Upload
dejan-simic
View
358
Download
14
Embed Size (px)
Citation preview
Visoka tehnološka škola strukovnih studija Šabac
Smer: Informacione tehnologije
SEMINARSKI RAD IZ PREDMETA
BEZBEDNOST INFORMACIONIH SISTEMA
Tema rada: Sigurnosni protokoli
Profesor: Student:
Dr. Aleksa Macanović Dejan Simić, 4-10/2009
Šabac, januar 2012.
SADRŽAJ:
ZADATAK.......................................................................................................31. UVOD U ZAŠTITU INFORMACIJA....................................................... 4
2. KOMPIJUTERSKI KRIMINAL.................................................. ............. 5
3. BEZBEDNOST MREŽA I SIGURNOSNI PROTOKOLI........................ 7
4. PROTOKOL Secure Sockets Layer (SSL)……………………………… 85. SSH.............................................................................................................106. IPSecurity (IPSec)………………………………………………………. 117. PROTOKOLI ZA PROMENU IDENTITETA………………………… 16
ZAKLJUČAK..................................................................................................18LITERATURA................................................................................................ 19
2
Zadatak
Zadatak seminarskog rada je da se opišu sigurnosni protokoli. Pokazaće mo šta oni predstavljaju, od kakvog su značaja, od čega se sastoje i kako funkcionisu. U toku rada videćemo njihovu struktutu i zbog čega se uopšte koriste.
3
1. Uvod u zaštitu informacija
Odavno je već izvesno da elektronske transakcije u svetu, a i kod nas postaju sve dominantniji način poslovanja. Promet ostvaren velikoprodajom i maloprodajom ovim putem, svake godine sve više raste. Svrha prelaska na elektronski način poslovanja (e-business) je, između ostalog, optimizacija poslovnih procesa (proizvodnje, marketinga, distribucije, prodaje, naplate), unapređenje odnosa i poslovnih servisa kompanije sa poslovnim partnerima (klijentima, dobavljačima, distributerima, bankama, vladinim agencijama i dr.).
Nažalost, podatke o razvoju elektronskog poslovanja prate i podaci o porastu kriminala u elektronskom poslovanju. Na osnovu procena o širenju Interneta u narednim godinama predviđa se i ogroman porast elektronskog kriminala (cyber crime). Razlog tako velikog porasta leži kako u neadekvatnoj primeni zakona koji tu oblast regulišu, tako i u razvoju novih tehnologija koje sadrže i nove mogućnosti za kriminalne aktivnosti. Znanje kriminalaca, o tome kako da eksploatišu ove mogućnosti, svakodnevno se uvećava, a softverski i hardverski alati su postali široko dostupni putem Interneta. Ovakvo stanje stvari zahteva implementaciju najstrožih mogućih mera zaštite elektronskog poslovanja.
Pojavom Interneta i njegovom sve masovnijom primenom dolazi do pojave novih oblika B2B poslovanja. Koristeći B2B u svakodnevnom poslovanju kompaije ostvaruju: bržu obavljanje novčanih transakcija, značajne uštede u vremenu potrebnom za obradu dokumentacije, povećanje produktivnosti i efikasnosti, smanjenje obima grešaka u obradi podataka.Međutim, aplikacije za elektronsko poslovaje su podložne skupu novih rizika i ranjivosti sistema. Zaštiti informacija B2B sistema je posvećena posebna pažnja. Imajući u vidu osetljivost i poverljivost informacija, kao i njihov kritičan uticaj na samo poslovanje kompanije, treba implementirati zaštitu B2B sistema na više nivoa: zaštita na nivou aplikativnog i transakcionog softvera, zaštita na nivou operativnog sistema, hardverska kontrola, antivirusna zaštita, zaštita na nivou mrežne infrastrukture, proceduralna i operaciona zaštita.
4
2. Kompijutersk kriminal
Iako je u svetu uobičajeno da se krivična dela protiv bezbednosti podataka u savremenim informatičkim sistemima nazivaju kompjuterska krivična dela (kompjuterski kriminalitet) naš je zakondavac za ova dela upotrebio termin računarski kriminalitet. Inače radi se o dva sinonimna pojma koja ukazuju na osnovne teorijske definicije pojma kompjuterskog kriminaliteta. Kompjuter (računar) u svakom slučaju predstavlja jednu od najznačajnijih i najrevolucionarnijih tekovina razvoja tehničko - tehnološke civilizacije. Ipak, pored svih prednosti koje sobom nosi i ogromne koristi čovečanstvu, kompjuter je brzo postao i sredstvo zloupotrebe nesvesnih pojedinaca, grupa čak i organizacija. Tako nastaje kompjuterski kriminalitet kao poseban i specifičan oblik savremenog kriminaliteta po strukturi, obimu i osobenostima. Sve to zaslužuje pažnju države i njenih organa pa i cele međunarodne zajednice.
Zahvaljujući ogromnoj moći kompjutera u memorisanju i brzoj obradi velikog broja podataka, automatizovani informacioni sistemi postaju sve brojniji i gotovo nezamenjivi deo celokupnog društvenog života svih subjekata (fizičkih, ali i pravnih lica) na svim nivoima. Tako kompjuter postaje svakodnevni i nezaobilazni deo, segment svih sfera društvenog života od proizvodnje, prometa, vršenja usluga pa do nacionalne odbrane i bezbednosti u najširem smislu. Ipak sve ove raznolike forme neposredne primene kompjutera u svim oblastima života nisu ostale nezapažene od strane nesavesnih i neodgovornih pojedinaca i grupa koji ne birajući sredstva i način protivpravnim ponašanjem pokušavaju da sebi ili drugom pribave protivpravnu imovinsku korist. Tako kompjuter postaje sredstvo vršenja različitih oblika nedozvoljenih, protivpravnih i društveno opasnih delatnosti. Naravno, kompjuterski kriminalitet pod čijim zbirnim nazivom su obuhvaćeni svi ovi raznoliki oblici i forme ponašanja vezani za zloupotrebu kompjutera i informacionih sistema uopšte iako štetna i opasna negativna društvena pojava modernog doba nema opšte usvojenu definiciju.
5
Tako se u krivičnopravnoj literaturi za ove raznolike oblike kompjuterskog kriminaliteta upotrebljavaju različiti termini kao što su : • zloupotreba kompjutera (computer abuse), • kompjuterska prevara (computer fraud), • delikti uz pomoć kompjutera (crime by computer), • informatički kriminalitet, • računarski kriminaliteti i• tehno kriminalitet. Ovaj vid kriminaliteta za razliku od drugih ne predstavlja još uvek zaokruženu fenomenološu kategoriju te ga je nemoguće definisati jedinstvenim i precizno pojmovnim određenjem. Kompjuterski kriminalitet je samo opšta forma kroz koju se ispoljavaju različiti oblici kriminalne delatnosti. Naime, to je kriminalitet koji je upravljen protiv bezbednosti informacionih (kompjuterskih, računarskih) sistema u celini ili u njenom pojedinim delu na različite načine i različitim sredstvima u nameri da se sebi ili drugom pribavi kakva korist ili da se drugome nanese kakva šteta.U teoriji krivičnog prava se mogu naći različita pojamna određenja kompjuterskog kriminaliteta. Tako Don Parker određuje kompjuterski kriminalitet kao zloupotrebu kompjutera u smislu svakog događaja koji je u vezi sa upotrebom kompjuterske tehnologije u kome žrtva trpi ili bi mogla da trpi gubitak, a učinilac deluje u nameri da sebi pribavi ili bi mogao da pribavi.
6
3. Bezbednost mreža i sigurnosni protokoli
Bezbednost mreža predstavlja održavanje prihvatljivog nivoa rizika za različite delove od kojih se sastoji mreža kao i zažtita mreže kao celine u postojećim informacionim sistemima. Pored toga u bezbednosti mreža spadaju i program, protokoli, model ii ostali načni zaštite koji će u budućnosti dovesti do smanjenja rizika od opasnosti za neke nove tehnologije koje se još uvek razvijaju. Potreba za bezbednošću mreža datira od vremena povezivanja prvih računara radi sigurnijeg prenosa podataka.
Protokol predstavlja skup pravila i konvencija koji definiše poseban komunikacioni okvir između dva ili više učesnika u komunikaciji
Uspostava veze Održavanje veze Raskid veze Oporavak u slučaju prekida veze
Kriptografski protokoli se upotrebljavaju za uspostavljanje sigurne komunikacije preko nepouzdanih globalnih mreže a i distribuiranih sistema. Oslanjaju se na kriptografske metode zaštite kako bi korisnicima obezbedili osnovne sigurnosne usluge poverljivosti, integriteta i neporecivosti.
Sigurnosni protokoli na različitim TCP/IP slojevima: Sloj aplikacije – OpenPGP Transportni sloj – TLS (Transport Layer Secuity) Mrežni sloj – IPSec Sloj veze – šifrovanje, različiti mehanizmi
Usluge specifične za određene primene: PGP – Pretty Good Privacy S/MIME – Secure/Multipurpose Internet Mail Extensions SET – Secure Eletronic Transaction Kerberos SSL/HTTPS
7
4. Protokol Secure Sockets Layer (SSL)
Obezbeđuje mehanizme za identifikaciju dva sagovornikapovezana računarskom mrežom i zaštićeni prenos podatakaizmeđu njih. Projektovan da zadovolji sledeće ciljeve:
Kriptografska zaštita Nezavisnost od softvera i hardvera Proširivost Efikasnost
Zadatak protokola Secure Sockets Layer (SSL) jeste da ostvarizaštićeni prenos podataka kroz mrežu. SSL obezbeđuje mehanizme za identifikaciju servera, identifikaciju klijenta i šifrovanu razmenu podataka između njih, što čini potpuni sistem zaštićene komunikacije dva mrežnaentiteta. Za ostvarivanje zaštićenog prenosa, protokol SSL morajupodržavati i klijent i server. Svojstva SSL-a:
Privatnost Mogućnost provere identiteta Pouzdanost
Slika 1. Takozvani “handshake - pozdrav” izmeđeu klijenta i servera
SSL se sastoji od dva protokola:
8
1. SSL Handshake protokol (protokol za rukovanje, tj.uspostavljanje sesije) koji omogućuje klijentu i serveru međusobnu identifikaciju i razmenu parametara za prenos (odabir algoritma i ključeve).
2. SSL Record protokola ( protokol za zapise ) koji je zadužen za šifrovanje i prenos poruka
Svaka SSL sesija je opisana sledećim atributima:
Identifikator sesije Potvrda identiteta Metoda kompresije Šifrovanje Tajna Proširivost
SSL protokol za zapise prima podatke s višeg sloja u blokovima proizvoljnih veličina, ne interpretira ih, već ih deli na delove odgovarajuće veličine, kriptografski štiti i šalje sagovorniku, gde se odvija obrnuti proces.
SSL se najčešće koristi za plaćanje robe kreditnom karticom, gde sezaštićeno prenosi samo broj kreditne kartice. Za takve, a i mnogo zahtevnije zadatke, SSL je zadovoljavajuće rešenje.
SSL nije standardizovao IETF (Internet Engineering Task Force)pomoću RFC dokumenata, već je opisan u publikaciji koju je objavila kompanija Netscape Communications. SSL je relativno brzo postao de facto standard za sigurnu komunikaciju, a www konzorcijum odobrio je SSL kao zvaničan standard. Implementacija SSL-a moze biti hardverska i softverska.
OpenSSL je besplatan kriptografski alat koji implementira sigurnosne protokole SSL verzije 2 i 3 i TLS v1, kao i ostale kriptografske standarde koji se odnose na ove protokole (na primer, 3DES, AES i RSA). OpenSSL omogućava da se s komandne linije pozivaju razne kriptografske funkcije ugrađene u zbirke datoteka programskog paketa OpenSSL. Programski paket OpenSSL može se besplatno preuzeti sa Web stranice www.openssl.org.
5. SSH
9
Secure Shell (SSH) je popularan protokol za šifrovanje komunikacionih kanala, koji se najčešće koristi za obezbeđivanje sigurnih sesija udaljenog prijavljivanja na sistem. Karakteristike SSH su da je:
Arhitektura SSH je dvoslojna, klijent-server arhitektura SSH server je softver koji prima ili odbija dolazeće veze ka
računaru SSH klijentski softver instaliran je na udaljenom računaru SSH šifruje sve podatke koji se prenose preko mreže, a samo
šifrovanje je transparentno (nevidljivo) za korisnika
Neka od drugih rešenja koja koriste arhitekturu i principe slične onima koje postoje u protokolu SSL jesu:
S/MIME (Secure/MIME) SSH (Secure Shell) PCT (Private Comunication Technology) OpenPGP
6. IPSecurity (IPSec)
10
IPSec nije jedan protokol. IPSec pruža skup sigurnosnih algoritama i plus opšti okvir (eng. Framework) koji omogućava paru entiteta koji komunicira da koriste algoritme koje žele da bi obezbedili odgovarajuću sigurnost komunikacije.
Slika 2. Mesto IPSek u skupu protokola
Primene IPSec-a:
Povezivanje udaljenih ogranaka firme sa centralom sigurnom vezom, a preko javnih (nesigurnih) mreza
Siguran pristup sa udaljenih lokacija preko javne mreže (Internet) Uspostavljanje extranet i intanet veza sa partnerima Povećanje sigurnosti elektronske trgovine
Generalni sigurnosni mehanizami koje pruža IPSec:
Provera identiteta (eng. authentication)
11
Poverljivost (eng. confidentiality) Upravljanje ključevima (eng. key management)
IPSec definiše informacije koje se moraju dodati IP paketu kako bi se obezbedili privatnost, integritet i provera identiteta, kao i način šifrovanja sadržaja paketa. Pri radu, IPSec koristi sledeće protokole i standarde:
1) Diffie – Hellmanov protokol za razmenu ključeva između dva učesnika u komunikaciji
2) Algoritme za digitalno potpisivanje komunikacija pri Diffie-Hellmanovoj razmeni ključeva
3) DES, 3DES (i u novije vreme, AES) simetrične algoritme za šifrovanje
4) HMAC (Hashing Message Authentication) u sprezi sa algoritmima MD5 i SHA
5) Digitalne sertifikate koje je potpisao odgovarajući autoritet
IPSec protokoli: AH (Authentication Header) ESP (Encapsuled Security Payload)
IP zaglavlje TCP zaglavlje podaci
Slika 3. Standardni oblik IP paketa
Protokol AH definisan je dokumentom RFC 2402. AH obezbeđuje sigurnosne usluge provere identiteta, integriteta i neporecivosti IP paketa, ali ne može obezbediti privatnost.
D
12
Sledeće zaglavlje užina punjenja Rezervisano
Skup sigurnosnih parametara
Redni broj
Autentifikacioni podaci
Slika 4. AH zaglavlja
Protokol ESP definisan je dokumentom RFC 2406. ESP obezbeđuje sigurnosne usluge provere identiteta, integriteta, neporecivosti i privatnosti podataka.
Skup sigurnosnih parametara
Redni broj
Podaci
Dopuna
Dužina dopune
Sledeće zaglavlje
Autentifikacioni podaci
Slika 5. ESP paket
IPSec podržava dva režima rada:
1) prenosni (engl. transport mode)2) tunelovanje (engl. tunnel mode).
13
Transportni režim rada namenjen je prvenstveno za uspostavljanje sigurne komunikacije između dva entiteta, tj. za komunikaciju računar-računar u privatnim LAN ili WAN računarskim mrežama. Za transportni način rada potrebno je da obe krajnje tačke komunikacije (izvor i odredište) podržavaju IPSec.
IP zaglavlje IPSec AH zaglavlje
TCP zaglavlje podaci
autentifikovano
Slika 6. AH u transportnom režimu rada
IP zaglavlje
IPSec ESP zaglavlje
TCP zaglavlje
podaci ESP dopuna
ESP aut. podaci
šifrovano
autentifikovano
Slika 7. ESP u transportnom režimu rada
IP zaglavlje
IPSec AH zaglavlje
IPSec ESP zaglavlje
TCP zaglavlje
podaci ESP dopuna
šifrovano
autentifikovano
Slika 8. ESP + AH u transportnom režimu rada
Tunelovanje je drugi režim rada IPSec protokola, u kome IPSec služi za uspostavljenje sigurne komunikacije između mrežnih prolaza (engl. gateway) na udaljenim mrežama (engl. gateway-to-gateway), obezbeđujući tako virtuelnu privatnu komunikaciju, tj. uspostavljajući VPN mrežu (Virtual Private Network)
14
između udaljenih lokacija. U ovom slučaju krajnji entiteti u komunikaciji ne moraju da podržavaju IPSec.
Slika 9. Tunelovanje
Novo IP zaglavlje
IPSec ESP
zaglavlje
IP zaglavlje
TCP zaglavlje
podaci ESP dopuna
ESP aut. podaci
šifrovano
autentifikovano
Slika 9. ESP tunelovanje
7. Protokoli za promenu identiteta
15
Provera identiteta je sigurnosna usluga kojom se od svakog korisnika zahteva da se predstavi sistemu pre nego što nešto uradi. Cilj provere identiteta je da obezbedi odgovarajući mehanizam pomoću koga će se potvrditi da je objekat zaista „ono za šta se izdaje“.
Primeri: Kerberos RADIUS
Kerberos je jedan od najpoznatijih protokola za proveru identiteta korisnika. Ime je dobio po Kerberu, zato što centar za distribuciju ključeva, poput mitskog bića, ima tri „glave“: bazu, server za proveru identiteta i server za izdavanje karata. Kerber (grč. Κέρβερος, Krberos, što znači demon iz jame) u grčkoj mitologiji predstavlja troglavog psa čuvara ulaza u podzemlje (Had).
Kerberos jeste takozvano prijavljivanje tipa „prijavi-se-samojednom“(engl. Single Sign On), koje korisnicima omogućava da se samo jednom prijave na sistem i da nakon toga, u skladu sa svojim ovlašćenjima, imaju pristup svim resursima u sistemu (ili mreži). Protokol Kerberos razvijen je još osamdesetih godina prošlog veka na MIT institutu (Massachusetts Institute for Technology) u okviru projekta Athena (u sklopu koga je, između ostalog, razvijano i grafičko radno okruženje za UNIX sisteme – X Window System).
Slika 10. Razmena poruka u Kerberos komunikaciji
RADIUS (Remote Authentication Dial In User Service) je AAA protokol, tj. protokol koji se koristi za proveru identiteta, autorizaciju i obračun usluga korisnika._ AAA = authentication, authorization and accounting
16
Najčešće se koristi za proveru identiteta korisnika na mrežnim uređajima, poput rutera i modema, koji, zbog ograničenih hardverskih resursa kojima raspolažu, ne mogu da čuvaju veliki broj parametara za proveru identiteta različitih korisnika. RADIUS obezbeđuje i mehanizam centralizovanogadministriranja korisnika, što je jako pogodno u okruženjima u kojima postoji potreba za administriranjem velikog broja korisnika.
Slika 11. Radius komunikacija
Zaključak
17
U savremenom poslovanju i razmeni informacija između ljudi mora postojati neki skup pravila koji će definisati razmenu ovih dobara, a to su upravo sigurnosni protokoli. Oni definišu pravila u toj komunikaciji, i takodje i veze koje tu vladaju. Zbog sve češćeg sajber kriminala i zloupotrebe informacija sigurnosni protokoli nam pružaju određenu sigurnost i pokazuju kako se i preko čega vrši razmena resursa preko mreže.
18
Literatura
1. D. Pleskonjić, N. Maček, B. Đorđević, M. Carić: “Sigurnost računarskih sistema i mreža”, Mikro knjiga, Beograd, 2007
2. Wikipedia, http://www.wikipedia.org
19