Professional Documents
Culture Documents
SRM Predavanje 5 PDF
SRM Predavanje 5 PDF
Tema 5:
URLs:
2
Quote
4
The function of a strong position is to make the forces holding it practically unassailable On War, Carl Von Clausewitz
Potrebna predznanja
5
Programiranje Za primenu: Raunarske mree i protokoli Operativni sistemi Sistemsko programiranje Internet
Podrazumeva se predzanje: Skup protokola TCP/IP IP adresiranje i podmreavanje Sockets & Ports
TCP/IP model
7
Application Layer Transport Layer Network Layer Data Link Layer Physical Layer
Application Layer Transport Layer Network Layer Data Link Layer Physical Layer
Internet protokoli
8
TCP/IP i adresiranje
9
Nivo aplikacija
Procesi
Transportni nivo
TCP UDP
Adrese porta
Mreni nivo
IP i drugi protokoli
IP adrese
Mrene barijere (engl. firewalls) koriste se za postavljanje kontrolnih taaka bezbednosti na granicama privatnih mrea. U kontrolnim takama mrena barijera ispituje sve pakete koji prolaze izmeu privatne mree i Interneta. U zavisnosti od toga da li paketi zadovoljavaju pravila definisana listama za kontrolu pristupa, mrena barijera e dozvoliti ili zabraniti protok tog paketa. Mrena barijera je filter na relaciji lokalna mrea Internet.
Veza sa ISP
Mrena barijera koja titi unutranju mreu 192.168.1.3 HTTP 192.168.1.4 POP/SMTP 192.168.1.5
Filtriranje paketa (engl. packet filtering) Prevoenje mrenih adresa (engl. network address translation, NAT) Proksi servisi (engl. proxy)
Mrena barijera moe biti: Hardverski ureaj (na primer: Cisco PIX) Softver (na primer: iptables ili Kerio Winroute Firewall, ZoneAlarm...)
ifrovana provera identiteta Virtualno privatno umreavanje (VPN Virtual Private Network) Dodatne usluge: Traenje zlonamernog koda u paketima Filtriranje na osnovu sadraja (engl. content filtering)
Filtriranje paketa
17
Mrene barijere analiziraju pakete i uporeuju ih s prethodno definisanim skupom pravila. Filtriranje je mogue na osnovu bilo kog dela zaglavlja paketa:
tipa protokola IP adrese TCP/UDP porta
Filtriranje paketa
18
Na osnovu definisanih pravila i zaglavlja konkretnog IP paketa, filter paketa moe da odlui da: prihvati paket odbaci paket odbaci paket i obavesti poiljaoca da njegov paket nije prihvaen.
Postoje dve vrste filtara paketa: mrene barijere bez uspostavljanja stanja (engl. stateless firewall) mrene barijere sa uspostavljanjem stanja (engl. statefull firewall).
Sigurnosni perimetar
Internet
Privatna mrea
Rule to allow return TCP connections to internal subnet Sprei samu mrenu barijeru da se direktno povezuja na bilo ta Sprei spoljne korisnike da direktno pristupaju mrenoj barijeri
4 5 6 7
Interni korisnici mogu pristupati spoljanjim serverima Dozvoli spoljnim korisnicima da alju mail unutra Dozvoli spoljnim korisnicima da pristupe Web serverima Uhvati sve pravilo - sve to nije prethodno eksplicitno dovoljeno, zabranjeno je.
Dozvoli
OUR-GW
25
Akcija
Na host
Port
Njihov host
Port
Komentar
Blokiraj
default
Akcija
Na host
Port
Njihov host
Port
Komentar
Dozvoli
25
Dozvoli
{Nai
25
host-ovi}
Dozvoli
25
ACK
Akcija
Izvor
Port
Odredite
Port
Flag
Komentar
Dozvoli
{Nai
host-ovi}
Dozvoli
ACK
Dozvoli
>1024
NAT Network Address Translation NAT skriva informacije o raunarima u privatnoj mrei od napadaa sa Interneta. Prilikom prolaska paketa kroz mrenu barijeru, NAT skriva IP adrese raunara iz privatne mree prevodei ih u adresu mrene barijere.
Translacija privatne adrese u javnu adresu Adresa odgovora se translira u privatnu adresu Statika translacija adresa omoguava konekcije sa Interneta
Statiko blok javnih IP adresa se na osnovu fiksne tablice prevoenja prevodi u blok privatnih IP adresa, tako da jednoj javnoj IP adresi odgovara jedna privatna IP adresa. Na taj nain se skriva identitet raunara u lokalnoj mrei; Dinamiko blok javnih IP adresa dinamiki se prevodi u blok privatnih IP adresa. Na taj nain se skriva identitet raunara u lokalnoj mrei; Dinamiko sa preoptereenjem (engl. port address translation, PAT) jedna ili vie javnih IP adresa se na osnovu broja porta prevodi u vei broj privatnih IP adresa. Na taj nain se skriva identitet raunara u lokalnoj mrei. Ovaj nain prevoenja adresa se najee koristi.
Proksi servisi
32
Filtriranje i NAT reavaju neke probleme vezivanja lokalnih mrea na Internet, ali uzevi u obzir da samo analiziraju i eventualno menjaju zaglavlje paketa, a ne i njegov sadraj ne obezbeuju potpunu kontrolu podataka koji prolaze kroz mrenu barijeru. Proksi (engl. proxy) aplikativnog sloja spreava ovaj problem tako to omoguava da se potpuno zabrani protok podataka protokola mrenog sloja i da se dozvoli saobraaj samo protokolima viih slojeva, kao to su HTTP, FTP i SMTP. Proksi aplikativnog sloja je klijent-server arhitektura specifina za konkretan protokol koji se koristi.
Proksi server
33
HTTP proksi
34
Interna mrea
Spoljanja mrea
P
Home Network Proxy services: Telnet WWW Internet
Implementacija na aplikativnom sloju Provera identiteta korisnika, ako je mogue Nema direktne razmene podataka (prekoraenje bafera i flooding attacks u matinu mreu nisu mogui) Evaluacija aplikativnih protokola omoguava filtriranje servisa (SMTP command VRFY, EXPN)
Primer firewall-a
39
ISP
ISP Main Firewall External Web Server Internal DMZ Network Internal Firewall
Firewall-ovi i privatnost
41
Network IDS
Network IDS
HTTP 192.168.1.4
192.168.1.0 Bilo koja 192.168.1.2 192.168.1.2 192.168.1.2 192.168.1.2 192.168.1.1 Bilo koja Bilo koja
Rule to allow return TCP connections to internal subnet Sprei samu mrenu barijeru da se direktno povezuja na bilo ta Dozvoli spoljnim korisnicima da se povezuju na VPN server Dozvoli spoljnim korisnicima da poalju e-mail proksiju Poalji unutranji HTTP saobraaj ka proksiju Dozvoli spoljnim korisnicima da alju mail unutra Sprei spoljne korisnike da direktno pristupaju mrenoj barijeri Unutranji korisnici mogu da pristupe spoljnim serverima Uhvati sve pravilo - sve to nije prethodno eksplicitno dovoljeno, zabranjeno je.
Virtualne privatne mree, poznate i kao ifrovani tuneli, omoguavaju zatieno povezivanje dve fiziki odvojene mree preko Interneta. Podaci koji se razmenjuju na ovaj nain nevidljivi su za neovlaene entitete. VPN moe biti predmet raznih neugodnih napada, kao to su pokuaji redirekcije, inicijalizovanje lane veze ili bilo koji drugi vid napada dok se uspostavlja tunel.
Copyright 2005-2011 Dragan Pleskonjic. All Rights Reserved.
ifrovana provera identiteta omoguava spoljnim korisnicima na Internetu da mrenoj barijeri dokau da su ovlaeni i da tako otvore vezu kroz tu barijeru ka unutranjoj mrei. Za ifrovanu proveru identiteta moe se koristiti bilo koji protokol za proveru identiteta. Kada je veza uspostavljena, ona moe, a i ne mora, biti ifrovana, to zavisi od konkretnog prozvoda koji se koristi i od toga da li je na klijentu instaliran dodatni softver koji obezbeuje podrku za tunelovanje.
Ne moe zatiti od napada koji ga preskau (bypassing) npr. organizacije i servisi (recimo SSL/SSH) kojima se veruje Ne moe zatititi protiv internih pretnji npr. nezadovoljnog zaposlenog Ne moe zatiti od prenosa fajlova zaraenih virusima
Mrena barijera nee zatititi od napada koji se sprovode oponaanjem legitimnog saobraaja na otvorenim portovima. Za spreavanje takvih napada morate da koristite sisteme za spreavanje upada u mree (engl. Intrusion Prevention System, IPS). Ozbiljna pretnja bezbednosti vae mree skriveni prolazi pomou kojih se korisnici mogu povezati na Internet
Usluge filtriranja paketa na nivou ISP-a Jedna mrena barijera sa javnim serverima u privatnoj mrei Jedna mrena barijera sa javnim serverima van privatne mree Demilitarizovane zone Korporativna mrena barijera Iskljuenje sa mree
Najslabija karika
52
Kada organizacija ima vie spoljnih veza tada za svaku od njih mora da instalira mrenu barijeru Potrebno je uskladiti sve mrene barijere (koncept je jednostavan, ali detalji komplikuju izgradnju mrenih barijera) Ranjivost mree postoji ako se pristup ne ogranii na identian nain na svim mrenim barijerama
5.3 iptables
53
U jezgra Linux sistema, poev od verzije 2.4, ugraen je sistem za filtriranje paketa poznat kao Netfilter. Netfilter lanci za filtriranje paketa rade u zatienom reimu rada (engl. kernel mode). U korisnikom reimu radi poseban alat iptables, koji zahteva privilegije korisnika root i slui za konfigurisanje: filterskih lanaca, NAT tabela i mangle tabele.
Najee koriene tehnike napada na umreene raunare jesu skeniranje portova (engl. port scanning) i analiza mrenog saobraaja. Ove tehnike upotrebljavaju i administratori kako bi otkrili potencijalne sigurnosne propuste ili neeljeni saobraaj na mrei. Skeniranje portova je tehnika slanja ispravnih ili neispravnih (loe formatiranih) ICMP, UDP i TCP paketa raunaru iju sigurnost ispitujemo.
Copyright 2005-2011 Dragan Pleskonjic. All Rights Reserved.
Skeniranje portova...
55
Na osnovu odgovora raunara na te pakete mogu se odrediti otvoreni portovi, dostupni mreni servisi i vrsta operativnog sistema. Pomou ove tehnike moete proveriti da li ste mrenu barijeru ispravno konfigurisali, tj. da li su na njoj zatvoreni svi portovi osim onih koji moraju biti otvoreni.
*Bie detaljnije obraeno na vebama.
nmap
56
Jedan od najpoznatijih programa za skeniranje portova jeste nmap. Nmap obezbeuje razliite metode skeniranja; pri tome moete navesti opseg portova koje elite da skenirate, pojedinane IP adrese, opseg adresa i vreme skeniranja. Nmap je besplatan i isporuuje se uz veinu distribucija Linuxa. Ukoliko ga nema u distribuciji koju koristite, preuzmite ga sa adrese www.insecure.org/nmap. Nmap postoji i u verzijama za druge operativne sisteme. Verzija za Windows ne omoguava skeniranje portova raunara sa kog je pokrenut nmap.
Moe se koristiti za pronalaenje mrenih barijera na mrei UNIX: traceroute NT: tracert.exe Linux: traceroute Vrlo je verovatno da IP adresa neposredno pre ciljne adrese predstavlja IP adresu mrene barijere
Konfigurisati rutere da ne odgovaraju na TTL EXPIRED poruke kada prime paket iji je TTL 0 ili 1 Konfigurisati mrene barijere i granine rutere da ne odgovaraju na TTL istekle pakete
Proksi server je, u najirem smislu, sloj izmeu lokalne i spoljanje mree koji omoguava veem broju raunara da dele jednu vezu ka Internetu i skladiti, tj. keira podatke kako bi se ubrzao pristup tim podacima sa lokalne mree. Proksi serveri rade na aplikacionom sloju OSI modela, to znai da svaki klijent mora biti pojedinano konfigurisan (moraju se navesti adresa proksi servera i port na kome proksi server prua usluge).
Squid
60
Squid je nastao na osnovu projekta Harvest koji se, izmeu ostalog, bavio i keiranjem pristupa objektima na mrei. Licenciran je optom javnom licencom GNU, to znai da je besplatan. Podrava FTP, gopher i HTTP protokole, SSL, kontrolu pristupa i praenje dogaaja, tj. voenje evidencije o zahtevima.
Mrene barijere su samo deo skupa celovitih sigurnosnih mera, a njihova funkcija zavisi od drugih elemenata odbrane kao to su:
Antivirusni alati i alati za odbranu od pijunskih i drugih zlonamernih programa Alati za zatitu privatnosti Sistemi za detekciju i prevenciju upada Alati za nadzor u upravljanje raunarskim mreama Brojne druge mere o kojima e biti rei na narednim predavanjima
Literatura
64
D. Pleskonji, N. Maek, B. orevi, M. Cari: Sigurnost raunarskih sistema i mrea, Mikro knjiga, Beograd, 2007., ISBN: 978-86-7555-305-2, knjiga udbenik
www.conwex.info/draganp/books_SRSiM.html www.mikroknjiga.rs/store/prikaz.php?ref=978-86-7555-305-2
Za predavanje 5:
Literatura - nastavak
65
D. Pleskonji, B. orevi, N. Maek, Marko Cari: Sigurnost raunarskih mrea, Via elektrotehnika kola, Beograd, 2006., ISBN 86-85081-16-5, knjiga - udbenik D. Pleskonji, B. orevi, N. Maek, Marko Cari: Sigurnost raunarskih mrea - prirunik za laboratorijske vebe, Via elektrotehnika kola, Beograd, 2006., ISBN 86-85081-49-1 D. Pleskonji, B. orevi, N. Maek, Marko Cari: Sigurnost raunarskih mrea - zbirka reenih zadataka, Via elektrotehnika kola, Beograd, 2006., ISBN 86-85081-55-6
www.conwex.info/draganp/books.html
Dodatna literatura
66
Applied Cryptography Bruce Schneier John Wiley & Sons, 1995 Cryptography and Network Security William Stallings Prentice Hall, 1998 The CISSP Prep Guide Mastering the Ten Domains of Computer Security Ronald L. Krutz, Russell Dean Vines John Wiley & Sons, 2001 Druge knjige i razni online resursi Napomena: tokom predavanja e biti naglaena dodatna literatura, po potrebi.
Pitanja
67