ZATITA MAIL SERVERA NA NIVOU MRENE INFRASTRUKTURE

dipl. ing. Jelena Milojkovi1, Repub.zavod za statistiku Srbije, mima@statserb.sr.gov.yu dipl. ing. Rastko oki2, Repub.zavod za statistiku Srbije, rsoskic@statserb.sr.gov.yu Apstrakt: Ovaj rad se bavi pregledom nekih od moguih napada na mail server, i mogunou zatite mail servera od tih napada, na nivou mrene infrastrukture. Kljune rei: zatita, mail, server, Internet, mrea.

IMPLEMENTING A SECURE NETWORK FOR MAIL SERVER

Abstract: This paper gives the overview of some attacks and defences for the mail server. Defences that are described are implemented on the network infrastructure level. Key words: protection, mail, server, Internet, network.

UVOD
Mrena infrastruktura igra veoma vanu ulogu u zatiti mail servera, zato to je to prva linija odbrane izmeu Interneta i mail servera. Na nivou mrene infrastrukture se prvenstveno obezbeuje raspoloivost i kontrola pristupa mail serveru. Treba napomenuti da se apsolutna zatita ne moe ostvariti. Doslednom primenom metoda i postupaka zatite moe se znatno oteati njeno naruavanje, to i jeste glavni cilj svakog sistema primenjene zatite. Ovaj rad se ograniava na mogunost zatite mail servera na nivou mrene infrastrukture.

1 VRSTE NAPADA
Napadi mogu biti izvedeni izuzetno jednostavnom tehnologijom (npr. lanim predstavljanjem slubeniku kompanije u telefonskom razgovoru) ili korienjem visoke tehnologije (npr. prebacivanje adrese web sajta na drugi server). U daljem tektu bie opisane neke od vrsta napada koje se mogu spreiti ili oteati na nivou mrene infrastrukture. Peslikavanje skeniranje sistema. Svrha skeniranja sistema je da se to vie sazna o meti pre napada jer time napada smanjuje verovatnou da e biti uhvaen, i ima vee izglede za uspeh napada koji sledi. Program kao to je ping moe da se upotrebi da bi se utvrdile IP adrese maina u mrei jednostavnim posmatranjem koje adrese odgovaraju na poruku ping. Skeniranje portova odnosi se na tehniku skvencijalnog kontaktiranja (preko zahteva za TCP konekciju, ili preko jednostavnog UDP dijagrama) brojeva portova na maini i gledanja ta se deava kao odgovor. Skeniranjem portova napada moe otkriti propuste u zatiti i kroz neki nepotrebno otvoreni port ugroziti sistem. IP varanje IP spoofing. Svaki ureej povezan sa Internetom obavezno alje IP datagrame u mreu. Ti datagrami nose adresu poilaoca (i primaoca), kao i podatke iz vieg sloja. Korisnik sa potpunom kontrolom nad softverom ureaja (posebno njegovim operativnim sistemom) moe lako da promeni protokole ureaja tako da postave proizvoljnu IP adresu u polje datagrama rezervisano za IP adresu izvora. To se zove IP varanje (IP spoofing). Korisnik napada na taj nain moe da napravi IP paket koji po elji sadri bilo kakve podatke (iz vieg sloja) u korisnom teretu sa proizvoljnog raunara. IP varanje se esto koristi u napadima odbijanja usluge da bi se sakrio organizator napada. Sa lanom IP adresom izvora u datagramu, teko je pronai raunar koji je stvarno poslao datagram. Napadi odbijanja usluge denial of service DoS. iroku klasu bezbednosnih pretnji ine napadi odbijanja usluge DoS napadi. Kao to im ime nagovetava, DoS napadi ine mreu, raunar ili neki deo mrene infrastrukture neupotrebljivim za legitimne korisnike. DoS napad obino deluje tako to stvara toliko mnogo posla za infrastrukturu koja mu je izloena, da legitimni rad ne moe da se obavi. Postoji vie vrsta DoS napda, neki od njih su: Ping of Death. Program ping spada u pomone programe, kojim se proverava da li izmedu neka dva ureaja u mrei uopte postoji veza. Kada jedan ureaj poalje jedan ili vie ping paketa drugom ureaju, ovaj ukoliko ih dobije, automatski odgovara na njih. Ping paket ima strogo definisan format i operativni sistemi i njihovi programi za podrku TCP/IP protokolima to rutinski podravaju. Ukoliko se nekoj maini namerno poalje ping paket suvie velike duine, u zavisnosti od tipa operativnog sistema, ureaj moe jednostavno da se blokira i prestane da radi. Da bi se ureaj povratio, potrebno ga je restartovati, to, kad je server u pitanju, moe da bude prilino neprijatna

stvar. Ping of Death je, veoma jednostavan i efikasan DoS napad, poto se deava da jedan jedini poslati paket blokira radnu stanicu ili server. Pozitivno je, da je ovaj problem kod veine savremenih operativnih sistema ipak reen, ali su starije verzije, ukoliko nisu "zakrpljene", i dalje izloene opasnosti. Smurf napad napad trumfova. Smurf napad radi tako to veliki broj nevinih raunara odgovara na pakete zahteva ICMP eho (ping) koji sadre lanu IP adresu izvora. Kao IP adresa izvora stavlja se IP adresa ureaja (raunar, ruter, firewall) koji se eli napasti. Rezultat je veliki broj paketa odgovora na komandu ping koja se alje na IP adresu koja je navedena kao izvorina IP adresa. Fraggle. Fraggle DoS napad je slian Smurf napadu, izuzev to Fraggle koristi UDP echo i UDP echo reply poruke umesto ICMP poruka. Poto se UDP echo poruke inae filtriraju, manja je verovatnoa da e ovaj tip napada imati uticaja na rad sistema kao to to ima Smurf napad. SYN poplava SYN flood. SYN napad koristi rupu u TCP/IP pri autentifikaciji server-klijent, koja se naziva three-way handshake (tri naina rukovanja). Da bi se shvatio ovaj nain napada mora se znati prvo na koji nain Windows autentifikuje klijente koji mu pristupaju. Kada raunar pristupa drugom raunaru njihov dogovor se odvija u tri koraka (slika 1.): prvo klijentski raunar alje paket raunaru kome pristupa (recimo serveru) i taj paket se zove SYN, potom server odgovara klijentu SYN/ACK paketom, i na kraju, klijent alje paket ACK (acknowledgement) da prihvata dogovorenu komunikaciju. U prvom paketu koji alje klijent nalazi se zahtev za uspostavljanje komunikacije, IP adresa klijenta, da bi server mogao da mu odgovori, i ISN (initial sequnce number), koji je potreban serveru da bi pravilno sastavio pakete koje mu alje klijent. U paketu koji server alje klijentu nalaze se isti podaci, samo sada idu od strane servera. Pri SYN napadu, napada potapa server paketima TCP SYN, od kojih svaki ima lanu IP adresu izvora. Server, nemoan da napravi razliku izmeu legitimnog i lanog SYN-a, zavrava drugi korak TCP potvrivanja spremnosti za prenos za lani SYN, dodeljujui strukturu i stanje podataka. Napada nikad ne izvri trei korak trostruke sinhronizacije, ostavljajui za sobom delimino otvorene konekcije iji se broj stalno poveava. Optereenje SYN paketima koji treba da se obrade i iscrpljivanje slobodne memorije na kraju baca server na kolena. SYN Flood napad, u zavisnosti od operativnog sistema i njegove konfiguracije, moe da izazove potpuno zaguenje komunikacija ili ak totalno obaranje sistema. Poto je ova vrsta napada bazirana na samom TCP protokolu, SYN Flood je veoma teko otkloniti. Odgovarajuim podeavanjem rutera ili firewall-a moe se samo zaustaviti obaranje sistema, ali ne i zaguenje. Iako pojedini operativni sistemi uvode neke mere za otklanjanje mogucnosti ovog napada, vetim hakerskim manipulacijama se i ove mere mogu izbeci.

Slika 1. TCP sinhronizacija u tri koraka: razmena segmenata Distribuirani napadi odbijanja usluge Distributed Denial of Service DDoS. U napadu distribuiranog odbijanja usluge DDoS. Napada najpre treba da dobije pristup korisnikim nalozima na brojnim raunarima na Internetu (npr., uhoenjem lozinki ili drugim vrstama prodora u korisnikov nalog. Napada onda instalira i puta u rad program-slugu na svakoj od lokacija, koji tiho eka komandu od programagospodara. Sa velikim brojem takvih programa-slugu koji se izvravaju, programgospodar onda uspostavlja kontakt i nalae svakom od njih da zapone napad odbijanja usluge usmeren na isti ciljni raunar rtvu. Rezultujui koordinirani napad je posebno razoran, zato to dolazi sa velikog broja napadakih raunara u isto vreme.

2. MRENA LOKACIJA MAIL SERVERA

Prva i, u veini sluajeva, najvanija odluka kada je u pitanju zatita na nivou mrene infrastrukture je smjetanje mail servera na odreenu lokaciju u mrei. Lokacija je vana zato to time odreujemo koje komponente mrene infrastrukture moemo iskoristiti za zatitu mail servera na mrenom nivou i koji e delovi mree jo biti ranjivi u sluaju napada na mail server.

2.1 Primeri loe lokacije za mail server

Lo primer postavljanja javnog mail servera, je postavljanje unutar lokalne mree tj. postavljenje mail servera u mreu u kojoj se nalaze interni korisnici i serveri. Glavna slabost ovakvog sistema je u tome to se zbog potrebe pristupa mail serveru sa strane Interneta moraju na aktivnoj mrenoj opremi ostaviti odgovarajui prolazi i na taj nain korisnici iz spoljanjeg sveta su u mogunosti da ugroze osim mail servera i lokalnu raunarsku mreu. U ovom sluaju se lokalna mrea izlae potpuno nepotrebnom riziku. Druga mrena lokacija koja se ne preporuuje je postavljanje mail servera ispred firewall-a ili rutera koji titi lokalnu mreu (LAN) putem filtriranja saobraaja na mrenom sloju (filtriranje IP paketa). U ovom sluaju mail server ne ugroava lokalnu mreu ali je sam ostao bez ikakve zatite koju mu mogu pruiti ureaji kao to su ruter i firewall. Jedina zatita koju ima mail server u ovom sluaju je zatita koju sam sebi moe pruiti na nivou operativnog sistema i na nivou aplikacije to nije dovoljno.

2.2 Demilitarizovana zona (DMZ)

Demilitarizovana zona je segment mree koji se moe opisati kao "neutralna zona" umetnuta izmeu lokalne mree (intraneta) i spoljanje mree (Interneta). Smjetanjem mail servera u demilitarizovanu zonu spreavamo spoljanje korisnike mail servisa , da pristupe lokalnoj mrei oraganizacije koja je vlasnik tog mail servera. Demilitarizovana zona omoguava pristup mail serveru i korisnicima iz lokalne mree i korisnicima sa Interneta. U daljem tekstu bie opisane neke mogue konfiguracije demilitarizovane zone.

Slika 2. Jednostavan DMZ sa jednim firewallom Jedan od najjednostavnijih naina kreiranja demilitarizovane zone je postavljenje firewalla izmeu izlaznog ruter-a i unutranje mree (Slika 2.). Tako se stvara novi segment mree (izmeu izlaznog rutera i firewall-a) gdje se moe postaviti mail server

(i svi ostali serveri potrebni za pruanje usluga javnih servisa). U ovom primeru zatita mail servera se vri pomou liste za kontrolu pristupa ACL (access control lists) koja se postavlja na izlaznom ruteru i kojom se ograniava odreeni tip saobraaja u i iz DMZ-a. Ova konfiguracija DMZ je jednostavno i jeftino rjeenje, a prisutna je i zatita mail servera od strane izlaznog ruter-a. Ovo reenje moe biti odgovarajue za male organizacije koje su izloene minimalnim pretnjama. Glavni nedostatak konfiguracije je u tome to izlazni ruter nije "svestan" mail protokola na aplikacionom sloju (SMTP, POP3, IMAP) tako da on nije u stanju da sprei napade takvog tipa na mail server. Pored toga ruter nije u stanju da prui anti-virusnu zatitu i da skenira dolaznu e-potu. Poboljanje konfiguracije postie se postavljanjem jo jednog firewall-a izmeu izlaznog ruter-a i DMZ-a. Konfiguracija je prikazana na Slici 3.

Slika 3. DMZ sa dva firewall-a Konfiguracija DMZ-a pomou dva firewall-a prua veoma dobru zatitu mail servera. Sigurnosna pravila koja se mogu podesiti na firewall-u su mnogo efikasnija i sloenija nego ona koja se mogu dobiti sa ruter-om. Osim toga firewall-ovi su esto sposobni da analiziraju ulazni i izlazni saobraaj e-pote, mogu registrovati i spreiti napade na aplikacijskom sloju. Mana ovakve konfiguracije DMZ je u tome to u zavisnosti od konfiguracije firewall-ova i sa velikom koliinom saobraaja dolazi do znaajnijeg gubitka performansi sistema. Za organizacije koje ele nivo zatite koju prua konfiguracija sa dva firewall-a, ali nemaju materijalne mogunosti i da ih nabave, postoji reenje sa jednim firewall-om koji poseduje tri (ili vie) mrenih adaptera. Jedan mreni adapter se povezuje sa lokalnom mreom (inside interface), drugi adapter se povezuje sa izlaznim ruter-om (outside interface), a trei adapter se povezuje sa DMZ-om. Ako postoji vie od tri mrena adaptera mogue je formirati konfiguraciju sa vie demilitarizovanih zona. Konfiguracija DMZ-a sa jednim firewall-om sa tri mrena adaptera prikazana je na slici 4.

Slika 4. DMZ sa jednim firewall-om sa tri mrena adaptera

3. AKTIVNA MRENA OPREMA

Kada se mail server postavi na izabranu lokaciju u mrei potrebno je aktivne elemente mrene infrastrukture podesiti da podravaju i tite mail server. Najee korieni elementi mrene infrastrukture koji imaju uticaja na bezbednost mail servera su: ruteri i firewall-ovi. Svaki od ovih ureaja ima svoju ulogu u cilju zatite mail servera. Pojedinano oni nisu u stanju zatititi mail server od svih vrsta pretnji i napada.

3.1 Ruter
Ruteri (routers usmerivai) rade tano ono to im i ime kae: usmeravaju podatke izmeu mrea. Na putu izmeu dve mree moe postojati veoma veliki broj rutera i njihova namena je da proslede paket na eljeno odredite. Pomou rutera se lokalna mrea povezuje sa telekomunikacionom mreom i na taj nain se ostvaruje komunikacija izmeu LAN-a i Interneta. Ruter takoe moe da radi i kao regulator saobraaja, filtriranjem. Zbog ove osobine ruter se moe koristiti i u cilju zatite resursa koji se tite kao to je mail server. Zapravo ruter funkcionie kao firewall mrenog sloja (familije internet protokola) i moe da prui filtriranje paketa na osnovu: IP adrese izvora IP adrese odredita Tipa ICMP poruke. ICMP Internet Control Message Protokol je protokol koji koriste raunari i ruteri za meusobno prenoenje informacija o mrenom sloju. Naredbom ping alje se navedenom raunaru ICMP poruka tipa 8 sa ifrom 0, odgovor raunara na ping je ICMP poruka tipa 0 ifre 0. TCP/UDP broja porta (samo neki ruteri)

3.2 Firewall
Firewall je ureaji koji se koristi za kreiranje kontrolnih taaka bezbednosti (chekpoints), na granicama privatnih mrea. Na ovim kontrolnim takama firewall-ovi ispituju sve pakete koji prolaze izmeu privatne mree i Interneta. U zavisnosti od toga da li paket odgovara ili ne pravilima politike programirane na firewall-u, paket se proputa ili odbacuje. Postoje na stotine raspoloivih firewall proizvoda kao i mnotvo razliitih teorija strunjaka za bezbednost o tome kako treba koristiti firewall-ove u cilju zatite resursa. Grubo se mogu podeliti na: firewall-ove mrenog sloja koji mogu filtrirati pakete na osnovu IP adrese izvora/odredita, i na osnovu TCP/UDP broja porta. firewoll-ove aplikacionog sloja jo se nazivaju i proxy firewall-ovi. U stanju su da razumeju i filtriraju saobraaj elektronske pote na osnovu njenog sadraja i na osnovu komandi porotokola e-pote. Firewall se nalazi na granici mree i povezan je direktno na ruter koji omoguava pristup drugim mreama. Iz tog razloga firewall-ovi su poznati kao pogranino obezbeenje. Ovakav koncept pograninog obezbeenja veoma je bitan bez njega svaki host (domain) na mrei morao bi sam da obavlja funkciju firewall-a, bespotrebno troei svoje resurse i poveavajui vreme potrebno za povezivanje, autentifikaciju i ifrovanje podataka. Firewall-ovi omoguavaju centralizaciju svih bezbednosnih servisa na spoljnim ureajima koji su optimizovani i posveeni zadatku zatite. Firewall-ovi primarno funkcioniu koristei tri osnovna metoda: Filtriranje paketa. Prihvatanje ili odbijanje paketa u zavisnosti od IP adresa izvora odredita i TCP-UDP broja porta a na osnovu definisane liste za kontrolu pristupa ACL (access control lists).

Prevoenje mrenih adresa (Network Address Translation NAT). IP adrese unutranjih hostova se prevode u spoljnu ili spolje adrese i tako skrivaju od spoljnog praenja.

3.3 Filtriranje paketa za pristup mail serveru u DMZ

Postoje dva osnovna pristupa podeavanja bezbednosti. Prvi, pesimistiki, gde se zabranjuje sav saobraaj osim onog koji je neophodan i drugi, optimistiki, gde se dozoljava sav saobraaj osim onog za koji se zna da je tetan. U svrhu bezbednosti, trebalo bi uvek imati pesimistiki pristup, jer optimistiki pristup podrazumeva da je unapred poznata svaka mogua pretnja, to je nemogue. Filtriranje paketa na ruterima i firewall-ovima vri se pomou listi za kontrolu pristupa ACL (access control lists) koje se mogu postaviti na svakom od interfejsa ovih ureaja. ACL na interfejsu mogu biti ulazne i izlazne. Osnovni principi pri korienju filtriranja paketa su: zabrana svih protokola i adresa osim onih koji su neophodni odbacivanje ICMP poruka za redirekciju i eho (ping). odbacivanje svih spoljnih auriranja protokola rutiranja (RIP, OSPF) za rutere na mrei koja se titi (u DMZ najverovatnije uopte nema rutera ali to je stvar konfiguracije mrene infrastrukture organizacije) u zatiti mree ne oslanjati se samo na filtriranje paketa. Filtriranjem paketa moemo odbaciti sve pakete zahteva ICMP eho (ping) i time zatititi mail server od napada kao to su Smurf, Fraggle i Ping of death.

3.4 Prevoenje mrenih adresa (Network Address Translation NAT).

Prevoenje adresa iz mree reava problem skrivanja IP adresa unutranjih ureaja. NAT je zapravo proxy mrenog sloja: jedan host ini zahteve u ime svih unutranjih hostova. Na taj nain on skriva njihov identitet na javnoj mrei. NAT skriva adrese unutranjih ureaja, konvertujui ih u adresu firewall-a. Gledano sa Interneta, sav saobraaj sa Vae mree izgleda kao da dolazi sa jednog, ekstremno zaposlenog raunara. NAT efikasno skriva sve TCP/IP informacije unutranjih hostova od oiju Interneta. Ovim se oteava napad skeniranja sistema.

3.5 Primer zatite mail servera od DoS napada

U ovom primeru bie prikazana osnovna pravila filtriranja paketa koja treba postaviti u ACL u cilju zatite mail servera (i ostatka mree) od DoS napada. U ovom sluaju izabran je ruter kao ureaj za filtriranje ali se pravila takoe mogu postaviti i na firewally. Mrena konfiguracija prikazana je na slici 5.

Slika 5. Zatita mail servera od DoS napada

Osnovna pravila:

(1a) Router(config)# access-list 100 deny ip any 192.1.1.0 0.0.0.0 (1b) Router(config)# access-list 100 deny ip any 192.1.1.255 0.0.0.0 (1c) Router(config)# access-list 100 deny ip any 192.1.2.0 0.0.0.0 (1d) Router(config)# access-list 100 deny ip any 192.1.2.255 0.0.0.0 (2) Router(config)# access-list 100 permit icmp any host 192.1.2.9 echo-reply (3) Router(config)# access-list 100 deny icmp any any echo (4) Router(config)# access-list 100 deny icmp any any echo-reply (5) Router(config)# access-list 100 deny udp any any eq echo (6) Router(config)# access-list 100 deny udp any eq echo any (7) Router(config)# access-list 100 permit tcp any host 192.1.1.1 eq 80 established (8) Router(config)# access-list 100 permit tcp any host 192.1.1.1 eq 80 (9) Router(config)# access-list 100 permit tcp any host 192.1.1.2 eq 25 established (10) Router(config)# access-list 100 permit tcp any host 192.1.1.2 eq 25 (11) Router(config)# access-list 100 deny ip any any Access lista 100 pridruuje se interfejsu S0 kao ulazna ACL. Router(config)# interface serial0 Router(config-if)# ip access-group 100 in U primeru ove ACL osim pravila pomou kojih se filtrira saobraaj postoje i dodatna pravila koja slue za detektovanje nekog od DoS napada: direktni broadcast napad (redovi 1a 1d), koji se koristi u okviru mnogih DoS napada; Smurf napad (redovi 2, 3, i 4); Fraggle napad (redovi 5 i 6); i TCO SYN poplava (redovi 7 i 8): U sluaju Smurf napada, broj pogodaka za redove 2 i 4 naglo raste, to je indikacija da ste direktna rtva smurf napada. U sluaju da napada pokuava da vae resurse iskoristi za reflektovanje napada na nekog drugog, broj pogodaka u redu 3 naglo raste. Potrebno je jo omoguiti beleenje dogaaja (logging) na ruteru. Za Fraggle, napad, ako broj pogadaka za red 5 naglo poraste to je indikacija da ste rtva, veliki broj pogodaka za red 6 indicira da ste reflektor napada. U sluaju TCP SYN napada, prikazae se broj pogodaka za redove 8 i 10 mnogo puta vei od oekivanog za normalan saobraaj. Treba primetiti da redovi 7, 8, 9 i 10 proputaju a ne blokiraju saobraaj ka mail serveru (i web serveru) jer bi inae i legalan saobraaj bio blokiran. Ipak na ovaj nain ako doe do napada to e moi da se primeti, prati i da se reaguje. Poto postoji mnogo oblika napada TCP poplave (flood), koji koriste razliite TCP zastavice (flags), redovima 7 i 9 se prate TCP paketi sa drugaijim vrednostima zastavica (delovi TCP segmenta koji nose odreene informacije). Takoe, redovi od 1a 1d blokiraju saobraaj na mrenu adresu i na adresu direktnog broadcast-a za oba segmenta unutranjih mrea (DMZ i LAN). Ove adrese se esto koriste za DoS napad. Firma CISCO, napravila je softverski paket kojim je mogue nadgraditi CISCO operativni sistem rutera ime ruter dobija neke mogunosti kontrole saobraaja na aplikacionom nivou. Naziv tog sigurnosnog softverskog paketa je Cisco Secure Integrated Firewall Software.

Da bi se dodatno zatitio mail server od napada tipa TCP SYN poplave, Smurf i Fraggle potrebno je osim kreiranja ACL podesiti jo neke parametre na ruteru. U okviru dodatnog softverskog paketa postoji set komandi pomou kojih se moe definisati i ograniiti vreme za koje treba da se uspostavi konekcija, koliko dugo konekcija moe biti neaktivna i sl. Na ovaj nain ruter je u stanju da prekine sesiju koja se na osnovu postavljenih parametara moe smatrati sumnjivom. Neke od komandi koje se mogu iskoristiti za zatitu mail server od DoS napada su: ip inspect tcp synwait-time seconds definie koliko dugo e softver ekati da TCP konekcija bude uspostavljena (zavren trei korak sinhronizacije) pre nego to je odbaci i prekine. Unapred odreena vrednost je 30 s. ip inspect tcp finwait-time seconds definie koliko dugo e se opsluivati TCP konekcija od trenutka kada ruter ili firewall detektuju signal spremnosti da se TCP konekcija zatvori FIN-excange. Unapred odreena vrednost je 5 s. ip inspect tcp idle-time seconds definie koliko e se dugo opsluivati TCP sesija koja ne pokazuje znake aktivnosti. Unapred odreena vrednost je 3600 s - 1 sat. ip inspect udp idle-time seconds - definie koliko e se dugo opsluivati UDP sesija koja ne pokazuje znake aktivnosti. Unapred odreena vrednost je 30 s. ip inspect dns-timeout seconds definie koliko e se dugo opsluivati sesija za razreenje DNS imena koja ne pokazuje znake aktivnosti. Unapred odreena vrednost je 5 s. ip inspect max-incomplete high number - definie broj postojeih napola otvorenih sesija koji e uticati na softver da pone da brie te napola otvorene sesije. Unapred odreena vrednost je 500. ip inspect max-incomplete low number - definie broj postojeih napola otvorenih sesija koji e uticati na softver da prestane da brie te napola otvorene sesije. Unapred odreena vrednost je 400. ip inspect one-minute high number - definie broj novih neuspostavljenih sesija u vremenskom periodu od 1 minuta koji e uticati na softver da pone da brie napola otvorene sesije. Unapred odreena vrednost je 500. ip inspect one-minute low number - definie broj novih neuspostavljenih sesija u vremenskom periodu od 1 minuta koji e uticati na softver da prestane da brie napola otvorene sesije. Unapred odreena vrednost je 400. ip inspect tcp max-incomplete host number block-time minutes u ovoj komandi postoje dva parametra. Parametar number definie koliko poluotvorenih TCP sesija sa iste IP adrese je dozvoljeno pre nego to softver pone da ih brie, poetna vrednost je 50. Dugi parametar minutes odreuje koliko dugo e se odbijati novi zahtevi za konekcijom sa te IP adrese (od trenutka kada su poeli da se briu), poetna vrednost je 0 minuta. Sa podeavanjem ovih vrednosti na ruteru mora se biti paljiv jer ako se stavi previe kratko vreme ili premali broj napola otvorenih sesija moe se desiti da u vreme poveanog legitimnog saobraaja ruter ometa normalan rad i saobraaj. Primer vrednosti koje bi se mogle preporuiti za manju mreu (~250 raunara) su: # ip inspect tcp synwait-time 20 # ip inspect tcp idle-time 60 # ip inspect udp idle-time 20 # ip inspect max-incomplete high 400 # ip inspect max-incomplete low 300 # ip inspect one-minute high 600 # ip inspect one-minute low 500 # ip inspect tcp max-incomplete host 300 lock-time 0

4. ZAKLJUAK
Mrena infrastruktura igra veoma vanu ulogu u zatiti mail servera, zato to je to prva linija odbrane izmeu Interneta i mail servera. Kakva e biti mrena infrastruktura koja podrava mail server zavisi ne samo od potrebe za zatitom ve i od materijalnih mogunosti organizacije, potrebnih performansi i pouzdanosti sistema. Mrena infrastruktura, ne moe sama zatiti mail server, jer frekvencija, sofisticiranost i razliitost dananjih napada na mail sisteme utiu na to da zatita mora biti implementirana na razliitim segmentima sistema i na razliitim slojevima familije Internet protokola. Sprovoenjem zatite mail servera, na nivou mrene infrastrukture smanjuje se mogunost neeljenih upada u sistem i DoS (Denial Of Service) napada na mail servis, a time se poveava dostupnost podataka na mail serveru. Zatitom na mrenom nivou mail server nije zatien od napada na SMTP, POP3 i IMAP aplikacije, neeljene pote (spam-a) i virusa. Zatita mail servera je neprestani proces koji zahteva konstantno prisustvo truda, sredstava i budnosti.

5. LITERATURA
1. James F. Kurose, Keith W. Ross (2005); "Umreavanje raunara od vrha ka dnu", Pearson Education, Inc. 2005, prevod CET Beograd 2. Miles Tracey, Wayne Jansen and Scott Bisker (2002); "NIST Special publication 800-45 Guidlines on Eletronic Mail Security", Gaithersburg 3. Richard A. Deal (2004); "Cisco Router Firewall Security", Cisco Press 4. Matthew Strebe, Charles Perkins (2003); "Firewalls zatita od hakera", SYBEX 2002, prevod Kompjuter biblioteka 5. Stuart McClure, Joel Scambray, George Kurtz (2002); "Hakerske tajne zatita mrenih sistema", The McGraw-Hill Companies 2001, prevod Mikro knjiga 2002. 6. Steve McQuerry, "Povezivanje Cisco mrenih ureaja", Cisco Press 2000, prevod CET 2001. 7. J. F. DiMarzio, "Rutiranje", SAMS Publising 2002, prevod Kompjuter biblioteka 2002. 8. Mark Tripod, "Cisco ruteri Konfigurisanje i reavanje problema", New Readers Publishing 2000, prevod CET 2000. 9. Kris Brenton, Bob Abuhof, "Cisco Ruteri", Sybex 2002, prevod Kompjuter biblioteka 2003. 10. Toby J. Velte, Anthony T. Velte, "Osnove Cisco tehnologija", Osborne 2001, prevod Kompjuter biblioteka 2002.