Standardi i certifikati

Sigurnost računalnih mreža

• Izrada sigurne računalne mreže se temelji na kompromitiranju
njezine sigurnosti kako bi se vidjelo koje njezine aspekte treba
poboljšati

• Za amaterske potrebe sasvim je dovoljno zaštititi mrežu

korištenjem jendostavnih firewall-ova itd.

• Kada je u pitanju profesionalna zaštita, onda se najčešće firma

ili bilo koji drugi legalni entitet koji želi zaštiti svoju mrežu,
obraća profesionalcima koji su certificirani od neke ustanove
ili proizvođača opreme
Standard

• Dogovoreni set pravila ili smjernica koji omogućuje ustanovi ili

tvrtki koja ga prihvaća, razinu zaštite kojom je standard
definiran

• Primjeri:

1. ISO/IEC 27002
2. NERC 1300 (North American Electric Reliability Corporation)
3. RCF 2196
Certifikati
• Najčešće je riječ o certifikatima kojima se certificiraju
pojednici, ali postoje i enkripcijski certifikati

• Certificirana osoba stječe pravo i znanje za provođenje

„sigurne prakse” kada su u pitanju računalne mreže

• Certifikate mogu izdavati obrazovne ustanove i proizvodači

računalne mrežne opreme

• Primjeri: CCSP, OSCP itd.

CCSP
• CCSP (Cisco Certified Security Professional)

• Ovim certifikatom pojedinac stječe pravo i znanje potrebno za

osiguravanje računalnih mreža koje se temelje na Cisco-voj
opremi

• Ovo je certifikat kojeg izdaje proizvođač računalne mrežne

opreme, pa vrijedi samo za mrežnu opremu izdavača

• Potrebni su CCNA i CCIE certifikati

OSCP
• OSCP (Offensive Security Certified Professional)
• Ovaj certifikat izdaje ustanova, a temelji se na Open Source
alatima
• Neortodoksan pristup
• Ovaj certifikat je malo drukčiji od drugih sigurnosnih certifikata
jer se njegovim stjecanjem osoba osposobljava za narušavanje
računalne sigurnost i na temelju zaključaka donesenih prilikom
kompromitiranja mreže stvaraju se nove sigurnosne zakrpe
• Certifikacija se vrši isključivo preko interneta u za to
predviđenim terminima
• Osoba koja podliježe certifikaciji ima 30, 60 ili 90 dana da nauči
sve iz priloženih materijala i kompromitira zadanu mrežu
• Ova certifikacijska ustanova je poznata po svojoj distribuciji
linuxa - BackTrack
CompTIA A+ Security
• CompTIA (Computer Technology Industrial Association)
• Certifikacijska ustanova čiji certifikati su svijetski standard
• Ne temelje se na pojedninačnoj opremi ili OS-u, nego je baš
riječ o veoma opširnoj certifikaciji
• Primjer cijenjenosti ovih certifikata dokazuje i lista tvrtki ili
ustanova koje zapošljavaju najviše ljudi s ovim certifikatom
• HP, američka vojska, Symantec, IBM i Motorola
CEH
• CEH (Certified Ethical Hacker)
• Ova certifikacija isto ima neortodoksan pristup
• Certifikat je namjenjen za mrežne administratore za više
godina iskustva
• O kvaliteti i traženosti samog certifikata govori činjenica da su
slijedeći stupnjevi certifikacije dostupni samo ljudima
zaposlenima u državnim institucijama, a za određene
stupnjeve je potrebna potvrda MUP-a o čistom dosjeu i niz
psihotestova da se dokaže dobronamjernost razloga za samu
certifikaciju
SSL certifikati
• SSL (Secure Socket Layer)
• Riječ je nesimetričnom enkripcijskom standardu koji se koristi
za enkripciju prometa između poslužitlja i klijenta, kako netko
tko prisluškuje ili tzv. Snifa promet između njih, nemože doći
do podatakau nekom realnom vremenu jer prisilna dekripcija
(„brute force”) može potrajat i do 2 x 10 27 godina na
normalnom računalu
• Kada kažemo da neka stranica ima SSL certifikat, misli se na to
da korisiti enkripciju prometa sigurnosnim ključem kojeg je
prethodno neka ustanova ili tzv. CA (Certificate Authority)
izdala i potvrdila u smislu sigurnosti.
• Primjer lošeg SSL certifikata je TVZ-ov Webmail server, gdje je
SSL certifikat generiran OpenSource alatom koji nije potvrđen
od strane neke ustanove, pa moramo potrditi sigurnosnu
iznimku jer nam nitko ne garantira sigurnost korištenog ključa
Zahvaljuljem!!!