U ovoj lekciji ćemo ispitati ranjivosti i obranu internetskih protokola.

- Upoznati 7-slojni OSI model

- Proći preko ranjivosti sloja 2: promiskuitetni način rada i trovanje ARP-om
- Proći preko ranjivosti sloja 3: lažiranje IP-a
- Proći preko ranjivosti sloja 4: TCP injekcija
- Pregledati sustav naziva domene i uobičajenu ranjivost: trovanje DNS-om
- Pokušati ćemo razumjeti rad prevođenja mrežnih adresa (NAT) i njegove sigurnosne
implikacije
- Saznati više o vatrozidima

"LEKCIJA 03"

"RANJIVOSTI I OBRANA MREŽE"

"OTKLJUČAVANJE SIGURNOSTI INFORMACIJA - PREGLED"

U ovoj lekciji skrećemo pažnju na ranjivosti i obrane koje su karakteristične za mrežne komunikacije
između uređaja, konkretno preko interneta.

Mrežne komunikacije mogu se vizualizirati kao karta.

Točke na karti predstavljaju uređaje govorimo o, uglavnom računalima i pametnim telefonim, ali sve
više i drugi uređaji poput automobila, televizora, web kamera, medicinskih uređaja, pa čak hladnjaci s
internetom i četke za kosu danas rade preko mreže (interneta).

Ovi uređaji međusobno komuniciraju, prenose sve vrste podataka.

Ovo može biti vaše računalo koje prikazuje YouTube video,

 vaš pametni telefon šalje trenutnu poruku, ili vaš aparat za kavu spojen na internet javljajući da
trebate očistiti njegov filtar.

Ova lekcija i sljedeće dvije pokrivaju sigurnost internetske komunikacije.

Kao što ćemo vidjeti, internet NIJE OSMIŠLJEN SA SIGURNOŠĆU NA UMU.

Velik dio njegove infrastrukture je ranjiv. Stoga ćemo započeti s istraživanjem ove infrastrukture,
njegove ranjivosti i osnovne obrambene mehanizme.

Međutim, stvarno ublažavanje mogućih napada za mnoge izazove internetske sigurnosti leži upravo u
području kriptografije, koju smo dotakli u prethodnoj lekciji.

Sa svim tim znanjem, sljedeća lekcija će pokriti sigurnost od najpopularnijih na internetu dijelova
tehnologije, web preglednike i web poslužitelje.

Prije nego što možemo raspravljati o ranjivosti internetske infrastrukture, prvo trebamo uspostaviti
zajedničko razumijevanje kako su organizirane komunikacijske mreže, i kako internet radi.

Pretpostavljam većina znanja vam je već poznata, pa ću ih proletjeti.

Resursa ima dosta posvećen komunikacijskim mrežama, ako želite proširiti svoje znanje.

Slojevi i protokoli
U jednoj rečenici morate znati da:
Softver i hardver u većini komunikacijskih mreža organizirani su u slojevima, a svaki sloj pokreće
protokol, sa svojim kolegama u istom sloju s druge strane komunikacijske linije.

Idemo kroz ovu rečenicu detaljnije.

Analogija telefonske komunikacije

Kao pojednostavljenu analogiju slojevitosti, razmislite o tome što se događa kada dvoje ljudi
razgovaraju preko telefona. Konceptualno možemo organizirati njihovu komunikaciju u 4 sloja.
Odozgo prema dolje: ideje, riječi, zvukovi i fizički.

Počnimo s onim što se događa na strani odašiljača:

Ideje

Pretpostavimo da mu je na umu ideja koju bi želio prenijeti svojoj prijateljici

Riječi

Sloj riječi u njegovom mozgu pretvara ideju u niz riječi

Zvuk

Sloj zvukova, koji je njegov glasovni sustav, pretvara ove riječi u niz zvukova

Signali

Na fizičkom sloju mikrofon pretvara zvukove u električne signale koji se prenosi na drugu stranu,
preko telefonske linije
Ono što se događa s druge strane također je slojevito - ali obrnutim redoslijedom, od najnižeg sloja,
idući gore:

Signali

Na fizičkom sloju, njezin telefon pretvara električne signale u zvukove koje proizvodi na svom
zvučniku u slušalici

Zvuci

Na sloju zvukova, njezin slušni sustav pretvara zvukove u riječi koje ih šalje u više slojeve mozga

Riječi

Sloj riječi u njezinu mozgu pretvara riječi u ideje i šalje ih dalje

Ideje

I konačno, njezin sloj ideja razumije njegovo značenje (nadamo se)

Ono što želim reći je da, logično, svaki sloj na strani odašiljanja komunicira s istim slojem na strani
prijema.

Dvije strane na danom sloju pokreću protokol između sebe:

Skup postupaka i tumačenja koje slijede obje strane

To osigurava koordinaciju strana koje pokušavaju komunicirati putem mreže.

Svaki sloj na strani odašiljanja prihvaća informacije od sloja iznad sebe, obrađuje ih i prosljeđuje
sljedećem sloju dolje - a na strani primatelja događa se suprotno. Dakle, zapravo komunikacija ima
oblik velikog slova U, s tim da informacije fizički prelaze s jedne strane na drugu samo na samom
donjem sloju.

Ista funkcionalna organizacija, u slojevima, je način na koji su organizirane i mreže za prijenos

podataka. Ali u uobičajenim podatkovnim mrežama komunikacija nije samo između 2 strane, ima ih
mnogo.

"LEKCIJA 03"

„MODEL SA 7 SLOJEVA

"I INTERNETSKI SOFTVER"

"RANJIVOSTI MREŽE I WEB-a"

Još 1970-ih, kada je internet bio dizajniran, Međunarodna organizacija za standarde, ISO, dizajnirala
standardni model za komunikacijske mreže.

Standard se ne smatra velikim tehnološkim uspjehom, ali terminologija koju je uvela ostala je.
Poznat je kao sedmoslojni ISO model.
U ovom modelu svaki sloj ima broj između jedan i sedam, uobičajeno ime, te standardne
funkcionalnosti i svojstva.

Pogledajmo ukratko slojeve i njihove glavne uloge.

Ući ćemo u dodatne detalje, s naglaskom na sigurnosne aspekte svakog sloja, u sljedećim poglavljima.

Odozdo prema gore, 7 slojeva su:

FIZIČKI

Sloj 1 je fizički sloj.

Funkcionalnost:

Ovaj sloj je zadužen za pretvaranje bitova u signale i obrnuto.

Implementacija:

Fizički sloj je uvijek implementiran u hardveru.

SLOJ PODATKOVNE VEZE

Sloj 2 je sloj podatkovne veze, koji se također naziva sloj kontrole pristupa mediju (MAC).

Funkcionalnost:

Sloj 2 zadužen je za lokalnu mrežu (LAN) - ograničen je na geografsko područje kao što je vaš dom,
kafić, hodnik u zgradi - najviše cijela zgrada ili škola. Komunikacija na nivou 2 je nepouzdana: poruke
se mogu iskriviti tijekom prijenosa zbog elektroničkih ili radijskih smetnji - u tom slučaju se tiho
ispuštaju.

Protokol:

Najčešći protokoli sloja 2 su WiFi (bežični) i Ethernet (preko žica).

Implementacija:

Sloj 2 implementiran je ili kao hardver ili "firmware" - softver urezan u kartice mrežnog sučelja (NIC).

MREŽNI SLOJ

Sloj 3 je mrežni sloj.

Funkcionalnost:

Odgovoran je za povezivanje milijuna LAN-ova u jednu divovsku mrežu širokog područja koja je
Internet. To je poput poštanskog sustava, koji prenosi poruke (koji se nazivaju paketi) od pošiljatelja
do primatelja. I kao i poštanski sustav, također je nepouzdan: dostava paketa se obavlja uz sve
napore: ako na ruti dođe do zagušenja (gužva internetskog prometa), paketi se ispuštaju.

Protokol:

Na Internetu mrežni sloj koristi Internet Protocol (IP).

Implementacija:

IP se obično implementira u softver kao dio operativnog sustava povezanih uređaja, a također i u
infrastrukturne uređaje koji se nazivaju usmjerivači koji su poštanski radnici interneta.

TRANSPORTNI SLOJ

Sloj 4 je transportni sloj.

Funkcionalnost:

Glavni zadatak sloja 4 je stvoriti pouzdane kanale poruka kroz nepouzdane slojeve ispod njega. To čini
kao preporučena pošta: pošiljatelj paketima dodjeljuje redovne brojeve, a strana primatelja mora
potvrditi svaki paket koji dobije. Ako pošiljatelj ne primi očekivani "ack" dovoljno brzo, ponovno šalje
paket, pod pretpostavkom da je odbačen.
Imajte na umu da je veza na sloju 4 dvosmjerna: obje strane su istovremeno pošiljatelji i primatelji.
Svaki dodjeljuje redovne brojeve paketima koje šalje i potvrđuje pakete koje šalje druga strana.

Protokol:

Na Internetu transportni sloj najčešće koristi Transmission Control Protocol (TCP). Na Internetu
postoji i osnovniji transportni protokol nazvan UDP, koji koriste aplikacije koje ne zahtijevaju svu TCP
funkcionalnost.

Implementacija:

Kao i IP, i TCP i UDP implementirani su u softver kao dio operativnog sustava.

Ljudi iz ISO-a koji su dizajnirali 7-slojni model otišli su dalje i definirali sloj 5 (nazvan "session"), sloj 6
("prezentacija") i sloj 7 ("primjena"). Ali ove se definicije nisu uhvatile. Internetski dizajneri su se
zaustavili na sloju 4 i sve funkcije višeg sloja skupili u jedan veliki nedefinirani sloj aplikacije.

"LEKCIJA 03"

"ZAGLAVLJA PAKETA"

"RANJIVOSTI I OBRANA MREŽE"

Važan aspekt organizacije slojevitosti je korištenje zaglavlja.

Zapamtite - tehnički, sloj na strani pošiljatelja prima podatke sa sloja iznad njega. Ali svaki sloj treba
dodati neke metapodatke za ove podatke, tako da pandan sloja (sloj s druge strane koji ima isto
značenje) na strani prijemnika (primatelja) znat će što prima.
Način na koji sloj dodaje takve metapodatke je prilaganjem zaglavlja prije podataka prethodnog,
višeg sloja. Kada zaglavlje plus podaci se prenosi na sljedeći sloj, taj sloj radi istu stvar, dodavanjem
vlastitog zaglavlja. I tako dalje. Do trenutka kada je poruka poslana putem žice na fizičkom sloju, sloj
jedan, ima niz od četiri, pet ili šest zaglavlja priloženi prije stvarnih podataka koje je poslao sloj
aplikacije.

Dodavanje zaglavlja je analogno kaoa umotavanje paketa u papir, stavljajući ga u omotnicu, koji se
stavlja u kutiju, koji se zatim stavlja u transportni kontejner.

Svaki omot ima svoje metapodatke. Od adresa do otpremnice kontejnera.

Na strani prijemnika, svaki sloj obrađuje svoje zaglavlje, ljušti ga, i predaje poruku sloju iznad njega, s
jednim zaglavljem manje, sve do gore.
Ako uhvatimo pakete na žici, koristeći ono što je poznato kao "njuškalo", vidjet ćemo sva ta zaglavlja
u nizu.

Sada krenimo ispočetka glavni internetski slojevi, odozdo prema gore, i naučimo o ranjivostima koje
vrebaju u svakom od njih.

Na fizičkom sloju ima malo informacija relevantnih za sigurnost, pa ćemo to preskočiti,i započeti naš
obilazak na drugom sloju.