T-7 BEZBEDNOST PO NIVOIMA ISO/OSI MODELA

1. Osnove ISO/OSI modela

OSI model (Open System Interconnection) kreiran je od strane ISO (International
Standard Organization) 1982. godine. OSI model se sastoji od 7 slojeva (layers) kao
to se moe videti na slici:

Aplikativni sloj (Application) - Obezbeuje prenos podataka od aplikacije
na jednoj do aplikacije na drugoj strani; Kao sloj najblii korisniku ne
obezbeuje usluge drugom sloju, ve aplikacijama

Prezentacioni sloj (Presentation) - Obezbeuje da podaci koji se prenose
budu u formatu koji e aplikacija na drugoj strani prepoznati

Sloj sesije (Session) - Uspostavlja i raskida sesije za prenos podataka
izmeu aplikacija;

Transportni sloj (Transport) - Obezbeuje da se podaci pouzdano (uz
kontrolu toka) prenesu do drugog sistema; PDU ovog sloja je SEGMENT

Mreni sloj (Network) - Obezbeuje mogunost prenosa grupe podataka
do drugog sistema na drugom medijumu (ili drugoj fizikoj mrei); PDU
ovog sloja je PAKET

Sloj veze podataka (Data Link) - Obezbeuje mogunost prenosa grupe
podataka do drugog sistema na istom fizikom medijumu (ili istoj fizikoj
mrei); PDU ovog sloja je OKVIR (frame)

Fiziki sloj (Physical) - Obezbeuje mogunost prenosa podataka bit po
bit do drugog sistema na istom medijumu

Slika. Slojevi OSI modela

1

Svaki sloj ISO/OSI modela obavlja odreenu funkciju za sloj iznad sebe, koristei
usluge sloja nieg nivoa.
PDU (Protocol Data Unit) je grupa informacija koju prenose protokoli n-tog sloja.
PDU se sastoji iz:

zaglavlja (header) - kontrolne informacije

podataka (data, payload) - tipino PDU vieg sloja

trejlera (trailer) - kontrolne informacije

Slika. PDU po nivoima OSI modela

Prednosti slojevitog modela:

Pristupanije uenje procesa komunikacije

Standardizacija mrenih protokola

Interoperabilnost razliitog hardvera i softvera

Promena u jednom sloju ne utie obavezno na druge slojeve

Jednostavnija implementacija
Arhitektura Interneta se bazira na TCP/IP modelu. TCP/IP se odnosi na dva mrena
protokola: protokol za kontrolu prenosa (Transmission Control Protocol TCP) i
Internet protokol (Internet Protocol IP). Pored TCP i IP, TCP/IP paket (suite)
obuhvata veliki broj drugih mrenih protokola (HTTP, FTP, DNS, Telnet, SMTP,

ICMP, ARP i drugi). Protokoli TCP/IP paketa se definiu dokumentima ''Zahtev za

komentarima'' (Request For Comments RFC). Za prenos podataka od jednog do
drugog korisnika neophodan je veliki broj protokola a ukupna suma svih
neophodnih protokola za prenos naziva se ''magacin protokola'' (protocol stack).

Slika. Slojevi TCP/IP modela

Slika. Odnos OSI i TCP modela

3

2. Zatita po nivoima OSI modela

Bez obzira na primenjene mere zatite treba biti svestan da apsolutnu tj. potpunu
zatitu raunarskog sistema nije mogue postii. Radi postizanja veeg stepena
zatite, nuno je istu realizovati na to vie nivoa OSI modela.
2.1 Bezbednost na fizikom sloju
Na fizikom sloju, raunarski sistemi mogu biti izloeni razliitim pasivnim
napadima kao to je prislukivanje signala ili aktivnim kao to su ometanje i
onemoguavanje komunikacije, modifikovanje signala.
Zatita se sprovodi smanjivanjem ili eliminisanjem elektromagnetnog zraenja
ugradnjom filtera, korienjem oklopljenih i optikih kablova i dr.
2.2 Bezbednost na sloju veze podataka
''Point to point'' (PPP) protokol se nalazi na drugom sloju ISO/OSI modela.
Omoguava povezivanje krajnjih korisnika korienjem javnih telefonskih mrea na
Internet. Protokol PPP je kompleksan i njegova implementacija od strane
proizvoaa operativnog sistema na ijem se raunaru instalira moe predstavljati
negativan aspekt po pitanju bezbednosti. Izvorni kod postaje sastavni deo skupa
izvornih kodova operativnog sistema. Prilikom doraivanja u kodu se mogu pojaviti
greke to se moe negativno odraziti na bezbednost.
Pasivni napad na ovom sloju predstavlja neovlaeni prijem okvira. Problem moe
predstavljati i falsifikovanje okvira odnosno izvorine MAC adrese ili sadraja
informacije.
Zatita na sloju veze podataka realizuje se segmentacijom mree upotrebom svieva
i brideva (switch, bridge) ime je omogueno proputanje okvira koji su namenjeni
komunikaciji raunara smetenih na dva razliita segmenta.
Korienje filtrirajue mrene opreme proputaju se samo odreene, programirane,
MAC adrese.
2.3 Bezbednost na mrenom sloju
Na ovom sloju OSI modela se vri mreno usmeravanje i adresiranje. Protokol
mrenog sloja koji se koristi u komunikaciji na Internetu naziva se Internet protokol
- IP. Sastavni deo implemenacije Internet protokola je i Internet Control Message
Protocol ICMP koji je zaduen za slanje informacija o grekama i slanje
upravljakih informacija. Za dinamiko mapiranje internet adresa u fizike
(hardverske) adrese u lokalnim raunarskim mreama koristi se Address Resolution
Protocol - ARP. Ogranien je na mree koje podravaju hardversko prijavljivanje
broadcast (slanje posebnog mrenog paketa kojim se prijavljuje prikljuenje stanice
4

na mreu). Internet protokol koji koriste mrene stanice za pronalaenje svoje IP

adrese prilikom pokretanja raunara jeste Reverse Address Resolution Protocol
(RARP) koji zapravo mapira fizike adrese u Internet adrese.
Pored DoS napada, problem na tom sloju OSI modela mogu predstavljati:
falsifikovanje ARP poruka, falsifikovanje ICMP redirekcijskih poruka
Zatita na mrenom sloju: Upotreba IPSec, upotreba Firewall-a (njegovo delovanje
poinje od treeg sloja i nastavlja se kroz vie slojeve), zatitnim mehanizmima koje
prua sam operativni sistem ...
2.4 Bezbednost na transportnom sloju
Protokoli na ovom nivou: Transmission Control Protocol (TCP) i User Datagram
Protocol (UDP).
Razliiti oblici ugroavanja: DoS napad, ''Syn flood'' napad ...
Zatita na transportnom sloju predstavlja zatitu tajnosti podataka primenom
simetrinih kriptografskih algoritama i autentikacije vorova komunikacionog
segmenta mree. Ovaj nivo titi mreu od internih i eksternih napada primenom
kriptografskih tunela (zatienih sesija) izmeu vorita komunikacionog segmenta
mree na bazi simetrinih kriptografskih sistema i primenom procedure ''jake''
autentikacije (strong authentication) izmeu vorita mree ime se obezbeuje
provera autentinosti strana u komunikaciji. Dodatnom primenom asimetrinih
kriptografskih sistema na transportnom nivou realizuju se funkcije zatite
integriteta podataka koji se prenose kroz mreu i nemogunost poricanja emisije
datih podataka. Veoj zatiti na transportnom nivou doprinosi i upotreba Firewall-a
(blokiranje odreenih portova odnosno servisa).
2.5 Bezbednost na sloju sesije
Sloj sesije je zaduen za uspostavljanje i prekidanje komunikacijskih kanala kojim
dva entiteta vieg nivoa obavljaju komunikaciju. Sloj sesije obavlja i pomone
zadatke poput vremenske sinhronizacije ili prijavljivanja greaka viim slojevima.
SSL i TLS posmatrajui sa aspekta ISO/OSI modela pripada sloju sesije pri emu,
zbog ifrovanja podataka koje vri, deo njegove funkcionalnost zadire i u
prezentacioni sloj. Kako TCP/IP ne poznaje slojeve izmeu transportnog i
aplikativnog a TLS prua usluge aplikativnom, on je nazvan transportnim.
Napadi koji koriste Remote Procedure Call - RPC protokol baziraju se na slabostima
tj. nemogunosti autentifikacije u okviru RPC protokola.
Zatita: upotreba SSL i TLS protokola.

2.6 Bezbednost na prezentacionom sloju

Pretnje: nasilno deifrovanje podataka (brute force attack) koji podrazumeva
isprobavanje svih kombinacija kljua dok se ne pogodi koriena kombinacija.
Zatita: kriptozatita (KZ)
2.7 Bezbednost na aplikativnom sloju
Da bi korisnike aplikacije mogle meusobno komunicirati korienjem mrenih
resursa.
Brojne pretnje: falsifikovanje SNMP paketa, falsifikovanje DNS odgovora, napadi na
WWW.
Zatita: Bezbedna komunikacija ''s kraja na kraj'' (end-to-end security) na
aplikativnom nivou zasniva se na primeni tehnologije digitalnog potpisa na bazi
asimetrinih kriptografskih algoritama i zatite tajnosti podataka primenom
simetrinih kriptografskih algoritama. Primenom ovog nivoa zatite globalno se
obezbeuje: provera autentinosti korisnika servisa mree kako u smislu
komunikacije (end-user authentication) tako i u smislu kontrole pristupa (access
control) mrei, zatitu integriteta podataka koji se prenose, zatitu od eventualne
mogunosti naknadnog poricanja poslatih podataka i zatitu tajnosti podataka.
Znaajnu meru zatite mogu pruiti i razliiti ureaji kao to su: Firewall, Mreni
posrednici (Proxy)1 ...

3. Bezbednosni protokoli
Otvorenost Interneta ini ga izuzetno ranjivim. Internet je nebezbedno okruenje za
komunikaciju te se za zatitu komunikacije koriste brojni protokoli za razliite
slojeve OSI/ISO modela kao to su: S/MIME, SSH, aplikativni sloj, SSL/TLS
transportni sloj, IPSec mreni sloj. Znatno je lake zatitu realizovati na viim nego
na niim slojevima OSI/ISO arhitekture s tim to nijedan mehanizam ne nudi
potpunu zatitu komunikacija.

U literaturi ih nazivaju i ''pplication gateways''. Mreni posrednici, za razliku od firewall-a, nikada ne

omoguavaju uspostavljanje direktne veze izmeu krajnjih taaka komunikacije. Ukoliko je pokuaj u
skladu sa definisanim pravilima bezbednosti mreni posrednik e samostalno uspostaviti vezu sa
odreditem. Time nastaju dve odvojene veze gde se mreni posrednik javlja kao centralni element, most.
Problem je to unosi dodatno kanjenje u komunikaciji.

3.1 SSL (Secure Sockets Layer)

SSL protokol je rezvijen od strane kompanije Netscape (Netscape Communications
Corporation) i predstavlja najee korieni protokol za obavljanje bezbednih
online transakcija na mrei (bankarske transakcije, plaanje putem Interneta i sl.).
SSL protokol radi iznad TCP sloja a ispod aplikacionog. To znai da SSL mogu
koristiti svi protokoli aplikacionog sloja koji za transport koriste TCP (http-https,
ftp, smtp, pop3, imap ).
SSL2 protokol omoguuje serveru, koji ga koristi, da dokae svoj identitet klijentu,
omoguuje klijentu dokazivanje identiteta serveru i omoguuje uspostavu sigurne
kriptoloki zatiene komunikacije izmeu klijenta i servera. To su tri osnovne faze
svake komunikacije uspostavljene prema SSL protokolu. Osnovni element za
dokazivanje autentinosti kod SSL protokola je digitalni sertifikat koga izdaje trea
strana od poverenja sertifikaciono telo.
SSL obezbeuje mehanizme za identifikaciju dva korisnika povezana raunarskom
mreom i zatieni prenos podataka izmeu njih.
Obezbeuje kriptografsku zatitu, pouzdan je, nezavistan od hardvera i softvera
Implementacija: hardverska (npr. SSL accelerator card) i softverska (npr. u web
pretraivau).
Problem sa SSL je taj da aplikacije koje ele da koriste tu mogunost moraju biti
uraene specijalno za tu namenu. To znai da postojee poznate aplikacije moraju
biti modifikovane.
SSL protokol podrava vie razliitih kriptografskih algoritama koji se
upotrebljavaju u postupcima meusobne autentifikacije klijenta i servera, razmene
digitalnih sertifikata i uspostave tajnih simetrinih kljueva:

DES (Data Encryption Standard),

DSA (Digital Signature Algorithm),

KEA (Key Exchange Algorithm),

MD5 (Message Digest algorithm 5),

RSA (Rivest, Shamir, Adleman) i RSA za rezmenu kljua,

SHA-1 (Secure Hash Algorithm),

Triple-DES.

WTLS (Wireless Transport Layer Security) predstavlja beinu varijantu SSL protokola. Namenjen je za
zatitu na transportnom nivou izmeu WAP mobilnih telefona i WAP servera, na istim principima kao i
SSL protokol.

Bezbednosne pretnje se ogledaju u mogunosti uskraivanja usluga (DoS napad),

lairanje sertifikata, otkrivanje osetljivih podataka i dr.
3.2 TLS (Transport Layer Security)
Ubrzo nakon razvoja SSL protokola dolazi i do razvoja TLS protokola. Kao i SSL
protokol i TLS omoguava meusobnu identifikaciju (autentifikaciju) izmeu
klijenta i servera i sigurnu komunikaciju izmeu njih.
Protokol TLS koristi razliite kriptografske algoritme:

Razmjena kljua: RSA, Diffie-Hellman, ECDH, SRP, PSK;

Autentifikacija: RSA, DSA, ECDSA;

Simetrino kriptovanje: RC4, DES, AES, IDEA, Triple DES;

Kriptografske hash funkcije: HMAC-MD5 ili HMAC-SHA
TLS protokol radi na slojevima ispod aplikacionog i iznad protokola transportnog
sloja, na petom i estom sloju OSI modela. esto se koristi u kombinaciji s HTTP
protokolom kako bi se dobio HTTPS protokol.3 HTTPS protokol se koristi za zatitu
Web stranica na kojima se nalaze aplikacije namenjene elektronskom poslovanju.
TLS omoguava stvaranje tunela kroz Internet kako bi se kreirala Virtuelna privatna
mrea (Virtual Private Network).
3.3 IPSec (IP Security protocol)
Protokol IPSec predstavlja proirenje protokola IPv4 koji je razvijen od strane
Internet Engineering Task Force (IETF). IPSec implementira mehanizme zatite
mrene komunikacije na mrenom sloju OSI referentnog modela, odnosno na
Internet sloju TCP/IP modela. IPSec je sastavni deo protokola IPv6. Prednost IPSec u
odnosu na bezbednosne protokole vieg slojeva (4-7) ogleda se i u tome to nisu
potrebne izmene programskog koda aplikacija koje ga koriste.
Omoguava siguran pristup sa udaljenih lokacija preko javne mree (Interneta).

HTTPS (Hypertext Transfer Protocol Secure) protokol je kombinacija HTTP protokola s protokolima
SSL/TLS. To je u sutini klasina HTTP komunikacija preko SSL ili TLS. Slino njemu, protokol FTPS
(File Transfer Protocol Secure) predstavlja proirenje FTP (File Transfer Protocol) protokola sa SSL ili
TLS.

Slika. Mesto IPSec u skupu protokola

IPSec se moe koristiti bez obzira na nain implementacije fizikog sloja i sloja veze.
Komunikacioni ureaji na putu izmeu dva entiteta ne moraju podravati IPSec.
Protokoli transportnog sloja koriste sigurnosne usluge koje obezbeuju IPSec, to
znai da svi podaci koji se prenose posredstvom TCP i UDP protokola, kao i ICMP
poruke, mogu koristiti bezbedni komunikacioni kanal koji obezbeuje IPSec.
Upotreba IPSec protokola je nevidljiva za vie slojeve te ga mogu koristiti razliite
aplikacije. IPSec definie informacije koje se moraju dodati IP paketu kako bi se
obezbedili privatnost, integritet, provera identiteta i nain ifrovanja sadraja
paketa. Pri radu, IPSec koristi razliite kriptografske algoritme: Diffie-Hellmanov,
AES, 3DES i DES simtrine algoritme za ifrovanje, HMAC (Hashing Message
Authentication), MD5 i SHA ...
IPSec podrava dva reima rada:

Prenosni (transport mode). Prilikom tog reima rada ifruju se samo podaci a
IP zaglavlja ostaju u originalnom obliku (otvoreni tekst). Zaglavlja viih
slojeva (npr, sloja aplikacije) ifrovane su, a mogunost pregledanja paketa je
ograniena. Prednost ovog reima rada je to to se svakom paketu dodaje
svega nekoliko okteta. U ovom nainu rada, ruteri mogu na javnoj mrei
videti adrese izvorita i odredita poruka, to potencijalnom napadau
delimino omoguava da analizira mreni saobraaj.

Tunelovanje (tunnel mode). Tunel ine klijent i server koji su konfigurisani da
koriste IPSec tunelovanje i unapred dogovorene mehanizme za enkapsulaciju
i ifrovanje kompletnih IP paketa, to obezbeuje potpuno siguran prenos.
IPSec se sastoji od sledea tri podprotokola:

Protokol AH (Authentication Header) definisan u dokumentu RFC 2402,
obezbeuje usluge provere identiteta, integriteta i neporecivosti IP paketa,
ali ne i privatnost. Protokol je definisano AH zaglavlje koje se smeta izmeu

IP zaglavlja i podataka koji slede. Specifinost protokola AH je to to on, za

razliku od ostalih TCP/IP protokola, ne enkapsulira podatke iz protokola
kojima prua uslugu.
Protokol ESP (Encapsulated Security Payload) definisan u dokumentu RFC
2406, obezbeuje usluge provere identiteta, integriteta, neporecivosti i
privatnosti podataka. Protokol definie ESP zaglavlje koje se u IP paket
smeta posle IP zaglavlja, enkapsulira sve podatke iz protokola vieg sloja i
dodaje zavrni slog u koji se mogu smestiti podaci za proveru identiteta.
Protokol IKE (Internet Key Exchange) odnosno protokol za razmenu
kljueva slui za dogovaranje bezbedonosnih parametara IPSec komunikacije
i razmenu simetrinih kljueva. Za dogovaranje parametara bezbedne
komunikacije, IKE podprotokol uvodi koncept ''bezbednog udruivanja''
(Security Association). Bezbedno udruivanje podrazumeva razmenu
podataka izmeu dva mrena entiteta (vrsta i nain rada algoritma za
digitalno potpisivanje podataka i korienih kljueva, vrsta i nain rada
kriptografskog algoritma za ifrovanje podataka kod ESP podprotokola i
korienih kljueva, sprovoenje ili izostavljanje postupka sinhronizacije kod
kriptografskih algoritama, pa i parametri sinhronizacije, protokol za
utvrivanje autentinosti podataka (AH ili ESP), ivotni vek kljueva,
uestalost promene kljueva, ivotni vek bezbedonosne asocijacije, izvorina
adresa bezbedonosne asocijacije i stepen osetljivosti prenoenih podataka), a
s ciljem uspostavljanja bezbedne komunikacije meu njima. Bezbedno
udruivanje u sutini predstavlja bezbedan komunikacioni kanal u
nebezbednim mrenim komunikacijama.

3.4 S/MIME (Secure/Multipurpose Internet Mail Extensions)

S/MIME (Secure/Multipurpose Internet Mail Extensions) je protokol koji prua
zatitu na aplikativnom sloju ISO/OSI modela. Predstavlja skup kriptografskih
algoritama i metoda, objedinjenih u jedinstven model. Namenjen je za zatitu
elektronske pote uz ouvanje tajnosti i integriteta poruke kao i autentifikaciju
poiljaoca.
Format S/MIME poruka se bazira na binarnom CMS formatu (Cryptographic Message
Syntax) odnosno standardu za kriptovanje, autentifikaciju i potpisivanje bilo kojeg
dela poruke. Format je razvijen na temelju PKCS7# formata.
Tajnost se obezbeuje upotrebom proverenih kriptografskih algoritama. Kod
S/MIME standarda primenjuje se 3DES algoritam za simetrino kriptovanje.
Ukljuivanjem digitalnog potpisa obezbeuje se autentifikacija poiljaoca. Digitalno
potpisivanje realizuje se Diffie-Hellman postupkom uz DSS ili RSA enkripciju.
Upotreba S/MIME digitalnih potpisa zahteva posedovanje digitalnog sertifikata
formata X.509v3.

10

Pored S/MIME, za zatitu elektronskih poruka koristi se i OpenPGP koji se razlikuju

u verifikaciji javnih kljueva. OpenPGP se bazira na razvoju sigurne mree korisnika
dok se S/MIME bazira na centralnoj ferifikaciji u CA centrima.
3.5 SSH (Secure Shell)
SSH je protokol koji prua zatitu na aplikativnom sloju ISO/OSI modela. Namenjen
je za zatitu podataka uz ouvanje tajnosti i integriteta poruke kao i autentifikaciju
korisnika.
Nastao je kao zamena za nesigurne protokole kao to su TELNET i FTP. Bezbednost
SSH protokola temelji se na upotrebi kriptografskih algoritama kojima se tite
podaci prilikom komunikacije. Najei simetrini kriptografski algoritmi podrani
SSH protokolom su AES, DES, 3DES, Diffie-Hellman i drugi dok se za kriptovanje
podataka, kada su u pitanju asimetrini algoritmi najee koriste DSA i RSA.
Digitalni potpisi garantuju autentinost korisnika u komunikaciji. Digitalni potpis se
stvara pomou funkcija saimanja (hash funkcija) na bazi DSA i RSA algoritma.

11