11

Sigurnost i zaSigurnost i zašštita ratita raččunarskih unarskih mremrežžaa

(osnovni pojmovi)(osnovni pojmovi)

Mr Nenad KrajnoviMr Nenad KrajnoviććEE--mail: krajkomail: krajko@@etf.bg.ac.yuetf.bg.ac.yu

22

FBI FBI izveizvešštaj o kompjuterskom kriminalutaj o kompjuterskom kriminaluType of crimeType of crime 20012001.. 20022002..

Theft of proprietary informationTheft of proprietary information $ 151.2$ 151.2 $170.8$170.8

Financial fraudFinancial fraud $ 92.9$ 92.9 $115.7$115.7

VirusVirus $ 45.3$ 45.3 $ 49.9$ 49.9

Insider Net AbuseInsider Net Abuse $ 35.0$ 35.0 $ 50.0$ 50.0

SabotageSabotage $ 5.2$ 5.2 $ 15.1$ 15.1

Unauthorized access by insidersUnauthorized access by insiders $ 6.1$ 6.1 $ 4.5$ 4.5

Laptop theftLaptop theft $ 8.8$ 8.8 $ 11.7$ 11.7

Denial of serviceDenial of service $ 4.3$ 4.3 $ 18.4$ 18.4

System penetration by outsidersSystem penetration by outsiders $ 19.0$ 19.0 $ 13.0$ 13.0

TotalTotal $ 378M$ 378M $ 456M$ 456M

33

44

CSI/FBI CSI/FBI analizaanaliza zazašštite kompjuteratite kompjutera

•• CSICSI--Computer Security InstituteComputer Security Institute•• Anketa je sprovedena tokom 2002. godineAnketa je sprovedena tokom 2002. godine•• CSI je zapoCSI je započčeo sa istraeo sa istražživanjima sredinom ivanjima sredinom

1995. godine1995. godine•• Cilj je da se dobije slika o stanju sigurnosti Cilj je da se dobije slika o stanju sigurnosti

i o broju sigurnosnih incidenata.i o broju sigurnosnih incidenata.

55

UUččesnici u anketi po sektorimaesnici u anketi po sektorima

66

UUččesnici u anketi razvrstani po esnici u anketi razvrstani po prihodimaprihodima

77

ZaZaššto je znato je značčajno voditi raajno voditi raččuna o una o sigurnosti mresigurnosti mrežža i sistema?a i sistema?

•• 90% anketiranih je detektovalo sigurnosni 90% anketiranih je detektovalo sigurnosni upad tokom 2002. godineupad tokom 2002. godine

•• 80% je priznalo da je imalo finansijskih 80% je priznalo da je imalo finansijskih gubitaka.gubitaka.

•• 44% anketiranih je priznalo koliki su bili 44% anketiranih je priznalo koliki su bili gubici (zbirni gubici su bili gubici (zbirni gubici su bili $455,848,000)

88

Sigurnosne tehnologije koje se koristeSigurnosne tehnologije koje se koriste

99

Broj napada i njihov izvor?Broj napada i njihov izvor?

1010

Izvor napadaIzvor napada

1111

Inicijator napada?Inicijator napada?

1212

Tipovi Tipovi napada?napada?

1313

VeliVeliččina gubitaka u zavisnosti od ina gubitaka u zavisnosti od vrste napada (2002. godina)vrste napada (2002. godina)

1414

1515

SQL Slammer WormSQL Slammer Worm

1616

Posledice SQL Slammer WormPosledice SQL Slammer Worm--aa

•• Nekoliko ISPNekoliko ISP--a je detektovalo znaa je detektovalo značčajno ajno povepoveććanje saobraanje saobraććaja na aja na peeringpeering ččvorivorišštimatima

•• ProseProseččan gubitak paketa na vrhuncu raan gubitak paketa na vrhuncu rašširenosti irenosti wormworm--a bilo je 20%a bilo je 20%

•• Severna Koreja je skoro potpuno izgubila sve Severna Koreja je skoro potpuno izgubila sve Internet servisInternet servisee za kraza kraćći vremenski periodi vremenski period

•• ATM automati su bili ugroATM automati su bili ugrožženieni•• Neki sistemi za rezervaciju avio karata su bili Neki sistemi za rezervaciju avio karata su bili

zaguzaguššeni ovim eni ovim wormworm--omom

1717

RaspoloRaspoložživo vreme za reakciju?ivo vreme za reakciju?

1818

Kako se zaKako se zašštititi (RFC 2196)?tititi (RFC 2196)?

1.1. Identify what you are trying to protect.Identify what you are trying to protect.2.2. Determine what you are trying to protect it Determine what you are trying to protect it

from.from.3.3. Determine how likely the threats are.Determine how likely the threats are.4.4. Implement measures which will protect your Implement measures which will protect your

assets in a costassets in a cost--effective manner.effective manner.5.5. Review the process continuously and make Review the process continuously and make

improvements each timeimprovements each time a weakness is found.a weakness is found.

1919

Prvi korak Prvi korak –– definisati definisati Security PolicySecurity Policy

““A security policy is a formalA security policy is a formal statement statement of the rules by whichof the rules by which people who are people who are

given access togiven access to an organizationan organization’’s s technology andtechnology and information assets information assets

must abide.must abide.””

RFC 2196, Site Security HandbookRFC 2196, Site Security Handbook

2020

KoriKoriššććenje enje firewallfirewall--a za zaa za zašštitutitu(tipska (tipska ššema)ema)

INTERNETLAN

ruter ruterfirewall

••Po Po pravilupravilu, , firewall firewall se realizuje kao uređaj sa dva ili vise realizuje kao uređaj sa dva ili višše e ethernet ethernet interfejsainterfejsa

••U zavisnosti od naU zavisnosti od naččina realizacije moina realizacije možže da bude:e da bude:

Softverski Softverski –– softver koji se instalira na rasoftver koji se instalira na raččunar opunar opššte namene (PC, te namene (PC, Sun)Sun)

Hardverski Hardverski –– namenski razvijen ranamenski razvijen raččunar sa odgovarajuunar sa odgovarajuććim softveromim softverom

Integrisan sa ruteromIntegrisan sa ruterom

DMZ DMZ DMZ –– De Militarizovana ZonaDe Militarizovana Zona

2121

DMZDMZ•• U DMZ se smeU DMZ se smešštaju serveri koji treba da taju serveri koji treba da

budu vidljivi i sa Interneta i iz lokalne budu vidljivi i sa Interneta i iz lokalne mremrežžee

•• U sluU sluččaju postojanja DMZaju postojanja DMZ--a, a, firewallfirewallnajnajččeeššćće ne dozvoljava direktnu e ne dozvoljava direktnu komunikaciju LAN komunikaciju LAN <<--> Internet > Internet veveććiskljuisključčivo kroz DMZivo kroz DMZ

•• U sluU sluččaju kompromitovanja nekog od aju kompromitovanja nekog od servera u DMZservera u DMZ--u to ne znau to ne značči da je i da je automatski cela mreautomatski cela mrežža kompromitovanaa kompromitovana

2222

Tipovi Tipovi firewallfirewall--a:a:(prema na(prema naččinu rada)inu rada)

•• Proxies (applicationProxies (application--layer firewalls)layer firewalls)•• StatefulStateful•• HybridHybrid•• PersonalPersonal

2323

Proxy firewallProxy firewall•• Ne dozvoljava direktan prolaz saobraNe dozvoljava direktan prolaz saobraććaja aja

između dve mreizmeđu dve mrežže.e.•• Obezbeđuje uspostavljanje Obezbeđuje uspostavljanje ““posrednihposrednih””

konekcija između klijenata sa jedne strane konekcija između klijenata sa jedne strane i servera sa druge strane.i servera sa druge strane.

•• ZnaZnaččajne moguajne moguććnosti za logovanje i nosti za logovanje i tarifiranje saobratarifiranje saobraććaja.aja.

•• U sluU sluččaju HTTP protokola, aju HTTP protokola, web browserweb browser--i i moraju da budu konfigurisani da bi koristili moraju da budu konfigurisani da bi koristili ovakav ovakav firewallfirewall

2424

Statefull firewallStatefull firewall

•• Koristi Koristi access access liste u kombinaciji sa liste u kombinaciji sa pampamććenjem stanja konekcijaenjem stanja konekcija

•• AccessAccess liste filtriraju saobraliste filtriraju saobraććaj u zavisnosti aj u zavisnosti od sadrod sadržžaja odgovarajuaja odgovarajuććih polja u ih polja u zaglavljima IP, TCP, UDP, ICMP,... zaglavljima IP, TCP, UDP, ICMP,... protokola.protokola.

•• Samo Samo accessaccess liste nisu dovoljno da bi se liste nisu dovoljno da bi se kvalitetno zakvalitetno zašštitila mretitila mrežža.a.

2525

Hybrid firewallHybrid firewall

•• Koriste viKoriste višše razlie različčitih tehniitih tehniččkih rekih reššenja:enja:–– access access liste,liste,–– aplikacijski proxy,aplikacijski proxy,–– pampamććenje stanja konekcija.enje stanja konekcija.

•• Pored ovoga mogu da podrPored ovoga mogu da podržžavaju i neke avaju i neke druge funkcije kao druge funkcije kao ššto je VPN terminacija, to je VPN terminacija, HTTP HTTP cachecache, specijalizovani servisi tipa , specijalizovani servisi tipa NTPNTP--a (a (Network Time ProtocolNetwork Time Protocol), IDS ), IDS ((Intrusion Detection SystemIntrusion Detection System), NAT.), NAT.

2626

Personal firewallPersonal firewall

•• Softverski Softverski firewallfirewall koji se instalira na koji se instalira na raraččunaru korisnika.unaru korisnika.

•• ŠŠtiti samo ratiti samo raččunar na kome je instaliran.unar na kome je instaliran.•• U zavisnosti od proizvođaU zavisnosti od proizvođačča, moa, možže da se e da se

realizuje na razne narealizuje na razne naččine. ine. •• NajNajččeeššćće se statie se statiččki podeki podeššava koja od ava koja od

aplikacija moaplikacija možže da koristi mree da koristi mrežžu ili koristi u ili koristi princip princip accessaccess listi.listi.

2727

Realizacija zaRealizacija zašštitetite

•• NajNajččeeššćće se kombinuje vie se kombinuje višše metoda i e metoda i nanaččina zaina zašštite mretite mrežža.a.

•• Pored zaPored zašštite koju prutite koju pružža a firewallfirewall, na , na ruterima se postavljaju i ruterima se postavljaju i accessaccess liste koje liste koje vrvršše inicijalno filtriranje saobrae inicijalno filtriranje saobraććaja. aja.

•• ViVišše nivoska zae nivoska zašštita se najtita se najččeeššćće realizuje e realizuje korikoriššććenjem uređaja i softvera razlienjem uređaja i softvera različčitih itih proizvođaproizvođačča.a.

2828

Primeri napada na mrePrimeri napada na mrežžu: u: SYNSYN atackatack

•• Ka serveru se Ka serveru se ššalje veliki broj TCP paketa alje veliki broj TCP paketa sa setovanim SYN flagom.sa setovanim SYN flagom.

•• Takvi paketi na serverima formiraju Takvi paketi na serverima formiraju poluotvorene konekcije (TCP protokol poluotvorene konekcije (TCP protokol koristi koristi threethree--wayway--handshakinghandshaking).).

•• Posle određenog broja takvih konekcije Posle određenog broja takvih konekcije potropotroššeni su svi resursi servera i nije eni su svi resursi servera i nije mogumogućće uspostaviti nove konekcije.e uspostaviti nove konekcije.

2929

Primeri napada na mrePrimeri napada na mrežžu: u: SMURFSMURF

•• ŠŠalje se ICMP paket (alje se ICMP paket (echo requestecho request) koji ) koji kao kao destination destination IP adresu ima IP adresu ima broadcast broadcast adresu neke mreadresu neke mrežže dok kao e dok kao source source IP IP adresu koristi IP adresu raadresu koristi IP adresu raččunara koga unara koga treba napasti. treba napasti.

•• PoPoššto se takav paket to se takav paket ššalje svim alje svim raraččunarima na mreunarima na mrežži, svi oni i, svi oni ćće svoj e svoj odgovor da poodgovor da poššalju na adresu alju na adresu žžrtve. rtve.

3030

Primeri napada na mrePrimeri napada na mrežžu: u: PINGPING--ofof--deathdeath

•• IskoriIskoriššććen je en je bugbug u realizaciji PING u realizaciji PING servisa.servisa.

•• Ka Ka žžrtvi se upurtvi se upuććuje fragmentirani PING uje fragmentirani PING (ICMP (ICMP echo requestecho request) paket ) paket ččija je ukupna ija je ukupna dudužžina (kada se skupe i sastave svi delovi ina (kada se skupe i sastave svi delovi paketa) vepaketa) većća do 65536 bajtova.a do 65536 bajtova.

•• To dovodi do To dovodi do buffer overflowbuffer overflow--a a ššto je kao to je kao rezultat davalo restartovanje kompletnog rezultat davalo restartovanje kompletnog sistema.sistema.

3131

Primeri napada na mrePrimeri napada na mrežžu: u: LANDLAND

•• Ka Ka žžrtvi se rtvi se ššalje paket koji ima istu alje paket koji ima istu source source i i destination destination IP adresu kao i iste IP adresu kao i iste source source i i destination destination portove. Za IP adresu se uzima portove. Za IP adresu se uzima IP adresa IP adresa žžrtve.rtve.

•• Kada takav paket stigne do raKada takav paket stigne do raččunara, unara, formira se mrtva petlja i to dovodo do formira se mrtva petlja i to dovodo do restartovanja rarestartovanja raččunara.unara.

3232

Primeri napada na mrePrimeri napada na mrežžu: u: DDOSDDOS

•• DDOS DDOS –– Distributed Denial Of ServiceDistributed Denial Of Service•• Za napad se koristi veliki broj raZa napad se koristi veliki broj raččunara sa unara sa

Interneta. Interneta. •• Kod Kod žžrtve dolazi do rtve dolazi do DenialDenial--OfOf--Service Service efekta.efekta.•• Zahteva mreZahteva mrežžu rau raččunara po Internetu preko unara po Internetu preko

kojih kojih ćće ovaj napad biti izazvan.e ovaj napad biti izazvan.•• NajNajččeeššćće se rae se raččunar koji rukovodi napadom ne unar koji rukovodi napadom ne

eksponira direktno.eksponira direktno.

3333

DDOS arhitekturaDDOS arhitekturaInicijator Inicijator napadanapada

ŽŽrtva rtva napadanapada

klijentiklijenti

3434

ZaZašštita od napadatita od napada•• Ruteri i Ruteri i firewallfirewall imaju zadatak da propuimaju zadatak da propušštaju taju

samo onaj saobrasamo onaj saobraććaj koji je u skladu sa aj koji je u skladu sa sigurnosnim pravilima (sigurnosnim pravilima (security policysecurity policy).).

•• Od nekih napada (SYN Od nekih napada (SYN attackattack) se ) se šštitimo titimo ograniograniččavanjem određenog tipa saobraavanjem određenog tipa saobraććaja.aja.

•• Ne postoji zaNe postoji zašštita koja se implementira i tita koja se implementira i šštiti titi mremrežžu za sva vremena.u za sva vremena.

•• Neophodno je svakodnevno pratiti događaje u Neophodno je svakodnevno pratiti događaje u ovoj oblasti i u skladu sa tim deovoj oblasti i u skladu sa tim deššavanjima avanjima usavrusavrššavati zaavati zašštitu mretitu mrežža.a.

3535

AccessAccess listeliste

•• Svaki proizvođaSvaki proizvođačč definidefinišše kako se za e kako se za njegov uređaj specificiraju njegov uređaj specificiraju accessaccess liste.liste.

•• NaNaččin specifikacije in specifikacije accessaccess listi koji koristi listi koji koristi Cisco je dosta Cisco je dosta ččest u praksi.est u praksi.

•• Primenom Primenom access access listi na ruterima mogu listi na ruterima mogu da se postignu dosta dobri efekti u zada se postignu dosta dobri efekti u zašštiti titi raraččunarskih mreunarskih mrežža.a.

3636

3737

SadrSadržžaj aj access access liste:liste:

•• Kroz Kroz access access listu mogu da se kontrolilistu mogu da se kontroliššu u sledesledećći parametri u IP datagramu:i parametri u IP datagramu:–– Source Source i i destination destination IP adresaIP adresa–– Protokol (TCP, UDP, ICMP,...)Protokol (TCP, UDP, ICMP,...)–– Port u okviru zaglavlja protokola iznad IPPort u okviru zaglavlja protokola iznad IP--aa–– Neki flagNeki flag--ovi u IP zaglavljuovi u IP zaglavlju

3838

Prednosti i mane Prednosti i mane access access liste:liste:

•• Relativno lako se implementira u uređajuRelativno lako se implementira u uređaju..•• U zavisnosti od implementacije U zavisnosti od implementacije

omoguomoguććava dosta detaljno razdvajanje ava dosta detaljno razdvajanje saobrasaobraććaja.aja.

•• Posmatra svaki paket nezavisno Posmatra svaki paket nezavisno ššto to omoguomoguććava hakerima da ih zaobiđuava hakerima da ih zaobiđu..

•• Ne analizira sadrNe analizira sadržžaj paketa (deo sa aj paketa (deo sa podacima iz aplikacije).podacima iz aplikacije).