Embed Size (px)
Citation preview
1 DNS
DNS - domain name service
- servis ciji je zadatak pretvoriti ime racunala u IP adresu i
IP adresu u ime racunala
Slican princip kao i organizacija diska (direktoriji)
- malo ogranicenja
- dubina stabla : 127 levela
- naziv svake tocke stabla: 63 znaka
- za razliku od toga nazivi nemaju ogranicenja
- standardne top domene:kratica države, edu, gov, mil, com, org, biz...
Provjera rada DNS-a putem naredbe nslookup (npr. C:\users\root> nslookup www.tvz.hr)
Lista svih ip adresa i aliasa koje koristi domena putem koristeći nslookup zone transfer*
„SAMO U SLUČAJU AKO DNS POSLUŽITELJ TO DOZVOLJAVA (allow-transfer opcija)
C:\users\root>nslookup
Default server: terminator.znj.znj
Address : 192.168.1.1
C:\users\root>ls znj.znj
Dig – domain information grooper
Uz dig, možete odrediti sve aspekte upit koji želite poslati u komandnoj liniji; nema
interaktivni način. Vi određujete naziv domene koju želite pogledati kao argument, a i tip
upita koji želite poslati . Možete koristiti i naziv domene ili IP adresu željenog poslužitelja.
Default je naziv domene koji se nalazi u datotetci /etc/resolve.conf
C:\users\root>dig www.tvz.hr
Klijent za lokalni poslužitelj na Linuxu :
Datoteka etc/resolve.conf
Opcije :
- nameserver adresa --> adresa imenskog poslužitelja ili više njih
- domain ime_domene --> predodredeno ime domene (default)
- search ime_domene --> imena koja ce se probati nadodati da bi se probao dobiti
ispravan FQDN
DNS :
- apsolutna domena koja uvijek završava s točkom, a još se i naziva FQDN (fully qualified
domain name)
- relativna doma je ona koja je relativna u odnosu na neku razinu na stablu
DNS domena je određeni dio dns stabla dok je NIS (Network information services) domena
koja je podskup računala kod windows servisa
Tipovi domenskih poslužitelja :
- Primarni (Primary – master) – sadrži zapise o zoni i njega konfiguriramo
- Sekundarni (Secondary – slave) – povlači zapise o zoni po potrebi sa primarnoga,
sekundarni poslužitelji nisu ni po čemu lošiji već osiguravaju redundanciju u
slučaju pada primarnog servera
DNS klijenti se nazivaju reslovers
Rezolucija je naziv postupka ispitivanja dns poslužitelja kako bi se dobila IP adresa od
imena (resolution)- za nju se koristi datoteka zone (forward zone).
Inverzna rezolucija je naziv postupka ispitivanja poslužitelja kako bi se dobilo ime od IP
adrese (inverse resolution) - za nju se koristi datoteka inverzne zone (reverse zone). Npr. Ip
addressa 192.168.1.1 se zapisuje kao 1.1.168.192.in-addr.arpa (gdgje je in-addr.arpa –
internet address ipv4). Što znači da je adresa zapisana naopačke jer se čita od adrese
najmanjeg značaja prema adresi največeg značaja
Rekurzija je višestruko ponavljanje jednog procesa sa ciljem da se dode do rezultata.
Db.root – je datoteka koja sadrži root servere kojima se postavlja upit ako se želi pretraživati
stablo sa vrha. Postoje 13 servera zbog ograničenja UDP paketa (DNS očito stoga radi s
UDP-om). Po defaultu se izabire onaj do kojeg je minimalan round- trip time i to iz razloga
kako bi se minimiziralo zagušenje mreže.
Kako se nebi svaki puta DNS upit ponovno postavljao, DNS poslužitelji rade i primjenjuju
privremeno snimanje zatraženih upita (cache). Koliko se dugo drži upit i odgovor u memoriji
definira administrator kada stvara zonu sa parametrom TTL (time to live u sekundama),
obično je to 8sati. Vrijeme da svi dobe novu informaciju nazivamo propagacijom DNS-a.
Promjena datoteke zone uočljiva je po promjeni serial broja.
BIND – tri naćina konfiguracije : master, slave i cache- only poslužitelj
BIND se sastoji od sljedećih datoteka :
- Osnovna konfiguracijska datoteka /etc/bind/named.conf
o Sadrži include direktive prema ostalim konfiguracijskim datotekama
- Opis osnovnih zona /etc/bind/named.conf.default-zones
- Opis za servis bind: named.conf.options
o directory - mjesto gdje se nalazi cache od poslužitelja
o forwarders - kome ce biti proslijeden upit ako se ne zna odgovor iz cache
o forward only opcija osigurava da upit nikada ne ide root serverima
- Opis zona za koje smo auteriteti /etc/bind/named.conf.local
Opis zone U named.conf.default-zones :
- Forward localhost -> 127.0.0.1
- Reverse 127.0.0.1 -> localhost
- U named.conf.local idu zone za koje smo mi autoritet
Format DNS zapisa
- [ime] [ttl] IN tip data (gdje je ime ili ip adresa, ttl prosječno vrijeme života, in
ključna riječ, type tip podataka, data podaci (ip adresa ili ime))
DNSsec (secure domain name service)
PITANJA DNS:
1. Kako se zove vrh stabla – root
2. Kako se zapisuje Ip addressa 192.168.1.1.in-addr.arpa inverznom rezolucijom :
1.1.168.192.in-addr.arpa
3. Osnovna konfiguracijska datoteka BIND : /etc/bind/named.conf
4. Što je FQDN : apsolutna domena
5. Provjerite rad DNS-a stranice www.tvz.hr : nslookup www.tvz.hr
6. Konfiguracija reverzne zone (inverzna rezolucija) :
zone „206.198.193.in-addr.arpa“ in {
Type master;
File „/etc/bind/hosts.rev“;}; (mislim da bi tako trebalo ići nisam 100% siguran)
7. Što znači type=master u prethodnoj konfiguraciji : da se radi o primarnom poslužitelju
8. Na kojem portu radi DNS: 53
9. Gdje se nalazi cache bind servera : /var/cache/bind
10. Što sadrži SOA zapis : SOA zapis sadrži ime NS (Name Server) poslužitelja
(localhost) i ime osobe odgovorne za taj server (root.localhost se interpretira kao
root@localhost).
11. Kako se ponovno pokreće BIND server : /etc/init.d/bind restart
12. Kojom naredbom se provjerava dali je DNS ponovno pokrenut nakon restarta : tail –f
/var/log/syslog
2 Web poslužitelj i server side alat
Poslužitelj internet stranica je računalni program koji je odgovoran za prihvačanje HTTP
zahtjeva od klijenta (web browsera) i odgovaranja HTTP odgovorima sa opcionalnim
podacima (web sstranicama)
HTTP – port 80, https – port 443
HTTP protokol je klijent/server komunikacija i za svaki novi zahtjev uspostavlja se nova
komunikacija, Secure HTTP je nadogradnja odnosno SSL tunel radi sigurnosti prijenosa
lozinki.
Apache http server :
- /etc/apache2/apache2.conf – glavna konfiguracijska datoteka
- php5.conf - Opisuje koji tip aplikacije ce se smatrati PHP-om i koji ce se modul
ukljuciti u interpretaciju koda
- /etc/init.d/apache2 restart
- Logovi : access.log-tko je kada pristupio, error.log – greške servera
PHP
Svaki php kod mora biti ograden u tagovima <?php i ?><?php echo “hello world!”;?>
Ukomponiravanje u html
<html><head></head><body>
<?php echo “Hello”>; ?>
</body></html>
Slican C jeziku , znacajne razlike :
- Jedan tip varijable , sve varijable pocinju sa $
- Nema pokazivaca ni referenci
- Kompletna implentacija objekata (ako se želi objektno programirati)
- Potrebno ukljucivati libray (nema include) da bi se dobile funkcije (mysql,
pdfgenerator…)
Pocetak rada sa sesijom
- Naredba session_start()
- Mora biti zadana prije svih naredbi u PHP-u
- Inicira otvaranje i otpakiravanje varijabli
Zadavanje varijabli u sesiju
- $_SESSION[‘a’]=“nesto”;
- Ako ne postoji biti ce stvorena
- isto tako iz session objekta je moguce citati: $b= $_SESSION[‘a’];
Uklanjanje varijabli iz sesije
- Session_unset();
Prekid rada sa sesijom
- Session_destroy(); prekida sesiju
/etc/apache2/php5/php.ini – konfiguracijska datoteka PHP-a
Moduli se kompiliraju sa poslužiteljem i nalaze se u datotekama:
- /usr/lib/phpX/verzija_modula/
PHP stavlja logove na mjesto kao i apache.
Server side jezici :
ASP (*.asp, *.aspx)
C via CGI (*.c, *.csp)
ColdFusion Markup Language (*.cfm)
Java via JavaServer Pages (*.jsp)
JavaScript using Server-side JavaScript (*.ssjs, *.js)
Lua (*.lp *.op)
Perl CGI (*.cgi, *.ipl, *.pl)
PHP (*.php)
Python via Django (*.py)
Ruby, e.g. Ruby on Rails (*.rb, *.rbw)
SMX (*.smx)
Lasso (*.lasso)
WebDNA (*.dna,*.tpl)
Progress WebSpeed (*.r,*.w)
Klijent side jezici : izvršavaju se na strani korisnika tj. putem njegovog web browsera. U
većinu slučajeva su to neke embedded skripte unutar HTML, XHTML, javascript dokumenta.
Pitanja Web poslužitelj i server side alat :
1. Kako se najčešće zove početna stranica u www folderu ?
index.html
2. Kako se ponovno pokreće apache2 server? /etc/init.d/apache2 restart
3. Šta radi group www-data opcija u apache2.conf datoteci?
Odreduju grupu i korisnika pod kojim ce raditi proces Apache, osigurava da u slucaju
da netko provali u Apache ne može napasti server buduci da navedeni korisnici
nemaju ovlasti.
4. Koji je default charset apache2 servera : cp-1250
5. Kojom naredbom se započinje rad sa sesijom : session_start()
6. Koji port koristi ova stranica http://port80.stranica.com:1000 :
port 1000
7. Na kojem portu radi HTTP a na kojem HTTPS : 80, 443
8. Jezik na client strani : javascript
9. Za što služi MIME : on služi za email podršku
10. Zašto se DNS postavlja kod virtualnog poslužitelja : postavlja se kako bi klijent znao ip
adresu poslužitelja
11. Što treba dodat na dns kod virtualnog poslužitelja : CNAME
12. Kod promjene konfiguracije PHP-a koji servis ponovno pokrećemo : apache2
13. Da li će što ispisati skripta nova.php nakon izvršavanja index.php prema slic i desno. Ako
je odgovor DA što će ispisati. Ako je odgovor NE da li će biti prijavljena greška:
Index.php Nova.php
<?php
$a="neki tekst";
echo "<a href=nova.php>nova.php</a>";
echo "<br><br>$a";
?>
<?php
echo "varijabla a=$a";
?>
Neće ispisati ništa po završetku index.php zato što se varijable moraju prenositi u sesiji.
(pretpostavljam da će javit grešku nisam ziher)
3 Baze podatka i cron
TCP wrapper:
Server ne može raditi lokalno, treba osigurati spoj prema
vanjskoj IP adresi
Osim vatrozida i zaštite unutar baze podataka (GRANT
naredbe) možemo dadatno osigurati sustav koristeci datoteke
hosts.deny i hosts.allow, stoga je redosljed provjere sljdeći :
- Ako se pronade dozvola u hosts.allow dozvoljava se
- Ako se ne pronade dozvola u hosts.deny brani se
- Ako nije ništa nadeno dozvoljava se pristup
- Ako nema datoteke podrazumijeva se da je prazna
- Daemon_list : client_list [ : shell_command]
o Daemon_list – lista procesa argv[0] ili jokeri
o Clinet_list – lista klijenata, imena racunala ili adrese, patterni ili jokeri,
medusobno su odvojeni razmakom ili zarezom
o Shell_command – naredba koja ce biti izvršena ako se ta linija primjenjuje
(mogu se koristiti parametri iz client list)
Jokeri
- ALL - Uvijek je pogodak
- LOCAL - Pogodena ona imena koja nemaju . (lokalna)
- UNKNOWN - Odbijaju se adrese koje nemaju FQDN (rezolucija ne radi)
- KNOWN - Suprotno od unknown
- PARANOID - Odbijaju se adrese koje nemaju FQDN bez gledanja pravila
- EXCEPT - Osim , pravilo se odnosi na sve osim na listu
Zabrana svega :
- U hosts.deny : ALL:ALL
Zabrana svega osim računala 192.168.1.11 :
- mysqld : ALL EXCEPT 192.168.1.11
Isto tako možete i druge servise
- /etc/hosts.allow:
o sshd: 192.168.1.
- /etc/hosts.deny:
o sshd: ALL
o in.ftpd: ALL
Server baze podataka je Racunalni sistem ili program koji osigurava
servis baze podataka za aplikacije na klijentima.
DBMS – database management system kompletna skupina aplikacijskih programa koji
kontroliraju, organiziraju, spremaju, upravljaju i dohvaćaju podatke iz baze podataka.
Primjeri : Oracle, DB2, Mysql, Ingres, Microsoft Access, Microsoft SQL server,
Firebird, SQLite
Po instalaciji daemon koji se instalira je Mysqld : otvara port 3306 na IP adresama na kojima
je konfiguriran i tamo očeku konfiguraciju.
Naredbom ps –aux | grep mysql se provjerava dali je podignuta baza
Konfiguracija mysqld servera u datoteci /etc/mysql/my.cnf :
- port = 3306
- user = mysql
- datadir = /var/lib/mysql
- character-set-server = cp1250
- collation-server = cp1250_croatian_ci
Nakon promjena u my.cnf ili promjena dozvola u bazi potrebno je /etc/init.d/mysqld restart.
Mysql stavlja logove u direktorij /var/log :
- Mysql.log – sadrži informacije o tome kada je pokrenut poslužitelj i eventualne
probleme u radu
- Mysql.err – sadrži važne greške koje su se pojavile tokom rada
- Mysql/binary log – sadrži narebe koje su izvršene na mysql poslužitelju
Npr. GRANT ALL PRIVILEGES ON test.* TO 'root'@'localhost' IDENTIFIED BY 'goodsecret'
REQUIRE SSL;
Backup baze podataka :
- Standardna metoda :
o Mysqldump (klijentsko CLI sušelje za backup)
o Neki drugi alat
- Nestandardna metodom :
o Snimajući direktorij sa datoteke baze /var/lib/mysl
/etc/motd – tekst upisan u toj datoteci se ispisuje kod spajanja svakom korisniku
CRON je sistemski servis za pokretanje skripti u određeno vrijeme.
Ponovno pokretanje cron servisa :
- Naredba crontab
- Ili /etc/init.d/cron restart
CRON parametri :
- Prvi parametar minute (0-59)
- Drugi parametar sati (0-23)
- Treci parametar dani u mjesecu (1-31)
- Cetvrti parametar mjesec (1-12)
- Peti parametar : dan u tjednu (0-6), nedjelja=0 ili 7
- Ako parametar ne želimo definirati tj želimo da poprimi sve moguce vrijednosti
umjesto dozvoljenog broja upisujemo znak *
- Ako želimo navesti više vrijednosti odvajamo parametre znakom ,
- Ako želimo navesti niz onda odvajamo brojeve znakom –
- Ako želimo navesti korak te jedinice navodimo */3 , svaki treci sat (0,3,6,9…)
Primjer crontab datoteke sistema:
- Run-parts se pokrece svaki sat u 17-toj minuti i izvršava sve iz direktorija
/etc/cron.hourly
- cron.daily jednom dnevno u 06:26
- Cron.weekly svake nedjelje u 06:47
- Cron.monthly 1.-og u mjesecu u 06:52
Sve naredbe vracaju grešku u syslog kod izvršavanja, ako se pojave
Network time protocol osigurava tocno sinkroniziranje sata preko interneta :
- NTP serveri su public i svima su dostupni
- SNTP – simple network time protocol za embedded sustave, Koristi timestamp za
sikronizaciju
- unix koristi se naredba ntpdate za update vremena
Pitanja Baze podataka i crontab :
1. Koja naredba za mysql bazu podataka postavlja dozvole?
GRANT
2. Koja je maksimalna gradacija (vrijeme) koje možemo opisati sa schedulerom cron (ako
upisujemo danas koliko maksimalno unaprijed možemo postaviti izvršavanje u cron-u)?
(pretpostavljam) * odnosno neograničeno ∞
3. Sada je točno 15:35. Kada će se točno sljedeći puta izvršiti skripta ako prema slici
izgleda zapis u datoteci crontab:
M H DoM M DoW
1 * * * *
Svkai puni sat i jednu minutu... dakle sljdeći put u 16:36
4. Što će se dogoditi ako upišemo ALL:PARANOID u hosts.deny :
Odbijat će se sve ip adrese koje nemaju FQDN (apsolutne domene) bez gledanja
pravila
5. Koji je defaultni administrator baze podataka?
Root
6. Što se sprema u hosts.deny?
dozvole za ip adrese ... ako nema dozvole za određenu adresu onda se toj adresi
brani pristup (barem mislim)
7. Za što nam služi datoteka hosts.deny –
za dodatno ograničavanje pristupa serveru
8. Koji alat koristimo za backup baze podataka :
mysqldump
9. Sa kojim znakom se backup baze podataka preusmjerava na datoteku: >
10. Što označava #! : interpreter
11. Koji je port za mysql server : 3306
4 Email #1
Radi na klijent-server principu te je jedan od najkorištenijih servisa elektronske razmjene
informacija. Email je orjentiran na komunikaciju između korisnika (user oriented).
SMTP protocol radi na portu 25. SMTP protokol se koristi i za razmjenu poruka izmedu
odlaznog poslužitelja i mail poslužitelja domene iza znaka @ u e-mail adresi.
SMTP putem odlazne domene u adresi razlikuje da li e-mail mora slati dalja ili ga prima od
nekog drugog na dostavu.
Zadržava ga :
- Ako nema odlazne domene (e-mail adresa je bez @ znaka)
- Ako odlazna domena odgovara niti jednoj domeni za koje jezadužen ovaj poslužitelj
da ih prima
Prosljeđuje ga :
- Ako odlazna domena ne odgovara niti jednoj domeni za koju za koju je zadužen
poslužitelj
Poruka po dolasku na lokalni poslužitelj pohranjuje se u poštanskom sanducicu korisnika :
- /var/mail/ime_korisnika (datoteka je u vlasništvu korisnika) ili .mail ili mail direktorij u
home direktoriju korisnika
Kod dostave se prije samog upisivanja provjerava :
- Da li je korisnik ukljucio preusmjeravanje poruka
- Da li korisnik koristi neki vlastiti filter (procmail)
Korisniku je po pohrani e-mail na raspolaganju za citanje.
Iz sanducica poruke klijenti mogu citati
- Protokolom POP3 (port 110) ili bratom sa kriptiranjem SPOP3 (995)
- Protokolom IMAP (port 143) ili bratom sa kriptiranjem SIMAP (993) ili IMAP TLS
Postfix osluškuje smtp protokolom na portu 25. Postfix vrši autentifikaciju korisnika (koji
smiju primati ili slati e-mail) koristeci saslauth daemon. Svaki e-mail koji se prima ili šalje se
dodatno provjerava alatima spamassassin, amavis i clam za viruse i spam sadržaj.Primjene
e-mail poruke stavljaju se korisnicima u njihove
poštanske pretince (mail dir). Mail dir je ili u home dorektoriju ili cešce /var/mail/ direktorij.
Squirrelmail kao webmail podrška omogucava da pristupamo email porukama pomocu web
browsera gdje php kod squirrelmail aplikacije pristupa pop3,smtp i imap daemonu za dobavu
i slanje e-mail poruka.
Postfix se u osnovi sastoji od dvije datoteke u direktoriju /etc/postfix:
- Main.cf - Definira osnovnu konfiguraciju
- Master.cf - Definira transporte za e-mail poruke
- Poslije svake promjene Obavezno /etc/init.d/postfix restart
Logovi:
- Mail.err – greške u radu postfix poslužitelja
- Mail.warn - u osnovi kao mail.err , ali manje pogubne greške
- Mail.log – prati sve poruke , slijedeci slide
- Mail.info – u osnovi kao mail.log
Kako provjeravamo da li je e-mail zapeo: postqueue –p
- p print
- f flush (probaj ponovno sve)
Datoteka .forward u home direktoriju – ako u nju upišemo e-mail adresu onda će na nju biti
preusmjeren e-mail.
Konfiguracija Dovecota : datoteka /etc/dovecot.conf nakon promjene obavezno
/etc/init.d/dovecot restart
ALPINE je konzolni čitač e-maila. Podiže se naredbom alpine u konzoli.
Pitanja E-mail :
1. Na kojem portu sluša POP3,SPOP3,IMAP,SIMAP?
110,995,143,993
2. Razlika između POP3 i IMAP?
IMAP je bolji i kvalitetniji protokol on za razliku od POP3 može:
- Omogucuje pristup i korištenje datoteka i direktorija na disku
- Može stvarati direktoriji i pohranjivati e-mail poruke u njih
3. Gdje se pohranjuje poruka po dolasku na lokalni poslužitelj?
U poštanski sandučić korisnika /var/mail/ime_korisnika
4. Na kojem portu osluškuje SMTP? 25
5. Kako nama nadležni poslužitelj zna koji MX server je odgovoran za prijem email poruka?
Postavljanjem DNS upita za domensko ime iza @ (npr. @hotmail.com)
6. Kojim protokolom teče komunikacija na slici pod točkama 2 i 3 te pod točkama 1 i 4?
Točke 2 i 3 : UDP
Točke 1 i 4 : SMTP
7. Za što je zadužan dovecot ? da osigura podršku POP3 i IMAP protokolima
8. Koja je konfiguracijska datoteka dovecota? /etc/dovecot.conf
9. Kojom naredbom se podiže konzolni čitač e-maila: alpine
10. Koji je paket odgovoran za prijem i slanje e-maila : postfix
11. Za što se koristi saslauth daemon?
Postfix vrši autentifikaciju korisnika koristeći saslauth daemon.
12. Što je napisano iza rcpt to: na slici?
Rcpt to = sa kojeg je poslužitelja došla poruka, (provjerava
se da li on pripada toj domeni sa koje je došla poruka
(barem mislim))
5 E-mail #2
Kod e-maila realiziranog postfix-amavis-dovecot konfiguracijom, svaki e-mail koji se prima ili
šalje se dodatno provjerava alatima spamassassin, amavis i clam za viruse i spam sadržaj.
Na linux racunalima moguce je postaviti alat procmail koji u home direktoriju korisnika
dodatno filtrira e-mail prema zahtjevima korisnika.
Uz pomoc PKI postiže se tajnost i integritet informacije. PKI omogucuje :
- sigurnu autentifikaciju sudionika u komunikaciji,
- razmjena dokumenata s mogucnošcu kriptiranja,
- digitalnog potpisivanja
- Supotpisivanja
- jedinstvenu registraciju javnih kljuceva.
Od posebne je važnosti digitalni potpis koji uspostavlja identitet sudionika u elektronickom
poslovanju i osigurava integritet podataka.
Digitalna omotnica osigurava tajnost, ali ne i besprijekornost informacije. Poruku pošiljatelj
kriptira proizvoljnim (obicno slucajno generiranim) simetricnim kljucem K koristeci neki od
simetricnih algoritama kriptiranja. Simetricni (sjednicki) kljuc se kriptira javnim kljucem
primatelja PB.
Kriptirana poruka i kriptirani kljuc cine digitalnu omotnicu: služi za utvrdivanje
besprijekornosti informacije i za identifikaciju pošiljatelja. Digitalni potpis ne osigurava tajnost
informacije. Iz poruke pošiljatelj izracunava sažetak (message digest) koristeci hash funkciju
(hash ili digest function). Sažetak se kriptira privatnim kljucem pošiljatelja SA i dodaje se
izvornoj poruci:
- osigurava autenticnost (identitet pošiljatelja utvrduje se dešifriranjem sažetka poruke),
- integritet (provjerom sažetka poruke utvrduje se je li se poruka mijenjala na putu do
primatelja)
- neporecivost (pošiljatelj ne može poreci sudjelovanje u transakciji jer jedino on ima
pristup do svog privatnog kljuca kojim je potpisao poruku).
Digitalni pecat je digitalno potpisana digitalna omotnica. Digitalni pecat osigurava sva cetiri
sigurnosna zahtijeva:
- tajnost,
- autenticnost,
- integritet
- neporecivost.
Spam, junk mail : u principu nije virus direktno ali zadovoljava definiciju on blokira mrežu i
nije poželjan. Koristi trojane za širenje. Kako se šalje SPAM:
- webmail servisi
- zombie racunala
- Open mail relay
- Open proxy
- Spammer virusi
Spamassassin : koristi analizu teksta i Bayesovo filtriranje. Svaka rijec u rjecniku ima
- pozitivnu težinu (firm hello …)
- negativnu (seks, viagra, buy.. ).
Zbroj težina u cijeloj poruci daje rezultat. Ako je manji od neke vrijednosti tada je
to spam. Spam assassin ne može obrisati spam (samo ga oznaci) i ne može ga preusmjeriti.
Spamassasin se povezuje kroz master.cf kao vanjski filter u postfix.
Nedostatak: VIAGRA= V1agra,Via'gra,V I A G R A, Vaigra,\ /iagra,Vi@graa
Postavke se nalaze u datoteci /etc/spamassassin/local.cf
Mi sami ucimo spamassassin (spam=spam, ispravni e-mail=ham)
- sa-learn --spam ime_datoteke
- sa-learn --ham ime_datoteke
Razor je distribuirano kolaboritivna mreža za detekciju spam-a. Detekcija se obavlja
statičnim i slučajnim potpisima koji uočavaju promjenu spam-a. Podešavanje :
- Obrišemo staru konfiguraciju (default) : rm /etc/razor/razor-agent.conf
- Stvorimo novu konfiguracijsku datoteku : razor-admin –create
- Registriramo se na sustav : razor-admin –register
- Stavimo u doseg amavisa razor lib : cp -r /root/.razor /var/lib/amavis | chown -R
amavis:amavis /var/lib/amavis
Pyzor : poruke se konvertiraju u digitalni potpis. Dodatna obrana od dodavanja i
jednostavnog modificiranja poruke :
- Ne uzima u obzir zaglavlja, Odbacuje prvi 20% poruke, Uzima tri reda
- Odbacuje 40 % poruke, Uzima tri reda, Zanemaruje ostatak poruke
- Iz pokupljenog teksta izbacuje nanizana slova (V I A G R A) , e-mail adrese, URL,
HTML oznake i višak razmaka i tabova
Implementacija se provodi instalacijom paketa pyzor (provjera pyzor discover, pyzor pinf)
DCC jest sustav za detekciju masovnih „bulk“ spam poruka
Postgrey je dodatni servis koji implementira spamlist servis za postfix. Postgrey se može
pohvaliti :
- sigurnošcu svoje baze,
- automatskim punjenjem svoje baze ,
- popisom problematicnih klijenata i odredišta
- istragom po subnet adresi odredišta
- automatskim stavljanjem na problematicne liste klijenata ciji spam je prepoznat.
Ponaša se kao dodatni servis najčešće na portu 60000. U postfix se dodaje kao linija
check_policy_service inet:127.0.0.1:60000 u smtpd_recipient_restrictions.
Amavis je servis namijenjen za objedinjavanje spam rješenja. Amavis se podešava
konfiguracijskim datotekama /etc/amavis/conf.d . moguce ga je povezati sa anti virus alatima
tipa clamav, sophos, AV scan. Najcešce se koristi sa besplatnim anti virusom clamav.
Amavis se pokrece pod korisnikom amavis, tako da treba voditi racuna da servisi koji rade s
njim imaju potrebna prava za rad. Po promjeni konfiguracije potrebno ponovno pokrenuti
servis /etc/init.d/amavis
Restart. Logovi su u datoteci mail.log
SPF (sender policy framework) : kod slanja poruke preko smtp servisa pod opciju mail from :
možemo upisati bilo koju adresu, pa tako i lažirati poslužitelj (domenu sa koje je email
poslan). Razvijene su dvije metode obrane od takvih napada (spoof e-mail) SPF Record i
Domain Key, Ideja je osigurati tehnologiju autentifikacije poslužitelja koji šalje poruke. SPF
zapis se unosi u DNS na strani poslužitelja koji je odgovoran za domenu. Za svaki pojedini
MX poslužitelj se definira zaseban SPF upit i to u datoteku /etc/bind/domena.db
Domain key : Kao i kod SPF u DNS-u se za svaki MX poslužitelj napravi dostupan javni
kljuc. U /etc/bind/domena.db.
- Kod slanja svake e-mail poruke sustav automatski (dkfilter) radi sažetak poruke i
kriptira ga privatnim kljucem.
- Kada drugi e-mail poslužitelj prima e-mail radi obrnut postupak koristi javni kljuc i
pokušava doci do sažetka.
- Ako to uspije tada je poruka poslana sa poslužitelja koji je nadležan za tu domenu.
- Sve ostale poruke kod kojih se sažeci ne slažu se odbacuju.
Za ovu metodu klijent mora podržavati provjeru tj. mora imati dodatak koji provjerava
domenu izvorišta. Primjer takvog dodatka je postfix je dkfilter, odnosno novija verzija
dkproxy.
Postavke Dkfiltera se nalaze u /etc/init.d/dkfilter (za logove koristi mail.log)
Obavlja posao potpisivanja email poruka
- Dkfilter.in
Obavlja posao provjere potpisa na pristiglim porukama
- Dkfilter.out
Koristi svoje portove
- 10026-27
- 10028-29
Nitko Vas ne prisiljava da koristite postfix , umesto toga postoji exim, sendmail i još mnoštvo
manjih e-mail poslužitelja.
Pitanja Email#2 :
1. Što omogućava PKI infrastruktura?
- sigurnu autentifikaciju sudionika u komunikaciji,
- razmjena dokumenata s mogucnošcu kriptiranja,
- digitalnog potpisivanja
- supotpisivanja
- jedinstvenu registraciju javnih kljuceva.
2. Za što služi PKI?
Za ostvarenje sigurne i povjerljive razmjene podataka izmedu sudionika u sustavu te
potporu ostvarenju funkcija.
3. identifikacije i autentifikacije sudionika.
4. Koji e-mail poslužitelj je alternativa postfixu?
Exim, sendmail itd ...
5. Mail dir je ili u home dorektoriju ili češće ?
/var/mail direktoriju
6. Gdje se koristi SPF?
Kod maila
7. SPF – obrana od lažnih adresa
8. Kroz koju datoteku se spamassassin povezuje na postfix kao vanjski filter?
Kroz master.cf
9. Kako se zove servis koji objedinjuje obranu protiv spama i virusa? Amavis
10. Što osigurava digitalni potpis? Autentičnost, integritet, neporecivost.
11. Što osigurava digitalna omotnica? Tajnost.
12. Što osigurava digitalni pečat? Autentičnost, integritet, neporecivost, tajnost.
13. Na temelju kojih podataka Clamav odlučuje da je mail spam?
Na temelju:
- priloga u obliku exe datoteke,
- poruka sa malim tekstom bez naslova,
- poruka koja u from dijelu ima drugi poslužitelj nego sa kojega je stvarno poslana…
(nisam ziher za ovo pitanje)
14. Što je clamd (CLAM-AV)?
ClamAV je open source (otvorenog koda) anti virus alat dizajniran za detekciju
Trojana, virusa, malwarea i drugih malicioznih opasnosti. U principu možemo reći da
je to snandard za skeniranje maila.
6 Samba
Network Share (dijeljeni prostor) - Podaci koji su omoguceni da im se pristupi sa nekog drugoga racunala
o Disk share o Folder share
- Isto tako mogu se dijeliti i uredaji o Printer share o Scanner share
- Novi nazivi
o File server
o Printer server
Share nije :
FTP – File transfer protocol .želi se u operacijskom sustavu klijenta dobiti novi uredaj koji je
u biti povezan diskovni prostor na serveru.
- Trebaju raditi dozvole
- Višestruki pristup (mehanizam zakljucavanja – lock) - Trebaju raditi vlasništva bez obzira na OS
NFS – network file system : dogurao do verzije 4.
Konfiguracija : - Na serveru se podigne nfsd daemon:
o /etc/init.d/nfsd start - /etc/exports konfiguracijska datoteka koja sadrži podatke što je vidljivo na serveru
- Security i mrežna konfiguracija osigurava pristup : lagano budući da se radi o unix-unix spoju.
- Klijent se spaja mount komandom ili stalno povezuje kroz datoteku /etc/fstab
SMB – Server message block – Protokol nastao 1992 zbog windows os.
- Koristi NetBIOS (network basic input/output system) za usluge imenovanja racunala Postoji vezija SMBv2 (windows vista)
- Podrška simbolickim linkovima - Duže povezivanje datoteka (file handling improved) - Veci buffer - Više komandi kroz jedan mrežni paket
SAMBA – nastala 1992 da omogući kompatibilnost sa SMB protokolom.
Znacajni napredak Samba v3: - Može raditi kao domenski poslužitelj umjesto win 2003 poslužitelja
I na kraju da Vas podsjetim sva ova prica radi samo ako je filesystem podržan u jezgri (kernelu) :
- Tako treba ukljuciti samba (smb) - Ili nfs
- korisna komanda ako želimo odspojiti share na windows racunalu na cli napišemo : net use * /delete ili umjesto * preciznije koji share
Samba je alat za spajanje na windows dijeljeni prostor sa UNIX-a smbclient –U korisnicko_ime –L ip_adresa >> provjerava koji su resursi dostupni na računalo sa ip_adresom.
smbclient -U pero \\\\192.68.1.30\\dijeljeno lozinka >> spajanje na dijeljeni servis kao ftp komadom. Dobivate znak upita i na raspolaganju su vam identične komande kao na ftp-u :
- Mget - Mput - Dir - Mkdir - Cd
PAŽNJA TO NIJE FTP VEĆ SUČELJE IZGLEDA IDENTIČNO Ukoliko želimo trajno povezati disk sa windows računala na mount točku : mount –t smbfs (naredba mount koristi smbfs filesystem)
S obzirom da je znak \ ujedno znak koji se koristi kada se želi ispisati neki specijalni znak (escape character), da bi ga napisali u komandnoj liniji moramo koristiti još jedan znak \\\\=\\, \\=\ . Ispis printera u SAMBI naredbom smbprint Ako želimo provjeriti koji su aktivni samba spojevi koristimo naredbu smbstatus Postavke SAMBA-e se nalaze u datoteci /etc/samba/smb.conf Za razliku od windows operacijskog sustava gdje su korisnici racunala isti kao korisnici dijeljenog prostora na linux racunalu smb (samba) korisnici nemaju nikakve veze sa korisnicima operacijskog sustava. Tako korisnika za sambu stvaramo naredbom smbpasswd –a pero, akasnije mijenjamo lozinku po potrebi sa smbpasswd –U pero. Za security=user moraju postojati i adekvatni UNIX korisnicki racun. Posjetimo se novi korisnik se stvara sa naredbom adduser. (proučit slajdove 18 – 20.) Logovi se nalaze u direktoriju /var/log/samba :
- Glavni log /var/log/samba/log.smbd - Logovi po mašinama /var/log/samba/log.ime_windows_mašine - Logovi po mašinama /var/log/samba/ip_mašine
SAMBA kao PDC PDC – primary domain controller Samba podržava domain i ADC security. Nedostatci su razvoj windows računala pa samim time i kompatibilnost, te prednosti da se radi o besplatnom alatu a rezultat jesu maksimalne mogućnosti windows mreže. (prouči slajdove 22-24.) SAMBA alternativna konfiguracija :
- SWAT – sučelje za web browser konfiguraciju sambe - Po instalaciju debian paketa sucelje se nalazi /usr/src/swat - Povežemo ga sa apache severom koji je instaliran - Po mogucnosti samo na unutarnju adresu radi sigurnosti
Pitanja SAMBA :
1. Koji servis ima grafičko sučelje-dodatak pod nazivom SWAT? SAMBA
2. Kako se zove grafičko sučelje za sambu preko Internet preglednika? (valjda SWAT) 3. Npišite naredbu za spajanje na windows dijeljeni prostor sa UNIX-a?
smbclient 4. Kojom naredbom možemo trajno povezati disk sa windows računala na mount točku?
mount –t smbfs
5. Gdje se nalaze postavke SAMBA-e?? U /etc/samba/smb.conf
6. Za što se koristi opcija path? path=/tmp >> gdje se nalazi sadržaj (direktorij koji se dijeli) ((nisam siguran da je to točno)) 7. Dijeljeni prostor koristi iste opcije kao? (ovo bi trebalo biti točno)
Dobivate znak upita i na raspolaganju su vam identične komande kao na ftp-u : - Mget - Mput - Dir - Mkdir - Cd
8. Što znači invalid users? invalid users= root korisnici koji se ne mogu spojiti na sambu
9. Što znači valid users? valid users = root korisnici koji se mogu spojiti na sambu
10. Što sadrži /etc/exports datoteka? konfiguracijska datoteka koja sadrži podatke što je vidljivo na serveru
11. Naredba za ispis printera u SAMBI?? Smbprint
7 Firewall
Mrežni vatrozid – sistem ili grupa sistema koja se koristi za ostvarivanje kontrole prema ili od zaštićene mreže (mreže kojoj se vjeruje), koristeći predefinirani set pravila i filtera. Karakteristike
- Sav promet (iznutra prema van i obratno) mora proći kroz vatrozid - Samo autorizirani promet će imati dozvoljen prolaz - Mora biti imun na provale Pozitivno: - Autentifikacija korisnika - Zapisivanje prometa (logging) - Sigurnost i privatnost (npr. NAT sakriva internu mrežu od vanjske) Negativno: - Usko grlo prometa - Jedno mjesto pada sustava - Komplicirano održavanje - Frustracija korisnika (npr. Skype ne radi) - Ne štiti mrežu 100% - Ne štiti od internog napada - Ne zaustavlja sadržaj poruke (npr. Email virus)
Osnovni dizajn
- Zabrani sve servise, pa otvori pristup onome što treba (najsigurniji i najčešći) - Dozvoli sve, pa zabrani što je problematično (nisu poznati svi načini napada,
nesigurno)
Vatrozidi s provjerom paketa Pravila su bazirana na temelju podataka iz paketa:
- Izvorišna IP/MAC adresa - Odredišna IP/MAC adresa - Tip protokola (TCP/UDP/ICMP) - Izvorni port - Odredišni port
Prednosti: - Jednostavnost (svaki paket se ispituje neovisno od drugim paketima) - Brzina (filtracija paketa se obavlja na nižem OSI sloju gdje je taj proces brži i lakši) - Transparentan prema korisniku - Jeftiniji za implementaciju - Bolje skalira u odnosu na druge tipove vatrozida - Neovisni o aplikaciji koja radi
Nedostaci: - Pravila mogu postati jako kompleksna - Provjeravaju se svi paketi - Nema podrške za autentifikaciju korisnika - Ne mogu zaštiti sustav od propusta u aplikacijama - Ranjivi na lažne promjene IP
Dogradnja ovog vatrozida provjeravanjem paketa sve do aplikacijskog sloja, provjerava se zaglavlje paketa i snima u dinamičku tablicu pomoću koje se određuje podrijetlo paketa. Vatrozidi sa ispitivanjem stanja Prednost:
- Mali utjecaj na rad mreže (provjerava se samo paket sloja) - Neovisni o aplikaciji - Transparentni prema korisniku - Sigurniji od filtera paketa - Mogućnost zapisivanja stanja paketa i njihova praćenja
Nedostatak: - Pravila postaju komplicirana za testiranje i implementaciju - Ranjivi na napade fragmentacijom paketa (jer tipično vatrozidi odlučivaju na temelju
prvog paketa, a ne gleda ostatak) Aplikacijski sloj gateway/proxy
- Proxy poslužitelj - Najkompleksnija provjera ispravnosti paketa - Radi na aplikacijskom sloju i ponaša se kao most za sav aplikacijski promet - Direktna konekcija se razdvaja na dvije neovisne konekcije - Zahtjev i odgovor proxy provjerava i vrši autorizaciju korisnika, te ako je u redu
propušta promet Prednosti:
- Nema direktnog spoja klijenta i odredišta - Može analizirati aplikacijske komande u paketima - Nema spoja unutrašnje i vanjske topologije - Sakriva unutarnju implementaciju - Podržava autentifikaciju korisnika - Podržava nadzor prometa na razini aplikacija - Najsigurniji tip vatrozida
Nedostaci: - Utječe na rad mreže - Svaki protokol zahtjeva posebnu implementaciju proxy poslužitelja - Ranjivost na DoS napade - Ne skalira se
Implementacija pomoću alata squid-cache (skraćeno squid) Konfiguracija u dadoteci: /etc/squid.conf Nakon promjene: /etc/init.d/squid restart Svaki vatrozid građen je od pravila (rule) Sva pravila zapisuju se u kernel, naredba za snimanje pravila: iptables-save Za njihovo ponovno učitanje: iptables-restore Pregled svih pravila i provjera ispravnosti: iptables –L Iptables ima tri lanca: input, output i forward Forward se koristi za pakete koji prolaze sustavom, odnosno ne dolaze na adresu na kojoj osluškuje poslužitelj, i koristi se ako računalo ima barem 2 ethernet kartice i obavlja posao usmjerivača. Input i output koriste se za pakete čija je adresa poslužitelja kao odredište ili izvorište.
Svako pravilo se definira za specifičan lanac i moće ih biti neograničeno, Naredba za brisanje svih pravila: flush (-F) Prije definicije bilo kojeg pravila definira se politika (policy) za svaki lanac. Politika može biti: accept (prihvaća) ili drop (odbacuje) Omogućavanje pokretanje napisane skripte za vatrozid: chmod +x skini.txt Svako pravilo ima definiran lanac na koji se odnosi (opcija –A prethodi imenu lanca) i jednu od tri ključne riječi na kraju accept, drop ili log (da će se samo zapisati u log, nije ni odbačen ni prihvaćen). Ključna riječ navodi se najčešće na kraju pravila i prethodi uvijek opcijom –j
Primjer. Napišimo vatrozid koji pušta sva pravila
Primjer. Odvojimo prve (syn) pakete od ostalih (related established), nepoznate (neispravne) pakete dalje blokiramo
Primjer. Za protokole iptables –A INPUT –p tcp –i eth0 –m multiport –destination-port 22,25,43,53,79,80,110,113,115,443 –m state –state NEW –j ACCEPT Objašnjenje: Biti će prihvaćeni (propušteni) (-j ACCEPT) svi zahtjevi (-m state –state NEW) koji ulaze (-A INPUT) sa eth0 (-i eth0) prema protokolu tcp (-p tcp) na porove 22 (ssh), 25 (smtp), 43 (whois), 53 (domain), 79 (finger), 80 (http), 110 (pop3), 113 (auth), 115 (sftp), 443 (https). Primjer. Sa ograničenjem prometa iptables –A OUTPUT –p icmp –o eth0 –m limit –limut 1/s –j ACCEPT Objašnjenje: Biti će prihvaćeni (propušteni) (-j ACCEPT) svi zahtjevi (-m state –state NEW) brzinom 1/s (-m limit –limit 1/s) koji odlaze (-A OUTPUT) sa eth0 (-o eth0) protokolom icmp (-p icmp) Pseudo vatrozid NAT – Network adress translation, prevodi interne IP adrese lokalne mreže u eksterne IP adrese na vanjskoj mreži Statički NAT – adresa u adresu ; Dinamički NAT – skupina adresa u skupinu adresa PAT je port orijentirani NAT, skupina adresa u jednu adresu ali s razlićitim portovima Vlastiti vatrozid – provjerava se za jedno računalo Filter paketa – usmjerivač Najjednostavnija arhitektura, komunikacija je ograničena na opise paketa koji su dani pravilima, najbolje rješenje za male i jednostavne mreže Nedostaci: -kompleksna pravila i održavanje slike, jedna komponenta zaštite Demilitarizirane zone Neutralna zona s labilnijim pravilima u kojoj se najčešće nalaze poslužitelji s vanjskim Internet adresama, dok je interna mreža dodatno zaštićena NAT-om. VPN Privatna mreža koja koristi javnu mrežu za spajanje udaljenih mjesta i korisnika.
Tri tipa VPN-a: - Remote-Access VPN - Intranet-based VPN - Extranet-based VPN
Implementacija: Najjednostavnija varijanta je instalirati ppp daemon
Postavke ppp daemona: /etc/ppp Konfiguracija: chap-secrets sadrži korisnička imena i lozinke za CHAP protokol pap-secrets sadrži korisnička imena i lozinke za PAP protokol options – postavke konfiguracije Dadoteka koja sadrži postavke vpn servisa: /etc/pptpd.conf localip i remoteip koji će biti dodijeljen Ponovno pokretanje servisa: /etc/init.d/pptpd restart
Složenija varijanta je vanjski servis OpenVPN Sigurnost VPN-a VPN koristi nekoliko metoda za očuvanje sigurnosti veze i podataka:
- Firewall, encryption, IPSec, - AAA Server (authentification –tko ste, authorization –što vam je dozvoljeno raditi,
accounting –što zapravo radite) Autentifkacija – korisničko ime i lozinka Autorizacija:
preko protokola PAP, CHAP ili EAP kontaktiraju se baze SQL, LDAP, Kerberos, Active Directory Odgovori radijusa:
Access rejected
Access Challenge – dodatne informacije potrebne za autentifikaciju
Access granted Praćenje (accounting) – vodi se stanje korisnika radi naplate ili kontrole ograničenja resursima
Primjer servisa: FreeRadious – alternativa enterprise paketima, najviše mogućnosti izvora autentifikacije LDAP Lightweight Directory Access Protocol Služi kao direktorij (active directory – windows) Svojstvo adresara, autentifikacija, autorizacija Baza podataka prilagođena da obavlja specifične poslove Stablo: Svaki unos sastoji se od niza atributa koji se sastoji od Name (imena), Description (opisa), Value(s) (jedne ili više vrijednosti). Svaki unos ima jedinstveni indentifikator: Distinguished Name (DN) koji se sastoji od Relative Distinguished Name (RDN) – „ime dadoteke“ dodatak na stazu da se dobilo puno ime; i DN-a od roditelja – „adresa foldera“ nasljeđena staza. LDAP se poput XML-a sastoji od dadoteke koja definira shemu (LDAP scheme) i dadoteke sa podacima (LDAP data). Postoje predefinirani formati za baratanje podacima, najpoznatiji je LDIF.
