ELEKTROTEHNIČKI FAKULTET OSIJEK

“KOMUNIKACIJSKE MREŽE”

SIGURNOST
U
RAČUNALNIM MREŽAMA

Sigurnosni trokut

1
• PREVENCIJA (Prevention)
implementacija
odgovarajućih mjera radi onemogućavanja
iskorištavanja i zlouporabe sigurnosnih ranjivosti
• DETEKCIJA (Detection)
procedure za
otkrivanje potencijalnih sigurnosnih problema
nakon što su implementirane preventivne mjere i
otkrivanje povreda sigurnosti ukoliko te mjere
zakažu
• REAKCIJA (Response)
prikladan odgovor na
povredu sigurnosti sustava

Sigurnost informacija (Information security)

• Sigurnost informacija = povjerljivost +

integritet + raspoloživost + vjerodostojnost
• Information security = confidentiality +
integrity + availability + authentication

2
• POVJERLJIVOST (confidentiality) – osigurava
da neautorizirani korisnik ne može presresti,
pročitati ili kopirati informaciju prilikom prijenosa
• INTEGRITET (integrity) – osigurava informaciju
od modifikacija prilikom prijenosa
• RASPOLOŽIVOST (availability) – osigurava da
su resursi potrebni za prijenos informacija uvijek
na raspolaganju korisniku
• VJERODOSTOJNOST (authentication) –
osigurava autentičnost informacije (primatelj je
siguran da je pošiljatelj doista onaj kojim se
predstavlja)

Procjena rizika (Risk assessment)

• Procjena vrijednosti informacije
• Utvrñivanje ranjivosti sustava
• Utvrñivanje postojećih prijetnji i procjena
njihove vjerojatnosti
• Utvrñivanje odgovarajućih protumjera
• Analiza troškova i koristi
• Razvoj sigurnosne politike i procedura

3
 Sigurnosni modeli (Security models)

• “Security by obscurity” – prikrivanje

postojanja povjerljivog sustava/mreže
• “The perimeter defense” – koncept obrane
sustava na njegovom vanjskom rubu (nedostaci:
nemogućnost zaštite od napada iznutra)
• “The defense in depth” – osim obrane sustava
na vanjskom rubu sigurnosne mjere provode se i
unutar sustava “po dubini”

Osnovna terminologija
• PRIJETNJA (threat) – bilo što što može
poremetiti funkcioniranje, integritet ili
raspoloživost sustava ili mreže
• RANJIVOST (vulnerability) – nedostatak u
dizajnu, konfiguraciji ili implementaciji mreže ili
sustava koji ga čini osjetljivim na sigurnosne
prijetnje. Uzroci:
• Loš dizajn
• Loša implementacija
• Loše upravljanje
• NAPAD (attack) – specifična tehnika za
zlonamjerno iskorištavanje ranjivosti sustava

4
 Sigurnosne prijetnje (Security threats)
• Virus (virus)
• Crv (worm)
• Trojanski konj (Trojan horse)
• “Stražnja vrata” (Backdoor, Trapdoor)
• “Logička bomba” (Logic bomb)
• Skeniranje portova (Port scanning)
• Zavaravanje (Spoofing)
• Razbijanje zaporke (Password cracking)
• Socijalni inženjering (Social engineering)
• Praćenje mrežnog prometa (Network sniffing)
• …

Virusi
• “Parazitski” program ili dio koda – ne može
funkcionirati samostalno
• Posjeduje sposobnost samostalnog širenja
• Najčešće se širi izvršavanjem inficiranog
programa ili slanjem zaraženih datoteka
elektroničkom poštom
• Detekcija virusa uglavnom se svodi na
prepoznavanje “potpisa” poznatih virusa
(usporedba rezultata skeniranja sa
odgovarajućom bazom podataka)

5
 Crvi (Worms)
• Crv (worm) je samostalan i neovisan
program, obično dizajniran tako da se širi
po inficiranom sustavu i traži druge
dostupne sustave preko mreže

Propagacija crva mrežom

6
 Trojanski konj (Trojan horse)
• Trojanski konj je program ili dio
programskog koda skriven unutar nekog
programa i obavlja neku prikrivenu funkciju
• Trojanski konj se predstavlja kao legitimni
program (to se najčešće postiže
modifikacijom postojećeg programa ili
jednostavnom zamjenom postojećeg
programa trojanskim konjem)

“Stražnja vrata” (Backdoor)

• “Stražnja vrata” (Backdoor, Trapdoor)
predstavljaju nedokumentiranu mogućnost
pristupa sustavu ugrañenu od strane
dizajnera samog sustava
• To takoñer može biti i program naknadno
izmijenjen tako da nekome
(neovlaštenom) omogući privilegirani
pristup sustavu

7
 “Logička bomba” (Logic bomb)
• “Logička bomba” je maliciozni program ili
dio programa koji se pokreće kada se
zadovolje odreñeni logički uvjeti
• Napadi “logičkom bombom” gotovo uvijek
se izvršavaju “iznutra”, od strane osobe sa
privilegiranim pristupom mreži

Skeniranje portova (Port scanning)

• Skeniranje portova odredišnog računala
provodi se pomoću programa koji
“osluškujući” portove detektiraju koji su od
njih otvoreni, tj. detektiraju servise
pokrenute na odredišnom sustavu u
potrazi za onim procesima koji bi se mogli
iskoristiti za provalu u sustav

8
 Zavaravanje (Spoofing)
• Vrste:
• IP Address Spoofing
• Session highjacking
• Domain name service (DNS) spoofing
• Sequence number spoofing
• Replay attack

IP address spoofing
• Zlonamjernim lažiranjem IP adrese
moguće je zaobići zaštitne mehanizme koji
se temelje na filtriranju prometa prema IP
adresama
• Lažiranjem IP adrese netko iz vanjske
mreže može se predstaviti kao netko iz
unutrašnje mreže sa pravom pristupa

9
 Preuzimanje sesije (Session Highjacking)

• Neovlaštena osoba preuzima nadzor nad

konekcijom izmeñu servera i klijenta
• To se obično postiže ostvarivanjem
pristupa routeru ili nekom drugom
mrežnom ureñaju koji služi kao gateway
izmeñu legalnog korisnika (klijenta) i
servera (pri čemu se koristi lažiranje IP
adresa)

DNS spoofing
• Dvije varijante zlouporabe:
• “Man in the middle” napad (MIM)
• “DNS poisoning” napad

10
 Man in the middle
• Kod MIM napada uljez se postavlja
izmeñu klijenta i servera u mreži i na taj
način presreće povjerljive informacije koje
unosi klijent
• Primjer:

DNS poisoning
• DNS poisoning je drugi tip zlouporabe
DNS-a
• Kod ovog napada uljez kompromitira DNS
server i u tablice DNS servera upisuje
lažne informacije
• Na taj način uljez može preusmjeriti
klijenta na netočnu IP adresu

11
 Sequence number spoofing
• Prilikom svakog prijenosa u TCP/IP mreži koriste
se redni brojevi (sequence numbers)
• Ovi brojevi izračunavaju se iz sistemskog clock-
a prema poznatom algoritmu
• Uljez nadzirući mrežnu konekciju može “uhvatiti”
ove brojeve, predvidjeti sljedeći skup rednih
brojeva i na taj način ubaciti željene informacije
u konekciju
• Najbolji način zaštite je enkripcija konekcije

Replay attack
• Replay attack provodi se na taj način da
uljez hvata i pohranjuje legalni promet
izmeñu dva sustava i kasnije ponavlja
njegov prijenos
• Najbolja obrana je korištenje posebnih
ključeva za svaku sesiju i provjera
vremenske značke paketa

12
 Napadi uskraćivanjem resursa
(Denial of Service)
• Osnovni cilj ove vrste napada jest učiniti
sustav ili mrežu nedostupnim legalnom
korisniku
• Primjeri DoS napada:
• “Ping of death”
• “SYN flooding”
• Spamming
• Smurfing

“Ping of death”
• “Ping of death” napad temelji se na
zlouporabi ICMP kontrolnog protokola
• Napadač može onesposobiti odredišni
sustav šaljući mu velike probne ICMP
pakete, ili sinkroniziranim slanjem velikog
broja ICMP paketa na isto odredište

13
 SYN flooding
• SYN flooding napad zloupotrebljava
mehanizam uspostave TCP konekcije
• Mehanizam uspostave TCP konekcije:

SYN flooding
• SYN flooding napad onesposobljava odredišni
sustav uspostavom velikog broja “poluotvorenih”
konekcija
• Kod poluotvorene konekcije postavljena je
zastavica SYN na koju server mora odgovoriti
SYN-ACK paketom
• Budući da server može primiti ograničeni broj
istovremenih konekcija, legitimnim korisnicima
neće biti moguće spojiti se na server

14
 SYN flooding

SPAM
• Pod pojmom SPAM podrazumijeva se
neželjena elektronička pošta
• Neželjena pošta bespotrebno iskorištava
propusnu moć mreže, te troši procesorske
resurse i prostor za pohranu (u konačnici
može dovesti do preopterećenja i rušenja
sustava)

15
 “Smurf” napad
• Kod “Smurf” napada napadač lažira
izvorišnu adresu i šalje ICMP echo request
paket na broadcast adresu (svim
računalima u mreži)
• Sva računala iz mreže šalju ICMP echo
reply paket na napadnuto računalo i
onesposobljavaju ga

“Smurf” napad

16
 KRIPTOLOGIJA

KRIPTOLOGIJA
• KRIPTOLOGIJA (Cryptology) – znanost o
prikrivanju informacija u porukama. U sebi
uključuje kriptografiju i kriptoanalizu.
• KRIPTOGRAFIJA (Cryptography) – vještina i
znanost zaštićivanja informacija pretvaranjem u
naizgled nesuvisli oblik te ponovni povratak iz
tog oblika u izvornu informaciju. Proizvod
kriptografije je kriptogram
• KRIPTOANALIZA (Cryptoanalysis) – znanost
koja proučava metode otkrivanja izvorne
informacije u kriptogramu bez poznavanja
algoritma ili ključa

17
• OTVORENI TEKST (Plaintext) – izvorna
informacija
• KLJUČ (Key) – kritična informacija
potrebna za šifriranje i dešifriranje
(enkripciju / dekripciju)

Komponente kriptografske
sigurnosti:
• Povjerljivost, sigurnost (confidentiality) –
zaštita vrijednosti informacije
• Integritet (integrity) – štiti točnost
informacije, nije ubačen drugi sadržaj
• Autentikacija (authentication) – osigurava
da informacija potječe od legalnog
korisnika
• Nerepudijacija (nonrepudiation) – zaštita
od odbijanja prijema informacije

18
• Identifikacija korisnika (user identification)
– osigurava identitet korisnika
• Nadzor nad pristupom (access control) –
nadzor nad pristupom zaštićenoj
infrastrukturi i podacima
• Dostupnost (availability) – podatak o
stanju komunikacijske mreže i dostupnosti
korisnika

Uzroci ugrožavanja sigurnosti

informacije
• Različiti oblici ugrožavanja sigurnosti
informacije (procjena FBI-a):
• 55% ljudska pogreška
• 15% “viša sila” (elementarne nepogode, požari…)
• 10% nezadovoljni zaposlenici
• 10% zlonamjerni zaposlenici
• 10% vanjski izvori napada

19
 Tehnike ugrožavanja informacija:
• Prekid (interruption) – ometanje
komunikacijskog kanala, napad na dostupnost
• Presretanje (interception) – pokušaj pristupa
zaštićenim podacima, napad na povjerljivost
• Mijenjanje podataka (modification) – napad na
integritet informacije
• Krivotvorenje informacija (fabrication) – napad
na autentikaciju

Monoabecedna supstitucija
• Cezarovska monoabecedna supstitucija –
svako slovo otvorenog teksta preslikava
se uvijek u isto slovo enkriptiranog teksta
• U ovom slučaju nužno je čuvati tajnost
algoritma
• U praksi je bolje tajnost poruke temeljiti na
tajnosti ključa a ne na tajnosti algoritma

20
 Monoabecedna supstitucija
• Primjer:

A B C Č Ć D ð E F G H I J K L M N O P Q R S Š T U V W X Y Z Ž
W X Y Z Ž A B C Č Ć D ð E F G H I J K L M N O P Q R S Š T U V

Otvoreni tekst: E L E K T R O T E H N I K A
Šifra: C G C F P M J P C D I ð F W

Poliabecedna supstitucija
• Vigenereova tablica
A B C Č Ć D ð E F G H I J K L M N O P Q R S Š T U V W X Y Z Ž
B C Č Ć D ð E F G H I J K L M N O P Q R S Š T U V W X Y Z Ž A
C Č Ć D ð E F G H I J K L M N O P Q R S Š T U V W X Y Z Ž A B
Č Ć D ð E F G H I J K L M N O P Q R S Š T U V W X Y Z Ž A B C
Ć D ð E F G H I J K L M N O P Q R S Š T U V W X Y Z Ž A B C Č
D ð E F G H I J K L M N O P Q R S Š T U V W X Y Z Ž A B C Č Ć
ð E F G H I J K L M N O P Q R S Š T U V W X Y Z Ž A B C Č Ć D
E F G H I J K L M N O P Q R S Š T U V W X Y Z Ž A B C Č Ć D ð
F G H I J K L M N O P Q R S Š T U V W X Y Z Ž A B C Č Ć D ð E
G H I J K L M N O P Q R S Š T U V W X Y Z Ž A B C Č Ć D ð E F
H I J K L M N O P Q R S Š T U V W X Y Z Ž A B C Č Ć D ð E F G
I J K L M N O P Q R S Š T U V W X Y Z Ž A B C Č Ć D ð E F G H
J K L M N O P Q R S Š T U V W X Y Z Ž A B C Č Ć D ð E F G H I
K L M N O P Q R S Š T U V W X Y Z Ž A B C Č Ć D ð E F G H I J
L M N O P Q R S Š T U V W X Y Z Ž A B C Č Ć D ð E F G H I J K
M N O P Q R S Š T U V W X Y Z Ž A B C Č Ć D ð E F G H I J K L
N O P Q R S Š T U V W X Y Z Ž A B C Č Ć D ð E F G H I J K L M
O P Q R S Š T U V W X Y Z Ž A B C Č Ć D ð E F G H I J K L M N
P Q R S Š T U V W X Y Z Ž A B C Č Ć D ð E F G H I J K L M N O
Q R S Š T U V W X Y Z Ž A B C Č Ć D ð E F G H I J K L M N O P
R S Š T U V W X Y Z Ž A B C Č Ć D ð E F G H I J K L M N O P Q
S Š T U V W X Y Z Ž A B C Č Ć D ð E F G H I J K L M N O P Q R
Š T U V W X Y Z Ž A B C Č Ć D ð E F G H I J K L M N O P Q R S
T U V W X Y Z Ž A B C Č Ć D ð E F G H I J K L M N O P Q R S Š
U V W X Y Z Ž A B C Č Ć D ð E F G H I J K L M N O P Q R S Š T
V W X Y Z Ž A B C Č Ć D ð E F G H I J K L M N O P Q R S Š T U
W X Y Z Ž A B C Č Ć D ð E F G H I J K L M N O P Q R S Š T U V
X Y Z Ž A B C Č Ć D ð E F G H I J K L M N O P Q R S Š T U V W
Y Z Ž A B C Č Ć D ð E F G H I J K L M N O P Q R S Š T U V W X
Z Ž A B C Č Ć D ð E F G H I J K L M N O P Q R S Š T U V W X Y
Ž A B C Č Ć D ð E F G H I J K L M N O P Q R S Š T U V W X Y Z

21
• Kod poliabecedne supstitucije ključ odreñuje
kojom abecedom će se šifrirati otvoreni tekst
• Poliabecedna šifra puno je bolja od abecedne i
uvodi važnu novinu – ključ
• Neovlaštena osoba poznaje algoritam šifriranja,
no da bi došao do otvorenog teksta mora otkriti
ključ
• Jakost poliabecedne šifre (otpornost na
kriptoanalizu) raste s dužinom ključa

Primjer:

Otvoreni tekst: E L E K T R O T E H N I K A
Ključ: E T F O S E T F O S E T F O
Šifra: L ð M Ž K X G A U A T Č S O

22
 Tipovi kriptografskih sustava
• Stream-šifre – obrañuju informaciju bit po
bit
• Blok-šifre – rade s blokovima bitova
različitih dužina
• Steganografija – oblik tajnog
komuniciranja koji stavlja naglasak na
prikrivanje postojanja tajne poruke
(umetanje tajnog sadržaja u prikrivne
datoteke, najčešće slikovne ili zvučne)

Stream šifre

23
 Blok šifre

Vrste enkripcije
• Enkripcija – pretvaranje otvorenog teksta
u drugi oblik, pri čemu je osnovna jedinica
obrade bit ili blok bitova, nepoznat onima
kojima nije namijenjen
• SIMETRIČNA ENKRIPCIJA – enkripcija
tajnim (privatnim) ključem
• ASIMETRIČNA ENKRIPCIJA – enkripcija
javnim ključem

24
 Simetrična enkripcija
(enkripcija tajnim ključem)
• Sudionici u komunikaciji koriste jedinstveni tajni ključ i
algoritam šifriranja
• Nedostatak: potrebno je obaviti razmjenu tajnog ključa
preko nesigurne mreže, pri čemu može doći do njegove
kompromitacije

• Prednosti i nedostaci simetrične enkripcije:

• PREDNOSTI: brza, relativno sigurna, razumljiva i
široko prihvaćena
• NEDOSTACI: zahtijeva razmjenu tajnog ključa,
složena za administriranje, ne osigurava
autentikaciju i nerepudijaciju

25
• Najčešće korišteni algoritmi:
• DES (Data Encryption Standard)
– Jedan od najstarijih i najraširenijih algoritama
– Razvijen 1970-tih od strane IBM-a uz potporu NSA
– Izvorno je koristio 56-bitne ključeve
– Široku primjenu našao na bankomatima i POS ureñajima
• IDEA (International Data Encryption Algorithm)
– Nastao u Švicarskoj 1990-tih godina
– Koristi 128-bitne ključeve
• CAST
– Koristi ključeve varijabilne duljine, od 40 do 256 bita
– Brži je od DES algoritma
– Može se koristiti besplatno
• RC2, RC4, RC5 (Rivest Cipher)
– Koristi ključeve varijabilne duljine, najčešće 128 bita
– Koristi se u Internet preglednicima (browserima)

Asimetrična enkripcija
(enkripcija javnim ključem)
• Koncept asimetrične kriptografije uvode
W. Diffie i M. Hellman (Stanford
University) 1976. godine
• Kod simetrične kriptografije koristi se par
ključeva, privatni ili tajni (private key) i
javni ključ (public key)
• Poznavanje javnog ključa ne otkriva
privatni ključ

26
• Poruka enkriptirana javnim ključem može se dekriptirati
jedino tajnim ključem
• Poruka enkriptirana tajnim ključem može se dekriptirati
isključivo odgovarajućim javnim ključem

• Prednosti i nedostaci enkripcije tajnim

ključem:
• PREDNOSTI: ne zahtijeva razmjenu tajnog ključa,
pruža mehanizme autentikacije i nerepudijacije
• NEDOSTACI: sporija i računski zahtjevnija,
zahtijeva certifikat

27
 Kriptosustavi s javnim ključem
• Diffie – Hellman
• RSA (Rivest, Shamir, Adelman)
• DSA (Digital Signature Algorithm)

Distribucija ključeva
• Kod svih kriptografskih sustava postoji problem
kako sigurno i pouzdano distribuirati ključeve
• Postoje tri tehnike distribucije ključeva:
• Fizička isporuka (physical delivery)
• Autentikacijski on-line server ključeva (authentication key
server) koji koristi jedinstveni privatni ključ za svakog
korisnika (npr. Kerberos)
• “Javni bilježnik” (public notary) – off-line server koji koristi
svima dostupan javni ključ, a server potpisuje certifikat
javnog ključa za svakog korisnika

28
 Autentikacijski protokoli
• Pri korištenju server ključeva potrebno je
definirati i protokol izmeñu njih
• Najčešće korišteni protokoli su:
• Challenge – Response: klijent i server koriste tajni
ključ, server šalje klijentu slučajni niz kojeg klijent
enkriptira pomoću tajnog ključa i vraća serveru
(budući da se radi o slučajnom nizu tajni ključ neće
biti kompromitiran)
• Needham – Schroeder: koristi se složeniji
postupak kroz više koraka

Kerberos – primjer key servera

• Kerberos je mrežni autentikacijski protokol
za razmjenu ključeva (trusted key server)
razvijen na MIT-u
• Kerberos koristi centralizirani pouzdani
centar u distribuiranoj mreži – to je
distribucijski centar za ključeve (Key
Distribution Centre, KDC)
• KDC sadrži bazu podataka o korisnicima,
uslugama i enkripcijskim ključevima

29
Kerberos razmjena ključeva – korak 1

Kerberos razmjena ključeva – korak 2

30
Kerberos razmjena ključeva – korak 3

Kerberos razmjena ključeva – korak 4

31
Kerberos razmjena ključeva – korak 5

Kerberos razmjena ključeva – korak 6

32
 Vatrozidi (Firewalls)

Vatrozidi (Firewalls)
• Vatrozid (Firewall) predstavlja jedan od
najvažnijih sigurnosnih mehanizama koji
se koristi na računalima povezanim u
mrežu
• To je sigurnosni sustav koji omogućava
protok podataka od zaštićenog računala
(mreže) ili prema njemu, a istovremeno
onemogućava neovlašteno pristupanje
računalu ili mreži

33
• Vatrozid prema zadanim kriterijima i
pravilima provjerava sve mrežne pakete
koji pristižu na računalo ili mrežu
• Pri tome, ovisno o postavljenim pravilima,
on pojedine pakete propušta ili blokira
• Vatrozid je moguće postaviti na svako
računalo unutar mreže, kao i izmeñu
lokalne mreže i Interneta

Postavljanje vatrozida

34
 Konfiguracije vatrozida
• Postoji više različitih načina
implementacije vatrozida u mreži
• Najčešće korištene konfiguracije su:
• Screening router
• Bastion host
• Dual-homed host
• Screened host
• Screened subnet

Screening router

• “Screening router” jedna je od najjednostavnijih konfiguracija vatrozida

• Router analizira dolazni i odlazni promet, te na temelju postavljenih pravila
pojedine pakete propušta a pojedine odbacuje

35
 Bastion host

• “Bastion host” predstavlja nešto veći stupanj zaštite od “Screening router”

konfiguracije
• Korisnici unutarnje mreže mogu pristupiti vanjskoj (nesigurnoj) mreži jedino
preko “Bastion hosta”

Dual-homed host

• “Dual-homed host” konfiguracija slična je “Bastion host” konfiguraciji

• Za razliku od nje, host sada ima dva odvojena mrežna sučelja – prema
unutrašnjoj i prema vanjskoj mreži

36
 Screened host

• “Screened host” konfiguracija predstavlja kombinaciju “Screening router” i

“Bastion host” konfiguracija
• Izmeñu “screening routera” i “bastion hosta” nalazi se “demilitarizirana
zona” (DMZ)

Screened subnet

• “Screened subnet” konfiguracija podiže razinu sigurnosti dodavanjem još

jednog unutrašnjeg “screening routera”
• Unutrašnji i vanjski router komuniciraju preko “bastion hosta”, nikad izravno

37
 SUSTAVI ZA OTKRIVANJE
NEOVLAŠTENIH UPADA
(Intrusion Detection Systems, IDS)

• IDS sustav – softverski ili hardverski sustav koji

automatizira postupak nadzora nad dogañajima
u računalnom sustavu ili mreži, analizirajući ih u
potrazi za naznakama sigurnosnih problema
• Pod procesom otkrivanja upada podrazumijeva
se proces nadgledanja dogañaja unutar
računalnog sustava ili mreže i njihova analiza s
ciljem otkrivanja eventualnih znakova
neovlaštenog upada

38
• “Neovlašteni upad” – svi pokušaji koji imaju za
cilj kompromitaciju povjerljivosti, integriteta ili
dostupnosti računala ili mreže, kao i svi pokušaji
zaobilaska sigurnosnih mehanizama
• Neovlaštene upade mogu prouzročiti napadači
sustava “izvana”, kao i autorizirani korisnici
sustava koji pokušavaju ostvariti dodatne
privilegije ili zlouporabiti postojeće

Generički model procesa IDS

sustava
• Funkcioniranje IDS sustava može se
razložiti na tri glavne funkcionalne
komponente:
• Prikupljanje informacija
• Analiza informacija – dva najčešća pristupa su
detekcija zlouporabe (misuse detection) i detekcija
anomalija (anomaly detection)
• Reakcija (odgovor) – uključuje aktivne i pasivne
mjere

39
 IDS sustavi prema kontrolnoj
strategiji
• Centralizirani IDS sustav
• Upravljanje funkcijama nadzora, detekcije i
izvještavanja obavlja se sa jedne središnje lokacije
• Djelomično distribuirani IDS sustav
• Funkcijama nadzora i detekcije upravlja se sa
lokalnih upravljačkih čvorova koji su hijerarhijski
povezani sa jednom ili više središnjih lokacija
• Potpuno distribuirani IDS sustav
• Sve odluke vezane za nadzor, detekciju i reakcije
na napade donose se na samom mjestu analize na
lokalnim čvorovima

Centralizirani IDS sustav

40
Djelomično distribuirani IDS sustav

Potpuno distribuirani IDS sustav

41
• Prema vremenu koje protekne izmeñu bilježenja
različitih dogañaja i njihove analize IDS sustave
moguće je podijeliti na:
• Intervalne (Interval-Based IDS, Batch Mode IDS) – tok
informacija od točke nadzora do mjesta njihove analize nije
kontinuiran (informacije se prikupljaju i pohranjuju, pa u
odreñenim vremenskim intervalima šalju na analizu)
• Stvarnovremenske (Real-Time IDS, Continuous IDS) –
postoji kontinuirani (stvarno-vremenski) tok informacija od
mjesta prikupljanja do mjesta analize

IDS sustavi prema izvoru

informacija
• Mrežno-orijentirani IDS sustavi (Network-
Based IDS, NIDS)
• Računalno-orijentirani IDS sustavi (Host-
Based IDS, HIDS)
• Aplikacijski-orijentirani IDS sustavi
(Application-Based IDS, AIDS) – zapravo
predstavljaju podvrstu HIDS sustava

42
 Network-Based IDS, NIDS
• NIDS sustavi detektiraju napade hvatanjem i
analizom mrežnih paketa
• NIDS sustav može činiti i više senzora ili
hostova postavljenih na različite pozicije unutar
mreže
• Ove jedinice imaju zadatak nadzirati mrežni
promet, provoditi lokalnu analizu te slati
izvještaje središnjoj upravljačkoj konzoli
• Sve senzorske jedinice moraju raditi u
prikrivenom (stealth) modu kako bi napadač što
teže otkrio njihovu prisutnost i točnu lokaciju

Prednosti NIDS sustava

• Velika mreža može se nadzirati i štititi sa samo
nekoliko dobro postavljenih NIDS sustava
• Postavljanje NIDS sustava ima vrlo mali utjecaj
na postojeću mrežu (budući da su to uglavnom
pasivni ureñaji koji “osluškuju” mrežni promet
bez ikakvih utjecaja i smetnji za normalan rad
mreže)
• Moguće je implementirati NIDS sustave koji će
postizati vrlo visoku razinu zaštite od napada, a
istovremeno biti vrlo dobro prikriveni i teško
vidljivi napadaču

43
 Nedostaci NIDS sustava
• U velikim mrežama i mrežama sa velikom količinom
prometa NIDS sustav može imati poteškoća prilikom
procesiranja svih paketa
• Nisu pogodni za mreže sa puno malih segmenata jer se
time umanjuje njihova mogućnost istovremene zaštite
velikog broja računala
• NIDS sustavi ne mogu analizirati enkriptirane informacije
• Većina NIDS sustava mogu samo detektirati pokušaj
napada, no ne i odrediti uspješnost napada
• Neki NIDS sustavi imaju problema prilikom napada koji
uključuju fragmentirane pakete

Host-Based IDS, HIDS

• HIDS sustavi prikupljaju podatke sa
pojedinačnih računala, što im omogućava
veću preciznost i pouzdanost prilikom
analize podataka
• HIDS sustav je u stanju točno odrediti koji
procesi i koji korisnici sudjeluju u
pojedinom napadu na računalo
• HIDS sustav (za razliku od NIDS-a) može
vidjeti i posljedice pokušanog napada

44
 Prednosti HIDS sustava
• HIDS sustavi u stanju su detektirati neke
pokušaje napada koji su nevidljivi NIDS sustavu
• HIDS sustavi uglavnom mogu funkcionirati u
mrežama u kojima je promet enkriptiran
• Na HIDS sustave ne utječe podjela mreže na
manje segmente
• HIDS sustavi prateći sistemske zapise (audit trail
i system log) može pomoći pri detekciji napada
malicioznim programima koji narušavaju
integritet softvera

Nedostaci HIDS sustava

• HIDS sustavima teže je upravljati i kontrolirati njihov rad,
budući da je potrebno konfigurirati i upravljati nadzor
svakog pojedinačnog računala
• Postoji opasnost da se prilikom napada napadne i
onesposobi i sam HIDS sustav
• HIDS sustavi nisu pogodni za detekciju pokušaja
skeniranja cijele mreže
• HIDS sustavi mogu biti onemogućeni pomoću nekih
tipova napada uskraćivanjem resursa (Denial-of-Service)
• HIDS sustavi mogu degradirati performanse računala
kojeg nadziru budući da koriste njegove resurse

45
 Application-Based IDS, AIDS
• AIDS sustavi predstavljaju podvrstu
računalno-orijentiranih IDS sustava (HIDS)
• AIDS sustavi analiziraju dogañaje unutar
aplikacije – najčešće izvore informacija za
AIDS sustave predstavljaju aplikacijski
dnevnički zapisi (log files)
• AIDS sustavi lako otkrivaju sumnjivo
ponašanje autoriziranih korisnika koji
prekoračuju svoje ovlasti

Prednosti AIDS sustava

• AIDS sustavi mogu nadzirati interakciju
izmeñu korisnika i aplikacije, što im
omogućava praćenje neautoriziranih
aktivnosti pojedinih korisnika
• AIDS sustavi često mogu raditi u
enkriptiranim okruženjima (budući da se
njihova interakcija s aplikacijom odvija u
točki gdje su informacije nekriptirane)

46
 Nedostaci AIDS sustava
• AIDS sustavi mogu biti ranjiviji od HIDS
sustava (budući da dnevnički zapisi
aplikacija nisu tako dobro zaštićeni kao oni
operativnog sustava, koje koristi HIDS)
• AIDS sustavi često nadziru dogañaje na
apstraktnoj korisničkoj razini pa obično
nisu u stanju detektirati neki maliciozni
softver

Analiza informacija kod IDS

sustava
• Kod IDS sustava postoje dva osnovna
pristupa analizi dogañaja s ciljem
otkrivanja napada:
• Detekcija zlouporabe (misuse detection)
• Detekcija anomalija (anomaly detection)

47
 Detekcija zlouporabe (misuse
detection)
• Analizira se aktivnost sustava u potrazi za
dogañajima ili nizovima dogañaja koji
odgovaraju predefiniranom uzorku koji opisuje
poznati napad (“potpis”, signature)
• Ovakvi sustavi pokazuju se vrlo učinkovitim u
otkrivanju napada, pri čemu stvaraju vrlo mali
broj lažnih uzbuna
• Veliki nedostatak: mogu detektirati samo
poznate napade (za koje postoji predefinirani
uzorak dogañaja, “potpis”), pa se stalno moraju
nadograñivati “potpisima” novih napada

Detekcija anomalija (anomaly

detection)
• Sustavi temeljeni na tehnici detekcije
anomalija identificiraju abnormalna i
neobična ponašanja (anomalije) na
računalu ili mreži
• Funkcioniraju na pretpostavci da se
napadi razlikuju od “normalnih”, legitimnih
aktivnosti u sustavu i otkrivaju napade na
temelju identifikacije ovih razlika

48
• Kao referenca za usporedbu služi profil koji
reprezentira normalno ponašanje sustava, a koji
se formira tako što se neko vrijeme prati
ponašanje korisnika, računala ili mreže u
normalnom radu
• Ovakav sustav može otkriti simptome pojedinih
napada bez poznavanja specifičnih detalja o
napadu
• Nedostatak ove tehnike je veći broj lažnih
alarma zbog nepredvidljivog ponašanja korisnika
i mreža

Reakcija IDS sustava

• Nakon što je analizirajući prikupljene
informacije pronašao simptome napada
IDS sustav treba na odgovarajući način
reagirati
• Reakcija IDS sustava može biti aktivna ili
pasivna (ili odreñena kombinacija aktivne i
pasivne reakcije)

49
 Aktivna reakcija IDS sustava
• Aktivna reakcija IDS sustava je zapravo
automatizirana akcija koju IDS sustav poduzima
ukoliko detektira odreñenu vrstu neovlaštenog
upada.
• Postoje tri varijante aktivne reakcije:
• Prikupljanje dodatnih informacija – podizanje razine
osjetljivosti informacijskog izvora
• Promjena okruženja – zaustavljanje tekućeg napada i
blokiranje pristupa napadaču
• Poduzimanje akcije protiv napadača – “protunapad”

Pasivna reakcija IDS sustava

• Pasivna reakcija na napad podrazumijeva
informiranje korisnika o trenutno detektiranom
napadu, pri čemu korisnik donosi odluku o
daljnjim radnjama
• Izvještaj koji se formira prilikom detekcije
napada obično sadrži: datum i točno vrijeme
detekcije napada, IP adresu senzora koji je
otkrio napad, naziv i opis napada, IP adresu (i
port) s koje je pokrenut napad, IP adresu (i port)
koja je cilj napada, korišteni mrežni protokol i sl.

50
 Pozicioniranje IDS sustava
• Iznimno je važno pravilno implementirati
IDS sustave u mrežu, što podrazumijeva i
njihovo pravilno pozicioniranje
• Samo pravilno podešeni i ispravno
pozicionirani IDS sustavi mogu postići
svoju svrhu – zaštititi računalne sustave u
lokalnoj mreži od napada izvana
• Za potpunu zaštitu potrebno je kombinirati
NIDS i HIDS sustave

Pozicioniranje NIDS sustava

51
• Lokacija 1: NIDS sustav postavljen iza eksternog
vatrozida (vatrozida koji razdvaja lokalnu mrežu
od ostatka Interneta)
• Lokacija 2: NIDS sustav postavljen ispred
eksternog vatrozida
• Lokacija 3: NIDS sustav postavljen na jezgrene
dijelove lokalne mreže (backbones)
• Lokacija 4: NIDS sustav postavljen na kritične
podmreže (subnets)

Pozicioniranje HIDS sustava

• U idealnom slučaju trebalo bi postaviti HIDS
sustav na svako računalo (host) unutar lokalne
mreže, što bi bilo prilično skupo rješenje koje bi
zahtijevalo i puno vremena za instalaciju,
konfiguraciju i održavanje
• Zato se HIDS sustavi najprije instaliraju na
najkritičnija računala (u većini slučajeva su to
poslužiteljska računala – serveri)
• Ukoliko se HIDS sustavi instaliraju na više
računala unutar mreže, poželjno je sustav
projektirati na takav način da se formira
središnje upravljačko mjesto

52
 Ostali sigurnosni alati
• Osim vatrozida i IDS sustava postoji još cijeli niz
njima komplementarnih alata koji ih
nadopunjavaju u zadaćama prevencije i
otkrivanja neovlaštenih upada
• Moguće ih je razvrstati u četiri podgrupe:
• Sustavi za analizu ranjivosti (Vulnerability Analysis Systems)
• Alati za provjeru integriteta datoteka (File Integrity Checkers)
• “Honey Pot” alati
• “Padded Cell” alati

STATISTIČKA ANALIZA
SIGURNOSNIH PROBLEMA

53
 Izvor statističkih podataka
• Prikazani statistički podaci o sigurnosti
računalnih mreža i napadima na njih prikupljeni
su u razdoblju od 2004. do 2007. godine
• Prikupio ih je “Verizon Business’s RISK Team”
• Podaci su prikupljeni analizom više od 500
stvarnih sigurnosnih incidenata
• Podaci su objavljeni u studiji pod nazivom “2008
Data Breach Investigations Report”
(www.verizonbusiness.com)

Tko stoji iza upada?

• 73% upada dolazi izvan napadnutog
sustava
• 18% upada dolazi “iznutra”
• 39% upada uzrokuju poslovni partneri
• 30% upada uključuje više stranaka

54
 Kako dolazi do zlouporabe
podataka?
• 62% uzrokovano je značajnim
pogreškama
• 59% rezultat je “hakiranja” i neovlaštenih
upada
• 31% uključuje maliciozni programski kod
• 22% zloupotrebljava postojeću ranjivost
sustava
• 15% uzrokovano je fizičkom prijetnjom

Struktura napadnutih tvrtki

55
Broj zaposlenih u napadnutim
tvrtkama

Izvori napada

56
 Porast broja napada od strane
partnera

Količina kompromitiranih podataka

57
 Procjena rizika

Izvori eksternih napada

(prema IP adresi napadača)

58
 Izvori internih napada

Napadi od strane partnera

59
 Kategorizacija prijetnji

Napadi prema kompleksnosti

60
 Ciljani i oportunistički napadi
• Različite vrste napada mogu se klasificirati
u dvije skupine:
– Ciljani napadi (Targeted attacks)
– Oportunistički napadi (Opportunistic attacks)
• Kod ciljanih napada napadač najprije
izabire cilj (žrtvu), a potom traži
mogućnost realizacije napada

Oportunistički napadi
• Oportunistički napadi mogu se razvrstati u
dvije kategorije:
– Slučajni (random): napadač identificira žrtvu
slučajnim izborom nakon provedenog
testiranja ranjivosti širih razmjera (npr.
skeniranja odreñenog dijela adresnog
prostora)
– Usmjereni (directed): napadač bira žrtvu
unaprijed poznatu po odreñenim sigurnosnim
ranjivostima koje se mogu zlorabiti

61
Odnos ciljanih i oportunističkih
napada

Način realizacije napada

62
Kompromitirani podaci i sredstva

Tipovi kompromitiranih podataka

63
 Zastupljenost metoda otkrivanja
napada

Zaključci i preporuke
• Uspostaviti sigurnosnu politiku unutar tvrtke i strogo je se pridržavati
u svim procesima i aktivnostima
• Sigurnosne mjere primjenjivati ravnomjerno kroz sve segmente
(besmisleno je postaviti visoke sigurnosne standarde u jednom
području, a slabe ili nikakve u drugom)
• Primijeniti odgovarajuće sigurnosne mjere u komunikaciji sa
poslovnim partnerima
• Izraditi plan čuvanja podataka
• Kreirati i analizirati dnevničke zapise o dogañajima u sustavu (data
logging)
• Informirati i educirati zaposlenike o problematici sigurnosti
• Implementirati adekvatna sigurnosna rješenja, te voditi računa o
njihovom održavanju i ažuriranju

64
 Kako ljudski mozak percipira
problematiku sigurnosti?

1) Koju biste opciju mogućeg dobitka radije

izabrali:
a) siguran dobitak od 5000 kuna
b) mogući dobitak od 10000 kuna ili ništa
(odlučuje se bacanjem novčića)

65
2) Koju biste opciju mogućeg gubitka radije
izabrali:
a) siguran gubitak od 5000 kuna
b) mogući gubitak od 10000 kuna ili ništa
(odlučuje se bacanjem novčića)

Rezultat istraživanja
• Istraživanje je pokazalo da će većina ljudi
(75%) za prvo pitanje (mogući dobitak)
izabrati opciju A (sigurni dobitak)!
• Takoñer, većina ljudi (75%) u drugom
pitanju (mogući gubitak) bira bacanje
novčića (opcija B)!

66
• Istraživanja su pokazala da je čovjek u slučaju
mogućeg dobitka spreman manje riskirati nego u
slučaju mogućeg gubitka
• Iz perspektive evolucije, rezultat ovog
istraživanja takoñer ima smisla...
• ...meñutim, ovakav rezultat ne ide “na ruku”
prodaji i implementaciji sigurnosnih rješenja
• čovjek kao biće sklon je riziku i teško je postići
dovoljnu razinu motivacije i svijesti o nužnosti
implementacije potrebnih sigurnosnih mjera

RJEŠENJE:
- puno učinkovitije i jednostavnije je uključiti
(integrirati) sigurnosne mehanizme unutar
općenitijeg proizvoda ili usluge, nego ih
prodavati i implementirati zasebno, kao odvojeni
proizvod
- npr. automobil se isporučuje sa tvornički
ugrañenim mehanizmima sigurnosti (ne prodaju
se zasebno!)
- sličnom konceptu teži se i u području računala i
računalnih mreža

67