Professional Documents
Culture Documents
TELEKOMUNIKACIJE
SIGURNOST U
TELEKOMUNIKACIJAMA
(SKRIPTA)
Mentor:
Prof dr Halid igi
Student:
Almedina Hatari
SADRAJ
UVOD ....................................................................................................
1. SIGURNOST BEINIH RAUNARSKIH MREA ..................
1.1. Beine lokalne mree .............................................................
1.1.1. IEEE 802.11 standard.................................................................
1.1.2. Karakteristike WLAN mree......................................................
1.2. Sigurnost beine komunikacije ..............................................
1.2.1. Osnovni sigurnosni zahtjevi ...............................................
1.2.2. Napadi na WLAN ..............................................................
2. KLONIRANJE MOBILNIH TELEFONA .....................................
3. SISTEM ZA PRIVLAENJE I DETEKCIJU NAPADAA ........
4. TEHNIKE DETEKCIJE I ZLONAMJERNOG NAPADA ............
5. TEORIJA SAOBRAAJA DEFINISANJE TK SAOBRAAJA I
ELEMENATA MODELIRANJA I TK MREE ............................
5.1. Elementi za modeliranje TK mree ............................................
5.2. Pristupno korisnika mrea ................................................
6. DoS napadi ...................................................................................
7. KLASE NAPADA NA WEB APLIKACIJE .................................
8. DETEKCIJA NEOVLATENIH UPADA U INFORMACIONE
SISTEME ......................................................................................
9. POJAM PRELJEVA MEUSPRENIKA ....................................
9.1. Vrste najeih preljeva .........................................................
9.2. Specijalni oblici preljeva meusprenika ...............................
9.3. Zatita preljeva meusprenika .............................................
10. SIGURNOSNA STIJENA FIREWALL .....................................
10.1. Rad sa firewall om .............................................................
10.2. Kako podesiti firewall? .........................................................
10.3. Izlazak na internet ..................................................................
11.TEORIJA VJEROVATNOE I STOHASTIKIH PROCESA ........
LITERATURA .......................................................................................
3
5
5
6
7
8
8
9
10
11
20
22
22
25
27
31
33
38
38
39
39
39
40
41
42
44
48
UVOD
Informacija je dobro koje, kao i materijalna dobra, ima vrijednost za organizaciju, te stoga
trai da bude adekvatno zatiena. Sigurnost informacionog sistema titi informacije od
irokog spektra prijetnji u cilju osiguranja kontinuiteta poslovanja, minimiziranja poslovnih
teta, a maksimiziranja povrata investicija i profita. Informacija moe egzistirati u mnogo
formi. Moe biti napisana ili odtampana na papir, elektronski storirana, transmitovana
telefaksom ili telefonom, prikazana na filmu ili izreena tokom razgovora. Bez obzira na to u
kojoj se formi javlja ili na koji nain se prenosi i storira, informacija u svakom trenutku mora
biti adekavtno zatiena
Pod informacijskom sigurnou u IS podrazumijeva ouvanje:
-
WLAN (eng. Wireless LAN) je beina izvedba LAN (eng. Local Area Network) mree.
WLAN moe biti cijela lokalna mrea ili samo jedan njen dio. Poput lokalne mree, i WLAN
mrea prostorno je ograniena, a u dometu omoguava komunikaciju izmeu raunara koja
nisu iano povezana na mreu. Osim raunara za koja je mrea namijenjena, ukoliko nema
ugraen sistem za zatitu, na takvu se mreu moe spojiti bilo koji drugi raunar u
1
http://www.cert.hr/sites/default/files/CCERT -PUBDOC-2009-06-267.pdf
Usmjeriva i pristupna taka mogu biti objedinjeni u jednom ureaju koji istovremeno ima
ugraen preklopnik za ino spajanje raunara u lokalnoj mrei. Na taj nain smanjena je
potreba za povezivanjem razliitih ureaja.
strunih publikacija, skupova i IEEE normi. Ve je spomenuta IEEE 802.3 ili Ethernet norma
koja specificira komunikaciju izmeu raunara u LAN mrei. IEEE 802.11 je standard kojim
se definie beina komunikacija u WLAN mrei. Prva verzija IEEE 802.11 standarda izdana
je 1997. godine, a uvela je brzinu od 1 do 2 Mbit/s i tri razliite tehnologije modulacije
signala prilikom fizikog prijenosa podataka:
1. IrDA (eng. Infrared Data Association) standard za beinu komunikacijukratkog
dosega pomou infracrvenog spektra elektromagnetskog zraenja
2. FHSS
( eng.
Frequency-Hopping Spread
Spectrum)
omoguuje
istovremenukomunikaciju veeg broja korisnika preko istog kanala i to zbog brzih
izmjenafrekvencija na kojima se prenosi informacija
3. DSSS ( eng. Direct-Sequence Spread Spectrum) - informacija se prenosi prekocijelog
frekvencijskog pojasa izravno, to ovu metodu ini otpornijom nasmetnje od FHSS-a.
Obje navedene metode koriste se za prijenos radio signala.
Nakon nje objavljen je niz prepravki standarda, a izvorna verzija je zastarjela i nije vie u
uporabi. 802.11a verzija standarda uvodi u upotrebu relativno neiskoriten frekvencijski pojas
od 5 GHz i poveava brzine prijenosa teoretski do 54 Mbit/s (realna efektivna propusnost je
do 20 Mbit/s). 802.11b verzija standarda uvodi teoretske brzine od 11 Mbit/s u
frekvencijskom pojasu od 2GHz, anajrasprostranjenija verzija danas je 802.11g koja u istom
frekvencijskom pojasu postie efektivnebrzine prijenosa korisnih podataka od oko 20 Mbit/s.
Najnovija verzija standarda - 802.11n jo je u razvojnoj fazi, a trebala bi uvesti znaajno
ubrzanje(brzine do 540 Mbit/s) na frekvencijama od 5 GHz. Iako jo nije ula u opu
upotrebu, ve se mogukupiti ureaji koji podravaju draft inaicu 802.11n standarda, a moe
ih se prepoznati po 3ugraene antene.
Osim prednosti koje su vezane uz praktinost upotrebe, WLAN ima i odreene tehnike
nedostatke:
brzina prijenosa u veim i brim mreama gdje se brzine prijenosa mogu kretati i do
1Gbps, WLAN sa brzinama manjim od 100 Mbps predstavlja usko grlo sistema,
odnosno taku koja koi sistem u optimalnom radu
domet WLAN je ogranien na domet od nekoliko desetaka metara (moe se poveati
uvoenjem dodatnih pristupnih taki)
pouzdanost za razliku od inog prijenosa koji je zatien, beini je izloen
razliitiminterferencijama i smetnjama signala to dovodi do toga da se vani mreni
resursi kojimoraju biti stalno dostupni u pravilu ne spajaju na mreu putem WLAN-a
sigurnost izloenost WLAN komunikacije ini ga izuzetno ranjivim na napade, upade
umreu i krau podataka koji se njome razmjenjuju.Sigurnost WLAN-a osobno je
kritian problem, koji se moe rjeavati djelominim metodmapoput statikog IP
filtriranja ili uvoenjem posebnih sistema zatite (WEP, WPA, WPA2).
http://www.cert.hr/sites/default/files/CCERT -PUBDOC-2009-06-267.pdf
razliite tetne radnje na raunalima u njoj ili ak u LAN mrei na koju je ranjivi
WLAN spojen preko pristupne take.
2.
Prva generacija mobilnih telefona je koristila analogne signale bez realne autentifikacije.
Ureaj je jednostavno slao serijske brojeve u kompletu putem zranog linka. Prevaranti bi
pravili ureaje koji bi registrovali te brojeve iz poziva u susjedstvu. Takoer est sluaj je
krae i jeftinog preprodavanja najee imigrantima ili studentima koji vre pozive prema
inostranstvu.
Ubrzo se razvilo crno trite za prodaju telefonskih serijskih brojeva gdje su razvijeni mobilni
ureaji koji koriste razliite identifikacije za svaki poziv. Ovi telefoni su dizajnirani iskljuivo
da bi policija teko ulazila u trag ovim pozivima. Potranja za razliitim serijskim brojevima
je postala ogromna da ju je bilo nemogue zadovoljiti ak i na mjestima poput aerodroma gdje
je inae ukljueno dosta mobilnih ureaja. Kako i pasivne metode, aktivne metode
prislukivanja su postale aktuelne. Moderni mobilni telefoni su elijski u smislu da provajder
usluga dijeli podruje usluge na elije, koje su pokrivene signalom baznih stanica.
Mobilni ureaj koristi onu baznu stanicu koja ima najjai signal, te postoje odreeni protokoli
prenoenja poziva sa jedne elije na drugu kako se mobilni ureaj kree.
Aktivni napad ukljuuje lanu baznu stanicu, najee na podruju sa dosta saobraaja kao to
je autoputska petlja. Kako telefoni promuu, osjeaju jak signal bazne stanice ipokuavaju se
registrovati na nju aljui svoje serijske brojeve. Brojni mehanizmi su dizajnirani kako bi se
smanjile potencijalne prevare. Veina operatora imaju sisteme detekcije upada koji uoavaju
sumnjive sheme aktivnosti, kao to su pozivi iz New Yorka i Los Angelesa ili naglo
poveanje koliine poziva. Takoer, ukoliko pratei neki broj koji je do prije nekog vremena
normalno i esto zvao odreeni fiksni broj, sada vie nikako ne zove, velika je pretpostavka da
je mobilni ureaj ukraden.
Za takve sluajeve, razvijena je tehnologija RF fingerprinting koja se koristila kao vojna
tehnologija gdje signalne karakteristike koje variraju od jednog ureaja do drugog, se koriste
za identifikaciju pojedinanih ureaja. Iako ova tehnologija jako dobro funkcionira i ak je
koritena od starne Vodafone u Britaniji do skoro u potpunosti eliminira prevare kloniranja
kod analognih mobitela, ova tehnologija je jako skupa te zahtijeva odreene modifikacije
baznih stanica. Drugo mogue rjeenje jeste usvajanje kriptografskog autentifikacijskog
protokola, ali je pitanje koliko to moe biti funkcionalno, a da se ne zahtijeva mijenjanje
cijelokupne mree. Brojni mehanizmi koji su predloeni kako bi osnaili sigurnost analognih
mobilnih telefona su ispostavilo se, nedovoljno jaki.
Naposlijetku, industrija je zakljuila da je logino da se izvri redizajniranje cjelokupnog
sistema, ne samo kako bi ga uinili sigurnijim ve da ga uini sposobnim da prihvati brojne
nove izazove razvoja. Prije svega, tada je bilo aktuelno da ukoliko poziva inostranstvo da ne
mora mijenjati ureaj ili mogunost slanja tekstualnih poruka.
3.
Sistem za privlaenje i detekciju napadaa (honeypot) je sigurnosni resurs ija vrijednost lei
u mogunosti da bude ispitan, napadnut ili kompromitiran. Ovadefinicija govori da to god se
koristi kao sistem za privlaenje i detekciju napadaa njegova svrha je da bude ispitan,
napadnut ili kompromitiran. No potrebno je i znati da spomenuti sistem za privlaenje i
detekciju napadaa ne rjeava niti popravlja probleme u sistemu u kojemu se nalazi. On je alat
i njegova upotreba mora biti u skladu s njegovimmogunostima.
Osnovne prednosti su:
Prva prednost je u nainu prikupljanja podataka tj. u moru nevanih podataka vrlo je
bitno da se profiltriraju oni koji bi mogli napraviti tetu tako da dnevnici ovih sistema
iznose svega nekoliko megabajta podataka dnevno u odnosu na dnevnike veliine
nekoliko gigabajta, a i dobiveni podaci su u formatu koji doputa jednostavniju
analizu to znaajno ubrzava vrijeme odgovora na odreenu prijetnju. Pa ako napada
napravi portscan mnogo ga je lake primjetiti.
Trea prednost lei u injenici jednostavne upotrebe jer ovi raunari slue samo tome
da budu ispitani, napadnuti i kompromitirani pa se mogu staviti bilo gdje i tada se
samo eka ta e se dogoditi.
etvrta prednost je to to se koritenjem ove tehnologije vrlo brzo vide rezultati njene
upotrebe (povrat ulaganja). Dok se kod ostalih sistema odbrana temelji na prevenciji
napadaa i veina pokuaja ostanu samo pokuaji kod sistema za prevenciju napadaa
se mogu vidjeti konkretni rezultati.
On ne moe zamjeniti niti jedan drugi sistem nego doprinosi cjelokupnoj sigurnosti
sistema.
BackOfficer Friendly
SPECTER
Honeyd
nepenthes
La Brea
Honeynet
Druga razlika je u tome da SPECTER moe emulirati i razne aplikacije (ak 250 razliitih
aplikacija prema proizvoaevim specifikacijama) to proiruje njegove mogunosti, a time
i koliinu dostupnih informacija. Osim to simulira razne aplikacije, simulirane su i njihove
ranjivosti tako da napada moe napasti simuliranu aplikaciju to dodatno poveava
korisnost ovog sistema.
Osim toga, SPECTER je u mogunosti generirati posebna obiljeja na napadaevom raunaru
(markers) to moe posluiti organima vlasti kao dokaz u postupku protiv napadaa. Uz svaki
od simuliranih operacijskih sistema ili usluga dolazi i velik broj pretpostavljenih korisnikih
imena i lozinki (mogue je dodati korisnika imena stvarnih korisnika to poveava
realistinost sistema za privlaenje i detekciju napadaa).
Istie se i mogunost dodavanja specifinih, korisnikih podataka (primjerice
ukolikoSPECTER simulira web posluitelj mogue je dodati korisnike stranice koje bi taj
posluitelj prikazivao), lane datoteke s lanim lozinkama koje se alju na napadaev zahtjev,
tip ovisi o operacijskom sistemu i o nainu na koji napada zatrai datoteku (postoji 7
razliitih tipova datoteka s lozinkom i moe se odabrati koji e se tip koristiti), sistem za
obranu od napada na raspoloivost (DoS, DDoS) s automatskim protumjerama, automatsko
osvjeavanje podataka sistema itd.
3.
4.
5.
Vidljivo je da honeyd ima dvije prednosti nad prethodno opisanim sistemima kao prvo
honeyd je umogunosti je pokriti bilo koji TCP pristup, kao drugomogue je za
svakusimuliranu uslugu odrediti koje e pristupe sluati i eljenu razinu interakcije.
Najvea vrijednost honeyd sistema lei u injenici da je u mogunosti istovremeno
pratitimilione razliitih IP adresa to proporcionalno poveava njegovu korisnost. Ta
tehnika senaziva tehnika crne rupe (blackholing) i u biti se radi o primjenjivanju
tehnologije sistema za privlaenje i detekciju napadaa na itave blokove IP adresa.
Centralna ideja tehnike crne rupe je koritenje neiskoritenog adresnog prostora kao
oruja u prikupljanju pogreno usmjerenog ili sluajnog saobraaja poto je on najee
posljedica zloudnih aktivnosti.
To je veoma kompleksan sistem koji se moe prilagoditi razliitim situacijama ali se rijetko
koristi u produkcijske svrhe iz razloga jer je to veoma kompleksan sitem pa postoji potekoa
nadgledanja dijelova cjelokupnog sistema, pa se esto koristi u istraivake svrhe gdje mu je
primjena mnogo uspjenija.
Honeynetsistem ima sljed vrijednosti:
1. mogunost otkrivanja vie informacija o napadau- njegov svaki pokret
2. mogunost analize stvarnih podataka u cilju predvianja moguih napada.
3. znaajno pomae pri odgovoru na sigurnosni incident -organizacija The Honeynet
project objavljuje sve dobivene informacije javno
4. koristi se kao ispitni poligon za nove tehnologije-koje je pogodno pokrenuti u
okruenju Honeynetai pratiti ta e se dogoditi kako bi se ispitala nova tehnologije.
Svaki sistem za privlaenje i detekciju napadaa koji posjeduje navedena 3 elementa se
smatra honeynet-om:
Honeynet druge generacije se pojavio 2002. godine kao poboljani nasljednik honeynet-aprve
generacije. Autori su nastojali olakati samu izgradnju honeynet-a i oteati otkrivanje njegove
prave svrhe napadaima.
Osnovna razlika je u tome to se za nadzor podataka ne koristi sigurnosna stijena nego je
dodan novi ureaj koji se naziva honeywall. Uloga honeywall-a je dvojaka on ima funkciju
sistema za otkrivanje napadaa i sigurnosne stijene koji su postojali u honeynet-u prve
generacije, a i radi kao premosnik (bridge) izmeu honeynet-a i ostatka svijeta.
Heuris ti ke m etode
Veina modernih antivirusnih programa sadri implementacije nekih heuristikih metoda za
detekciju virusa. Razlog tome je to raznim metodama sakrivanja virusi onemoguavaju
pronalaenje raznim vrstama pretraivanja.
Noviji formati datoteka imaju definisanu strukturu i zaglavlja u kojima su zapisani podaci o
strukturi datoteke. Virusi esto inficiranjem datoteka ne mijenjaju vrijednosti zaglavlja pa
dolazi do nepodudaranja izmeu zaglavlja i stvarnih veliina. Osim toga, raunanje tanih
vrijdnosti koje bi trebalo obnoviti unutar zaglavlja katkad nije jednostavno.
PE format je prikladan za prouavanje pokazatelja koji se koriste za heuristiku detekciju
virusa.
Sve sekcije PE datoteke imaju karakteristile zabiljeene u zaglavlju datoteke. Meu ostalima,
to se odnosi na svojstvo da je sekcija izvrna, i moe li se po njoj pisati (writeable). Ako
sekcija istovremeno ima oba svojstva, to se moe smatrati sumnjivim. udna je i kombinacija
sekcija po kojoj se moe pisati, a ne moe iz nje itati.
Neki virusi dodaju izvrnu sekciju u PE datoteke. Pri tome neki ne mijenjaju vrijednost
SizeOfCode polja u zaglavlju. Ukoliko ovo polje prikazuje veliinu koja ne odgovara
stvarnojveliini, to je pokazatelj da je datoteci moda dodata sekcija koja izvrava virus.
Provjera integriteta
Jedna od generikih metoda za zatitu od infekcije je provjera integriteta potencijalno ranjivih
datoteka. Ovi programi koriste kontrolne sume (SHA1, MD5, CRC32, ...) izraunate nekom
poznatim algoritmom, koje se nalaze u bazi podataka. Pri svakom pokretanju datoteka na
sistemu zatienom takvim softverom, provjerava se odgovara li stvarna kontrolna suma onoj
zapisanoj u bazi. Ako se one razlikuju postoji ansa da je datoteka inficirana.
Meutim, postoji ansa da i esta i zaraena datoteka daju jednake kontrolne sume.
Z aust avlj anje mali cioznog ponaanj a (Behavior blocker)
Ovi sistemi prate ponaanje programa i pokuavaju zaustaviti ponaanje koje se smatra
opasnim. Njegova uspjenost zavisi od razine sigurnosti memorije koju odrava operacioni
sistem.
jk(t) APT
[APT] [TM]
(1.1)
(1.2)
gdje je:
MTS mrea transmisijskih sistema kao specifina podmrea telekomunikacijske mree
MKS mrea komutacijskih sistema i snopova kao specifina podmrea
telekomunikacijske mree
MPTP pretplatnika podmrea koju ine pristupna transmisijska mrea i korisnika
oprema
(sistemi)
Osim naznaenih podmrea, u tehnikom gleditu se moe posebno posmatrati signalizacijska
mrea, odnosno ''telekomunikacijska upravljaka mrea (TMN Telecomunications
Management Network). Sa gledita tehnologije, telekomunikacijski saobraaj se opisuje kao
dinamiki (stohastiki) proces A(s,t) generiran prijenosom informacija putem
telekomunikacijske mree. Kljune saobraajno tehnoloke karakteristike odreene su time
to saobraaj nastaje automatskim posluivanjem zahtijeva korisnika koji s pripadajuih
terminala alju upravljajue informacije (signalizaciju) u mreu i uspostavljaju komunikaciju.
Obavljanjemtelekomunikacijske usluge (komunikacije) zauzima se (''troi'') odreeni dio
saobraajnog volumena mree PVTM, odnosno odreeni kapacitet CipvTM. Kljuna zadaa je
osigurati raspoloivost kapaciteta (Ci) za oekivanu veliinu saobraajnog toka (i), uz
minimalane trokove di(Ci) i normiranu kvalitetu QoSN.
Saobraajni (informacijski) volumen telekomunikacijske mree PVTM, u skladu sa teorijom
informacija, odreen je prema izrazu:
PVTM =k BsTs D s Ms
gdje je:
k konstanta proporcionalnosti
Bs frekvancijska komponenta
Ts vremenska komponenta
Ds dinamika (odnos signal/um)
Ms prostorna komponenta (broj prostorno raspregnutih kanala)
(1.3)
CT
PVTM CTMT =
(1.4)
i=1
Saobraajna optereenja kanala ili openito posluitelja () definisano je odnosom
saobraajnog toka (k) k tog kanala i kapaciteta k tog kanala (Ck):
(1.5)
TM=(V,L)
(1.6)
gdje je:
V skup vorova (komutacijskih i/ili transmisijskih)
L skup grana (linkova) izmeu vorova
vorovima i granama pridrueni su relevantni parametri kapaciteta, cijene, daljeni i dr. Model
telekomunikacijske mree s tri komutacijska vora (KA, KB, KC) i tri transmisijska vora (TA,
TB, TC) moemo prikazati slikom:
KB
TB
yx
K
K
TA
TC
M K; M TSM PM.
Naelno, problem optimizacije pristupne mree moe se izraziti kao problem minimizacije
ukupnih trokova pristupne mree, uz ostvarenje definirane saobraajne funkcije i uvaavanje
propisanih (normiranih) tehnikih ogranienja. Tako da moemo zapisati:
d i(Ci)min
DI PM=
(1.12)
i=1
QoS PM QoSN
gdje je:
DIPM ukupni trokovi posmatrane pristupne mree
di(Ci) funkcija trokova za pojedine elemente mree (kapacitete Ci)
QoSPM razina kvalitete pristupne mree ( normirane razine parametara)
Veina postojeih modela i metoda optimizacije pristupne mree polaze od toga da su rjeeni
problemi vie razine vezani za primarno struktuiranje komutacijske i transmisijske
mree. Ukupna cijena pristupne mree DIPM posmatra se kroz cijenu osnovnih komponenata
pristupne mree, tako da moemo zapisati:
DIPM=DUPS+DVS+DLS
(1.13)
gdje je:
DUPS ukupna cijena ''koncentratora (UPS-a) na pristupnom podruju
DVS ukupna cijena spojenih vodova i transmisijskih (PCM) ureaja koji povezuju
UPS sa komutacijskim vorom
DLS ukupna cijena pretplatnikih (korisnikih) linija (vodova, kablova)
Poznavajui elemente koji ine strukturu pristupne mree i njihove funkcije cijena, moe se
odrediti ukupna cijena pristupne mree. Cijene pojedinih elemenata ovise o kapacitetu.
UPS
K
PCM
spojni vod
korisnike(ptp) linije
Slika 7. Prikaz osnovne strukture pristupne mree s UPS
6. DoS NAPADI
DoS napad ili napad s uskraivanjem usluge je pokuaj stvaranja resursa raunara
nedostupnim ili nekoristivim za legalne korisnike. To je tip sigurnosnog propusta raunarskih
sistema koji nuno ne rezultira kraom informacija ili bilo kojim drugim materijalnim
gubitkom.
Denial of Service (DoS) je vrsta napada na raunarske resurse kojom se ti resursi mogu uiniti
nedostupnima. DoS napadima podloni su razliiti operativni sistemi, mrena oprema i
usluge. Napadani resursi mogu se uiniti nedostupnima tako da ih se trajno ili privremeno
onesposobi da obavljaju svoju funkciju. Za to postoje razliite tehnike i zbog toga se od DoS
napada teko obraniti. Tako resursi mogu postati nedostupni zbog poveanog optereenja,
mrene nepovezanosti, pogrenog adresiranja.
DoS napadi imaju dvije glavne forme. Jedna od njih je prisiljavanje raunara rtve da zauzme
svoje resurse tako da vie ne moe pruati usluge koje je trebalo pruati. Drugi nain je
naruavanje naina komunikacije izmeu legalnih korisnika i raunara rtve na nain da oni
vie ne mogu komunicirati. DoS napadi izvode se koritenjem DoS alata koji alju mnogo
paketa ciljanom Internet posluitelju. Ti paketi poplave (engl. flood) resurse posluitelja i na
taj nain posluitelj postaje neiskoristiv. Svaki sistem koji je spojen na Internet i koji je
opremljen mrenim uslugama temeljenim na TCP (engl. Transmission Control Protocol)
protokolu potencijalna je rtva napada.
DoS napadi mogu se podijeliti na softverska iskoritavanja i poplavljivanja (engl. flooding).
Napadi poplavljivanjem se zasnivaju na jednom jednostavnom pravilu: onaj koji upravlja
najveim bandwidthom pobjeuje. Napadi poplavljivanjem mogu se podijeliti na napade s
jednog izvora, napade s vie izvora ili napade s refleksijom.
U napadima s jednim izvorom postoji jedan napada koji poplavljuje rtvu, dok u napadima s
vie izvora postoji vie napadaa. U oba sluaja mogu se koristiti dodatni zombie raunara.
Zombie je raunar koje je zaraen pomou iskoritavanja neke ranjivosti. Takav raunar
sadri skriveni program koji omoguava upravljanje raunarom iz daljine. Najee se koriste
za izvoenje napada na neki drugi raunar.
Napadi s refleksijom su specijalni sluajevi napada s vie izvora. Koriste se za skrivanje
identiteta pravog napadaa ili za pojaavanje napada. Reflektor je bilo koje raunar koji
odgovara na zahtjeve. Bilo koji raunar moe se koristiti kao reflektor dodavanjem IP adrese
raunara rtve u izvorno polje zahtjeva. Dodavanjem te informacije raunarni reflektor e
poslati odgovor rtvi umjesto napadau. Ako postoji mnogo raunara reflektora rezultat e biti
DoS napad. Glavna razlika izmeu zombie raunara i raunara reflektora je ta to su reflektori
legalni posluitelji Internet usluga. Zbog toga je napade s refleksijom jako teko istrijebiti.
o SYN flood
SYN flood ili SYN poplavljivanje je metoda DoS napada u kojoj napada iskoritava malu
veliinu meuspremnika tijekom rukovanja u tri koraka (engl. three way handshake). Ova
metoda spreava posluitelja da prihvati ulazne TCP veze.Ova metoda napada je poznata ve
due vrijeme i nije primjenjiva na moderne mree. Napad je iskoristiv samo ako posluitelj
zauzme sve resurse nakon to primi SYN poruku, ali prije nego to je primio ACK poruku.
Postoje dvije metode izvoenja ovog napada. Obje metode ukljuuju ne primanje ACK
poruke od strane posluitelja. U prvoj metodi zlonamjerni klijent preskae slanje posljednje
ACK poruke. Druga metoda ukljuuje lairanje izvorine IP adrese u SYN poruci. Zbog toga
to posluitelj alje SYN ACK poruku prema krivoj IP adresi nikada ne dobije ACK
poruku.Veze koje nisu zavrile rukovanje zovu se polu otvorene veze. Poplavljivanje mree
takoer moe biti uzrok nepostojee ACK poruke.Ako polu otvorene veze koriste resurse na
posluitelju, mogue je zauzeti sve resurse na posluitelju slanjem SYN poruka. Jednom kada
se svi resursi zauzmu od strane polu otvorenih veza, niti jedna nova veza (legalna ili ne) nije
mogua.
o Teardrop napad
Ovaj tip DoS napada iskoritava nain na koji IP protokol (engl . Internet Protocol), paket
koji je preveliki za router dijeli na fragmente. U fragmente paketa upisuje se udaljenost od
poetka prvog paketa, to omoguava ponovno sastavljanje paketa na drugoj strani. U ovom
napadu napada postavlja zbunjujuu udaljenost u jedan od fragmenata. Ako posluitelj koji
prima takav paket nema plan za takav sluaj rezultat e biti pad sistema.
o
Reflektirajui napadi
Distribuisani reflektirajui DoS napad ukljuuje slanje krivotvorenih zahtjeva velikom broju
raunara koji e odgovoriti na zahtjev. Koritenjem maskiranja IP adrese, izvorina adresa se
postavlja na adresu raunara rtve. Zbog toga to e svi odgovori otii prema maskiranoj IP
adresi raunarrtva biti e poplavljen.
o Smurf napad i fraggle napad
Dvije glavne komponente smurf napada su koritenje krivotvorenih ICMP (engl.
InternetControl Message Protocol) echo zahtjeva i smjer paketa prema IP broadcast adresi.
U ovoj metodi napada, napada alje IP ping zahtjev. Ping paket odreuje da e biti poslan
veini posluitelja unutar lokalne mree primatelja. Paket takoer pokazuje da zahtjev dolazi
sa drugog izvora, raunala koje e postati rtva DoS napada. Rezultat e biti velika koliina
ping odgovora koji e poplaviti rtvu. Ako je poplavljivanje dovoljno veliko, rtva vie
neemoi razlikovati pravi saobraaj od zlonamjernog.
Napad temeljen ICMP echo zahtjevima smatra se jednom vrstom reflektirajueg napada,
poto poplavljeni posluitelj alje echo zahtjeve na broadcast adresu nepravilno konfiguriranih
mrea. Posljedica toga je poticanje velikog broja raunala u slanju echo odgovora rtvi. Raniji
DDoS programi su implementirali distribuirani nain ove vrstenapada.Fraggle napad je napad
slian smurf napadu. Umjesto ICMP-a koristi UDP (engl.User Datagram Protocol).
o Virusi
Raunarski virusi takoer mogu biti metoda DoS napada. rtva u ovom sluaju nije unaprijed
izabrana, nego je to najee raunar koji je sluajno dobio virus. Ovisno o virusu, DoS napad
moe biti jedva primjetan ili katastrofalan.
o Land napad
Land napad je DoS napad koji se sastoji od slanja posebnih zaraenih paketa raunaru.
Posljedica primanja tih paketa je zakljuavanje raunara. Napad ukljuuje slanje maskiranih
TCP SYN paketa sa odredinom IP adresom i open portom kao izvorinom i odredinom
adresom. Ova metoda napada je efikasna jer raunalo odgovara samom sebi unedogled.
o SQL ubacivanje
SQL ubacivanje je ranjivost sistema koja se dogaa kada aplikacija ne filtrira korisnike
podatke na dobar nain, prije nego ih poalje sistemu za upravljanje bazama podataka
(engl.Data Base Management System). Korisnik ubacuje zloudan unos u aplikaciju koja
koristiSQL naredbe. Ako aplikacija korisnikov unos ne filtrira na dobar nain, SQL naredba
alje se sistemu za upravljanje bazama podataka i izvodi.
o Distribuirani DoS napad
Distribuirani DoS napadi (DDoS) dogaaju se kada vie zaraenih sistema poplavljuje
bandwidth ili resurse sistema rtve.Ako napada izvodi smurf napad sa jednog izvora, takav
napad biti e prepoznat kao DoS napad. Bilo koji napad na dostupnost podataka biti e
prepoznat kao DoS napad.Ako napada koristi tisue zombiesistema da istovremeno izvedu
smurf napad, napad e biti prepoznat kao DDoS napad.
Izgladnjivanje diska javlja se kada je na primjer veza zbog razmjene podataka ostala otvorena
ili ako je pronaen FTP posluitelj na kojem je dozvoljeno pisanje. Jedno od najpoznatijih
napada ovog tipa je bombardiranje e-mailovima. To se postie slanjem velikog broja e-mail
poruka korisniku, to rezultira popunjavanjem sanduia.
adresa klijenta.
Vatrozidi nisu efikasni protiv DoS napada. Dananji vatrozidi ne mogu razlikovati legalan
saobraaj, od Saobraaja koji se koristi kod DoS napada. Moderniji vatrozidi imaju ugraenu
mogunost razlikovanja legalnog od zloudnog saobraaja. Oni potvruju TCP veze prije
prosljeivanja na mreu. Ova mogunost zove se Defender.
Neki prospojnici (engl. switch) pruaju automatsko i/ili system-wide rate-limiting, oblikovanje
saobraaja, delayed binding (TCP splicing), provjeravanje paketa i filtriranje IP adresa da bi
otkrili i ispravili tetu koju su uzrokovali DoS napadi kroz automatsko filtriranje i WAN
linkfailover i balansiranje.
Preusmjerivai su jako slini prospojnicima kada su u pitanju DoS napadi. Oni takoer imaju
rate-limiting i ACL sposobnosti. Veina preusmjerivaa moe se lagano preopteretiti tijekom
DoSnapada, tako da nisu efikasni u borbi protiv DoS napada.
Front end hardver analizira podatkovne pakete prilikom ulaza u sistem, i identificira ih
kaoprioritetne, regularne ili opasne.
Sistemi za prevenciju nedoputenog ulaenja (engl. Intrusion-prevention systems - IPS) jako
su efikasni ako napadi imaju specifine tragove ili potpise. IPS sitemii koji rade na principu
raspoznavanja uzoraka ne mogu blokirati DoS napade koji se temelje na ponaanju.
ASIC (engl. Application Specific Integrated Circuit) zasnovani IPS sistemii mogu otkriti i
blokirati DoS napade, jer imaju mogunost analiziranja napada i ponaaju se kao
automatizirana sklopka.
Rate-based IPS sustavi moraju analizirati granularnost saobraaja i neprestano
nadgledatiuzorak saobraaja da bi otkrili bilo kakve anomalije. Oni moraju dozvoliti prolaz
legalnom saobraaju, a blokirati DoS napade.
Prema organizaciji WASC (Web Application Security Consortium) postoje sljedee klase
napada na Web aplikacije:
1. Autentifikacija
1.1. Gruba sila
1.2. Neuinkovita autentifikacija
1.3. Slaba validacija prilikom obnavljanja lozinki
2. Autorizacija
2.1. Predvianje sjednice/akreditacije
2.2. Neuinkovita autorizacija
2.3. Neuinkoviti istek sjednice
2.4. Fiksacija sjednice
3. Napadi na klijentskoj strani
3.1. Lairanje sadraja
3.2. Cross-site Scripting
4. Izvravanje naredbi
4.1. Preljev meuspremnika
4.2. Napad formatiranjem niza znakova
4.3. LDAP umetanje
4.4. Izvravanje naredbi operativnog sustava
4.5. SQL umetanje
4.6. SSI umetanje
4.7. XPath umetanje
5. Razotkrivanje informacija
5.1. Indeksiranje direktorija
5.2. Curenje informacija
5.3. etnja po direktorijima
5.4. Predvidljiva lokacija resursa
6. Logiki napadi
6.1. Zlouporaba funkcionalnosti
6.2. Uskraivanje usluge
6.3. Neuinkovita anti-automatizacija
6.4. Neuinkovita validacija procesa
8. DETEKCIJA
SISTEME
NEOVLATENIH
UPADA
INFORMACIONE
Razliiti su kriteriji za podjelu napada. Prema tome, napadi se mogu podijeliti prema: tipu
napada, broju mrenih konekcija ukljuenih u napad, izvoru napada, okruenju, nivou
automatiziranosti.
Napadi se prema tipu napada mogu podijeliti na:
DoS napadi pokuavaju da obore" mreu, raunar, ili proces, ili da na drugi nain
onemogue koritenje resursa ili servisa ovlatenom korisniku. Postoje dva tipa DoS napada:
Virusi, crvi i trojanski konji su svrstani u jednu grupu, iako se svaki od ovih termina moe
definirati zasebno. Pod pojmom virusa se obino smatraju programi koji se razmnoavaju
infekcijom drugih programa legitimnih programa. Crvi se obino smatraju podvrstom
virusa, iako se oni razlikuju od virusa. Naime, dok se virus razmnoava legitimnim
programom, odnosno spaja se s njim i kao takav iri dalje, crv kopira samog sebe (sam se
razmnoava). Trojanski konji su programi koji rade neto korisno ili interesantno za onog ko
ga pokrene, ali sa druge strane radi i neto neoekivano, kao to je to kraa lozinki, kopiranje
datoteka bez znanja vlasnika sistema itd.
Napadi mogu biti klasificirani u odnosu na broj konekcija ukljuenih u napad:
Prema lokaciji: Raunarski napadi mogu biti pokrenuti sa jedne lokacije ili sa vie razliitih
lokacija. Veina napada obino se izvodi sa jedne lokacije (skeniranje), ali u sluaju velikih
distribuiranih DoS napada organiziranih sa veeg broja lokacija, vei broj lokacija moe
uestvovati u napadu.
Napadi mogu biti kategorizirani i prema okruenju u kojem se nalaze:
ekspertni sistemi (sadri skup pravila koja opisuju napade; praeni dogaaji se
zatim prevode u injenice koje nose semantiko znaenje u ekspertnim
sistemima, i maina za zakljuivanje donosi zakljuke koristei ova pravila i
injenice)
ulaz za izradu modela procesa na osnovu kojeg bi se moglo posmatrati kretanje sistema u
cjelini. Rudarenje podataka predstavlja kritian korak u procesu otkrivanja znanja. Mnogo
napora je posveeno u istraivanjima i razvoju optih, tanih i brzih algoritama za rudarenje
podataka. Obzirom da se esto postavlja pitanje razlike izmeu npr. rudarenja podataka i
prepoznavanja uzoraka, treba naglasiti da je kod rudarenja podataka prepoznavanje uzoraka u
funkciji rudarenja podataka, tj. rudarenje podataka, kao korak u KDD procesu, koristi
prepoznavanje uzoraka radi postizanja svog cilja. Kvalitet izlaza iz procesa rudarenja
podataka je direktno ovisan o kvalitetu ulaznih podataka koji se rudare. Ulazni podaci se
obino preslikavaju u jedan od tri tipa podataka:
Izlazni rezultati se zatim moraju prezentirati u formi koja je jasna i razumljiva kako bi se
lake analizirali dobijeni rezultati. Ulazni podaci za proces detekcije neovlatenih upada u
informacioni sistem dobijaju se sa razliitih mjesta u sistemu (najee su to mrea, raunar ili
aplikacija).
Preljev stoga preljevi stoga su najei oblik preljeva meusprenika. Postoje dva
meusprenika:
Izvorini meusprenik koji sadri proizvoljni napadaki ulaz
Odredini meusprenik koji je premalen da primi navedeni ulaz
Drugi meusprenik treba biti na stogu, iznad povratne adrese funkcije. Neispravni kod ne
provjerava da li je prvi meusprenik prevelik za drugi meusprenik i kopira napadake
podatke u drugi meusprenik. Pritom prebrie podatke i povratnu adresu funkcije na stogu.
Prilikom povratka iz funkcije, procesor dohvaa promijenjenu povratnuadresu koja pokazuje
na napadaki kod. Umjesto da se aplikacija vrati u pozivnu funkciju, izvodi se napadaki kod.
-
Firewall takoe moe sprijeiti hakere ili zlonamjerne softvere (poput worms crvia) da
pristupe vaem kompjuteru preko mree ili interneta. Firewall takoe moe i sprijeiti va
kompjuter da alje zlonamjerne softvere drugim kopjuterima.
Dobar program ove vrste e ispravno registrovati svaku konekciju prije nego to bude
uspostavljena, blokirati je ili preciznije ostaviti na ekanju, i tek ako korisnik dozvoli njeno
ostvarivanje ona e biti uspostavljena. Ovo u stvari znai da ako skidate neku zakrpu za
program moete da onemoguite sve ostale konekcije osim one preko koje se razmena,
odnosno primanje podataka obavlja. Nekada i ovo nije dovoljno i treba rei da savrena
zatita ne postoji.
Dobra osibina neki firewall-ova je da imaju mogunost da se trenutno blokira sav saobraaj
izmeu raunara i interneta ili da se dozvoli samo nekim programima da nastave normalno da
rade.
Za svaki eksperiment moe se defnirati siguran i nemogu dogaaj. Siguran dogaaj je ispast
e neki broj u intervalu od 1 do 6 (U = E1+E2+E3+E4+E5+E6). Nemogu dogaaj V odgovara
tvrdnji ispast e broj koji nije u intervalu od 1 do 6. Pri svakoj realizaciji eksperimenta
vrijednost sigurnog dogaaja je istina, a nemogueg la.
Na osnovu logikih odnosa meu sluajnim dogaajima, lahko dolazimo do defnicije
Booleove algebre dogaaja:
Definicija 1.1. Neka je zadan skup dogaaja S. Neka su A i B dogaaji iz tog skupa i neka je
za svaki takav par defniran zbroj (logiki ili) A+B i umnoak (logiki i) AB koji takoer
pripadaju skupu S. Neka na istom skupu S vrijede sljedei aksiomi:
a) (Svojstvo komutativnosti): za svaki A i B iz S vrijedi:
A + B = B + A, AB = BA
(1.1)
V + A = A,
U A = A,
za svaki A iz S
(1.3)
A (B + C) = A B + A C,
A + (B C) = (A + B) (A + C)
(1.4)
AA=V
(1.5)
Primjer 1. Ako traimo prostor elementarnih dogaaja za eksperiment bacanja novia dva
puta gdje razlikujemo prvo i drugo bacanje. Mogua su etiri ishoda:
= {P1P2, P1G2,G1P2,G1G2}
LITERATURA
[1] http://os2.zemris.fer.hr/ns/wireless/2004_maric/index.html
[2] http://sr.wikipedia.org/wiki/Zloupotreba_GSM_telekomunikacija
[3] https://bs.scribd.com/doc/106093607/Pred-9-Sigurnost-u-Telekom-sistemima
[4] http://www.cert.hr/sites/default/files/NCERT-PUBDOC-2011-01-321.pdf
[5] http://sr.wikipedia.org/wiki/Web_hacking
[6] http://www.efmo.ba/public/down/sigurnost.pdf
[7] https://www.scribd.com/doc/232351403/Naj-Vaz-Nije#download
[8]http://spvp.zesoi.fer.hr/seminari/2007/seminari/MilanGvozdicSigurnosni%20problemi%2
0MS%20aplikacija.pdf
[9]http://hr.wikipedia.org/wiki/Sigurnosna_stijena
[10]http://spvp.zesoi.fer.hr/seminari/2004/firewall-ssutic.pdf