5.10. Dobre i loše strane NAP-a
Svaka metoda prisile ima svoje dobre i loše strane, a koju metodu ćete koristiti ovisi o
konfiguraciji vaše mreže, dostupnog hardvera i financijskih sredstava. Sam NAP je praktično
besplatan, ugrađen je kao uloga u operacijskom sustavu, a NAP agenti se već nalaze u
Microsoftovim klijentskim operacijskim sustavima (Windows XP SP 3 i noviji). Sve
spomenute metode prisile permanentno nadgledaju stanje klijenta te ga u bilo kojem trenutku
mogu prebaciti iz karantene u sigurni dio mreže i obrnuto. Remediation serveri omogućavaju
klijentu da automatski popravi svoje zdravstveno stanje i vrati se u siguran dio mreže.
Jako je bitno imati na umu da implementiranjem NAP metoda prisile niste postigli
maksimalnu sigurnost vaše mreže. NAP je samo jedna kockica u kompletnoj zaštiti mreže i
predstavlja dio modela „defense in depth“ (dubinska obrana). Jedino kombinacijom različitih
metoda zaštite na svim razinama može se postići skoro maksimalna zaštitu podataka,
aplikacija i servisa. Nijedna NAP metoda prisile neće vas zaštititi od računala koja su u skladu
sa sigurnosnim politikama, ali se njima koriste korisnici koji poduzimaju maliciozne radnje na
vašoj mreži. Ako već niste, sada je pravi trenutak da dodate još jedan sloj zaštite vašoj
infrastrukturi. [49]
56
6. IMPLEMENTACIJA MREŽE – PRAKTIČNI
PRIMJER
U ovom dijelu rada promatrat će se sigurnost računalnih mreža na konkretnim primjerima.
Za rad i simulaciju mreže koristit će se program Cisco Paket Tracer (CPT).
Mreža tvrtke sastoji se od 6 odjela:
Odjel menadžmenta
Konferencijska sala
Odjel računovodstva i administracije
IT odjel
Odjel razvoja
Data centar
Za tvrtku je određeno da neće brojati više od 100 računala. U radu neće biti simuliran rad
svih 100 računala nego rad odgovarajućih preklopnika i jednoga usmjerivača te će na tim
uređajima biti konfigurirane sigurnosne postavke tako da lokalna mreža bude sigurna. U
mreži će biti korišten jedan vatrozid kojem su postavljena takva pravila da ne dopušta pristup
iz Internet zone u lokalnu mrežu. Konfiguracija vatrozida nije tema ovog rada. S obzirom da
se u ovom radu prikazuje sigurnost mreže neće biti previše pažnje posvečeno subnetiranju
mreže te maksimalnoj iskoristivosti podmreža. Na početku rada će biti prikazano
segmentiranje, tj. svakom odjelu u tvrtci dodijeljena vlastita mrežu. Nakon toga prikazana je
shema mreže s uređajima koji je sačinjavaju. U dijelu VLAN mreža opisan je postupak kako
ograničiti i zaštititi kontrolu pristupa na mrežnim uređajima. Također opisan je postupak
konfiguracije VLAN mreže te je pojašnjen način na koji se može zaštiti mreža od
potencijalnih napadača. Zbog nemogućnosti postavljanja određenih sigurnosnih odredbi u
samu konfiguraciju preklopnika (ograničenje Cisco Packet Tracer-a) opisane su te sigurnosne
postavke na usmjerivaču. Poseban dio konfiguracije usmjerivača je dio koji objašnjava
kontrolne liste pristupa (access control list, u daljnjem tekstu ACL). Pred sam kraj rada
opisani su neki od mogućih načina upada u našu mrežu te kako ih je moguće izbjeći, tj.
spriječiti te napade. Na samom kraju vrši se testiranje implementirane mreže.
57
7. SEGMENTACIJA MREŽE
Nerijetko je slučaj da moderne računalne mreže broje i nekoliko tisuća mrežnih
uređaja spojenih na nju samu. Tako veliku mrežu vrlo je nepraktično, a gotovo i
nemoguće održavati i kontrolirati. Uspostaviti i održavati sigurnost cjelokupne mreže,
upotrebljavanih komunikacijskih protokola, kao i uređaja spojenih na mrežu izazivalo
bi iznimne napore, bilo bi vrlo teško i nepraktično. Zbog toga se pribjegava tehnici nazvanoj
segmentacija mreže. Segmentacija mreže, kada se radi o računalnoj mreži, predstavlja
razdvajanje računalne mreže u podmreže tako da se svaka podmreža može promatrati zasebno
kao zasebni mrežni segment. Prednosti razdvajanja računalne mreže su višestruki, a najčešće
se radi o postizanju boljih performansi (primjerice, smanjenjem zagušenja) i poboljšanoj
sigurnosti. Segmentacija mreže ostvaruje se pomoću uređaja za segmentiranje, preklopnicima
(eng. switch) i usmjerivačima (eng. router).
Radi lakšeg i jednostavnijeg prikaza u radu će biti korišteno šest mreža iz klase tipa B.
Tako je odijeljeno:
Odjelu menadžmenta IP adresu 172.16.10.0/24
Konferencijskoj sali IP adresu 172.16.20.0/24
Odjelu računovodstva i administracije IP adresu 172.16.30.0/24
IT odjelu IP adresu 172.16.40.0/24
Odjelu razvoja IP adresu 172.16.50.0/24
Data centru IP adresu 172.16.60.0/24
58
8. SHEMA MREŽE
Na slici 17. prikazana je shema mreže tvrtke koja je dizajnirana u programu Cisco Paket
Tracer. Mreža se sastoji od korisničkih uređaja, podatkovnog centra, tri preklopnika, jedan
usmjerivač i vatrozida.
Slika 17: Shema lokalne mreže
Osim segmentacije mreže, mreža je iz sigurnosnih razloga podijeljena na šest VLAN
(eng. Virtual Local Area Network). Tri preklopnika su međusovno povezana i to
Etherchannel-om, dok je preklopnik u Data centru spojen na jedini usmjerivač u našoj mreži.
Na usmjerivaču je omogućeno INTER_VLAN usmjeravanje preko dva podsučelja.
59
9. VIRTUALNA LOKALNA MREŽA (VLAN)
9.1. Pristup mreži
U ovom radu neće biti razmatrana fizička sigurnost mreže, no pretpostavka je da se sva
mrežna oprema nalazi na sigurnim mjestima gdje je ograničena fizička kontrola pristupa.
Prilikom početne konfiguracije mrežne opreme administrator mreže mora pristupiti
konfiguracji mrežnih uređaja preko konzolnog ulaza, tj. u većini slučajeva mora biti u istoj
sobi gdje je i mrežna oprema. Znamo da pri konfiguraciji uređaja postoje tri osnovna
moda: User, Privileged i Configuration.
User mod omogućava izvršavanje "bezopasnih" naredbi koje prikazuju informacije o
trenutnoj konfiguraciji na preklopniku.
Privileged mod omogućava izvršavanje značajnijih naredbi od kojih neke mogu i poremetiti
rad preklopnika.
Međutim, ni u jednom od ovih modova se ne izvršavaju naredbe koje mijenjaju
konfiguraciju preklopnika. Za ovo postoji Configuration mode koji omogućava izvršavanje
naredbi koje daju instrukcije preklopniku šta i kako da radi. Postoji mogućnost da se zaštiti
pristup navedenim modovima na način da postavimo šifre za pristup. Ali prije svega moramo
upozoriti potencijalne napadače, tj. sve one koje pokušavaju pristupiti mrežnoj opremi da to
nije legalno. Za to služi opcija Message of the day. Vrlo je važno da ta poruka bude jasna i da
nije dvosmislena te da odvrati potencijalnog napadača od pokušaja provale u mrežu.
Krenimo s konfiguracijom mreže. Prvo ćemo kreirati Message of the day što i prikazuje slika
18.
Slika 18: Message of the day
Kao što je na slici vidljivo postavljena je početna poruka koja se pojavljuje nakon
početne inicijalizacije uređaja ili kada neki korisnik pokuša pristupiti telnet-om na uređaj.
60
Važno je napomenuti da pri konfiguraciji poruke ne koristimo izraze i fraze
dobrodošlice, jer praktički takov porukom pozivamo potencijalne napadače. U SAD imamo
primjera gdje je sud oslobodio napadače na računalne mreže samo iz razloga što je Message
of the day glasila „Wellcome“.
Sljedeći korak u ograničavanju kontrole pristupa je ograničavanje lozinkom pristupa
uređaju preko konzolnog ulaza. Navedena konfiguracija je prikazana na slici 19.
Slika 19: Konfiguracija console 0
Za pristup preko konzolnog ulaza postavljena je lozinka Zagreb. Inače pri odabiru
lozinki važno je koristiti veći broj znakova, brojeve, velika i mala slova te posebne znakove.
Zbog lakšeg i jednostavinijeg rada u CPT će biti korištene jednostavnije lozinke.
Zbog jednostavnijeg pristupa mreži administrator mreže će također konfigurirati
virtualne linije za pristup uređaju tako da ne treba biti u blizini uređaja da bi ga konfigurirao.
Konfiguracijom virtualnih ulaza omogućen je administratoru udaljeni pristup uređaju.
Konfiguracija vty prikazana je na slici 20.
Slika 20: Konfiguracija vty
U naredbi line vty 0 15, brojevi 0 15 označavaju ukupan broj sesija s kojim je moguć
pristup uređaju od različitih administratora.
Naredbom show running-configuration možemo uvijek pogledati što smo sve
konfigurirali. Kad upišemo tu naredbu u Privileged mod dobijemo rezultate.
Slika 21. pokazuje kako smo konfigurirali pristup našem preklopniku preko konzolnog i vty
ulaza.
61
Slika 21: Konfiguracija konzolnog i vty ulaza
Ovo što vidimo na slici predstavlja sigurnosni problem jer je šifra prikazana u
otvorenom tekstu. Može se dogoditi da eventualno neka osoba, nazovimo je potencijalni
napadač slučajno vidi šifru prilikom administriranja mreže od strane administratora. Da bi to
bilo spriječeno upisuje se naredba service password-encryption, slika 22.
Slika 22: Service password-encryption
Nakon što smo upisali naredbu pogledajmo ponovno konfiguraciju konzolnog i vty
ulaza, slika 23.
Slika 23: Konfiguracija konzolnog i vty ulaza
62
Sada ukoliko potencijalni napadač vidi navedeno sa slike 7. biti će mu znatno teže
saznati lozinku. Međutim ovaj način zaštite je daleko od sigurnoga. Na internetu postoje razne
stranice koje dekriptiraju cisco 7 lozinke. Pokušati ćemo dekriptirati našu lozinku preko
stranice http://www.ifm.net.nz/cookbooks/passwordcracker.html. Rezultati su prikazani na
slici 24.
Slika 24: Dekriptiranje cisco 7 lozinke
Da bi potencijalni napadač bio spriječen da uopće može koristiti opciju show running-
configuration biti će mu ograničen pristup Privileged modu i to na sljedeći način.
Unutar Configuration moda upisuje se naredba kao na slici 25.
Slika 25: Postavljanje lozinke za Privileged mod
Postoji i opcija da izvršimo navedenu konfiguraciju sa sljedećom naredbom enable
password Maksimir. Međutim ova opcija nije sigurna kao ni prethodno opisane. Opcija secret
u naredbi nam omogućuje kriptiranje preko MD5 hash algoritma. Što je lozinka složenija to
ju je teže probiti. Sačuvajmo našu konfiguraciju te resetirajmo preklopnik da vidimo da li
napisane naredbe imaju efekta. Slika 26. prikazuje postupak spajanja na preklopnik putem
konzolnog kabla.
63
Slika 26: User i Privileged mod
9.2. SSH protokol
Da bi administrator pristupio uređaju mora to učiniti preko nekakve IP adrese. Za pristup
preklopniku potrebno je definirati sučelje (eng. Interface) te mu dodijeliti IP adresu. Postoji
više načina udaljenog pristupa mrežnim uređajima. Jedan od njih je telnet. Telnet je
nesiguran za uspostavu veze na udaljeno računalo jer sve podatke šalje u izvornom obliku
(eng. Plain text) tako da se poslani podaci mogu lako pročitati od strane treće osobe. Trenutno
je na našem preklopniku omogućen telnet. Naša zadaća je da zamjenimo telnet sa nekakvim
sigurnijim protokolom. To će biti učininjeno sa SSH protokolom.
SSH (eng. Secure Shell) je IETF protokol za sigurnu komunikaciju između udaljenih
odredišta u nesigurnoj računalnoj mreži. Oblikovan je prema klijent/poslužitelj modelu, a
komunikacija je podijeljena u tri sloja: transportni, autentifikacijski i spojni. Sigurnost se u
SSH protokolu postiže primjenom kriptografskih algoritma koji štite tajnost i integritet
podataka u prometu te osiguravaju autentičnost sudionika komunikacije. Osim samog
sigurnog povezivanja, SSH se može napredno koristiti za prosljeđivanje TCP priključaka i
X11 sjednica ili za uspostavu VPN mreža preko SSH sjednica.
Postoje dvije verzije ssh protokola: SSH v1.0 i SSH v2.0.
SSH v1.0 inačica protokola sadrži ozbiljnu ranjivost koju napadač može iskoristiti za
pokretanje proizvoljnih naredbi na SSH poslužitelju. Uvjet za izvođenje napada je otkrivanje
uspostavljene SSH veze između klijenta i poslužitelja ili neovlašteno korištenje TCP sjednice.
Potom je moguće podmetnuti posebno oblikovan paket kojim će se izvršiti napad. Naime,
zbog slabe provjere integriteta CRC-32 metodom, moguće je podmetnuti valjani CRC-32 kod
u izmijenjeni paket. Osim toga, manipulacijom pojedinim bitovima koji se zapisuju kao
64
dopuna na kraj paketa, napadač može osigurati dekriptiranje dijela podataka u proizvoljan
čisti tekst.
Scenarij uspješnog napada, nakon što je otkrivena SSH veza, uključuje sljedeće korake:
presretanje paketa,
izmjenu paketa na poseban način kojim će osigurati dekriptiranje dijela podataka u
proizvoljnu naredbu (bez poznavanja ključa)
podmetanje novog CRC-32 koda kojim će se integritet poruke lažno prikazati
očuvanim.
Kad paket stigne na odredište, dekriptira se i provjerava se integritet poruke. Budući da je
on naizgled očuvan, pokreće se izvršavanje dobivenih naredbi, uključujući i podmetnutu
napadačevu naredbu. Jedini način zaštite od ove ranjivosti je nadogradnja na SSH v2.0
inačicu protokola.
Za konfiguraciju SSH protokola potrebno je prije definirati ip domain-name, a zatim
generirati ključ veličine 1024 bit-a. Potrebno je i kreirati korisničko ime i lozinku u lokalnoj
bazi. Na kraju moramo omogućiti SSH protokol za sve ulazne vty linije. Cijeli postupak
prikazan je na slikama 27. i 28.
Slika 27: Generiranje 1024 bitnog ključa
65
Slika 28: Konfiguracija SSH protokola za sve ulazne vty linije
Na slici 29 prikazan je postupak daljinskog spajanja preko vty linija na konfigurirani
preklopnik. Da bi se udaljeni korisnik spojio mora znati username, passwort (secret) te ip
adresu sučelja, u našem slučaju IP adresa od virtualnog sučelja VLAN 10.
Slika 29: Postupak daljinskog spajanja
9.3. Implementacija VLAN mreže
VLAN je grupa uređaja za zajedničkim zahtjevima u komunikaciji koji su grupirani u istu
podmrežu (eng. Subnet). Vlan predstavlja broadcast domenu bez obzira na fizičku lokaciju
uređaja unutar istog VLAN-a. Znači jedna od prednosti VLAN-ova je u mogućnosti
grupiranja uređaja u istu mrežu (brodacast domenu, subnet) bez potrebe mijenjanja fizičke
topologije mreže. Ako se uzme u obzir mreža organizacije u kojoj nisu implementirani
VLAN-ovi , a postoji potreba skaliranja, samo uključivanje dodatnih uređaja zahtjeva i
66
izmjenu dizajna fizičke topologije. Što može značiti i dodatni trošak kabliranja i opreme koja
je potrebna u takvoj mreži. VLAN-ovi nam daju fleksibilnost u održavanju, ali i u skaliranju
odnosno fizičku mrežu možemo „modelirati“ u bilo kakvu logičku mrežu. Implementacijom
VLAN-ova osim što je pojednostavljeno skaliranje, podižemo i razinu sigurnosti
razdvajanjem prometa (komunikacije) između VLAN-ova, rješavamo nepotrebno nakupljanje
broadcast prometa i time povećavamo performanse, pojednostavljujemo administraciju i
smanjujemo troškove mreže.
VLAN-ovi omogućavaju mrežnom administratoru logičko segmentiranje LAN-a u različite
broadcast domene, a pošto je segmentiranje logičko uređaji u istom logičkom segmentu ne
moraju biti na fizički istim lokacijama. Znači da korisnici u različitim sobama, katovima,
zgradama, gradovima, mogu pripadati istom logičkom segmentu odnosno VLAN-u. VLAN-
ovi dozvoljavaju kreiranje broadcast domena bez korištenja uređaja trećeg sloja OSI modela
kao što je router. Ipak za komunikaciju između VLAN-ova moramo koristiti uređaj trećeg
sloja.
VLAN tehnologija nudi veći broj prednosti nad tradicionalnom tehnologijom.
Prednosti su:
PERFORMANSE - U mrežama sa prometom od kojeg je veći postotak prometa
broadcast i multicast, kreiranje VLAN-ova smanjuje količinu takve vrste prometa i na
taj način povečavamo performanse.
VIRTUALNE RADNE GRUPE - U današnjem poslovanju najnormalnija je pojava da
unutar iste organizacije imamo odjele kao što su prodaja, marketing, financije,
istraživanje i sl. Neki od odjela su stvoreni na kraće, a neki na duže vrijeme. U tom
vremenu komunikacija između uređaja koji pripadaju istom odjelu će biti pojačana što
znači da će i broj broadcast i multicast paketa biti veći. U takvom okruženju podjela
odjela u VLANove smanjuje nepotrebno kolanje poruka prema uređajima koji nisu
potrebni u komunikaciji.
Bez VLANova jedini način postizanja istog bilo bi fizičkio odvajanje uređaja u
zasebne mreže. Treba napomenuti da odvajanje uređaja na VLAN-ove ne nudi baš sva
riješenja za zahtjeve današnjeg poslovanja.
POJEDNOSTAVLJENA ADMINISTRACIJA - Ogorman postotak troškova u
današnjim mrežama se odnosi na dodavanje, premještanje korisnika odnosno krajnjih
uređaja. Kod svakog dodavanja ili premještanja korisnika u pravilu su potrebne radnje
kao ponovno adresiranje, ponovno konfiguriranje switcheva i rutera ili nadogradnja
postojeće infrastrukture. Neki od ovih zadataka se mogu pojednostaviti korištenjem
67
VLAN-ova, npr. ako korisnika premještate na drugu lokaciju, ali unutar istog VLANa
ponovna konfiguracija adresa, preklopnika i usmjerivača u pravilu nije potrebna. Ipak
treba uzeti u obzir povećanu dozu kompleksnosti oko konfiguracije i održavanja
VLAN-ova, ali i ta povećana doza kompleksnosti nosi sa sobom jednostavnost
održavanja postojeće mreže.
SMANJENJE TROŠKOVA - Uključivanjem VLAN-ova dobivamo mogućnost
kreiranja/određivanja broadcast domena što isključuje potrebu za nabavku skuplje
opreme. Osim skuplje opreme nema potrebe dodavanjem novih korisnika mijenjati
trenutni dizajn fizičke topologiju mreže, smanuje se potreba za nepotrebno velikom
količinom iskorištenih portova, što znači da nema potrebe za kupnjom novih modula
ili nove opreme.
POVEĆANU SIGURNOST - Sama činjenica da VLAN-ovi odvajaju promet drugih
VLAN-ova smanjuje opasnost od krađe prometa, ugrožavanja integriteta prometa i sl.
Upravo ova zadnja prednost, sigurnost, je i razlog zašto je naša mreža podijeljena u 6
VLANova.
9.4. VLAN konfiguracija
Biti će kreirani sljedeći VLAN-ovi na sva tri korištena preklopnika, slika 30:
VLAN10 – Menadzment
VLAN20 – KonfSala
VLAN30 – RacunAdmin
VLAN40 – Itodjel
VLAN50 – Razvoj
VLAN60 - Data
68
Slika 30: Show vlan
Na slikama 31 i 32 je vidljivo da su na VLAN10 pridodana dva porta f0/1 i f0/2,
VLAN20 pridodan je port f0/5, na VLAN40 pridodani su portovi f0/3 i f0/4, na VLAN 30
pridodan je port f0/1, na VLAN 50 pridodani su portovi f0/2 i f0/3 te na VLAN 60 pridodani
su portovi f0/1 – 05, f0/10 i f0/11.
69
Slika 31
70
Slika 32: Shema VLAN - ova
Iz slike 32 vidi se da su portovi u funkciji, a da bi na samom uređaju potvrdili
ispravnost portova upisujemo naredbu show ip interface brief, rezultati su prikazani na slici
33.
71
Slika 33: Prikaz sučelja
Iz slike je vidljivo da su sva iskorištena sučelja u ispravnom stanju.
9.5. Sigurnost portova
Što je sa sučeljima koja nisu korištena? Ona su trenutno u modu down jer na njih ništa nije
spojeno. Međutim u slučaju spajanja na uređaj ona se aktiviraju i potpuno su funkcionalna.
Ovaj problem predstavlja sigurnosnu ugrozu u mreži. Da bi bio uklonjen ovaj nedostatak
potrebno je ručno ugasiti sve neiskorištene portove. Najlakši način da se to uradi je da
naredbom shutdown ugasimo te portove. Rezultat ovog postupka prikazan je na slici 34.
72
Slika 34: Prikaz ugašenih portova
Ukoliko se sada napadač pokuša priključiti na neki od ugašenih portova neće imati
nikakav pristup uređaju. Međutim što se događa kada napadač odspoji nekoga od korisnika te
se priključi na aktivni port. U tom slučaju napadač ima pristup uređaju i može napraviti štetu
u našoj mreži.
Da bi se spriječila ovakva vrsta napada provodi se konfiguracija portova prema slici
35.
Slika 35: Sigurnosne postavke portova
73
Na slici je prikazana sigurnosna konfiguracija portova (f0/1 – f0/5). Konfigurirane su
tri opcije. Prvo je konfiguriran maksimalan broj uređaja koji mogu biti spojeni na jedan port.
Drugom naredbom konfigurirano je povezivanje MAC adrese uređaja s pojedinim portom. U
konkretnom primjeru uređaj će pamtiti najviše četiri MAC adrese. Trećom naredbom
postignuto je sljedeće, kada je dosegnut broj sigurnih MAC adresa koje port pamti, ukoliko
dođu nekakvi podaci s nepoznate adrese, port ih automatski odbacuje. Postoji još opcija
Restrict, razlika od prethodne Protect je u tom što administrator dobija notifikaciju da se
dogodila prijetnja sigurnosti. Treća opcija je Shutdown. Kada je ona postavljena onda u
slučaju dolaska paketa s nepoznate adrese port se automatski ugasi te javlja obavjest.
9.6. Etherchannel
Agregacija veza ili Etherchannel tehnologija je agregacije portova mreže koja dozvoljava
skupljanje nekoliko ethernet veza u jednu logičnu ethernet vezu. Agregacija veza pomaže u
osiguranju bolje propusnosti kroz jednu IP adresu nego što bi bilo moguće s jednim portom.
Agregacija veza može proizvesti povećanu redundantnost zato što se pojedine veze mogu
prekinuti. Uređaj agregacije veza može automatski zaobići grešku s drugom vezom u uređaju
i zadržati povezanost. Upravo iz ova dva razloga biti će konfigurirana tri etherchannel-a u
mreži. Slika 36. pokazuje tri etherchannel-a.
Slika 36: Etherchannel
Također ovakvim dizajnom postigli smo određenu redundanciju u mreži. Pucanjem
jednog etherchannela ništa se ne događa i dalje imamo sigurnu i pouzdanu mrežu.
74
Na slici 37. navedena je konfiguracija etherchennela.
Slika 37: Channel-group 2
Važno je napomeniti da su sva tri Etherchannel-a konfigurirani kao trunk portovi tako
da bi mogli propuštati promet iz različitih VLAN-ova.
10. KONFIGURACIJA USMJERIVAČA
Na usmjerivaču biti će kao i na preklopnicima konfigurirane sigurnosne postavke te će biti
konfigurirane neke sigurnosne postavke koje nije bilo moguće koristiti na preklopnicima.
Zatim će biti konfigurirano INTER-VLAN usmjeravanje tako da pojedini VLAN-ovi mogu
međusobno komunicirali te će na kraju biti definirate ACL liste, kojima će se ograničiti
pristup i usluge pojedinim korisnicima u mreži.
10.1. Pristup usmjerivaču
U ovom dijelu biti će prikazana jedna sigurnosna postavka koja nije mogla biti primjenjena
na preklopnicima, zašto što opcija nije podržana u Cisco Packet Tracer-u. Ta sigurnosna
opcija prvenstveno spriječava, uz druge sigurnosne mjere, pristup napadača uređaju, tj.
onemogućuje mogućnost brute force (napad uzastopnim pokušavanjem je jednostavna, ali
uspješna tehnika rješavanja problema koja se sastoji od sustavnog pronalaženja svih mogućih
kandidata za rješenje i isprobavanja svakog od njih) napada. Navedena konfiguracija
prikazana je na slici 38.
75
Slika 38: Login block
Prva naredba govori sljedeće, ukoliko budu 3 neuspješna pokušaja logiranja unutar 60
sekundi onda blokiraj pokušaj logiranja sljedećih 120 sekundi. Ova naredba je jako korisna u
slučaju brute force napada jer onemogućava napadaču kontinuirani pokušaj razbijanja
lozinke.
Zadnja naredba na slici omogućava da uređaj automatski odspoji korisnika ako on nije
aktivan neko određeno vrijeme. U konkretnom primjeru ako korisnik u vremenu od dvije
minute nije radio s uređajem, uređaj automatski odspoji korisnika.
10.2. INTER-VLAN usmjeravanje
Izvršena je konfiguracija INTER-VLAN da bi se omogučila komunikacija između
pojedinih VLAN – ova , ali ne svih. Konfiguracija INTER-VLAN usmjeravanja prikazana je
na slici 39.
Slika 39: INTER-VLAN usmjeravanje
Korišten je model Router on stick te određeno da će podsučelja g0/0.1, g0/0.2, g0/0.3
biti gateway za VLAN-ove 10,20,30 , slika 31., dok će podsučelja g0/1.4, g0/1.5, g0/1.6 biti
gateway za VLAN-ove 40,50,60, slika 40.
76
Slika 40: INTER-VLAN usmjeravanje
10.3. Kontrolne liste pristupa (Access control list)
ACL je uređeni skup podataka o ovlastima ili pravima pristupa svih korisnika ili aplikacija
na računalnom sustavu. Svaki korisnik ili grupa korisnika ima određena prava pristupa i
ovlasti nad pojedinim direktorijem ili datotekom, kao što su ovlasti čitanja, pisanja ili
izvođenja. Kod uobičajenih ACL lista svaki element liste određuje subjekt i operacije koje on
smije obavljati nad određenim objektom. Na primjer unos (Alice, delete) u listi za neku
datoteku daje korisniku Alice ovlasti brisanja te datoteke. Kod računalnih mreža, ACL liste
predstavljaju skupinu pravila koja određuju portove ili pozadinske aplikacije (eng. deamon)
koje su raspoložive na uređaju mrežnog sloja OSI modela, a uz listu korisnika ili mreža
kojima je dozvoljeno korištenje te usluge. Pojedini mrežni poslužitelji te usmjerivači mogu
posjedovati ACL liste koje je moguće podesiti tako da kontroliraju dolazni i odlazni
podatkovni promet. U tom smislu ACL liste slične su vatrozidima. Osnovna podjela ACL
lista je na standardne i proširene liste.
Standardne liste omogućuju filtriranje prometa samo na temelju izvorišne adrese zapisane
u zaglavlju IP (eng. Internet Protocol) podatkovnog paketa.
Proširene ACL liste omogućuju filtriranje prometa i prema:
izvorišnoj IP adresi,
77
odredišnoj IP adresi,
TCP/IP protokolu, kao što su IP, ICMP (eng. Internet Control Message Protocol),
OSPF, TCP (eng. Transmission Control Protocol), UDP (eng. User Datagram
Protocol) i drugi,
podacima TCP/IP protokola kao što su brojevi TCP i UDP portova, TCP zastavice i
ICMP poruke.
Iz navedene razlike između dvaju osnovnih tipova lista kontrole pristupa proizlaze i
razlike u primjenama.
Standardne ACL liste na usmjerivačima se koriste za:
ograničavanje pristupa usmjerivaču putem VTY (eng. Virtual Teletype Terminal)
linija korištenjem Telnet (eng. Telecomunication Network) ili SSH (eng. Secure Shell)
protokola,
ograničavanje pristupa usmjerivaču putem HTTP (eng. Hypertekst Transfer Protocol)
ili HTTPS (eng. HTTP Secure) protokola,
filtriranje poruka za osvježavanje postavki usmjerivača.
Proširene ACL liste uobičajeno se koriste za filtriranje prometa među sučeljima na samom
usmjerivaču, prije svega zbog njihove prilagodljivosti koja proizlazi iz mogućnosti djelovanja
na protokola drugog, trećeg i četvrtog sloja OSI mrežnog modela.
Prednosti filtriranja prometa na usmjerivačima pred vatrozidima su:
usmjerivači mogu podatkovne pakete obrađivati vrlo velikom brzinom,
djelovanje na 3. i 4. sloju OSI modela omogućuje veliku fleksibilnost implementiranja
sigurnosne politike.
Prilikom postavljanja sustava zaštite računalne mreže potrebno je na umu imati
ograničenja ACL lista. One naime ne mogu spriječiti sve vrste napada, ali zato mogu ukloniti
veliku količinu nepoželjnih i štetnih paketa smanjujući tako opterećenje sljedećih stupnjeva
zaštite, npr. vatrozida.
Za mrežu će biti korištene četiri proširene ACL liste. Na slici 41. prikazana je
konfiguracija ACL lista.
Slika 41: Konfiguracija ACL liste
78
ACL lista 100 kaže usmjerivaču da propusti icmp protokol od bilo kojega korisnika u
mreži prema bilo kojem korisniku u mreži , s tim da propusti samo echo-reply, tj. odgovor za
ping, ostalo sve blokiraj.
ACL lista 101 kaže usmjerivaču da propusti tcp protokol od bilo kojega korisnika u
mreži prema korisniku koji ima IP adresu 172.16.60.4, ali samo za port 80, ostalo sve blokiraj.
ACL lista 102 ima istu funkciju kao i prethodna, 102 kaže usmjerivaču da propusti tcp
protokol od bilo kojega korisnika u mreži prema korisniku koji ima IP adresu 172.16.60.5, ali
samo za port 80, ostalo sve blokiraj.
Na slici 42. prikazan je još jedan način kako je moguće definirati proširenu ACL listu.
Slika 42: ACL lista
ACL lista naziva IT kaže usmjerivaču, odbaci tcp protokol od korisnika u mreži
172.16.40.0/24 prema bilo kojem korisniku.
ACL liste nemaju nekakvog smisla dok se ne primjene na određena sučelja. Slika 43.
prikazuje primjenu navedenih ACL lista na određena sučelja, tj , podsučelja.
79
Slika 43: Primjena ACL lista
Na svim podsučeljima odabrana je opcija in, što znači da će se ulazni promet u
podsučelja razmatrati i uspoređivati s ACL listama te na temelju ACL lista usmjerivač će
odlučiti da li promet pustiti ili odbaciti.
80
11. VRSTE NAPADA NA MREŽU
11.1. DHCP vrste napada
DHCP je protokol koji automatski dodjeljuje korisniku valjanu IP adresu iz nekog
unaprijed definiranog DHCP pool-a. U našoj mreži ulogu DHCP servera dodijelili smo
usmjerivaču. Svi krajnji uređaji će zahvaljujući DHCP serveru dobiti valjane adrese osim
DATA centra. IP adrese serverskih računala isključivo su statičke. Na slici 44. prikazana je
konfiguracija DHCP servera.
Slika 44: DHCP konfiguracija
Kao što je na slici vidljivo prvo su isključene neke IP adrese i te isključene adrese su
predviđene za konfiguraciju nekakvih krajnjih uređaja kojima je potrebna statička adresa.
Definirano je i 6 DHCP pool-ova iz kojih će korisnici iz VLAN-ova dobivati valjane IP
adrese. Na slici 45. pokazan je primjer uspješnog DHCP zahtjeva.
81
Slika 45: DHCP zahtjev
Postoje dvije vrste DHCP napada koji se mogu primjeniti na mreži, a to su DHCP
starvation i DHCP spoofing.
Kod DHCP starvation napada, napadač zatrpava DHCP server za DHCP zahtjevima s
ciljem da zauzme sve dostupne IP adrese koje DHCP server posjeduje. Nakon što podjeli sve
adrese dolazimo do situacije da server nema više raspoloživih IP adresa i potencijalni novi
korisnici u mreži ne mogu ostvariti pristup mreži.
Kod DHCP spoofing napada, napadač konfigurira lažni DHCP server na mreži.
Uobičajni razlog za ovu vrstu napada je da se prisili klijente da koriste lažni Domain Name
System (DNS) ili Windows Internet Naming Service (WINS) server i da preuzmu kontrolu
nad klijentovim uređajem.
Ova dva napada često idu zajedno. DHCP starvation se koristi prvo tako da se
iskoriste sve IP adrese i tadaje lakše instalirati lažni DHCP server u mrežu. Da bi se izbjegla
ova vrsta napada biti će korištene DHCP snooping i port security opcije na preklopnicima.
DHCP snoping je jedna mjera koja povećava sigurnost naše mreže. Ova opcija nam
govori koji portovi mogu odgovoriti na DHCP zahtjeve. Portovi se definiraju kao povjerljivi i
nepovjerljivi. Ako npr. neki uređaj koji je spojen na nepovjerljivi port šalje DHCP zahtjev u
mrežu, port će se automatski ugasiti. U Cisco Packet Tracer-u nije moguće izvršiti ovu
82
konfiguraciju, moguće je samo na „živoj opremi“, pa je samo prikazana na jednom
jednostavnom primjeru kako bi to bilo konfigurirano.
Hrvatska(config)# ip dhcp snooping
Hrvatska(config)# ip dhcp snooping vlan 10
Hrvatska(config)# interface f0/1
Hrvatska(config-if)# ip dhcp snooping trust
11.2. STP napadi (Spanning tree protocol)
Bez Spanning Tree Protocol-a (STP) je teško, odnosno nemoguće, zamisliti kvalitetnu
lokalnu mrežu. To jest moguće je napraviti mrežu bez redudantnih veza, ali pitanje koliko je
ta mreža pouzdana. The Spanning Tree Protocol (STP) je mrežni protokol koji nam osigurava
da ne nastane petlja u lokalnoj mreži.
Da bi imali kvalitetnu mrežu potrebno je osigurati redudantne veze između mrežnih
uređaja, tako da u slučaju ako jedan veza "pukne" promet može nastaviti putovati drugom.
Kada postoji više veza između istih uređaja potrebno je blokirati pojedine veze da bi osigurali
loop-free mrežu. Tu nastupa STP. STP na osnovu prioriteta svakog preklopnika ili MAC
adrese odlučuje, prvo koji će preklopnik biti root bridge,a zatim koji će port biti blokiran. U
slučaju da preklopnici imaju isti, defaultni prioritet (32678), root bridge će biti najstariji
preklopnik, odnosno preklopnik sa najmanjom MAC adresom. Kada je određen root bridge
ostali preklopnici traže najbolju/najkraću vezu do njega. Postoji nekoliko verzija STP
potokola:
PVST+
802.1D-2004
RSTP
Rapid PVST+
MSTP
Na preklopnicima će biti konfiguriran PVST+ protokol kojim će biti definirano da je
preklopnik Hrvatska primarni root za VLANove 10,20,30. Preklopnik Dalmacija će biti
primarni root za VLANove 40,50,60 , dok će preklopnik Istra biti sekundarni za sve
VLANove. Na slici je 46. Prikazane su konfiguracije na preklopnicima.
83
Slika 46: Konfiguracija STP protokola
Ukoliko napadač ima pristup portu koji u nekom trenutku može postati trunk port tada
može instalirati svoj preklopnik u mrežu. Ukoliko su ostali portovi u dynamic desirable modu
tada napadač može instalacijom svoga preklopnika ostvariti trunk vezu s ostalim
preklopnicima u mreži. Također može manipulirati s root bridge te postoji mogućnost da
njegov preklopnik postane root bridge te da sav promet ide preko njegovog preklopnika. Ovo
mu omogućava da snifa promet, ali s ovim postupkom bi također mreža bila znatno usporena.
Kako bi ovaj nedostatak bio otkriven koristit će se opcija BPDU Guard. Navedena
opcija je upravo dizajnirana da zaštiti našu mrežu. Ovu opciju možemo aktivirati na svim
portovima gdje je aktivirana PortFast opcija. A PortFast opcija je aktivirana na portovima
koja preklopnik spajaju s krajnjim, tj korisničkim uređajima. Logika PortFasta je da portovi
koji spajaju krajnje uređaje ne mogu napraviti petlju i da ne mogu primiti BPDU, BPDU šalju
samo preklopnici.
Znači ukoliko je BPDU Guard aktiviran na portovima, te ukoliko portovi prime
BPDU, portovi se automatski isključuju te dobivamo obavjest o sigurnosnoj ugrozi.
Konfiguracija BPDU Guard-a prikazana je na slici 47.
84
Slika 47: BPDU Guard
11.3. MAC flooding
Tablica MAC adresa u preklopniku sadrži MAC adrese povezane s svakim fizičkim
portom i povezane sa svakim VLANom. Kada preklopnik primi frame, pregleda tablicu
MAC adresa da zna gdje će proslijediti frame. Kako frame-ovi dolaze na portove tako se
MAC adresa od pošiljatelja snima u tablicu MAC adresa. Ako postoji MAC adresa u tablici
tada preklopnik posljeđuje dolazni frame na port koji je povezan s traženom MAC adresom. U
slučaju da ne postoji MAC adresa tada preklopnik prosljeđuje na sve portove dolazni frame
osim na port s kojeg je došao ulazni frame. Ovo svojstvo preklopnika može se iskoristiti kao
vrsta napada.
Ova vrsta napada naziva se MAC flooding. Osnovna zamisao ovoga napada je da
potencijalni napadač šalje lažne frame-ove prema preklopniku, sa slučajno generiranom
izvornom i odredišnom MAC adresom . Preklopnik sprema u svoju MAC tablicu sve
primljene adrese. Međutim kada preklopnik popuni svoju MAC tablicu tada preklopnik
prelazi u otvoreni način rada. Rezultat toga je da preklopnik šalje primljene frame-ove svim
uređajima koji su u mreži te potencijalni napadač može vidjeti sve frame –ove.
Jedan od načina da se spriječi ova vrstu napada je konfiguriracija port security na portove
što je već prije urađeno.
85
11.4. CDP snifanje
Cisco Discovery Protocol (CDP) je protokol kojeg koriste svi Cisco uređaji. CDP otkriva
druge Cisco uređaje koji su direktno spojeni, što omogućava uređaju da auto-konfigurira
svoju povezanost. U nekim slučajevima ovo uvelike olakšava povezivanje. Većina Cisco
usmjerivača i preklopnika imaju uključen CDP protokol na svim portovima. CDP informacije
se šalju periodično, nekriptirano i preko broadcast-a. CDP je protokol drugog sloja tako da se
CDP poruke ne šalju između usmjerivača.
DP sadrži informacije o uređaju, kao što je IP adresa, verzija programa, platforma,
sposobnosti i native VLAN. Ove informacije mogu koristiti napadaču da pronađe način kako
napasti našu mrežu, prvenstveno u obliku da uskrati usluge korisnicima mreže.
Da bi bila ukolnjena ova potencijalna prijetnja isključuje se CDP protokol na
portovima za koje se smatra da ne trebaju koristiti ovaj protokol. Slika 48. pokazuje izvršenu
konfiguraciju.
Slika 48: CDP protokol
Na prethodnoj slici prikazana je konfiguracija portova f0/1 i f0/2. Vidi se da je CDP
protokol isključen. Također je isključen i CDP protokol na portovima f0/3, f0/4 i f0/5 jer
smatramo da će se na te portove spajati samo krajnji korisnici a ne Cisco oprema.
86
11.5. Napad Switch spoofing
Kod ove vrste napada, napadač koristi činjenicu da je uobičajena konfiguracija porta na
preklopniku dynamic auto. Napadač konfigurira svoj sustav tako da ga maskira kao
preklopnika. Rezultat toga je da napadač može emulirati 802.1Q i DTP poruke. Drugi
preklopnik u našoj mreži misli da preklopnik od napadača želi formirati trunk vezu i tako
napadač ima pristup VLAN – ovima koji su dopušteni na trunk portu. Najbolji način da
izbjegnemo ove napade je da isključimo trunk na svim portovima osim na onim koji
isključivo moraju biti trunk. Na tim koji moraju biti trunk, ručno ćemo omogućiti trunk. Slika
20. pokazuje jednu takvu konfiguraciju.
11.6. Napad Double tagging
Većina preklopnika provodi samo jedan nivo 802.1Q de-enkapsulacije, koja
omogućava napadaču da sakrije 802.1Q oznaku unutar frame-a. Ova oznaka omogućuje da se
frame proslijedi prema nekom VLAN-u koja orginalna oznaka 802.1Q nije odredila. Posebno
važno za napomenuti je da ovaj napad radi i kada su trunk portovi isključeni, jer krajnji
korisnik šalje frame-ove na segmentima koji nisu trunk veze.
Ovaj napad ima tri koraka:
Napadač šalje dvostruki 802.1Q frame prema preklopniku. Vanjsko zaglavlje ima
VLAN oznaku napadača koji je isti kao i native VLAN od trunk porta. Pretpostavka je
da preklopnik obrađuje primljeni frame kao da je na trunk portu. Zamislimo da je
native VLAN VLAN 10. Oznaka je žrtvin VLAN, u ovom slučaju VLAN 20.
Frame dolazi na preklopnik kao 4 bitna 802.1Q oznaka. Preklopnik vidi da je frame
namijenjen za VLAN 10, koji je ujedno native VLAN. Preklopnik nakon skidanja
VLAN 10 oznake prosljeđuje paket na sve portove koji pripadaju VLAN-u 10. Na
trunk portovima, VLAN 10 oznaka je skinuta i paket nije ponovno označen jer je dio
native VLAN-a. U ovom trenutku VLAN 20 oznaka je još uvijek netaknuta i nije
pregledana od prvog preklopnika.
Drugi preklopnik gleda samo unutarnju 802.1Q oznaku koju je napadač poslao i vidi
da je frame namijenjen za VLAN 20. Drugi preklopnik šalje frame na žrtvin port.
Ovaj napad radi samo kada je napadač spojen na port koji je u istom VLAN-u kao i native
VLAN trunk porta. Najbolji način za spriječit ovu vrstu napada je osigurati da native VLAN
87
na trunk portovima je različit od VLAN-ova koji su na portovima korisnika. Slika 49
pokazuje konfiguraciju na našem preklopniku.
Slika 49: Konfiguracija native vlan
VLAN-ovi korisnika su 10, 20, 30, 40, 50, 60 dok je na trunk portovima konfiguriran
vlan 99, te je na taj način spriječen napad double-tagging.
12. TESTIRANJE FUNKCIONALNOSTI MREŽE
Iako su već neki testovi opisani u prethodnim poglavljiva u ovom poglavlju mreža će biti
testirana na neke potencijalne sigurnosne prijetnje.
Pokušaj spajanja na preklopnik Hrvatska preko telnet protokola. Slika 50 prikazuje
rezultate testa.
Slika 50: Telnet test
Na slici je vidljivo da nije moguće pristupiti uređaju preko telnet protokola, dok je to
preko SSH protokola moguće.
Sljedeći test je pokušaj upada u Privileged mod te pokušaj da se saznaju lozinke
pregledom u konfiguracijski zapis. Slika 51. prikazuje provedene testove.
88
Slika 51: Enable secret
Vidi se da nije moguće ući u Privileged mod a da prethodno nije upisana lozinku. Ako
je kojim slučajem napadač i vidio konfiguracijski zapis dok je administrator nešto
pregledavao tada neće imati od toga neke velike koristi jer je enable secret prikazan preko
MD5 hash algoritma.
89
Sljedećim testom napadač će se probati spojiti na mrežu preko slobodnog porta na
preklopniku. Slika 52. prikazuje rezultate testa.
Slika 52: Port shutdown
Pokušaj napadača nije uspio jer su portovi ručno isključeni.
Napadač je uporan te odspaja korisnika iz računovodstva te pokušava preko njegovoga porta
pristupiti mreži. Sliku 53. prikazuje rezultate.
Slika 53: Port security
Na preklopniku Dalmacija, port security je konfiguriran tako da se na port može
priključiti samo jedan korisnik s jednom MAC adresom, u slučaju da se netko drugi priključi
port se automatski isključuje.
90
U sljedećem primjeru testiran je pokušaj pristupa na usmjerivač. Rezultati testa
prikazani su na slici 54.
Slika 54: Test usmjerivač
Nakon 3 neuspjela pokušaja, usmjerivač automatski blokira pokušaj logiranja na 60
sekundi.
Zadnji test koji će biti odrađen je provjera da li primjenjene ACL liste rade.
Konfiguracija ACL liste glasi.
ACL lista 100 kaže usmjerivaču da propusti icmp protokol od bilo kojega korisnika u
mreži prema bilo kojem korisniku u mreži, s tim da propusti samo echo-reply, tj. odgovor za
ping, ostalo sve blokiraj.
Prikazan je pokušaj pinganja računala u VLAN20 mreži s IP adresom 172.16.20.13.
Te je isproban pokušaj pinganja s IP adrese 172.16.20.13 na IP adresu 172.16.10.11.
Rezultati su na slici 55.
Slika 55: Ping 1
Vidljivo je iz slike da ping u ovom smjeru prolazi, rezultati u suprotnom smjeru
prikazani su na slici 56.
91
Slika 56: Ping 2
Vidljivo je iz slika da ping ne prolazi, tj. usmjerivač ga blokira te zaključujemo da
ACL 100 funkcionira.
ACL lista 101 kaže usmjerivaču da propusti tcp protokol od bilo kojega korisnika u
mreži prema korisniku koji ima IP adresu 172.16.60.4, ali samo za port 80, ostalo sve blokiraj.
ACL lista 102 ima istu funkciju kao i prethodna, 102 kaže usmjerivaču da propusti tcp
protokol od bilo kojega korisnika u mreži prema korisniku koji ima IP adresu 172.16.60.5, ali
samo za port 80, ostalo sve blokiraj.
Testirat će se ove ACL liste tako da će se spojiti s računalima iz odjela Računovodstva
i administracije te iz Odjela Razvoja na njihove servere. Rezultati su prikazani na slikama 57.
i 58.
Slika 57: Server Razvoj
92
Slika 58: Server Računovodstvo i administracija
Uspješno se moguće spojiti na navedene servere i zaključak je da ACL liste rade.
Sljedeće testirano biti će spajanje s računala u Odjelu razvoja na server od Računovodstva i
administracije. Rezultati su prikazani na slici 59.
Slika 59: Razvoj – Računovodstvo
93
Vidljivo je iz slike da se nije moguće spojiti na server Računovodstva i administracije
te je zaključak da ACL liste zaista rade.
94
13. ZAKLJUČAK
Virtualna lokalna mreža skupina je uređaja koja ima jednake zahtjeve komunikacije
unutar iste podmreže (engl. subnet). Jedna virtualna lokalna mreža ujedno predstavlja i jednu
broadcast domenu neovisno o tome gdje su locirani uređaji iste virtualne lokalne mreže.
Prednost VLAN-a je ta što omogućava grupiranje pojedinih uređaja u istu podmrežu bez
promjene njihove fizičke lokacije. VLAN-ovi daju fleksibilnost u održavanju, a fizičku mrežu
moguče je učiniti bilo kakvom logičkom mrežom, nadalje podižu sigurnost mreže zbog
razdvajanja prometa među VLAN-ovima, smanjuju troškove mreže te administraciju čine
jednostavnijom. Nedostatci koji se javljaju kod VLAN-ova su: neophodno korištenje Layer 3
uređaja, podjela njegovih sučelja na podsučelja od kojih svako zahtjeva zasebnu IP adresu što
povećava promet na usmjerniku te lakše dolazi do zagušenja prometa, a kod proširenja mreže
potrebno je definiranje novih pravila i modifikacija postojećih.
Bez obzira na nedostatke i veću cijenu opreme koja je potrebna za interVLAN routing on
ima vrlo široku primjenu u izvedbi računalnih mreža iz čega se jasno može zaključiti da su
nedostaci manji u odnosu na prednosti koje osigurava za međusobno povezivanje uređaja u
složenoj računalnoj mreži.
Praktično su prikazani pojedini koraci postupka konfiguracije mreže te je skrenuta
pozornost na potencijalne probleme i rješenja pri izradi sigurnih računalnih mreža.
U vrijeme globalne informatizacije više gotovo i ne postoje tvrtke koje barem u
jednom svojem segmentu ne koriste računalo. Računala su obično povezana u
računalnu mrežu. Računalna mreža postala je okosnica modernog poslovanja. Kako
bi se osiguralo besprekidno i profitabilno poslovanje potrebno je zaštiti resurse i
najvažnije poslovne procese, koji se nalaze ili se pogone putem računalne mreže.
Kroz niz primjera prikazani su načini na koje se računalnu mrežu osigurava
upotrebljavajući moderne tehnologije i pri tome prilagođavajući se potrebama
korisnika. Mreža je uspješno testirana s određenim sigurnosnim prijetnjama koje su i opisane.
95
Popis literature:
Knjige:
1. Kukec, M; Uvod u izgradnju računalne mreže za pristup internetu ; 2007; [1], [2], [6],
[8], [10] ,[17], [18], [20], [25], [26]
2. Bažant, A. .. [et al.]. Osnovne arhitekture mreža. Element, 2003.; [13], [14], [19]
3. Roshan, P. 802.11 bežični LAN : osnove. Čačak : Kompjuter biblioteka, 2005.
4. Underdahl, B. Kućno umrežavanje : praktični vizualni vodič. Zagreb : Miš, 2005.
5. Callaway,, E. H. Wireless sensor networks : architectures and protocols. Boca Raton
[etc.] : Auerbach Publications, cop. 2004
6. Mikić, M; Ugradnja SNMP podrške u protokol za razmjenu ključeva; 2008; [38], [39]
Časopisi:
1. KOM ... : komunikacijske tehnologije i norme u informatici / [urednik Mislav
Polonijo]. Rijeka : CASE, 1995- .
2. CCNA Routing and Switching 200-120 Official Cert Guide Library , Wendell Odom
Članci:
1. Smith, B. Povezivanje LAN-ova. // Byte. 2 (1993), 14 ; str. 36-50.
2. Links, C. Univerzalni bežični Lan-ovi. // Byte. 3 (1994), 19 ; str. 47-51.
3. Kosa, B. LAN/WAN aspects of enterprise-wide computing. // ITA : istraživanja na
području telekomunikacija i informatike. 12 (1993), 1/3 ; str. 295-302.
4. Nance, B. LANtastic 5.0 i Invisible LAN 3.4. // Byte. 2 (1993), 11 ; str. 72-75.
5. Giorgis, T. W. 26 osiguranja protiv gubitka podataka na LAN-u. // Byte. 4 (1995), 29 ;
str. 66-79.
6. Suknaić, M. Wireless LAN integration with 3rd generation mobile communication
systems. // Proceedings Elmar ... / ... International Symposium Elmar. 45 (2003) ; str.
232-238.
7. Belamarić, G. Jednomodna svjetlovodna vlakna i u LAN-u. // KOM ... :
komunikacijske tehnologije i norme u informatici. (2003) ; str. I 1-7.
8. Specifikacija IEEE 802.1P “Standard for Local and Metropolitan Area Networks
Supplement to Media Access Control (MAC) Bridges: Traffic Class Expediting and
Dynamic Multicast Filtering”
96
Internet:
1. Specifikacija IEEE 802.1Q “Standard for Virtual Bridged Local Area Networks”,
http://standards.ieee.org/getieee802/download/802.1Q-1998.pdf : IEEE 802.1Q
Standard; [21], [22], [23]
2. VLAN: Virtual Local Area Network and IEEE 802.1Q,
http://www.javvin.com/protocolVLAN.html; [15],[16],[24]
3. Prioritization of Network Traffic, http://www.linktionary.com/p/prioritization.html
4. 802.1Q VLANs for better bandwidth,
http://www.networkworld.com/news/tech/2001/0305tech.html; [7], [9], [11], [12]
5. http://www.informatika.buzdo.com/s926.htm; [3], [4], [5]
6. http://www.faqs.org/rfc/rfc2409.txt; [27]
7. http://www.faqs.org/rfc/rfc2406.txt; [28]
8. http://www.faqs.org/rfc/rfc3129.txt; [29]
9. http://sistemac.srce.unizg.hr/index.php?id=35&tx_ttnews%5Btt_news%5D=324&cHa
sh=ce58c19e83069a135357ada2175bc18e; [37]
10. http://windows.microsoft.com/hr-HR/windows7/What-is-Network-Access-Protection;
[40]
11. http://www.cert.hr/sites/default/files/CCERT-PUBDOC-2007-09-205.pdf; [31], [32],
[33], [34], [35], [36]
12. http://www.ietf.org/proceedings/56/I-D/draft-ietf-ipsec-jfk-04.txt; [30]
13. http://www.bug.hr/mreza/tekst/network-access-protection/94560.aspx; [42], [47], [48],
[49]
14. http://security.lss.hr/documents [67]
15. Cisco Pacet Tracer Tutorial
97
