Bezbednost

Osnovni koncepti

• Bezbednost je važno svojstvo svakog sistema.

• Ciljevi:
– zaštita podataka od neautorizovanog čitanja i
modifikacije
– zaštita računarskih resursa od neautorizovanog
korišćenja
– garantovanje ispravnosti i raspoloživosti resursa za
autorizovane osobe i entitete

1
 Šta ugrožava bezbednost sistema?
• Špijuniranje
– kraña brojeva kreditnih kartica, računa
– otkrivanje podataka značajnih za rad firme
• Obaranje sistema
– fizički
– zagušivanjem sistema (DoS – Denial of Service)
– izvršavanjem malicioznog koda kada se izvrše odreñene
datoteke (npr. autoexec.bat)
• Trojanski konji
– ima izgled normalne aplikacije, ali kad se instalira krade podatke
ili oštećuje sistem
• Virusi
– kopiraju sami sebe
– oštećuju podatke ili ugrožavaju performanse
3

Zaštita

• Zaštita pojedinačnog računara najčešće

podrazumeva sledeće:
– odrediti ko hoće nešto da uradi (na primer pomoću
login imena)
– odrediti da li je osoba zaista ona koja tvrdi da jeste
(npr. pomoću lozinke)
– odrediti da li osoba u pitanju ima pravo na željenu
akciju (npr. koristeći liste pristupa).

• Kada je u igri i mreža mora se uzeti u obzir i

mogućnost da neko neautorizovan može videti i
menjati poruku koja ide preko mreže.

2
 Osnovni pojmovi
• Bezbednosni subjekt (principal)
– pojedinac, poslovna funkcija (sistem administrator, HR direktor),
računar ili proces kojem je dodeljena neka privilegija u sistemu
– poslovne funkcije se ponekad nazivaju ulogama (roles) – mnogi
sistemi imaju liste bezbednosnih subjekata (BS) s
identifikacionim kodom koji povezuje BS sa odreñenim poslom ili
podacima kojima ima pristup.
• Autentifikacija
– Kada se pošalje zahtev da se uradi neki posao u ime nekog BS,
mora se proveriti da li je zahtev poslao BS.
– To se najčešće radi pomoću lozinke.
• Autorizacija
– Kada je korisnik (BS) ulogovan, mora se proveriti da li on ima
pravo na odreñene akcije: pristup nekom resursu, aplikaciji itd.
– Za to postoje liste kontrole pristupa (access control lists).

Kriptografija
• Kriptografiju predstavljaju tehnike koje
omogućuju da se informacija transformiše tako
da proñe kroz javni prostor na putu do primaoca,
ali tako da na tom putu niko ne može da je vrati
u prvobitni oblik.

• Najčešće se koriste dve vrste kriptografije:

– simetrična i
– asimetrična

3
 Simetrična kriptografija
• Pošiljalac i legitimni primalac dele tajnu kako je
poruka promenjena.

• Taj mehanizam ima dva dela:

– algoritam koji definiše koje matematičke operacije se
izvode za šifrovanje podataka – nije toliko važna
tajnost
– ključ za dešifrovanje – tajnost je bitna

• Konceptualno jednostavan, ne zahteva mnogo

procesorskog rada.

Asimetrična kriptografija 1/3

• Takoñe zahteva algoritme i ključeve. Ponekad
se naziva u kriptografija javnog ključa (public
key criptography).

• U ovom slučaju se koriste dva različita, ali

povezana ključa na oba kraja komunikacije.

• Privatni ključ je tajni, a drugi, javni ključ je

dostupan svima.

4
 Asimetrična kriptografija 2/3
• Dva važna koncepta:
– jedan ključ ne može biti upotrebljen za izvoñenje
drugog
– ako je jedan ključ upotrebljen za šifriranje poruke,
drugi mora biti upotrebljen za dešifrovanje
• Na taj način svako može da šifrira poruku javnim
ključem (bez poznavanja privatnog ključa) i da je
pošalje primaocu koji jedini može da je dešifruje.
– analogija sa poštanskim sandučetom: svako može
da donese pismo na odreñenu adresu (javni ključ) i
ubaci je u sanduče, a samo primalac ima pristup
sandučetu (privatan ključ).
9

Asimetrična kriptografija 3/3

• Dva ključa se obično generišu iz istog broja koristeći isti
proces.

• Uspešnost ove tehnike se ogleda u tome što je veoma

teško izvesti jedan ključ iz drugog.

• To nije nemoguće, ali je računarski zahtevno – godinu ili

dve rada klastera računara da razbiju ključ, a podaci za
to vreme mogu da izgube važnost.

• Ova vrsta kriptografije je zahtevnija za CPU.

– zato se na ovaj način šalje manje podataka, a za veliku količinu
podataka se koristi simetrična kriptografija.

10

5
 Digitalni potpis
• Ključevi se generišu u parovima.
• Razlika izmeñu privatnog i javnog ključa nije
matematička, već je samo pitanje toga koji ćemo
odabrati da bude privatni, a koji javni.
• Digitalni potpis (Digital signature):
– poruku šifriranu privatnim ključem može da pročita svako ko ima
javni ključ – na taj način primalac može verifikovati pošiljaoca.
Poruka se potpisuje samo u jednom svom delu – message
digest (rezime poruke).
• Problem: kako biti siguran da se pošiljalac ne predstavlja
lažno (npr. na neki nelegalan način je uspeo da doñe do
privatnog ključa ili je prethodno poslao javni ključ lažno
se predstavivši)?

11

Sertifikat 1/2
• Taj problem se rešava pomoću sertifikata.

• Organizacije koje se zovu Sertifikacione vlasti

(Certification Autority - CA) potvrñuju
autentičnost parova ključeva.

• Infrastruktura javnog ključa (Public Key

Infrastructure - PKI) je skup koji čine HW, SW,
ljudi, politike i procedure neophodne za
kreiranje, upravljanje, distribuciju, korišćenje,
smeštanje i opozivanje digitalnih sertifikata.
12

6
 Sertifikat 2/2
• CA objavljuje ključ vezan za odreñenog korisnika.

• To se čini koristeći CA ključ, tako da je poverenje u

korisnikov ključ vezano za poverenje u CA.

• Način na koji se obezbeñuje autentičnost ključeva

definisan je dokumentom koji se zove Izjava o načinu
sertifikacije (Certification Practice Statement - CPS).

• CPS može imati različite nivoe (strengths)

– problem: korisnici često nisu svesni toga

13

Opozivanje sertifikata 1/2

• Ako doñe do kompromitacije privatnog ključa,
sertifikat mora biti opozvan.

• To se radi preko liste opoziva (Certification

Revocation List - CRL).

• CRL navodi sve opozvane sertifikate sa

razlogom za opoziv.

• Kada potencijalni korisnik pokuša da pristupi

serveru, server dopušta ili ne pristup zasnovan
na CRL-u tog korisnika.
14

7
 Opozivanje sertifikata 2/2
• To ne pomaže ako nismo dovoljno brzo saznali
za kompromitaciju ključa, ili ako primalac ne
proverava CRL.

• Zato treba preduzeti mere predostrožnosti –

privatne ključeve treba držati na računaru samo
dok se koriste za generisanje potpisa ili šifre.
– korišćenje ključeva na smart-karticama (smart
cards).

15

Microsft i PKI
• Windows Server daje podršku za PKI i sertifikate
preko servisa sertifikata (Certificate Services).
• Pomoću njih, organizacija lako može da
realizuje organe za izdavanje i opozivanje
sertifikata (Certificate Authorty) koji su joj
potrebni u poslovanju.
• Moguće je podržati i unutrašnje i spoljašnje CA
organe, npr. one povezane s drugim
organizacijama ili davaocima komercijalnih
usluga.

16

8
 Kerberos
• Windows Server koristi Kerberos protokol.

• Kerberos je protokol za autentifikaciju koji

omogućava čvorovima koji komuniciraju preko
neobezbeñene mreže da meñusobno potvrde
svoju autentičnost.

• On je oslonjen na klijent-server model, gde i

korisnik i server verifikuju svoj identitet.

17

Kerberos

• Kerberos poruke su zaštićene od prisluškivanja i

napada ponavljanjem poruka (replay attacks).

• Zasnovan je na simetričnoj kriptografiji.

• Opciono može koristiti i asimetričnu kriptografiju

uz pomoć javnog ključa u nekim fazama
autentifikacije.

18

9
 KDC 1/2

• Kerberos koristi usluge centra za izdavanje ključeva

(KDC – Key Distribution Center).

• Svaki upravljač domena definisan u Aktivnom

direktorijumu je je istovremeno i KDC.

• KDC se sastoji iz dva logička dela:

– servera za autentifikaciju (AS - Authentication Server)
– servera za izdavanje ulaznica (TGS – Ticket Granting Server)

• Kerberos radi na osnovu ulaznica (tickets), koje služe da

potvrde identitet korisnika.

19

KDC 2/2

• KDC sadrži bazu podataka tajnih ključeva.

• Svaki entitet u mreži (klijent ili server) ima tajni

ključ za koji zna samo on i KDC.

• Poznavanje tog ključa služi za potvrdu identiteta.

• Za komunikaciju izmeñu dva entiteta KDC

generiše ključ sesije koji oni koriste da ostvare
bazbednu komunikaciju.
20

10
 Osnovni postupak prijave za uslugu

• Klijent se prijavljuje na server za autentifikaciju (AS) i dobija ulaznicu

(sve ulaznice imaju zapisano vreme).

• Zatim kontaktira server za izdavanje ulaznica (TGS. Ticket Granting

Server).

• Korišćenjem ulaznice dokazuje svoj identitet i traži uslugu.

• Ako klijent ima pravo uslugu, TGS mu dodeljuje novu ulaznicu (ST -
Service Ticket).

• Klijent se obraća Serveru usluga (Service server - SS) i pomoću

nove ulaznice dokazuje da ima pravo na uslugu (koristi se ACL).

21

Osnovni postupak prijave za uslugu

• Zahtev za autentifikaciju se šalje jednom, a onda se tokom sesije koristi TGT (Ticket
Granting Ticket) ulaznica za pristup servisima.
• TGT ulaznica se šifrira pomoću lozinke – to postaje tajni ključ koji dele klijent i server.
• ST ulaznica se šifrira pomoću TGT ulaznice.

1. Zahtev za autentifikaciju
Server
2.TGT - ulaznica AS
3. TGT - ulaznica
4. ST - ulaznica TGS
Klijent

5. ST - ulaznica

Server usluga
(npr. printer server)

22

11
 Vremenska provera
• Kada Kerberos primi zahtev za autentifikaciju, on
izvršava sledeće akcije:
1. Pronalazi korisnikovo ime i učitava ključ koji deli s korisnikom
2. Pregleda sadržaj zahteva – prvo proverava polje za vreme. Ako
se to polje razlikuje za više od 5 minuta, zahtev se odbacuje
3. Proverava da li je vreme isto ili starije od prethodnih prijava.
Ako nije, dozvoljava korisniku da se prijavi u domen.

• Kerberos šalje povratne poruke, izmeñu ostalog i

podatak o vremenu.

• Ako se taj podatak podudara s klijentovim, klijent je

siguran da je poruku dešifrovao Kerberos.
23

Kerberos i poverenički odnosi 1/2

• Kada postoji poverneički odnos izmeñu dva
domena (trusted relationship), oba domena dele
meñudomenski ključ.

• KDC u jednom domenu postaje posrednik u

drugom domenu i obrnuto.

• TGT ulaznica iz jednog domena registruje se

kao bezbednosni subjekt u drugom domenu, što
KDC-u omogućava izdavanje uputnica za drugi
domen (referral tickets).
24

12
 Kerberos i poverenički odnosi 2/2
• Klijent od lokalnog KDC-a traži odobrenje
za pristup resursu.

• KDC prvo proverava da li je resurs u

drugom domenu – ako jeste, klijentu šalje
uputnicu.

• Klijent uspostavlja vezu sa KDC-om u

drugom domenu i šalje mu uputnicu.
25

Jednokratna prijava (Single Sign-On)

• Sistem jednokratne prijave omogućava da se korisinikov
identitet proverava samo jednom i da rezultate provere
uzimaju u obzir sve aplikacije i usluge.

• To je kontrola pristupa više nezavisnih softverskih

sistema, koji su meñusobno povezani.

• Npr. mnoge kompanije imaju ERP (Enterprise Resource

Planning) i CRM (Customer Relationship Management)
aplikacije koje imaju sopstvenu kontrolu pristupa,
uključujući korisničko ime (user ID) i lozinku.

• Jednokratna prijava omogućava da se tim aplikacijama

pristupa odmah posle prijave na Windows, bez dodatne
provere identiteta.
26

13
 Inteligentne kartice
• Inteligentne kartice (smart cards) su obično u
formi ureñaja veličine kreditne kartice, koje se
smeštaju u čitač.
• Isto tako mogu biti ureñaji zasnovani na USB-u
ili integrisane u propusnice zaposlenih.
• Windows 2003 i Windows XP podržavaju
inteligentne kartice kao metodu provere
identiteta.
• Inteligentne kartice se kombinuju sa PIN-om, koji
se može smatrati lozinkom, pa se tako dobija
provera identiteta na osnovu dva faktora.

27

Biometrika
• Biometrika se odnosi na jedinstvene biološke informacije
koje se koriste za odreñivanje identiteta korisnika.

• Biometrika, kombinovana sa proverom identiteta pomoću

korisničkog imena/lozinke, predstavlja autentifikaciju sa
dva faktora, koja se ne može kopirati.

• Otisak prsta i izgled mrežnjače oka se najčešće koriste

kao biometričke metode provere identiteta.

• Dodatna biometrička rešenja funkcionišu zajedno sa

postojećim protokolima provere identiteta u mrežnim
operativnim sistemima.
28

14
 SSL protokol 1/2
• SSL protokol je razvio Netscape s ciljem obezbeñivanja
sigurnosti podataka koji se prenose i rutiraju kroz HTTP,
LDAP i POP3 aplikacione slojeve.

• SSL koristi TCP kao komunikacioni sloj za

obezbeñivanje pouzdane i sigurne autentifikovane veze
izmeñu dve tačke u mreži.

• Najčešće se koristi u HTTP klijent i server aplikacijama,

za bezbednu šifrovanu vezu sa Web serverom.

• SSL podržava upotrebu standardnih kriptografskih

tehnika (PKI) za autentifikaciju partnera koji
komuniciraju.
29

SSL protokol 2/2

• Obezbeñuje integritet podataka: za vreme sesije niko ne

može da neovlašćeno pristupa podacima.

• Omogućava meñusobnu autentifikaciju klijenta i servera.

• To nije standard za šifrovanje, već okvir za pregovore o

meñusobno prihvatljivim skupovima protokola za
razmenu ključeva i šifrovanja.

• SSL nije primarni izvor bezbednosti veze, već su to

algoritmi šifriranja i i protokoli za upravljanje ključevima
koje je SSL izabrao u pregovorima.

30

15
 SSL protokol 3/3

• SSL sloj je smešten izmeñu sloja

protokola i TCP sloja.

31

HTTPS

• Hypertext Transfer Protocol Secure (HTTPS) je

kombinacija HTPP protokola i SSL/TLS protokola za
obezbeñivanje šifrirane komunikacije i sigurne
identifikacije mrežnog web servera.

• HTTPS konekcije se najčešće koriste za transakcije

plaćanja i osetljive transakcije u korporativnim
informacionim sistemima.

• Glavna ideja je da se kreira bezbedni kanal na

nebezbednoj vezi.

• Koristi port 443 umesto 80 (HTTP).

32

16
 IPSec protokol 1/2
• IPsec (IP Security) je protokol IP sloja TCP/IP protokola
koji obezbeñuje sigurnu vezu korišćenjem autentifikacija
i šifrovanja svakog IP paketa sesije.

• IPsec takoñe sadrži protokole za meñusobnu

autentifikaciju na početku sesije i pregovore o ključevima
koji će biti korišćeni za vreme sesije.

• Koristi se za neobezbeñene mreže (Internet), ali se

može primeniti i na intranetu.

• Za razliku od SSL protokola, aplikacije ne moraju da

znaju za IPSec, tj. IPSec protokol je za njih
transparentan.
33

IPSec protokol 2/2

• Način šifrovanja je s kraja na kraj (end-to-end) –

svaki paket ostaje u šifrovanom obliku dok ne
doñe do odredišnog računara.

• Koristi šifrovanje javnim ključevima.

• Šifruje se i adresa pošiljaoca.

• Ceo paket (sadržaj i zaglavlje) umeće se u nov

paket, tako da odredišna adresa nije vidljiva.

34

17
 Fizička sigurnost i insajderi

• Najveći broj zloupotreba računarskih sistema uključuje

učešće insajdera –zaposlenih ili bivših zaposlenih.

• Problemi nastaju i usled nehata.

• Npr. neažurni antivirusni softver i pristupanje sumnjivim

lokacijama na Internetu.

• Tehnička rešenja nisu dovoljna i ovo treba imati u vidu

kada se projektuje sistem.

35

Spoljašnje pretnje
• Napadi na sistem mogu biti podeljeni u nekoliko
kategorija.
– Napadi u realnom vremenu, kada neka osoba ili program aktivno
i kontinualno preko mreže šalje poruke koje liče na legitimne
zahteve s ciljem da kontroliše deo sistema.
– Program je potajno poslat vašem sistemu s namerom da
preuzme kontrolu u nekom kasnijem trenutku - virus.
• Ove dve vrste napada se mogu neutralizovati tako što se
ne dozvoljava da poruke stignu do sistema.
• Sprečavanje servisa (Denial of service - DoS) –
zatrpavanje mrežnih konekcija sistema porukama, tako
da ne može da odgovori na legitimne zahteve za
uslugom. U ovom slučaju ne pomaže odbijanje da se
poruka primi.
36

18
 Sprečavanje servisa (DoS)
• Prekomerno korišćenje računarskih servisa, kao što su
opseg, prostor na disku, procesorsko vreme.

• Oštećenje konfiguracionih informacija, kao što su

informacije o rutiranju.

• Oštećenje statusnih informacija, kao što je na primer

prekidanje TCP sesija.

• Oštećenje fizičkih komponenti mreže.

• Ometanje komunikacionih medija izmeñu korisnika i

žrtve napada, tako da više ne mogu normalno da
komuniciraju.
37

Ruter za filtriranje paketa 1/2

• Postoje razne tehnike za sprečavanje napada.

• Jednostavna tehnika je ruter za filtriranje paketa (packet-filtering

router).

• Ruter za filtriranje paketa obezbeñuje jedinstvenu tačku kontakta

osetljivih sistema (Intraneta) i spoljašnjeg sveta (Interneta).

• IP filtriranje paketa se sastoji iz kreiranja niza definicija koje se zovu

filteri, a koji definišu koji tip saobraćaja je dozvoljen ili zabranjen za
odreñeni ruter na svakom interfejsu.

• Ruter propušta pakete samo ako im je destinacija izričito naveden

sistem na odreñenim portovima, tj. mrežni saobraćaj može da
komunicira samo sa specifičnim serverskim softverom.

38

19
 Ruter za filtriranje paketa 2/2
• Filteri mogu biti podešeni za dolazni i odlazni saobraćaj:
– Ulazni filteri definišu koji dolazni saobraćaj na tom interfejsu je
dozvoljeno propustiti i procesirati;
– Izlazni filteri definišu koji odlazni saobraćaj na tom interfejsu je
dozvoljeno slati preko tog interfejsa;

• Ovim se smanjuje broj tačaka podložnih potencijalnom

napadu.

• Pored toga, sistem treba da propušta samo one pakete

sa validnom izvornom adresom.
– Npr. paket ne može dolaziti spolja ako ima adresu koja je
unutar mreže.

39

Barijera (Firewall) 1/2

• Minimalni kriterijumi filtriranja su: odredišna IP

adresa, odredišni port i izvorišna IP adresa.

• Sistem koji obavlja dodatno filtriranje se naziva

barijera (firewall).

• Postoje razni zaštitni zidovi, ali tipičan zaštitni

zid sadrži paketsko filtriranje i jedan ili više
proksi (proxy) servera.
40

20
 Barijera (Firewall) 2/2
• Proksi server podražava mrežni protokol odreñenog
servisa, ali umesto da nudi servis on samo ispituje
ispravnost dolaznog zahteva.

• Proksi softver treba da bude što jednostavniji da bi

smanjio ranjivost.

• Pored toga, pošto proksi ne radi ništa sa sadržajem

poruke malo je verovatno da će se ponašati na neželjen
način.

• Proksi može obavljati i dodatno filtriranje bazirano na

sadržaju, npr. da propušta samo tekst e-mail poruke ili
da skenira virus.
41

Topologije za zaštitu mreža

• Topologija mreže može u velikoj meri da odredi ranjivost

mreže.

• Barijera mora da bude jedina tačka ulaza u mrežu.

– Primer: u korporativnim mrežama se često dešava narušavanje
sistema virusom koji je neki zaposleni zaradio na svom laptopu
dok je bio priključen na Internet kod kuće.

• Pošto su fleksibilnost i sigurnost mreže nekompatibilni,

mora se napraviti neki kompromis pri projektovanju
mreže.

42

21
 Jednostavna instalacija barijere
• U ovoj topologiji sve poruke izmeñu spoljašnjeg sveta i mreže moraju da
proñu kroz barijeru.
• Sistem lak za administriranje, pogodan za jednostavne servise.
• Ako se naruši sigurnost barijere, to direktno i smesta ostavlja mrežu
otvorenom za napad – često nije dovoljno za korporativnu mrežu.

Vaša mreža
Internet
Barijera

43

Dve barijere i DMZ 1/2

• Na slici je prikazana konfiguracija sa dve barijere i DMZ (demilitarizovana zona).
• Za sisteme koji pružaju više usluga spoljašnjem svetu delovi mreže moraju biti
dostupni spolja.

WS1

Vaša mreža
Internet
Spoljna WS2
barijera

Unutrašnja
barijera

44

22
 Dve barijere i DMZ 2/2

• Kada je značajan deo mreže dostupan spolja, potrebno

je više od jedne barijere.

• Druga barijera je restriktivnija.

• Poruke nikad ne šalju direktno u unutrašnju zonu, već

samo preko Web servera ili proksija.

• Web server može proslediti poruku ili formirati novu

poruku.

45

Složenije konfiguracije
• Neki delovi mreže ne treba da budu dostupni generalnom korisniku
unutar mreže – podmreža sa barijerom.

HR
barijera

Vaša mreža

WS1

HR mreža
Internet
Spoljna WS2
barijera

Unutrašnja
barijera

46

23
 Windows barijera

• Windows barijera (Windows Firewall ) je

komponenta Windows OS-a koja obezbeñuje
funkcije barijere i filtriranja paketa.

• Verzija Windows Server 2003 proverava dolazni

saobraćaj.

• Verzija Windows Server 2008 može da

proverava i odlazni saobraćaj.

47

MS Forefront TMG
• Microsoft Forefront TMG (Threat Management Gateway)
za Win Server 2008 je složeno Microsoftovo rešenje za
bezbednost.

• ISA Server (Microsoft Internet Security and Acceleration

Server (ISA Server) predstavljaju ranije verzije
Forefronta.

• Izmeñu ostalog, može da igra sledeće uloge:

– ruter
– barijera
– antivirus
– VPN server
– Web keš
– proksi server
48

24
 Zaključak
• Barijere, demilitarizovane zone i drugi mehanizmi zaštite služe da
povećaju napor za provaljivanje u mrežu i uspore napadača. Oni
nisu apsolutna zaštita.

• Moraju se pažljivo doneti odluke koje poruke je nužno propustiti u

sistem, bez obzira na rizik koje sa sobom nose.

• Poruke ne smeju direktno da idu u sistem iza barijere – moraju da

proñu kroz proksi.
– Web serveri često služe kao proksiji, mada nisu idealni u tu svrhu zbog
složenosti.

• Proksi softver treba da bude što jednostavniji i da bude na serveru

sa minimumom servisa da bi imao najmanje mogućih tačaka
napada.

49

25