Пређи на садржај

Zaštita računarskih mreža

С Википедије, слободне енциклопедије

Zaštita računarskih mreža i njihovo nadgledanje je od izuzetnog značaja za normalan rad IT infrastrukture. U mogućnosti smo da implementiramo zaštitu na više nivoa, kao i na serverima i radnim stanicama. Pored aktivne zaštite, imamo rešenja za aktivno praćenje saobraćaja na mreži uz pomoć NetFlow protokola. Nakon implementiranog rešenja sprovodimo akciju simulacije napada iz spoljne i unutrašnje sredine, radi provere postavljene zaštite.

Osobine bezbedne komunikacije

[уреди | уреди извор]

Poželjne osobine bezbedne komunikacije :

  • Poverljivost. Trebalo bi da samo pošiljalac i nameravani primalac razumeju sadržaj prenesene poruke. S obzirom na to da prisluškivači mogu da presretnu poruku, to obavezno zahteva da ona bude nekako šifrovana, tako da presretnutu poruku prisluškivač ne može da dešifruje.
  • Integritet poruke. Čak i kad su pošiljalac i primalac u stanju da međusobno provere svoju autentičnost, oni takođe žele da obezbede da se sadržaj ne promeni, bilo zlonamerno, bilo nesrećnim slučajem tokom prenosa. Za obezbeđivanje takvog integriteta poruke mogu se koristiti proširenja tehnika kontrolnih zbirova.
  • Provera autentičnosti krajnjih tačaka. I pošiljalac i primalac trebalo bi da mogu da se uvere u identitet druge strane u komunikaciji. U ljudskoj komunikaciji licem u lice taj problem se lako rešava vizuelnim prepoznavanjem, dok kod entiteta koji komuniciraju razmenjujući poruke preko medijuma, provera autentičnosti nije tako jednostavna.
  • Operaciona bezbednost. Skoro sve organizacije danas imaju mreže koje su povezane sa javnim internetom. Te mreže potencijalno mogu postati meta napadača koji mrežama pristupaju preko javnog interneta. Napadači mogu da pokušaju da postave crve u računare te mreže, pribave korporacijske tajne, preslikaju internu konfiguraciju mreže i pokrenu napade odbijanja usluga (DoS).

Principi kriptografije

[уреди | уреди извор]

Iako kriptografija ima dugu istoriju koja datira još od Julija Cezara, savremene kriptografske tehnike, uključujuci i mnoge od onih koje se koriste na današnjem internetu, zasnovane su na dostignućima iz poslednjih 30 godina. Detaljan tehnički opis kriptografije, posebno iz aspekta mreže, nalazi se u Kaufmanovoj knjizi. Kriptografske tehnike dozvoljavaju pošiljaocu da maskira podatke tako da uljez ne može da dobije nikakvu informaciju iz presretnutih podataka. Primalac mora da bude u stanju da izvuče originalne podatke iz maskiranih podataka.

Kriptografija simetričnog ključa

[уреди | уреди извор]

Svi kriptografski algoritmi uključuju zamenu jedne stvari drugom (npr. Uzimanje dela otvorenog teksta, a zatim izračunavanje i zamenu tog teksta odgovarajućim šifrovanim tekstom, sve u cilju pravljenja šifrovane poruke ). Veoma star jednostavan algoritam simetričnog kljuca se pripisuje Juliju Cezaru, poznat kao Cezarova šifra. Poboljšanje Cezarove šifre je jednoazbučna šifra, gde se takođe jedno slovo azbuke zamenjuje drugim, ali umesto da se zamena vrši u skladu sa nekim pravilnim uzorkom, svako slovo može biti zamenjeno bilo kojim drugim slovom, ali da svako slovo ima jedinstveno slovo koje ga zamenjuje i obrnuto. Posle pet godina, pronađene su tehnike poboljšanja jednoazbučnog šifrovanja, poznate kao višeazbučno šifrovanje. Ideja na kojoj se zasniva višeazbučno šifrovanje leži u tome da se koristi više jednoazbučnih šifara, gde se konkretna jednoazbučna šifra primenjuje za kodovanje slova na određenoj poziciji u poruci otvorenog teksta. Postoje dve široke klase tehnika za simetrično šifrovanje :

  • Protočno šifrovanje
  • Blokovsko šifrovanje

Šifrovanje javnim ključem

[уреди | уреди извор]

Tokom više od 2000 godina, šifrovana komunikacija zahtevala je da dve strane koje komuniciraju dele zajedničku tajnu – simetrični ključ koji koriste za šifrovanje i dešifrovanje. Jedna od teškoća ovakvog pristupa jeste da dve strane nekako moraju da se sporazumeju o zajedničkom ključu. Upotreba kriptografije javnim ključem je u suštini sasvim jednostavna. Iako je algoritam jednostavan, mogu se javiti dva problema. Algoritam RSA postao je skoro sinonim za kriptografiju javnim kljucem. Postoje dve međusobno povezane komponente algoritma RSA :

  • Izbor javnog i privatnog ključa
  • Algoritam za šifrovanje i dešifrovanje

Integritet poruke

[уреди | уреди извор]

Integritet poruke se ponekad naziva i proveravanje autentičnosti poruke. Kad su pošiljalac i primalac u stanju da međusobno provere svoju autentičnost, oni žele da obezbede da se sadržaj njihove komunikacije ne promeni. Da bi se proverila autentičnost poruke, potrebno je da se proveri da:

  • Poruka zaista potiče od lica koje je poslalo
  • Preneta poruka nije promenjena na putu do lica koje je predviđeno za primaoca

Kriptografske heš funkcije

[уреди | уреди извор]

Heš funkcija uzima ulaz, i proračunava niz fiksne dužine koji se zove heš. Kontrolni zbirovi za internet i CRC - ovi zadovoljavaju ovu definiciju. Kriptografska heš funkcija mora da ima sledeće dodatno svojstvo, računarski je neizvodljivo pronaći bilo koje dve različite poruke x i y takve da je H(x)=H(y). Nezvanično, ovo svojstvo znači da je uljezu računarski nedozvoljeno da poruku zaštićenu heš funkcijom zameni drugom porukom. Odnosno, ako su (m,H(m)) poruka i njen pripadajući heš koji je napravio pošiljalac, onda uljez ne moze da podesi sadržaj druge poruke y, tako da ona ima istu vrednost heša kao originalna poruka.

Šifra autentifikacije poruke

[уреди | уреди извор]

Da bi se proverio integritet poruke, osim kriptografske heš funkcije pošiljaocu i primaocu je potrebna zajednička tajna s. Ta zajednička tajna, jedan niz bitova, naziva se ključ autentifikacije. Kada pošiljalac napravi poruku m,dodaje joj tajnu s i pravi s+m,a zatim izračunava heš H(m+s). H(m+s) se zove šifra autentifikacije poruke (MAC – massage authentication code).

Digitalni potpis

[уреди | уреди извор]

U digitalnom svetu, često želimo da ukažemo na vlasnika ili stvaraoca dokumenta, ili želimo da označimo nečiju saglasnost sa sadržajem dokumenta. Digitalni potpis je kriptografska tehnika za postizanje ovih ciljeva u digitalnom svetu. Baš kao i sa potpisima ljudi, digitalno potpisivanje bi trebalo da se izvrši na takav način da se digitalni potpisi mogu proveriti i da se ne mogu falsifikovati. Odnosno, mora biti moguće da se dokaže kako je dokument koji je neko potpisao zaista potpisala ta osoba i da je samo ta osoba mogla da potpiše dokument.

Autentifikacija krajnje tačke

[уреди | уреди извор]

Autentifikacija krajnje tačke je proces dokazivanja identiteta jedne osobe drugoj osobi. Kada izvršavaju autentifikaciju preko mreže, strane u komunikaciji ne mogu da se oslone na biometrijske informacije, kao što je vizuelna pojava ili uzorak glasa. Ovde autentifikacija mora da se uradi samo na osnovu poruka i podataka razmenjenih u okviru protokola autentifikacije. Protokol autentifikacije prvo ustanovljava identitet strana na obostrano zadovoljstvo; tek posle autentifikacije, strane mogu da pređu na posao koji ih očekuje. Postoji više vrsta autentifikacionih protokola :

  • Autentifikacioni protokol ap1.0
  • Autentifikacioni protokol ap2.0
  • Autentifikacioni protokol ap3.0
  • Autentifikacioni protokol ap3.1
  • Autentifikacioni protokol ap4.0
  • Autentifikacioni protokol ap5.0

Obezbeđivanje elektronske pošte

[уреди | уреди извор]

Usluge bezbednosti se mogu pružati na svakom od četiri gornja sloja internetovih protokola. Kada se bezbednost osigurava za konkretan protokol aplikacionog sloja, onda ce aplikacija koja koristi taj protokol dobijati jednu ili više usluga bezbednosti, kao što je poverljivost, autentifikacija ili integritet. Kada se bezbednost osigurava za protokol transportnog sloja, onda sve aplikacije koje koriste taj protokol dobijaju usluge bezbednosti transportnog protokola. Kada se bezbednost pruža na mrežnom sloju, od računara do računara, onda svi segmenti transportnog sloja dobijaju usluge bezbednosti mrežnog sloja. Kada se bezbednost pruža u sloju veze podataka, onda podaci u svim okvirima koji putuju preko linka dobijaju ove bezbednosne usluge linka.

Bezbedna elektronska pošta

[уреди | уреди извор]

Projekat stvaranja sistema za bezbednost elektronske pošte je projekat visokog nivoa koji stvaramo na postupan način, tako što u svakoj fazi uvodimo nove usluge bezbednosti. Bezbednosne karakteristike koje su najpoželjnije :

  • Poverljivost
  • Autentifikacija pošiljaoca
  • Autentifikacija primaoca
  • Integritet poruke

Pretty Good Privacy (PGP), koji je prvobitno napisao Fil Cimerman 1991. Godine, postao je de facto standardna šema za šifrovanje elektronske pošte. Njegova veb lokacija pruža više od milion stranica mesečno korisnicima u 166 različitih zemalja. Verzije PGP-a raspoložive su u javnom domenu(npr. PGP softver za vašu omiljenu platformu kao i mnogo zanimljivih tekstova za čitanje, mozete da pronađete na lokaciji International PGP Home Page). PGP se takođe može komercijalno nabaviti, a na raspolaganju je i kao dodatak agente korisnika elektronske pošte, uključujući Microsoftove Exchange i Outlook.

Obezbeđivanje TCP konekcija : SSL

[уреди | уреди извор]

SSL (Secure Sockets Layer) je sloj bezbednih soketa. Prvobitno je nastao u Netscapeu. Od samog početka, SSL je bio široko prihvaćen. SSL podržavaju svi popularni čitači veba i veb serveri, a koristi se praktično na svim komercijalnim lokacijama na internetu. SSL rešava probleme tako što unapredjuje TCP uvođenjem poverljivosti, integriteta podataka, autentifikacije servera i autentifikacije klijenta. Međutim, pošto SSL obezbeđuje TCP, može ga koristiti svaka aplikacija koja se izvršava preko TCP-a. SSL nudi jednostavan API (Application Programmer Interface) sa soketima sličan i analogan API-ju koji nudi TCP.

Bezbednost mrežnog sloja : IPSec

[уреди | уреди извор]
IPSec-modes

IPSec (engl. Internet Protocol Security) jeste niz protokola koji pruzaju bezbednost na mrežnom sloju. IPSec se nalazi u jezgru većine virtuelnih privatnih mreža. IPsec je vrlo složen. Mrežni sloj bi obezbedio poverljivost, ako bi svi podaci koje nose svi IP datagrami bili šifrovani. To znači da kad god neki računar želi da pošalje datagram, on bi šifrovao korisne podatke datagrama pre nego što ga isporuči mreži. Dva glavna protokola IPsec-a su :

  • Protokol za autentifikaciju zaglavlja (engl. Authentication Header, AH)
  • Protokol za bezbednosnu enkapsulaciju tereta (engl. Encapsulation Security Payload Protocol, ESP)

Protokol za autentifikaciju zaglavlja, AH, obezbeđuje autentifikaciju izvornog računara i integritet podataka, ali ne i njihovu poverljivost. Protokol za bezbednosnu enkapsulaciju tereta, ESP, obezbeđuje poverljivost na mrežnom sloju, kao i autentifikaciju izvornog računara i integritet podataka.

Obezbeđivanje bežičnih LAN-ova

[уреди | уреди извор]

Bezbednost je posebno značajna u bežičnim mrežama, gde radio talasi koji nose okvire mogu da se prostiru daleko van zgrade u kojoj se nalaze osnovne bežične stanice i računari. Jedan od bezbednosnih mehanizama koji je u početku specifikaciji 802.11 je privatnost ekvivalentna ožičenju (WEP). Protokol IEEE 802.11 WEP obezbeđuje autentifikaciju i šifrovanje podataka između računara i bežične pristupne tačke, koristeći pristup simetričnog zajedničkog ključa. WEP ne određuje algoritam za upravljanje ključevima, pa se podrazumeva da su se računar i bežična pristupna tačka nekako sporazumeli o ključu, nekom metodom van opsega.

Operaciona bezbednost : mrežne barijere i sistemi za otkrivanje uljeza

[уреди | уреди извор]
Zaštitni zid

Mrežna barijera (firewall) jeste kombinacija hardvera i softvera koja izoluje unutrašnju mrežu organizacije od interneta, dozvoljavajući nekim paketima da prođu i blokirajući ostale. Mrežna barijera omogućava administratoru mreže da kontroliše pristup između spoljašnjeg sveta i resursa unutar administrirane mreže, tako što će upravljati tokom saobraćaja ka tim resursima i od njih.

Postoje tri vrste mrežnih barijera :

  • Mrežne barijere sa običnim filtriranjem paketa
  • Mrežne barijere sa stanjem filtera
  • Mrežni prolazi aplikacionog nivoa

Sistem za otklanjanje uljeza(engl. IDS, Intrusion Detection System) je uređaj koji generiše upozorenja kada primeti potencijalno zlonamerni saobraćaj. IDS može da se koristi za otkrivanje široke lepeze napada, uključujući preslikavanje mreže, skeniranje portova, skeniranje TCP steka, DoS napade preplavljivanjem propusnog opsega, crve i viruse, napade na slabe tačke operativnog sistema i napade na slabe tačke aplikacija.

Pravni okviri i zakoni u Srbiji

[уреди | уреди извор]
Oštećenje računarskih podataka i programa
Član 298.
Krivična dela protiv bezbednosti računarskih podataka

(1) Ko neovlašćeno izbriše, izmeni, ošteti, prikrije ili na drugi način učini neupotrebljivim računarski podatak ili program, kazniće se novčanom kaznom ili zatvorom do jedne godine.

(2) Ako je delom iz stava 1. ovog člana prouzrokovana šteta u iznosu koji prelazi četristopedeset hiljada dinara, učinilac će se kazniti zatvorom od tri meseca do tri godine.

(3) Ako je delom iz stava 1. ovog člana prouzrokovana šteta u iznosu koji prelazi milion i petsto hiljada dinara, učinilac će se kazniti zatvorom od tri meseca do pet godina.

(4) Uređaji i sredstva kojima je učinjeno krivično delo iz st. 1. i 2. ovog člana, ako su u svojini učinioca, oduzeće se.

Pravljenje i unošenje računarskih virusa
Član 300.
Krivična dela protiv bezbednosti računarskih podataka

(1) Ko napravi računarski virus u nameri njegovog unošenja u tuđ računar ili računarsku mrežu, kazniće se novčanom kaznom ili zatvorom do šest meseci.

(2) Ko unese računarski virus u tuđ računar ili računarsku mrežu i time prouzrokuje štetu, kazniće se novčanom kaznom ili zatvorom do dve godine.

(3) Uređaj i sredstva kojima je učinjeno krivično delo iz st. 1. i 2. ovog člana oduzeće se.

Neovlašćeni pristup računarskoj mreži i elektronskoj obradi podataka
Član 302.
Krivična dela protiv bezbednosti računarskih podataka

(1) Ko se, kršeći mere zaštite, neovlašćeno uključi računarsku mrežu, ili neovlašćeno pristupi elektronskoj obradi podataka, kazniće se novčanom kaznom ili zatvorom do šest meseci.

(2) Ko upotrebi podatak dobijen na način predviđen u stavu 1. ovog člana, kazniće se novčanom kaznom ili zatvorom do dve godine.

(3) Ako je usled dela iz stava 1. ovog člana došlo do zastoja ili ozbiljnog poremećaja funkcionisanja mreže ili su nastupile druge teške posledice, učinilac će se kazniti zatvorom do tri godine.

Sprečavanje i organičavanje pristupa javnoj računarskoj mreži
Član 303.
Krivična dela protiv bezbednosti računarskih podataka

(1) Ko neovlašćeno sprečava ili ometa pristup javnoj računarskoj mreži, kazniće se novčanom kaznom ili zatvorom do jedne godine.

(2) Ako delo iz stava 1. ovog člana učini službeno lice u vršenju službe, kazniće se zatvorom do tri godine.

Neovlašćeno korišćenje računarske mreže
Član 304.
Krivična dela protiv bezbednosti računarskih podataka

(1) Ko neovlašćeno koristi računarsku mrežu u nameri da sebi ili drugom pribavi protivpravnu imovinsku korist, kazniće se novčanom kaznom ili zatvorom do tri meseca.

(2) Gonjenje za delo iz stava 1. ovog člana preduzima se po privatnoj tužbi.

Za suzbijanje ove vrste kriminala potrebna je jaka zakonska regulativa. Organi Republike Srbije za borbu protiv zloupotrebe računarskih mreža:

  • Veće Okružnog suda za borbu protiv visokotehnološkog kriminala Okružnog suda u Beogradu.
  • Privredni sud u Beogradu
  • Posebno tužilaštvo, koje je u organizacionom i funkcionalnom smislu deo Okružnog javnog tužilaštva u Beogradu.
  • Služba za borbu protiv visokotehnološkog kriminala (deo MUP-a), koja bi prema Zakonu trebalo da u saradnji sa posebnim tužilaštvom radi na planu obezbeđivanja relevantnih dokaza za dela nelegalnih aktivnosti u računarskim mreži.

Takođe, jako je bitna međusobna saradnja sa drugim linijama rada kriminalističke policije, kao i sa drugim službama u zemnji i inostranstvu kao što su: Bezbednosno informativna agencija, Interpol, Evropol, FBI i dr.

Želja da računar i dalje bude koristan, želja da njihovu funkcijune ugroze napadači I želja da se zastiti privatnost su neki od bitnih zadataka zaštite računarskih mreža. Veliki deo bezbednosti koju imamo dolazi od izolacije. Na primer, mrežna barijera radi tako što preseca pristup izvesnim mašinama i uslugama. Ali, mi živimo u vremenu sve većeg povezivanja – pa je sve teže da se stvari izoluju. Što je još gore, naši proizvodni sistemi zahtevaju daleko više zasebnih delova, međusobno povezanih pomoću mreža. Obezbeđenje svega toga je jedan od naših najvećih izazova.

  • James F. Kurose; Keith W. Ross (2005). Computer Networking: A Top-Down Approach. ISBN 978-86-7991-339-5. 
  • Krivicni zakonik Republike Srbije

Spoljašnje veze

[уреди | уреди извор]