35
BEZBJEDNOST MREŽNIH UREĐAJA PREPORUKE ZA POVEĆANJE STEPENA BEZBJEDNOSTI MREŽNIH UREĐAJA U RAČUNARSKIM MREŽAMA AGENCIJA ZA INFORMACIONO DRUŠTVO REPUBLIKE SRPSKE ODJELJENJE ZA INFORMACIONU BEZBJEDNOST Autor: Dejan Kukić

BEZBJEDNOST MREŽNIH UREĐAJA - oib.aidrs.org · PDF filebezbjednost mreŽnih ureĐaja preporuke za poveĆanje stepena bezbjednosti mreŽnih ureĐaja u raČunarskim mreŽama agencija

Embed Size (px)

Citation preview

Page 1: BEZBJEDNOST MREŽNIH UREĐAJA - oib.aidrs.org · PDF filebezbjednost mreŽnih ureĐaja preporuke za poveĆanje stepena bezbjednosti mreŽnih ureĐaja u raČunarskim mreŽama agencija

BEZBJEDNOST MREŽNIH

UREĐAJA

PREPORUKE ZA POVEĆANJE STEPENA

BEZBJEDNOSTI MREŽNIH UREĐAJA U

RAČUNARSKIM MREŽAMA

AGENCIJA ZA INFORMACIONO DRUŠTVO REPUBLIKE SRPSKE

ODJELJENJE ZA INFORMACIONU BEZBJEDNOST

Autor: Dejan Kukić

Page 2: BEZBJEDNOST MREŽNIH UREĐAJA - oib.aidrs.org · PDF filebezbjednost mreŽnih ureĐaja preporuke za poveĆanje stepena bezbjednosti mreŽnih ureĐaja u raČunarskim mreŽama agencija

1

ODJELJENJE ZA INFORMACIONU BEZBJEDNOST

Agencija za informaciono društvo Republike Srpske

Odjeljenje za informacionu bezbjednost

Publikacija OIBRS-PUB-M2

Serijal publikacija o bezbjednosti računarskih mreža

Autor : Dejan Kukić, [email protected]

Urednik izdanja: mr Srđan Rajčević, [email protected]

Page 3: BEZBJEDNOST MREŽNIH UREĐAJA - oib.aidrs.org · PDF filebezbjednost mreŽnih ureĐaja preporuke za poveĆanje stepena bezbjednosti mreŽnih ureĐaja u raČunarskim mreŽama agencija

2

ODJELJENJE ZA INFORMACIONU BEZBJEDNOST

SADRŽAJ

Sadržaj .................................................................................................................................................................... 2

1. Uvod ............................................................................................................................................................... 4

1.1 Autoritet ................................................................................................................................................ 6

1.2 Namjena i obim ..................................................................................................................................... 7

1.3 Publika .................................................................................................................................................. 7

1.4 Struktura dokumenta ............................................................................................................................. 7

2. Napadi na mrežne uređaje .............................................................................................................................. 9

2.1 Klasifikacija napada. ............................................................................................................................. 9

2.1.1 Pasivni napadi ....................................................................................................................................... 9

2.1.2 Aktivni napadi ....................................................................................................................................... 9

2.2 Najčešći napadi na mrežnu infrastrukturu ........................................................................................... 10

2.2.1 VLAN Hopping ................................................................................................................................... 10

2.2.2 CAM Flooding, CAM Table Exhaustion ............................................................................................ 11

2.2.3 MAC Address Spoofing ...................................................................................................................... 11

2.2.4 STP Spoofing ........................................................................................................................................ 11

2.2.5 ARP Spoofing ..................................................................................................................................... 12

2.2.6 DHCP Starvation ................................................................................................................................. 12

2.2.7 IP Spoofing ......................................................................................................................................... 12

2.2.8 ICMP napadi ....................................................................................................................................... 13

3. Smjernice ...................................................................................................................................................... 15

3.1 Nabavka i preuzimanje opreme ........................................................................................................... 15

3.2 Fizički pristup uređajima ..................................................................................................................... 16

3.3 Firmver ................................................................................................................................................ 16

3.4 Kredencijali .......................................................................................................................................... 17

3.5 Interfejsi .............................................................................................................................................. 19

3.6 Servisi i protokoli ................................................................................................................................. 19

3.7 Filtriranje saobraćaja i mrežna podešavanja ....................................................................................... 22

3.8 Rad sa konfiguracionim datotekama i servisima ................................................................................. 23

3.9 Logovi .................................................................................................................................................. 24

3.10 Testiranje ............................................................................................................................................ 26

Dodaci .................................................................................................................................................................. 27

Dodatak A – Sažetak smjernica ........................................................................................................................ 27

Nabavka i preuzimanje opreme ........................................................................................................................ 27

Fizički pristup uređajima ................................................................................................................................... 27

Firmver .............................................................................................................................................................. 27

Page 4: BEZBJEDNOST MREŽNIH UREĐAJA - oib.aidrs.org · PDF filebezbjednost mreŽnih ureĐaja preporuke za poveĆanje stepena bezbjednosti mreŽnih ureĐaja u raČunarskim mreŽama agencija

3

ODJELJENJE ZA INFORMACIONU BEZBJEDNOST

Kredencijali ....................................................................................................................................................... 28

Interfejsi ............................................................................................................................................................ 28

Servisi i protokoli .............................................................................................................................................. 28

Filtriranje saobraćaja i mrežna podešavanja .................................................................................................... 29

Rad sa konfiguracionim datotekama i servisima .............................................................................................. 29

Logovi ................................................................................................................................................................ 30

Testiranje .......................................................................................................................................................... 31

Dodatak B – Akronimi...................................................................................................................................... 31

Dodatak C – Literatura ..................................................................................................................................... 32

Page 5: BEZBJEDNOST MREŽNIH UREĐAJA - oib.aidrs.org · PDF filebezbjednost mreŽnih ureĐaja preporuke za poveĆanje stepena bezbjednosti mreŽnih ureĐaja u raČunarskim mreŽama agencija

4

ODJELJENJE ZA INFORMACIONU BEZBJEDNOST

1. UVOD

Svakodnevno se objavljuju članci koji upozoravaju na nove propuste u računarskim

sistemima koji omogućavaju nove napade.

Problem sa računarskim sistemima a pogotovo sa mrežnom infrastrukturom se ogleda u

činjenici da većina protokola koje se i danas koriste u vrijeme nastajanja nisu stavljali fokus

na bezbjednost.

U vrijeme nastajanja mrežnih protokola broj računara u svijetu je bio veoma mali, svaki

pristup mreži se mogao jedinstveno identifikovati. Danas se procijenjuje da pristup internetu

ima oko tri milijarde korisnika, od kojih jedan broj čine maliciozni korisnici, tj napadači.

Napadači, pojedinci i organizacije koje se bave informacionom bezbjednošću se nalaze u

konstantnoj trci u naoružanju. Zbog disbalansa ofanzivnih i defanzivnih alata i oružja, kod

kog značajnu prednosti imaju napadači, prevencija je jedan od primarnih načina odbrane.

Jedan od aspekata preventivnog djelovanja je i ojačavanje uređaja kako bi se umanjila

sposobnost napadača da izvrši napad.

Postoje različiti napadi na računarske sisteme, mi ćemo navesti neke od najčešćih ovdje.

Potrebno je napomenuti da se novi napadi pojavljuju gotovo svakodnevno, ali otklanjanje

ovih prijetnji će isključiti ili znatno otežati većinu napada.

Potrebna je svakodnevna edukacija administratora o novim prijetnjama. O aktuelnim

pitanjima iz oblasti informacione bezbjednosti može te se informisati na našoj veb

prezentaciju : https://oib.aidrs.org

U publikaciji ćemo koristi engleske termine u izvornom obliku, da ne bi smo uvodili dodatnu

konfuziju u još uvijek nestandardizovan prostor računarske terminologije. Izuzetak će biti

riječi koje su se udomaćile u svakodnevnom govoru koje ćemo pisati kako se izgovaraju:

Hardver (hardwere) – fizičke komponente računara.

Softvrer (software) – programi na računaru, uključuju i operativne sisteme.

Firmver (firmware) – programi niskog nivo koji su zaduženi za komunikaciju

sa harverom i pružaju servise operativnom sistemu ili drugim programima.

Interfejs (interface) – sloj između dvije cijeline, međusklop. Iako je interfejs

često korišćena riječ u računarstvu u ovoj publikaciju ćemo interfejsima

nazivati utičnice na mrežnim uređajima, tj mrežni interfejs.

Port (port) – port se u računarstvu koristi u kontekstu hardvera i u kontekstu

softvera. Pošto je hardverski port između ostalog sinonim i za mrežni interfejs,

riječ port ćemo koristi u kontekstu mrežnih protokola.

Page 6: BEZBJEDNOST MREŽNIH UREĐAJA - oib.aidrs.org · PDF filebezbjednost mreŽnih ureĐaja preporuke za poveĆanje stepena bezbjednosti mreŽnih ureĐaja u raČunarskim mreŽama agencija

5

ODJELJENJE ZA INFORMACIONU BEZBJEDNOST

Log (log) – zapis u nekoj datoteci, najčešće zapis o ponašanju uređaja ili

programa.

Server (server) – računar koji je određen da pruža usluge drugim računarima.

Ruter (router) – mrežni uređaj trećeg nivoa OSI referentnog modela.

Svič (switch) – mrežni uređaj drugog nivoa OSI referentnog modela.

Rutiranje – proces preusmjeravanja mrežnog saobraćaja, koji vrši ruter.

Publikacija se odnosi na podešavanja mrežnih uređaja u lokalnoj kabliranoj mreži.

Najčešće se mrežnim uređajima smatraju: mrežne kartice (NIC), repeater-i , hub-ovi, bridge-

vi, L2 i L3 switch-evi, router-i, firewall-i, IDS/IPS-ovi, WLAN access point-ovi, bluetooth

kartice isl.

Podešavanja za firewall-a, IDS/IPS (Intrusion Detection System/Intrusion Prevention

System) i bezbjednost bežičnih mrežnih uređaja će biti podržani u drugim publikacijama iz

ove serije.

Fokus publikacije je na mrežama i uređajima koji za komunikaciju koriste IEEE 802.3

Ethernet i IP protokole, iako se navedeni principi mogu koristi i na drugim uređajima.

Ova publikacija se primarno odnosi na uređaje koji rade na drugom (L2) i trećem (L3) nivou

OSI referentnog modela, a koji imaju mogućnost podešavanja (u daljem tekstu uređaji). Ti

uređaji uključuju L2 i L3 svičeve i rutere.

Principi navedeni u ovoj publikaciju mogu se koristiti i za ojačavanje (hardening) i drugih

uređaja na mreži.

Page 7: BEZBJEDNOST MREŽNIH UREĐAJA - oib.aidrs.org · PDF filebezbjednost mreŽnih ureĐaja preporuke za poveĆanje stepena bezbjednosti mreŽnih ureĐaja u raČunarskim mreŽama agencija

6

ODJELJENJE ZA INFORMACIONU BEZBJEDNOST

1.1 AUTORITET

Pojedini nazivi institucija, zakona i podzakonskih akata koji će biti korišćeni u publikaciji:

Agencija - Agencija za informaciono društvo Republike Srpske

CERT – Computer Emergency Response Team

OIB – Odjeljenje za Informacionu bezbjednost, organizaciona jedinica u sastavu

Agencije sa zadatkom koordinacije prevencije i zaštite od računarskih bezbjednosnih

incidenta kao i zaštitu kibernetičke infrastrukture, javnih organa, privatnih i fizičkih

lica. OIB vrši ulogu nacionalnog CERT-a.

ZIB - Zakon o informacionoj bezbjednosti (Službeni glasnik Republike Srpske, broj

70/11)

UMIB – Uredba o mjerama informacione bezbjednosti – donesena od strane Vlade

Republike Srpske na 82. Sjednici, održanoj 20.09.2012. godine.

PSIB – Pravilnik o standardima informacione bezbjednosti – donesen od strane

ministra nauke i tehnologije, na prijedlog Agencije 10.05.2013.

Ovlaštenjima Agencija u daljem tekstu ćemo smatrati ovlaštenja koja su data Agenciju u ZIB

članovi 10 i 13. i u UMIB član 36.

Ovlaštenjima OIB-a u daljem tekstu ćemo smatrati ovlašćenja koja su data OIB-u (vršiocu

uloge CERT-a) u UMIB član 36 i 37, kao ovlašćenja koja su data CERT-u u ZIB članovi 10,

11 i 12, pošto OIB vrši ulogu nacionalnog CERT-a.

ZIB predviđa provođenje mjera i primjenu standarda informacione bezbjednosti. ZIB, UMIB,

PSIB se odnose na :

Republičke organe,

Organe jedinica lokalne samouprave,

Pravna lica koja vrše javna ovlašćenja,

Druga pravna i fizička lica koja ostvaruju pristup ili postupaju sa podacima u

elektronskom obliku, republičkih organa, organa jedinica lokalne samouprave i

pravnih lica koja vrše javna ovlašćenja,

koje ćemo u daljem teksta nazivati subjektima.

Na osnovu ovlaštenja Agencije i ovlaštenja OIB-a donosimo vam ovaj dokument u cilju

provođenja mjera informacione bezbjednosti datih u ZIB i UMIB u saglasnosti sa PSIB.

Dokument pripada seriji publikacija OIBRS-PUB-M koja se odnosi na bezbjednost

računarskih mreža.

Page 8: BEZBJEDNOST MREŽNIH UREĐAJA - oib.aidrs.org · PDF filebezbjednost mreŽnih ureĐaja preporuke za poveĆanje stepena bezbjednosti mreŽnih ureĐaja u raČunarskim mreŽama agencija

7

ODJELJENJE ZA INFORMACIONU BEZBJEDNOST

1.2 NAMJENA I OBIM

Svrha dokumenta je podizanje nivoa računarske bezbjednosti u subjektima.

Potrebno je napomenuti da ne postoji apsolutno bezbjedan sistem, cilj je očuvanje stanja

informacione bezbjednosti sa što većom verovatnoćom uspjeha, dok god se informacija

smatra relevantom.

Ova publikacija je napisana u svrhu pomoći i smjernica prilikom postavljanja, podešavanja,

korišćenja i održavanja mrežnih uređaja, kako bi se informaciona bezbjednost u subjektima

digla na nivo koji omogućava veću vjerovatnoću zaštite podataka i spriječavanja incidenata u

informacionim sistemima i infrastrukturi subjekata.

Ovim dokumentom su obuhvaćene bezbjednosne prijetnje mrežnim uređajima, neki od

najčešćih napada na mrežne uređaje, podešavanja i testiranja mrežnih uređaja koja umanjuju

vjerovatnoću mrežnih napada na računarske sisteme od strane malicioznih korisnika.

1.3 PUBLIKA

Ovaj dokument je namijenjen stručnim licima koja se bave održavanjem računara i

računarskih mreža, mrežnih uređaja u subjektima, upravnim kadrovima iz oblasti IKT ,

timovima za odgovor na računarske incidente kao i trećim licima koja žele da povećaju nivo

računarske bezbjednosti u sistemima koje održavaju ili koriste (u daljem tekstu

administratori).

Pretpostavlja se da je publika upoznata sa principima funkcionisanja računarskih sistema i

računarskih mreža, kao i da poznaje osnovne pojmove iz računarske bezbjednosti.

Potrebno je poznavanje OSI (Open System Interconnection) referentnog modela.

1.4 STRUKTURA DOKUMENTA

Ostatak dokumenta je organizovan u dvije cjelina

Cjelina pod nazivom napadi na mrežne uređaje čitaoca će upoznati sa osnovinim pojmovima

vezanim za napade, korišćenom klasifikacijom i najčešćim napadima koji se dešavaju na L2 i

L3 nivoima OSI modela.

Page 9: BEZBJEDNOST MREŽNIH UREĐAJA - oib.aidrs.org · PDF filebezbjednost mreŽnih ureĐaja preporuke za poveĆanje stepena bezbjednosti mreŽnih ureĐaja u raČunarskim mreŽama agencija

8

ODJELJENJE ZA INFORMACIONU BEZBJEDNOST

Cjelina pod nazivom smjernice sadrži konkretna podešavanja i načine upotrebe uređaja.

Smjernice su skup opšteprihvaćenih dobrih praksi. Za neke smjernice su navedena

obrazloženja.

Page 10: BEZBJEDNOST MREŽNIH UREĐAJA - oib.aidrs.org · PDF filebezbjednost mreŽnih ureĐaja preporuke za poveĆanje stepena bezbjednosti mreŽnih ureĐaja u raČunarskim mreŽama agencija

9

ODJELJENJE ZA INFORMACIONU BEZBJEDNOST

2. NAPADI NA MREŽNE UREĐAJE

Resursi informacionog sistema uključuju hardver, softver, firmver, komunikacionu opremu,

informacije i podatke. U daljem tekstu koristićemo kao sinonime za resurse informacionog

sistema : sistemski resursi, računarski resursi ili jednostavno resursi.

Informaciona bezbjednost je stanje integriteta, dostupnosti i povjerljivosti resursa

informacionog sistema.

Napad na računarski sistem (u daljem tekstu napad) je narušavanje stanja informacione

bezbjednosti.

Napadač je osoba ili računar koji aktivno ili pasivno vrši napad ili pomaže izvršavanju

napada.

2.1 KLASIFIKACIJA NAPADA.

Napadi se mogu klasifikovati na nekoliko načina. Jedna od klasifikacija koja se koristi u RFC

4949 je na pasivne i aktivne napade. Pasivan napad pokušava da sazna ili iskoristi

informaciju iz sistema a da ne utiče na sistemske resurse. Aktivni napad pokušava da izmjeni

sistemske resurse ili utiče na njihov rad.

2.1.1 PASIVNI NAPADI

Cilj napadača koji izvodi pasivne napade je da dođe do informaciju koja se prenosi u nekoj

komunikaciji. Dve vrste pasivnih napada su otkrivanje sadržaja poruke i analiza saobraćaja.

Otkrivanje sadržaja poruke, je presretanje komunikacije između učesnika, u cilju saznavanja

informacija koje se prenose.

Analiza saobraćaja posmatra saobraćaj korišćenjem računarskih i statističkih metoda u cilju

saznavanja informacija o prirodi komunikacije. Informacije koje napadač skuplja mogu

uključivati lokaciju i identitet učesnika u komunikaciju, dužinu, vrstu i učestalost razmjene

poruka između učesnika.

Pasivni napadi se veoma teško otkrivaju zato što ne dolazi ni do kakve izmjene podataka.

2.1.2 AKTIVNI NAPADI

Page 11: BEZBJEDNOST MREŽNIH UREĐAJA - oib.aidrs.org · PDF filebezbjednost mreŽnih ureĐaja preporuke za poveĆanje stepena bezbjednosti mreŽnih ureĐaja u raČunarskim mreŽama agencija

10

ODJELJENJE ZA INFORMACIONU BEZBJEDNOST

Aktivni napadi uključuju neku izmjenu toka podataka ili stvaranje lažnog toka i mogu da se

podjele na četiri kategorije – maskiranje, ponavljanje, izmjena poruka i uskraćivanje usluga.

Maskiranje se dešava kada se jedan entitet pretvara da je neki drugi entitet. Napad

maskiranjem obično uključuje i jedan od ostalih oblika aktivnog napada

Ponavljanje uključuje pasivno hvatanje jedinice podataka i njeno naknadno ponavljanje kako

bi se postigao neovlašten efekat.

Izmjena poruka jednostavno znači da se promjeni neki dio legitimne poruke ili da se poruke

odlože ili im se izmjeni redosljed kako bi se proizveo neovlašten efekat.

DoS – Denial of Service (Uskraćivanje usluga) se vrši u svrhu spriječavanja ili kočenja

normalnog korišćenja komunikacionih sredstava ili njihovo upravljanje.

Aktivni napadi imaju karakteristike suprotne pasivnim napadima. Dok se pasivni napadi

teško otkrivaju, postoje mjere koje spriječavaju njihov uspjeh. Na drugoj strani, aktivne

napada je teško potpuno spriječiti zbog velike raznovrsnosti potencijalnih fizičkih,

softverskih i mrežnih ranjivosti

Potrebno je napomenuti i posebnu klasu napada takozvane MItM – Man In the Middle

(Ćovjek u sredini, napadi presretanja i prisluškivanja) u kojima se napadač postavi između

dva entiteta koji učestvuju u komunikaciji, i preusmjeri tok saobraćaja na sebe. MItM napadi

kao i DoS napadi imaju veliki broj varijanti. Neke od MItM varijanti su aktivni napadi, neke

su pasivni.

2.2 NAJČEŠĆI NAPADI NA MREŽNU INFRASTRUKTURU

2.2.1 VLAN HOPPING

Tehnologija VLAN-ova (Virtual Local Area Network) je tehnologija koja omogućava

uspostavljanje logičkih LAN-ova. Uređaji koji se nalaze na VLAN-u se ponašaju kao da su

na istom fizičkom LAN-u. Najčešći način implementacije VLAN tehnologije je IEEE

802.1Q, koji koristi specijalne okvire (frame) sa oznakama (tag) kom VLAN-u je

namijenjena poruka.

VLAN hopping (skakanje po VLAN-ovima) se odnosi na presretanje ili usmjeravanje okvira

iz jednog u drugi VLAN. Napadač ima dvije mogućnosti.

Prva mogućnost je da se pretvara da je svič i sa drugim svičem pregovara oko trunk portova i

ako uspije efektivno preusmjerava saobraćaj na sebe sa svih VLAN-ova drugog sviča.

Page 12: BEZBJEDNOST MREŽNIH UREĐAJA - oib.aidrs.org · PDF filebezbjednost mreŽnih ureĐaja preporuke za poveĆanje stepena bezbjednosti mreŽnih ureĐaja u raČunarskim mreŽama agencija

11

ODJELJENJE ZA INFORMACIONU BEZBJEDNOST

Druga mogućnost je Double tagging. Podatke koje napadač hoće da pošalje enkapsulira u

802.1Q okvir sa oznakom VLAN-a kojem hoće da prosljedi podatke. Nakon toga enkapsulira

taj čitav okvir u 802.1Q okvir sa oznakom svog VLAN-a. Kada takav okvir dođe na svič

skida se samo prvo zaglavlje, dok drugo ostaje netaknuto. Slijedeći svič na koji dođe okvir će

taj okvir preusmjeriti u VLAN za koji napadač nema pravo pristup.

2.2.2 CAM FLOODING, CAM TABLE EXHAUSTION

Drugi nivo OSI modela (L2) koristi MAC (Media access control) adrese. Content address

table (CAM) sadrži mapiranje liste portova sviča sa odredišnim MAC adresama. Ovaj

mehanizam omogućava sviču da proslijedi okvir na port na kome se nalazi odredišna MAC

adresa.

CAM flooding napadom napadač u tabelu ubacuje veliki broj lažnih mapiranja. Nakon što se

CAM tabela popuni svič šalje sav saobraćaj na sve portove i tako napadač dobija okvire koji

mu nisu originalno namijenjeni.

2.2.3 MAC ADDRESS SPOOFING

Spoofing je u ovom kontekstu lažno predstavljanje, napadač sazna MAC adresu uređaja, i

falsifikuje istu. Cilj napadača je da preusmjeri saobraća na sebe i tako dobije pristup

informacijama na koje nema pravo.

2.2.4 STP SPOOFING

Spanning Tree Protocol je protokol koji sprječava petlje u Ethernet mrežama.

TTL (Time To Live) je dio IP zaglavlja koje predstavlja maksimalan broj skokova (hop), tj

rutera, koje će paket proći prije nego što se odbaci. Pošto okviri nemaju TTL polje moguće je

da se okviri beskonačno vrti kroz mrežu smanjujući kapacitet mreže ili izazivajući DoS

napad.

STP proglašava jedan od svičeva root svičem, tada se topologija logički promjeni da bi se

izbegle petlje. Topologija se organizuje na osnovu root sviča. Kao posljedica toga preko root

sviča ide većina saobraćaja. Izbor root sviča se vrši na osnovu prioriteta i MAC adresa.

Page 13: BEZBJEDNOST MREŽNIH UREĐAJA - oib.aidrs.org · PDF filebezbjednost mreŽnih ureĐaja preporuke za poveĆanje stepena bezbjednosti mreŽnih ureĐaja u raČunarskim mreŽama agencija

12

ODJELJENJE ZA INFORMACIONU BEZBJEDNOST

Napadač se može predstaviti kao svič sa najvećim prioritetom i preusmjeriti saobraćaj na

sebe.

2.2.5 ARP SPOOFING

ARP (Adress Resolution Protocol) služi za mapiranje IP i MAC adresa. Napadač može

svima slati ARP poruke kojima govori da se na njegovoj MAC adresi nalazi određena IP

adresa, i tako preusmjeriti saobraćaj na svoj računar.

2.2.6 DHCP STARVATION

Kada se klijent bez dodeljene IP adrese prijavi na mrežu kontaktira DHCP (Dynamic Host

Configuration Protocol) server da bi dobio podešavanja. Podešavanja uključuju IP adresu,

adresu izlaza iz mreže (Default Gateway-a), adresu mreže, i mrežnu masku.

Broj adresa koji se mogu dodijeliti ograničen je veličinom DHCP pool-a (predefinisani

opseg adresa koje se mogu dodijeliti).

Pošto DHCP ne koristi ni autorizaciju ni enkripciju, napadač može preplaviti mrežu DHCP

zahtjevima i preuzeti sve adrese iz DHCP pool-a. Ovo onemogućava novim uređajima koji se

priključe na mrežu da dobiju adrese.

Napadač čak može uspostaviti svoj DHCP server na kome će u podešavanjima sebe proglasiti

default gateway-om i efektivno presretati sav saobraćaj koji dolazi sa mreže.

2.2.7 IP SPOOFING

Slično kao i ostali vidovi spoofing-a napadač se predstavlja kao meta, u cilju neautorizovanog

pristupa podacima.

Najčešći način IP Spoofinga je predviđanje broja sekvence. Napadač koristi slabost u TCP

protokolu.

TCP protokol koristi SYN , ACK, FIN flag-ove u TCP zaglavlju za sinhronizaciju klijenta i

servera. Pored flag-ova koriste se i dva broja, broj sekvence (sequence number) i broj potvrde

(acknowledgment number).

Ako napadač uspije da otkrije ili pogodi broj sekvence ima mogućnost da pristupi

informacijama koje mu nisu namjenjene. IP spoofing se koristi da bi se izveli napadi kao što

su krađa sesije (session hijacking) i blind spoofing.

Page 14: BEZBJEDNOST MREŽNIH UREĐAJA - oib.aidrs.org · PDF filebezbjednost mreŽnih ureĐaja preporuke za poveĆanje stepena bezbjednosti mreŽnih ureĐaja u raČunarskim mreŽama agencija

13

ODJELJENJE ZA INFORMACIONU BEZBJEDNOST

Drugi način izvođenja IP spoofing-a je IP spoofing korišćenjem source route-a. Napadač se

može predstaviti kao ruter i koristeći slabosti u protokolima rutiranja preusmjeravati

saobraćaj na sebe.

2.2.8 ICMP NAPADI

ICMP (Internet Control Message Protocol) se koristi za dijagnostiku mreže. Pošto ICMP ne

koristi autentifikaciju, ovaj koristan protokol za mrežne administratore se može zloupotrebiti

u svrhu izvršavanja DoS napada i MITM napada.

2.2.8.1 Ping Flood , ICMP Flood

Ovaj napad koristi echo (ping) opciju iz ICMP-a sa velikim payload-om. Ping najčešće šalje

podatke reda veličine deset B, npr 64 B. Ping flood promjeni veličinu podataka na recimo 64

kB i zatrpa računar sa velikom količinom podataka izazivajući DoS napad.

2.2.8.2 Ping of Death

Ovaj napad koristi ICMP echo opciju zajedno sa fragmentacijom paketa.

Fragmentacija paketa je mehanizam u IP protokolu koji omogućava da se paketi veći od

MTU(Maximum Transsmision Unit) sloja ispod prenesu kroz mrežu. Paketi koji su veći od

MTU-a sloja ispod se vraćaju na IP sloj gdje se dijele na manje dijelove koji se šalju u

zasebnim paketima, taj proces se naziva fragmentacija paketa (IP fragmentation).

Fragmentovani paketi se sklapaju na uređaju. Maksimalna veličina jednog IPv4 paketa je 64

kiB.

Napadač ima mogućnost da u pošalje fragmentovan ICMP echo sa maksimalnim payload-om,

kad se taj paket pokuša sastaviti na meti, veličina će biti veća maksimalne veličine paketa od

64kiB što može dovesti do DoS stanja na uređaju.

2.2.8.3 Smurf napadi

Napadač koristi falsifikovan ICMP echo zahtjev sa IP adresom mete i pošalje je na broadcast

adresu neke mreže, kad svi računari odgovore meti postoji mogućnost da dođe do DoS stanja.

2.2.8.4 ICMP Redirect napad

ICMP Redirect poruke se koriste za obavještavanje računara da postoji bolji gateway za

njihov saobraćaj. Napadač može iskoristi ICMP Redirect da preusmjeri saobraćaj na sebe.

Ovdje navedeni napadi su neki od najpoznatijih i najčešćih napada. Postoji veliki broj napada

koji ovdje nisu navedeni. Interesantan je primjer SYNFul Knock virusa, ovaj virus napada

Page 15: BEZBJEDNOST MREŽNIH UREĐAJA - oib.aidrs.org · PDF filebezbjednost mreŽnih ureĐaja preporuke za poveĆanje stepena bezbjednosti mreŽnih ureĐaja u raČunarskim mreŽama agencija

14

ODJELJENJE ZA INFORMACIONU BEZBJEDNOST

Cisco uređaje. Distribuiran je preko modifikovanog firmvera uređaja. Ovaj virus miruje u

uređaju i nije ga bilo moguće detektovati. U slučaju da dobije sekvencu paketa koji sadrže

određenu sekvencu SYN brojeva, koje nije moguće dobiti u normalnom režimu rada, tada

otvara port za udaljeni pristup tako da napadač može pristupiti. Istraživači smatraju da će

ovakvi napadi biti sve učestaliji u budućnosti. To je jedan od razloga zašto smo posvetili dio

ove publikacije zaštiti firmvera.

Page 16: BEZBJEDNOST MREŽNIH UREĐAJA - oib.aidrs.org · PDF filebezbjednost mreŽnih ureĐaja preporuke za poveĆanje stepena bezbjednosti mreŽnih ureĐaja u raČunarskim mreŽama agencija

15

ODJELJENJE ZA INFORMACIONU BEZBJEDNOST

3. SMJERNICE

Podešavanja uređaja, procedure korišćenja i postupanja sa uređajima i podešavanjima koje su

navedene u ovom poglavlju će omogućiti značajno povećanje nivoa bezbjednost.

Podešavanja nisu bazirana na nekog proizvođača, već se mogu primijeniti na uređajima

različitih proizvođača.

Podešavanja nisu podjeljena po uređajima, jer se većina podešavanja može izvršiti na svima

uređaji. Neki servisi i protokoli se koriste samo na svičevima, neki samo na ruterima,

pretpostavljamo da administratori znaju razliku pa nećemo detaljnije ulaziti u podjele.

Podešavanja nisu podjeljena po zonama bezbjednosti, podjela se nalazi kao dodatak u obliku

lista u cilju olakšavanja implementacije ovih podešavanja.

Pri tumačenju nekih od pojmova administratorima može biti od pomoći literatura koji se

nalaze u dodacima.

3.1 NABAVKA I PREUZIMANJE OPREME

Uređaji moraju biti nabavljani od strane proizvođača ili ovlaštenog prodavca da bi se

smanjila mogućnost podmetanja modifikovanih ili neispravnih uređaja. Pregledom

dokumentacije se utvrđuju mjere čuvanja i način upotrebe uređaja.

Pregledom dokumentacije se mogu utvrditi propusti koji mogu dovesti do bezbjednosnih

ranjivosti čiji se efekti, ako se uoče na vrijeme mogu otkloniti. Pregled dokumentacije i

testiranje funkcionalnosti uređaja predstavljaju osnovu za ojačavanje uređaja.

Dokumentacija je često izvor liste protokola i servisa koje uređaj koristi, verzije firmvera,

konfiguracionih adresa i fabrički ugrađenih kredencijala.

3.1.1 Uređaje nabavljati isključivo od proizvođača ili od ovlaštenog prodavca.

3.1.2 Ispravnost uređaja tokom prijema mora verifikovati stručno lice iz službe

zadužene za održavanje mreže. Stručno lice piše izvještaj o primopredaji i stanju

uređaja.

3.1.3 Prilikom preuzimanja provjeriti serijske brojeve koji su navedeni u dokumentaciju

sa serijskim brojevima na uređaju. Izvještaj mora da sadrži :

Serijske brojeve u dokumentaciji

Serijske brojeve na uređaju

Verziju firmvera.

Page 17: BEZBJEDNOST MREŽNIH UREĐAJA - oib.aidrs.org · PDF filebezbjednost mreŽnih ureĐaja preporuke za poveĆanje stepena bezbjednosti mreŽnih ureĐaja u raČunarskim mreŽama agencija

16

ODJELJENJE ZA INFORMACIONU BEZBJEDNOST

3.1.4 Izvođač je dužan dostaviti dokumentaciju koja sadrži korisničko uputstvo izdano

od strane proizvođača, spisak svih kredencijala za uređaje i konfiguracionim

adresama ako postoje.

3.1.5 Dokumentacija se čuva dok god je uređaj u upotrebi.

3.2 FIZIČKI PRISTUP UREĐAJIMA

U slučaju da napadač ima fizički pristup uređaju pored mogućnosti fizičkog uništenja i

onesposobljavanja ima mogućnost prisluškivanja. U nekim slučajevima moguća je i promjena

podešavanja uređaja.

Fizički pristup uređaju napadač može u nekim slučajevima manipulisati uređajem i

korisničkim nalozima.

Pasivni napadi koji koriste hardver, npr. prisluškivanje na fizičkom nivou su gotovo

nemogući za otkriti.

3.2.1 Uređaji moraju biti skladišteni, čuvani i upotrebljavani tako da su ispunjeni

Članovi PSIB- a od člana 44 do člana 71.

3.3 FIRMVER

Postoji mogućnost da se prilikom transporta, preuzimanja sa interneta ili sa nekog medijuma,

dođe do oštećenje ili podmetanja firmvera. Oštećenje može dovesti do nekorektnog rada

uređaja što može dovesti do bezbjednosnih propusta.

Postoji mogućnost presretanja saobraćaja i podmetanja firmvera koji je zaražen što može

dozvoliti napadaču neometan, a najćešće i neprimjetan pristup podešavanjima uređaja, mreži

i podacima na istoj.

Pošto je pasivne napade na nivou uređaja teško detektovati, mjere preventivne zaštite

obezbjeđuju korektno i bezbjedno ponašanje mrežnih uređaja.

Efikasan način provjere i spriječavanja je provjere intergriteta datoteke ili medijuma na kome

se firmver nalazi korišćenjem hash funkcija. Hash funkcija preslikava niz karaktera ili

datoteku u dugačak niz brojeva i slova. Dva različita unosa u hash funkciju ne mogu dati isti

izlaz.

Za izbor hash funkcije koja će se koristi za očuvanje integriteta pogledati ažurnu publikaciju

vezanu za dopuštene kriptografske algoritme i hash funkcije.

Page 18: BEZBJEDNOST MREŽNIH UREĐAJA - oib.aidrs.org · PDF filebezbjednost mreŽnih ureĐaja preporuke za poveĆanje stepena bezbjednosti mreŽnih ureĐaja u raČunarskim mreŽama agencija

17

ODJELJENJE ZA INFORMACIONU BEZBJEDNOST

3.3.1 Firmver preuzimati samo sa veb strane proizvođača ili na mediju koji se dostavlja

od uz uređaj.

3.3.2 Prilikom preuzimanja provjeriti hash-eve i uporediti ih sa hash-evima koji se

nalaze na veb stranici proizvođača.

3.3.3 Nakon preuzimanja firmvar snimiti na medijum koji podržava samo jedan upis.

3.3.4 Hash vrijednost čuvati odvojeno od medijuma.

Preporučljivo je čuvanje hash vrijednosti na papiru odvojeno od medijuma na kome se čuva

firmvare. Ako čuvamo firmvare na CD-R-u, ako čuvamo hash firmvera zapisan na CD ili na

omotu napadač, u slučaju da ima fizički pristup može zamjeniti i CD i zapisan hash tako da

nemamo mogućnost provjere.

3.3.5 Prilikom svrhe postavljanja firmvera provjeriti hash-eve i uporediti ih sa

sačuvanim hash-evima.

3.3.6 U slučaju da je moguće periodično provjeravati hash-eve firmvera koji se nalazi

na uređaju, a ako nije periodično nanovo postaviti firmver.

3.3.7 Koristi ažurne verzije za koje postoji podrška od proizvođača

3.4 KREDENCIJALI

Kompromitovanje kredencijala, automatski povlači kompromitovanje uređaja, što ostavlja

prostor za ozbiljne zloupotrebe.

3.4.1 Ukloniti podrazumjevane, fabrički ugrađene, kredencijale

Podrazumjevani kredencijali su najčešće javna informacija kojoj napadač može jednostavno

pristupiti. Takođe postoje automatizovani alati koji služe za skeniranje mreža u potrazi za

uređajima koji imaju podrazumjevane kredencijale.

3.4.2 Svaka promjena kredencijala mora se dokumentovati, tako da se jedinstveno može

identifikovati ko, kad i na kom načinu je promijenio kredencijale.

3.4.3 Kredencijale je potrebno periodično mijenjati.

3.4.4 Uključiti opciju koja ograničava broj pogrešnih unosa kredencijala na maksimalno

pet puta, nakon čega uređaj zabranjuje pokušaje pristupa na minimalno pet

minuta.

Ovaj korak je potreban da bi se onemogućili brute force i dictionary napadi na uređaje.

3.4.5 Ako je moguće promijeniti ime administratorskog naloga na nešto što nije

administrator, admin, root i sl.

3.4.6 Koristi jake lozinke.

Izbor lozinke utiče na prostor pretraga u kome će napadač tražiti lozinku. Na veličinu

prostora, broj varijacija utiču dužina lozinke i karakteri koji se koriste.

Page 19: BEZBJEDNOST MREŽNIH UREĐAJA - oib.aidrs.org · PDF filebezbjednost mreŽnih ureĐaja preporuke za poveĆanje stepena bezbjednosti mreŽnih ureĐaja u raČunarskim mreŽama agencija

18

ODJELJENJE ZA INFORMACIONU BEZBJEDNOST

𝐵𝑟𝑜𝑗𝑀𝑜𝑔𝑢ć𝑖ℎ = 𝐵𝑟𝑜𝑗𝐾𝑎𝑟𝑎𝑘𝑡𝑒𝑟𝑎𝐷𝑢ž𝑖𝑛𝑎𝐿𝑜𝑧𝑖𝑛𝑘𝑒

Ograničavanje broja mogućih pokušaja unošenja samo po sebi će onemogućiti brute force i

dictionay napade, ali je i pored toga poželjno koristiti jake lozinke.

Dužina lozinke znatno utiče na prostor pretraga.

Ako koristimo mala i velika slova engleskog alfabeta i specijalne karaktere imamo broj

karaktera =26 + 26 +30 =82, a lozinka nam je dugačka 6 karaktera dobijamo.

𝐵𝑟𝑜𝑗𝑀𝑜𝑔𝑢ć𝑖ℎ = 826 = 3.04 × 1011

U slučaju da koristimo samo mala slova engleskog alfabeta, a lozinka nam je dužine 9

karaktera dobijamo.

𝐵𝑟𝑜𝑗𝑀𝑜𝑔𝑢ć𝑖ℎ = 269 = 5.43 × 1012

Lozinke koje su vezane za uređaje na mreži na kojima se nalazi kritična infrastruktura

(Bezbjednosna zona 1 i 2) moraju sadržavati mala i velika slova i specijalne karaktere, dužina

lozinke ne smije biti kraća od 10 karaktera.

Da bi se spriječili dictionary napadi najbolje je ne koristi imenice. Takođe ne treba koristi

javno dostupne ili informacije koje se lako mogu saznati (datum rođenja, JMBG, ime djece).

3.4.7 U slučaju kompromitovanja, gubitka ili otkrivanja lozinke obavezno promijeniti.

Pod kompromitovanjem se podrazumijeva i prekid radnog odnosa sa licem koje zna

kredencijale.

3.4.8 U slučaju ustupljivanja kredencijala trećem licu, stručno lice piše izvještaj o

ustupanju kredencijala sa jasno definisanim rokom korišćenja. Nakon isteka roka

vrši se pregled log datoteka i podešavanja, i ako nije došlo do narušavanja

kredencijali se mjenjaju.

3.4.9 Isključiti servise koji omogućavaju udaljeno vraćanje lozinki.

3.4.10 Izbrisati ili na neki drugi način onemogućiti neaktivne korisničke račune.

Page 20: BEZBJEDNOST MREŽNIH UREĐAJA - oib.aidrs.org · PDF filebezbjednost mreŽnih ureĐaja preporuke za poveĆanje stepena bezbjednosti mreŽnih ureĐaja u raČunarskim mreŽama agencija

19

ODJELJENJE ZA INFORMACIONU BEZBJEDNOST

Ako nije moguče otkloniti neaktivne korisničke račune promijeniti lozinke na njima tako da

dužina lozinke bude maksimalna dozvoljena dužina koju uređaj dozvoljava, mora se sastojati

od nasumičnih karaktera koji izabranih tako da maksimizuje prostor pretraga.

3.4.11 Poželjno je korišćenje servera za Autentifikaciju, Autorizaciju i Rad sa

korisničkim nalozima (AAA - Authentication, Authorization and Accounting) koji

koriste aktuelan protokol u vrijeme pisanja RADIUS protokol ili alternativu.

3.5 INTERFEJSI

Pod interfejsima se podrazumijevaju fizičke utičnice na uređajima.

3.5.1 Isključiti interfejse koji se ne koriste

Interfejse koji se ne koriste potrebno je isključiti, ako napadač ima pristup interfejsima postoji

mogućnost presretanja i vršenja napada koje je teško otkriti. Ovo pravilo koristi posebno ako

su na interfejse priključeni kablovi mreže koja se ne koristi, npr zbog renoviranja.

3.5.2 Ako je moguće fizički ukloniti interfejse koji se ne koriste.

Ako uređaj ima modularne komponente, npr kartice sa interfejsima, moguće je fizički

otkloniti kartice. Kod ovog koraka treba obratiti pažnju na potencijalnu potrebu za

interfejsima u bliskoj budućnosti, npr zbog proširenja mreže, i u skladu sa tim donijeti odluku

o tome da li ukloniti kartice.

3.5.3 Ako nisu prijeko potrebni isključiti AUX i Console interfejs.

AUX i Console interfejsi sa specijalnim privilegijama. Jedna od namjena ovih

interfejsa je vraćanje lozinki. Pristup ovim portovima uz mogućnost da restartuje

uređaj omogućava napadaču neautrorizovan pristup lozinkama.

3.5.4 Interfejse koji se ne koriste staviti u zaseban VLAN čija je jedina svrha čuvanje

neaktivnih interfejsa.

3.6 SERVISI I PROTOKOLI

Servisi koji se ne koriste predstavljaju nepotreban bezbjednosni rizik. Potrebno je isključiti

sve servise koji se ne koriste, a potencijalno rizične servise ograničiti na upotrebu sa

Page 21: BEZBJEDNOST MREŽNIH UREĐAJA - oib.aidrs.org · PDF filebezbjednost mreŽnih ureĐaja preporuke za poveĆanje stepena bezbjednosti mreŽnih ureĐaja u raČunarskim mreŽama agencija

20

ODJELJENJE ZA INFORMACIONU BEZBJEDNOST

određenih adresa. Servisi koji se koriste za podešavanje uređaja su pokriveni u djelu

publikacije koji se odnosi na podešavanja uređaja.

3.6.1 Dozvoliti korišćenje ICMP-a samo iz lokalne mreže ili sa adresa koje koriste

administratori.

3.6.2 Isključiti nepotrebne servise na uređaju

3.6.3 Isključiti male UDP i TCP servise.

Iako ovi servisi imaju male pakete potrebno ih je isključiti da se ne bi zloupotrebe bili za DoS

napade na uređaj. Ovi servisi su se koristili za testiranje mreže prije pojave ICMP-a, i danas

se ne koriste.

Isključiti :

Echo (port broj 7) – Echo protokol originalno namijenjen testiranju mreže,

potisnut od strane ICMP-a tako da nema potrebe da se koristi.

Discard (port broj 9) – Na portu 9 postoje dva UDP protokola discard koji se

koristio za testiranje mreže i koji automatski odbacuje sav saobraćaj koji dođe

na taj port i Wake-on-Lan koji nema smisla za mrežne uređaje pogotovo ako su

uključeni 24 sata dnevno.

Daytime (port broj 13) – Takođe uveden u svrhe testiranja mreže, pošto postoji

mala potreba za ovim servisom isključiti ga.

Chargen (port broj 19) – Generiše niz ASCII karaktera, takođe se koristi za

testiranje, pošto ne postoji potreba isključiti ovaj servis.

3.6.4 Isključiti prevaziđene i nekorištene servise.

Finger – Protokol obezbjeđuje ime i prezime korisnika kao i mail adresu. U

ranim danima interneta je služio svrsi, ali u današnje vrijeme se može koristi u

svrhe socijalnog inženjeringa. Isključiti ovaj servis.

Bootp – Protokol koji se koristi za automatsku dodjelu adresa uređajima, pošto

je potisnut od strane DHCP-a nema potrebe da se koristi.

3.6.5 Ako nije potreban isključiti DHCP a ako je potreban ograničiti maksimalan broj

adresa koje se mogu dodijeliti interfejsu uređaja.

3.6.6 Isključiti PAD (Packet assembler/disassembler) ako nije u pitanju X.25 mreža.

3.6.7 Isključiti protokole za otkrivanje mrežnih uređaja ako nisu neophodni.

Napadač može iskoristi ove protokole da dobije znanje o arhitekturi mreže.

Protokoli za otkrivanje mreže :

LLDP - Link Layer Discovery Protocol,

CDP – Cisco Discovery Protocol,

LLTD - Link Layer Topology Discovery,

i ostale slične protokole.

3.6.8 Ako nisu potrebni isključiti protokole iz RMON (Remote MONitoring) porodice.

Page 22: BEZBJEDNOST MREŽNIH UREĐAJA - oib.aidrs.org · PDF filebezbjednost mreŽnih ureĐaja preporuke za poveĆanje stepena bezbjednosti mreŽnih ureĐaja u raČunarskim mreŽama agencija

21

ODJELJENJE ZA INFORMACIONU BEZBJEDNOST

3.6.9 Isključiti DTP (Dynamic Trunking Protocol)

Napadač može koristi ovaj protokol da se predstavi kao svič.

3.6.10 Isključiti VTP (VLAN Trunking Protocol) .

VTP je Cisco-ov protokol za dinamičku konfiguraciju VLAN-ova. Napadač je u stanju da,

ako se uspije predstaviti kao svič, pošalje ostalim svičevima konfiguracione VTP poruke.

Napadač može izbrisati sve VLAN-ove, što će se zahvaljujući VTP-u propagirati na ostale

uređaje. Ako je već potrebno koristiti VTP omogućiti autentifikaciju.

3.6.11 Isključiti sve servise za udaljeni upload/download sistemskog softvera, ako nisu

neophodni, izuzetak su enkriptovani servisi za preuzimanje ažuriranja od strane

proizvođača.

3.6.12 Isključiti MOP (Maintenance Operation Protocol).

MOP je protokol koji je razvijen od strane Digital Equipment Corporation, a se koristi za

upload i download sistemskog softvera između uređaja i servera. MOP se pokazao ranjivim

na višestruke napade. Problem je što je MOP kao predefinisano podešavanje uključen na

većini Cisco uređaja.

3.6.13 Isključiti sve nepotrebne protokole rutiranja.

3.6.14 Koristi bezbjedno protokole rutiranja.

Detalji bezbjednosti i ranjivosti u protokolima rutiranja su van opsega ove publikacije.

Manipulacija metrikama i nedostatak autentifikacije omogućavaju napadačima da manipulišu

tokovima mrežnog saobraćaja.

Za interno rutinranje koristi slijedeći protokoli rutiranja se smatraju bezbjednim :

RIPv2 (Routing Internet Protocol) i novije verzije.

OSPFv2 (Open Shortest Path First) i novije verzije.

EIGRP (Enhanced Interior Gateway Routing Protocol).

3.6.15 Isključiti protokole za čuvanje redundantinh uređaja (First Hop Redundancy

Protocol), ako su potrebni uključiti omogućiti autentifikaciju.

FHRP protokoli se koriste ili za balansiranje saobraćaja ili kao osiguranje u slučaju otkaza.

Ako nisu potrebni njihovo korišćenje nije preporučljivo, jer sa sobom povlači razne

mogućnosti eksplatacije od strane napadača.

Neki od FHRP protokola :

Obavezno isključiti HSRP (Hot Standby Router Protocol) - Cisco-ov protokol

koji omogućava da se računar više fizičkih rutera vidi kao jedan logički ruter. Iz

grupe rutera se bira jedan koji se prograšava aktivnim i jedan koji se proglašava

Page 23: BEZBJEDNOST MREŽNIH UREĐAJA - oib.aidrs.org · PDF filebezbjednost mreŽnih ureĐaja preporuke za poveĆanje stepena bezbjednosti mreŽnih ureĐaja u raČunarskim mreŽama agencija

22

ODJELJENJE ZA INFORMACIONU BEZBJEDNOST

kao zamjenski (stanby). U slučaju otkaza aktivnog rutera, zamjenski preuzima

njegove dužnosti.

HSRP se smatra nepouzdanim protokolom i ne treba se koristi. Napadač lako

može poslati poruku ruteru kojom mu govori da ode offline, drugi ruter možda

ima slabija bezbjednosna podešavanja i može obezbjediti napadaču lakši pristup

mreži.

VRRP (Virtual Router Redundancy Protocol) – open standard FHRP

GLBP (Gateway Load Balancing Protocol) – noviji Cisco-ov FHRP

CARP (Common Address Redundancy Protocol) – besplatan FHRP

ESRP (Extreme Standby Router Protocol) – FHRP koji koriste Extreme Networks

uređaji

R-SMLT (Routed Split multi-link trunking) – FHRP koji koriste Avaya uređaji

NSRP (NetScreen Redudancy Protocol) – FHRP koji koriste Juniper-ovi uređaji.

3.7 FILTRIRANJE SAOBRAĆAJA I MREŽNA PODEŠAVANJA

O filtriranju saobraćaja će više riječi biti u posebnoj publikaciji. Podešavanja navedena ovdje

predstavljaju osnove. Ako servise i protokole iz ostatka publikacije nije moguće isključiti na

uređaju, potrebno je blokirati portove na kojima rade.

3.7.1 Koristi ACL (Access Control Lists) mehanizme za filtriranje saobraćaja.

3.7.2 Svim korisnicima, osim administratora, zabraniti pristup konfiguracionim

portovima.

3.7.3 Zabraniti svima nekorištene portove.

3.7.4 Zabraniti directed-broadcast.

3.7.5 Zabraniti source-route.

3.7.6 Ukoliko nije potrebno isključiti podršku za IPv6

3.7.7 Zabraniti ICMP redirects.

3.7.8 Blokirati nevalidne dolazne lokalne adrese . Npr ako koristite 192.168.0.0/16

blokirati 10.0.0.0/08 i 172.16.0.0/12 adrese.

3.7.9 Ako nije potrebna isključiti fragmentaciju paketa.

Napadači mogu koristi alate koji fragmentiraju pakete u namjeri da zavaraju IDS/IPS-ove i da

izvrše napade kao što je Ping of Death.

3.7.10 Uključiti BPDU filtriranje.

BPDU (Bridge Protocol Data Unit) je protokol koji svič-evi koriste za međusobnu

komunikaciju. Ovaj protokol se koristi za izbor root svič-a u Spaning Tree Protocol-u.

Zabraniti BPDU pakete sa interfejsa na kojima se ne nalaze svič-evi.

Page 24: BEZBJEDNOST MREŽNIH UREĐAJA - oib.aidrs.org · PDF filebezbjednost mreŽnih ureĐaja preporuke za poveĆanje stepena bezbjednosti mreŽnih ureĐaja u raČunarskim mreŽama agencija

23

ODJELJENJE ZA INFORMACIONU BEZBJEDNOST

3.7.11 Zabraniti saobraćaj koji sadrži potencijalno opasne protokole.

3.8 RAD SA KONFIGURACIONIM DATOTEKAMA I SERVISIMA

Nekorektno korišćenje servisa za podešavanje uređaja može biti veoma opasno. Pošto može

voditi do krađe kredencijala i drugih zloupotreba potrebno je posebnu pažnju obrati na

konfiguracione datoteke i servise za podešavanje uređaja.

3.8.1 Izbjegavati korišćenje neenkriptovanih kredencijala u konfiguracionim fajlovima,

kad god je moguće koristi enkriptovane kredencijale.

3.8.2 Nakon promjene konfiguracione datoteke dokumentovati promjene, izračunati

hash. Hash čuvati na medijumu u koji je dozvoljeno samo jedno pisanje.

3.8.3 Koristiti bezbjedne protokole za transfer konfiguracione datoteke.

3.8.4 Ako udaljeno konfigurisanje nije neophodno isključiti ga. Ako je potrebno

udaljeno kofigurisanje koristi bezbjedne protokole.

SNMP - Koristi ažurnu verziju koja omogućava enkripciju. Gdje god je moguće

koristi SNMPv3 ili noviji. SNMPv1 i SNMPv2 ne koriste enkripciju pa su

pogodni za MItM napade.

SSH i Telnet - Ni u kom slučaju ne koristi telnet. Telnet informacije, uključujući

kredencijale ne enkriptuje. Presretanjem telnet komunikacije, napadač može

dobiti kredencijale za pristup uređaju što mu otvara mogućnost ozbiljnih

zloupotreba. Ako je moguće isključiti telnet.

Ako je već potrebno konzolno podešavanje koristiti aktuelnu verziju SSH

protokola, SSHv2 ili noviju.

HTTP - Ako nije potrebno ne koristi veb interfejs uređaja. Ako je već potrebno

ni u kom slučaju ne koristi HTTP, već samo HTTPS. Isključiti HTTP ako je

moguće.

TFTP - Ako nije potreban iskljućiti servis. Iako se TFTP može koristit za

transfer konfiguracionih falova i ažuriranja, ne preporućuje se njegovo

korišćenje. TFTP ne koristi autorizaciju ni autentifikaciju pa ga je bolje

izbjegavati. TFTP se može koristi za podmetanje konfiguracionih fajlova kao i

za DoS napade.

3.8.5 Uključiti automatsko prekidanje sesija nakon 5 min.

3.8.6 Omogućiti banere ili ekvivalentna obavještenja.

Na konfiguracionim servisima kao što su SSH i HTTPS potrebno je upozoriti korisnika da

dalji neautentifikovan pristup servisu predstavlja krivično djelo, te da će njegove akcije biti

bilježene.

Page 25: BEZBJEDNOST MREŽNIH UREĐAJA - oib.aidrs.org · PDF filebezbjednost mreŽnih ureĐaja preporuke za poveĆanje stepena bezbjednosti mreŽnih ureĐaja u raČunarskim mreŽama agencija

24

ODJELJENJE ZA INFORMACIONU BEZBJEDNOST

Potencijalni primjer banera sa upozorenjem :

„ Pristupate servisu koji je u vlasništvu SUBJEKTA.

Pristup ovom servisu je ograničen na autorizovana lica. Neautorizovan

pristup ovom servisu je krivično djelo, za koje možete odgovarati u

skladu sa Krivičnim Zakonom Republike Srpske.

Daljim pristupom servisu potvrđujete da ste autorizovan korisnik.

Daljim pristupom servisu pristajete da se vaše informacije i akcije

prate i trajno bilježe. Informacije koje se prate i trajno bilježe mogu

sadržavati i vaše lične informacije. Daljnim pristupom pristajete da se

vaše lične informacije prate i trajno bilježe.

U slučaju :

Da ste greškom pristupili ovom servisu ili

da niste autorizovan korisnik ili

da ne pristajete da se vaše informacije i akcije prate i trajno

bilježe ili

da ne pristajete da se vaše lične informacije prate i trajno bilježe,

napustite ovaj servis. “

3.8.7 Koristi poseban VLAN samo za održavanje i podešavanje uređaja.

3.8.8 Ne koristi VLAN 1

VLAN 1 je podrazumijevani VLAN, ako se napadač priključi na svič automatski se

dodjeljuje VLAN-u 1.

3.8.9 Ograničiti udaljeno podešavanje na adrese portove koje će administrator koristi.

Koristi mehanizame filtriranja, tako da se pristup konfiguracionim servisima i interfejsima

odobri samo autorizovanim licima.

3.8.10 Ako je moguće koristi višefaktorsku autentifikaciju

3.9 LOGOVI

Sa aspekta održavanja logovi pomažu administratoru da prati funkcionisanje uređaja.

Page 26: BEZBJEDNOST MREŽNIH UREĐAJA - oib.aidrs.org · PDF filebezbjednost mreŽnih ureĐaja preporuke za poveĆanje stepena bezbjednosti mreŽnih ureĐaja u raČunarskim mreŽama agencija

25

ODJELJENJE ZA INFORMACIONU BEZBJEDNOST

Sa aspekta bezbjednosti logovi mogu pomoći otkrivanju i sprečavanju napada. Od velikog su

značaja tokom istraga o potencijalnom incidentu.

3.9.1 Obavezno je omogućiti logove.

3.9.2 Po mogućnosti koristi opcije logova koji se poslije dodavanja ne mogu mjenjati

(append only).

Izmjena logova ne bi trebala biti moguća. Napadač bi mogao da falsifikuje logove da bi

prikrio tragove napada ili naveo istraživače na pogrešan trag.

3.9.3 Moraju se voditi logovi o pristupu uređaju, pokušajima pristupa, promjeni u

firmveru, konfiguraciji, uključivanju i isključivanju uređaja.

3.9.4 Ako je moguće logove smještati na udaljeni (syslog) server.

Centralizacija logova na jedan server omogućava administratorima, lakši pristup i analizu

čitavog sistema.

3.9.5 Log server mora biti ojačan.

Loša strana centralizacije logova je, ako napadač napadne log server može dobiti značajne

informacije o sistemu i korisnicima koje može iskoristi u daljim napadima.

3.9.6 Logove po mogućnosti čuvati u enkriptovanom obliku.

3.9.7 Ograničiti pristup logovima svima osim administatoru.

U slučaju da se logovi čuvaju na serveru, samo administratorima odobriti čitanje istih.

Upisivanje logova omogućiti samo procesu koji je zadužen za pisanje logova.

3.9.8 Logove transportovati bezbjednom vezom.

Pošto logovi mogu imati osjetljive informacije, mora se onemogućiti presretanje.

Logove transportovati VPN vezom.

3.9.9 Uspostaviti standard normalnog ponašanja mreže (baseline).

Standard normalnog ponašanja mreže, pomaže administratoru da odredi devijacije u

ponašanju korisnika i reaguje. Pošto se navike korisnika mijenjaju potrebno je povremeno

mijenjati i baseline.

3.9.10 Periodično pregledati logove tražeći odstupanje od normalnog režima rada

3.9.11 Ako je moguće uvesti sisteme za obavještavanje u slućaju odstupanja od

normalnog ponašanja.

3.9.12 Koristiti NTP server.

Network time protocol se koristi za sinhronizaciju vremena na uređajima, znatno olakšava

analizu logova u slučaju incidenta.

Page 27: BEZBJEDNOST MREŽNIH UREĐAJA - oib.aidrs.org · PDF filebezbjednost mreŽnih ureĐaja preporuke za poveĆanje stepena bezbjednosti mreŽnih ureĐaja u raČunarskim mreŽama agencija

26

ODJELJENJE ZA INFORMACIONU BEZBJEDNOST

3.9.13 Ako je moguće omogućiti grafičke alate za analizu logova.

Analiza tekstualnih fajlova zna biti poprilično zamorna, tako da je preporučljivo imati

grafičke alate za automatsku obradu logova, mada analiza tekstualnih logova nosi puno više

informacija za ljude koji je znaju koristiti.

3.10 TESTIRANJE

3.10.1 Prije uključivanja uređaja u mrežnu infrastrukturu potrebno je testirati uređaj.

Testiranje se može vršiti :

Automatskim alatima za testiranje - Alati koji testiraju uređaje na poznate ranjivosti i

o tome obavještavaju korisnika. Ovi alati brzo dolaze do rezultata, lako se koriste,

imaju module za generisanje izvještaja. Negativna strana je što mogu biti skupi i

nemaju inteligenciju koja bi im pomogla sklapanju šire slike o sistemu, npr. više

ranjivosti koje same po sebi ne mogu napraviti puno štete kad se iskombinuju mogu

imati katastrofalne posljedice.

Bezbjednsne liste - Liste sa koracima koji se trebaju preduzeti da bi se ispoštovala

politika bezbjednosti. Zahtjeva rad administratora, administrator mora pisati izvještaje

ručno. Liste nisu uvjek ažurne. Administrator može uočiti neke propuste koje program

ne može.

Pentesting – Testiranje mreže od strane trećih lica koja će simulirati napade, na

uređaje. Testeri se ponašaju kao napadači, koristeći sva moguća sredstva. Rezultati

zavise od kvaliteta i domišljatosti testera.

Poželjno je kombinovanje ovih metoda.

Testiranje obuhvata testiranje ispravnosti uređaja i analizu saobraćaja.

Testiranje u laboratorijskim uslovima je potrebno vršiti nakon postavljanja podešavanja iz

ostatka dokumenta.

U slučaju da se ne pronađu anomalije tokom testiranja u laboratorijskim uslovima, potrebno

je vršiti praćenje saobraćaja nakon postavljanja uređaja na mrežu.

3.10.2 Potrebno je napraviti provjera saobraćaja i skeniranje uređaja u laboratorijskim

uslovima, i napisati izvještaj.

Neki od uređaja mogu imati ugrađene propuste kao i skrivene servise. Analizom saobraćaja u

laboratorijskim uslovima moguće je otkriti anomalije u ponašanju. Ako se otkriju anomalije

potrebno ih je dokumentovati, i slijediti politike za rad sa incidentima.

Page 28: BEZBJEDNOST MREŽNIH UREĐAJA - oib.aidrs.org · PDF filebezbjednost mreŽnih ureĐaja preporuke za poveĆanje stepena bezbjednosti mreŽnih ureĐaja u raČunarskim mreŽama agencija

27

ODJELJENJE ZA INFORMACIONU BEZBJEDNOST

3.10.3 Potrebno je periodično testirati funkcionalnost i bezbjednost uređaja.

DODACI

DODATAK A – SAŽETAK SMJERNICA

NABAVKA I PREUZIMANJE OPREME

o Uređaje nabavljati isključivo od proizvođača ili od ovlaštenog prodavca.

o Ispravnost uređaja tokom prijema mora verifikovati stručno lice iz službe zadužene za

održavanje mreže. Stručno lice piše izvještaj o primopredaji i stanju uređaja.

o Prilikom preuzimanja provjeriti serijske brojeve koji su navedeni u dokumentaciju sa

serijskim brojevima na uređaju. Izvještaj mora da sadrži :

Serijske brojeve u dokumentaciji

Serijske brojeve na uređaju

Verziju firmvera.

o Izvođač je dužan dostaviti dokumentaciju koja sadrži korisničko uputstvo izdano od

strane proizvođača, spisak svih kredencijala za uređaje i konfiguracionim adresama

ako postoje.

o Dokumentacija se čuva dok god je uređaj u upotrebi.

FIZIČKI PRISTUP UREĐAJIMA

o Uređaji moraju biti skladišteni, čuvani i upotrebljavani tako da su ispunjeni Članovi

PSIB- a od člana 44 do člana 71.

FIRMVER

o Firmver preuzimati samo sa veb strane proizvođača ili na mediju koji se dostavlja od

uz uređaj.

o Prilikom preuzimanja provjeriti hash-eve i uporediti ih sa hash-evima koji se nalaze

na veb stranici proizvođača.

o Nakon preuzimanja firmvar snimiti na medijum koji podržava samo jedan upis.

o Hash vrijednost čuvati odvojeno od medijuma.

o Prilikom svrhe postavljanja firmvera provjeriti hash-eve i uporediti ih sa sačuvanim

hash-evima.

Page 29: BEZBJEDNOST MREŽNIH UREĐAJA - oib.aidrs.org · PDF filebezbjednost mreŽnih ureĐaja preporuke za poveĆanje stepena bezbjednosti mreŽnih ureĐaja u raČunarskim mreŽama agencija

28

ODJELJENJE ZA INFORMACIONU BEZBJEDNOST

o U slučaju da je moguće periodično provjeravati hash-eve firmvera koji se nalazi na

uređaju, a ako nije periodično nanovo postaviti firmver.

o Koristi ažurne verzije za koje postoji podrška od proizvođača

KREDENCIJALI

o Ukloniti podrazumjevane, fabrički ugrađene, kredencijale

o Svaka promjena kredencijala mora se dokumentovati, tako da se jedinstveno može

identifikovati ko, kad i na kom načinu je promijenio kredencijale.

o Kredencijale je potrebno periodično mijenjati.

o Uključiti opciju koja ograničava broj pogrešnih unosa kredencijala na maksimalno pet

puta, nakon čega uređaj zabranjuje pokušaje pristupa na minimalno pet minuta.

o Ako je moguće promijeniti ime administratorskog naloga na nešto što nije

administrator, admin, root i sl.

o Koristi jake lozinke.

o U slučaju kompromitovanja, gubitka ili otkrivanja lozinke obavezno promijeniti.

o U slučaju ustupljivanja kredencijala trećem licu, stručno lice piše izvještaj o

ustupanju kredencijala sa jasno definisanim rokom korišćenja. Nakon isteka roka vrši

se pregled log datoteka i podešavanja, i ako nije došlo do narušavanja kredencijali se

mjenjaju.

o Isključiti servise koji omogućavaju udaljeno vraćanje lozinki.

o Izbrisati ili na neki drugi način onemogućiti neaktivne korisničke račune.

o Poželjno je korišćenje servera za Autentifikaciju, Autorizaciju i Rad sa korisničkim

nalozima (AAA - Authentication, Authorization and Accounting) koji koriste

aktuelan protokol u vrijeme pisanja RADIUS protokol ili alternativu.

INTERFEJSI

o Isključiti interfejse koji se ne koriste

o Ako je moguće fizički ukloniti interfejse koji se ne koriste.

o Ako nisu prijeko potrebni isključiti AUX i Console interfejs.

o Interfejse koji se ne koriste staviti u zaseban VLAN čija je jedina svrha čuvanje

neaktivnih interfejsa.

SERVISI I PROTOKOLI

o Dozvoliti korišćenje ICMP-a samo iz lokalne mreže ili sa adresa koje koriste

administratori.

o Isključiti nepotrebne servise na uređaju

Page 30: BEZBJEDNOST MREŽNIH UREĐAJA - oib.aidrs.org · PDF filebezbjednost mreŽnih ureĐaja preporuke za poveĆanje stepena bezbjednosti mreŽnih ureĐaja u raČunarskim mreŽama agencija

29

ODJELJENJE ZA INFORMACIONU BEZBJEDNOST

o Isključiti male UDP i TCP servise.

o Isključiti prevaziđene i nekorištene servise.

o Ako nije potreban isključiti DHCP a ako je potreban ograničiti maksimalan broj

adresa koje se mogu dodijeliti interfejsu uređaja.

o Isključiti PAD (Packet assembler/disassembler) ako nije u pitanju X.25 mreža.

o Isključiti protokole za otkrivanje mrežnih uređaja ako nisu neophodni.

o Ako nisu potrebni isključiti protokole iz RMON (Remote MONitoring) porodice.

o Isključiti DTP (Dynamic Trunking Protocol)

o Isključiti VTP (VLAN Trunking Protocol) .

o Isključiti sve servise za udaljeni upload/download sistemskog softvera, ako nisu

neophodni, izuzetak su enkriptovani servisi za preuzimanje ažuriranja od strane

proizvođača.

o Isključiti MOP (Maintenance Operation Protocol).

o Isključiti sve nepotrebne protokole rutiranja.

o Koristi bezbjedno protokole rutiranja.

RIPv2 (Routing Internet Protocol) i novije verzije.

OSPFv2 (Open Shortest Path First) i novije verzije.

EIGRP (Enhanced Interior Gateway Routing Protocol).

o Isključiti protokole za čuvanje redundantinh uređaja (First Hop Redundancy

Protocol), ako su potrebni uključiti omogućiti autentifikaciju.

FILTRIRANJE SAOBRAĆAJA I MREŽNA PODEŠAVANJA

o Koristi ACL (Access Control Lists) mehanizme za filtriranje saobraćaja.

o Svim korisnicima, osim administratora, zabraniti pristup konfiguracionim portovima.

o Zabraniti svima nekorištene portove.

o Zabraniti directed-broadcast.

o Zabraniti source-route.

o Ukoliko nije potrebno isključiti podršku za IPv6

o Zabraniti ICMP redirects.

o Blokirati nevalidne dolazne lokalne adrese . Npr ako koristite 192.168.0.0/16 blokirati

10.0.0.0/08 i 172.16.0.0/12 adrese.

o Ako nije potrebna isključiti fragmentaciju paketa.

o Uključiti BPDU filtriranje.

o Zabraniti saobraćaj koji sadrži potencijalno opasne protokole.

RAD SA KONFIGURACIONIM DATOTEKAMA I SERVISIMA

Page 31: BEZBJEDNOST MREŽNIH UREĐAJA - oib.aidrs.org · PDF filebezbjednost mreŽnih ureĐaja preporuke za poveĆanje stepena bezbjednosti mreŽnih ureĐaja u raČunarskim mreŽama agencija

30

ODJELJENJE ZA INFORMACIONU BEZBJEDNOST

o Izbjegavati korišćenje neenkriptovanih kredencijala u konfiguracionim fajlovima, kad

god je moguće koristi enkriptovane kredencijale.

o Nakon promjene konfiguracione datoteke dokumentovati promjene, izračunati hash.

Hash čuvati na medijumu u koji je dozvoljeno samo jedno pisanje.

o Koristiti bezbjedne protokole za transfer konfiguracione datoteke.

o Ako udaljeno konfigurisanje nije neophodno isključiti ga. Ako je potrebno udaljeno

kofigurisanje koristi bezbjedne protokole.

SNMP - Koristi ažurnu verziju koja omogućava enkripciju. Gdje god je moguće

koristi SNMPv3 ili noviji.

SSH i Telnet - Ni u kom slučaju ne koristi telnet. Ako je moguće isključiti telnet.

Koristiti aktuelnu verziju SSH protokola, SSHv2 ili noviju.

HTTP - Ako nije potrebno ne koristi veb interfejs uređaja. Ako je već potrebno

ni u kom slučaju ne koristi HTTP, već samo HTTPS. Isključiti HTTP ako je

moguće.

o TFTP - Ako nije potreban iskljućiti servis.

o Uključiti automatsko prekidanje sesija nakon 5 min.

o Omogućiti banere ili ekvivalentna obavještenja.

o Koristi poseban VLAN samo za održavanje i podešavanje uređaja.

o Ne koristi VLAN 1

o Ograničiti udaljeno podešavanje na adrese portove koje će administrator koristi.

o Ako je moguće koristi višefaktorsku autentifikaciju

LOGOVI

o Obavezno je omogućiti logove.

o Po mogućnosti koristi opcije logova koji se poslije dodavanja ne mogu mjenjati

(append only).

o Moraju se voditi logovi o pristupu uređaju, pokušajima pristupa, promjeni u firmveru,

konfiguraciji, uključivanju i isključivanju uređaja.

o Ako je moguće logove smještati na udaljeni (syslog) server.

o Log server mora biti ojačan.

o Logove po mogućnosti čuvati u enkriptovanom obliku.

o Ograničiti pristup logovima svima osim administatoru.

o Logove transportovati bezbjednom vezom.

o Uspostaviti standard normalnog ponašanja mreže (baseline).

o Periodično pregledati logove tražeći odstupanje od normalnog režima rada

o Ako je moguće uvesti sisteme za obavještavanje u slućaju odstupanja od normalnog

ponašanja.

o Koristiti NTP server.

o Ako je moguće omogućiti grafičke alate za analizu logova.

Page 32: BEZBJEDNOST MREŽNIH UREĐAJA - oib.aidrs.org · PDF filebezbjednost mreŽnih ureĐaja preporuke za poveĆanje stepena bezbjednosti mreŽnih ureĐaja u raČunarskim mreŽama agencija

31

ODJELJENJE ZA INFORMACIONU BEZBJEDNOST

TESTIRANJE

o Prije uključivanja uređaja u mrežnu infrastrukturu potrebno je testirati uređaj.

o Potrebno je napraviti provjera saobraćaja i skeniranje uređaja u laboratorijskim

uslovima, i napisati izvještaj.

o Potrebno je periodično testirati funkcionalnost i bezbjednost uređaja.

DODATAK B – AKRONIMI

AAA Authentication, Authorization, and Accounting

ACL Access Control List

ARP Address Resolution Protocol

ASCII American Standard Code for Information Interchange

AUX AUXiliary

BootP Bootstrap Protocol

BPDU Bridge Protocol Data Units

CAM Content Address Memory, Content Address Table

CARP Common Address Redundancy Protocol

CD CD-R Compact Disc Compact Disc-Recordable

CDP Cisco Discovery Protocol

CERT Computer Emergency Response Team

DHCP Dynamic Host Configuration Protocol

DoS Denial of Service

DTP Dynamic Trunking Protocol

EIGRP Enhanced Interior Gateway Routing Protocol

ESRP Extreme Standby Router Protocol

FHRP First Hop Redundancy Protocol

GLBP Gateway Load Balancing Protocol

HTTP HTTPS Hyper Text Transfer Protocol Secure/Hyper Text Transfer Protocol Secure

ICMP Internet Control Message Protocol

IDS Intrusion Detection System

IEEE Institute of Electrical and Electronics Engineers

IPS Intrusion Prevention System

IPv4 IPv6 Internet Protocol v4 v6

JMBG Jednistveni Matični Broj Građana

KB KiloByte, 1000 byte-a

KiB KibiByte1024 byte

L2 Layer 2

L3 Layer 3

LAN Local Area Network

Page 33: BEZBJEDNOST MREŽNIH UREĐAJA - oib.aidrs.org · PDF filebezbjednost mreŽnih ureĐaja preporuke za poveĆanje stepena bezbjednosti mreŽnih ureĐaja u raČunarskim mreŽama agencija

32

ODJELJENJE ZA INFORMACIONU BEZBJEDNOST

LLDP Link Layer Discovery Protocol

LLTD Link Layer Topology Discovery

MAC Media Access Control

MItM Man In The Middle

MOP Maintenance Operation Protocol

NIC Network Interface Controler

NSRP NetScreen Redudancy Protocol

NTP Network Time Protocol

OIB Odjeljenje za Infromacionu Bezbjdnost

OSI Open System Interconnection

OSPF Open Shortest Path First

PAD Packet Assemby /Disasembly

PSIB Pravilnik o Standardima Informacione Bezbjednosti

RADIUS Remote Authentication Dial-In User Service

RFC Request for Comments

RIP Routing Information Protocol

RMON Remote MONitorting

R-SMLT Routed Split multi-link trunking

SNMP Simple Network Management Protocol

SSH Secure Shell

STP Spanning Tree Protocol

Syslog System Logging

TCP Transfer Control Protocol

TFTP Trivial File Transfer Protocol

TTL Time To Live

UDP User Datagram Protocol

UMIB Uredba o Mjerama Informacione Bezbjednosti

VLAN Virtual Local Area Network

VPN Virtual Private Network

VRRP Virtual Router Redundancy Protocol

VTP VLAN Trunking Protocol

WLAN Wireless Local Area Network

ZIB Zakon o Informacionoj Bezbjednosti

DODATAK C – LITERATURA

National Institute of Standards and Tehnology, Special publication 800-92, Guide to

Computer securiy log managment, NIST, 2006.

National Institute of Standards and Tehnology, Special Publication 800-123, Guide to

General Server Security, NIST 2008.

Page 34: BEZBJEDNOST MREŽNIH UREĐAJA - oib.aidrs.org · PDF filebezbjednost mreŽnih ureĐaja preporuke za poveĆanje stepena bezbjednosti mreŽnih ureĐaja u raČunarskim mreŽama agencija

33

ODJELJENJE ZA INFORMACIONU BEZBJEDNOST

FEDERAL INFORMATION PROCESSING STANDARDS PUBLICATION PUB 200 -

Minimum Security Requirements for Federal Information and Information Systems, NIST,

2006.

NSA, Hardening Network Infrastructure, Security Recommendation for System Accreditors,

MIT-003FS-2013, NSA, 2013.

Dana Graesser, Cisco Router Hardening Step-by-Step, SANS Institute, 2001.

Christoph Eckstein, Validating Security Configurations and Detecting Backdoors in New

Network Devices, SANS Institute, 2014.

Robert L. Foxworth, Security and Vulnerability Analysis of an Ethernet-based attack on

Cisco IOS, SANS Institute, 2004.

TJ OConnor,Detecting and Responding to Data Link LayerAttacks, SANS Institute, 2010.

Chris Russell Security of IP Routing Protocols, SANS Institute GIAC, 2001.

Consensus Policy Resource Community, Router and Switch Security Policy, SANS Institute,

2014.

Victor Velasco, Introduction to IP Spoofing, SANS Institute, 2000.

Steve A. Rouiller, Virtual LAN Security : weaknesses and countermeasures, SANS Institute.

Securing IP Routing and Remote Access on Cisco Routers, SANS Institute, 2015.

IETF RFC 1918 - Address Allocation for Private Internets.

IETF RFC 2281 – Cisco Hot Standby Router Protocol (HSRP).

IETF RFC 2865 - Remote Authentication Dial In User Service (“RADIUS”, 2000)).

IETF RFC 3577 - Introduction to the Remote Monitoring (RMON) Family of MIB Modules.

IETF RFC 3768 - Virtual Router Redundancy Protocol (VRRP).

IETF RFC 4949 - Internet Security Glossary, Version 2.

IEEE 802.1AB - Station and Media Access Control Connectivity Discovery.

Chun-Jen Chung, Layer 2 and Layer 3 attacks , Arizona State University.

Shashank Singh, Cisco Guide to Harden Cisco IOS Devices, Cisco 2014.

Ziad Zubidah, Hardening Network Devices, MENOG 11, 2012.

ENISA, Guideline on Threats and Assets, 2015.

Andrew S. Tanenbaum ,David J. Wetherall, Computer Networks (5th Edition), PRENTICE

HALL

Page 35: BEZBJEDNOST MREŽNIH UREĐAJA - oib.aidrs.org · PDF filebezbjednost mreŽnih ureĐaja preporuke za poveĆanje stepena bezbjednosti mreŽnih ureĐaja u raČunarskim mreŽama agencija

34

ODJELJENJE ZA INFORMACIONU BEZBJEDNOST

Omar Santos, SYNful Knock: Detecting and Mitigating Cisco IOS Software Attacks, Cisco

blog 2015,

http://blogs.cisco.com/security/synful-knock

Cisco, Network Security Base Line, Cisco 2008