Professional Documents
Culture Documents
Sigurnost Na Internetu
Sigurnost Na Internetu
i lokalnim mreama
Verzija 2.0
Dinko Koruni, 2004.
O predavau
z
z
2
O predavau (2)
z
Tijekom prezentacije
z
z
z
z
z
z
4
Sadraj
z
uvod
strana hackera
Sadraj (2)
z
strana sistem-inenjera
sigurnost mrea
Sadraj (3)
z
testiranja
zavretak
Ciljevi prezentacije
z
z
z
z
z
z
Uvod
-opa problematika
-pojmovi, objanjenja
Raunalna sigurnost
10
interdisciplinarna:
11
sigurnosna politika
upravljanje korisnicima
podjela korisnika na tipove
procjena problematinih korisnika
Uvod
z
z
z
z
12
nedostatak obrazovanja
nedostatak predostronosti
nedostatak sigurnosnih mehanizama
Uvod (2)
z
linije obrane:
13
educirani korisnik/pojedinac
educirani sistem-inenjer (Bugtraq,
Securityfocus, CERT, itd.)
hardver (hw firewall, VPN, switchevi, VLAN, itd)
softver (system update, sw firewall, IPSec, IDS,
antivirus, kriptografija: PGP, S/MIME, Kerberos,
SSL, certifikati, tuneli, digitalni potpisi, CryptoAPI)
security politika! backup!
Internet danas
z
broj raunala:
opasnost:
14
z
z
15
Aksiomi
z
z
z
z
z
z
16
Provale
z
injenice:
17
nesavjesnost administratora
problem opreme, OS-a ili pripadnih aplikacija
nesavjesnost korisnika
Curenje informacija
z
18
http (Web)
smtp (e-mail)
telnet, itd.
kriptografija u primjeni:
19
nuno:
svakodnevni ivot:
20
Zanimljivosti
z
to je cracker/script-kiddie?
to je hacker?
21
Zanimljivosti (2)
z
22
Podjela hackera
z
Whitehats
z
z
Grayhats
Blackhats
23
24
trojanski konji
25
paranoja
neugodnost sustava
26
z
z
27
slaba aurnost
z
28
recentni patchevi
nove verzije programa (servisa, korisnikih
aplikacija, itd.)
popisivanje postojeeg softvera
dokumentacija!
lo mreni dizajn
Denial of Service
z
z
z
z
29
lano predstavljanje
najei:
z
z
30
mrena infrastruktura
mreni protokoli
mrene postavke (uplink filtriranje, itd.)
odredini
LAN
napada
kompromitirani
hostovi
31
vatrozid
NAT
z
32
proxy
unutranja
mrea
vanjski
svijet
komunikacijski
most
unutranja
mrea
vanjski
svijet
proxy NAT
firewall
33
komunikacijski
most
logovi
34
Kriptografija u primjeni
poetni
podaci
Mali
Mali ii
tajni
tajni
podaci..
podaci..
ifriranje
ifrirani
podaci
deifriranje
BEGIN
BEGIN PGP
PGP
qANQR1DB
qANQR1DB
END
END PGP
PGP
poetni
podaci
Mali
Mali ii
tajni
tajni
podaci..
podaci..
Kriptografija - kljuevi
z
z
z
36
prva mogunost:
druga mogunost:
37
trea mogunost:
na poseban nain dobije se nekakva suma iz
poetnog sadraja
takva suma slui samo za provjeru autentinosti i
nepromijenjenosti sadraja
jednosmjerno ifriranje nema reverzibilnosti, iz
odredine sume se ne moe dobiti poetni
sadraj!
danas se koriste kombinacije simetrinog i
asimetrinog ifriranja u svakodnevnom radu:
Windowsi, Unix, GSM, banke, itd.
z
38
Kriptografija - kraj
z
z
z
39
Operacijski sustavi
z
server
radne stanice
40
Windows! Linux?
ISC Bind
Web CGI (Cold
Fusion..)
RPC (ttdbserverd,
cmsd, statd)
IIS (RDS)
Sendmail (MIME)
sadmind, mountd
File Sharing (NetBIOS,
NFS, Web sharing,
AppleShare)
z
z
z
z
standardni accounti i
"slabe" lozinke
POP/IMAP
SNMP default accounti
dodatno IE, Office 2k
postoje automatizirani
alati za pretragu:
Nessus = Network
Security Scanner
razni neslubeni
42
Dan 1
z
tko?
z
z
z
43
Dan 2
z
nasumino
sa odreenim ciljem:
z
z
z
z
z
z
44
IRC roboti
novac
slava
daljnje provaljivanje
klijenti za DoS mreu
Dan 3
z
prikupljanje informacija:
45
Dan 4
z
z
46
Dan 5
z
ostvarivanje provale:
47
Dan 5 (nastavak)
z
sakrivanje tragova:
z
48
Dan 6
z
napomena
49
za ucjenjivanje
daljnje provale
ometanje rada (ista domena/niz raunala ili
drugo) - DoS, lani e-mail, warez, IRC roboti, itd.
itd.
50
Dan 1
z
z
z
z
51
Dan 2
z
52
Dan 3
z
instalacija sustava:
53
Dan 4
z
definiranje administratora
54
Dan 5
z
postavljanje zatite:
hardver:
z
softver:
z
z
55
Dan 6
z
56
nadgledanje rada
burn test
analiza ponaanja unaprijed - to e se deavati
sa 24/7 sustavima
redovno pregledavanje stanja sustava u
inicijalnom periodu
podeavanja access listi ovisno o potrebama
Primjeri iz prakse
- provaljena raunala,
forenzika, penetracijski
testovi
57
Provaljena raunala
z
razlozi:
posljedice:
58
Forenzika
z
postupak - forenzika:
59
Forenziar
z
iskustvo
sistemski programer
mreni guru
strunjak za sigurnost
z
z
60
ekspertni sustav
to vie obavljenih forenzika
Forenziar (2)
z
61
Zatita (1)
z
individualna raunala:
62
Zatita (2)
z
serveri:
mrea:
63
vatrozid na posluitelju
liste pristupa posluitelju i individualnim
aplikacijama
ojaanja (TCP/IP, nonexec stack, itd)
Segmentiranje mree
z
z
z
z
64
organizacijske jedinice
jedinice sa razliitim tipovima/profilima korisnika
mrena
mrena oprema
oprema
65
vanjski
vanjski svijet
svijet
lokalna/interna
mrea
orgjed3
Sigurnost mrea
z
fiksne mree:
66
cleartext protokoli:
beine mree:
67
Sniffit - prislukivanje
68
Vatrozid
z
z
69
odredite, izvorite
portovi, tip prometa, duina paketa, itd.
analiza stanja
VPN
z
z
z
komunikacijski tunel
kriptografski siguran
omoguava povezivanje:
z
70
VPN (2)
matini
LAN
komunikacijski
tunel
udaljeni korisnik
strana i
potencijalno
opasna mrea
71
Antivirus
z
z
individualna raunala
server:
z
72
centralno rjeenje
73
Wardriving
75
Beine mree
z
trivijalno prislukivati:
zatita netrivijalna:
76
Kismet
77
Kismet (2)
78
Testovi sigurnosti
z
neintruzivni:
intruzivni:
79
80
81
z
z
82
Demonstracije
83
84
Nmap - portscanner
Kratki pregled
- repetitorij, pregled
renomiranog softvera
85
Pregled
z
86
Pregled (2)
scanniranje portova:
z
87
Pregled (3)
z
dizajn zatite:
88
Pregled (3)
89
lano predstavljanje (scanniranje, lane adrese MAC, IP, arpattack, itd.) i man-in-the-middle
napadi
pronalaenje "rupovitog" softvera i koritenje istog
za provalu
tipovi DoS napada i razlozi istog
popis koritenih programa: nmap, iptraf, nessus,
hunt, itd.; razni trojani, virusi, crvi
Pregled (4)
z
Firewall:
90
Pregled (5)
z
91
Pregled (6)
z
NIDS:
92
Pregled (7)
z
VPN:
93
Pregled (8)
z
testovi sigurnosti:
94
Pregled (9)
z
management i policy:
ACL i autentifikacija:
95
Diskusija!
96