Заштита рачунарских мрежа

С Википедије, слободне енциклопедије

Заштита рачунарских мрежа и њихово надгледање је од изузетног значаја за нормалан рад ИТ инфраструктуре. У могућности смо да имплементирамо заштиту на више нивоа, као и на серверима и радним станицама. Поред активне заштите, имамо решења за активно праћење саобраћаја на мрежи уз помоћ НетФлоw протокола. Након имплементираног решења спроводимо акцију симулације напада из спољне и унутрашње средине, ради провере постављене заштите.

Особине безбедне комуникације[уреди | уреди извор]

Пожељне особине безбедне комуникације :

  • Поверљивост. Требало би да само пошиљалац и намеравани прималац разумеју садржај пренесене поруке. С обзиром на то да прислушкивачи могу да пресретну поруку, то обавезно захтева да она буде некако шифрована, тако да пресретнуту поруку прислушкивач не може да дешифрује.
  • Интегритет поруке. Чак и кад су пошиљалац и прималац у стању да међусобно провере своју аутентичност, они такође желе да обезбеде да се садржај не промени, било злонамерно, било несрећним случајем током преноса. За обезбеђивање таквог интегритета поруке могу се користити проширења техника контролних збирова.
  • Провера аутентичности крајњих тачака. I пошиљалац и прималац требало би да могу да се увере у идентитет друге стране у комуникацији. У људској комуникацији лицем у лице тај проблем се лако решава визуелним препознавањем, док код ентитета који комуницирају размењујући поруке преко медијума, провера аутентичности није тако једноставна.
  • Операциона безбедност. Скоро све организације данас имају мреже које су повезане са јавним интернетом. Те мреже потенцијално могу постати мета нападача који мрежама приступају преко јавног интернета. Нападачи могу да покушају да поставе црве у рачунаре те мреже, прибаве корпорацијске тајне, пресликају интерну конфигурацију мреже и покрену нападе одбијања услуга (ДоС).

Принципи криптографије[уреди | уреди извор]

Иако криптографија има дугу историју која датира још од Јулија Цезара, савремене криптографске технике, укључујуци и многе од оних које се користе на данашњем интернету, засноване су на достигнућима из последњих 30 година. Детаљан технички опис криптографије, посебно из аспекта мреже, налази се у Кауфмановој књизи. Криптографске технике дозвољавају пошиљаоцу да маскира податке тако да уљез не може да добије никакву информацију из пресретнутих података. Прималац мора да буде у стању да извуче оригиналне податке из маскираних података.

Криптографија симетричног кључа[уреди | уреди извор]

Сви криптографски алгоритми укључују замену једне ствари другом (нпр. Узимање дела отвореног текста, а затим израчунавање и замену тог текста одговарајућим шифрованим текстом, све у циљу прављења шифроване поруке ). Веома стар једноставан алгоритам симетричног кљуца се приписује Јулију Цезару, познат као Цезарова шифра. Побољшање Цезарове шифре је једноазбучна шифра, где се такође једно слово азбуке замењује другим, али уместо да се замена врши у складу са неким правилним узорком, свако слово може бити замењено било којим другим словом, али да свако слово има јединствено слово које га замењује и обрнуто. После пет година, пронађене су технике побољшања једноазбучног шифровања, познате као вишеазбучно шифровање. Идеја на којој се заснива вишеазбучно шифровање лежи у томе да се користи више једноазбучних шифара, где се конкретна једноазбучна шифра примењује за кодовање слова на одређеној позицији у поруци отвореног текста. Постоје две широке класе техника за симетрично шифровање :

  • Проточно шифровање
  • Блоковско шифровање

Шифровање јавним кључем[уреди | уреди извор]

Током више од 2000 година, шифрована комуникација захтевала је да две стране које комуницирају деле заједничку тајну – симетрични кључ који користе за шифровање и дешифровање. Једна од тешкоћа оваквог приступа јесте да две стране некако морају да се споразумеју о заједничком кључу. Употреба криптографије јавним кључем је у суштини сасвим једноставна. Иако је алгоритам једноставан, могу се јавити два проблема. Алгоритам РСА постао је скоро синоним за криптографију јавним кљуцем. Постоје две међусобно повезане компоненте алгоритма РСА :

  • Избор јавног и приватног кључа
  • Алгоритам за шифровање и дешифровање

Интегритет поруке[уреди | уреди извор]

Интегритет поруке се понекад назива и проверавање аутентичности поруке. Кад су пошиљалац и прималац у стању да међусобно провере своју аутентичност, они желе да обезбеде да се садржај њихове комуникације не промени. Да би се проверила аутентичност поруке, потребно је да се провери да:

  • Порука заиста потиче од лица које је послало
  • Пренета порука није промењена на путу до лица које је предвиђено за примаоца

Криптографске хеш функције[уреди | уреди извор]

Хеш функција узима улаз, и прорачунава низ фиксне дужине који се зове хеш. Контролни збирови за интернет и ЦРЦ - ови задовољавају ову дефиницију. Криптографска хеш функција мора да има следеће додатно својство, рачунарски је неизводљиво пронаћи било које две различите поруке x и y такве да је Х(x)=Х(y). Незванично, ово својство значи да је уљезу рачунарски недозвољено да поруку заштићену хеш функцијом замени другом поруком. Односно, ако су (м,Х(м)) порука и њен припадајући хеш који је направио пошиљалац, онда уљез не мозе да подеси садржај друге поруке y, тако да она има исту вредност хеша као оригинална порука.

Шифра аутентификације поруке[уреди | уреди извор]

Да би се проверио интегритет поруке, осим криптографске хеш функције пошиљаоцу и примаоцу је потребна заједничка тајна с. Та заједничка тајна, један низ битова, назива се кључ аутентификације. Када пошиљалац направи поруку м,додаје јој тајну с и прави с+м,а затим израчунава хеш Х(м+с). Х(м+с) се зове шифра аутентификације поруке (МАЦ – массаге аутхентицатион цоде).

Дигитални потпис[уреди | уреди извор]

У дигиталном свету, често желимо да укажемо на власника или ствараоца документа, или желимо да означимо нечију сагласност са садржајем документа. Дигитални потпис је криптографска техника за постизање ових циљева у дигиталном свету. Баш као и са потписима људи, дигитално потписивање би требало да се изврши на такав начин да се дигитални потписи могу проверити и да се не могу фалсификовати. Односно, мора бити могуће да се докаже како је документ који је неко потписао заиста потписала та особа и да је само та особа могла да потпише документ.

Аутентификација крајње тачке[уреди | уреди извор]

Аутентификација крајње тачке је процес доказивања идентитета једне особе другој особи. Када извршавају аутентификацију преко мреже, стране у комуникацији не могу да се ослоне на биометријске информације, као што је визуелна појава или узорак гласа. Овде аутентификација мора да се уради само на основу порука и података размењених у оквиру протокола аутентификације. Протокол аутентификације прво установљава идентитет страна на обострано задовољство; тек после аутентификације, стране могу да пређу на посао који их очекује. Постоји више врста аутентификационих протокола :

  • Аутентификациони протокол ап1.0
  • Аутентификациони протокол ап2.0
  • Аутентификациони протокол ап3.0
  • Аутентификациони протокол ап3.1
  • Аутентификациони протокол ап4.0
  • Аутентификациони протокол ап5.0

Обезбеђивање електронске поште[уреди | уреди извор]

Услуге безбедности се могу пружати на сваком од четири горња слоја интернетових протокола. Када се безбедност осигурава за конкретан протокол апликационог слоја, онда це апликација која користи тај протокол добијати једну или више услуга безбедности, као што је поверљивост, аутентификација или интегритет. Када се безбедност осигурава за протокол транспортног слоја, онда све апликације које користе тај протокол добијају услуге безбедности транспортног протокола. Када се безбедност пружа на мрежном слоју, од рачунара до рачунара, онда сви сегменти транспортног слоја добијају услуге безбедности мрежног слоја. Када се безбедност пружа у слоју везе података, онда подаци у свим оквирима који путују преко линка добијају ове безбедносне услуге линка.

Безбедна електронска пошта[уреди | уреди извор]

Пројекат стварања система за безбедност електронске поште је пројекат високог нивоа који стварамо на поступан начин, тако што у свакој фази уводимо нове услуге безбедности. Безбедносне карактеристике које су најпожељније :

  • Поверљивост
  • Аутентификација пошиљаоца
  • Аутентификација примаоца
  • Интегритет поруке

PGP[уреди | уреди извор]

Pretty Good Privacy (PGP), који је првобитно написао Фил Цимерман 1991. Године, постао је де фацто стандардна шема за шифровање електронске поште. Његова веб локација пружа више од милион страница месечно корисницима у 166 различитих земаља. Верзије ПГП-а расположиве су у јавном домену(нпр. ПГП софтвер за вашу омиљену платформу као и много занимљивих текстова за читање, мозете да пронађете на локацији Интернатионал ПГП Хоме Паге). ПГП се такође може комерцијално набавити, а на располагању је и као додатак агенте корисника електронске поште, укључујући Мицрософтове Еxцханге и Оутлоок.

Обезбеђивање ТЦП конекција : SSL[уреди | уреди извор]

SSL (Secure Sockets Layer) је слој безбедних сокета. Првобитно је настао у Нетсцапеу. Од самог почетка, ССЛ је био широко прихваћен. ССЛ подржавају сви популарни читачи веба и веб сервери, а користи се практично на свим комерцијалним локацијама на интернету. ССЛ решава проблеме тако што унапредјује ТЦП увођењем поверљивости, интегритета података, аутентификације сервера и аутентификације клијента. Међутим, пошто ССЛ обезбеђује ТЦП, може га користити свака апликација која се извршава преко ТЦП-а. ССЛ нуди једноставан АПИ (Апплицатион Программер Интерфаце) са сокетима сличан и аналоган АПИ-ју који нуди ТЦП.

Безбедност мрежног слоја : IPSec[уреди | уреди извор]

IPSec-modes

IPSec (енгл. Internet Protocol Security) јесте низ протокола који прузају безбедност на мрежном слоју. IPSec се налази у језгру већине виртуелних приватних мрежа. ИПсец је врло сложен. Мрежни слој би обезбедио поверљивост, ако би сви подаци које носе сви ИП датаграми били шифровани. То значи да кад год неки рачунар жели да пошаље датаграм, он би шифровао корисне податке датаграма пре него што га испоручи мрежи. Два главна протокола IPsec-а су :

  • Протокол за аутентификацију заглавља (енгл. Authentication Header, AH)
  • Протокол за безбедносну енкапсулацију терета (енгл. Encapsulation Security Payload Protocol, ESP)

Протокол за аутентификацију заглавља, АХ, обезбеђује аутентификацију изворног рачунара и интегритет података, али не и њихову поверљивост. Протокол за безбедносну енкапсулацију терета, ЕСП, обезбеђује поверљивост на мрежном слоју, као и аутентификацију изворног рачунара и интегритет података.

Обезбеђивање бежичних ЛАН-ова[уреди | уреди извор]

Безбедност је посебно значајна у бежичним мрежама, где радио таласи који носе оквире могу да се простиру далеко ван зграде у којој се налазе основне бежичне станице и рачунари. Један од безбедносних механизама који је у почетку спецификацији 802.11 је приватност еквивалентна ожичењу (WEP). Протокол IEEE 802.11 WEP обезбеђује аутентификацију и шифровање података између рачунара и бежичне приступне тачке, користећи приступ симетричног заједничког кључа. WЕП не одређује алгоритам за управљање кључевима, па се подразумева да су се рачунар и бежична приступна тачка некако споразумели о кључу, неком методом ван опсега.

Операциона безбедност : мрежне баријере и системи за откривање уљеза[уреди | уреди извор]

Заштитни зид

Мрежна баријера (firewall) јесте комбинација хардвера и софтвера која изолује унутрашњу мрежу организације од интернета, дозвољавајући неким пакетима да прођу и блокирајући остале. Мрежна баријера омогућава администратору мреже да контролише приступ између спољашњег света и ресурса унутар администриране мреже, тако што ће управљати током саобраћаја ка тим ресурсима и од њих.

Постоје три врсте мрежних баријера :

  • Мрежне баријере са обичним филтрирањем пакета
  • Мрежне баријере са стањем филтера
  • Мрежни пролази апликационог нивоа

Систем за отклањање уљеза(енгл. IDS, Intrusion Detection System) је уређај који генерише упозорења када примети потенцијално злонамерни саобраћај. IDS може да се користи за откривање широке лепезе напада, укључујући пресликавање мреже, скенирање портова, скенирање ТЦП стека, ДоС нападе преплављивањем пропусног опсега, црве и вирусе, нападе на слабе тачке оперативног система и нападе на слабе тачке апликација.

Правни оквири и закони у Србији[уреди | уреди извор]

Оштећење рачунарских података и програма
Члан 298.
Кривична дела против безбедности рачунарских података

(1) Ко неовлашћено избрише, измени, оштети, прикрије или на други начин учини неупотребљивим рачунарски податак или програм, казниће се новчаном казном или затвором до једне године.

(2) Ако је делом из става 1. овог члана проузрокована штета у износу који прелази четристопедесет хиљада динара, учинилац ће се казнити затвором од три месеца до три године.

(3) Ако је делом из става 1. овог члана проузрокована штета у износу који прелази милион и петсто хиљада динара, учинилац ће се казнити затвором од три месеца до пет година.

(4) Уређаји и средства којима је учињено кривично дело из ст. 1. и 2. овог члана, ако су у својини учиниоца, одузеће се.

Прављење и уношење рачунарских вируса
Члан 300.
Кривична дела против безбедности рачунарских података

(1) Ко направи рачунарски вирус у намери његовог уношења у туђ рачунар или рачунарску мрежу, казниће се новчаном казном или затвором до шест месеци.

(2) Ко унесе рачунарски вирус у туђ рачунар или рачунарску мрежу и тиме проузрокује штету, казниће се новчаном казном или затвором до две године.

(3) Уређај и средства којима је учињено кривично дело из ст. 1. и 2. овог члана одузеће се.

Неовлашћени приступ рачунарској мрежи и електронској обради података
Члан 302.
Кривична дела против безбедности рачунарских података

(1) Ко се, кршећи мере заштите, неовлашћено укључи рачунарску мрежу, или неовлашћено приступи електронској обради података, казниће се новчаном казном или затвором до шест месеци.

(2) Ко употреби податак добијен на начин предвиђен у ставу 1. овог члана, казниће се новчаном казном или затвором до две године.

(3) Ако је услед дела из става 1. овог члана дошло до застоја или озбиљног поремећаја функционисања мреже или су наступиле друге тешке последице, учинилац ће се казнити затвором до три године.

Спречавање и органичавање приступа јавној рачунарској мрежи
Члан 303.
Кривична дела против безбедности рачунарских података

(1) Ко неовлашћено спречава или омета приступ јавној рачунарској мрежи, казниће се новчаном казном или затвором до једне године.

(2) Ако дело из става 1. овог члана учини службено лице у вршењу службе, казниће се затвором до три године.

Неовлашћено коришћење рачунарске мреже
Члан 304.
Кривична дела против безбедности рачунарских података

(1) Ко неовлашћено користи рачунарску мрежу у намери да себи или другом прибави противправну имовинску корист, казниће се новчаном казном или затвором до три месеца.

(2) Гоњење за дело из става 1. овог члана предузима се по приватној тужби.

Органи управе[уреди | уреди извор]

За сузбијање ове врсте криминала потребна је јака законска регулатива. Органи Републике Србије за борбу против злоупотребе рачунарских мрежа:

  • Веће Окружног суда за борбу против високотехнолошког криминала Окружног суда у Београду.
  • Привредни суд у Београду
  • Посебно тужилаштво, које је у организационом и функционалном смислу део Окружног јавног тужилаштва у Београду.
  • Служба за борбу против високотехнолошког криминала (део МУП-а), која би према Закону требало да у сарадњи са посебним тужилаштвом ради на плану обезбеђивања релевантних доказа за дела нелегалних активности у рачунарским мрежи.

Такође, јако је битна међусобна сарадња са другим линијама рада криминалистичке полиције, као и са другим службама у земњи и иностранству као што су: Безбедносно информативна агенција, Интерпол, Европол, ФБИ и др.

Жеља да рачунар и даље буде користан, жеља да њихову функцијуне угрозе нападачи I жеља да се застити приватност су неки од битних задатака заштите рачунарских мрежа. Велики део безбедности коју имамо долази од изолације. На пример, мрежна баријера ради тако што пресеца приступ извесним машинама и услугама. Али, ми живимо у времену све већег повезивања – па је све теже да се ствари изолују. Што је још горе, наши производни системи захтевају далеко више засебних делова, међусобно повезаних помоћу мрежа. Обезбеђење свега тога је један од наших највећих изазова.

Извори[уреди | уреди извор]

  • Јамес Ф. Куросе; Кеитх W. Росс (2005). Цомпутер Нетwоркинг: А Топ-Доwн Аппроацх. ИСБН 978-86-7991-339-5. 
  • Кривицни законик Републике Србије

Спољашње везе[уреди | уреди извор]

Заштита рачунарских мрежа на Викимедијиној остави.
Преузето из „https://sr.wikipedia.org/w/index.php?title=Zaštita_računarskih_mreža&oldid=26792968