MREŽNA SIGURNOST UVOD. Prof. dr. Nermin Suljanović FAKULTET ELEKTROTEHNIKE UNIVERZITETA U TUZLI

Величина: px
Почињати приказ од странице:

Download "MREŽNA SIGURNOST UVOD. Prof. dr. Nermin Suljanović FAKULTET ELEKTROTEHNIKE UNIVERZITETA U TUZLI"

Транскрипт

1 MREŽNA SIGURNOST UVOD Prof. dr. Nermin Suljanović Disclaimer: The European Commission support for the production of this website does not constitute an endorsement of the contents which reflects the views only of the authors, and the Commission cannot be held responsible for any use which may be made of the information contained therein.

2 Nastavnici Dr. sc. Nermin Suljanović, redovni profesor Dr. sc. Aljo Mujčić, redovni profesor Dr. sc. Alma Šećerbegović, docent

3 Ocjenjivanje Predispitne aktivnosti: 50 bodova Test: 50 bodova Završni ispit: Projekat: 50 bodova Predavanje: 3 časa

4 Cilj današnjeg predavanja Razumjeti sigurnosne zahtjeve za povjerljivost, integritet i raspoložljivost informacija. Opisati sigurnosne prijetnje i napade i pokazati neke primjere prijetnji i napada. Definirati funkcionalne zahtjeve za sigurnost računarskih sistema. Upoznati se sa mrežnom analizom i alatom za prikupljanje prometa.

5 Zahtjevi za sigurnost Zašto je odjednom računarska sigurnost tako bitna? Do sada je to u kompanijama bila samo odgovornost IT službi i smatralo se sigurnim sve dok su instalirani odgovarajući firewall-i, antivirusni programi i alati za šifrovanje. Razlog je činjenica da živimo u tehnološki naprednom svijetu. Npr. danas su realnost aplikacije i poslovanje u oblaku. Šira upotreba ovakve tehnologije je dovela do porasta cyber kriminala.

6 Primjeri šteta za kompanije Facebook, the social media giant had over 540 million user records exposed on Amazon s cloud computing service. First American Corporation, had 885 million records exposed in a data breach that included bank account info, social security numbers, wire transactions, and mortgage paperwork. Equifax, the global credit ratings agency who experienced a data breach that affected a staggering 147 Million customers. The costs of recovering from the hack were recently estimated at $439 Million. The UK National Health Service (NHS), which was temporarily brought to its knees with a relatively rudimentary ransomware attack, resulting in cancelled operations and considerable clean-up costs. This specific attack became particularly embarrassing for the UK government, when it emerged that basic IT security could have prevented it. Yahoo, the web giant that suffered a breach affecting every one of its three Billion customer accounts. Direct costs of the hack ran to around $350 Million, and while it s harder to quantify reputational damage, it s probably fair to say that Yahoo is not the first port of call for consumers seeking a safe and secure place to host an account! Izvor:

7 Cyber security danas To više nije standardan problem, i prijetnje koje su se jednostavno rješavale su postale kompleksni zadaci. Za napade se koriste najnovije tehnologije i sofisticirani algoritmi. Varijabilna priroda napada i potrebne su veće količine informacije za dokumnetiranje napada, koje nije moguće obraditi u kratkom vremenskom interval.

8 Cyber security danas Sve više su u primjeni algoritmi za cyber sigurnost koji koriste vještačku inteligenciju (AI). Automatizacija u cyber sigurnosti se već godinama koristi, ali zbog povećanog broja napada ovi sistemi postaju preopterećeni. AI je kvalitetna tehnologija koja omogućava kompanijama da identificiraju najozbiljnije prijetnje, uz povećanje procenta uspješne detekcije i skraćenja vremena odziva. 48% kompanija planira povećati budžet za AI za cyber sigurnost za 29% u 2020 (izvor:

9 Cyber security danas Povećava se raznolikost aplikacija. Aplikacije se izvršavaju na različitim platformama (mobiteli, tableti, web server, aplikacijski server, PC, ). U kompanijama se obično najviše pažnje polaže mrežnoj sigurnosti (mrežni sloj i krajnje tačke mreže), dok aplikacijski sloj postaje najranjiviji.

10 Cyber security danas Loše napisane aplikacije Loš kod neće više utjecati samo na sebe, već može postati i izvor sigurnosnih prijetnji (komponente sa kojima komunicira su takođe ugrožene). Greške u aplikaciji ( Bugs ) Zbog ograničenja prilikom razvoja aplikacija, naslijeđenog koda ili nerazumijevanja grešaka koje napadač može iskoristiti. Veliki broj informacija curi zbog nevinih grešaka.

11 Šta mrežna sigurnost uključuje? Sve mjere implementirane hardverski i softverski, kao i ljudske resurse, dokumentaciju i procese unutar mrežne infrastructure koji će zajedno zaštiti integritet i privatnost aplikacija, podataka i toka informacija.

12 Glavni koraci u dizajnu sigurnosti mreže Sigurnosni zahtjevi REVIZIJA SIGURNOSTI FORMULACIJA SIGURNOSNE POLITIKE DIZAJN & IMPLEMENTACIJA UPRAVLJANJE & MONITORING

13 Principi Potrebe za mrežnom sigurnošću se definiraju na početku dizajna mreže i ažuriraju tokom životnog ciklusa mreže. Primjena politike i procedura mrežne sigurnosti definira se na nivou kompanije u skladu sa potrebama. Implementacija mrežne sigurnosti ne smije preopteretiti korisnike te značajno utjecati na performance mreže i sistema. Rješenja mrežne sigurnosti ne smije biti konačno rješenje za budućnost, jer se tehnologija brzo mijenja kao i obim mogućih prijetnji i ranjivosti.

14 Mrežna sigurnosna politika Prvi korak u dizajnu sistema. Skup pravila i odluka čija kombinacija određuje stav kompanije prema mrežnoj sigurnosti. Definira granice prihvatljivog ponašanja i određuje odgovore na odstupanja u odnosu na prihvatljivo ponašanje. Određuje se prije izbora tehnologije. Uzima u obzir računarske i mrežne resurse.

15 Konačni cilj Osigurati da zaštićene aplikacije i informacije koje ove aplikacijekoriste kao ulaz ili generiraju kao izlaz ne budu kompromitirane usljed namjernih ili slučajnih proboja sigurnosti.

16 Funkcionalni elementi mrežne sigurnosti Povjerljivost Autentifikacija Autorizacija Integritet poruka Neosporavanje

17 Povjerljivost Privatnost Poruka treba biti vidljiva samo osobi kojoj je namijenjena. Za ovu svrhu se koristi šifriranje (eknripcija).

18 Autentifikacija Osigurava integritet identiteta korisnika kroz identifikaciju legitimnih i nelegitimnih korisnika. Legitimnim korisnicima je dozvoljeno da nastave da koriste resurse do nekog nivoa, što je određeno drugim aspektima sigurnosne kontrole.

19 Autorizacija Upravljanje pristupom mreži ili resursima sistema tako da samo autentificirani korisnici koji imaju specifičnu autorizaciju mogu pristupiti mrežnim resursima. Selektivni pristup za ograničenu grupu već autentificiranih korisnika određenim resursima.

20 Integritet poruka Sadržaj poruke se ne smije promijeniti na putu od pošiljaoca do primaoca, u ondosu na izvorni sadržaj poruke.

21 Neosporavanje Eng. Non-repudiation Garancija da je naznačeni pošiljalac stvarni pošiljalac poruke i da pošiljalac ne može naknadno osporavati slanje poruke.

22 Mrežna sigurnost i OSI model Analiza kojim slojevima OSI modela pripadaju pojedini elementi mrežne sigurnosti. Koji sloj implementira pojedine funkcionalnosti. Npr. SSL je session-oriented tehnologija i implementira se na aplikacijskom nivou.

23 APLIKACIJSKI SESIJA PREZENTACIJA TRANSPORTNI MREŽNI SLOJ VEZE FUNKCIONALNA SIGURNOST: Autorizacija Autentifikacija Povjerljivost Integritet poruka Neosporavanje LOGIČKA SIGURNOST TIPIČNA SIGURNOST KOJU PRUŽAJU KORISNICI I PROIZVOĐAČI. TIPIČNA SIGURNOST U PRENOSNOJ JEZGRENOJ MREŽI KOJU OSIGURAVAJU TELEKOM OPERATERI. FIZIČKI FIZIČKA SIGURNOST

24 Kategorizacija tehnologija za mrežnu sigurnost Izabrati tehnologije koje zadovoljavaju specifične sigurnosne zahtjeve. BAZNE TEHNOLOGIJE POBOLJŠANE TEHNOLOGIJE INTEGRIRANE TEHNOLOGIJE SIGURNOSNE ARHITEKTURE

25 Bazne tehnologije Jednostavne tehnologije dizajnirane da implementiraju jedan funkcionalni element. Primjer su šifrovanje (enkripcija), virtualne privatne mreže (VPN) i virtuelna komutacijska kola (switched virtual circuits). ESP (Encapsulation Security Payload) se smatra baznom autentifikacijskom tehnologijom ali ujednos osigurava i povjerljivost.

26 Poboljšane tehnologije Eng. Enhanced technologies Implementiraju jedan funkcionalni element, ali su često složenije i teže za upotrebu u odnosu na bazne tehnologije. Primjer je digitalni potpis za implementaciju neospornosti izvora poruke, koji se implementira nad hash algoritmom a koji je bazna tehnologija za implementaciju povjerljivosti.

27 Integrirane tehnologije Definiraju se pomoću više baznih tehnologija i implementiraju više od jednog funkcionalnog elementa. Primjer su SSL i IPsec.

28 Sigurnosne arhitekture Definiraju se na osnovu osnovnih, poboljšanih i integriranih tehnologija. Jedna arhitektura tipično implementira brojne funkcionalne elemente mrežne sigurnosti. Primjer je infrastruktura javnog ključa (PKI Public Key Infrastructure).

29 Bazne tehnologije za integritet poruka Zadatak ovih tehnologija je da osiguraju da primljena poruka nije promijenjena na svom putu u odnosu na poslatu. Osiguranje integriteta poruka se često naziva i autentifikacija poruka. Jedan pristup je da se javni (Internet) linkovi ponašaju kao privatni. Jedna tehnologija je VPN (Virtual Private Network) na drugom OSI sloju,

30 VPN-sloj 2 Bazira se na MPLS (Multi-protocol label switching) i Ethernet VLAN. Protokoli za tuneliranje (Tunneling protocols) koji uključuju protokole zasnovane na Point-to-Point (PPP) protokolu. Autentifikacijski protokoli. Ove navedene tehnologije osiguravaju samo razdvajanje prometa bez dodatnih sigurnosnih sposobnosti.

31 VPN tehnologija Prenosi podatke kroz tunele koji se uspostavljaju između dva kraja prenosne mreže. Dvije tehnike: Enkapsulacija i kriptografija. Primjer kriptografije je VPN koji koristi IPsec. VPN koji koristi kriptografiju se implementira na višim slojevima OSI modela. Enkapsulacijske tehnologije se tipično grade nad transportnim mrežama koji odgovoraju sloju 2.

32 Enkapsulacija Prednost da tunel može prenositi protokole koji ne podržavaju IP. VPN software šifrira (zaključa) podatke koje šalje u tunel i dešifrira otključa podatke na izlazu tunela. Napravi se novi paket, čiji je payload paket koji se prenosi. Novi paket sadrži: Informacija o tunelu (adresa destinacije); Podaci o šifriranju Izvorni paket (koji se prenosi). Zaglavlje novog paketa su metapodaci koje koristi VPN software.

33 Enkapsulacija Tunelske informacije ZAGLAVLJE ENKRIPCIJA ZAGLAVLJE ZAGLAVLJE PODACI Ide u payload novog paketa! PODACI

34 Virtualni LAN (VLAN) VLAN je grupa čvorova u mreži čiji je promet, uključujući i broadcast, izoliran od ostalih čvorova u mreži. Ovo znači da prenos okvira na osnovu MAC adrese između različitih virtualnih mreža nije moguć, bez obzira da li se radi o unicast ili broadcast adresi. S druge strane, prenos paketa se zasniva na istoj komutacijskoj tehnologiji.

35 Virtualni LAN (VLAN) Kod formiranja VLANova na bazi jednog switch-a, koristi se mehanizam grupiranja portova. Svaki port se dodjeljuje specifičnom VLAN-u. Npr. svaki okviru koji dolazi u okviru VLAN1, ne prosljeđuje se na port koji ne pripada ovaj virtualnoj mreži. Moguće je jedan port povezati sa više virtualnih mreža, ali je to rijedak slučaj jer se onda ne postiže izolacija mreža.

36 VLAN/grupiranje portova VLAN2 VLAN3 VLAN1

37 VLAN U primjeru da se VLAN formira sa više switcheva, tada se poseban par portova na switchevima moraju označiti za interkonekciju. Kada se prosljeđuju paketi izmeđi switcheva, pomoćno polje u okviru sadrži oznaku VLAN-a. Kada se okvir prosljeđuje krajnjem čvoru, to se polje briše. Standard IEEE 802.1Q za ovo osigurava 4 bajta. 4 prva bajta u polju Tag Protocol Identifier (TPID) su 0x8100 što znači da je tagirani Ethernet okvir.

38 VLAN U polju Tag Control Information (TCI), 12 bita je ostavljeno za pohranjivanje VLAN identifikatora. DA SA TPID TCI Type/Len gth Data FCS 3 bita 1 bit 12 bita User Priority CFI VLAN ID Za Eth uvijek virtualnih mreža 38

39 Šta je mrežna analiza? Proces prikupljanja mrežnog prometa i njegova detaljna analiza u cilju određivanja dešavanja u mreži. Mrežni analizator dekodira pakete podataka poznatih protokola i prikazuje i u razumljivom formatu. Packet Sniffer je program koji nadzire podatke koji putuju mrežom. Neautorizirani snifferi su opasni po mrežu, jer ih je moguće instalirati bilo gdje i veoma teško otkriti!!!!!!

40 Princip rada sniffera Prikupljanje podataka. Prikupljaju se izvorni binarni podaci sa mrežnog interfacea. Sluša ukapn promet na mreži, a ne samo onaj njemu namijenjen. Konverzija podataka. Binarne podatke prevode u čitljivu formu. Analiza. Verificiraju se protokoli na osnovu izdvojenih podataka i vrši analiza prometa.

41 Osluškivanje u LAN-u Mreža realizirana pomoću switch-a. Ako je sniffer priključen na jedan port u switchu, tada vidi samo broadcast promet i vlastiti promet. U ovom slučaju, promet je moguće osluškivati na jedan od sljedeći načina: Port mirroring, Hubbing out, Korištenje mrežnog tap-a, ARP cache poisoning.

42 Osluškivanje u LAN-u Port mirroring. Potreban je pristup interfaceu switcha, preko komandne linije ili browsera. Switch se forsira da kopira sav promet sa jednog porta na drugi (switch ovo mora podržavati). Hubbing out. Povezivanje više mrežnih interface-a na hub a potom hub na jedan port na switchu.

43 Osluškivanje u LAN-u Korištenje mrežnog tap-a. Potrebna je posebna naprava koja omogućava da treća strana prati promet između dva korisnika. ARP cache poissoning (ARP spoofing). Šalju se ARP poruke switchu ili ruteru sa lažnom MAC adresom da bi se preusmjerio promet nekog drugog računara. Slanje lažne ARP poruke Potreban je poseban alat (npr. ettercap)

44 Wireshark Packet-sniffing aplikacija Veliki broj podržanih protokola ( Grafički interface jednostavan za upotrebu. Open-source alat. Windows, Linux, MAC OS

45 Kako uhvatiti pakete? U glavnom padajućem meniju izaberite Capture a potom Interfaces. Prikazaće se postojeći mrežni interfacei sa pripadajućim IP adresama. Izaberite interface i pritisnite Start. Tipa Stop znači prekid snimanja paketa.

46 Izbor interface-a

47 Prikupljeni promet

48 Protokoli po bojama Svaki paket se prikazuje u drugoj boji, zavisno od protokola. View -> Coloring Rules Za svaki protokol se postavlja boja pozadine i boja teksta. Prikupljeni paketi se mogu snimiti za kasniju analizu: File -> Export

49 Izdvajanje paketa po kriteriju Otvaramo Find Packet dialog (Ctrl+F).

50 Izdvajanje paketa po kriteriju Otvaramo Find Packet dialog (Ctrl+F). Display filter. Unosimo izraz koji će filtrirati pakete po nekom kriteriju. HEX value. Traženje paketa sa specificiranim heksadecimalnim brojem. String. Izdvajanje paketa koji sadrže navedeni tekst.

51 Display filters Za prikaz samo onih podataka koji odgovaraju datom filteru. Unosimo izraz u polje.!arp će iz prikaza izbaciti sve ARP pakete. ip.addr== izdvojićemo sve pakete koji sadrže ovu IP adresu Expression dialog omogućava jednostavno kreiranje izraza za filtriranje.

52 Operatori u Display filterima Operator Opis = = jednako!= nije jednako > veće od < manje od >= veće ili jednako <= manje ili jednako and oba uslova ispunjena or jedan od uslova ispunjen xor ili jedan ili drugi not negacija

53 Primjeri izraza Filter!tcp.port==3389 tcp.flags.syn==1 tcp.flags.rst==1 http tcp.port==23 tcp.port 21 smtp pop imap Značenje Izbriši TCP promet. SYN TCP paketi TCP paket sa RST zastavicom Izdvoji HTTP promet Prikaži nekriptovani TELENT ili FTP promet Prikaže nekriptovane poruke navedenih protokola

54 Follow TCP stream Npr. isfiltriramo HTTP promet, izaberemo jedan paket i poslije desnog klika miša izaberemo Follow TCP Stream. Crvena boja označava promet od izvora prema destinaciji. Plava boja označava promet u drugom smjeru.

55 Follow TCP stream Sada izdvojimo TCP promet i možemo uočiti trostepeno usaglašavanje na TCP-u.

56 Protocol Hierarchy Statistics Kada se radi sa velikim capture datotekama, nekada je potrebno odrediti raspodjelu po protokolima. Koliko je udio npr. DHCP, ARP, IP, TCP; UDP... Npr. pratite promet i znate da je oko 10% udjela ARPa. U slučaju da taj udio postane 50%, znate da nešto nije u redu. Izaberemo Statistics => Protocol Hierarchy Uzimaju se protokoli sa različitih nivoa. To je blic prikaz aktivnosti na mreži.

57 Protocol Hierarchy Statistics

58 Name resolution Konverzija numeričkih adresa u razumljivo ime domene (koja odgovara mrežnom sloju). Capture => Options => Name resolution Izabrani mrežni interface Na kojem sloju se radi prevođenje adresa u imena domene

59 Packet length Veći paketi indiciraju prijenos podataka, a manji su kontrolne sekvence protokola. Eth zaglavlje je 14 bajta, IP zaglavlje je minimalno 14 bajta a TCP paket bez podataka je 20 bajta. SYN, ACK, RST i FIN paketi su u prosjeku oko 54 bajta. Prenos podataka

60 Grafici Iscrtavanje throughputa u mreži za izabrani protokol. Statistics => IO Graphs Moguće je definirati do pet jedinstvenih filtera i iscrtati grafike u različitim bojama. Poređenje istovremenih tokova. Ako se throughput za protokole zanačajno razlikuje, koristiti logaritamsku skalu na osi.

61 Grafici Iscrtavanje throughputa u mreži za izabrani protokol. Statistics => IO Graphs

62 Analiza RTT Round Trip Time Odgovara vremenu potrebnom da paket stigne na odredište i da se primi potvrda (ACK) za dati paket. Korisno za određivanje uskih grla u komunikaciji i trajanja kašnjenja. Statistics => TCP Stream Graph => Round Trip Time Graph

63 Analiza RTT

64 Flow Graph Služi za vizualizaciju konekcija i prikaz toka podataka u toku vremena. Statistics => Flow Graph

65 Flow Graph

66 Literatura W. Stallings. Network Security Essentials: Applications and Standards, 5 th Ed., 2014.

67 If you have to thank people for their attention, you probably didn t really deserve it anyway. (Ruben Verborgh)