sigurnost interneta

Download Sigurnost Interneta

Post on 22-Mar-2016

66 views

Category:

Documents

4 download

Embed Size (px)

DESCRIPTION

Sigurnost Interneta. Cvetana Krstev. Sigurnost ra čunara. Sigurnost je uvek bila važno pitanje u računarstvu, jer je glavna vrednost sadržana u informacijama, nije fizičke prirode, pa se podaci mogu lakše potajno ukrasti, a komunikacije se mogu lako tajno presresti. - PowerPoint PPT Presentation

TRANSCRIPT

Internet

Sigurnost InternetaCvetana Krstev12Sigurnost raunaraSigurnost je uvek bila vano pitanje u raunarstvu, jer je glavna vrednost sadrana u informacijama, nije fizike prirode, pa se podaci mogu lake potajno ukrasti, a komunikacije se mogu lako tajno presresti.Sigurnost je vana za svaki sistem, ali postaje sve vanija sa irenjem veba, kako geografski tako i njegovo prodiranje u sve sfere ivota, a posebno poto se sve vie koristi za novane transakcije.Malo podataka: Istraivaka firma Computer Economics procenjuje da je teta od virusa, crva i trojanskih konja bila 2001. godine 13.2 milijarde dolara (dobro je, ipak, to je to smanjenje u odnosu na 2000. godinu kada je teta bila 17.1 milijardu dolara). Ako se pogleda e-trgovina, u 2000. ostvarena je prevarom teta od ukupno 1.6 milijardi dolara.3Aspekti sigurnosti raunaraPrivatnost - neautorizovane strane ne mogu ustanove ta radite niti sa kime komuniciratePoverljivost - Poruke ne moe da prislukuje niko sa straneIntegritet - Porukama se garantuje celovitost (niko sa njima nee petljati)Autorizacija - Identitet poiljaoca i primaoca se garantujePriznavanje - Ni jedna strana ne moe da porekne da se neka transakcija odigralaDostupnost - neautorizovane strane ne mogu da prekinu servis ili da ga odbiju.Politika sigurnosti raunara mora da vodi rauna o svim ovim aspektima i da ih kombinuje sa fizikom sigurnou.4GusarenjeCilj raunarskih gusara je da ugroze sigurnost raunarskog sistema na kome nisu autorizovani, a motivisani su komercijalno (recimo, industrijska pijunaa), moralno, a esto to rade iz iste zabave i izazova. Naini gusarenja:Maskiranje IP/DNSVirusi/trojanski konji/logike bombe/crviUskraivanje servisaUhoenjeNapad ponavljanjemUbacivanje izmeu

5Obezbeivanje sigurnostiMehanizmi za autorizacijuifriranjeVatrobraniOtkrivanje uljezaZastupniki serverKonsultanti za sigurnost6Obezbeivanje sigurnostiMehanizmi za autorizacijulozinke i izazivai zahtevaju od korisnika da ukuca neku tajnu ifru da bi se identifikovao. Izazivai su neto savreniji od lozinki jer, uopteno govorei zahtevaju od korisnika da odgovori na neko pitanje iz unapred odreenog skupa, na primer, koje je devojako prezime vae majke?.tokeni i pametne kartice su fiziki objekti koje korisnik mora da poseduje, da bi ih, na primer ukljuio u raunar ili provukao kroz ita kartica.Digitalni sertifikati su on-line ekvivalent za potpis koji je deponovan kod odgovarajue slubeBiometrijske tehnike koriste neki aspekt korisnikovih fizikih svojstava koji ga identifikuje, na primer, otisak prstiju, otisak ake, autorizacija glasa, prepoznavanje one duice ili lica. 7ifriranjeTo je tehnika koja se koristi da uini poruku besmislenom ukoliko bi je presreo neautorizovani korisnik. Konvencionalne tehnike ifriranja su podrazumevale da postoji zajednika tajna, koju znaju samo poiljalac i primalac, i koju oni uvaju na tajnom mestu. To je takozvano simetrino ifriranje. Ovakav koncept je nepogodan za e-trgovinu, jer ne postoji nain na koji bi muterija iz Kine mogla da kupi neki izvetaj od neke US kompanije na osnovu zajednike tajne.

8Vatrobrani(firewalls) su metod pomou koga se neeljenim korisnicima ne doputa pristup mrei, a nekim korisnicima se ne doputa izlazak iz mree. Kako se mree obino dele u tri iroke zone: intranet koji je potpuno sigurna zona jer njoj imaju pristup samo autorizovani korisnici iz firme, kompanije, organizacije, Internet koje je potpuno javan, i gde sve pakete koji pristiu treba sumnjiavo posmatrati, a izmeu njih je takozvana demilitarizovana zona (DMZ) a to je obino mesto gde je postavljeno prisustvo kompanije na vebu i kome nepouzdani korisnici imaju ogranien pristup. Korisnici koji idu iz jedne zone u drugu se drugaije tretiraju. Osim toga, vatrobrani mogu da ogranie nekim korisnicima (tj. nekim IP adresama) pristup nekim servisima. Vatrobrani mogu da budu zasebni fiziki ureaji, ili softver koji je aktivan na raunaru specijalno namenjenom za ovu svrhu. Prvo reenje je bolje, jer su takvi ureaji sami otporniji na napade.9Otkrivanje uljezaFunkcije za otkrivanje uljeza se esto koriste kao nadopuna za vatrobrane, one pokuavaju da na vreme otkriju neko poznato gusarsko ponaanje i da odmah zakljuaju korisnika koji se tako ponaa. Kao i vatrobrani, mogu biti posebni hardverski ureaji ili softver koji se izvrava na nekom raunaru opte namene.10Zastupniki server (proxy server) Njihovo korienje znai da sve transakcije sa nekim servisom idu preko ovog servera koji se pretvara da je taj servis. Taj prvi server je raunar koji, da bi bilo sigurno da nema sigurnosnih rupa, prima zahteve, prouava ih i prosleuje dalje ako su u redu. Poto su zastupnici raunari opte namene, na njima moe da se izvrava vrlo sloeni softver koji proverava ulazne i izlazne zahteve i ukljuuje i funkcije vatrobrana i otkrivanja uljeza. Zastupnici, osim to obavljaju funkcije obezbeivanja sigurnosti, pomau i kod poboljavanja performansi, preko kairanja i balansiranja istovara i utovara. Treba uoiti i da su zastupnici efikasno reenje za napade uskraivanjem servisa, jer se patvoreni paketi dre dalje od stvarnih servera.11 Standardi za sigurnosne tehnologijeISO 17799: 2005 Information Technology Security techniques Code of pracitse for information security management ija je namera da bude sveobuhvatan standard za sigurnost organizacije. Ovaj standard daje preporuke za upravljanje sigurnou informacija koje treba da slede oni koji su odgovorni za pokretanje, uvoenje i upravljanje sistema za upravljanje sigurnou informacija (Information Security Management Systems - ISMS). Sigurnost informacija se definie u kontekstu trojke C-I-A: confidentiality, integrity i availability.

12 Trojka C-I-AObezbeivanjepoverljivosti (confidentiality) informacijama mogu pristupiti samo oni koji su autorizovani da imaju pristup, integritet (integrity) ouvanje tanosti i potpunosti informacija i metoda obrade, Dostupnost (availability) autorizovani korisnici e imati pristup informacijama i drugim uslugama kada su im potrebne. 13 Javni kljuPKI (Public Key Infrastructure) je metod koji omoguava ifriranje informacija bez prethodne razmene tajne informacije (npr. lozinke). Koristi se tehnika tako da svako zna kako da pie poruku (kodira), ali niko ne zna kako da je proita (dekodira). To se naziva asimetrino ifriranjeKljuevi imaju izmeu 256 i 2048 bitova To se radi preko funkcija koje ne mogu da se obrnu, to su funkcije raunanja po modulu, odnosno raunanja ostatka. PKI generie par funkcija za kodiranje i dekodiranje, koristei vrlo velike proste brojeve i funkciju ostatka pri deljenju. Funkcija kodiranja, ili javni klju, deli se sa celim svetom, a funkciju dekodiranja (privatni klju) uva samo primalac.14 Korienje javnog kljua

15 HTTPSHypertext Transfer Protocol Secure je sigurna verzija HTTP-a koja ukljuuje "Secure Socket Layer", koji ukljuuje ifriranje pomou PKI. Da bi HTTPS radio, raunari na oba kraja moraju da ga podravaju. Koristi se za plaanje preko veba. HTTP radi na najviem sloju protokola (aplikacioni sloj) dok ovaj protokol radi na niem sloju ifiriajui poruku pre slanja i deifrirajui je pri prijemu.16 Digitalni sertifikati Digitalni potpis je mehanizam za autorizaciju, jer dozvoljava primaocu da sazna ko je poslao neki elektronski dokument. To nije digitalizovan potpis ve vrsta ifrirane poruke koja je poslata korienjem privatnog kljua poiljaoca. Zbog toga on ne moe da se falsifikuje.Digitalni sertifikati su oblik tehnike za autorizaciju, koja je manje vie on-line ekvivalent za potpis. Poto kreirate digitalni sertifikat, spremate ga kod neke autorizovane slube (engl. certification authority, CA), To su kompanije kao, na primer, Entrust ili Versign. Druga strana u online transakcijama moe onda da potvrdi va identitet.17 Digitalni sertifikati i javni klju Digitalni sertifikati koriste PKI tehnologiju u obrnutom smeru. Kod PKI ifriranja, svako zna kako da vam pie poruku, ali samo vi moete da je proitate. Kod digitalnih sertifikata, samo vi znate da napiete va potpis, ali svako moe da ga proita. Pre nego to proveri digitalni potpis ita mora da bude apsolutno siguran da zna javni klju poiljaoca. On, meutim, ne pita korisnika za javni klju ve kontaktira neku poverljivu kompaniju kod koje se registruju javni kljuevi. Kada od kompanije dobije javni klju on ga koristi za proveru autentinosti originalne poruke.U stvari, ita od kompanije dobija digitalni sertifikat koji sadri javni klju i digitalni potpis. Sve se ovo obino obavlja automatski i korisnik ne mora nita o tome da zna. Jedino moe da prati prugu poslova u kojoj se moe pojaviti tekst obtaining certificate. Ako ne moe da dobije sertifikat od poverljivog izvora moe da pita korisnika da li da nastavi rad sa sertifikatom dobijenim iz drugog izvora. To obino nije pametno, posebno ako se radi sa novcem.18 Kako se koriste digitalni sertifikati i javni kljuevi Oni dozvoljavaju proizvoljnoj osobi da alje poverljivu poruku proizvoljnom primaocu bez potrebe da ijedna strana veruje drugoj. Sa ova dva kljua, prodavac uva kao tajnu privatni klju, a kupcima daje javni klju. Kupci ifriraju poruke sa javnim kljuem, a samo prodavac moe da ih dekodira sa tajnim kljuem. Dakle, sa dva kljua niko ne mora da ima poverenja ni u koga.Ako hoete da imate ifrirane poruke elektronske pote morate da dobijete dva kljua od za to zaduene kompanije. Recimo, va privatni klju je 98989898, a javni klju je 35353535 (u praksi su u pitanju brojevi od 17 do 80 decimalnih cifara). Prvi uvate, a drugi javno oglasite. Na primer,Javni klju Jovana Jovanovia je 35353535Matematika svojstva kljueva su takva da zbog veliine brojeva poznavanje javnog kljua ne moe nikome da pomogne da dekodira privatni klju.19RSA

Poiljac bira javni klju (a), kodira svoju poruku javnim kljuem (b), a primalac je dokodira svojim privatnim kljuem (c) jer

S(P(tekst)) = tekst 20RSA(Rivest, Shamir, Adleman, 1977) je asimetrini kod na principu javnog kljua. Zasniva se na sledeoj relaciji:d = e-1 (mod (p-1) x (q-1)) gde su p, q - dva velika prosta bro