Internetne tehnologije

Similar documents
Varen dostop do internetnih storitev z uporabo požarne pregrade naslednje generacije

StepIn! Z aktivnim državljanstvom gradimo vključujoče družbe LLP DE-GRUNDTVIG-GMP. Bilten št. 1

Prizadevanja Slovenije za obvladovanje groženj v kibernetskem prostoru

Informacijsko bojevanje: premik tradicionalnih metod vojskovanja in bojevanja v kibernetični prostor

VLOGA REGULATORJA NA PODROČJU KIBERNETSKE VARNOSTI ELEKTROENERGETSKEGA SISTEMA THE POWER SYSTEM REGUATOR ROLE IN THE FIELD OF CYBER- SECURITY

EUR. 1 št./ A

MEDNARODNI STANDARDI ZA FITOSANITARNE UKREPE SMERNICE ZA ANALIZO NEVARNOSTI ŠKODLJIVEGA ORGANIZMA (PRA)

Marjana Hlebanja. VARNOSTNE NASTAVITVE PRI IZDELAVI E-TRGOVINE S PLATFORMO IBM WEBSPHERE COMMERCE Diplomska naloga

ORGAN ZA EVROPSKE POLITIČNE STRANKE IN EVROPSKE POLITIČNE FUNDACIJE

Name of legal analyst: Borut Šantej Date Table completed: October 2008

Key words: archives, archival document, digitization, information exchange, international project, website

Gregor Garb, Andrej Osolnik

Standardi in metode za specifikacijo zahtev programske opreme

Barica Razpotnik RETURN MIGRATION OF RECENT SLOVENIAN EMIGRANTS

ROBUSTNOST INDUSTRIJSKIH SISTEMOV STROJNEGA VIDA

ORGAN ZA EVROPSKE POLITIČNE STRANKE IN EVROPSKE POLITIČNE FUNDACIJE

Security Policy Challenges for the New Europe

MAB (MUSEI ARCHIVI BIBLIOTECHE) MUSEUMS, ARCHIVES, LIBRARIES: PROFESSIONALS IN THE FIELD OF CULTURAL HERITAGE

Nevarnost spletne propagande terorizma

Ilana BUDOWSKI* Ethical and Legislative Considerations Regarding Private Archives in Israel State Archives

Izdelava diplomske naloge

9377/08 bt/dp/av 1 DG F

Izjava o omejitvi odgovornosti:

D I P L O M S K A N A L O G A

Spletna platforma za analizo hierarhičnih modelov pri odločitvenih problemih

OBZORJE 2020 Družbeni izziv 6. Europe in changing world Inclusive, innovative and reflective societies

INTEGRALNA ZELENA EKONOMIJA ZAHTEVA DRUŽBENO ODGOVORNOST KOT PRENOVO VREDNOT, KULTURE, ETIKE IN NORM V PRAKSI

AKTIVISTIČNI DRŽAVLJAN V KONTEKSTU (GLOBALNE) INFORMACIJSKE EKONOMIJE**

POOSH Project meeting Joint visit Transnational Conference

Sistem Ecat_Admin Priročnik za imetnike licenc

VLOGA ETIČNE VOLJE PRI OSEBNI IN DRUŽBENI ODGOVORNOSTI ZA ZDRAVJE

UNIVERZA V LJUBLJANI FAKULTETA ZA DRUŽBENE VEDE. Tilen Gorenšek. Vpliv informatizacije na vlogo in položaj vojaške organizacije v postmoderni družbi

Committee / Commission CONT. Meeting of / Réunion des 12 & 13/09/2005 BUDGETARY AMENDMENTS / AMENDEMENTS BUDGÉTAIRES. Rapporteur: Chris HEATON-HARRIS

NOVA PARADIGMA ZAKAJ JE POMEMBNO, DA SE MERI NAPREDEK DRUŽBE?

KAZALNIKI ZADOLŽENOSTI SLOVENIJE

Izdelava elektronskega ubenika za fiziko za osnovno šolo

Risk, Safety and Freedom of Movement

Navodilo za izdelavo. Magistrske naloge. Fakulteti za logistiko Univerze v Mariboru

ORGAN ZA EVROPSKE POLITIČNE STRANKE IN EVROPSKE POLITIČNE FUNDACIJE

VESNA LESKOŠEK, MAJDA HRžENJAK. Spremenjene vloge nevladnih organizacij

AUTHOR S SYNOPSES UDK 272: (497.4)

Comparative Analysis of Legal Status of Women Sentenced to Deprivation of Freedom in Russia and in the USA

Zakon o ratifikaciji Konvencije Sveta Evrope o preprečevanju nasilja nad ženskami in nasilja v družini ter o boju proti njima (MKPNZND)

RAZVOJ IN NEKATERE DILEME EVROPSKE VARNOSTNE POLITIKE

SOCIALNI PROGRAMI, DRUŽBENI PROBLEMI IN KREPITEV VPLIVA JAVNOSTI 1

RAZVOJ INVESTICIJSKEGA BANČNIŠTVA V IZBRANIH DRŽAVAH JVE IN SND

SISTEM ZUNANJE PRIMERJAVE CEN ZDRAVIL Z VIDIKA SLOVENIJE

MEDNARODNO BANČNIŠTVO V EVROPI INTERNATIONAL BANKING IN EUROPE

Ethnic heterogeneity and standard-of-living in Slovenia

Ajda CUDERMAN Mentor: red.prof.dr. Anton BEBLER PRIHODNOST MEDNARODNIH VARNOSTNIH ORGANIZACIJ

Janja MIKULAN Fakulteta za uporabne družbene študije v Novi Gorici / School of Advanced Social Studies in Nova Gorica

ELECTRONIC DATA INTERCHANGE (EDI) TRADING PARTNER AGREEMENT

BREZPILOTNI LETALNIKI: OD VARNOSTNIH NALOG DO KOMERCIALNE RABE KAKO UREDITI NJIHOVO UPORABO?

Contemporary Military Challenges

MERILA ZA SISTEM KAKOVOSTI EQUASS Assurance (SSGI) (2012)

Interno komuniciranje in zadovoljstvo zaposlenih v podjetju podjetju Bohor d.o.o

UNIVERZA V LJUBLJANI FAKULTETA ZA DRUŽBENE VEDE

Katarina Primožič MNENJSKI VODITELJI V OMREŽJU SLOVENSKE BLOGOSFERE

National intelligence authorities and surveillance in the EU: Fundamental rights safeguards and remedies SLOVENIA. Version of 19 September 2014

Na podlagi druge alinee prvega odstavka 107. člena in prvega odstavka 91. člena Ustave Republike Slovenije izdajam

RIS 2004/ Gospodinjstva (#57) Internet in slovenska država

LIBERALIZACIJA TRGA POŠTNIH STORITEV

UNIVERZA V LJUBLJANI FAKULTETA ZA DRUŽBENE VEDE. Andor Ferenc Dávid VPLIV ZDRUŽENIH DRŽAV AMERIKE NA EVROPSKO INTEGRACIJO

AKTIVNO ZA STRPNOST. Za uspešnejše vključevanje in povezovanje v naši družbi

Fragomen Privacy Notice

UNIVERZA V LJUBLJANI FAKULTETA ZA DRUŽBENE VEDE. Sandra Babić Socialni kapital v krizni situaciji Diplomsko delo

UNIVERZA V LJUBLJANI FAKULTETA ZA DRUŽBENE VEDE TERORISTIČNI NAPADI NA DIPLOMATSKE PREDSTAVNIKE, PROSTORE MISIJ TER PREVOZNA SREDSTVA

Svetovni pregled. Julij Aktualno poročilo o kapitalskih trgih na razvijajočih se trgih emreport. Stran 1 od 5

ACCEPTABLE USE POLICY. 1. General Notice

UNIVERZA V MARIBORU FAKULTETA ZA ORGANIZACIJSKE VEDE. Diplomsko delo visokošolskega strokovnega študija

Načela evropskega odškodninskega prava

NAVODILO PISANJE STROKOVNIH IN ZNANSTVENIH DEL NA FOŠ GUIDELINES

DIPLOMSKO DELO DIPLOMSKO DELO. PILIH Vili. Vili Pilih. Celje, 2016

AKTUALNI ODPRTI RAZPISI PROGRAMA OBZORJE 2020 PROGRAMA ZA RAZISKAVE IN INOVACIJE

UNIVERZA V LJUBLJANI FAKULTETA ZA DRUŽBENE VEDE

UNIVERZA V MARIBORU EKONOMSKO-POSLOVNA FAKULTETA, MARIBOR DIPLOMSKO DELO VZROKI NEZADOVOLJSTVA Z GLOBALIZACIJO

Republike Slovenije. Mednarodne pogodbe (Uradni list RS, št. 2) USTANOVNA LISTINA ORGANIZACIJE ZDRUŽENIH NARODOV

Ranljivost na podnebne spremembe in participacija

Na podlagi druge alinee prvega odstavka 107. člena in prvega odstavka 91. člena Ustave Republike Slovenije izdajam

PISANJE DIPLOMSKIH DEL

Migrant Women s Work: Intermeshing Structure and Agency

ANALIZA SISTEMA BITCOIN IN ALTERNATIVNIH MOŽNOSTI UPORABE BITCOIN TEHNOLOGIJE NA FINANČNEM PODROČJU

2. OPTIONAL PROTOCOL to the Convention against Torture and Other Cruel, Inhuman or Degrading Treatment or Punishment

ON (UN)ENFORCEABILITY OF RESTRICTIVE CLAUSES IN PATENT LICENSE AGREEMENT 1

CARINSKI POSTOPKI V SLOVENIJI PRED IN PO VSTOPU V EU

UČINKI POSLOVNIH STRATEGIJ V KONTEKSTU GLOBALIZACIJE 1 **

NAVODILA ZA PRIPRAVO PISNIH NALOG na dodiplomskem in podiplomskem študiju

OCENJEVANJE IN LETNI RAZGOVORI Z JAVNIMI USLUŽBENCI NA OBRAMBNEM PODROČJU

Test Specification Protocol Implementation Conformance Statement (PICS) proforma for IRAP interfaces

UNIVERZA V LJUBLJANI FAKULTETA ZA DRUŽBENE VEDE VLOGA BIOMETRIČNIH METOD PRI PREPREČEVANJU TERORIZMA

VLAGANJE ZAHTEVKOV ZA VRAČILO TUJEGA DDV V SLOVENSKIH PODJETJIH

UNIVERZA V LJUBLJANI FAKULTETA ZA DRUŽBENE VEDE

KRITIČNA ANALIZA POLITIZACIJE DRŽAVNE UPRAVE V SLOVENIJI** 1

Vloga vodij pri uspešni uvedbi sistema upravljanja zaposlenih v državni upravi

Na podlagi druge alinee prvega odstavka 107. člena in prvega odstavka 91. člena Ustave Republike Slovenije izdajam

Na podlagi druge alinee prvega odstavka 107. člena in prvega odstavka 91. člena Ustave Republike Slovenije izdajam

Na podlagi druge alinee prvega odstavka 107. člena in prvega odstavka 91. člena Ustave Republike Slovenije izdajam

Uspešnost mirovnih operacij in misij: analiza UNAMSIL (Sierra Leone)

IZVAJANJE REGIONALNE POLITIKE EVROPSKE UNIJE V SLOVENIJI - PRIMER MREŽNI POMURSKI PODJETNIŠKI INKUBATOR

2014/0091 (COD) Predlog DIREKTIVA EVROPSKEGA PARLAMENTA IN SVETA. o dejavnostih in nadzoru institucij za poklicno pokojninsko zavarovanje

Transcription:

Varnost omrežij UNIVERZA Žarko Čučej e-naslov: zarko.cucej@uni-mb.si Univerza v Mariboru Fakulteta za elektrotehniko, računalništvo in informatiko V Maribor 9. april 2009 MARIBORU

1 Uvod 2 Pomembnost varnosti Vsebina 3 Napadi na varnost Neavtorizirani dostopi Virusi, črvi in trojanski konji Ponarejanje naslova IP Zavračanje storitev 4 Varnostna politika Večnivojska obramba V Varnostna orodja 5 Zaključek Vprašanja Slovarček Literatura UNIVERZA MARIBORU 2 / 37

Zakaj je pomembna varnost Interneta? Internet se je iz preprostega sistema za prenos datotek razvil v sofisticirani sistem, ki ga uporabljamo na primer pri nakupih avtomobilov, izpolnjevanju receptov, vlogah za bančna posojila, plačilo računov itd, na kratko, postaja ena najpomembnejših infrastruktur tudi za poslovanje. Podjetja so kmalu spoznala, da za poslovanje preko Interneta morajo zagotoviti varnost svojega omrežja in varnost komunikacije preko Interneta, da jim bodo stranke zaupale. Tudi vlade so kmalu spoznale, da morajo svojim državljanom zagotoviti zasebnost tudi pri uporabi sodobnih informacijsko komunikacijskih tehnologij, predvsem pri uporabi njihovih osebnih podatkov, s katerimi razpolagajo in jih uporabljajo institucije kot so banke, bolnice, zavarovalnice itd. 3 / 37

Uporabljane kratice APP AUP DNS DoS ECP EIP EU FTP HIPPA HTTP Allowed Public Policy Acceptable Use Policy Domain Name Server Denial of Service Extranet Connection Policy E-mail and Internet Policy Europe Union File Transport Protocol Health Information Privacy Protection Act Hyper Text Transport Protocol 4 / 37

Uporabljane kratice (2) ICMP IDS IP IPSec MIB RAP RFC SNMP TCP UDP Internet Command Message Protocol Intrusion Detection System Internet Protocol IP Security Management Information Base Remote-user Access Policy Request For Comments Simple Network Management Protocol Transport Control Protocol User Defined Protocol 5 / 37

Zakaj je pomembna varnost omrežij? Varnost omrežij je nesporno odvisna od: nagle rasti uporabe Interneta v poslovne namene vse večje dostopnosti in zmogljivosti Interneta zakonodaje Vse več podjetij posluje preko Interneta, zato zahtevajo jamstva za zasebnost strank in varnost svojih podatkov. Vse večje zmogljivost Interneta vzpodbuja nove oblike dela, na primer daljinsko delo od doma. omrežja podjetij se širijo izven tovarniškega dvorišča Vlade so kmalu spoznale, da je za poslovno rabo kot tudi za državno infrastrukturo nujna varnost Interneta in varnost informacijskih sistemov dosegljivih preko Interneta: Health Information Privacy Protection Act (HIPPA), EU Directive on Data Protection 6 / 37

Napadi na varnost Z evolucijo računalniških omrežij v novo tehnološko osnovo vsakodnevnega življenja so se ta izpostavila vsakodnevnim grožnjam in napadom. Napadi se pojavljajo različnih oblikah in izkoriščajo različne slabosti omrežja Vsak dan se odkrivajo nove slabosti in nove vrste napadov. V splošnem napade lahko delimo na: neavtorizirani dostopi ki nastajajo zaradi nedovoljene uporabe omrežij, šibke avtentikacije in šibkih gesel viruse, črve in trojanske konje sleparjenje zavračanje dostopa 7 / 37

Neavtorizirani dostopi Nedovoljena uporaba Pogosti primer nedovoljene uporabe omrežja je igranje omrežnih igric na omrežju podjetja. Mnogo nevarnejša pa so tekmovanja hekerjev (hackers) v vdiranju v tuje računalnike ali informacijske sisteme s ali brez pridobitniških ciljev. Šibka avtentikacija: O njej govorimo, ko sistemi ne zahtevajo identifikacije uporabnikov ali katerekoli entitete oziroma avtentikacijski mehanizem ne zagotavlja nobenega varnostnega učinka. Opozorilo: Mnogo sistemov ima vgrajene stroge sisteme avtentikacije, vendar se ti (iz razno raznih razlogov... ) ne uporabljajo 8 / 37

Neavtorizirani dostopi (2) Gesla: Običajno so prva obrambna linija pred napadi. Uporabljajo se za avtentikacijo in avtorizacijo uporabnikov. zato je pomembno, da gesla ni možno enostavno odkriti. Pri pošiljanju gesel se uporablja enkripcijske algoritme. Tudi tako zaščitena gesla, če so gesla šibka, se da enostavno zlomiti s posebnimi orodji (password cracking tools). Orodja za lomljenje gesel delujejo na dva načina: z golo silo, kjer se preverja vse možne kombinacije črk, številk in specialnih znakov, dokler rezultat ni enak kot je v hašeju gesla s slovarjem, kjer se preverja seznam verjetnih gesel 9 / 37

Neavtorizirani dostopi (3) Vohljači (sniffers): To so programi, v žargonu jih imenujemo sniferji, ki pregledujejo vsebine paketov, ki potujejo po prenosnem mediju, na katerega so priključeni gostitelji sniferjev. Drugače se porabljajo jih pri analizi prometa, hekerji pa z njimi skušajo iz paketov izvleči občutljive informacije, kot so gesla, s katerimi kasneje uporabljajo za nedovoljen dostop do informacijskih virov. Sniferji običajno lovijo pakete, ki so povezani s protokoli in aplikacijami, ki za uporabo zahtevajo geslo (na primer Telnet, HTTP, POP itd). Aplikacijska plast: Napadi na aplikacijski plasti skušajo zasesti zmogljivosti napadenega sistema s praznim delom. Za to izkoriščajo slabosti namestitve aplikacijskih programov, ki jim je skupna slabost prekoračitev vmesnega pomnilnika. 10 / 37

Virusi, črvi in trojanski konji Virusi: Virusi so skriti računalniški programi z zlobnimi nameni. Običajno se širijo z vstavljanjem svoje kopije v druge programe. Njihova običajna pot širjenja so priponke k elektronski pošti, na primer slike, dokumenti iz obdelave tekstov, in razpredelnice. Virusi, vgrajeni v te priponke, okužijo sistem, ko uporabnik aktivira priponke. Primeri virusov so Melissa, BugBear in Klez. Črvi: Črvi so neodvisno delujoči računalniški programi, ki se lahko samostojno širijo po omrežju. Destruktivno zasedajo gostiteljeve procesne zmogljivosti. Mnogi menijo, da so črvi podzvrst virusov. Ponudniki protivirusnih programov vključujejo črve v svoje podatkovne baze. Primeri črvov so Nimda, CodeRed, Slapper in Slammer. 11 / 37

Virusi, črvi in trojanski konji (2) Trojanski konji: Trojanski konji so navidezno koristni računalniški programi, v resnici pa vsebujejo skrite zlonamerne funkcije, ki ogrožajo varnostne mehanizme. Pri tem izkoriščajo avtentikacije sistemske entitete, ki oživi ta program. 12 / 37

Sleparjenje: ponarejanje naslovov IP Napade s ponarejanjem naslova IP izvajajo hekerji Hekerji se lahko nahajajo v omrežju, katerega napadajo, običajno pa imajo le zunanji dostop do omrežja S ponarejanjem naslova IP želijo prevzeti identiteto zaupanja vrednega računalnika. Napad se lahko izvede na dva načina: z uporabo naslova IP ki je znotraj območja naslovov, ki jim zaupamo z uporabo IP naslova izven območja naslovov omrežja, ki pa so avtorizirani, da jih lahko uporabljajo določeni resursi v omrežju Pozor! Napad s ponarejanjem naslova IP je običajno začetek drugih napadov na omrežje oziroma informacijske vire na njem. 13 / 37

Zavračanje storitev Napad z zavračanjem storitev (DoS) je med najbolj zastrašujočimi napadi saj povzročijo zastoj sistemov in s tem izgubo zaslužka. Cilj napada DoS je prekiniti ali omejiti legitimnega uporabnika pri dostopu do njegovih resursov. Preprosta oblika napada DoS je množičen napad na izbrani vir z gesli, ki blokira dostop uporabniku. To se zlahka naredi pri enem gostitelju napada. Napadi DoS se običajno naredijo iz ponarejenega naslova IP Bolj zahrbtna oblika DoS je napad iz množice gostiteljev, ki jih koordinira gospodar. Ta napad omogoča pošiljanje mnogo večjega števila paketov. 14 / 37

Varnostna politika Varnostna politika: Z varnostno politiko podjetja ali ustanove določajo cilje in sredstva pri varovanju svojih omrežij. Običajno se sestoji iz: pravilnika za dodeljevanje uporabnih dovoljenj pravilnika za gesla pravilnika za uporabo elektronske pošte in Interneta pravilnika ukrepov in procedur odzivov ob incidentih pravilnika o izvedbi daljinskega dostopa pravilnika o priključevanju tujih omrežij pravilnika o dodeljevanja javnega dostopa 15 / 37

Varnostna politika (2) pravilnik za dodeljevanje uporabnih dovoljenj (AUP) AUP (Acceptable Use Policy) določa, kaj je uporabniku dovoljeno početi na omrežju. Določa kateri uporabnik lahko ali ne sme do omrežja. Prav tako določa odgovornost avtoriziranega uporabnika. Na primer AUP lahko določa, da mora uporabnik zagotoviti, da bo anti virusni program pregledal njegov vir enkrat na dan. pravilnik za gesla Pravilnik določa, kako izbrati varno geslo, kako pogosto se morajo gesla spremeniti, kako gesla shraniti in kdo ima dostop do gesel. Na primer gesla usmerjevalnikov morajo imeti vsaj 10 znakov, menjavati se morajo vsakih 60 dni ali takoj, ko administrator zapusti podjetje/ustanovo. 16 / 37

Varnostna politika (3) pravilnik za uporabo elektronske pošte in Interneta (EIP) EIP (E-mail and Internet Policy) določa, kateri uporabnik imajo dostop elektronske pošte in Interneta. Na primer, IEP določa, da se lahko elektronska pošta uporablja le za poslovne namene, Interneta pa le za dostop do domačih strani, za katere se oceni, da so pomembne za delo uporabnika. pravilnik ukrepov in procedur odzivov ob incidentih Pravilnik določa, kako osebje, ki skrbi za varnost omrežja, ukrepa ob varnostnih incidentih, kot so izbruh virusov ali poskusov vdora. Pri odzivih na vdore pa določa kako in koga obvestiti o odkritem vdoru. 17 / 37

Varnostna politika (4) pravilnik o izvedbi daljinskega dostopa (RAP) RAP (Remote user Access Policy) določa postopek dostopa do omrežja podjetja iz tujih, javnih omrežij. Na primer, za dostop od doma moramo uporabiti navidezno zasebno omrežje in enkratno geslo. pravilnik o priključevanju tujih omrežij (ECP) ECP (Extranet Connection Policy) določa pravila kako se lahko poslovni partner poveže na omrežje podjetja. Na primer, partner se lahko poveže le z domačo stranjo podjetja in to preko tunela VPN. pravilnik o dodeljevanja javnega dostopa (APP) APP (Allowed Public service Policy) določa katere storitve omrežja so na voljo Internetu. Na primer, FTP, SMTP, HTTP in DNS. APP lahko določi, da ima DNS dostop le do korena strežnika DNS. 18 / 37

Varnostni cikli varnost je ciklični proces (slika 2), ki ga je potrebno neprestano izboljševati: zavaruj izboljšaj varnostna politika opazuj preizkusi Slika: Kolo varnosti. 19 / 37

Varnostni cikli (2) korak 1 Zavaruj omrežje skladno z varnostnim pravilnikom. Na primer, dostop do vseh usmerjevalnikov in stikal v omrežju naj bo mogoč le z avtentikacijo. korak 2 Opazuj omrežje. Na primer s programom, ki detektira vdor (Intrusion Detection System: IDS), opazuj promet skozi požarni zid. korak 3 Preizkusi varnost. Periodično preveri varnost omrežja in odkrivaj ranljivost. Ta postopek običajno zahteva najem zunanjih svetovalcev, ki s pregledovalniki ranljivosti iščejo ranljivost omrežja in ugotavljajo učinkovitost uvedenih varnostnih ukrepov. Popularni pregledovalnik je Nmap (network mapper). korak 4 Izboljšaj varnost. Na osnovi ugotovitev iz testiranja izboljšaj varnostne ukrepe. Na primer, če se v koraku preizkušanja odkrije, da je ranljiv program web strežnika, tega dogradi s popravki kot priporoča prodajalec programa. 20 / 37

Večnivojska obramba sodobni varnostni sistemi so večnivojski obrambni sistemi pri njej omrežje razdelimo na več koncentrično nameščenih con tako, da središčna cona zajema varnostno najbolj kritične resurse omrežja varnostni ukrepi v vsaki coni dopolnjujejo predhodne zunanje varnostne cone (slika 2), na primer: prva obrambna linija: usmerjevalniki s filtrskimi požarnimi zidovi druga obrambna linija: specializirani požarni zidovi in senzorji vdora tretja obrambna linija: senzorji vdora 21 / 37

Večnivojska obramba (2) Slika: Varnostne cone v večnivojskem varovanju omrežja. 22 / 37

Zmanjševanje nevarnosti napadov vseh napadov na varnost omrežja in v njem prisotnih virov informacij ne moremo odstraniti kot sestavni del varnostne politike izdelamo oceno tveganja in škode, ki lahko nastane, za vsak element omrežja: Tabela: Primer tabele z oceno tveganja. K: kritično, slabosti moramo odpraviti takoj, R: rizično, slabosti moramo odpraviti v določenem roku, MR: manj rizično škoda verjetnost napada 1 2 3 4 5 1 MR MR MR MR R 2 MR MR R R R 3 MR R R R K 4 MR R R K K 5 R R M K K algoritem: [ ] [ ] verjetnost x = škoda napada x = MR x < 5 x = R 5 < x < 15 x = K x > 15 23 / 37

Zmanjševanje nevarnosti napadov (2) priporočene metode zmanjševanja uspešnosti napadov: neavtorizirani dostop: Nevarnost zmanjšamo z nadzorom dostopa. Določimo, kateri promet lahko vstopa v varovano omrežje in kateri ima dovoljenje za izhod iz omrežja. šibka avtentikacija: Moč avtentikacije lahko povečamo z uporabo gesel na vsaki napravi v omrežju. V omrežjih, kjer se zahteva stroga avtentikacija, uporabimo avtentikacijske postopke kot so enkratna gesla ali bio-metrične metode. šibka gesla: Moč gesel lahko povečamo s sistemom, ki na primer od uporabnikov zahteva gesla s 7 14 znaki in z veljavnostjo le treh mesecev, da gesla ne sestavljajo iz znanih besed ali ponovno uporabljajo. 24 / 37

Zmanjševanje nevarnosti napadov (3) sniferji paketov: Vse tekstovne podatke se iz omrežja da enostavno dobiti s sniferji, to je programi, ki vohljajo za prometom na omrežju. Nevarnost napada z njimi lahko zmanjšamo z naslednjimi ukrepi: stroga avtentikacija: Z uporabo enkratnega gesla se izniči uporabnost zajetega gesla, saj veljale za eno uporabo stikala: Uporaba stikal namesto zvezdišč v omrežju omeji širjenje prometnih tokov po omrežju na direktne poti med uporabniki. S tem se zmanjša možnost vohljanja za vsemi paketi. kriptografija: V omrežjih, kjer se zahteva najmočnejša zaščita pred napadi, uporabimo kriptografijo, na primer z uporabo prenosa z IPsec (IP Security) 25 / 37

Zmanjševanje nevarnosti napadov (4) napadi v aplikacijski plasti: Napade na aplikacijski plast ni mogoče povsem odstraniti. Vsak dan se odkrivajo nove ranljive točke. V splošnem lahko z njimi povezane nevarnosti zmanjšamo z: s stalnim spremljanjem obvestil o varnostni problematiki programske opreme, ki se uporablja. Na primer z vključitvijo na poštni seznam foruma proizvajalca opreme o varnosti rednim dograjevanjem varnostnih popravkov v nameščeni programski opremi, na primer, SP2 in SP 3 pri operacijskih sistemih Windows XP uporabo detektorjev vdora (IDS) v omrežju in na računalnikih 26 / 37

Zmanjševanje nevarnosti napadov (5) virusi, črvi in trojanski konji: Pred to nadlogo in nevarnostjo se varujemo s protivirusnimi programi. Pri kritičnih aplikacijah namestimo tudi lokalne požarne zidove in detektorje vdorov. zavajanje z naslovi IP: Za zaščito pred sleparskimi naslovi RFC 2827 priporoča uporabo vhodnih in izhodnih filtrov. Pri njih dobro upoštevati tudi RFC 1918. zavračanje dostopa: Pri zmanjševanju nevarnosti zavračanja dostopa je poleg filtriranja naslovov dobro v dogovoru z Internetnim ponudnikom omejiti količino prometa. To omejitev namestimo tudi na robnem usmerjevalniku, preko katerega smo povezani na zunanje omrežje. Na izbrane gostitelje namestimo zaščitni program, ki omejuje število dovoljenih dostopov (programi anti-dos). 27 / 37

Varnostna orodja Mnogo varnostnih problemov nastaja zato, ker se v omrežje brez dovoljenja vključujejo nove naprave ali storitve. Pri nadzoru varnosti si sistemski administratorji pomagajo z različnimi orodji, s katerimi ugotavljajo prisotnost naprav v omrežju, kateri servisi so na voljo, kje je sistem ranljiv itd. pregledovalnik naprav (port-scanning tools): Program s pošiljanjem paketov ICMP z zahtevo odziva naprav ping sweeping v omrežje odkriva prisotne naprave. Odkritim napravam pošlje paket TCP z zahtevo za povezavo. Z njim določi, ali naprava nudi storitve TCP kot so HTTP, FTP in Telnet. Odkritim napravam še pošlje paket UDP, da ugotovi, ali naprava nudi storitve UDP kot so DNS in SNMP. 28 / 37

Varnostna orodja (2) varnostni pregledovalnik (security scanner): Pregledovalniki varnosti omrežja se uporabljajo za ugotavljanje, ali so storitve omrežja ranljive. Vsebujejo podatkovno bazo, v kateri so vpisane vse znane ranljive točke. Njihove podatke primerja s podatki v nadzorovanem omrežju: Preverja verzijo operacijskega sistema fingerprinting. Preverja verzijo programske opreme. Simulira napade. Na primer, strežniku pošlje dolg URL in preveri, ali mu odgovori s specifičnim odzivom. Obstaja še mnogo drugih orodij, s katerimi si lahko pomagamo pri vzdrževanju varnosti v omrežju. 29 / 37

Varnostna orodja (3) John the Ripper: To je odprto kodni program za razbijanje gesel. Z njim lahko odkrivamo šibka gesla. Več informacij je na www.openwall.com/john/ Nmap: To je odprto kodni program za raziskovanje omrežja in varnostno prisluškovanje. Deluje na večini vrst računalnikov. Zanj je na voljo grafični uporabniški vmesnik GTH+. Več informacij najdemo na www.insecure.org. Nessus: To je brezplačno orodje za varnostno prisluškovanje. Več informacij je na www. nessus.org. 30 / 37

Varnostna orodja (4) SomarSoft: To je zbirka brezplačnih programov za pomoč sistemskim administratorjem pri uvajanju varnosti pri Microsoft Windows okolji: DumpEvt omogoča varnostno prisluškovanje operacijskim sistemom Windows NT in Windows 2000 DumpEvt je program za Windows NT, ki izpisuje EventLog v obliki, ki je primerna za vpis v podatkovne baze DumpReg je program za Windows NT in Windows 95, ki izpisuje vsebino registrov. Olajša iskanje ključev in nizov. Več informacij je na www.somarsoft.com 31 / 37

Povzetek Danes Internet ni več sistem za prenos elektronske pošte in datotek ampak iz dneva v dan postaja vse bolj pomembna poslovna infrastruktura. V tej vlogi je varnost ključnega pomena. Uporabniki pričakujemo, da bodo naši podatki, ki jih izmenjujemo v poslovnih ali drugih transakcijah po internetu ostali zaupni. Omrežja so danes izpostavljena številnim napadom in poskusov zlorab. Med napadi so najbolj pogosti neavtorizirani dostop, šibka (z lahkoto premagljiva) avtentikacija, gesla, vohljači naslovov IP, napadi na aplikacijski plast, virusi, črvi, trojanski konji sleparije z IP naslovi in napad z zavračanjem storitev. Varnostna politika je določena s pravilnikom, ki določa varnostna pravila uporabe Interneta. Ta pravila lahko zelo posežejo med ustaljene navade zaposlenih v podjetju. 32 / 37

Povzetek (2) Zaščita z večnivojsko obrambo temelji na oblikovanju več koncentričnih con zaščite omrežja. V vsakem območju varnostni ukrepi dopolnjuje varnostne ukrepe predhodne zunanje cone. Tehnike zmanjševanja nevarnosti so odvisne od izpostavljenosti napadom. Tako s pravili menjav in izbire gesla zmanjšujemo tveganje napada na gesla. Vhodno in izhodno filtriranje skladno z RFC 2827 zmanjša tveganje pri napadih s sleparskimi naslovi IP. Administratorji omrežij lahko s stalno analizo dogajanj na omrežju mnogo prispevajo k varnosti omrežja. S programi za pregledovanje vrat (port scanners), ranljivosti (vulnerability scanners) in programi za odkrivanje gesel (password-cracking) lahko poiščejo varnostno šibke točke in z njihovo odpravo znatno izboljšajo varnost omrežja. 33 / 37

Vprašanja 1 Kateri faktorji vplivajo na pomembnost varnosti v omrežjih? 2 Kako varnostna politika vpliva na omrežja podjetij? 3 Navedite primer globoke obrambe pred napadi na omrežje! 4 Naštejte glavne vrste napadov na omrežje! 5 Kateri napad na omrežje skuša zasuti omrežje s poplavo neželenih paketov? 6 Katera vrsta napadov se vrši preko priponk k elektronski pošti? 7 Opišite kako ublažiti napad s sleparskim IP 8 Kako infrastruktura s stikali ublaži napad vohunjenja? 9 Katero varnostno orodje odkrije naprave in razpoložljive storitve na omrežju? 10 Katero orodje odkrije ranljivost omrežnih naprav? 11 Katero orodje odkriva šibkost gesel? 34 / 37

Slovar avtentikacija (authentication) je proces, v katerem se potrjuje identiteta entitete. detekcija vdora (intrusion detection) je varnostna storitev ki nadzira in analizira dogodke v sistemu s ciljem odkriti in v realnem času opozoriti na nedovoljen dostop do virov v sistemu. enkratno geslo (one-time password: OTP) je preprosta avtentikacijska tehnika, v kateri se vsako geslo uporabi samo enkrat. Uporabna je Internet Protocol Security (IPSec) je skupno ime za varnostno arhitekturo in zbirko protokolov, ki zagotavljajo varnost prometa na Internetu. zahtevanje odzivov (ping sweep) je napad, v katerem se uporabi zahteva odziva (ping) pri protokolu ICMP pri množici IP naslovov s ciljem odkriti gostitelja, kateremu se lahko odkrije ranljivost ranljivost (vulnerability) je razpoka ali šibka točka v načrtovanju sistema, njegovi izvedbi, delovanju ali upravljanju, ki se lahko izkoristi za nasilni vdor v varnostno politiko sistema. 35 / 37

Več informacij najdemo v... CERT: www.cert.org Cisco SAFE: www.cisco.com/go/safe Fact Sheet on EU Privacy Directive: www.dss.state.ct.us/digital/eupriv.html Helt Privacy Project: www.dss.state.ct.us/digital/eupriv.html RFC 1918 Address Allocation for Prirvate Networks www.ietf.org/rfc/rfc2118.txt RFC 2196 Site Security Handbook www.ietf.org/rfc/rfc2196.txt RFC 2827 Netwotk Address Ingress Filtering www.ietf.org/rfc/rfc2827.txt 36 / 37

Dodatno čtivo Dorothy E. Denning: Information Warfare and security, Addison-Wesley, 1999; Linda McCarthy: Intranet Security: Stories from the Trenches, Palo Alto, CA: SUN Microsystems Press, 1998; Marike Kaeo: Designing Network Security, Macmillan technical Publishing, 2000; Viri William Stallings: Data and Computer Comunications. Fifth editions, Prentice Hall, 1997, ISBN 0-13-571274-2 Cisco Systems, Inc: Internetworking Technologies Handbook. Fourth Edition, Cisco Systems TM 2004, ISBN 1-58705-119-2 Boštjan Lavuger: Nadzor komunikacijskih omrežij. Poročilo o individualnem raziskovalnem delu, UM-FERI 2006 37 / 37

2024 © lawsdocbox.com Privacy Policy | Terms of Service | Feedback