sigurnost iso-osi

8/8/2019 Sigurnost ISO-OSI

1/55

...................

...::: phearless zine #2 :::...

.....>---[ Security from iso/osi reference model perspective ]------[ by root9 ]---


2/55

--Napad iskoristavanjem preklapanja fragmenata--Ometanje i onemogucavanje rada racunala---"Syn flood" napad---"Land" metoda napada---"Rose Attack" metoda---Preplavljivanje UDP paketima---Napad desinkronizacijom TCP veze

---Uspostavljanje i odrzavanje veze TCP-om---Desinkronizirano stanje veze----Izvodenje napada desinkronizacijom veze-Zastita podataka na razini transporta--Koristenje vatrozida--Zastita od napada iskoristavanjem fragmentacije--Samozastita racunala na razini transporta

5. sloj - Sigurnost veze izmedu procesa Sloj-sesije u ISO/OSI referentnom modelu-Sigurnosne prijetnje na razini sesije--RPC prijetnje

-Zastita podataka na razini sesije--Koristenje SSL i TLS protokola---Secure Sockets Layer protokol---Transport Layer Security protokol--Koristenje protokola sigurne identifikacije---TAG Access Control Server protokol---Kerberos

6. sloj - Sigurnost podataka u prijenosnoj sintaksi-Sloj prikaza u ISO/OSI referentnom modelu-Sigurnosne prijetnje na razini prikaza--Napadi slanjem poruka u prijenosnoj sintaksi--Kriptoanaliza

---Nasilno desifriranje podataka (brute force attack)---Lazno predstavljanje (Social engineering)-Zastita podataka na razini prikaza--Koristenje PGP kriptosustava--Temelji PGP sifriranja---Sigurna identifikacija, integritet podataka i neporecivost---Kljucevi, distribucija i certifikati

7. sloj - Sigurnost izvornog podatkovnog sadrzaja-Aplikacijski sloj u ISO/OSI referentnom modelu-Sigurnosne prijetnje na aplikacijskoj razini--Krivotvorenje DNS odgovora--Krivotvorenje tekstualnih poruka--Napad FTP posluzitelja (The bounce attack)--Napadi povezani uz World Wide Web--Presretanje i krivotvorenje SNMP paketa--Dostupnost zaporki--Preotimanje uspostavljene veze--Trojanski konji-Zastita podataka na aplikacijskoj razini--Vanjska kontrola pristupa--Vatrozidi--Mrezni posrednici (proxy)--Sigurnost na krajnjim tockama komunikacije--Koristenje sigurne identifikacije

Uvod


3/55

U ovom tekstu mozete procitati o svi sigurnosnim aspektima vezanih uz mrezu.Prvo sam odlucio da cu opisati sigurnosne propuste za svaki sloj ISO/OSI,a nakon njih zastitu s kojom se smanjuje ili u potpunosti uklanja sigurnosnirizik. Ovaj tekst napisao sam za svoj buduci seminar tako da je tekst napisankoristeci pravilnik o pisanju seminara (prevodjenje svih eng. izraza i sl.).

Globalizacijom Interneta, te stalnim snizenjem cijena racunala, danas racunaladostupnija su nego ikad. Potencijal takve globalne mreze ubrzo je shvacen i uposlovnom svijetu pa je uslijedila nagla komercijalizacija.U takvim okolnostima, sigurnost podataka na Internetu postaje, u bilo kojemkontekstu koristenja te mreze, najvaznijim aspektom uopce. Stete koje mogunastati kao rezultat bilo kakvog ugrozavanja podataka dostupnih na Internetudanas se mjere u milijardama dolara. S velikom se sigurnoscu moze tvrditi dane postoji racunalo s pristupom na Internet koje ne moze biti metom napada izato omogucavanje zadovoljavajuce razine vlastite sigurnosti mora biti imperativsvakog umrezenog objekta, bio to pojedinac ili organizacija.

Najopcenitija definicija racunalske sigurnosti jest ona od Howard te glasi:"Racunalska sigurnost jest sprecavanje napadaca da postigne svoje ciljevekoristeci nedopusteni pristup ili nedopustenom upotrebom racunala iracunalskih mreza."

Iz perspektive Interneta, zadovoljavajuca je definicija sigurnosti sadrzanau slijedecoj recenici: "Sigurnost na Internetu je onemogucavanje napadaca dauzrokuje stetu bilo koje vrste nad podacima dostupnim koristenjem Internetinfrastrukture."Da bi definicija bila potpuno odredena, jos je samo potrebno defmirati i sampojam Interneta. U tu svrhu, Internet se moze defmirati kao:"Globalna racunalska mreza sastavljena od medusobno povezanih elemenata(privatnih, javnih i ostalih mreza i racunala) koji komuniciraju TCP/IP

skupom protokola".

U ovom tekstu nemoguce je prikazati sve moguce aspekte racunalske sigurnostitako da cu objasniti ona najpoznatija. Neki sigurnosni propusti vise nisuaktualni, ali bitno je uhvatiti "bit" racunalne sigurnosti u mrezi.

ISO/OSI model i Internet

Internet arhitektura kakvu danas poznajemo, od samih svojih pocetaka bazira sena TCP/IP modelu protokola, koji predstavlja de facto standard na podrucjuglobalnog i lokalnog umrezavanja.Glavna odlika TCP/IP modela i najveci razlog njegove dominantnosti jestorijentiranost implementaciji pa su napori u razvoju modela usmjereni premasto boljem sudjelovanju sa sto vecim brojem razlicitih fizickih mrezniharhitektura.

Ako bi se za TCP/IP model moglo reci da je nedovoljno promisljen ali potvrden upraksi, za ISO/OSI model vrijedi upravo suprotna tvrdnja. Radi se, naime, omedunarodnom de jure standardu u podrucju umrezavanja koji je, nakon nekolikogodina razvoja, donesen 1978. godine.

Odlika je tog sedmeroslojnog modela definiranje standarda za sve komponentemreznih arhitektura, a ne prilagodavanje postojecim sve raznolikijim rjesenjima.

Na zalost, unatoc svim prednostima ovakvog pristupa, taj model jos nije u vecojmjeri zazivio u implementaciji.


4/55

Sagledavanjem cinjenica iznesenih u prethodnom odjeljku, postavlja se opravdanopitanje koji je razlog istrazivanja sigurnosti na Internetu oslanjajuci se na, upraksi slabo koristen, ISO/OSI model umjesto na Internetu imanentni TCP/IP model.Vec je receno da bi se potonjem mogla prigovoriti nedovoljna promisljenost.Kompenzaciju tog nedostatka pruza upravo dobro definirani ISO/OSI model. Naime,

strogost modularnog dizajna ovog modela pruza mogucnost povlacenja funkcionalneparalele izmedu TCP/IP i ISO/OSI baziranih mreznih arhitektura. Ta je usporedbaprikazana na sljedecoj slici. Korist od ovakvog pristupa istrazivanju Internetsigurnosti ocituje se u laksoj i potpunijoj sistematizaciji sigurnosnih aspekata.Dok se vecina literature koja obraduje ovo podrucje oslanja na manjkav TCP/IP modeli time najcesce ne pruza kompletan pregled svih sigurnosnih elemenata, ovaj ce setekst osloniti na funkcionalnu analogiju dvaju modela, te pruziti pregledsigurnosnih prijetnji i njihovog onemogucavanja u svakom od sedam ISO/OSI slojeva.

Sigurnosni aspekti svakog od slojeva takoder su prikazani na sljedecoj slici.

------------------------------------------------------------------------------- ISO/OSI sloj TCP/IP sloj Sigurnosni aspekt------------------------------------------------------------------------------- 7 Aplikacije Aplikacijski Sigurnost izvornog podatkovnog sadrzaja----------------- protokoli --------------------------------------------- 6 Prikaza (FTP, TELNET, Sigurnost podataka u prenosnoj sintaksi

----------------- SMTP,..) --------------------------------------------- 5 Sesije Sigurnost veze izmedu procesa------------------------------------------------------------------------------- 4 Transporta TCP, UDP Sig. prijenosa izmedu dva krajnja racunala------------------------------------------------------------------------------- 3 Mreze IP Sigurnost paketa u mrezi------------------------------------------------------------------------------- 2 Veze Protokoli Sig. okvira izmedu dva susjedna rac. na vezi----------------- fizickog --------------------------------------------- 1 Fizicki prijenosa Sig. signala na vodu-------------------------------------------------------------------------------

Sigurnosni aspekt jest element mreznog protokola date razine koji je sigurnosnimprijetnjama ugrozen ili ga se zloupotrebljava te zbog toga treba biti zasticen.

Na primjer, na najnizoj,fizickoj razini, napadac prisluskuje ili ometa prijenosnisignal, pa je prema tome sigurnost signala onaj aspekt na kojeg se treba


5/55

koncentrirati pri osiguravanju ove razine. U nastavku teksta, upravo ce sigurnosniaspekt biti glavni kriterij svrstavanja grade u koristeni model sistematizacije.

------------------------------------------------------------------------------------

1. sloj - Sigurnost signala na vodu

Fizicki sloj u ISO/OSI referentnom modelu

Na najnizem, fizickom, sloju ISO/OSI modela nalazi se strojna oprema -spojista,vodici i signali koji njima putuju da bi direktno povezali dvije tocke mreze.Prijenos podataka Internetom danas se najcesce vrsi elektricnim ili svjetlosnimsignalima kroz zicane ili opticke vodove te radio ili mikrovalovima prostorom.Svaki od ovih nacina prijenosa podlozan je opasnim sigurnosnim prijetnjama.

U razvoju TCP/IP modela ovaj je sloj bio nepromjenjiva konstanta - model seoslanjao na fizicki sloj za obavljanje prijenosa ali nije imao ambicije baviti

se njegovom implementacijom ili razvojem. Iz tog razloga sigurnosne prijetnjena ovoj razini nisu osobitost Interneta samog, vec svake mreze koja koristi nekuod nabrojanih tehnologija prijenosa.Iz istog razloga, radovi koji se bave sigurnoscu na Internetu slabo ili nikakone obraduju ovo podrucje cime uskracuju vazan dio znanja o nacinima zastite odnapada na ovoj razini. Ipak, nedavnim saznanjima o projektu Echelon (americkispijunski projekt globalnog prisluskivanja elektronickih komunikacija putem mrezepresretackih stanica i satelita, koristio se upravo presretanjem na fizickojrazini, odnosno prisluskivanjem prijenosnih signala), jace se razvila svijest oozbiljnosti prijetnji koje dolaze s ove razine.

Globalna podjela sigurnosnih prijetnji koja ce biti koristena u ovom tekstu, na

bilo kojoj razini razlikuje dvije vrste napada:- pasivni napadi su napadi koji se bave neovlastenim citanjem podataka- aktivni napadi su napadi koji uzrokuju promjenu ili unistenje podataka

Na fizickoj razini, u pasivne napade se moze uvrstiti bilo koja vrstaprisluskivanja prijenosnih signala dok se aktivnim napadima smatrajuonemogucavanje komunikacije te neovlasteno mijenjanje signala. Svaki ce od ovihnapada, kao i nacini njihovog sprecavanja, biti obradeni u nastavku.

Prisluskivanje

Prisluskivanje na fizickoj razini jest neovlasteno primanje prijenosnog signala.U mnogim je drzavama, pa tako i u nasoj, prisluskivanje stavljeno van zakona.Prema clanku 131. Kaznenog zakona Republike Hrvatske kaznjivo je bilo kakvoneovlasteno prisluskivanje ili snimanje razgovora ili izjave koji su namijenjeninekom drugom, sto se odnosi i na racunalske podatke, odnosno poruke.U podatkovnoj komunikaciji, napadacu nije dovoljno presresti i snimiti signaliako je vec time pocinio kazneno djelo. Da bi uzrokovao stetu nad podacima,on mora iz signala izdvojiti korisne informacije, dakle sadrzaj koji signalprenosi. Iz tog se razloga tehnike prisluskivanja nikad ne koriste samostalno,vec se kombiniraju s tehnikama koje analiziraju signal i dobivene podatkeinterpretiraju kroz vise razine, a bit ce objasnjene u slijedecim poglavljima,

u sklopu razina kojima pripadaju. Ovisno o nacinu prijenosa, postoji nekolikotehnika prisluskivanja od kojih su neke svojom slozenoscu vrlo sofisticirane,dok su druge vrlo jednostavne.


6/55

Presretanje elektromagnetskog zracenja

Opce je poznata cinjenica da racunalska oprema samim svojim radom emitira odredenukolicinu elektromagnetskog zracenja. Manje je poznata cinjenica da to zracenje,

uz odgovarajucu opremu, bilo kome moze omoguciti najneprimjetniji i time najudobnijinacin prisluskivanja. Od mreznih komponenti koje se koriste u infrastrukturiInterneta, najranjiviji na takav nacin napada su "inteligentni" elementi, poputusmjerivaca, kod kojih najvecu razinu zracenja ispustaju njihovi procesni element,te vodovi kojima prolazi elektricni signal. Nerazvijena svijest o ovoj vrstiprijetnje uzrok je cinjenici da je danas gotovo kompletna infrastruktura Internetapodlozna prisluskivanju presretanjem elektromagnetskog zracenja.

Elektricni signali koji putuju unutar usmjerivackih sklopova ili kroz vodove pos

jedujudvije bitne karakteristike koje uzrokuju pojacano elektromagnetsko zracenje iolaksavaju detekciju takvog zracenja u odnosu na detekciju zracenja ostalih izvora.Te su karakteristike:

- oblik signalnog vala - cetverokutni "square" valovi oslobadaju vece kolicinekonstantnog zracenja od nekih drugih oblika valova

- frekvencije signalnog vala suvremena oprema koristi visoke frekvencije signalnihvalova koje rezultiraju jacim zracenjem. Vjeruje se da se uspjesno presretanjeelektro magnetskog zracenja nezasticene opreme te izdvajanje korisnih podataka

moze vrsiti do udaljenosti unutar jednog kilometra od izvora.Sljececa slika prikazuje nacin funkcioniranja ove vrste prisluskivanja

________/ \ Internet \________// \\ /

____________ / \ ____________Mreza A -------Usmjerivac A Usmjerivac B--------------- Mreza B

____________ ____________

\__/\____/\_____/ /\ ____________/ \_______Prijemnik i

i analizator-->Podaci____________

Sustav prisluskivanja sastoji se od tri kljucne komponente:

- antena (eksperimentalno je dokazano da se vec i obicnim antenama za prijemzemaljskog radijskog ili televizijskog programa mogu dobiti zadovoljavajucirezultati. Bolji rezultati dobivaju se konstruiranjem antena koje ciljano


7/55

primaju elektromagnetske valove u podrucju nizih valnih duljina)

- radio prijemnik (iz iskustva je poznato da zracenje racunalske oprememoze izazivati smetnje i na obicnim radio prijemnicima. Prijemnici koji sekoriste u nadzoru opremljeni sa posebnim filtrima i pojacalima koji pospjesujuprijem valnog podrucja od interesa)

- analizator signala (najcesce je racunalo koje iz primljenih signala izdvajapodatke)

Intruzivno prisiuskivanje signala u vodu

Intruzivno prisiuskivanje signala u vodu ostvaruje se fizickom kompromitacijom voda.Ovisno o vrsti voda, postoje i razliciti nacini kompromitacije voda. Vodovi kojidanas cine infrastrukturu Interneta provode ili elektricne ili svjetlosne signale.

Vodove kojima putuju elektricni signali najlakse je intruzivno prisluskivati,pogotovo ako nisu zasticeni.Sljedeca slika prikazuje intruzivni spoj na vod kojim putuju elektricni signali.

_ spoj na vod

-----------------------------------------\

\vodic

Glavna odlika ovakvog nacina spajanja jest pasivnost, sto otezava ili onemogucava

njegovo otkrivanje jer spoj ne izaziva nikakve smetnje u radu mreze. Elektricnisignal se jednostavno grana i putuje do odredista neometan, dok napadac isti tajsignal takoder neometano prima. Nakon toga, pretvaranjem signala u podatke i raznimprotokol analizama vise razine, napadac ga lako moze koristiti da neovlasteno pribavibilo kakvu informaciju koja putuje vodom.

Opticke je vodove takoder moguce intruzivno prisluskivati. U tu svrhu, postoje dvarazlicita pristupa prisluskivanju. Oba su nacina prikazana na sljedecoj slici.

_ spoj na opticki vodic

-----------------------------------------\

\ opticki vodic

Prvi nacin kradja signala

ulaz izlaz_____

--------_ _----------

--------_______----------\\ opticki vodic


8/55

Drugi nacin umetanje aktivnog elementa

Prisluskivanje umetanjem aktivnog elementa je destruktivniji od dvaju nacina.Ostvaruje se potpunim fizickim prekidanjem voda. Oba se prekinuta kraja tada spajajuna aktivni element. Aktivni je element zapravo prijemnik i predajnik u jednom, p

ricemu je zadatak predajnika ponavljati primljeni signal bez promjene. Signal izprijemnika, uz prosljedbu predajniku, takoder putuje i do napadaca i njegove opremeomogucujuci mu neovlasteni pristup podacima.

Drugi bi se nacin prisluskivanja optickog voda mogao nazvati i "kradjom" signala.Moguce je, naime, zarezivanjem ovojnice voda doprijeti do samih optickih vlakana,bez njihova ostecivanja. Stavljanjem detektora na mjesto te vrste intruzije,omogucava se nesmetan promet vodom (odnosno, normalan lom svjetla u vodu) uz

istovremeno osiguran neovlasten pristup signalu. Teskoca je ovog pristupa velikakompleksnost detektora koji mora biti i dovoljno osjetljiv i dovoljno tocan da bezgresaka rekonstruira signal u vodu.

Prisluskivanje radio signala i mikrovalova

Najlaksi je nacin prisluskivanja presretanje signala koji putuju prostorom.Metama takvih napada mogu biti sve vrste bezicnih veza, od bezicnih lokalnih mrezado satelitskih veza. Postupci i oprema koja se koristi za takvu vrstu prisluskiv

anjajednostavni su i gotovo jednaki bez obzira o kakvim se signalima radi.Kljucni dio opreme cini antena. Usmjerene antene, u zargonu nazvane "ribljom kosti"koriste se u prisluskivanju usmjerenih ili geografski ogranicenih signala kojegeneriraju mikrovalne veze ili bezicne lokalne mreze. Sirokopojasne antene se koristeza prijem signala koji se slobodno sire prostorom, kao sto su radio signali.Jednom primljen signal dalje se, uz znanje o njegovim karakteristikama (frekvencija,nacini modulacije i slicno), lako pretvara u podatke koji se mogu dalje analizirati.

Ometanje i onemogucavanje komunikacije

Najjednostavniji nacin ugrozavanja podataka na Internetu je onemogucavanje komunikacije.To je vrsta aktivnog napada koju bi se moglo nazvati "mreznim vandalizmom" jer se cestokoristi destruktivnim metodama u postizanju svojih ciljeva. Ovisno o vrsti mrezneinfrastrukture koja se napada, te se metode razlikuju, ali im je zajednickakarakteristika da su vrlo jednostavne. Pri tome se najcesce napada medij, odnosn

o vodkojim putuje signal.


9/55

Onemoguciti komunikaciju vodom najlakse je nasilnim prekidom ili unistenjem voda.Drugi je nacin onemogucavanja intenzivnim ometanjem, na sto su ranjivi vodovi kojiprenose elektricne signale. Ispostavljanje takvog voda jakom magnetskom zracenjudestruktivno utjece na signal koji njime putuje cime se otezava i na kraju onemo

gucavakomunikacija.

Onemoguciti komunikaciju bezicnom vezom, radio ili mikrovalovima, takoder nije tesko.Emitiranjem slucajnog signala u frekvencijskom podrucju signala veze, veza ce postatineucinkovita zbog smetnji ili ce biti potpuno prekinuta. Pri tome se najveci efektpostize usmjerenim odasiljanjem prema prijemniku ili predajniku.

Posebne vrste potpuno usmjerenih bezicnih veza, kao sto je laserska veza, zahtij

evajuopticku vidljivost izmedu predajnika i prijemnika. Trivijalan je nacin onemogucavanjatakve veze postavljanjem prepreke na put signala. Utjecajem na medij (zrak), najcescezagrijavanjem, u blizini predajnika ili prijemnika, moze se postici skretanje usmjerenezrake i prekid veze.

Neovlasteno mijenjanje signala

Na fizickoj razini ISO/OSI referentnog modela teoretski je moguce neovlasteno mi

jenjatiprijenosni signal. Medutim, puko mijenjanje signala, bez mijenjanja podataka i na visimrazinama, pripadalo bi u kategoriju ometanja i onemogucavanja komunikacije.Stoga je neovlasteno mijenjanje signala u smislu krivotvorenja podataka na fizickojrazini samo posljedica neovlastenog mijenjanja podataka na visim razinama.Drugim rijecima, krivotvorenje podataka inherentno uzrokuje i promjenu signala koji tepodatke prenosi.

Gledajuci fizicki spoj na mrezu, mijenjanje signala obavlja se slicnim, ranije opisanim,nacinima kojima se vrsi i njegovo prisluskivanje. Jedina je razlika ta sto se, uovomslucaju, u mrezu neovlasteno ubacuje signal koji predstavlja neke podatke, daklenapadje aktivnog tipa, za razliku od prisluskivanja koje pripada pasivnim napadima.Zbog toga je mijenjati signal teze.

Prakticna izvedivost neovlastenog mijenjanja signaia ovisna je o nacinima prijenosa ivrsti protokola visih razina. Posto nas na ovoj razini zanimaju samo nacini fizickogprijenosa, u slijedecim odjeljcima ukratko ce biti obradene mogucnosti neovlaste

nogmijenjanja signala s obzirom na taj aspekt.


10/55

Najlaksi nacin uvodenja izmijenjenog signala u mrezu je putem vodova, bilo da jerijeco koaksijalnim vodovima, paricama ili optickim vlaknima. Nakon fizickog prekidanja voda,spajanje strojne komponente koja je u mogucnosti tim vodom prenositi identican signalkakav po njemu vec putuje je trivijalno i opisano prije, u dijelu teksta koji se

baviintruzivnim prisluskivanjem.

Kada se radi o bezicnom prijenosu, jednostavnost ovisi o prirodi prijenosnog vala.U slucaju usmjerenog vala, koji se najcesce koristi u prijenosima putem lasera iliinfracrvenog svjetla, zadatak napadaca takoder nije tezak. U takvim je slucajevimanajcesci zahtjev opticka vidljivost na relaciji predajnik-prijemnik sto ostavljamogucnost da se direktno na put signala postavi prepreka koja istodobno sprecava

prolaz originalnom signalu i generira lazni signal. U slucaju djelomicno usmjerenihili neusmjerenih valova, primjerice radio i mikrovalova, napad neovlastenim mijenjanjemsignala je teoretski moguc, ali u praksi tesko izvediv.

Zastita podataka na fizickoj razini

Zastita visih razina

Prije iznosenja glavnih nacina zastite podataka od napada na fizickoj razini,

potrebno je naglasiti da niti jedan od njih nije potpuno siguran i ne garantirapodacima sigurnost u prijenosu. Namjera ovog kratkog odjeljka je upozoriti da sesamo kombiniranjem mjera zastite po sto vecem broju mreznih razina moze osiguratizadovoljavajuca zastita. Sve ce najcesce koristene i najucinkovitije tehnike zastitebiti obradene u nastavku teksta, prema mreznoj razini na kojoj djeluju.

Eliminacija elektromagnetske radijacije

Americka je Vlada rano uvidjela opasnosti od ugrozavanja sigurnosti presretanjemelektromagnetskog zracenja. Rezultat je toga tajni projekt, kodnog imena "TEMPEST",koji se koncentrirao na pronalazenje ucinkovitih nacina osiguranja od spomenuteprijetnje. Tehnologija dobivena istrazivanjem ovog podrucja danas se vecinom koristi uzastiti vojnih i ostalih podataka vaznih za americku nacionalnu sigurnost, a ponekadi za hvatanje hakera, (kad koriste "neprobojne" algoritme poput PGP).

Iako civilnim korisnicima tehnologija "TEMPEST" projekta nije dostupna, pridrzavanje

nekih smjernica pri nabavci i instaliranju mrezne opreme moze znacajno smanjitirizik od prisluskivanja presretanjem elektromagnetskog zracenja.Zastita prikupljena iz razlicitih izvora, naveden je u nastavku:


11/55

- pridrzavanje standarda o dopustenom zracenju -- vecina opreme nosideklaraciju o zadovoljavanju nekog americkog standarda o dopustenomzracenju, pri cemu oprema koja zadovoljava najstrozi (FCC Class "B")standard posjeduje, za civilne svrhe, dovoljnu sigurnost od prisluskivanja

- upotreba oklopljenih vodica - vodici koji su dodatno zasticeni, najcesce

metalnom folijom, oslobadaju manju kolicinu zracenja koju je teze detektirati

- ugradnja filtera - filteri razlicitih vrsta mogu se ugraditi na spojeve svodovima kako bi eliminirali prenosenje elektromagnetskog zracenja krozvodove napajanja ili mrezne veze, kao i telefonske vodove

- koristenje feritnih jezgri - omotavanjem duzih vodica oko feritnih jezgrinjihovo se zracenje trosi zagrijavanjem u samom materijalu i tako velikimdijelom eliminira

-uzemljenje - uzemljenje za elektromagnetska zracenja ucinkovit je nacinnjihove eliminacije, ali i vrlo tezak za implementaciju jer mora djelovati na

sto vecu kolicinu zracenja koje pokriva vrlo sirok spektar

Zastita signala u vodovima

Zastita prijenosnih vodova nije uvijek lagan zadatak i, na zalost, ne ovisi o krajnjemkorisniku osobi direktno zainteresiranoj da podaci budu sigurni. Komercijalnim tvrtkama,vlasnicima vodova, u interesu jest njihova zastita od unistenja, ali nedovoljnase paznjaposvecuje zastiti signala koji njima putuju, posebno od prisluskivanja.

Odreden splet okolnosti ipak, na srecu, diktira rastucu razinu zastite signala uvodovima.Tehnoloski je razvoj u posljednjem desetljecu za glavni prijenosni medij odrediooptickavlakna. Ucinak na povecanu razinu zastite signala koja se dobiva koristenjem optickihvlakana je dvojak:

- prijenos svjetlosnim zracenjem znaci eliminaciju elektromagnetskog zracenja koje semoze presresti u svrhu prisluskivanja. Uz to, na minimum je smanjena i mogucnostintruzivnog prisluskivanja

- osjetljivost vlakana uvjetuje, za sigurnost, bolje uvjete njihova postavljanja.Vodovi se najcesce postavljaju podzemno gdje su tesko dostupni napadacima i zasticenisu posebnim zastitnim cijevima.

Uz koristenje optickih vlakana i otezavanje dostupa vodovima, u okolinama gdje sezahtijeva sigurnost najvise razine, moguce je vodove postaviti unutar posebnih cijevi

pod pritiskom. U kombinaciji sa senzorima za otkrivanje promjena u pritisku unutartakvih cijevi, ovaj pristup cini najsigurniji nacin zastite vodova koji je, medu


12/55

tim,vrlo skup za implementaciju, i tako nedostupan za siroku upotrebu.

Zastita bezicnih veza

Raznolikost nacina bezicnog povezivanja pruza velik izbor pri ostvarenju bezicni

h veza.Bezicne veze nisu samo 802.11x (x prestavlja sve trenutne i buduce standarde) vec svesto putuje ne zizanim vodovima. Detalje o bezicnim mrezama 802.11x mozete procitati uprvom broju phearless zine "Wireless: Under the hood by argv". Samo da napomenemda malo prije spomenuti tekst objasnjava sniffanje bezicnih mreza i to ne spadauprvi sloj vec cetvrti sloj ISO/OSI referetnog modela.Ovdje cu objasniti bezicnu infracvenu i radio komunikaciju (koristi vojska).Sa sigurnosnog aspekta, povoljni nacini povezivanja dani su u obliku smjernica u

slijedecim odjeljcima.

Za povezivanje geografski razdvojenih lokacija najbolje je koristiti usmjerene veze.Pri tome su najpogodnije pravocrtne usmjerene veze koje zahtijevaju opticku vidljivost,kao sto je laserska veza. Takve je veze nemoguce neopazeno prisluskivati ili ometatijer je svaka prepreka na putu signala, postavljena u tu svrhu, vidljiva golim okom ilako uklonjiva. Ukoliko konfiguracija terena ili udaljenost ne dopustaju upotrebuovakve veze, neizbjezno je koristiti radio ili mikrovalove. Povecanu razinu sigu

rnostitakve komunikacije pruza koristenje sirokog spektra frekvencija i preskakanjefrekvencijskih podrucja.

Princip na kojem radi ova tehnologija jednostavan je. Ukupan frekvencijski opsegkoji je dostupan za upotrebu, dijeli se na nekoliko frekvencijskih pojaseva.Predajnik, prema nekom odredenom kljucu, svaki od tih pojaseva koristi u nekomkratkom vemenskom intervalu za odasiljanje. Po isteku intervala, predajnik "preskace"na drugi frekvencijski pojas. Pozitivni sigurnosni pomaci dobiveni koristenjem ovihtehnologija ocituju se u dva aspekta:

- otezano ometanje - tehnologija dopusta da se frekvencijski pojasevi u kojima suprisutne smetnje iskljuce iz upotrebe, ili, u slucaju nestanka smetnji, ponovoukljuce

- otezano prisluskivanje - nacin i raspored upotrebe frekvencijskih pojaseva ukomunikaciji poznat je samo predajniku i prijemniku, a bez tih podatakarekonstrukcija originalnog signala nije moguca vec on primatelju izgleda poputuobicajenog suma u datom opsegu, odnosno smetnje.

U lokalnom je umrezavanju, postoji li mogucnost prisluskivanja izvana,

preporucljivo koristiti bezicnu, infracrvenu komunikaciju. Infracrveni valoviimaju mali domet i ne prolaze kroz cvrste objekte kao sto su zidovi, pa ih se,za razliku od elektromagnetskih valova, ne moze presresti u svrhu prisluskivanja


13/55

.Ukoliko komunikacija bazirana na infracrvenim valovima nije moguca, drugamogucnost sastoji se u koristenju bezicne radio komunikacije koja koristipreskakanje frekvencija i opisana je maloprije.

Svakim danom pojavljuju se nove bezicne tehnologije koje pruzaju neke novemogucnosti jedna od njih je Bluetooth, a sigurno ce ih biti jos.

------------------------------------------------------------------------------------

2. Sloj - Sigurnost okvira izmedu dva susjedna racunala na vezi

Sloj podatkovne veze u ISO/OSI referentnom modelu

Sloj podatkovne veze, zajedno sa fizickim slojem ISO/OSI modela, u TCP/IP okolinicini najnizu razinu. Za razliku od fizickog sloja, specifikacijama nekih Interne

tprotokola obuhvacen je i sloj veze.

Prema ISO/OSI referentnom modelu, sloj veze pruza visim razinama pouzdan prijenospodataka obavljajuci formatiranje podataka u okvire, detekciju gresaka iretransmisiju podataka u slucaju greske. Prijenos podataka moze teci ili putemuspostavljene veze pri cemu su podaci preneseni vezom logicki povezani, ili bezuspostavljanja veze, pri cemu se svaki okvir smatra samostalnim. Protokoli ovogsloja podatke prenose izmedju izvora i odredista koji su elementi iste fizickemreze.

U skupu protokola razvijenih za koristenje na Internetu, jedan se vazan protokol

nalazi bas na drugoj razini ISO/OSI referentnog modela. Taj je protokol nazvan"Point to point protocol", ili skraceno PPP, a danas se koristi kako u povezivanjukrajnjih korisnika putem javnih telefonskih mreza na Internet.

Ostali protokoli koji nisu razvijeni za Internet upotrebu, ali se koriste u tusvrhu ukljucuju protokole lokalnih mreza. Protokoli lokalnih mreza koriste se narubnim mrezama Interneta, srodni su i razlikuju se u ovisnosti o standardu zaumrezavanje koji se koristi.

Sigurnosne prijetnje na razini podatkovne veze

Neovlasteni prijem okvira

Masovno koristeni pasivni napad na sigurnost podataka na Internetu jestneovlasteni prijem okvira. Taj je napad moguc na rubnim mrezama Interneta,odnosno lokalnim mrezama i uvjetovan je trenutno vazecim specifikacijama izahtjevima koje mora ispuniti oprema za lokalno umrezavanje. Osjetljivostna ovaj napad iskazuju kako mreze ostvarene vodovima, tako i one bezicne.

Put signala kroz lokalnu mrezu odreden je njenom topologijom. Osnovnitopoloski oblici koji dopustaju ovu vrstu napada u lokalnim mrezama su mreze

spojene u prsten, te mreze povezane preko zajednicke sabrisnice.

Kako za prstenasti, tako i za sabirni oblik topologije, karakteristicna


14/55

je osobina da sve mrezne stanice povezuje samo jedan logicki komunikacijskikanal. Direktna je posljedica te cinjenice, kao i prirode sirenja elektricnogsignala, da signal koji prenosi podatke dopire u sve dijelove mreznog voda.Iz tog razloga, podatkovni okviri prolaze cijelom duljinom lokalne mreze,cime postaju dostupni bilo kojoj mreznoj stanici spojenoj na istu mrezu ilimrezni segment. Strojna komponenta koja vrsi ulogu sucelja prema lokalnojmrezi u normalnom rezimu rada sve okvire koji u sebi nose njenu adresu zaprima

i prosljeduje na dodatnu obradu visim mreznim razinama, dok okvire koji sadrzedruge adrese jednostavno ignorira. Ta metoda jos je poznata kao "Ethernetsniffing" ili skraceno Sniffing". Dodatni rezim rada koji sve standardnekomponente tog tipa podrzavaju je i tzv. "promiskuitetni rezim".Detalje kako napisati sniffer pogledajte u prvom phearless zine "The Art ofSniffing by BaCkSpAcE"

__________ __________Racunalo B Racunalo D__________ __________

\ /\ /

\ / __________ \ / __________Racunalo c/___________\____________________/_______Racunalo A__________\ __________Racunalo C radi Rac. A salje podatke Rac. Bu promiskuitnom Rac. A salje podatke Rac. Drezimu rada prima paketenamjenjene Rac. B i D

Mrezna komponenta koja radi u promiskuitetnom rezimu prosljeduje visim razinamasve okvire ne obaziruci se na odredisnu adresu prisutnu u primljenim okvirima.Takav je rezim rada uveden kako bi mrezni administrator s jednog mjesta mogao

nadzirati cjelokupan mrezni promet i tako ucinkovitije uklanjati probleme.Na zalost, losa je posljedica istog ta da svaki korisnik mreze moze, koristecipromiskuitetni rezim rada na mreznoj komponenti svojeg racunala, prisluskivatisav promet bio on za to ovlasten ili ne. Pri tome on iz dobivenih okvira mozeizdvajati podatke najvise razine kao sto su zaporke ili moze informacijskisadrzaj okvira dalje analizirati kako bi dobio podatke o protokolima visih razinai informacije o mreznim transakcijama.

Krivotvorenje okvira (hardware address spoofing)

Aktivna varijanta neovlastenog prijema okvira jest njihovo krivotvorenje.Pri tome se krivotvorenje sastoji od dvije komponente:

- krivotvorenje izvorisne strojne (MAC) adrese- krivotvorenje informacijskog sadrzaja

__________________________Racunalo B_____________ __________

_________ krivotvoreni okvir _________Racunalo A/===================================Napadac __________\ Cilj AIzvor BPodaci __________

___________________


15/55

Vecina komponenti mreznog sucelja dozvoljava programsko mijenjanje izvorisnihadresa u okvirima koje salju. Tu mogucnost koriste neka programska rjesenja koja,izvrsavajuci se na osobnom racunalu s dvije komponente mreznog sucelja,obavljaju ulogu mreznog mosta. Na zalost, zloubotrebom iste mogucnosti nastajuozbiljni sigurnosni problemi, koji se ocituju prvenstveno na visim razinama kaoposljedica krivotvorenja informacijskog sadrzaja okvira. Najlaksi nacin opisivan

jaove vrste napada je nabrajanjem koraka koje treba obaviti da bi napad bio uspjesan.U ovom slucaju, ti su koraci kako slijedi:

1. Napadac isprva neovlasteno prima okvire i iz njih dobiva informacije o strojnim(MAC) adresama izvorisnog i odredisnog racunala koja medusobno komunicirajuizvrsavajuci neku operaciju, kao i informacije o protokolima vise razine kojimase ta komunikacija odvija.

2. U pogodnom trenutku, napadacevo racunalo salje okvir odredisnom racunalu.

Izvorisna adresa tog okvira je krivotvorena i nosi adresu pravog izvorisnog racunala.Informacijski dio okvira sadrzi podatke u nekom visem protokolu.

3. Odredisno racunalo prima okvir, prema izvorisnoj adresi pretpostavlja da je okvirdosao od izvorisnog racunala i izvrsava trazenu, najcesce po sigurnost stetnu, akciju.

Manifestacije napada koje ovom tehnikom mogu biti izazvane na visim razinama mreznogmodela su brojne, i bit ce opisane u slijedecim poglavljima.

Sigurnosni problemi Point to point protokola

PPP jest jedan od protokola koji je razvijen kako bi se koristio bas na Internetu.Specifikacije ovog protokola javno su dostupne i detaljno izradene. Problem kojisenegativno odrazava na sigurnost koristenja ovog protokola jest kompleksnost njegoveimplementacije.

Za razliku od protokola podatkovne veze koji se distribuiraju uprogramirani u mreznuopremu, PPP se najcesce izvodi od strane glavnog procesora neke mrezne stanice iliservera. Implementacija tog protokola obavlja se u velikom broju slucajeva od straneproizvodaca operacijskog sustava koji se na doticnom racunalu izvodi. Izvorni kodprotokola pri tome postaje dio ukupne mase izvornih kodova kompletnog operacijskogsustava i kao takav objekt kontinuirane dorade. Nije neobicno da se takvimdoradivanjem u kodu pojave greske koje, zbog prirode svojeg zadatka, ugrozavajusigurnost racunala na kojima se kod izvrsava. Takve greske cesce se pojavljuju u

razvoju programske opreme, ali niti proizvodaci strojne opreme koji kod ugradujudirektno u svoje komponente nisu na njih imuni. U proslosti zbog razlicitih


16/55

implementacija ovog protokola bila su poznata dva ozbiljna sigurnosna problema:

- problem prepunjavanja privremenih memorijskih spremista ("buffera")mogao je uzrokovati rusenje izvrsne verzije implementacije protokola ilicijelog racunala. Jedan od, na Internetu cesce koristenih, operacijskihsustava, FreeBSD, patio je od ove greske,

- problem nekorektne implementacije autentikacije na razini PPP-aomogucavao je spajanje dva razlicita korisnika na istu (izvorisnu) stranuvisedijelne logicke veze. PPP, naime, omogucuje uspostavljanje jednelogicke veze koristenjem vise fizickih veza (primjerice, koristenjem dvapara modema). Problem koji se javljao u spomenutoj implementacijiomogucavao je bilo kojem od te dvojice korisnika prekidanje vezepreostalog korisnika. Tu su gresku posjedovale implementacije protokola upristupnim modemskim posluziteljima tvrtke Ascend koji su takoder cestokoristeni od strane pruzatelja usluga Internet pristupa.

Zastita podataka na razini podatkovne veze

Segmentacija mreze

Jedan od jednostavnijih nacina smanjivanja rizika od nastajanja steta uzrokovanihneovlastenim prijemom okvira jest segmentacija mreze. Mrezni segment cini odredenbroj racunala koja dijele isti kanal i mogu vidjeti isti sadrzaj mreznog prometa.Razbijanje jedinstvene fizicke mreze na vise segmenata postize se postavljanjemodredenih mreznih komponenti na mjesta u mrezi koja su odredena da budu spojisnetocke izmedu segmenata.

Komponente koje se koriste u segmentaciji lokalnih mreza su mrezni mostovi iprespojnici (switch ili bridge). Zajednicka je karakteristika ovih komponenata daizmedu segmenata propustaju samo okvire koji su namijenjeni komunikaciji racunalasmjestenih na dva raziicita segmenta. Okviri koje za komunikaciju koriste racunalasmjestena na istom segmentu, ne prenose se u drugim segmentima i za tamosnja suracunala nevidljivi. Takvim nacinom rada ne narusavaju fizicku cjelovitost mrezejer je svakom racunalu dopusteno komunicirati s bilo kojim drugim racunalom, bezobzira kojem segmentu pripada, ali povecavaju sigurnost jer je broj okvira kojesvako pojedino racunalo moze neovlasteno primiti smanjen. Idealan je slucaj kadaje taj broj jednak nuli, i postize se koristenjem prespojnika i zvjezdaste topologije.Takav je slucaj prikazan na sljedecoj slici.

__________ __________Racunalo C Racunalo B__________ __________

\ /\ /\ /

__________ \ / __________Racunalo D____________\__/____________Racunalo A__________ __prespojnik __________


17/55

/ \/ \/ \/ \

____/_____ _\________Racunalo E Racunalo F__________ __________

Zvjezdasta mrezna topologija uz koristenje prespojnika

Ovakvo rjesenje prakticno znaci da svaki segment mreze sadrzi samo jednoracunalo. Prespojnik pri komunikaciji izmedu dva racunala uspostavlja direktnuvezu izmedu njihovih segmenata kojom putuju okviri. Ostali su segmenti, odnosnoracunala, fizicki odvojeni od te veze.

U praksi, gore opisano idealno rjesenje nije u velikom broju slucajeva mogucepostici, sto zbog prakticnih razloga - kao sto je prevelik broj racunala u mrezi,

sto zbog ekonomskih razloga - kao sto je potreba da se drugacijom implementacijommreze postigne usteda u novcu. Kompromisno rjesenje koje se u takvim prilikama moraprihvatiti jest kreiranje mreznih segmenata s vise racunala. Kljucno pitanje nakojese pri tome mora odgovoriti jest pitanje povjerenja. Korisnici racunala na istomsegmentu moraju moci imati povjerenja u druge korisnike na istom segmentu te morajubiti sigurni da njihovi podaci nece biti ugrozeni neovlastenim prijemom okvira,ili svi podaci koji putuju tim segmentom moraju biti takvog karaktera da nisu tajni

za bilo kojeg korisnika na istom segmentu. Uz to, potrebno je i fizicki onemogucitipristup takvim segmentima, uklanjanjem suvisnih mreznih uticnica i slicnim mjerama.

Koristenje filtrirajuce mrezne opreme

Cak na izgleda ovaj idealni zvijezdasti model moguce je kompromitirati, ako senedovoljno konfigurira preklopnik. Preklopnik sadrzi tablicu okvira i IP adresasvih racunala. Filtrirajuci preklopnik naime, ima mogucnost programiranja strojnih(MAC) adresa ciji promet smiju propustati na svojim odredenim spojnim mjestima.Na taj nacin propustao bi samo okvire cija izvorisna strojna (MAC) adresa odgovaraadresama mreznih komponenti koje se nalaze na toj razini.

Namjernim prepunjavanjem te tablice moguce je preklopnik natjerati da seponasa kao hub. Vecina danasnih preklopnika ima mogucnost zakljucavanja pisanjau tablicu s cim se uklanja propust prepunjavanjem tablice. Ponekad u velikim mrezazakljucavanje tablice onemogucuje spajanje novih racunala na mrezu, bez intervencijeadministratora. Promjenom racunala ili dodavanjem novih uvijek je potrebno upisatinjegove vrijednost u tablicu u preklopniku. Sto moze biti veliki problem ako su

promjene ceste, ali na mjestima gdje je potrebna maksimalna sigurnost npr. banke,vojne ustanove, tajne sluzbe preporuca se zakljucavanje tablice u preklopniku.


18/55

Koristenje nestandardnih mreznih komponenti

Masovna proizvodnja komponenti mreznog sucelja ne poznaje pojam proizvodnjenestandardnih komponenti. Ipak, greskama u proizvodnji, i nestandardne sekomponente mogu naci na trzistu. U smislu zastite i sigurnosti, najzanimljivije

su komponente kojima je proizvodnom pogreskom onemogucen promiskuitetni rezim rada.Proizvodaci nece takav nedostatak svojeg proizvoda oglasavati kao prednost, iliganece uopce oglasavati. Najlaksi nacin dobivanja popisa modela mreznih komponentikoji su proizvedeni s takvom greskom jest proucavanjem dokumentacije koja dolaziuz programe analizatore mreznog prometa. Naime, da bi administratorima olaksaliodrzavanje mreza, mnoge su tvrtke napisale programe koji koristeci upravopromiskuitetni rezim rada analiziraju ukupan mrezni promet po svim mreznimrazinama od razine podatkovne veze navise. U dokumentaciju takvih programa obave

znoje ukljucen i popis mreznih komponenti s kojima programi ne mogu raditi. U vecinislucajeva, razlog toj nemogucnosti je upravo spomenuta pogreska u proizvodnji.

Skuplje rjesenje jest nabaviti komponente konstruirane za povecanu sigurnost.Osobine koje takve komponente nude ukljucuju i zaporkama zasticen promiskuitetnirezim rada. Odredene komponente, i to vrlo cesto one koje se koriste u bezicnomumrezavanju, vrse sifriranje informacijskog sadrzaja okvira. Ostale sigurnosneosobine ovise o proizvodacima i modelima komponenata, te opcenito pruzaju dovoljnurazinu sigurnosti bez da stete ukupnoj funkcionalnosti komponente.

Pracenje sigurnosnih izvjesca

Kao sto je u ranijem tekstu bilo obrazlozeno, kompleksnost i razlicitostimplementacija Point to point protokola moze uzrokovati greske koje izazivajurazne sigurnosne probleme. Ta opaska vrijedi ne samo za PPP, vec za bilo kojiInternet protokol vise razine.

Nacin na koji se mogu smanjiti rizici jest redovito pracenje raznih sigurnosnihizvjesca. Savjesni korisnici koji otkriju gresku u implementaciji protokola cestosalju izvjesca na neki od specijaliziranih web servera posvecenih sigurnosti.Sami proizvodaci takoder objavljuju izvjesca i programske ispravke.

Podaci o programskim komponentama, verzijama, proizvodacima te lokacijama na kojimase moze doci do informacija o sigurnosnim problemima i njihovom rjesavanjunezaobilazan su faktor sigurnog administriranja mreze. Jedna od najsadrzajnijihlokacija na Internetu koja nudi ove informacije je "Security Focus"ciji je URL http://www.securityfocus.com.

------------------------------------------------------------------------------------

3. sloj - Sigurnost paketa u mrezi


19/55

Sloj mreze u ISO/OSI referentnom modelu

Zadatak trece razine ISO/OSI referentnog modela, odnosno sloja mreze, jestkomunicirati podatke izmedu dva entiteta vise mrezne razine, razine transporta.Pri tome protokoli ove razine od vaznijih zadataka obavljaju mrezno usmjeravanjei brinu se o adresiranju. Zbog razlicitih osobina krajnjih sustava koje takvi

protokoli povezuju oni moraju voditi racuna i o kontroli toka, te o zakrcenostimreznih veza. Protokolima vise razine, a zbog duzih vremena prijenosa podataka inize brzine, oni mogu ponuditi komunikaciju uspostavljanjem logicke veze izmedukrajnjih tocaka.

Protokol mrezne razine koji se koristi u komunikaciji na Internetu nazvan jejednostavno Internet protokolom, skraceno - IP. On obavlja vecinu gore nabrojanihfunkcija uz dodatak mogucnosti fragmentacije i ponovnog sastavljanja podatakauzrokovanog razlicitim dopustenim maksimalnim velicinama podatkovnih jedinicaprolaznih i krajnjih mreza.

Sastavni dio implementacije Internet protokola je i Internet Control MessageProtocol (ICMP). Prema Halsallu, zadaci koje ICMP obavlja su slijedeci:

- prijavljivanje gresaka- testiranje dostupnosti- kontrola zakrcenja veza- obavjestavanje o promjenama u usmjeravanju- mjerenje performansi- adresiranje podmreza

Address Resolution protokol (ARP) obavlja jednostavniji zadatak i sluzi kao neka

vrsta poveznice izmedu razine mreze i razine podatkovne veze. Njegov je zadatakpronaci strojnu (MAC) adresu komponenti mreznog sucelja na osnovu poznate mrezne(IP) adrese istih komponenti. Prema Atkins, ovaj protokol nije dio IP-a vec jedio protokola sloja podatkovne veze, medutim u literaturi se opisuje u sklopuprotokola mrezne razine, pa ce tako biti i u ovom radu. Protokol koji obavljaobrnutu operaciju, odnosno pronalazi IP adresu na osnovu strojne (MAC) adresenazvan je Reverse Address Resolution Protocol (RARP).

Ostali protokoli koji djeluju na ovoj razini koriste se iskljucivo priusmjeravanju. Interior Gateway protokoli (IGP) koriste se za usmjeravanje unutarmreza za ciju je administraciju odgovoran isti autoritet. Najpoznatiji inajkoristeniji protokol te vrste je Routing Information Protocol (RIP).Exterior Gateway protokoli (EGP) koriste se za usmjeravanje izmedu mreza kojeadministriraju razliciti autoriteti.

Sigurnosne prijetnje na mreznoj razini

Krivotvorenje ARP poruka

Krivotvorenje ARP poruka direktna je posljedica krivotvorenja mrezne, IP adresetenacina rada ARP protokola. Taj se rad najbolje moze ilustrirati kroz opceniti pr

imjer.Pretpostavimo da izvorisno racunalo (Rac A) zeli odredisnom racunalu (Rac B) naistoj


20/55

mrezi poslati neke podatke. Rac A posjeduje IP adresu od Rac B, a da bi saznalostrojnu (MAC) adresu od Rac B, Rac A ce, koristeci ARP poruke, te provesti ovakavpostupak:

1. Svim racunalima u mrezi poslat ce ARP poruku koja sadrzi IP adresu izahtjev za strojnom (MAC) adresom Rac B, ciju ce IP adresu ukljuciti u upit

2. Rac B ce, vidjevsi da se trazi njegova strojna (MAC) adresa, vratiti porukukoja tu adresu sadrzi natrag do Rac A. Nakon sto tu poruku primi, Rac A cedodati par kojeg cine strojna (MAC) i IP adresa od Rac B u svoje privremenospremiste.

3. Po isteku odredenog vremena, neupotrebljavani parovi strojne (MAC) i IPadrese se brisu iz privremenog spremista na Rac A i postupak se, prema potrebi,ponavlja.

Ranjivost ovakvog izvrsavanja protokola lezi u drugom koraku. U slucaju da racun

aloprimi dva odgovora koja za istu IP adresu daju dvije razlicite strojne (MAC) adrese,a u implementaciji ARP-a nije prisutna dodatna procedura koja ce provjeravatiduplikate, ono ce konflikt rijesiti na jedan od dva nacina:

1. u privremeno spremiste spremit ce posljednji dobiveni par adresa, prepisujucigapreko vec postojeceg para s istom IP adresom;

2. ukoliko u spremistu vec postoji par s trazenom IP adresom, poruku s novimpodacima ce ignorirati.

Informacija o nacinu na koji racunalo rjesava ovaj konflikt omogucuje napadacu daodgovor sa zeljenim parom adresa, koje ce sav promet namijenjem tudoj IP adresipreusmjeriti na njegovo racunalo, posalje ili prije odgovora autenticnog racunala,ili neposredno poslije. Jos je jednostavnije odgovor poslati umjesto autenticnogracunala, njegovim gasenjem ili iskljucivanjem iz mreze, ako je to moguce.Ova vrsta napada naziva "ARP spoofing".

Krivotvorenje usmjerivackih poruka

Usmjeravanje prometa na mreznoj razini vrse svi elementi koji su na toj raziniaktivni. Usmjeravanje se obavlja oslanjanjem na IP adrese prisutne u paketima.Racunalo promet koji je namijenjen odredistima na istoj mrezi salje direktnokoristeci njihove strojne (MAC) adrese. Promet namijenjen odredistima u drugimmrezama prosljeduje se usmjerivacu koji je zaduzen za direktan prijenos dodoticne odredisne mreze, ili pak podrazumijevanom usmjerivacu, ako nije poznatusmjerivac koji bi direktno mogao obaviti prijenos. Krivotvorenjem usmjerivackihporuka (route spoofing), koje se moze izvrsiti na nekoliko nacina, mrezni seelementi navode da promet usmjeravaju putevima koji nisu za to namijenjeni.

Krivotvorenje ICMP redirekcijskih poruka

U kratkom opisu zadataka koje izvrsava ICMP bilo je spomenuto i obavjestavanje o


21/55

promjenama u usmjeravanju. ICMP poruke te vrste zovu se poruke redirekcije i noseinformaciju o adresi usmjerivaca koji pruza primjereniji (brzi, jeftiniji) put dozahtijevanog odredista, od usmjerivaca koji je poruku poslao. Po primitku takveporuke, racunalo azurira svoje lokalne podatke o usmjeravanju i promet nastavlja

slati u skladu s azuriranim podacima, preko drugog usmjerivaca.

Neprovjeravanjem autenticnosti poruke redirekcije racunalo postaje ranjivo na napade.Napadac vrlo lako moze konstruirati laznu ICMP poruku redirekcije koja ce sav prometizvorisnog racunala preusmjeriti na mrezni put koji mu omogucuje laksi dostup dopodataka ili se ne moze koristiti za slanje prometa na zeljena odredista.

Krivotvorenje poruka usmjerivackog protokola

Poruke obje vrste usmjerivackih protokoia (IGP i EGP) takoder mogu biti krivotvorenei tako navesti i racunala i usmjerivace da svoj promet pocnu slati pogresnim mreznimputem.

Sudjelovanje umrezenih objekata u radu usmjerivackog protokola moze biti pasivnoili aktivno. Tako racunala najcesce u radu protokola sudjeluju pasivno, slusajuci iprikupljajuci usmjerivacke informacije od aktivnih elemenata. Aktivni elementinajcesce su usmjerivaci koji odasilju svoje usmjerivacke informacije za medusobn

urazmjenu, a isto ih tako salju i pasivnim eiementima. Primanje informacija od drugihusmjerivaca oni takoder obavljaju na nacin na koji to rade i pasivni elementi.

Upravo opisanim nacinom rada sluzi se i RIP, jedan od Interior Gateway protokola.Aktivni elementi koji se sluze tim protokolom svoje usmjerivacke informacije odasiljusvakih 30 sekundi. Te se informacije sastoje od parova vrijednosti koje sacinjavajumrezna adresa udaljene mreze i udaljenost od usmjerivaca do te mreze, izrazena brojemusmjerivaca na putu kojim promet prolazi od izvorisnog usmjerivaca do odredisnemreze.Aktivno odasiljanje krivotvorenih RIP poruka pasivnim eiementima vrlo je jednostavnos bilo kojeg umrezenog racunala, i ukoliko pasivni element ne provjeri autenticnostporuke njegove ce usmjerivacke informacije biti kompromitirane. Jos je veci problemako, kao pasivni elementi, u protokolu sudjeluju sami usmjerivaci, jer postoji opasnostod potpunog raspada usmjeravanja, a samim time i mrezne komunikacije.

Onemogucavanje izvrsavanja servisa


22/55

Poznatiji pod imenom "Denial of Service", skraceno DoS, napadi ove klase imajuzajednicku karakteristiku da elementima na odredenoj mreznoj razini onemogucujunormalno funkcioniranje. Manifestacije ovog napada na razini mreze opisane su unastavku.

Onemogucavanje ispravnog usmjeravanja

Koristeci tehniku krivotvorenja ICMP paketa redirekcije opisanu prije, umrezenomje racunalu moguce poslati potpuno pogresne podatke o usmjeravanju. Racunalo ce,na osnovu dobivenih poruka, azurirati svoje lokalne podatke o usmjeravanjupogresnim podacima. Napadnuto ce racunalo promet slati mreznim putevima koji nemogu dovesti do zeljenog odredista, cime mu je, prakticno, potpuno uskracena mreznakomunikacija.

Druga je opasnost vec opisana u poglavlju o krivotvorenju poruka usmjerivackihprotokola i odnosi se na potpun zastoj usmjeravanja i prekid ukupnog mreznog pro

meta.

Onemogucavanje rada racunala

Ova se vrsta napada takoder sluzi ICMP paketima i direktna je posljedica gresakau implementaciji IP protokola na napadnutim racunalima. Posljedica napada je rusenjeoperacijskog sustava racunala ili usmjerivaca.

Da bi izvrsio napad, napadac salje ICMP pakete za testiranje dostupnosti na ciljano

racunalo. Znacajka je poslanih paketa da u informacijskom dijelu sadrze vise odIP-omdozvoljenog broja okteta, tako da ukupna velicina paketa prelazi maksimalnihprotokolom propisanih 65536 okteta. Implementacija protokola koja nije predvidjelatakvu velicinu primljenih paketa moze srusiti ili zamrznuti napadnuto racunalo iliusmjerivac.Ova vrsta napada dobijala je ime "Ping of Death" i vise nije izvediva u praksi.

Zastita podataka na mreznoj razini

Otkrivanje krivotvorenih ARP poruka

Ukoliko iz bilo kojeg razloga nije moguce poduzeti zastitne mjere onemogucavanjaove vrste napada, opisane u slijedecem poglavlju, potrebno je poduzeti mjere kakobi se napad otkrio na najbrzi moguci nacin. Atkins opisuje nekoliko nacina kojiomogucuju otkrivanje. Ukratko ih se moze klasificirati, nabrojati i opisati kakoslijedi u nastavku.

Otkrivanje na razini umrezenih racunala moze se vrsiti:

- pasivno - racunalo vrsi provjeru pristiglih ARP poruka i ispituje sadrze lione izvorisnu adresu jednaku vlastitoj IP adresi sto predstavlja adresni


23/55

duplikat

- aktivno - racunalo vrsi ARP upit za vlastitu IP adresu, primi li odgovor,rijec je o adresnom duplikatu

Druga je vrsta otkrivanja ona koja se vrsi na razini posluzitelja. Naime, racunalo

u tom slucaju vrsi dva upita- ARP upitom dobiva strojnu (MAC) adresu koju provjerava dodatnim RARP upitom.Na RARP upit odgovara RARP posluzitelj koji poznaje IP adrese pojedinih racunalau mrezi i njihove odgovarajuce strojne (MAC) adrese. Ne podudaraju li se takodobiveni parovi strojnih (MAC) i IP adresa, moze se zakljuciti da je u tijeku napad.

Na kraju, otkrivanje na razini mreze moze se vrsiti:

- automatiziranom periodickom inspekcijom privremenih spremista adresnihparova na svim racunalima mreze

- kontinuiranim nadzorom cjelokupnog mreznog prometa koristenjem promiskuitetnogrezima rada komponente mreznog sucelja na racunalu mreznog administratora.

Onemogucavanje krivotvorenja ARP poruka

Najjednostavniji nacin zastite od ovog napada je prestanak koristenja ARP poruka.Umjesto trazenja strojne (MAC) adrese odasiljanjem poruka, svakom je racunalu namrezi moguce te adrese upisati u konfiguracijske datoteke i dopustati samo njiho

vorucno mijenjanje. Dodatan napor u administraciji koji takav nacin rada zahtijevanadoknaden je eliminacijom problema.

Slicno rjesenje prethodnom ostvaruje se koristenjem ARP posluzitelja, ARP posluziteljodgovara na ARP upite umjesto pojedinacnih racunala, konzultirajuci zapise ostrojnim (MAC) adresama koje su upisane u njegove konfiguracijske datoteke i takoderse samo rucno mogu mijenjati. Racunalo koje postavlja upite moze se konfiguriratida postavlja upite odasiljanjem, a koristi samo odgovore koji dolaze s poznatestrojne (MAC) adrese ARP posluzitelja. Prednost ovog pristupa jest u laksoj,centraliziranoj administraciji, a nedostatak je ranjivost na napade s nize mreznerazine, krivotvorenjem okvira. Zastitu je moguce provesti i koristeci preklopniku kojem je tablica parova IP-MAC zakljucena od neovlastenog mijenjanja o tomevise bilo je u predhodnom sloju.

Zastita od utjecaja krivotvorenih ICMP redirekcijskih poruka

Mogucnost fizickog, odnosno strojnog, rjesenja problema takoder je preporucljiva.Mreza se, postavljanjem usmjerivaca, moze segmentirati koristeci ista nacela koj

asu opisana u poglavlju o segmentaciji mreze na razini podatkovne veze. Jedina je


24/55

razlika sto se na mreznoj razini mrezni segmenti razlikuju svojim IP adresama,odnosno njihovim mreznim dijelom.

Najslozeniji i najnesigurniji nacin zastite od napada krivotvorenjem ARP porukajest povremena rucna provjera privremenog spremista adresnih parova te rucnobrisanje sumnjivih podataka, Na racunalima koja izvrsavaju neku inacicuUnix ili Windows operativnih sustava, za manipulaciju privremenim spremistem

ovih adresa sluzi naredba "arp".

Najlaksi je nacin zastite od napada krivotvorenim ICMP redirekcijskim porukamanjihovo jednostavno ignoriranje. Time ce se potpuno eliminirati utjecajkrivotvorenih poruka, ali ce se isto tako izgubiti i mogucnost dinamickogusmjeravanja i koristenja ucinkovitijih mreznih puteva na koje ukazuju autenticneporuke ove vrste.Drugi nacin zastite temelji se na provjeri autenticnosti poruke. Da bi racunaloprovjerilo dolazi li poruka uistinu od usmjerivaca, potrebna je provjera izvorisne

strojne (MAC) adrese koju poruka sadrzi, koristenjem ARP upita. Na zalost, zbogveciznesenih ranjivosti tog protokola, kao i mogucnosti krivotvorenja okvira na nizojmreznoj razini, razini podatkovne veze, ovaj nacin zastite nije potpuno siguran.

Zastita od utjecaja krivotvorenih poruka usmjerivackih protokota

Dva su nacina zastite od napada krivotvorenim porukama ove vrste. Prvi je nedopustiti usmjerivacima da rade kao pasivni elementi u usmjerivackom protokolujer tako i oni mogu postati zrtvom krivotvorenih poruka. Za razmjenu porukaizmedu usmjerivaca moguce je koristiti drugaciji protokol od onog kojim se

informacije predaju pasivnim elementima.

Na strani racunala, odnosno pasivnih elemenata, potrebno je koristiti takvu pasivnuimplementaciju protokola koja ce provjeravati autenticnost primljenih poruka.Takva ce implementacija podatke o usmjerivacima procitati iz vlastitekonfiguracijske datoteke i koristit ce samo njihove poruke u azuriranju svojihusmjerivackih informacija.

Koristenje IPsec nadogradnje Internet protokola

Uvidjevsi velik broj ozbiljnih prijetnji koje se javljaju na razini mreze,tijela za donosenje Internet standarada pokrenula su razvoj nadogradnje IPprotokola sa odredenim sigurnosnim elementima. Taj je razvoj rezultiraopojavom IPsec nadogradnje, koja na mreznoj razini povecava sigurnostkomunikacije IP paketima. Na zalost, IPsec jos nije u cestoj prakticnoj upotrebi,a njegov informativni opis slijedi u nastavku.

IPSec omogucuje dvije osnovne sigurnosne osobine na mreznoj razini:- tajnost podataka- zajamcen identitet izvora

S tim u vezi, IPsec se sastoji od dva osnovna protokola, i to Authenticationheader (AH) protokola te Encapsulation Security Payioad (ESP) protokola.

Da bi mogla zapoceti sigurnu komunikaciju, oba protokola izmedu izvorista iodredista stvaraju jednosmjerni logicki kanal s dogovorenim sigurnosnim


25/55

osobinama. Za dvosmjernu komunikaciju, uspostavljaju se dva kanala, svakiiniciran od jedne strane. Ti se kanali imenuju Security Agreement (SA) iodredeni su trojkom vrijednosti koju cine:

- identifikator protokola (AH ili ESP),- izvorisna IP adresa kanala,- identifikator veze, 32-bitna vrijednost koja je nazvana Security Parameter

Index (SPI).

Jednostavniji od dvaju protokola, AH protokol, omogucuje sigurnu identifikacijuizvorista te integritet podataka, ali ne i tajnost. Zaglavlje AH protokolasmjesteno je neposredno nakon IP zaglavlja, u podatkovni dio IP paketa, kako topokazuje sljedeca slika.

__________________________________________ IP AH Podaci zaglavlje zaglavlje (TCP, UDP segmenti)________________________________________

IP paket s AH zaglavljem

Najvaznije polje u zaglavlju AH protokola jest Authentication Data (AD) polje kojesadrzi digitalni potpis paketa. Pomocu tog polja odrediste vrsi sigurnu identifikacijuizvorista te moze provjeriti integritet podataka u paketu.

ESP protokol omogucuje i tajnost podataka i sigurnu identifikaciju izvorista.Elementi koje ovaj protokol dodaje standardnom IP paketu kao i sifrirani i dijelovizajamcene vjerodostojnosti posiljatelja paketa prikazani su na sljedecoj slici.

sifrirano

Zajamcena vjerodostojnost

__________________________________________________________ IP ESP Podaci ESP ESP zaglavlje zaglavlje (TCP, UDP segmenti)zavrsetak AD ______________________________________________________

IP paket s elementima ESP protokola

Sifriranje podataka se vrsi DES-CBC algoritmom. Kao i kod AH protokola, najvaznijepolje jest Authentication Data(AD) polje koje se nalazi na samom kraju paketa.

Oba protokoia se za siguran rad oslanjaju na efikasnu i sigurnu distribuciju kljucevaza sifriranje. U tu su svrhu razvijeni i Internet Key Exchange (IKE) algoritam,koji jepodrazumijevani algoritam za rad s kljucevima AH i ESP protokola, te Internet

Security Association i Key Management protokol (ISKMP) koji se koristi u radu skljucevima kao i uspostavljanju logickih kanala.


26/55

Koristenje vatrozida

U kontekstu racunalskog umrezavanja, pojam vatrozid, prema definiciji koja je citiranau Atkins, oznacuje skup komponenti koji je smjesten izmedu dviju mreza i koji posjeduje

slijedece tri osobine:

- sav promet u bilo kojem smjeru mora proci kroz vatrozid- promet kojem je dopusten prolazak mora biti u skladu s lokalnom sigurnosnom politikom- sam vatrozid je imun na napade i pokusaje probijanja

Djelovanje vatrozida tipicno pocinje na razini mreze ISO/OSI referentnog modelainastavlja se kroz vise razine.

Vatrozide koji djeluju samo na razini mreze zovemo i filtrirajucim usmjerivacima

.Ti usmjerivaci, vodeni definiranim pravilima filtriranja, pregledavaju svaki IPpaketkoji njima prolazi i, u ovisnosti o rezultatu usporedivanja u njemu sadrzane IPadrese(izvorisne ili odredisne) te protokoia sa pravilima zabranjenim vrijednostima, paketpropustaju odnosno ne propustaju.

Nedostatak je ovakvih vatrozida tesko konfiguriranje i nemogucnost potpune sigurnosnekontrole opasnosti na visim razinama mreznog modela, pa se stoga u praksi ipak koriste

kao pocetni nivo zastite ili je njihovo funkcioniranje uklopljeno u vatrozide kojidjeluju po vise mreznih razina.

------------------------------------------------------------------------------------

4. sloj - Sigurnost prijenosa izmedju dva krajnja racunala

Transportni sloj u ISO/OSI referentnom modelu

Sredisnje mjesto u ISO/OSI referentnom modelu pripada sloju transporta. Kao takav,sloj transporta ima ulogu sucelja izmedu slojeva visih razina modela, i mrezno ovisnihslojeva na prve tri razine modela, cime ih izolira od detalja konkretne mrezneimplementacije i omogucuje njihovu prenosivost. Od protokola u upotrebi na Internetu,sloj transporta cine Transmission Control protokol (TCP) te User Datagram protokol (UDP).

TCP je slozeniji protokol koji prijenos podataka obavlja uspostavljanjem veze izmedukrajnjih tocaka komunikacije. Uslugu koju taj protokol pruza protokolima vise ra

zineu literaturi obraduju pod imenom usluge pouzdanog prijenosa toka. Pri tome pouzdanost


27/55

oznacuje prijenos podataka bez gresaka i gubitaka, te sacuvan redoslijed prijemaposlanih podataka. Vazna je osobina ovog protokola i to da sve podatke tretira najednak nacin - kao skup okteta, bez obzira na njihovu vrstu. Podatke TCP prenosiupodatkovnim jedinicama segmentima koje na odredistu cuva u privremenim spremisti

ma.Nakon sto se privremeno spremiste napuni, podaci se predaju visim slojevima na obradu.

UDP je jednostavniji protokol koji se oslanja na protokol nize razine, IP, zaobavljanje najveceg dijela posla. Kao takav, UDP podatke prenosi bez uspostavljanjaveze, i bez provjere gresaka u prijenosu. Za razliku od TCP-a, ovaj bi se protokolmogao nazvati nepouzdanim, ali to nikako ne znaci i da je neupotrebljiv pa naInternetu nalazi mnoge nacine upotrebe.

Sigurnosne prijetnje na razini transporta

Zaobilazenje filtriranja iskoristavanjem fragmentacije na mreznoj razini

Napadi koji iskoristavaju fragmentaciju na mreznoj razini zapravo su napadisegmentima transportne razine koji iskoristavaju neke osobine protokola mreznerazine. Radi se, dakle, o kombiniranoj tehnici napada gdje je segment transportnerazine sredstvo ugrozavanja sigurnosti a paket mrezne razine pruza potrebnuinfrastrukturu da bi se napad uspjesno obavio. Pri tome su meta napada postupcifiltriranja koji takoder djeluju na osnovu informacija prikupljenih iz segmenatatransportne razine. Dvije vrste ovakvih napada opisane su u nastavku.

Napad fragmentacijom TCP zaglavlja

Cesto se, kao dio mreznog osiguranja, koristi filtriranje paketa. Da bi uspjesnootkrili paket koji sadrzi segment transportne razine koji krsi pravila i shodnotomene smije biti propusten, nuzno je da mrezni element koji obavlja filtriranje mozeprikupiti sve bitne informacije o namjeni segmenta. Te su informacije sadrzane uzaglavlju TCP segmenta.

Uspjesno zaobilazenje ovakvog nacina zastite napadacu omogucuje fragmentacija namreznoj razini. Internet standard kojim je defniran IP protokot [RFC 791] propisujenajmanju velicinu IP paketa koji ne smije biti fragmentiran na 68 okteta, od cega60 okteta otpada na IP zaglavlje, a 8 okteta na podatke. Fiksni dio zaglavlja TCPsegmenta, s druge strane, zauzima cijelih 20 okteta, pri cemu se iza granice od8 okteta nalaze i za filtriranje vazni podaci kao sto su zastavice opcija.

Zeli li ilegalno uspostaviti vezu sa zasticenim racunalom na transportnoj razini

,napadacu je dovoljno da sa svojeg racunala posalje TCP segment razbijen u dvadijela, kako to prikazuje sljedeca slika.


28/55

Polja TCP zaglavlja______________________________________

___________________________________________________Fragment 1 IP zaglavljeIzvor.port Odred. portBroj sekvence

___________________________________________________________________________________________________

Fragment 2 IP zaglavljeBroj potvrdePomak Rezervirano ________________________________________________

______________________________________

Fragmentacija TCP zaglavlja

Pri tome ce, zbog mogucnosti slanja IP paketa minimalne velicine, zaglavlje TCP

segmenta biti razdvojeno. Naidje li element koji vrsi filtriranje na takav paket,nece moci ispitati sva polja zaglavlja i u najvecem ce broju slucajeva paketbiti propusten i stici do svojeg odredista. Na odredistu ce segment biti ponovnosastavljen i veza na transportnoj razini na taj nacin moze biti uspostavljena.

Napad iskoristavanjem preklapanja fragmenata

Druga vrsta napada bazirana na fragmentiranju paketa iskoristava ranjivost uzrokovanunacinom sastavljanja fragmenata na odredistu od strane Internet protokola. Standardom

je propisano, a toga se drzi i najveci broj implementacija, da se u slucaju prijemadva fragmenta, gdje drugi fragment sadrzi oktete koji vec postoje u prvom fragmentu,pri sastavljanju uzimaju u obzir samo oni okteti prisutni u drugom fragmentu.

Da bi iskoristio ovu ranjivost, napadac ce u prvom fragmentu poslati kompletnozaglavlje TCP segmenta za koje zna da ce uspjesno proci kroz postupak flltriranjaZatim ce u drugom fragmentu poslati samo promijenjeni dio zaglavlja i ostataksegmenta. Promijenjeni dio zaglavlja, koji sadrzi informacije o uspostavijanjuveze kakve postupak flltriranja inace ne bi propustio, na odredistu ce zamijenitione informacije koje su stigle prvim fragmentom, segment ce biti sastavljen i vezamoze biti uspostavljena.

Razlog zbog kojeg drugi fragment prolazi provjeru pri filtriranju jest taj sto vecinafiltrirajucih elemenata provjerava samo one IP pakete koji prenose pocetak TCPsegmenata. IP paketi koji prenose neki unutrasnji dio TCP segmenta se ne provjeravajui propustaju se. Na taj nacin, napadac moze preklapanjem poslati gotovo cijelozaglavlje (osim prvog okteta) sa bitno izmijenjenim poljima i tako ostvaritinelegalnu vezu na razini transporta.

Ometanje i onemogucavanje rada racunala


29/55

Niti transportna razina nije imuna na napade iz "Denial of Service" klase. U nastavkuce biti obradjena nekoliko primjera takvih napada. Napada ove vrste su aktivni idestruktivne prirode, i uzrokuju nemogucnost komunikacije Internetom.Oba se napada baziraju na preplavljivanju ciljanog racunala velikim brojem paketa

transportne razine.

"Syn flood" napad

"Syn flood" napad koristi postupak "trostranog rukovanja" koji TCP-u omogucujeotvaranje veze posluzitelj-klijent tipa izmedu dvaju mreznih elemenata, najcesceracunala. Svaki mrezni element koji pruza neku na TCP-u baziranu uslugu potencijalnaje meta uspjesnog izvodenja ovog napada, pa tako napadnuti mogu biti i usmjerivaci ili

neka druga mrezna oprema.

Da bi uspostavila TCP vezu, dva mrezna elementa razmjenjuju tocno odredenu sekvencuTCP segmenata, prikazanu na sljedecoj slici.

Izvor/klijent Odrediste/posluzitelj __________________________ ___________________________Uspostavi vezu \SYN

\ \ \

SYN-ACK\ / Prijem i potvrda zahtjeva / / /

veza uspostavljena,potvrdi/ \ACK \ \veza uspostavljena

__________________________ ___________________________

Uspostavljanje TCP veze

Crtkanom strelicom je na slici oznacen segment koji se pri napadu ne salje.Vecina standardnih implementacija TCP-a na posluziteijskoj strani vec nakon primanjaprvog segmenta i slanja odgovora (->SYN; SYN-ACK->) rezervira i inicijalizira odredenimemorijski prostor koji ce, nakon uspostavljanja, sadrzavati sve parametre veze.Iskoristavanje ovakvog nacina rada implementactje u svrhu napada je trivijalno.Napadacu je dovoljno da ciljano racunalo preplavi zahtjevima za uspostavljanje v

eze,a postupak uspostavljanja sa svoje strane niti za jedan zahtjev ne dovrsi.Nakon odredenog broja pokusaja, napadnuto racunalo iscrpi sav memorijski prostor


30/55

predviden za informacije o zapocetim postupcima uspostavljanja veze sto rezultirasmetnjama u radu u obliku nemogucnosti uspostavljanja normalnih veza.

Najcesci nacin izvodenja ovakvog napada jest u kombinaciji s krivotvorenjem paketa

mrezne razine. Krivotvorenje adrese u IP paketu omogucuje napadacu da ostane neotkriveni istodobno ne ugrozi svoje racunalo primanjem velikog broja odgovora na zahtjevzauspostavljanje veze. Napadnuto racunalo, naime, odgovore na pokusaje uspostavljanjaveze salje na krivotvorenu IP adresu.

"Land metoda" napada

Rijec je o napadu slanjem zlonamjerno oblikovanih TCP (Transfer Control Protocol)

paketa, koji sadrze postavljenu SYN zastavicu te izvorisnu i odredisnu IP (InternetProtocol) adresu te izvorisni i odredisni port postavljen na vrijednosti odredisnogracunala. U takovom scenariju dolazi do privremenog (10-15 sekundi) DoS stanja naodredisnom sustavu zbog potrosnje cjelokupnih procesorskih resursa.

"Rose Attack" metoda

U ovoj metodi napada radi se o fragmetaciji paketa koji zahvaca gotove sve uredjajespojene na Interentu (telefone, satelite, mrezne uredjaje, ...).

Napad je jednostavan. Dva dijela fragmentiranih paketa salju se racunalu koje senapada. Prvi fragmentirani paket 32 oktera je incializira nulti fragment SYN paketa.Drugi fragmentirani paket takodjer je 32 okteta, samo sto je 64800 okteta upisanou datagram. Ova metoda mogucaje na ICMP, TCP, UDP protokolima.

Buduci da napad ne zahtjeva uspostavu veze s napadnutim sistemomizvorisna IP adresa moze biti lazna s cim se skriva prava lokacija napadaca.Takodjer izvorisni i odredisni port nije bitan posto se paket ne provjeravana cetvrtom sloju, tj. racunalo prima paket bez obzira koji se port koristi.

Preplavljivanje UDP paketima

Napad izveden preplavljivanjem UDP paketima uzrokuje zakrcenje mreze, cesto do granicaneupotrebljivosti. Najcesce se takoder izvodi u kombinaciji s krivotvorenjem IPpaketakako bi napadac bio teze otkriven. Preplavljivanje UDP paketima moze biti ciljano najedno racunalo, ili moze biti izvedeno izmedu dva racunala.

Velik broj servisa vise, aplikacijske razine, koji koriste UDP, svojim radom moz

ekreirati velik broj UDP paketa. Medusobnim spajanjem takvih servisa koje je trivijalno


31/55

izvesti, napadac moze zakrciti rad jednog racunala ili cijele mreze. U prvom slucaju,on ce servise spojiti na istom racunalu, u drugom ce spojiti servise izmedu dvarazlicita racunala.

Primjer dva takva UDP servisa na Unix racunalima su echo i chargen. Echo servisjednostavno odgovara na primljeni upit, odnosno zahtjev za potvrdom upita.

Chargen, s druge strane, je servis koji kreiranjem znakova (CHARacter GRNerator),u legalnoj upotrebi pomaze administratorima pri otklanjanju problema u radu mreze.Napadac ga u ilegalne svrhe moze iskoristiti tako da rezultate izvrsavanja velikogbroja zahtjeva chargen servisu poveze s echo servisom pri cemu nastaje velik brojpaketa koji uzrokuju zakrcenje.

Napad desinkronizacijom TCP veze

Napad desinkronizacijom TCP veze je napad aktivnog tipa koji se odvija na transportnojrazini, koristeci standardni nacin uspostavljanja i odrzavanja veze TCP-om.Djeluje uz pomoc napada na nizoj razini gdje napadac svoje racunalo lazno predstavljanapadnutim racunalima, a vrijedi i pretpostavka da moze prisluskivati i mijenjati savpromet izmedu njih. Desinkronizacijom veze napadac postize ili neovlastenouspostavljanje veze ili preuzimanje vec uspostavljene TCP veze izmedu neka dva mreznaentiteta. U nastavku ce taj napad biti opisan kroz nekoliko odijeljenih cjelina,radi

lakseg razumijevanja.

Uspostavljanje i odrzavanje veze TCP-om

Predhodna slika prikazuje koje segmente razmjenjuju dva racunala da bi uspostavilaTCP vezu. Pri uspostavljanju veze, svakom od SYN segmenata pridruzuje se slucajan brojsekvence (X). Segmenti potvrde (ACK) nose broj (Y) kojim potvrduju primljeni brojsekvence. Oba se broja upisuju u odgovarajuce polje zaglavlja segmenta. Za vrijemeuspostavljanja, svaka strana komunikacije kreira svoju lokalnu kopiju varijablikojesadrze spomenute brojeve. Nazovimo te varijable XI i YI za izvoriste, te XO i YOzaodrediste. Brojevi koje one sadrze omogucuju identificiranje veze u uspostavljanju iod strane izvorista i od strane odredista. Uzimajuci u obzir vrijednosti u varijablama,veza se uspostavlja izvodenjem slijedecih koraka:

1. Izvoriste -> SYN(XI) -> Odrediste2. Odrediste -> SYN(XO)-ACK(YO) -> Izvoriste3. Izvoriste -> ACK(YI) -> Odrediste

Azuriranje varijabli s obje se strane izvodi u ovisnosti o prometu na vezi. U stabilnim


32/55

stanjima veze koja su na snazi neposredno nakon uspostavljanja veze, te nakonkompletiranih razmjena segmenata (sekvenci slanja i primanja segmenata te slanjaiprimanja potvrda) za te varijable moraju vrijediti jednakosti:

- XO - YI i- XI - YO.

Desinkronizirano stanje veze

Desinkronizirano stanje veze nastupa kada u stabilnim stanjima veze za varijablesekvence i potvrde ne vrijede gore spomenute jednakosti. Takvo stanje moze nastupitigreskama u prijenosu, ili namjernom desinkronizacijom u svrhu zloupotrebe teonemogucava bilo kakvu razmjenu podataka izmedu dvije strane,

Izvodenje napada desinkronizacijom veze

Da bi uspjesno izveo napad, napadac ce nasilno desinkronizirati vezu te sa svojegracunala poceti slati segmente na obje napadnute strane, oponasajuci suprotnu stranuna svakoj od njih.

Desinkronizacija veze moze se izazvati na vise nacina, od kojih su najjednostavniji:

- rana desinkronizacija vrsi se pri uspostavljanju veze, Napadac uzrokuje takvouspostavljanje veze da su napadnuta racunala medusobno desinkronizirana, ali je

svako od njih sinkronizirano s napadacevim racunalom. Taj je nacin prikazan sljedecomslikom, gdje XN iYN predstavijaju napadaceve kopije varijabli sekvence i potvrde

- desinkronizacija slanjem nul-podataka vrsi se u trenucima kada je veza vecuspostavljena. Napadac na obje strane veze salje velik broj podataka kojinemaju drugu namjenu nego da iz sinkronizacije izbace varijable sekvencei potvrde.

Izvor, klijent Napadac posluzitelj ______________ ______________ ________________Uspostavi vezu\1SYN(XI)

Prijem i potvrda 1\ zahtjeva SYN(XO) YO=XI ACK(YO) 2/ \3

Veza /2 Resetiranje RST(XI)Uspostavljena Uspostavi vezu 3\Veza zatvorena

\4 SYN(NX)

4\Prijem i potvrda zahtjeva YO=NX


33/55

SYN(XO) ACK(YO)5/

Paket odbacen /5 pogresan broj Potvrda

potvrde (YO) uspostavljanja ACK(YN) YN=XO \6 6\Veza uspostavljena

______________ ______________ __________________

Nakon sto je veza desinkronizirana, napadac prati svaki pokusaj komunikacije s bilokoje strane. Originalni segmenti koje strane salju jedna drugoj bivaju od drugestrane odbaceni. Napadac ce te odbacene segmente prepraviti, umecuci brojevesinkronizacije i potvrde koji su drugoj strani prihvatljivi, a usput i dodajuci

stetan sadrzaj u podatkovni dio segmenta, kad mu to odgovara. Na taj nacin, nitijedna korisnicka strana nece primijetiti nista sumnjivo jer se razmjena podatakanaizgled nesmetano obavlja.

U slucaju da segmentima putuju naredbe, kao dio komunikacije nekim aplikacijskimprotokolom, primjerice Telnetom, dodavati stetan sadrzaj u njih je trivijalno,a vrlo opasno. Takvim je naredbama moguce brisati ili mijenjati datoteke,srusiti racunalo ili slicno.

Zastita podataka na razini transporta

Koristenje vatrozida

Funkcionalnost vatrozida na razini transporta i na razini mreze medusobno je ovisnai povezana. Vatrozidi, naime, filtriraju pakete mrezne razine na osnovu informacijakoje dobivaju iz njihovog podatkovnog dijela, koji pak sadrzi zaglavlje i podatkovnidio TCP segmenta.

Kao sto je ranije receno, TCP zaglavlje je od posebne vaznosti za ucinkovito filtriranjepaketa. Pri tome se najcesce koriste slijedeca polja zaglavlja:

- izvorisni i odredisni port - prisutni su i u zaglavlju UDP paketa, a oznacujunamjenuprijenosa koji se uspostavlja, pri cemu vatrozid moze blokirati prijenose namijenjeneodredenim servisima visih razina, kao sto su FTP ili slicni

- broj sekvence i potvrde - sadrze pomake (u oktetima) dijela segmenta koji se saljeodnosno prima od pocetka tog istog segmenta. Vece segmente TCP razbija u dijelov

e pricemu je najvazniji prvi dio (kojem je pomak od pocetka jednak nuli) koji sadrzizaglavlje


34/55

- zastavice - definiraju znacajke koje za dani segment vrijede. Vatrozid segmente sodredenim znacajkama ne mora propustati.

Zastita od napada iskoristavanjem fragmentacije

Filtrirajuci element najlakse ce sprijeciti napad fragmentacijom zaglavljanepropustanjem svih paketa manjih od nekog minimalnog broja okteta za koji sesigurno moze znati da sadrzi sve potrebne informacije za filtriranje. Kao sto jevecreceno, fiksni dio zaglavlja TCP segmenta velik je 20 okteta. Defmiranjem ukupneminimalne velicine paketa mrezne razine na 80 okteta (60 od kojih otpada na zaglavljekoje upotrebljava IP, a 20 na zaglavlje TCP-a), napad je sprijecen.

Zastita od napada preklapanjem fragmenata takoder je jednostavna. Dovoljno je

filtrirajuci element konfigurirati tako da ne propusta pakete koji ne sadrze pocetnifragment, a unutrasnji dio TCP segmenta kojeg prenose je preblizu pocetku tog istogTCP segmenta. Prema vec iznesenim podacima, to bi znacilo da filtrirajuci element nesmije propustiti paket koji sadrzi unutrasnji fragment ako je pocetak podataka utom fragmentu na manje od 20 okteta od pocetka ukupnog TCP segmenta.

Samozastita racunala na razini transporta

TCP segmenti koji uspiju proci kroz nize razine zastite jos uvijek ne moraju bitisigurni, kako su to i gornji primjeri pokazali. Dospiju li napadacevi segmenti dociljanog racunala, ono mora imati mogucnost samo se zastititi od njih. Takva zastitadanas postoji na vecini racunala koja imaju sposobnost komuniciranja Internetom,biloda se nalazi u paketu s implementacijama protokola i operacijskim sustavom, biloda se,u obliku aplikacije, moze nabaviti od alternativnih proizvoctaca programske opreme.

Na vecini posluziteljskih Internet sustava koji rade pod nekom inacicom Unixoperativnog sustava, ta zastita dolazi u obliku "TCP Wrappera". Rijec je o filteruTCP segmenata koji, na osnovu svojih konfiguracijskih postavki, a u skladu sasigurnosnom politikom, podatke iz TCP segmenata prosljeduje ili ne prosljeduje visimrazinama na daljnju obradu.

I na ostalim operativnim sustavima postoji alati koji obavljaju isti zadatak.Posebno to vrijedi za Windows platformu koja u posljednje vrijeme trpi velik brojsigurnosnih napada najrazlicitije vrste.

Zadnja verzija windowsa dolazi s ugradjenim firewallom u sam operativni sustav.Najkoristeniji programi koji pruzaju zastitu su sotwerski firewall najcese koristen je


35/55

besplatni "Zonealarm".

------------------------------------------------------------------------------------

5. sloj - Sigurnost veze izmedu procesa Sloj

sesije u ISO/OSI referentnom modelu

Prema ISO/OSI referentnom modelu, sloj sesije je zaduzen za uspostavljanje iprekidanje komunikacijskog kanala kojim dva entiteta vise razine obavljaju svojdijalog. Pri tome sloj obavlja i pomocne zadatke poput povremene sinkronizacijevremenski dugih prijenosa ili prijavljivanja gresaka visim slojevima.

Iz prve slike u ovom tekstu moze se zakljuciti da u Internet svijetu sloj sesijene postoji. Naime, sve funkcije ovog sloja obavljali su protokoli aplikacijske razine.Komunikacija protokola aplikacijske i transportne razine bila je direktna, bez

posrednih razina. Jedina iznimka tog pravila bila je Remote Procedure Call (RPC)protokol razvijen od tvrtke Sun koji se koristi u distribuiranim programskim sustavimai visim slojevima pruza uslugu slicnu onoj protokola sloja sesije u ISO/OSIreferentnom modelu. Prirodno je i da su najvece sigurnosne prijetnje na ovoj razinidolazile zbog upotrebe upravo tog protokola, sto je slucaj i danas,

Kako ovaj sloj ne bi ostao od minorne vaznosti, na srecu ili na zalost, pobrinuosepovecani broj sigurnosnih prijetnji, odnosno inventivnost napadaca da svaku mogucu

priliku iskoriste za kradu ili ugrozavanje korisnikovih podataka, Uvidjevsi svevecuprijetnju, tvrtka Netscape je odlucila razviti protokol koji bi korisnicima pruziosiguran komunikacijski kanal izmedu krajnjih tocaka komunikacije. Vec i iz sameprethodne recenice jasno je da je mjesto pozicioniranja takvog protokola upravonarazini sesije ISO/OSI referentnog modela. Razvojem u Netscapeu nastao je"Secure Sockets Layer" (SSL) protokol, kojeg je standardizacijom i manjim izmjenamaIETF (Internet Engineering Task Force) pretvorio u sluzbeni "Transport LayerSecurity" (TLS) protokol.

Kako TCP/IP cetveroslojni model ne poznaje slojeve izmedu transportnog iaplikacijskog, a TLS pruza usluge aplikacijskom sloju, to je on nazvan transportnim.Medutim, gledajuci kroz prizmu ISO/OSI referentnog modela, njegovo je mjesto u slojusesije, pri cemu, zbog sifriranja podataka kojeg vrsi, dio njegove funkcionalnostizadire i u visi sloj, sloj prikaza.

Slican je slucaj upravo opisanom i sa protokolima sigurne identifikacije. Dva sutakvaSiroko koristena protokola TAG Access Control Server protokol (TACACS) i Kerbero

s,a funkcionalnost potonjeg takoder se dijelom obavlja u sloju prikaza. Svi ce oni


36/55

ipak biti opisani u sklopu nizeg sloja na kojem se pojavljuju, dakle sloja sesije,kojem pripada veci dio njihove funkcionalnosti, ili na kojem obavljaju sav posaouslucaju kada ne komuniciraju sifriranim podacima.

Sigurnosne prijetnje na razini sesije

RPC prijetnje

Napadi koji koriste RPC protokol baziraju se prije svega na slabim ili nikakvimmogucnostima autentikacije ugradenim u sam RPC protokol. Kao sto mu i ime kaze,RPC omogucuje pozivanje procedura na udaljenim racunalima sto se prvenstveno koristiu razvoju distribuiranih aplikacija. Mrezni servisi aplikacijske razine kojiupotrebljavaju RPC su, izmedu ostalih, "Network File System " (NFS) te "NetworkInformation System" (NIS). Mogucnosti sigurne identifikacije posiljatelja definirane

u temeljnoj RPC speciflkaciji su vise nego slabe. Naime, RPC u svojoj osnovnoj verzijimoze raditi bez identifikacije, sto je potpuno neprihvatljivo, uzimajuci u obzirvaznost aplikacijskih servisa koje opsluzuje. Drugi nacin rada je koristenjemidentifikacijskog servisa na klijentskom racunalu, sto je daleko od potrebne sigurnostijer odgovori identifikacijskog servisa vrlo lako mogu biti krivotvoreni.

NFS omogucava dijeljenje datoteka izmedu racunala pri cemu se datoteke udaljenog,posluziteljskog racunala prividno pojavljuju kao dio datotecnog sustava na klijentskom

racunalu. Opasnost potencijalnog napada omogucenog ovako slabom identifikacijomocigledna je - napadat RPC protokolom moze dobiti pristup, ovisno o konfiguraciji,za citanje, pisanje ili brisanje NFS-om izlozenih datoteka. Upravo je nekolikoovakvih napada iz prakse i poznato. Pri tome je ova vrsta napada klasificirana uprijetnje s razine sesije, jer se radi bas o sigurnosti, odnosno nesigurnosti vezekoju RPC pruza visim razinama koje ga koriste.

Zastita podataka na razini sesije

Koristenje SSL i TLS protokola

Tvrtka Netscape odlucila je korisnicima omoguciti dodatnu sigurnost komunikacijeteje razvila SSL. Postavsi de facto standard za sigurnu komunikaciju na ovoj razini,SSL je evoluirao u TLS. lako baziran na SSL-u, TLS je procesom de jure standardizacijeizmijenjen te je s njime nekompatibilan. U nastavku ce biti opisana oba protokola.

Secure Sockets Layer protokol

SSL protokol visim razinama omogucuje Uspostavljanje i komunikaciju sigurnim kanalom.Uspostavljanje kanala provodi se dijalogom, prikazanim na sljedecoj slici.


37/55

Izvor/klijent Odrediste/posluzitelj ____________________ ______________________Uspostavljanje veze Zahtjev za

identifikacijom, lista podrzanih protokola ---------------------->

identifikacija servera,predlozeni protokoli i Potvrda uspostavljanja javni kljuc Dogovorene opcije

sifrirane tajnim Dovrsetak uspostavljanja kljucem ____________________ Zaglavlje i tip paketa Duljina paketa ________________________________________ ______________________________________ Kod indetiteka Podaci


38/55

____________________________________________ -->Zaglavlje i Escape bit Duljina Duljina tip paketa paketa dopune _________________________________________

____________________________________________

Kod

identiteta Podaci Dopuna


39/55


40/55

pristupio zeljenom posluzitelju. Na taj nacin korisnik ostvaruje ovastene dijaloge is PU i s posluziteljem na kojem obavlja posao.

------------------------------------------------------------------------------------

6. sloj - Sigurnost podataka u prijenosnoj sintaksi

Sloj prikaza u ISO/OSI referentnom modelu

Definiranje standardnog, apstraktnog tipa podataka kao univerzalnog sredstvasporazumijevanja, glavni je zadatak ovog sloja. Isto tako on definira i odredenbrojprijenosnih sintaksi. Sloj prikaza dogovara prijenosnu sintaksu izmedu krajnjihtocakakomunikacije, te vrsi konverziju iz i u lokalnu apstraktnu sintaksu ukoliko se istarazlikuje od prijenosne sintakse. Pri tome osigurava ocuvanje strukture poruka k

oje serazmjenjuju.

Sloj prikaza ima i dodatnu, opcionalnu ulogu, koja nije obuhvacena standardom.U slucaju potrebe sigurne komunikacije, na ovoj se razini izvorista vrsi sifriranjepodataka, dok sloj prikaza odredista vrsi desifriranje. Pri tome se postupak sifriranjapodataka moze shvatiti i kao postupak njihova prevodenja u prijenosnu sintaksu.

Iako na prvoj slici ne prikazuje se postojanje sloja prikaza u cetveroslojnom TCP/IPmodelu, on je na Internetu funkcionalno prisutan. Razlicitost sustava koji Inter

netomkomuniciraju uvjetovala je pojavu nekih nacina prevodenja podataka u standardneoblike,kako bi podaci mogli lako biti prevodeni iz lokalnog nacina prikaza jednog sustava ulokalni nacin prikaza nekog drugog, razlicitog sustava. Standard koji danas definiratakve nacine prevodenja nazvan je "Multimedia Internet Mail Extensions" (MIME) imozese koristiti u vecem broju aplikacija, a ne samo u elektronickoj posti, kako bise izimena moglo zakljuciti.

Uz opisane, univerzalne nacine primjene ovog sloja, on je prisutan i kao dioimplementacije nekih protokola. Telnet protokol, primjerice, sloj prikaza koristi zaprevodenje formata prikaza podataka izmedu razlicitih terminalskih tipova, a vecspomenuti RPC komunicira podacima prevedenim u posebnu prijenosnu sintaksu imenovanu"External data representation" (XDR).

Prisutnost sloja prikaza na Internetu

sigurnost iso-osi

Documents