12
1 Jovan Jović [email protected] INTERNET INTERNET Za Zaštita IT resursa tita IT resursa 2 Svako na svom računaru ima neke važne podatke Svaki (poslovni) računar je umrežen Svakoj računarskoj mreži pristupa veći broj aktivnih korisnika Računarska mreža može da radi u lokalnom (zatvorenom) okruženju ili da bude povezana sa internetom Svaka računarska mreža postoji da bi radila Zašto zaštita? 3 Internet je javno dostupna računarsko komunikaciona infrastruktura veoma velikog broja korisnika Interaktivan pristup skladištima podataka na mreži Saobraćaj na mreži može lako i detaljno da se prati (ko, kada, gde, šta radi, ...) Internet nije projektovan tako da u sebi ima ugrañenu zaštitu podataka Zašto zaštita? 4 Osnovno pravilo: RAČUNARSKE MREŽE NISU BEZBEDNE! Stvarno bezbedan računar je samo izolovan i isključen računar. Potencijalnih opasnosti ima svuda na mreži i oko nje! Zašto zaštita? 5 Ciljevi zaštite Obezbeñenje ‘normalnog’ rada i funkcionisanja računarskih resursa Sprečiti sve uticaje koji mogu da naruše njihov rad Sagledati sve negativne uticaje i proceniti: verovatnoću da se oni pojave obim štete koji može da nastane Za Zaš tita ra tita rač unarskih resursa unarskih resursa

03 Internet Zastita - · PDF filebezbednost). Sigurnost podataka se štiti od: ... 03 Internet Zastita Author: Jova Created Date: 3/5/2015 5:40:37 PM

Embed Size (px)

Citation preview

1

Jovan Jović[email protected]

INTERNETINTERNETZaZašštita IT resursatita IT resursa

2

• Svako na svom računaru ima neke važne podatke

• Svaki (poslovni) računar je umrežen• Svakoj računarskoj mreži pristupa veći broj

aktivnih korisnika• Računarska mreža može da radi u lokalnom

(zatvorenom) okruženju ili da bude povezana sa internetom

• Svaka računarska mreža postoji da bi radila

Zašto zaštita?

3

• Internet je javno dostupna računarsko komunikaciona infrastruktura veoma velikog broja korisnika

• Interaktivan pristup skladištima podataka na mreži

• Saobraćaj na mreži može lako i detaljno da se prati (ko, kada, gde, šta radi, ...)

• Internet nije projektovan tako da u sebi ima ugrañenu zaštitu podataka

Zašto zaštita?

4

Osnovno pravilo:

RAČUNARSKE MREŽENISU BEZBEDNE!

Stvarno bezbedan računar jesamo izolovan i isključen računar.

Potencijalnih opasnosti ima svuda na mreži i oko nje!

Zašto zaštita?

5

Ciljevi zaštite• Obezbeñenje ‘normalnog’ rada i funkcionisanja računarskih resursa

• Sprečiti sve uticaje koji mogu da naruše njihov rad

• Sagledati sve negativne uticaje i proceniti:

• verovatnoću da se oni pojave• obim štete koji može da nastane

ZaZašštita ratita raččunarskih resursaunarskih resursa

2

7

Rezultat rada računarskih resursa su podaci koji se generišu, menjaju ili samo koriste.

Zbog toga je najčešći cilj zaštite očuvanje podataka, odnosno zaštita podataka.

ZaZašštita ratita raččunarskih resursaunarskih resursa

8

• Od primene višekorisničkih sistema zaštiti se poklanja sve veća pažnja

• Zaštita podataka može da bude izuzetno jednostavan, ali i izuzetno složen posao u zavisnosti od toga koje su funkcije i podaci povereni sistemu zaštite

• Zaštita podataka je disciplina koja se posebno izučava

Zaštita podataka

9

Zaštita podataka• Predstavlja područje permanentnog istraživačkog rada

• Svaki računar ima neke specifičnosti u pogledu zaštite

• Postoji direktna zavisnost rešenja od stepena osetljivosti podataka i raspoloživosti finansijskih sredstava

10

Mere zaštite• Cena zaštite u funkciji primenjenih mera• Najviši nivoi zaštite su izuzetno skupi• Bitne mere zaštite se mogu realizovati i sa malim troškovima

11

Mere zaštiteUticaj u ulaganja na nivo sigurnosti

0%

20%

40%

60%

80%

100%

Ulaganja u zaštitu

Niv

o si

gurn

osti

12

Informaciona politika• Firma treba da proceni rizike• Potrebno je uraditi jasnu politiku zaštite informacija

• Politikom se definiše kome i u kojoj meri će se dozvoliti pristup informacijama

• Ljudi su uglavnom najosetljivije mesto u svakoj bezbednosnoj analizi

3

13

• Što je stepen zaštite veći, to je cena računarskog i informacionog sistema viša

• Što je stepen zaštite veći, to su performanse sistema niže

Informaciona politika

Odnos:nivo zaštite : cena : preformanse

14

Osnovni pojmovi koji se odnose na zaštitu

• Bezbednosna pretnja• Napad• Zaštita• Zaštitni mehanizmi i servisi• Sistemi zaštite

15

Bezbednosna pretnjaBilo koja moguća aktivnost ili stanje koje ako se realizuje narušava projektovani način rada.

Može postojati u fazi:• Mirovanja podataka (skladišta)• Obrade podataka (pri radu programa)• Prenosa podataka

16

Bezbednosna pretnja

17

Bezbednosna pretnja

18

NapadRealizacija bezbednosne pretnje.

Manifestacije napada:• Odmah vidljiv, odložen, skriven

Napadi mogu biti:• Spoljni, unutrašnji

4

19

ZaštitaDefinicija:

Skup metoda, tehnika i pravnih normi kojima se kontroliše pristup podacima od strane programa i ljudi i štiti fizički integritet celokupnog računarskog sistema

20

ZaštitaPrincipi zaštite ¸računarskih mreža ne zavise od

toga da li je mreža u vezi sa Internetom ili ne.

Važni aspekti zaštite:• Privatnost• Bezbednost• Sigurnost• Tačnost

21

PrivatnostPrivatnost se definiše kao pravo ličnosti ili organizacija da sami odreñuju:

• kada• kako• u kojoj meri

informacije o njima mogu da budu ustupljene drugima

22

BezbednostZaštita prikupljenih, uskladištenih i prenošenih podataka od:

• elementarnih opasnosti• prirodnih fizičkih opasnosti• otkaza opreme• problema sa programskom podrškom• opasnosti zbog nenamernog delovanja ljudskog faktora

• zlonamernih delovanja ljudskog faktora

23

BezbednostElementarne opasnosti:• Zemljotresi• Poplave• Oluje• Veliki požari• Ratovi i neredi većih razmera• ...

24

BezbednostFizičke opasnosti:• Vatra (požari manjeg obima)• Voda (pucanje cevi, nezatvorene slavine)• Zagañenja (izlivanja agresivnih materija)• Eksplozije• Nestanak el.napajanja• ....

5

25

BezbednostOtkazi opreme:• Centralni procesor• Jedinice za skladištenje podataka• Radne stanice i terminali• Jedinice za štampu• Mrežna oprema (aktivna i pasivna)• Ostala oprema

26

BezbednostProgramska podrška:• Operativni sistemi• Alati za razvoj, testiranje i održavanje• DBMS (Data Base Manager System)• Aplikativni programi• Uslužni programi• Programi za prenos podataka mrežom• .....

27

BezbednostLjudski faktor:• Neznanje• Nedisciplina• Neodgovornost• Netačnost u radu• Nemar• Neadekvatno korišćenje opreme• .....

28

BezbednostZlonamerna delovanja:• Pribavljanje podataka za nezakonitu korist• Špijunaža• Onemogućavanje sistema da radi• Kraña pojedinih resursa• Obmana / prevara• Sabotaža• ....

29

SigurnostIma više dinamički karakter (u odnosu na bezbednost).

Sigurnost podataka se štiti od:• Slučajnog ili namernog otkrivanja neovlašćenim licima

• Neovlašćenih modifikacija ili uništavanja• Krañe sadržaja skladišnih medijuma

30

TačnostTačnost je ispravnost i konzistentnost primljenih, uskladištenih i isporučenih podataka, a treba proveravati da li su:

• podaci ispravno generisani ili menjani nekim programom

• primljeni podaci istovetni poslatim• uskladišteni podaci jednaki onim koji su poslati u skladište

6

31

Mehanizmi i servisi• Zaštitni mehanizam je mehanizam koji se projektuje tako da deluje preventivno, da detektuje napad i da oporavi sistem nakon izvršenog napada

• Zaštitni servis koristi jedan ili više zaštitnih mehanizama i namenjen je zaštiti sistema za procesiranje i prenos podataka

32

Sistemi zaštite• Zaštita podataka se zasniva na nizu aktivnosti (komponenti) povezanih u jedinstveni sistem

• Narušavanje bilo koje komponente zaštite dovodi do pada celog sistema

• Apsolutna zaštita se ne može ostvariti!• Doslednom primenom metoda i postupaka zaštite može se znatno otežati njeno narušavanje, a to je glavni cilj svakog sistema primenjene zaštite

33

Bezbednost mreže i podataka• Podacima i servisima ne mogu da pristupe neovlašćeni korisnici

• Obezbeñenje integriteta podataka• Obezbeñenje od neovlašćenog pristupa računarskim resursima

• Obezbeñenje od krañe i prisluškivanja• Obezbeñenje od ometanja usluga

34

Ranjivost sistemaNe postoji:• računar koji ne sadrži ni jednu grešku• operativni sistem (na računaru ili mreži) koji ne

sadrži ni jednu grešku• aplikativni program koji ne sadrži ni jednu

grešku• korisnik koji neće pogrešiti (slučajno ili namerno)

Potencijalni napadači koriste svaku moguću priliku da realizuju svoje namere

35

Vrste napada• Pasivni napadi – ‘prisluškivanje’ bez

promene sadržaja• Aktivni napadi – neautorizovane

promene u tokovima podataka

� Prekidanje postojećeg toka prenosa� Promena sadržaja poruka� Ubacivanje novih poruka

36

Computer

AAComputer

BBPoruka

Normalan tok poruke

Vrste napada

7

37

Computer

AAComputer

BBPoruka

Computer

XX

Por uk a

Presretanje / Uvid u sadržaj poruke

Vrste napada

38

Computer

AAComputer

BB

Computer

XX

Poruka

Poruka X

Modifikacija / Izmena sadržaja poruke

Vrste napada

39

Computer

AAComputer

BB

Computer

XX

Poruka X

Fabrikacija poruke

Vrste napada

40

Poruka

Computer

AAComputer

BBPrekid

toka

Prekid toka poruke

Vrste napada

41

Pasivni napadi• Elektromagnetno osluškivanje (sa centralne jedinice i periferijskih ureñaja)

• Prisluškivanje na komunikacionim linijama• Korišćenje skrivenih predajnika (na centralnoj jedinici, periferijskim ureñajima i komunikacionim linijama)

• Osmatranje i snimanje

42

Aktivni napadi• Zloupotreba legitimnog pristupa• Maskiranje• Pronalaženje i korišćenje ‘odškrinutih vrata’

• Ulaz preko aktivnog komunikacionog kanala

• Zlonamerni programi

8

43

Lažno predstavljanje• Kada se neko predstavlja kao da je neko drugi

• Korisnik sa malim pravima može da koristi lažno predstavljanje radi dobijanja dodatnih prava predstavljajući se kao korisnik koji ima veća prava

• Često se koristi u kombinaciji sa ponovnim emitovanjem i menjanjem poruka

44

Zlonamerni programi

• ‘Dolazak po zadatku’• Često imaju mogućnost da sami sebe umnožavaju na resursima

• Mogu biti ugrañeni i u komercijalne softverske pakete (slučaj ili namera?)

45

Zlonamerni programi

46

Neke definicije• Virus – program koji kopira samog sebe u druge programe

• Bakterija – umnožava se dok ne napuni ceo disk ili ne “potroši” sve CPU resurse

• Crv – program koji replicira samog sebe kroz mrežu (obično uz e-mail poruku ili attach-ovane dokumente)

• Trojanski konj – slanje podataka i lozinke napadaču preko mreže (primer)

47

• Logička bomba – zlonameran program koji se aktivira na neki dogañaj (na primer, na odreñeni datum)

• Uskršnje jaje (Easter Egg) – način kada autori pokazuju da oni kontrolišu računar ili aplikativni program

• Trap Door (Back Door) – programerska greška kada deo programskog koda za debug-ovanje omogući neautorizovanim korisnicima pristup podacima

Neke definicije

48

Ciljevi autora zlonamernih programa

• Da se brzo šire ili da brzo budu ‘gde treba’

• Da se teško detektuju

• Da odbrana bude što komplikovanija

9

49

Odbijanje servisa (DoS napad)

• Kada neki servis ne izvrši uobičajenu funkciju• Kada neki entitet sprečava druge da obavljaju

svoje funkcije (servise) na ispravan način• Onemogućavanje saobraćaja• Onemogućavanje protoka svih ili samo onih

poruka koje su upućene nekom posebnom odredištu

• Poruke namenjene narušavanju rada mreže

50

Napadi spolja• Pasivno prisluškivanje• Aktivno prisluškivanje• Lažno predstavljanje• Zaobilaženje mehanizama kontrole pristupa

• Ometajuća emitovanja

51

Napadi iznutra• Najčešće kada se poznati korisnici sistema ponašaju na neplaniran ili neovlašćen način

• Većina poznatih slučajeva napada je realizovana narušavanjem sigurnosti sistema iznutra

52

Zaštita mrežne infrastrukture• Primena “firewall”-ova• Blokiranje nepotrebnih portova• Šifrovanje putanje• Izolovanje putanje pomoću rutera i switch-eva

• Izolovanje putanje pomoću posebne infrastrukture

53

Zaštita mrežne infrastrukture

54

U praksi: DMZ• Demilitarizovana zona (DMZ)• DMZ je neutralna zona izmeñu korisnika, podataka, privatne i javne mreže ostvarena pomoću HW i SW

• Kombinovano korišćenje HW i SW sistema za detekciju i sprečavanje napada

10

55

U praksi: DMZ

56

Politika zaštite informacijaČesto se za sve glavne informacione entitete (oprema, informacioni podsistemi, baze podataka, datoteke, ...) odreñuje se ‘vlasnik’.

• Profesionalno lice (administrator) brine i odgovara za opremu• Vlasnik podataka je odgovoran za njihovu tačnost i zaštitu• Vlasnik podataka vrši klasifikaciju podataka po grupama • Vlasnik odreñuje ko i kako pristupa pojedinoj grupi podataka

57

Klasifikacija podatakaČesto primenjivana klasifikacija:• Javni podaci• Interni podaci• Poverljivi podaci• Tajni podaci

58

Kontrola pristupaU cilju kontrole pristupa potrebno je:• autorizovati sve korisnike• obezbediti obaveznu kontrolu pristupa• sprečiti brisanje deljenih entiteta (datoteka)

• sprečiti korisnike sistema da pristupaju pravima pristupa drugih korisnika

59

U praksi: Pojedinačni PCRačunar koji ima pristup Internetu treba da ima:

• Ispravnu verziju operativnog sistema (!?)• Antivirusni program sa stalnim ažuriranjem

verzije programa i baze o virusima• Dogovor sa provajderom o dopunskim zaštitama• Browser i mail client manje poznatog proizvoñača

60

U praksi: korišćenje lozinki• Preporučljiva upotreba korisničkih lozinki (username & password)

• Treba ih često menjati• Ne koristiti “očigledne” lozinke kao što su imena članova porodice, telefonski brojevi, imena kućnih ljubimaca i slično

• Ne koristiti previše duge lozinke, jer ih je tada potrebno zapisivati što povećava sigurnosni rizik

11

61

HW ili SW zaštita?• Hardverska zaštita (npr. firewall u ruteru)

• Softverska zaštita (npr. aplikacije koje filtriraju IP pakete)

• U praksi je najčešće u primeni kombinacija hardverske i softverske zaštite

62

Sigurnosni servisi• Kontrola pristupa ⇐ password• Tajnost podataka ⇐ šifriranje• Autentifikacija pošiljaoca i nepromenjen

sadržaj poruka ⇐ digitalni potpis

63

Šifarski sigurnosni mehanizmi

• Javni i tajni ključevi• Digitalni potpis• Digitalni vodeni žig (vidljiv i nevidljiv)

64

Šifarski sigurnosni mehanizmi

• Simetrično šifriranje • Asimetrično šifriranje

abcd abcd#@$&

Alat za šifriranje Alat za dešifrovanje

65

Computer

AAComputer

BB

abcdabcd

#@$&

abcd

Javni klju č

Tajni klju č

Alat

Šifarski sigurnosni mehanizmi

66

Specijalni sigurnosni mehanizmi

• Kombinacije zaštitnih mehanizama• Inteligentne kartice (smart card)• Biometrijski sigurnosni mehanizmi

• ...

12

67

HvalaHvala nana papažžnjinjiDaDa lili imaima pitanjapitanja??