PRIJAVA TEME ZAVRŠNOG RADA – II CIKLUS STUDIJA

NA FAKULTETU ZA SAOBRADAJ I KOMUNIKACIJE

UNIVERZITETA U SARAJEVU

Biografija kandidata:

Ime i prezime: Irena Šeremet

Datum rođenja: 19.05.1992. godine

Mjesto rođenja: Sarajevo, Bosna i Hercegovina

Kontakt telefon: 061 / 379- 771

E-mail: irena_irry@hotmail.com

Zvanje: Bachelor inžinjer saobraćaja i komunikacija

Odsjek: Komunikacije

Usmjerenje: Komunikacijske tehnologije

Naziv teme: „ Simulacija sigurnosne konfiguracije u GNS3 simulatoru, CCP-u i ASA-i “

Ime mentora: V. Prof. Dr. Nasuf Hadžiahmetović, dipl.ing.el

Obrazloženje teme:

Rad sadržava dva dijela.

U prvom dijelu prikazuje se način instalacije simulatora I potrebnog dodatka odnosno Virtual Boxa, kako bi računari na simulatoru bili funkcionalni.

Zatim se opisuju simulatori u kojima se vrši simulacija mreže, te objašnjavaju osnovni pojmovi koji će se koristiti u radu kao što su lozinke, autentifikacija, autorizacija, pristupne liste, vatrozidi itd.

U drugom dijelu rada, simulirati će se proizvoljna mreža koju će činiti po tri rutera, switch-a i hostna računara ili servera. Na svakom od uređaja konfigurisat će se osnovne konfiguracije poput IP adresa i ruting protokola,a nakon toga i sigurnosne konfiguracije poput lozinki, autentifikacije, preventivnih sigurnosnih sistema, vatrozida, virtualnih privatnih mreža, sigurnosnih postavki na drugom sloju itd. Konfiguracija će se vršiti u GNS3 ( Graphical Network Simulator ) simulatoru preko Command Line Interface-a, te preko CCP-a ( Cisco Configuration Professional), a naknadno će se u mrežu dodati i jedan ASA ( Adaptive Security Algorithm ) uređaj kako bi se objasnio način konfiguracije na ASA-I.

1

Sadržaj rada:

1. Uvod

2. Opis simulatora i osnovni pojmovi

2.1. Instalacija GNS3 simulatora i virtualnih mašina za hostove

2.2. Opis GNS3 simulatora

2.3. Instalacija i opis CCP-a

2.4. Šta je ASA ?

2.5. Pojam i važnost autentifikacije i autorizacije

2.5.1. Autentifikacija

2.5.2. Autorizacija

2.6. Šta su pristupne liste ( eng. access liste ) ?

2.7. Pojam i vrste vatrozida ( eng. Firewall –a )

2.8. Šta su preventivni sigurnosni sistemi i na koji način funkcionišu?

2.9. Pojam i primjena virtualnih privatnih mreža

2.10. Mogući zlonamjerni upadi u mrežu i savjeti zaštite

3. Simulacija mreže

3.1. Postavljanje uređaja, konfiguracija IP adresa i ruting protokola u GNS3

3.2. Konfiguracija lozinki u GNS3 i CCP-u

3.3. Konfigurisanje autentifikacije i autorizacije u GNS3 i CCP-u

3.4. Konfiguracija pristupnih listi u GNS3 i CCP-u

3.5. Konfiguracija vatrozida u GNS3 i CCP-u

3.6. Postavljanje preventivnih sigurnosnih sistema u GNS3 i CCP-u

3.7. Konfiguracija sigurnosnih postavki drugog sloja u GNS3 i CCP-u

3.8. Rad i konfiguracije na ASA-i

4. Zaključak

2

Cilj rada:

Cilj rada je simulirati mrežu, objasniti način simulacije i konfiguracije osnovnih i sigurnosnih postavki u GNS3 simulatoru, CCP-u i na ASA-I, te uporediti pomenute načine simulacije.

Metodologija izrade rada:

Izrada zavšnog rada sastojala se iz nekoliko faza:

I. faza: Uvodni dio

Ideja i idejno zasnivanje rada. Određenje problema istraživanja. Predstavljanje problematike koju rad rješava i definisanje osnovnih hipoteza.

II. faza: Definisanje tema (poglavlja) prema unaprijed usvojenoj koceptualizaciji studije i na osnovu novih saznanja u toku teorijskog istaživanja.

Definisanje hipoteza izvedenih iz teksta i sadržaja generalne hipoteze. Izrada proširenih skica (plana interpretacije) za svaku izvednu hipotezu, odnosno definisano poglavlje.

III. faza: Prikupljanje podataka i primjena metoda naučno-istraživačkog rada

Prikupljanje podataka iz različitih internetskih izvora, knjiga, naučnih časopisa, projekata, ovlaštenih institucija i tijela za standardizaciju. Osim sekundarnih izvora infomacija, u ovom radu korišteni su i primarni izvori informacija kao što je promatranje realnog saobraćaja u računarskoj mreži pomoću programa posebno predviđenog za takvu vrstu analize.

IV. faza: Predhodna i naknadna (konačna) interpretacija prikupljenih saznanja

Prikupljeni podaci se organizuju, sistematiziraju i analiziraju radi donošenja konačnih zaključaka i rješavanja problematike postavljene hipotezama.

V faza: Zaključak

Završnu fazu u ovom završnom radu predstavljaju zaključak stanja i rezultati postavljene teze i definisanih ciljeva.

3

Izrada faze I:

U ovom dijelu definisat će se konkretan predmet istraživanja, navest će se hipoteze, te metode koje će se koristiti u radu.

Predmet istraživanja:

U ovom radu konkretan predmet istraživanja biti će simulatori GNS3 i CCP, te načini konfigurisanja sigurnosnih postavki u pomenutim simulatorima kao i dodatnim uređajem koji će se naknadno ubaciti u mrežu - ASA. Takođe, žele se uporediti GNS3, CCP i ASA, te objasniti zašto je u nekim slučajevima bolje koristiti samo GNS3, ili CCP odnosno ASA-u.

Hipoteze:

Hipoteza 1: " Najbolji način simuliranja mreže i konfigurisanja sigurnosnih postavki u mreži jeste korištenjem GNS3 simulatora, kako zbog njegove jednostavnosti tako i zbog velikog broja mogućnosti kojeg nudi".

Hipoteza 2 : " Najbolji način simuliranja mreže i konfigurisanja sigurnosnih postavki u mreži jeste korištenjem CCP-a, kako zbog njegove jednostavnosti tako i zbog velikog broja mogućnosti kojeg nudi".

Hipoteza 3 : " Najbolji način konfigurisanja sigurnosnih postavki u mreži jeste korištenjem ASA uređaja, kako zbog njegove jednostavnosti tako i zbog velikog broja mogućnosti kojeg nudi".

Korištene metode:

Kako bi se postigao odgovarajući cilj, odnosno izradio rad koji će zadovoljiti postavljene ciljeve, moguće je primijeniti različite metologije, a od izbora metoda uveliko će zavisiti i kvalitet rada. Da bi se predmet istraživanja naučno istražio, objasnio i shvatio neophodni su naučni postupci koji se nazivaju "naučna metoda".

Pri analizi, izučavanju i primjeni pojedinih metoda potrebno je imati na umu činjenicu da se najefektivniji rezultati ne postižu dosljednom primjenom samo jedne znanstvene metode, već dijalektičkim povezivanjem i odgovarajućom kombinacijom više takvih metoda. Takva upotreba znanstvenih metoda omogućava istraživaču provjeru rezultata, veću egzaktnost i veći stepen sigurnosti u istraživanju.

4

U ovom radu korištene su različite metode, kao i kombinacija istih, a korištene su sljedeće:

* metoda modeliranja,

* metoda posmatranja,

* metoda deskripcije,

* metoda analize,

* metoda sinteze,

* komparativna metoda

Kratak sadržaj pojedinih poglavlja:

2. Opis simulatora i osnovni pojmovi

U ovom poglavlju opisat će se instalacija GNS3 simulatora, instalacija Oracle-ovog Virtual Boxa preko kojeg zapravo funkcionišu računari unutar GNS3 simulatora, zatim instalacija CCP-a unutar Virtual Boxa kao virtualne mašine sa XP operativnim sistemom. Nakon toga opisat će se izgled GNS3 simulatora i CCP-a te objasniti šta je ASA.

Osim instalacije i opisa simulatora tj. prikaza interfejsa simulatora, pojasnit će se svi pojmovi koji će se koristiti u praktičnom dijelu.

Definisat će se pojam autentifikacije i autorizacije, te objasniti njihov značaj.

Nakon toga, objasnit će se pojam i vrste pristupnih listi ( access listi ), pojasniti njihov značaj, mogućnosti koje pružaju itd.

Takođe, bit će govora o pojmu vatrozida (firewall-a), vrstama, o načinu na koji rade firewall-i, pojam vatrozida po zonama odnosno Zone Based Firewall-a.

Definisat će se sigurnosni preventivni sistem (IPS Intrusion Prevention System), razlika sigurnosnog sistema za prevenciju i sigurnosnog sistema za detekciju (IDS - Intrusion Detection System), te objasniti šta su IPS potpisi i na koji način zapravo IPS radi.

Usljed velike popularnosti VPN-a, objasnit će se pojam VPN-a, vrste VPN-ove i značaj VPN-ova.

Bit će opisane određene sigurnosne prijetnje odnosno mogući upadi u jednu LAN mrežu o kojima se treba voditi računa, te će se navesti savjeti pomoću kojih se može zaštiti od upada.

5

3.Simulacija mreže

U ovom dijelu rada praktično će se prikazati sve ono što se opisivalo i definisalo u prvom dijelu rada. U GNS3 simulatoru kreirat će se mreža koja će se sastojati od 3 rutera, na svaki od rutera bit će povezan po jedan switch,a za svaki od switcheva po jedan host (računar ili server) koji će reprezentovati jednu podmrežu.

Svi uređaji će se povezati odgovarajućim kablovima, te se ispravno upaliti. Treba se voditi računa da se računari uključuju preko Oracle-ovog Virtual Box-a koji se treba povezati sa GNS3-om na određeni način. Nakon što se uređaji uključe i provjeri njihova ispravnost može se krenuti sa konfiguracijom.

Prvo će se obraditi osnovne konfiguracije, odnosno konfigurisat će se IP adrese na ruterima i hostovima, te konfigurisati ruting protokoli koji će omogućiti da uređaji u različitim podmrežama mogu međusobno komunicirati.

Nakon što se omogući komunikacija između svih uređaja u mreži, pristupa se njihovom osiguravanju.

Prvo se postavljaju lozinke na rutere. Lozinke moraju biti dovoljno "jake", tj da imaju minimalno osam karaktera, da sadrži slova, brojeve i sve dozvoljene karaktere kako bi se što teže otkrila. Lozinke se kao i sve drugo što će se obrađivati postavaljaju na poseban način, odnosno ukucavanjem određenih komandi koje će se prikazati u ovom dijelu rada.

Nakon postavljenih lozinki, potrebno je da se konfiguriše autentifikacija - odnosno kreira korisničko ime kojem je dozvoljen pristup tom ruteru i lozinka pomoću koje će pristupati. Pored autentifikacije, konfiguriše se i autorizacija odnosno odredi se korisnički stepen na osnovu kojeg se zna koliko je taj korisnik ovlašten. Npr. administratori imaju najveći stepen - 15, a ostalim korisnicima se dodjeljuju vrijednosti od 1-15. Što je vrijednost niža, korisnik ima manje ovlasti.

Kada se kreiraju korisnička imena i odredi stepen ovlasti korisnika, definira se ko u mreži smije komunicirati s kim. Npr. korisnici iz vanjskih mreža ne bi smjeli pristupati osjetljivim podacima koji se nalaze na određenim serverima, tako da je potrebno da se zabrani saobraćaj iz vanjskih mreža u dio mreže u kojem se nalazi server sa osjetljivim podacima. Ali zato, da se odobri pristup administratorima iz nekog trećeg dijela mreže. Sve to se može definisati i konfigurisati pomoću pristupnih odnosno access lista.

Jos jedan princip zaštite koji će se konfigurisati jesu vatrozidi, odnosno firewall-i. Firewall-i mogu da filtriraju definisani saobraćaj. Dakle, mi konfigurišemo koji saobraćaj firewall smije propustiti, a sav ostali firewall mora zabraniti. Objasnit će se filtriranje po izvorišnoj ili destinacijskoj IP adresi ( da postoji samo određeni rang adresa koji se smije propustiti u mrežu, ostale odbacivati); zatim po protokolu ( npr da se zabrani HTTP protokol ) i po izvorišnom i destinacijskom broju porta ( npr. da se zabrane svi paketi koji imaju broj porta 80). Takođe će se ukratko objasniti

6

kontrola saobraćaja bazirana na kontekstu ( CBAC - Context Based Access Control ), gdje se paketi filtriraju na osnovu privremenih pristupnih lista, koje omogućavaju samo inicirane IP adrese, protokole, brojeve portova itd. Npr da se zabrani ulazak porta 80 u mrežu (HTTP protokol), osim u slučaju da uređaj iz mreža inicira tu komunikaciju i pošalje WEB serveru neki zahtjev, tada će server moći odgovoriti na zahtjev uređaju.

Nakon vatrozida, objašnjavat će se postavljanje sigurnosnih preventivnih sistema - IPS (Intrusion Prevention System). Ovaj sistem omogućava provjeru svih paketa koji dolaze u mrežu, analizira ih te ih definiše kao normalan ili maliciozan saobraćaj. Maliciozni saobraćaj prepoznaje na osnovu baze podatka u kojoj se nalaze tzv "potpisi" ili na engleskom Signature. Svaki od tih potpisa je zapravo saobraćaj koji je definisan kao napad ili kao maliciozni saobraćaj. Tu su opisi svih napada koji su se desili ikada u historiji, ili koji bi se mogli desiti. Saobraćaj koji ulazi u mrežu se poredi sa tom bazom podataka, i ukoliko se poklopi sa nekim potpisom, dolazeći saobraćaj se definiše kao napad i on se odbacuje. U ovom poglavlju će se objasniti instalacija potpisa, te konfiguracija IPS sistema.

U prvom dijelu navedeni su neki od mogućih napada u mrežu te savjeti kako bi se lakše mreža odbranila od takvih napada. U drugom dijelu, u narednom poglavlju opisivala bi se konkretna zaštita od upada. Zaštita se sastoji od konfiguracije switch-eva gdje se upravlja VLAN-ovima, trankovima ( odnosno koji saobraćaj smije ići kojim linkovima ), STP- om ( načinom sprječavanja stvaranja petlji u mreži ), CDP-om ( otkrivanjem susjednih uređaja odnosno definisanjem da li se smiju vidjeti susjedni uređaji, koji od njih smiju biti vidljivi koji ne itd).

Sve navedene konfiguracije vršiti će se u Command Line Interface-u na ruterima ili switchevima u GNS3 simulatoru, a zatim iste konfiguracije će se vršiti i preko CCP-a koji će se instalirati na hostnim računarima u mreži preko Virtual Box-a. Razlika je u tome što se u Command Line Interface-u konfiguriše preko definisanih komandi koje se kucaju, a u CCP-u se sve konfiguriše jednostavnim klikovima miša.

Na kraju, u mrežu će se naknadno ubaciti ASA uređaj, te će se opisivati način konfiguracije na ovim uređajima. Komande se nešto razlikuju u odnosu na komande na ruterima.

Sarajevo,Februar2015.

Podnosilac molbe

Irena Šeremet

Potpis kandidata

______________________

7