maturski bezbednost na mrezi

СШЦ “Михаило Петровић - Алас”

Угљевик

МАТУРСКИ РАДТема: БЕЗБЕДНОСТ НА МРЕЖИ – Безбедност мреже и

значај криптографије

Предмет: Рачунарске мреже

Ученик: Професор:Зоран Станишић Мирјана Ђурић

Матурски рад СШЦ „Михаило Петровић-Алас“, Проф. Мирјана Ђурић

Мај, 2010.

САДРЖАЈ:

УВОД..................................................................................................... 3

1. РАЧУНАРСКЕ МРЕЖЕ...................................................................4

2. НАПАДИ НА РАЧУНАРСКЕ МРЕЖЕ.........................................6

2.1. Како се напад одвија?.........................................................................6

3. СИГУРНОСНИ СЕРВИСИ..............................................................7

3.1. Слојевита заштита..............................................................................9

4. КРИПТОГРАФИЈА...........................................................................9

4.1. Симетрични шифарски системи......................................................10

4.2. Асиметрични шифарски системи (системи јавних кључева).......11

4.3. Digitalni potpis...................................................................................11

5. ЗНАЧАЈ КРИПТОГРАФИЈЕ.........................................................12

ЗАКЉУЧАК.........................................................................................13

ЛИТЕРАТУРА.....................................................................................14

2


УВОД

У последње време рачунари постају све јефтинији и бржи, тако да се сам по себи намеће захтев за њихово повезивање. Повезивањем рачунара формирају се мреже које омогућавају комуникацију између корисника и било којег рачунара у мрежи. Нове технологије у сателитским комуникацијама, квалитетнији преносни медији (оптички каблови), дигиталне комуникације, као и нови међународни стандарди, омогућили су ширу примену и изградњу мреже у целом свету. Рачунари се повезују у мреже да би повећали ефикасност и смањили трошкове. Повезивање доводи до уштеда и на нивоу организације и на глобалном нивоу (истим информацијама се може приступити са различитих локација). Информације су постале највреднији ресурс у савременом пословању и из тог разлога је потребна заштита тих иноформација и безбедност саме мреже.

Угрожавање података може бити вишеструко и то је прислушкивање, анализа, мењање или задржавање информација, лажно представљање итд, зато је потребно посветити посебну пажњу заштити података, како оних података који су доступни путем мреже тако и оних који се преносе мрежом.

У овом раду ће се опширније писати о тој безбедности рачунарских мрежа, а посебно узети у обзир криптографија (шифроване поруке које се размењују), дефинисати је, објаснити њену улогу и значај...

3


1. РАЧУНАРСКЕ МРЕЖЕ

Рачунарска мрежа1 је појам који се односи на рачунаре и друге уређаје који су међусобно повезани кабловима или на други начин, а у сврху међусобне комуникације и дељења података.

У рачунарској мрежи осим рачунара могу бити и хабови (разводници), свичеви (скретнице, комутатори) и рутери (усмеривачи). Различите технологије могу се користити за пренос података с једног места на друго, укључујући каблове, радио таласе и микроталасни пренос. Веза између два рачунара који деле своје ресурсе може да се назове рачунарском мрежом.

Сврха мреже је:- заједничко кориштење програмске подршке,- зајeднички приступ мрежним ресурсима,- приступ заједничким базама података,- елекотронска комуникација и електронска пошта,- управљање и администрирање подацима,- повезивање различитих платформи,- повећање продуктивности и смањење трошкова пословања.

Заједничке компоненте свих мрежа:* сервери – рачунари који опслужују умрежене кориснике,* клијенти – рачунари који користе зајдничке мрежне ресурсе,* медијум – средство којим су рачунари повезани,* заједнички подаци – датотеке које обезбеђују сервер,* ресурси – који су на располагању умреженим корисницима.

Слика бр. 1: Клијент-сервер

1 http://bs.wikipedia.org/wiki/Računarske_mreže

4

http://bs.wikipedia.org/wiki/Ra%C4%8Dunarske_mre%C5%BEe


Подела на основне величинеНа основу величине рачунарске мреже се деле на основу подручја које

покривају. Можемо посматрати локалне мреже LAN (Local Area Network) и мреже на великом подручју WАН (World Area Network).

Локална мрежа (LAN)LAN мрежа је скуп

рачунара који су повезани у једну мрежу, на релативно малом простору. Ова мрежа може да броји два и више рачунара који су повезани на одређен начин. Неки периферни уређаји као што су штампачи, модеми и сл., такође се убрајају у ову мрежу. ЛАН мрежа обично је постављена у канцеларији, кући или пословној испостави.

Слика бр.2 : LAN мрежа

Мрежа на великом подручју (WAN)

Пошто LAN мрежа повезује рачунаре који су на релативно малом растојању, проблем повезивања корпорацијских испостава које се налазе на разним географским локацијама решава се помоћу WAN мрежа. WAN мрежа представља скуп више повезаних LAN мрежа, које се налазе на различитим географским локацијама. Постоји више различитих технологија које омогућавају пренос података са једног места на друго. Интернет, као скуп мрежа на различитим географским локацијама није WAN мрежа. Иако користи неке од WAN технологија, за Интернет би се прије могло рећи да је то међумрежа.

Слика бр. 3: WAN мрежа

5


2. НАПАДИ НА РАЧУНАРСКЕ МРЕЖЕ

Све нападе, у зависности од утицаја нападача, делимо на:

1. Пасивне – сви облици прислушкивања и надгледања тока информација без измена у току. Нападач може доћи до информација које се размењују мрежом. За одбрану од ових напада примењује се шифровање информационих система.

2. Активне – долази до промене садржаја информација или њиховог тока па су опаснији од пасивних. Нападач мора бити прикључен на мрежу да би извршио напад. У ове нападе спадају:

- модификација мрежних пакета,- фабрикација неауторизованих мрежних пакета и- прекид ифнормационих токова.

2.1. Како се напад одвија?

Ако разумемо основни приступ који нападачи користе да „освоје“ неки систем или мрежу, лакше ћемо моћи да предузмемо одбрамбене мере јер ћемо знати шта је примењено и против чега.Основни кораци нападачеве методологије илустровани су укратко описани:

1. Испитај и процени (engl. survey and assess). Први корак који нападач обично предузима јесте истраживање потенцијалне мете и идентификовање и процена њених карактеристика. Те карактеристике могу бити подржани сервиси, протоколи са могућим рањивостима и улазним тачкама. Нападач користи информације прикупљене на овај начин како би направио план за почетни напад.

2. Експлоатиши и продри (engl. exploit and penetrate). Након што је истражио потенцијалну мету, нападач покушава да експлоатише рањивост и да продре у мрежу или систем. Ако су мрежа или умрежени рачунар (најчешће сервер) потпуно осигурани, апликација постаје следећа улазна тачка за нападача – најлакши начин да нападач упадне у систем јесте да користи исти улаз који користе и легитимни корисници. На пример, може се користити страница за пријављивање или страница која не захтева проверу идентитета (engl. authentication).

3. Повећај привилегије (engl. escalate privileges). Након што нападач успе да угрози апликацију или мрежу – на пример, убацивањем (engl. injecting) кода у апликацију или успостављањем легитимне сесије на оперативном систему – одмах ће покушати да повећа своја права. Посебно ће покушати да преузме администраторске привилегије тј. да уђе у групу корисника који имају сва права над системом. Дефинисање најмањег нужног скупа права и услуга који је неопходно обезбедити корисницима апликације је примарна одбрана против напада повећањем привилегија.

4. Одржи приступ (engl. maintain access). Када први пут успе да приступи систему, нападач предузима кораке да олакша будуће нападе и да прикрије трагове. Чест начин олакшавања будућих приступа јесте постављање програма са “задњим

6


вратима” (engl. back-door) или коришћење постојећих налога који нису строго заштићени. Прикривање трагова често укључује брисање дневничких датотека (engl. log files) и скривање нападачевих алата. Узевши у обзир да су један од објеката које нападач жели да модификује како би прикрио траове, дневничке датотеке треба да буду осигуране и да се редовно анализирају. Анализа дневничких датотека често може открити ране знакове покушаја упада у систем, и то пре него што настане штета.

5. Одбиј услугу (engl. deny service). Нападачи који не могу да приступе систему или рачунарској мрежи и да остваре свој циљ, често предузимају напад који проузрокује одбијање услуге (engl. Denial of Service attack, DoS), како би спречили друге да користе апликацију. За друге нападаче, DoS напад је циљ од самог почетка.

Слика бр. 4: Основни кораци напада

3. СИГУРНОСНИ СЕРВИСИ

1. Аутентификација (engl. authentication), тј. провера идентитета – услуга којом се од сваког корисника захтева да се представи систему пре него што нешто уради, и која обезбеђује начин да сваки објекат (неко или нешто) који тври да има одређен идентитет (корисничко име или кодирани ID) то и докаже. Аутентификација, у спрези са дневником догађаја, обезбеђује увид у “историјско” чињенично стање (на пример, увид у то ко је направио или изменио одређену датотеку на диску сервера, ко је преузео податке или их послао ван мреже, итд.).

2. Тајност података – Поверљивост, приватност (engl. confidentiality, privacy). Међународна организација за стандардизацију, ISO, дефинисала је поверљивост као “услугу обезбеђивања приступа информацијама само за оне кориснике који су овлашћени да тим информацијама приступе”. Поверљивост је веома значајна сигурносна услуга, а такође и један од циљева пројектовања многих савремених шифарских система. Приватност се најопштије може дефинисати као способност појединца или групе људи да сакрију све оно што не треба да буде јавно доступно, тј. да спрече “цурење” информација у јавност. Приватност се, у

7


неким случајевима, везује за појам анонимности, а најчешће је цене појединци и групе које су изложене јавности. Другим речима, приватност је сигурносна услуга која обезбеђује да информација остане доступна оном кругу корисника коме је намењена и ником више. Приватност је од фундаменталног значаја када постоје две супростављене интересне групе, које на неки начин морају да сакрију комуникацију између својих чланова. Дакле, подаци се не смеју открити неовлашћеним клијентима. Подаци се морају штитити кад су ускладиштени, током обраде и приликом преноса.

3. Непорицање порука (engl. non-repudiation) – услуга која обезбеђује да корисник који пошаље поруку или измени неки податак не може касније тврдити да он то није урадио. На пример, корисник који дигитално потпише документ својим приватним кључем касније неће моћи да негира да је он тај документ направио и потписао, јер се потпис лако може проверити. Уопштено говорећи, спорови могу настати око одређеног догађаја: да ли се десило, када је био заказан, које су стране биле укључене и које су информације биле релевантне. Циљ ове услуге је да обезбеди необорив доказ који омогућава брзо решавање спорова.

4. Интегритет података – (енгл. интегритy) – услуга која обезбеђује целовитост података, тј. обезбеђује да нападач не може да измени податке, а да то остане непримећено. Дакле, интегритет је услуга која подразумева заштиту од неовлашћеног, непредвиђеног или ненамерног модификовања. Што се тиче података, они морају бити заштићени од неовлашћених измена током складиштења, обраде или транспорта, а систем треба да неометано извршава предвиђене операције (servise) без неовлашћеног манипулисања.

5. Контрола приступа (engl. access control) – услуга која треба да предупреди злоупотребу ресурса. Помоћу контроле приступа дозвољава се аутентификованом објекту са одговарајућим овлашћењима да користи одређене услуге система или одређене операције дефинисане у такозваним матрицама приступа, у чијим се врстама налазе операције система, а у колонама - корисници. Контрола приступа, најједноставније речено, одређује ко има право да приступи ресурсима, и на какав начин. Регулише однос између корисника и ресурса мреже. Најбоље је спречити сваки приступ мрежи али је могуће вршити и филтрацију мрежне комуникације и тако омогућити рестиктиван приступ или забрану неким сервисима.

6. Расположивост ресурса – употребљивост (engl. availability) – услуга којом се обезбеђује доступност података и расположивост система који пружа неке услуге. Примери таквих услуга су спречавање DoS напада и спречавање инфекције вирусима који бришу датотеке. Сервиси који одржавају функционалност мреже у случају отказивања или напада на мрежу.

8


3.1. Слојевита заштита

Једна од најефикаснијих и најраширенијих стратегија је слојевита заштита, која се на формирању заштитних слојева (или прстенова) око система. Корисник система који пролази кроз слојеве заштите мора задовољити додатне сигурносне механизме који задржавају нападача или минимизирају његову могућност приступа критичним ресурсима.

Слика бр. 5: Слојевита заштита

4. КРИПТОГРАФИЈА

Реч криптографија води порекло од грчких речи κρυπτός (криптос), што значи скривено, и γράφω (графо), што значи писати. У дословном преводу, реч криптографија значи „скривено писање“.

Шифровање2 (engl. encryption – сл. 6) обухвата математичке поступке модификације података такве да шифроване податке могу прочитати само корисници са одговарајућим кључем. Процес шифровања трансформише отворени текст (engl. plain text) – оригиналну поруку или датотеку – помоћу кључа у заштићен, шифрован текст, тј. шифрат (engl. ciphertext). Дешифровање (engl. decryption) је обрнут процес: шифровани подаци се помоћу кључа трансформишу у оригиналну поруку или датотеку. Шифровани подаци су заштићени од неовлашћеног приступа (корисник без одговарајућег кључа нема приступ шифрованим подацима) па се могу пренети преко несигурног канала или чувати на диску који није заштићен од неовлашћеног приступа.

Слика бр. 6: Шифровање и дешифровање података

2 Проф. Немања Мачек, Основи информационих технологија – сигурност рачунарских мрежа

9


Алгоритам за шифровање може се сматрати сигурним уколико сигурност шифрата зависи само од тајности кључа, али не и од тајности алгоритма.

Криптосистем се дефинише као уређена петорка (P, C, K, E, D), где је:

• P – скуп порука• C – скуп шифрата• K – скуп кључева• E (P, K) C – функција шифровања• D (C, K) P – функција дешифровања

Алгоритми за шифровање се деле на симетричне (исти кључ се користи и за шифровање и за дешифровање података) и алгоритме са јавним кључем (подаци се шифрују јавним кључем а дешифрују приватним).

4.1. Симетрични шифарски системи

Функција шифровања симетричним алгоритмом Е (сл. 7) на основу кључа к и улазних података p производи шифрат c. Функција дешифровања D на основу истог кључа k и шифрата c производи оригиналну поруку p:

• c = Е (p, k)• p = D (c, к)

Кључ за шифровање је идентичан кључу за дешифровање. Могу да обезбеде добру заштиту комуникационих канала ако се тајни кључ транспортује сигурним каналима и остане непознат нападачима. Највећи проблем је обезбеђење тих канала.

Симетрични алгоритми су брзи па се могу користити за шифровање већих датотека или имплементацију у криптосистеме датотека. Најпознатији симетрични криптоалгоритми су:

DES (Federal Data Encryption Standard) – познат, али иако га је Амерички национални биро за стандарде препоручио, влада САД га није користила за заштиту података због мале дужине кључа од 56 бита.

IDEA (International Data Encryption Algorithm) – користи се у новије време, објављен је 1990. год., а користи кључ од 128 бита, за сада је доста отпоран.

Постоје још неки криптоалгоритми типа: AES (Advanced Encryption Standard), Blowfish, Twofish и други.

Слика бр. 7: Симетрични алгоритми

10


4.2. Асиметрични шифарски системи (системи јавних кључева)

Функција шифровања алгоритмом са јавним кључем Е (сл. 8) производи шифрат c на основу јавног кључа (engl. public key) к1 и отвореног текста p. Функција дешифровања D на основу pриватног кључа (engl. private key) к2 и шифрата c производи оригиналну pоруку p.:

• c = Е (p, к1)• p = D (c, к2)

Кључ за шифровање разликује се од кључа за дешифровање. Постоје два кључа, један за шифровање а други за дешифровање. Они нису исти али су повезани одређеним трансформацијама. Један се означава као јавни и може се слободно дистрибуисати, док је други тајни и мора бити доступан само његовом власнику. Асиметрични алгоритми су спорији и примењују се за дигитално потписивање и шифровање кључева симетричних алгоритама којима су шифроване датотеке.

Најпознатији асиметрични алгоритам је:

RSA (Rivest-Shamer-Adlaman) – он је имплементиран у програм за шифровање PGP (Prettу Good Privacу) који се најчешће користи за заштиту електронске поште (e-mail).

Такође постоји и још један од познатих - ElGamal.

11


Слика бр. 8: Алогритми са јавним кључем

4.3. Digitalni potpis

Претпоставимо да Ана жели да пошаље потписану поруку Бобану. Први корак је да се примијени hash функција над поруком, креирајући hash кôд поруке. Овај кôд се сматра знатно краћим од оригиналне поруке. Уствари, задатак hash функције јесте да поруку произвољне дужине скрати на фиксну дужину. За креирање дигиталног потpиса Ана мора шифровати hash кôд поруке властитим приватним кључем. Ана сада шаље Бобану шифровани hash кôд поруке као и саму поруку, коју може и не мора шифровати Бобановим јавним кључем. Како би Бобан аутентифицирао потpис, он мора применити исту hash функцију над примљеним (и, ако је потребно, дешифрованим) документом и упоредити тај кôд са кôдом који добије када шифровани hash кôд примљен од Ане дешифрује њеним јавним кључем. Ако су оба кôда иста, верификација је успешна. То значи да је поруку послала Ана, и да порука није измењена.3

5. ЗНАЧАЈ КРИПТОГРАФИЈЕ

Кроз историју људи су константно тежили ка чувању својих личних информација само за себе и особе којима су они одобрили приступ. У далекој историји довољно је било физички онемогућити приступ информацијама нпр. похрањивањем документа у библиотеку. Појавом модерних технологија омогућен је пристуp физички недостуpним информацијама. Постало је pотребно увести напредније технике заштите.

Криптографија (вештина прикривања података) представља област од огромног значаја за владе и пословне корпорације. Када је реч о њиховим интимним подацима људи обично желе остварити потпуну приватност. Корпорације морају обезбедити тајност финансијских података, пословних тајни, податке о запосленим итд. Владе користе криптографију како би осигурале сигурност и добробит својих грађана.

Криптографија има дугу и фасцинантну историју. По неким подацима чак су Егиpћани пре више од 4000 година користили криптографске системе за заштиту информација. Основни задатак криптографије је омогућавање двема странама да комуницирају преко несигурног комуникацијског канала - рачунарска мрежа, на начин да трећа особа (њихов противник) не може разумети њихове поруке.

Иако је стара хиљадама година, криптографија постаје јако значајна тек у посљедњих стотињак година, кроз Први и pосебно Други светски рат. Међутим, њена цивилна употреба у значајнијој мери датира тек од 70-их година 20. века, са појавом криптографије са јавним кључем. Од тада па до данас непрекидно се ради,

3 Доц.др Жељко Јурић, Имплементација RSA криптографског алгоритма, завршни рад Недима Шрндића – www.docs.google.com

12


с једне стране на стварању нових и унапређењу постојећих криптосистема, а са друге стране на разбијању истих.

Тешко би било остварити заштиту приватности и аутентификацију без две кључне предности модерне криптографије: енкрипције и дигиталног потpиса. Ова два једноставна концепта модерном човеку умногоме олакшавају живот, омогућавајући му обављање сигурних банковних трансакције са даљине, очување приватности комуникације, било путем Интернета или мобилне телефоније, заштиту пристуpа установама високе сигурности итд.

Област криптографије се непрестано мења, да би се добили нови алгоритми које је тешко разбити.

13


ЗАКЉУЧАК

Јулије Цезар није веровао куририма када је слао поруке преко њих својим генералима. Зато је он у порукама свако слово А заменио са Д, свако слово Б са Е,… Само она особа која је знала правило "померено за три" могла је да разуме садржај поруке. Тако је све почело…

Криптографија је наука која се снажно ослањајући на математику бави проучавањем и проналажењем метода за шифровање/дешифровање података. Криптографија омогућава чување важних података као и њихов пренос преко рачунарске мреже а да при томе нико не може да их прочита осим корисника коме су намењени. Док је криптографија наука која се бави заштитом података, криптоанализа је наука о "разбијању" шифара. Криптологија је наука која обједињује и криптографију и криптоанализу.

Са већом технологијом је потребна и већа безбедност саме мреже, то је „нужно зло“ свих оних које желе да сачувају приватним своје податке и да слободно могу користити рачунарску мрежу, јер у свакодневном животу користимо криптографију када обављамо банковне трансакције, било путем Интернета или банкомата, када гледамо кодиране канале сателитске телевизије, разговарамо преко GSM мобилне телефоније, користимо заштићен приступ бежичној рачунарској мрежи итд.

14


ЛИТЕРАТУРА

1. Др Младен Радивојевић; Електронско pословање – e-Uprava; Универзитет за пословне студије; Бања Лука, 2006.

2. Др Младен Радивојевић, Др Илија Шушић; Пословна информатика; Универзитет за пословне студије; Бања Лука, 2008.

3. www.kpa.edu.rs - Криптозаштита података у рачунарским мрежама применом симетричних и асиметричних шифарских система

4. www.docs.google.com

5. www.wikipedia.org – Криптографија, Рачунарске мреже

6. www.google.ba/images - Слике

15

http://www.google.ba/images

http://www.wikipedia.org/

http://www.docs.google.com/

http://www.kpa.edu.rs/

maturski bezbednost na mrezi

Documents