SVEUILITE/UNIVERZITET VITEZ TRAVNIK FAKULTET POSLOVNE INFORMATIKE SMJER: INFORMACIONE TEHNOLOGIJE

ZATITA DNS I FTP SERVERA

SEMINARSKI RAD

Travnik 2013 god.

SVEUILITE/UNIVERZITET VITEZ TRAVNIK FAKULTET POSLOVNE INFORMATIKE SMJER: INFORMACIONE TEHNOLOGIJE

ZATITA DNS I FTP SERVERA

SEMINARSKI RAD IZJAVA: Ja, Goran Karovi, student Sveuilita/Univerziteta VITEZ Travnik, Index broj:0075-11/DIT, odgovorno i uz moralnu i akademsku odgovornost izjavljujem da sam ovaj rad izradio potpuno samostalno uz koritenje citirane literature i pomo asistenta odnosno profesora.

Predmet: Digitalni Mediji Mentor: dipl.ing.it MAHIR ZAJMOVI Student: Goran Karovi Broj indeksa: 0075-11/DIT Smjer: Informacione tehnologije - DL

Sadraj
1. UVOD ................................................................................................................... 1 1.1. 1.2. 2. Predmet istraivanja ...................................................................................... 1 Hipotezea ....................................................................................................... 1

DNS-Domain Name System ................................................................................. 2 2.1. 2.2. 2.3. 2.3.1. 2.3.2. Pojam DNS-a ................................................................................................. 2 Historijat ........................................................................................................ 4 Vrste napada na DNS-ove i zatita istih ........................................................ 6 DDoS napadi .............................................................................................. 7 Network footprinting ................................................................................. 7

3.

FTP (File Transfer Protocol)................................................................................. 9 3.1. 3.2. 3.3. Pojam FTP-a .................................................................................................. 9 Historijat FTP-a ........................................................................................... 10 Ranjivost i zatita FTP-a ............................................................................. 12

4. ZAKLJUAK ........................................................................................................ 14 5. LITERATURA ....................................................................................................... 15

1. UVOD
Uzeo sam temu Zatita DNS i FTP servera kako bih u svom seminarskom radu mogao da objasnim na koji nain funkcioniu DNS i FTP sistemi te koji je najbolji nain da se isti zatite od zloupotrebe i eventualnih hakerskih napada.

1.1.

Predmet istraivanja

Predmet istraivanja su u ovom sluaju DNS i FTP serveri i alati i naini pomou kojih se oni mogu odrati sigurnim.

1.2.

Hipotezea
mree, moramo imati u vidu tri

Kako bi podigli nivo zatite podataka svake

elementa zatitee, koji odnose na razliite dijelove naeg kompjuterskog sistema. Na plan je efikasan samo onda kada odradimo procjenu rizika i uz pravu strategiju i kvalitetne metode pokrijemo svaku oblast nae mree. Te oblasti su: 1. FIZIKE MJERE 2. OPERATIVNE MJERE 3. UPRAVLJAKA POLITIKA Svaka od ovih oblasti daje dio zatite i zato su ove metode povezane i tek ujedinjene mogu dati ozbiljnu sliku zatite jedne mree ili jednog sistema. Na slici ispod emo vidjeti u obliku dijagrama slonost ove tri metode u formiranju savrene zatite.

Slika 1. Dijagram povezanosti tri metode zatite

2. DNS-Domain Name System

2.1. Pojam DNS-a

Standardni korisnici computer-based ureaja tipa notebooka, tableta, pametnih mobilnih ureaja (engl. smartphone) itd. obino nisu u poziciji da iskoriste svoje ureaje do njihovog punog potencijala te zatite podatke na njima kako bi ostali dostupni samo korisnicima istih. Doista, postoje i procedure kojima moramo proi neke od mnogo parametara da bi proizvod na kraju ustari i radio svoj posao, i iskoristio potencijal hardverskih komponenti i njegove softverske izvedbe, openito reeno, ali mi emo baciti u iu jedan dio softvera koji nam slui koji nam slui kako bi aplikacije koje koristimo to jednostavnije znale doi do nekog odredita na globalnoj mrei Internetu, no i unutar manjih mrea Intranetu/Ekstranetu. Taj dio softvera se zove Domain Name System to je ustvari servisu koji svakodnevno koristimo, a neki ak korisnici ni ne znaju za isti. DNS je distribuirani hijerarhijski sistem Internet provajdera u kojem se nalaze informacije povezane s domenskim nazivima, tj. o povezanosti IP adresa i njihovih logikih (simbolikih) imena. Na vrhu hijerarhije koja upravlja logistikom nazivlja se nalazi ICAAN a isto tako (posredstvom operatora) upravlja i tehnikim implementacijama sistema koji nama i naim raunalima omoguavaju put do odredita.

Ti sistemi se nazivaju root DNS serveri i svega ih je 13 u cijelome svijetu.1 No to ne znai da se u svijetu nalazi samo 13 fizikih servera, ve je svaki root DNS servis dizajniran tako da uvijek postoji redundancija u sluaju ispada neke od hardverskih ili softverskih komponenti pojedinog servera. Iako nevidljivo u nazivu domene, npr. avalon.hr, na kraju naziva domene se uvijek nalazi toka, dakle avalon.hr. koja oznaava neki od tih 13 root servera koji uvijek znaju kome je delegiran .hr dio domene, odnosno na kojem DNS serveru se to nalazi, dok .hr DNS server zna gdje se nalazi domena avalon, odnosno na koje raunalo (server) je ta domena usmjerena. Naravno, sve to ne bi funkcioniralo da se ne potuju strogi tehniki propisi protokola koja opet propisuje krovna organizacija za dizajn protokola IETF (engl. Internet Engineering Task Force) koji su objedinjeni u RFC 1034 memorandumu. Nakon malo teorije kreemo u opisivanje kako to zapravo na naim raunalima funkcionira. Svako raunalo je opremljeno nekom vrstom operativnog sustava iji je sastavni dio komadi softvera koji omoguuje da bi se proces rezolucije dogodio. Taj softver je zapravo servis (engl. DNS Client) koji koriste aplikacije, npr. Internet preglednik, da bi znale pronai put do odredita, dakle programer aplikacije to mora omoguiti. Raunalo takoer mora imati mrenu karticu (engl. Network Interface Card), i svoj pogonski softver (engl. driver) da bi mrena kartica znala komunicirati sa TCP/IP stackom koji je implementiran unutar operativnog sustava. Dakle, vidimo koliko je to sve skupa povezano i zato se spomenuta pravila u svijetu tehnologije moraju potivati. Da bi raunalo znalo komunicirati sa udaljenim raunalima pomou imena mora imati zadane DNS servere, kao to je runo zadano na Slici 1 (primjer Windows okruenja). Parametri za DNS servere ne moraju nuno biti zadani runo, ve mogu biti dodijeljeni automatski putem DHCP protokola (engl. Dynamic Host Configuration Protocol) koji je konfiguriran na naim usmjerivaima (engl. router) ili je isti konfiguriran na lokalnim serverima od strane sistem administratora.

Hr.wikipedia.org

Slika 2. TCP/IPv4 konfiguracija DNS-a

2.2.

Historijat

Ameriko Ministarstvo odbrane (Department of Defense, DoD) odluilo je uloiti novac u razvoj svoje nove mree. On je povjeren organizaciji Advanced Research Projects Agency (ARPA). Zanimljivo je rei kako je uope nastala sama ARPA: Amerikanci su osnovali tu agenciju za napredna istraivanja nakon to je 1957. Sovjetski Savez lansirao Sputnika, nadajui se da e im ta agencija pomoi da dostignu Ruse u svemirskoj utrci.) Tako je 1968. nastala mrea ARPAnet, koja se smatra prethodnicom dananjeg Interneta. ARPAnet je bio eksperimentalni projekt, na kojemu je trebalo provjeriti mnoge stvari vezane uz mree. Sama mrea bila je zasnovana na tada novoj, a danas ope prihvaenoj tehnologiji paketnog prespajanja. Smatra se da je Internet nastao onoga dana kada je Ministarstvo obrane odluilo svoj ARPAnet povezati s nekim drugim javnim mreama, sveuilitima i znanstvenim institucijama. Stvoren je protokol kojim se paketi prenose mreom i nazvan je IP - Internet Protocol. Internet u tom trenutku jo nije bilo ime mree, ve je taj pojam predstavljao skraenu rije internetworking, povezivanje mrea. Razvojem takvog protokola omogueno je da meusobno komuniciraju razliiti tipovi raunala: bilo je samo vano da se meusobno dobro

razumiju. U poetku, ARPAnet je spajao samo etiri institucije (uglavnom univerzitetske).2 Kako se broj raunara koji se povezuju preko mree poveavao, bilo je potrebno ustanoviti jedinstven komunikacioni sistem koji bi regulisao saobraaj na mrei. Tako je 1972.godine ustanovljena organizacija IANA (Internet Assigned Numbers Authority - (www.iana.org) iji je zadatak bio da dodjeljuje jedinstene adrese svim raunarima koji su na mrei. Tada je ve 20 univerziteta bilo u mrei. U poetku su te adrese bile numerike, tj svaki raunar je imao svoj IP (Internet Protocol) broj neto kao kuni broj - na osnovu kog je svaki raunar na mrei mogao biti lociran, tj. primati i slati pakete informacija. Kako su mrea i broj korisnika rasli, bilo je tee pamtiti IP brojeve (zamislimo naprimjer da umjesto adrese www.bosnia.ba moramo da pamtite IP broj 216.167.31.240.!!!). Zbog toga je 1984. godine razvijen prvi Domain Name Server (DNS), tj. distributivna baza podataka koja u osnovi sadri sva imena svih raunara i opreme koja je spojena na Internet, ime su Internet adrese dobile dananji oblik. Sljedei bitan dogaaj se desio 1991. godine kada se pojavio prvi komercijalni ISP i tako je, pored obrazovnih, naunih i vojnih institucija, svaki korisnik mogao da registruje adresu na Internetu, ime je Internet uao u javnu upotrebu.1992.godine je oformljen InterNIC (www.internic.net), kvazi-vladina organizacija koja je organizovala i odravala registraciju domena. U poetku su domeni bili besplatni, ali kada je NSFNet (National Science Foundation Network) prestao da sponzorie registovanje novih domena, InterNIC je traio 100.000 US$ za dvogodinju registraciju domena. Zato je ameriko Ministarstvo trgovine trailo da se raspodjela i upravljanje domenima prebaci na privatne organizacije. Vea konkurencija je automatski znaila i snienje cjena. Godine 1998. je formiran ICANN (Corporation for Assigned Names and Numbers www.icann.org) - neprofitna, privatna korporacija, koja na principu konsenzusa koordinira tehnikim upravljanjem Internet domain name sistema, raspodjelom IP

Preuzeto sa http://sandbox.yoyogames.com/extras/user/cv/san1/894/58894/domain_name_system_dns__hromadzi c_ermin_.pdf

adresa, parametara Internet protokola i brojeva portova, odnosno svih onih inilaca ija jedinstvenost je preduslov za globalno funkcionisanje interneta. ICANN je akreditovao veliki broj kompanija - registranata irom svijeta koje Internet korisnicima omoguavaju registraciju domena i tako je nastao Shared Registration System koji se i danas primjenjuje. lanstvo u ovoj organizaciji je nadasve korisno a uz to je i besplatno ukoliko elimo da damo svoj doprinos u kreiranju stabilnog interneta.

2.3.

Vrste napada na DNS-ove i zatita istih

DNS-ovi prevode nazive hostova u IP adrese. Pomou ovih servisa mogue je prevesti stranicu iz npr. www.dnevnik.hr u 175.220.1.12 Isto tako kako DNS serveri mogu obavljati svoju funkciju interno, samo za korisnike interne mree, mogu i eksterno radi prevoenja naziva u IP adrese za ostale korisnike. Napadi sa osloncem na DNS servere nisu toliko uobiajeni i uestali ali se obino se javljaju u tri oblika:

2.3.1. DDoS napadi

DDoS je engleska skraenica za Distributed Denial-of-service attack, a oznaava sprjeavanje pristupa kompjuterskim sistemima koritenjem mnogobrojnih rasprenih resursa koji se veinom nalaze na Internetu. Uobiajeni nain na koji se sprjeava pristup kompjuterskom sistemu ili sistemima je kroz preoptereivanje raunalne mree slanjem viestrukih zahtjeva prema posluitelju, tako da se zaustavi legitimni promet prema tim posluiteljima. 6

Slika 3. DdoS napad Izvor : bubbleblews.com Mete DDoS napada veinom su visokoprofilni web posluitelji, banke, kompanije koje obrauju informacije sa kreditnim karticama, te korijenski (root) DNS posluitelji. Cilj DDoS napada je razbiti sigurnosne sisteme koji brane posluitelje tako da se mogu dokopati vrijednih informacija koje posluitelji pohranjuju. DDoS metode napada takoer se koriste u kibernetikom ratovanju za onesposobljavanje internetskog sistema neke drave.

2.3.2. Network footprinting

Ovaj oblik napadanja je malo vie indirektan za razliku od prethodnog. Network footprinting predstavlja proces prikupljanja podataka o mrei radi otkrivanja naina za upad na mreu. Na taj nain se otkrivaju slabosti u mrei i naini za ulazak na nju. DNS serveri sadre veliku koliinu podataka o mrei. Upotrebom jednog od standardnih programa za DNS pregled, kao to je NSLOOKUP napada moe doi do podataka o konfiguraciji mree-rtve. DNS podaci obino sadre informacije o nazivima domena i o potanskim, web, komercijalnim i drugim kljunim serverima u mrei.

Slika 4. Schema footprintinga http://www.knowthetrade.com/footprinting.html Naruavanje integriteta slogova DNS sistemi mogu koristiti samo primarni ili primarni i sekundarni DNS server. Svaka izmjena na primarnom ili sekundarnom serveru automatski se prenosi i na ostale provjerene DNS servere. Napada moe ubaciti lani slog na DNS server, koji e, umjesto na legitiman sajt, ukazivati na lokaciju koju je odredio napada. Zamislite neprilike koje moe imati neka korporacija ukoliko posjetitelji njenog web sajta budu preusmjereni na konkurentsku firmu ili, jo gore, na neki sajt sa porno sadrajem. DNS servere obavezno treba zatititi tako da se prije bilo kakve izmjene obavezno izvri identifikacija korisnika. Na taj nain se spreava ubacivanje neautoriziranih slogova u DNS servere.3

http://www.scribd.com/doc/155316237/seminarski-rad-DNS-I-FTP-SERVERI-ZA%C5%A0TITAOD-NAPADA

3. FTP (File Transfer Protocol)

3.1. Pojam FTP-a File Transfer Protocol (FTP) je standardni mreni protokol koji se koristi za premjetanje datoteka s jednog hosta na drugi putem mree temeljene na TCP -u, kao to je Internet. FTP je sagraen na korisniko-serverskoj arhitekturi te koristi odvojeno nadzornu i podatkovnu vezu izmeu korisnikog raunala i servera. FTP korisnici se mogu ovjeriti koristei isti tekst kao protokol prijave, obino u obliku korisnikog imena i zaporke, ali se mogu spojiti i anonimno ako je server konfiguriran kako bi to dopustio. Za siguran prijenos koji skriva (ifrira) korisniko ime i zaporku, te ifrira sadraj, FTP se esto osigurava s SSL/TLS (FTPS). Ponekad se za zamjenu koristi takoer SSH File Transfer Protocol (SFTP), ali je tehnoloki drugaiji. FTP veza se uspostavlja na zahtjev korisnikog raunala prema serverskom raunalu. Korisniko raunalo mora posjedovati program koji implementira FTP protokol (tzv. FTP klijent), a serversko raunalo mora posjedovati program koji prihvaa veze na 9

standardnom FTP portu te takoer razumije komande protokola FTP (tzv. FTP server ili FTP demon). Kada se veza uspostavi, klijentski program alje korisnike komande serverskom programu, koji ih obavlja i alje odgovor. Taj odgovor moe biti poruka da je naredba uspjeno obavljena, datoteka koja je zahtijevana ili poruka o greci. Prve FTP korisnike aplikacije su bile aplikacije naredbenog retka (command-line aplications) razvijene prije operativnih sustava (OS) i grafikog korisnikog suelja (GUI) te se takoer dostavljaju s veinom Windows, Unix- i Linux operativnih sustava. Puno FTP klijenata i automatiziranih usluga se od tada razvilo za raunala, servere, prijenosne ureaje i hardver te je FTP ugraen u stotinu proizvodnih aplikacija, kao to su ureivai web stranica.4

3.2.

Historijat FTP-a

Protokol je prvi put tehniki opisan u lipnju 1980. godine te je korigiran u RFC 959, to je ovdje saeto.FTP moe prometovati u aktivnom i pasivnom nainu rada, to odreuje kako je podatkovna veza uspostavljena. U aktivnom nainu rada, korisnik stvara FTP nadzornu vezu. U okolnostima kada je korisniko raunalo iza vatrozida i nije u mogunosti prihvatiti dolazeu TCP vezu, moe se koristiti pasivni nain rada. U ovom nainu rada korisniko raunalo koristi nadzornu vezu kako bi poslao PASV naredbu serveru te potom primio IP adresu servera i broj porta servera, koju potom korisniko raunalo koristi da bi otvorilo podatkovnu vezu proizvoljnog korisnikog porta s IP adresom servera i njegovim brojem porta koji je primio. Oba naina su unaprijeena u rujnu 1998. godine kako bi podravala IPv6. S vremenom su se daljnje promjene u pasivnom nainu rada uvodile, unapreujui ga u proireni pasivni nain rada.

Server odgovara preko nadzorne veze s troznamenkastim kodom stanja u ASCII-u s neobveznom tekstualnom porukom. Na primjer 200 (ili 200 OK) to znai da je

www.hr.wikipedia.org

10

zadnja naredba bila uspjena. Brojevi predstavljaju kod odgovora, a proizvoljni tekst predstavlja itljivo objanjenje ili zahtjev (pri. <trebam raun za spremanje datoteke>). Trenutno prebacivanje podataka preko podatkovne veze se moe prekinuti koristei poruku za prekid preko nadzorne veze. U trenutku prebacivanja podataka kroz mreu mogu se koristiti etiri prikaza podataka: 1. ASCII nain rada: koji se koristi za tekst. Podatci se pretvaraju, ako je potrebno, odnosno znakovni prikaz kod hosta koji ih alje u 8-bitni ASCII prije slanja te (ponovno, ako je potrebno) u znakovni prikaz hosta koji ih prima. Kao posljedica, ovaj nain je neprikladan za datoteke koje sadre podatke koji nisu isti tekst. 2. Slikovni nain (uobiajeno zvan binarni nain): stroj koji alje alje svaku datoteku bajt za bajtom te tu struju bajtova, stroj koji ih prima, sprema kako ih prima. (podrka slikovnom nainu je preporuena za sve implementacije FTP-a). 3. EBCDIC nain: se koristi za obian tekst izmeu hostova koji koriste EBCDIC znakovni skup. Ovaj nain je inae kao u ASCII nain. 4. Lokalni nain: doputa dvama raunalima s identinim postavkama slanje podataka u vlasnikom formatu bez potrebe za pretvaranjem u ASCII. Za tekstualne datoteke, razliiti nadzori oblika i izbori strukture zapisa su osigurani. Ove mogunosti su dizajnirane da bi se olakalo rad s datotekama koje koriste Telnet i ASA. Prijenos podataka se moe napraviti u bilo kojem od tri moda: 1. Nain strujanja: podaci se alju neprestanim strujanjem, oslobaajui FTP bilo kakve obrade podataka. Dapae, svi su podatci preputeni TCP-u. Nije potreban indikator kraja datoteke, sve dok datoteka nije podijeljena u zapise. 2. Blokovni nain: FTP dijeli podatke u nekoliko blokova (zaglavlje bloka, broj bajtova i podatkovno polje) i potom ih alje na TCP.

11

3. Saeti nain: Podaci su saeti koristei se jednim algoritmom (obino saimanje slijeda istih znakova).

3.3.

Ranjivost i zatita FTP-a

File Transfer Protocol (FTP) serveri nisu predvieni za aplikacije koje zahtijevaju visok stupanj zatite, zbog standardnih problema koji prate ovaj protokol. Veina FTP servera dozvoljava kreiranje zasebnih oblasti na bilo kom disku u sistemu. Poeljno je da odredite zaseban disk na sistemu ili da kreirate poseban direktorij koji je namijenjen transferu datoteka. Danas ak postoje i programi koji nam olakavaju napadanje FTP servera ali takodje i pomau u stvaranju jaih zatita te kreiranju komplikovanijih pasvorda:

Kljune stavke i mogunosti FTP Brute force napada su :

1.

Koristi BFA vrstu napada kako bi pomou rjenika naao eventualnu ifru pristupa. BFA napad se izvodi tako to program vrti rijei dok ne nae one koje odgovaraju ifri koja se nalazi na FTP serveru.

2.

Pokazuje stvarnu snagu kredencijala i da li se oni mogu probiti uopte.

12

Slika 5. Interfejs softvera za Brute Force Izvor : http://www.scribd.com/doc/155316237/seminarski-rad-DNS-I-FTPSERVERI-ZA%C5%A0TITA-OD-NAPADA

Ukoliko je mogue, poeljno je da FTP aktivnosti obavljate koritenjem virtualne privatne mree (VPN) ili veze sa Secure Shell (SSH) protokolom. FTP se ne moe "pohvaliti" nekom osobino velikom zatitom, dok veliki broj FTP sistema alje ak i podatke o nalozima i zaporke u otvorenom obliku preko mree. FTP je jedna od alatki koju napadai esto koriste za eksploataciju sistema, tako da se u ovome djelu nema jo mnogo toga navesti o zatiti.

13

4. ZAKLJUAK
Upravljanje globalnim domenskim Internet prostorom, kao i sistemom sredinjih (root) servera koji osiguravaju funkcioniranje DNS sistema, danas se ostvaruje kroz nezavisnu organizaciju Internet Corporation for Assigned Names and Numbers (ICANN), koja je poslove upravljanja preuzela od tijela poznatog kao Internet Assigned Number Authority (IANA).

14

I na kraju, to se tie nas situacija i nije ba sjajna ali ohrabruje injenica da je sve vie onih koji koriste Internet te onih koji kupuju .ba domenu i na taj nain pospjeuju razvoj Interneta i kod nas. Sigurno je da budunost pripada Internetu i da e biti teko zamisliti ivot bez njega pa bi bilo neophodno vie se pozabaviti edukacijom i njegovom afirmacijom kako bi to bolje mogli iskoristiti prednosti koje prua. Moramo biti svjesi da rizik od napada na neki sistem je matematiki ekvivalentan vrijednosti podataka koje on ima pohranjene na svojim predefiniranim lokacijama. Dranje zatite bilo kakve vrste servera na nivou nije jednostavan posao. Administrator servera mora da ima kontantan uvid u aktivnosti na serverima kako ne bi dolazilo do padova istih ( ili kako bi se padovi smanjili ). Zatita od infiltracije u servere neke kompanije je pojam u kojem ne uestvuje samo administrator ve i njegovi korisnici. Pomou samo jednog od nepromiljenih postupaka mogue je ugroziti sigurnost servera ( zapisivanje ifre na sticker papir i stavljanje na monitor).

5. LITERATURA
1. hr.wikipedia.org 2. scribd.com 3. en.wikipedia.org

15

4. http://www.scribd.com/doc/155316237/seminarski-rad-DNS-I-FTP-SERVERIZA%C5%A0TITA-OD-NAPADA 5. http://hr.wikipedia.org/wiki/DDoS 6. http://www.bubblews.com/news/1197894-what-is-a-ddos-how-to-makesomeones-internet-disconnect 7. http://hr.wikipedia.org/wiki/FTP 8. file:///C:/Users/Lil%20Winehouse/Desktop/zajebali%20kurac/LINKuniversity.htm

16