SlideShare a Scribd company logo

Sigurnosne prijetnje i mjere zaštite IT infrastrukture

Download as PPT, PDF
Nikola Milosevic
Nikola Milosevic

Mladen Kostresevic, OWASP Serbia

Education
1 of 29
Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP Foundation OWASP http://www.owasp.org Sigurnosne prijetnje i mjere zaštite IT infrastrukture Beograd, 2013. Mladen Kostrešević Mladen.Kostresevic@gmail.com
168 Aktivnih Projekata
198 Aktivnih lokalnih grupa
OWASP Agenda: - Prijetnje i mjere zaštite po svim nivoima ISO OSI modela - Sistemi za detekciju/prevenciju/analizu napada - Prijedlog IT infrastrukture sa visokim stepenom zaštite
OWASP Zaštita po nivoima ISO OSI(Open Systems Interconnection) modela
OWASP Sigurnost fizičkog sloja Fizička zaštita objekta u kome se nalazi IT infrastruktura: - Sistemi kontrole pristupa prostorijama: - Alarmni sistemi (detekcija provala, požara ili poplave) - Video nadzor - Zaštita na nivou rack ormara i komunikacionih linkova
OWASP Sigurnost drugog nivoa Najčešće prijetnje: -CAM (content addressable memory) table flooding -ARP(address resolution protocol) poisoning - STP(spanning tree protocol) attack - DHCP attack - VLAN(virtual LAN) hopping
OWASP Sigurnost drugog nivoa(1) - CAM(Content Addressable Memory) Table Flooding Alat za napad: dsniff – macof, filesnarf, mailsnarf, msgsnarf, urlsnarf Zaštita: “Port security”
OWASP Sigurnost drugog nivoa(2) - DHCP Napadi 1. zauzimanje svih dostupnih IP adresa - DHCP Starvation, vrsta DOS-a 2. lažni DHCP server, slika: Alat za napad: Yersinia – za kombinaciju oba napada, Cain&Abel Zaštita: 1. “Port security” i 2.“DHCP Snooping”
OWASP Dodatak: Temelj sigurnosti - zaštita prvog i drugog nivoa OSI modela - implementirati odgovarajuće mjere fizičke sigurnosti - onemogućiti slobodne portove na mrežnim svičevima - uključiti zaštitne mehanizme u STP protokola(Root guard) - uključiti zaštitne mehanizme DHCP protokola(DHCP snooping) - uključiti zaštitu protiv lažnih IP paketa(IP source guard) - uključiti zaštitu od ARP/MAC napada (dynamic ARP inspection, Port security)
OWASP Sigurnost na mrežnom i transportnom nivou PrijetnjaPrijetnja OpisOpis IP SpoofingIP Spoofing Lažiranje izvorne IP adreseLažiranje izvorne IP adrese (Distributed) Denial of Service(Distributed) Denial of Service Uskraćivanje usluge (poseban oblikUskraćivanje usluge (poseban oblik DDoS)DDoS) TeardropTeardrop Greške prilikom sastavljanjaGreške prilikom sastavljanja fragmentisanih paketafragmentisanih paketa SYN FloodSYN Flood ““bombardovanje” lažnim zahtjevimabombardovanje” lažnim zahtjevima za uspostavljanje TCP konekcijeza uspostavljanje TCP konekcije ICMP attackICMP attack ““bombardovanje” ICMP zahtjevima sabombardovanje” ICMP zahtjevima sa lažnom izvornom IP adresomlažnom izvornom IP adresom Alati: Hping, ? Zaštita: IP Source Guard, Firewall, VPN(Virtual Private Network)... Najčešće prijetnje:
OWASP Sigurnost na mrežnom i transportnom nivou(1) - Firewall Filtriranje saobraćaja: “stateless” i “statefull”
OWASP Sigurnost na mrežnom i transportnom nivou(2) - Stateful Firewall Stateful firewall
OWASP Sigurnost na mrežnom i transportnom nivou(3) - Virtuelne privatne mreže VPN konekcija između dvije udaljene lokacije IPSec protokol: AH(Authentication Header), ESP(Encapsulated Security Payload), IKE(Internet Key Exchange)
OWASP Sigurnost na mrežnom i transportnom nivou(4) - IPSec protokol Transportni i tunnel način rada ESP protokola iz IPSec grupe
OWASP Sigurnost nivoa sesije i prezentacije - upotreba SSL/TLS protokola -Neophodna je autentikacija servera pomoću serverskih sertifikata -Poželjna autentikacija klijenta pomoću klijentskih sertifikata(smart kartice) -Garantuje se: autentikacija, integritet, tajnost i neporecivost poruke
OWASP Sigurnost aplikacionog nivoa: Kategorizacija napada: - Napadi vezani za autentikaciju (brute force..) - Napadi vezani za autorizaciju (Credential/Session prediction..) - Napadi na klijentsku stranu (XSS..) - Napadi vezani za izvršavanje naredbi (SQL, XPATH i LDAP injection) - Otkrivanje povjerljivih informacija (Directory indexing..) - Logički napadi (DoS..) Alati : Hydra, Burp..itd. http://sectools.org/ Zaštita: kriptografija, aplikacioni firewall, kontrola inputa, zdrav razum..
OWASP Sigurnost aplikacionog nivoa: web aplikacije The OWASP Top 10 Project – Lista najčešćih prijetnji z 2013 : A1 Injection A2 Broken Authentication and Session Management A3 Cross-Site Scripting (XSS) A4 Insecure Direct Object References A5 Security Misconfiguration A6 Sensitive Data Exposure A7 Missing Function Level Access Control A8 Cross-Site Request Forgery (CSRF) A9 Using Components with Known Vulnerabilities A10 Unvalidated Redirects and Forwards
OWASP Sigurnost aplikacionog nivoa: Mjere za poboljšanje sigurnosti: - digitalno potpisivanje i digitalni sertifikati - upotreba aktuelnih kriptografskih biblioteka (Md5 više nije IN) - aplikativni firewall (primjer mod_sec za Apache web server) Neke mogućnosti WAF-a: - provjera TCP handshake - blokada injection napada - zaštita podataka (kreditne kartice i sl) - zaštita XML-a i Web servisa - Filtriranje tipa (upload)fajlova - Zaštita HTTP sesije / cookie-a - Blacklists
OWASP - Dvofaktorska autentikacija pomoću smart kartica - Dvofaktorska autentikacija pomoću tokena Sigurnost aplikacionog nivoa -> Zaštita login podataka i sistema autentikacije
OWASP Sistemi za detekciju i prevenciju napada - Alati koji analiziraju mrežni saobraćaja i detektuju/blokiraju napade - Nevidljivi za krajnje korisnike - Osnovni načini rada: 1. prepoznavanje šablona 2. prepoznavanje anomalija(statistika) - Podjela: 1. Host intrusion detection/prevention systems 2. Network intrusion detection/prevention systems 3. Hybrid intrusion/prevention detection systems - Primjeri: AIDE, OSSEC, Snort
OWASP Implementacija IDS/IPS u IT infrastrukturi 1. centralizovan sistem ili 2. distribuiran sistem, slika: - upotreba “port mirroring” ili network TAP uređaja
OWASP Sistemi za privlačenje i analizu napada – Honeypot - sistemi specijalno dizajnirani da privuku napadača, omoguće mu jednostavan pristup sistemu, i lako praćenje njegovih aktivnosti. Osobine: - skreću pažnju napadača od stvarnog sistema - omogućavaju uvid u tehnike koje napadači koriste - ohrabruju napadača da se što duže zadrži na sistemu Podjela: - sistemi za privlačenje napada niske interakcije - sistemi za privlačenje napada srednje interakcije -sistemi za privlačenje napada visoke interakcije - Projekat: “HoneyNet” – mreža za privlačenje i alalizu napada
OWASP Logički prikaz IT infrastrukture
OWASP Javna DMZ: - Web serveri (Web node) - DNS serveri (DNS node) - Web proxy serveri (Proxy node) - Email serveri (Email node) - Sigurnosni serveri (Security node) Privatna DMZ: - Aplikacioni serveri - Intranet serveri - Interni DNS serveri - Interni Email serveri -...
OWASP Hvala na pažnji! .. Pitanja / Diskusija .. Mladen Kostrešević Mladen.Kostresevic@gmail.com
OWASP Zaključak -ne postoji “tajni ključ” koji nam garantuje potpunu sigurnost sistema - paralelno sa evolucijom informaciono-komunikacionih sistema evoluiraju i sigurnosne prijetnje i oblici napada - pažljivom implementacijom zaštite na svim nivoima i primjenom preporuka iz prakse moguće je rizik svesti na razumnu mjeru
OWASP Dodatak: Evidencija(engl. logging) pristupa sistemu:
OWASP

Recommended

Sigurnost
SigurnostSigurnost
SigurnostPogled kroz prozor
 
Disertacija obrana
Disertacija obrana Disertacija obrana
Disertacija obrana Damir Delija
 
Olaf extension td3 inisg2 2
Olaf extension td3 inisg2 2Olaf extension td3 inisg2 2
Olaf extension td3 inisg2 2Damir Delija
 
Machine learning prediction of stock markets
Machine learning prediction of stock marketsMachine learning prediction of stock markets
Machine learning prediction of stock marketsNikola Milosevic
 
Tcp Udp Icmp And The Transport Layer
Tcp Udp Icmp And The Transport LayerTcp Udp Icmp And The Transport Layer
Tcp Udp Icmp And The Transport Layertmavroidis
 
Sigurnost-na-Internetu-III
Sigurnost-na-Internetu-IIISigurnost-na-Internetu-III
Sigurnost-na-Internetu-IIIDinko Korunic
 
Dinko Korunić - Skalabilna web rješenja (IT Showoff)
Dinko Korunić - Skalabilna web rješenja (IT Showoff)Dinko Korunić - Skalabilna web rješenja (IT Showoff)
Dinko Korunić - Skalabilna web rješenja (IT Showoff)IT Showoff
 
Osnove interneta
Osnove internetaOsnove interneta
Osnove internetastevansek
 

Recommended

Sigurnost
SigurnostSigurnost
SigurnostPogled kroz prozor
 
Disertacija obrana
Disertacija obrana Disertacija obrana
Disertacija obrana Damir Delija
 
Olaf extension td3 inisg2 2
Olaf extension td3 inisg2 2Olaf extension td3 inisg2 2
Olaf extension td3 inisg2 2Damir Delija
 
Machine learning prediction of stock markets
Machine learning prediction of stock marketsMachine learning prediction of stock markets
Machine learning prediction of stock marketsNikola Milosevic
 
Tcp Udp Icmp And The Transport Layer
Tcp Udp Icmp And The Transport LayerTcp Udp Icmp And The Transport Layer
Tcp Udp Icmp And The Transport Layertmavroidis
 
Sigurnost-na-Internetu-III
Sigurnost-na-Internetu-IIISigurnost-na-Internetu-III
Sigurnost-na-Internetu-IIIDinko Korunic
 
Dinko Korunić - Skalabilna web rješenja (IT Showoff)
Dinko Korunić - Skalabilna web rješenja (IT Showoff)Dinko Korunić - Skalabilna web rješenja (IT Showoff)
Dinko Korunić - Skalabilna web rješenja (IT Showoff)IT Showoff
 
Osnove interneta
Osnove internetaOsnove interneta
Osnove internetastevansek
 
Sigurnost Bezicnih Mreza (Wep I Wpa Enkripcija) 2009 11 21 (čAkovec)
Sigurnost Bezicnih Mreza (Wep I Wpa Enkripcija) 2009 11 21 (čAkovec)Sigurnost Bezicnih Mreza (Wep I Wpa Enkripcija) 2009 11 21 (čAkovec)
Sigurnost Bezicnih Mreza (Wep I Wpa Enkripcija) 2009 11 21 (čAkovec)Valent Turkovic
 
Infrastuktura i povezivanje
Infrastuktura i povezivanjeInfrastuktura i povezivanje
Infrastuktura i povezivanjeNikola Damjanović
 
Sf2010
Sf2010Sf2010
Sf2010tkisason
 
Moguće tehnike pristupa forenzckim podacima 09.2013
Moguće tehnike pristupa forenzckim podacima 09.2013 Moguće tehnike pristupa forenzckim podacima 09.2013
Moguće tehnike pristupa forenzckim podacima 09.2013 Damir Delija
 
ITshowoff Zagreb: Skalabilna web rjesenja
ITshowoff Zagreb: Skalabilna web rjesenjaITshowoff Zagreb: Skalabilna web rjesenja
ITshowoff Zagreb: Skalabilna web rjesenjaDinko Korunic
 
ITshowoff-Dinko
ITshowoff-DinkoITshowoff-Dinko
ITshowoff-DinkoDinko Korunic
 
Firewall-realizacija na MicroTIK routeru
Firewall-realizacija na MicroTIK routeruFirewall-realizacija na MicroTIK routeru
Firewall-realizacija na MicroTIK routeruAldina Bajraktarevic
 
Hroug analiza logova_u_racunalnoj_forenzici_2009
Hroug analiza logova_u_racunalnoj_forenzici_2009Hroug analiza logova_u_racunalnoj_forenzici_2009
Hroug analiza logova_u_racunalnoj_forenzici_2009Damir Delija
 
(ATD10) Postar zvoni dvaput - dostava podataka u Azureu
(ATD10) Postar zvoni dvaput - dostava podataka u Azureu(ATD10) Postar zvoni dvaput - dostava podataka u Azureu
(ATD10) Postar zvoni dvaput - dostava podataka u AzureuLuka Lovosevic
 
Cis 2013 digitalna forenzika osvrt
Cis 2013 digitalna forenzika osvrt Cis 2013 digitalna forenzika osvrt
Cis 2013 digitalna forenzika osvrt Damir Delija
 
147 zaštita osobnih podataka na internetu antun bačan
147 zaštita osobnih podataka na internetu antun bačan147 zaštita osobnih podataka na internetu antun bačan
147 zaštita osobnih podataka na internetu antun bačanPogled kroz prozor
 
156 zaštita osobnih podataka matija pavlović 8.a
156 zaštita osobnih podataka matija pavlović 8.a156 zaštita osobnih podataka matija pavlović 8.a
156 zaštita osobnih podataka matija pavlović 8.aPogled kroz prozor
 
Analiza logova u digitalnoj forenzici
Analiza logova u digitalnoj forenziciAnaliza logova u digitalnoj forenzici
Analiza logova u digitalnoj forenziciDamir Delija
 
Cis 2016 moč forenzičikih alata 1.1
Cis 2016 moč forenzičikih alata 1.1Cis 2016 moč forenzičikih alata 1.1
Cis 2016 moč forenzičikih alata 1.1Damir Delija
 
Web App Security for Devs
Web App Security for DevsWeb App Security for Devs
Web App Security for DevsAxilis
 
Web App Security for Devs
Web App Security for DevsWeb App Security for Devs
Web App Security for DevsVedran Maršić
 
VSS predavanje: Oblici racunalnog kriminaliteta
VSS predavanje: Oblici racunalnog kriminalitetaVSS predavanje: Oblici racunalnog kriminaliteta
VSS predavanje: Oblici racunalnog kriminalitetaDinko Korunic
 
VSS2014-kriminalitet
VSS2014-kriminalitetVSS2014-kriminalitet
VSS2014-kriminalitetDinko Korunic
 
Web bazirani servisi za krekiranje lozinki - Marija Barušić
Web bazirani servisi za krekiranje lozinki - Marija BarušićWeb bazirani servisi za krekiranje lozinki - Marija Barušić
Web bazirani servisi za krekiranje lozinki - Marija BarušićMarija Barušić
 
Racunalna forenzika osvrt prezentacija
Racunalna forenzika osvrt prezentacijaRacunalna forenzika osvrt prezentacija
Racunalna forenzika osvrt prezentacijaDamir Delija
 
Classifying intangible social innovation concepts using machine learning and ...
Classifying intangible social innovation concepts using machine learning and ...Classifying intangible social innovation concepts using machine learning and ...
Classifying intangible social innovation concepts using machine learning and ...Nikola Milosevic
 
Machine learning (ML) and natural language processing (NLP)
Machine learning (ML) and natural language processing (NLP)Machine learning (ML) and natural language processing (NLP)
Machine learning (ML) and natural language processing (NLP)Nikola Milosevic
 

More Related Content

Similar to Sigurnosne prijetnje i mjere zaštite IT infrastrukture

Sigurnost Bezicnih Mreza (Wep I Wpa Enkripcija) 2009 11 21 (čAkovec)
Sigurnost Bezicnih Mreza (Wep I Wpa Enkripcija) 2009 11 21 (čAkovec)Sigurnost Bezicnih Mreza (Wep I Wpa Enkripcija) 2009 11 21 (čAkovec)
Sigurnost Bezicnih Mreza (Wep I Wpa Enkripcija) 2009 11 21 (čAkovec)Valent Turkovic
 
Moguće tehnike pristupa forenzckim podacima 09.2013
Moguće tehnike pristupa forenzckim podacima 09.2013 Moguće tehnike pristupa forenzckim podacima 09.2013
Moguće tehnike pristupa forenzckim podacima 09.2013 Damir Delija
 
ITshowoff Zagreb: Skalabilna web rjesenja
ITshowoff Zagreb: Skalabilna web rjesenjaITshowoff Zagreb: Skalabilna web rjesenja
ITshowoff Zagreb: Skalabilna web rjesenjaDinko Korunic
 
Firewall-realizacija na MicroTIK routeru
Firewall-realizacija na MicroTIK routeruFirewall-realizacija na MicroTIK routeru
Firewall-realizacija na MicroTIK routeruAldina Bajraktarevic
 
Hroug analiza logova_u_racunalnoj_forenzici_2009
Hroug analiza logova_u_racunalnoj_forenzici_2009Hroug analiza logova_u_racunalnoj_forenzici_2009
Hroug analiza logova_u_racunalnoj_forenzici_2009Damir Delija
 
(ATD10) Postar zvoni dvaput - dostava podataka u Azureu
(ATD10) Postar zvoni dvaput - dostava podataka u Azureu(ATD10) Postar zvoni dvaput - dostava podataka u Azureu
(ATD10) Postar zvoni dvaput - dostava podataka u AzureuLuka Lovosevic
 
Cis 2013 digitalna forenzika osvrt
Cis 2013 digitalna forenzika osvrt Cis 2013 digitalna forenzika osvrt
Cis 2013 digitalna forenzika osvrt Damir Delija
 
147 zaštita osobnih podataka na internetu antun bačan
147 zaštita osobnih podataka na internetu antun bačan147 zaštita osobnih podataka na internetu antun bačan
147 zaštita osobnih podataka na internetu antun bačanPogled kroz prozor
 
156 zaštita osobnih podataka matija pavlović 8.a
156 zaštita osobnih podataka matija pavlović 8.a156 zaštita osobnih podataka matija pavlović 8.a
156 zaštita osobnih podataka matija pavlović 8.aPogled kroz prozor
 
Analiza logova u digitalnoj forenzici
Analiza logova u digitalnoj forenziciAnaliza logova u digitalnoj forenzici
Analiza logova u digitalnoj forenziciDamir Delija
 
Cis 2016 moč forenzičikih alata 1.1
Cis 2016 moč forenzičikih alata 1.1Cis 2016 moč forenzičikih alata 1.1
Cis 2016 moč forenzičikih alata 1.1Damir Delija
 
Web App Security for Devs
Web App Security for DevsWeb App Security for Devs
Web App Security for DevsAxilis
 
Web App Security for Devs
Web App Security for DevsWeb App Security for Devs
Web App Security for DevsVedran Maršić
 
VSS predavanje: Oblici racunalnog kriminaliteta
VSS predavanje: Oblici racunalnog kriminalitetaVSS predavanje: Oblici racunalnog kriminaliteta
VSS predavanje: Oblici racunalnog kriminalitetaDinko Korunic
 
VSS2014-kriminalitet
VSS2014-kriminalitetVSS2014-kriminalitet
VSS2014-kriminalitetDinko Korunic
 
Web bazirani servisi za krekiranje lozinki - Marija Barušić
Web bazirani servisi za krekiranje lozinki - Marija BarušićWeb bazirani servisi za krekiranje lozinki - Marija Barušić
Web bazirani servisi za krekiranje lozinki - Marija BarušićMarija Barušić
 
Racunalna forenzika osvrt prezentacija
Racunalna forenzika osvrt prezentacijaRacunalna forenzika osvrt prezentacija
Racunalna forenzika osvrt prezentacijaDamir Delija
 

Similar to Sigurnosne prijetnje i mjere zaštite IT infrastrukture (20)

Sigurnost Bezicnih Mreza (Wep I Wpa Enkripcija) 2009 11 21 (čAkovec)
Sigurnost Bezicnih Mreza (Wep I Wpa Enkripcija) 2009 11 21 (čAkovec)Sigurnost Bezicnih Mreza (Wep I Wpa Enkripcija) 2009 11 21 (čAkovec)
Sigurnost Bezicnih Mreza (Wep I Wpa Enkripcija) 2009 11 21 (čAkovec)
 
Infrastuktura i povezivanje
Infrastuktura i povezivanjeInfrastuktura i povezivanje
Infrastuktura i povezivanje
 
Sf2010
Sf2010Sf2010
Sf2010
 
Moguće tehnike pristupa forenzckim podacima 09.2013
Moguće tehnike pristupa forenzckim podacima 09.2013 Moguće tehnike pristupa forenzckim podacima 09.2013
Moguće tehnike pristupa forenzckim podacima 09.2013
 
ITshowoff Zagreb: Skalabilna web rjesenja
ITshowoff Zagreb: Skalabilna web rjesenjaITshowoff Zagreb: Skalabilna web rjesenja
ITshowoff Zagreb: Skalabilna web rjesenja
 
ITshowoff-Dinko
ITshowoff-DinkoITshowoff-Dinko
ITshowoff-Dinko
 
Firewall-realizacija na MicroTIK routeru
Firewall-realizacija na MicroTIK routeruFirewall-realizacija na MicroTIK routeru
Firewall-realizacija na MicroTIK routeru
 
Hroug analiza logova_u_racunalnoj_forenzici_2009
Hroug analiza logova_u_racunalnoj_forenzici_2009Hroug analiza logova_u_racunalnoj_forenzici_2009
Hroug analiza logova_u_racunalnoj_forenzici_2009
 
(ATD10) Postar zvoni dvaput - dostava podataka u Azureu
(ATD10) Postar zvoni dvaput - dostava podataka u Azureu(ATD10) Postar zvoni dvaput - dostava podataka u Azureu
(ATD10) Postar zvoni dvaput - dostava podataka u Azureu
 
Cis 2013 digitalna forenzika osvrt
Cis 2013 digitalna forenzika osvrt Cis 2013 digitalna forenzika osvrt
Cis 2013 digitalna forenzika osvrt
 
147 zaštita osobnih podataka na internetu antun bačan
147 zaštita osobnih podataka na internetu antun bačan147 zaštita osobnih podataka na internetu antun bačan
147 zaštita osobnih podataka na internetu antun bačan
 
156 zaštita osobnih podataka matija pavlović 8.a
156 zaštita osobnih podataka matija pavlović 8.a156 zaštita osobnih podataka matija pavlović 8.a
156 zaštita osobnih podataka matija pavlović 8.a
 
Analiza logova u digitalnoj forenzici
Analiza logova u digitalnoj forenziciAnaliza logova u digitalnoj forenzici
Analiza logova u digitalnoj forenzici
 
Cis 2016 moč forenzičikih alata 1.1
Cis 2016 moč forenzičikih alata 1.1Cis 2016 moč forenzičikih alata 1.1
Cis 2016 moč forenzičikih alata 1.1
 
Web App Security for Devs
Web App Security for DevsWeb App Security for Devs
Web App Security for Devs
 
Web App Security for Devs
Web App Security for DevsWeb App Security for Devs
Web App Security for Devs
 
VSS predavanje: Oblici racunalnog kriminaliteta
VSS predavanje: Oblici racunalnog kriminalitetaVSS predavanje: Oblici racunalnog kriminaliteta
VSS predavanje: Oblici racunalnog kriminaliteta
 
VSS2014-kriminalitet
VSS2014-kriminalitetVSS2014-kriminalitet
VSS2014-kriminalitet
 
Web bazirani servisi za krekiranje lozinki - Marija Barušić
Web bazirani servisi za krekiranje lozinki - Marija BarušićWeb bazirani servisi za krekiranje lozinki - Marija Barušić
Web bazirani servisi za krekiranje lozinki - Marija Barušić
 
Racunalna forenzika osvrt prezentacija
Racunalna forenzika osvrt prezentacijaRacunalna forenzika osvrt prezentacija
Racunalna forenzika osvrt prezentacija
 

More from Nikola Milosevic

Classifying intangible social innovation concepts using machine learning and ...
Classifying intangible social innovation concepts using machine learning and ...Classifying intangible social innovation concepts using machine learning and ...
Classifying intangible social innovation concepts using machine learning and ...Nikola Milosevic
 
Machine learning (ML) and natural language processing (NLP)
Machine learning (ML) and natural language processing (NLP)Machine learning (ML) and natural language processing (NLP)
Machine learning (ML) and natural language processing (NLP)Nikola Milosevic
 
AI an the future of society
AI an the future of societyAI an the future of society
AI an the future of societyNikola Milosevic
 
Equity forecast: Predicting long term stock market prices using machine learning
Equity forecast: Predicting long term stock market prices using machine learningEquity forecast: Predicting long term stock market prices using machine learning
Equity forecast: Predicting long term stock market prices using machine learningNikola Milosevic
 
BelBi2016 presentation: Hybrid methodology for information extraction from ta...
BelBi2016 presentation: Hybrid methodology for information extraction from ta...BelBi2016 presentation: Hybrid methodology for information extraction from ta...
BelBi2016 presentation: Hybrid methodology for information extraction from ta...Nikola Milosevic
 
Extracting patient data from tables in clinical literature
Extracting patient data from tables in clinical literatureExtracting patient data from tables in clinical literature
Extracting patient data from tables in clinical literatureNikola Milosevic
 
Supporting clinical trial data curation and integration with table mining
Supporting clinical trial data curation and integration with table miningSupporting clinical trial data curation and integration with table mining
Supporting clinical trial data curation and integration with table miningNikola Milosevic
 
Mobile security, OWASP Mobile Top 10, OWASP Seraphimdroid
Mobile security, OWASP Mobile Top 10, OWASP SeraphimdroidMobile security, OWASP Mobile Top 10, OWASP Seraphimdroid
Mobile security, OWASP Mobile Top 10, OWASP SeraphimdroidNikola Milosevic
 
Table mining and data curation from biomedical literature
Table mining and data curation from biomedical literatureTable mining and data curation from biomedical literature
Table mining and data curation from biomedical literatureNikola Milosevic
 
Sentiment analysis for Serbian language
Sentiment analysis for Serbian languageSentiment analysis for Serbian language
Sentiment analysis for Serbian languageNikola Milosevic
 
Mašinska analiza sentimenta rečenica na srpskom jeziku
Mašinska analiza sentimenta rečenica na srpskom jezikuMašinska analiza sentimenta rečenica na srpskom jeziku
Mašinska analiza sentimenta rečenica na srpskom jezikuNikola Milosevic
 
Software Freedom day Serbia - Owasp - informaciona bezbednost u Srbiji open s...
Software Freedom day Serbia - Owasp - informaciona bezbednost u Srbiji open s...Software Freedom day Serbia - Owasp - informaciona bezbednost u Srbiji open s...
Software Freedom day Serbia - Owasp - informaciona bezbednost u Srbiji open s...Nikola Milosevic
 
Software Freedom day Serbia - Owasp open source resenja
Software Freedom day Serbia - Owasp open source resenjaSoftware Freedom day Serbia - Owasp open source resenja
Software Freedom day Serbia - Owasp open source resenjaNikola Milosevic
 

More from Nikola Milosevic (20)

Classifying intangible social innovation concepts using machine learning and ...
Classifying intangible social innovation concepts using machine learning and ...Classifying intangible social innovation concepts using machine learning and ...
Classifying intangible social innovation concepts using machine learning and ...
 
Machine learning (ML) and natural language processing (NLP)
Machine learning (ML) and natural language processing (NLP)Machine learning (ML) and natural language processing (NLP)
Machine learning (ML) and natural language processing (NLP)
 
Veštačka inteligencija
Veštačka inteligencijaVeštačka inteligencija
Veštačka inteligencija
 
AI an the future of society
AI an the future of societyAI an the future of society
AI an the future of society
 
Equity forecast: Predicting long term stock market prices using machine learning
Equity forecast: Predicting long term stock market prices using machine learningEquity forecast: Predicting long term stock market prices using machine learning
Equity forecast: Predicting long term stock market prices using machine learning
 
BelBi2016 presentation: Hybrid methodology for information extraction from ta...
BelBi2016 presentation: Hybrid methodology for information extraction from ta...BelBi2016 presentation: Hybrid methodology for information extraction from ta...
BelBi2016 presentation: Hybrid methodology for information extraction from ta...
 
Extracting patient data from tables in clinical literature
Extracting patient data from tables in clinical literatureExtracting patient data from tables in clinical literature
Extracting patient data from tables in clinical literature
 
Supporting clinical trial data curation and integration with table mining
Supporting clinical trial data curation and integration with table miningSupporting clinical trial data curation and integration with table mining
Supporting clinical trial data curation and integration with table mining
 
Mobile security, OWASP Mobile Top 10, OWASP Seraphimdroid
Mobile security, OWASP Mobile Top 10, OWASP SeraphimdroidMobile security, OWASP Mobile Top 10, OWASP Seraphimdroid
Mobile security, OWASP Mobile Top 10, OWASP Seraphimdroid
 
Serbia2
Serbia2Serbia2
Serbia2
 
Table mining and data curation from biomedical literature
Table mining and data curation from biomedical literatureTable mining and data curation from biomedical literature
Table mining and data curation from biomedical literature
 
Malware
MalwareMalware
Malware
 
Sentiment analysis for Serbian language
Sentiment analysis for Serbian languageSentiment analysis for Serbian language
Sentiment analysis for Serbian language
 
Http and security
Http and securityHttp and security
Http and security
 
Android business models
Android business modelsAndroid business models
Android business models
 
Android(1)
Android(1)Android(1)
Android(1)
 
Mašinska analiza sentimenta rečenica na srpskom jeziku
Mašinska analiza sentimenta rečenica na srpskom jezikuMašinska analiza sentimenta rečenica na srpskom jeziku
Mašinska analiza sentimenta rečenica na srpskom jeziku
 
Malware
MalwareMalware
Malware
 
Software Freedom day Serbia - Owasp - informaciona bezbednost u Srbiji open s...
Software Freedom day Serbia - Owasp - informaciona bezbednost u Srbiji open s...Software Freedom day Serbia - Owasp - informaciona bezbednost u Srbiji open s...
Software Freedom day Serbia - Owasp - informaciona bezbednost u Srbiji open s...
 
Software Freedom day Serbia - Owasp open source resenja
Software Freedom day Serbia - Owasp open source resenjaSoftware Freedom day Serbia - Owasp open source resenja
Software Freedom day Serbia - Owasp open source resenja
 

Sigurnosne prijetnje i mjere zaštite IT infrastrukture

  • 1. Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP Foundation OWASP http://www.owasp.org Sigurnosne prijetnje i mjere zaštite IT infrastrukture Beograd, 2013. Mladen Kostrešević Mladen.Kostresevic@gmail.com
  • 4. OWASP Agenda: - Prijetnje i mjere zaštite po svim nivoima ISO OSI modela - Sistemi za detekciju/prevenciju/analizu napada - Prijedlog IT infrastrukture sa visokim stepenom zaštite
  • 5. OWASP Zaštita po nivoima ISO OSI(Open Systems Interconnection) modela
  • 6. OWASP Sigurnost fizičkog sloja Fizička zaštita objekta u kome se nalazi IT infrastruktura: - Sistemi kontrole pristupa prostorijama: - Alarmni sistemi (detekcija provala, požara ili poplave) - Video nadzor - Zaštita na nivou rack ormara i komunikacionih linkova
  • 7. OWASP Sigurnost drugog nivoa Najčešće prijetnje: -CAM (content addressable memory) table flooding -ARP(address resolution protocol) poisoning - STP(spanning tree protocol) attack - DHCP attack - VLAN(virtual LAN) hopping
  • 8. OWASP Sigurnost drugog nivoa(1) - CAM(Content Addressable Memory) Table Flooding Alat za napad: dsniff – macof, filesnarf, mailsnarf, msgsnarf, urlsnarf Zaštita: “Port security”
  • 9. OWASP Sigurnost drugog nivoa(2) - DHCP Napadi 1. zauzimanje svih dostupnih IP adresa - DHCP Starvation, vrsta DOS-a 2. lažni DHCP server, slika: Alat za napad: Yersinia – za kombinaciju oba napada, Cain&Abel Zaštita: 1. “Port security” i 2.“DHCP Snooping”
  • 10. OWASP Dodatak: Temelj sigurnosti - zaštita prvog i drugog nivoa OSI modela - implementirati odgovarajuće mjere fizičke sigurnosti - onemogućiti slobodne portove na mrežnim svičevima - uključiti zaštitne mehanizme u STP protokola(Root guard) - uključiti zaštitne mehanizme DHCP protokola(DHCP snooping) - uključiti zaštitu protiv lažnih IP paketa(IP source guard) - uključiti zaštitu od ARP/MAC napada (dynamic ARP inspection, Port security)
  • 11. OWASP Sigurnost na mrežnom i transportnom nivou PrijetnjaPrijetnja OpisOpis IP SpoofingIP Spoofing Lažiranje izvorne IP adreseLažiranje izvorne IP adrese (Distributed) Denial of Service(Distributed) Denial of Service Uskraćivanje usluge (poseban oblikUskraćivanje usluge (poseban oblik DDoS)DDoS) TeardropTeardrop Greške prilikom sastavljanjaGreške prilikom sastavljanja fragmentisanih paketafragmentisanih paketa SYN FloodSYN Flood ““bombardovanje” lažnim zahtjevimabombardovanje” lažnim zahtjevima za uspostavljanje TCP konekcijeza uspostavljanje TCP konekcije ICMP attackICMP attack ““bombardovanje” ICMP zahtjevima sabombardovanje” ICMP zahtjevima sa lažnom izvornom IP adresomlažnom izvornom IP adresom Alati: Hping, ? Zaštita: IP Source Guard, Firewall, VPN(Virtual Private Network)... Najčešće prijetnje:
  • 12. OWASP Sigurnost na mrežnom i transportnom nivou(1) - Firewall Filtriranje saobraćaja: “stateless” i “statefull”
  • 13. OWASP Sigurnost na mrežnom i transportnom nivou(2) - Stateful Firewall Stateful firewall
  • 14. OWASP Sigurnost na mrežnom i transportnom nivou(3) - Virtuelne privatne mreže VPN konekcija između dvije udaljene lokacije IPSec protokol: AH(Authentication Header), ESP(Encapsulated Security Payload), IKE(Internet Key Exchange)
  • 15. OWASP Sigurnost na mrežnom i transportnom nivou(4) - IPSec protokol Transportni i tunnel način rada ESP protokola iz IPSec grupe
  • 16. OWASP Sigurnost nivoa sesije i prezentacije - upotreba SSL/TLS protokola -Neophodna je autentikacija servera pomoću serverskih sertifikata -Poželjna autentikacija klijenta pomoću klijentskih sertifikata(smart kartice) -Garantuje se: autentikacija, integritet, tajnost i neporecivost poruke
  • 17. OWASP Sigurnost aplikacionog nivoa: Kategorizacija napada: - Napadi vezani za autentikaciju (brute force..) - Napadi vezani za autorizaciju (Credential/Session prediction..) - Napadi na klijentsku stranu (XSS..) - Napadi vezani za izvršavanje naredbi (SQL, XPATH i LDAP injection) - Otkrivanje povjerljivih informacija (Directory indexing..) - Logički napadi (DoS..) Alati : Hydra, Burp..itd. http://sectools.org/ Zaštita: kriptografija, aplikacioni firewall, kontrola inputa, zdrav razum..
  • 18. OWASP Sigurnost aplikacionog nivoa: web aplikacije The OWASP Top 10 Project – Lista najčešćih prijetnji z 2013 : A1 Injection A2 Broken Authentication and Session Management A3 Cross-Site Scripting (XSS) A4 Insecure Direct Object References A5 Security Misconfiguration A6 Sensitive Data Exposure A7 Missing Function Level Access Control A8 Cross-Site Request Forgery (CSRF) A9 Using Components with Known Vulnerabilities A10 Unvalidated Redirects and Forwards
  • 19. OWASP Sigurnost aplikacionog nivoa: Mjere za poboljšanje sigurnosti: - digitalno potpisivanje i digitalni sertifikati - upotreba aktuelnih kriptografskih biblioteka (Md5 više nije IN) - aplikativni firewall (primjer mod_sec za Apache web server) Neke mogućnosti WAF-a: - provjera TCP handshake - blokada injection napada - zaštita podataka (kreditne kartice i sl) - zaštita XML-a i Web servisa - Filtriranje tipa (upload)fajlova - Zaštita HTTP sesije / cookie-a - Blacklists
  • 20. OWASP - Dvofaktorska autentikacija pomoću smart kartica - Dvofaktorska autentikacija pomoću tokena Sigurnost aplikacionog nivoa -> Zaštita login podataka i sistema autentikacije
  • 21. OWASP Sistemi za detekciju i prevenciju napada - Alati koji analiziraju mrežni saobraćaja i detektuju/blokiraju napade - Nevidljivi za krajnje korisnike - Osnovni načini rada: 1. prepoznavanje šablona 2. prepoznavanje anomalija(statistika) - Podjela: 1. Host intrusion detection/prevention systems 2. Network intrusion detection/prevention systems 3. Hybrid intrusion/prevention detection systems - Primjeri: AIDE, OSSEC, Snort
  • 22. OWASP Implementacija IDS/IPS u IT infrastrukturi 1. centralizovan sistem ili 2. distribuiran sistem, slika: - upotreba “port mirroring” ili network TAP uređaja
  • 23. OWASP Sistemi za privlačenje i analizu napada – Honeypot - sistemi specijalno dizajnirani da privuku napadača, omoguće mu jednostavan pristup sistemu, i lako praćenje njegovih aktivnosti. Osobine: - skreću pažnju napadača od stvarnog sistema - omogućavaju uvid u tehnike koje napadači koriste - ohrabruju napadača da se što duže zadrži na sistemu Podjela: - sistemi za privlačenje napada niske interakcije - sistemi za privlačenje napada srednje interakcije -sistemi za privlačenje napada visoke interakcije - Projekat: “HoneyNet” – mreža za privlačenje i alalizu napada
  • 24. OWASP Logički prikaz IT infrastrukture
  • 25. OWASP Javna DMZ: - Web serveri (Web node) - DNS serveri (DNS node) - Web proxy serveri (Proxy node) - Email serveri (Email node) - Sigurnosni serveri (Security node) Privatna DMZ: - Aplikacioni serveri - Intranet serveri - Interni DNS serveri - Interni Email serveri -...
  • 26. OWASP Hvala na pažnji! .. Pitanja / Diskusija .. Mladen Kostrešević Mladen.Kostresevic@gmail.com
  • 27. OWASP Zaključak -ne postoji “tajni ključ” koji nam garantuje potpunu sigurnost sistema - paralelno sa evolucijom informaciono-komunikacionih sistema evoluiraju i sigurnosne prijetnje i oblici napada - pažljivom implementacijom zaštite na svim nivoima i primjenom preporuka iz prakse moguće je rizik svesti na razumnu mjeru
  • 29. OWASP

Editor's Notes

  1. Welcome.. Tnx for room.. Introduction..
  2. Za ljude koji prvi put prisustvuju sastanku – OWASP je globalna organizacija posvecena sirenju svijesti o informacionoj bezbjednosti. Sjediste organizacije je u USA a rad se bazira na donacijama, clanstvu, volontiranju.. Projects by Type: 27 Code projects 62 Documentation Projects 79 Tool Projects
  3. From Sarah’s roll-up report August 11 2013.
  4. - Ova p re zentacija je nastala kao skromni doprinos lokalnoj OWASP zajednici u Srbiji - Bazirana je na mom Master radu, koji sam branio na FON-u 2011. – stoga neke informacije mogu biti zastarjele Glavna ideja rada je bila sistematski prikazati naj češće prijetnje po nivoima ISO OSI modela, te dati preporuke za zaštitu od istih ..
  5. Na ovoj slici nalazi se opštepoznati model na osnovu kog se odvijaju moderne računarske komunikacije. Komunikacija izmedju hostova podjeljena je na logičke slojeve(nivoe). Svaki nivo koristi usluge nižeg nivoa, a pruža usluge višem nivou u odnosu na sebe. Slika pokazuje da krenuvši od najnižeg nivoa, ako se utvrdi da je neki nivo kompromitovan smatra se da su i ostali nivoi iznad njega kompromitovani. Stoga, potrebno je obezbjediti adekvatnu zaštitu na svim nivoima.
  6. Sigurnost prvog nivoa obuhvata sprečavanje neželjenog pristupa podacima bez obzira na kom medijumu se oni nalazili.. Potrebno je implementirati sisteme kontrole pristupa prostorijama u kome se nalazi IT infrastruktura. Postoje različite vrste ovih sistema u zavisnosti od pouzdnosti koju pružaju i cijene kostanja implementacije. Obi čno se Koristi njihova kombinacija. "Šta imaš" - kategorija je najmanje pouzdana jer se određena sredstva mogu dijeliti ili biti ukradena. "Šta znaš" - kategorija je pouzdanija, ali ipak ne sasvim pouzdana "Ko si" - kategorija je najpouzdanija jer se odnosi na nešto što je fizički jedinstveno određenoj osobi. - najskuplja Takodje, potrebno je implementirati alarmne sisteme, video nadzor, zastitu na nivou rack ormara, kao i zastititi komunikacione linkove od prisluskivanja.
  7. - Za napade na drugom nivou potrebno je da napadac ima lokalni pristup mrezi pa se ovi napadi cesto nazivaju “napadima iznutra” Koriste kao polazna tacka za napade na protokole visih nivo. Pa ipak, sigurnost drugog nivoa OSI modela se cesto zanemaruje, sto je veliki propust. U nastavku cu objasniti meni dva najinteresantnija napada na drugom nivou. (CAM i DHCP) ARP - is used to convert an IP address to a physical address such as an Ethernet address. STP – mrežni protokol za sprečavanje loop -ova L2 paketa u LAN mre žama
  8. Pitanje : razlika izme đu hub-a i switch-a ? Svaki switch ima CAM tabel u koja povezuje hardverske MAC( Media Access Control ) adrese uređaja sa portom na sviču na kome se uređaj nalazi. Ova tabela omogućava da se podaci šalju samo na onaj port na kome se odredišni uređaj nalazi, a ne na sve portove kao što je to slučaj kod hub-ova. U ovom napadu, napadač šalje veliki broj ARP paketa sa različitim izvornim MAC adresama u zaglavlju i to u kratkom vremenskom intervalu. Svič pokušava da “zapamti” ove MAC adrese i kada se CAM tabela napuni ovako kreiranim “lažnim” MAC adresama, switch počinje da se ponaša kao hub i šalje sve dolazeće pakete na sve portove. Nakon toga napadač može da pokrene neki packer sniffer i osluškuje osjetljive podatke namjenjene drugim hostovima, što inače ne bi mogao u normalnim uslovima. Kao tehniku zaštite od ovog napada moguce je ukljuciti - Port security – mehanizam zastite koji posjeduju bolji switchevi a pomoću koje je moguće definisati maksimalno dozvoljen broj različitih MAC adresa koje se mogu pojaviti na jednom portu i u slučaju prekoračenja moguće je automatski blokirati port i obavijestiti administratora za sigurnost.
  9. DHCP je protokol koji se koristi za dinamičku dodjelu IP parametara radnim stanicama u računarskim mrežama. DHCP je protokol viseg nivoa, ali mjere koje je potrebno preduzeti za zaštitu od ovih napada tiču se protokola drugog nivoa pa je zato svrstan u ovu grupu. 1. Zauzimanje svih dostupnih IP adresa se odvija tako što napadač „iscrpi“ sve dostupne IP adrese DHCP servera, tako što svaki put od DHCP servera traži IP parametre podmećući mu drugu MAC( Media Access Control ) adresu u DHCP zahtjevu. DHCP server u ovom napadu smatra da salje odgovore validnim uređajima. Nakon toga validni klijenti ne mogu da pristupe mreži jer ne dobijaju parametre od DHCP servera(Vrsta DOS napada). Uključivanjem „Port Security“ mehanizma na sviču, u slučaju da dođe do napada, port na koji je napadač povezan će biti automatski ugašen nakon što se na njemu pojavi više od maksimalnog dozvoljenog broja MAC adresa. 2. U drugom DHCP napadu, napadač podiže lažni DHCP server i klijenti tako dobijaju pogrešne informacije za konfiguraciju mrežnih parametara(npr default gateway). Na taj način napadač preusmjerava sav saobraćaj kroz njegov računar i moze da ga prisluškuje ili modifikuje po potrebi, tzv. “Man in the middle” napad. - Primjer “legalnog” MandInTheMiddle napada: kompanijski proxy koji podme će lažne SSL sertifikate u svrhu analize saobraćaja Zaštita od ovakvog tipa DHCP napada vrši se uključivanjem „DHCP Snooping“ mehanizma i to njegovog tipa portova na svičevima: „trusted“ i „untrusted“. Svi portovi na svim svičevima u mreži, na koje su povezane radne stanice je neophodno definisati kao „untrusted“. Ovime se onemogućava dolazak DHCP serverskih odgovora (paketa) preko „untrusted“ porta.
  10. Pitanje: R azlik e izmedju TCP i UDP ? Mrežni sloj određuje kojim putem će paketi proći na svom putu od izvora do odredišta. Danas se na mrežnom sloju najčešće koristi IP(Internet protokol v4) protokol. Transportni nivo OSI modela osigurava transparentni prenos informacija između krajnjih sistema, s kraja na kraj. Dva najpopularnija protokola transportnog nivoa su: TCP i UDP. Najcesci napadi na ovim nivoima su: IP Spoofing, DDoS, Teardrop, SYN Flood ICMP attack IP Spoofing - napadač kreira specijalno pripremljenje IP pakete u koje umeće lažnu izvornu IP adresu tako da žrtva misli da paketi dolaze sa validnog hosta. Na ovaj način moguće je zaobići mehanizme autentikacije u slučajevima kada odredišni host autentikaciju vrši na osnovu izvorne IP adrese paketa. Ovaj napad se cesto koristi zajedno sa DOS napadom, da bi se zavarao trag dolaznih paketa.. Za zaštitu moguće je za početak implementirati ingress-egress filtriranje paketa. IP Source Guard ograničava IP saobraćaj na nivou 2 tako što filtrira i dozvoljava samo onaj saobraćaj iz DHCP snooping baze ili iz ručno konfigurisanih IP-MAC kombinacija Denial of Service - U ovu grupu spada veliki broj napada čiji je zajednički cilj onemogućiti normalno funkcionisanje sistema tako što se preopterete dostupni računarski ili mrežni resursi. Često korišćen oblik ovog napada jeste Distributed Denial of Service - DDOS napd, u kome napadač koristi veliki broj zaraženih računara, koji mogu biti raspoređeni bilo gdje na Internetu, da bi im zadao naredbe da u isto vrijeme izvrše neki od poznatih napada na žrtvu čime se efekat i rezultat napada strašno uvećava . Teardrop – Ovaj napad koristi fragmentaciju IP paketa. Napadači često lažiraju vrijednosti polja za fragmentaciju u IP paketu, kako bi na odredišnom hostu prilikom sastavljanja paketa došlo do greške. Tako sastavljen paket može biti maliciozan. Većina današnjih sistema je otporna na ovaj napad. SYN Flood - Kod ove vrste napada, napadač kreira veliki broj TCP / IP paketa za ostvarivanje konekcije ka računaru žrtve(paketi sa SYN poljem u zaglavlju). Računar žrtve pokušava odgovoriti sa SYN/ACK paketima na sve zahtjeve, ali pošto su inicijalni paketi lažirani, žrtva nikada ne dobije konačni odgovor(ACK) da je konekcija uspostavljena. Kako računar žrtve čeka na ACK paket za uspostavljanje konekcije, sve više resursa postaje zauzeto, što na kraju obi č no rezultuje u zauzeće svih raspoloživih resursa i prestanak funkcionisanja sistema. ICMP napad - Napadač šalje specijalno pripremljeni "UDP echo request" paket velikom broju računara na mreži. U ovom paketu lažirana je izvorna IP adresa tako da izgleda kao da dolazi sa IP adrese žrtve. Kada prime ovaj zahtjev, računari sa mreže šalju "UDP echo reply" na adresu žrtve čime se obično blokiraju komunikacioni kanali, i žrtva postaje "izolovana" od ostatka mreže. Kada napadač prestane slati UDP echo request zahtjeve, prestaje i izolovanost računara žrtve. - Sta dodati ovde od napada?
  11. Firewall je uređaj koji filtrira saobraćaj na osnovu definisanih pravila a analiziraju ć i zaglavlja treceg i cetvrtog nivoa OSI modela. Postoje d va osnovna oblika filtriranja i to su : stateless i statefull (bez i sa pracenjem stanja) Stateless firewall filtrira paketa samo na osnovu njihovih zaglavlja, dok je stateful napredniji i on prati uspostavljene konekcije te na osnovu njihovih stanja obavlja filtriranje.
  12. Firewall sa praćenjem stanja – Statefull firewall - mora da posjeduje tabelu stanja u kojoj vodi evidenciju o svim konekcijama. On je u mogucnosti da prepozna da li dolazeci paket predstavlja zahtjev za novom konekcijom, ili pripada vec postojecoj konekciji. U odnosu na to i definisana pravila, paket može biti proslijeđen ili odbačen. Primjer: Klijent salje udp paket ka serveru sa određenim parametrima(SP, SA, DP, DA). Firewall “anali z ira” odgovor od servera i ako se podaci u zaglavlju poklapaju(validan odgovor DP = SP), dozvoliće saobraćaj u oba smjera. U slučaju da je paket usmjeren na neki drugi port firewall će ga blokirati.
  13. Virtuelna privatna mreža (VPN) nam omogu ćava da povežemo računare locirane u različitim mrežama tako da oni budu "vidljivi" kao da su u jednoj zajedničkoj lokalnoj mreži. Ovo se ostvaruje kreiranjem tunela, obično putem Internet-a. Mrežni (IP) paketi se razmjenjuju između krajnjih tačaka VPN tunela i nečitljivi su ostalim korisnicima Interneta. Na krajnjim tačkama VPN tunela paketi se dekriptuju i šalju u lokalnu mrežu. Uspješna komunikacija je moguća samo ako se na obje strane koriste isti protokoli enkapsulacije i enkripcije. Trenutno je za uspostavljanje VPN-a najpopularniji IPSec protokol. IPSec čini grupa protokola: ‐ AH (eng. Authentication Header) protokol za omogućava autentikaciju i integritet podataka. ‐ ESP (eng. Encapsulated Security Payload) protokol omogućava autentikaciju, integritet i tajnovitost podataka. ‐ IKE ( Internet Key Exchange ) protokol se koristi se za stvaranje i distribuiranje kriptografskih ključeva. U odnosu na potrebe korisnika, mehanizam zaštite se može sprovesti nad dijelom paketa: transport-mod ESP ili nad cijelim paketom pod nazivom tunel-mod ESP.
  14. ESP ima dva moguća načina rada: Transport mod – štiti se samo data segment originalnog IP paketa(protokoli viših nivoa) Tunel mod – štiti se kompletan originalni IP paket, tako što se ESP enkapsulria u novi IP paket Preporuke za kriptografske algoritme koji se koriste za uspostavljanje IPSec konekcije: SHA1 – za integritet i autentikaciju 3DES ili AES za povjerljivost
  15. Za zastitu petog i sestog nivoa OSI modela predlaze se upotreba SSL ili jos bolje TLS protokola kao njegovog naslijednika. TLS v1 je iskoristio SSL v3.1 kao osnovu. Poslednja verzija TLSa je 1.2 i onda odgovara verziji 3.3 SSL-a. SSL/TLS protokol se nalazi iznad transpornog nivoa, i enkapsulira protokole iznad njega. Za uspostavljanje SSL/TLS sesije neophodnoje je obezbjediti minimalno autentikaciju servera pomocu serverskog sertifikata, a poželjna je i autentikacija klijenata pomoću klijentskih sertifikata izdatih od akreditovanog sertifikacionog tijela. SSL/TLS nam garantuju autentikacij u, integritet , tajnost i neporecivost poruke
  16. Aplikacioni firewall-ovi razumiju protokole aplikacionog nivoa i u mogucnosti su da blokiraju veliki broj pokušaja napada, npr. SQL injection napade, XSS napade i DDoS napade i sl. Zgodni za zaštitu aplikacija od kojih nemamo izvorni kod a znamo za propuste.
  17. Korisnik ubacuje karticu u čitač i unosi PIN kod prilikom pristpa sajtu. Na taj način vrši se dvofaktorska autentikacija na osnovu onoga što korisnik ima(kartica) i onoga što zna(PIN kod). Token: Prilikom prijave na sistem korisnik unosi određeni podatak koji zna(npr. PIN) i privremenu lozinku sa tokena. Na ovaj način se ostvaruje dvofaktorska autentikacija. Privremena lozinka važi samo određeni vremenski interval u kome korisnik može da je iskoristi(npr. 60 sekundi od momenta kreiranja) čime se postiže visok nivo sigurnosti.
  18. Sistemi za detekciju napada su alati projektovani da detektuju sve nepravilnosti u radu sistema i obavještavaju administratore u slučaju neželjenih događaja. Sistemi za prevenciju napada su naslijednici sistema za detekciju napada i u stanju su ne samo detektovati nego i spriječiti napade na sistem Osnovni načini rada: 1. prepoznavanje šablona 2. prepoznavanje anomalija Osnovna podjela: 1. Host intrusion detection /prevention systems 2. Network intrusion detection /prevention systems 3. Hybrid intrusion /prevention detection systems
  19. U zavisnosti od toga gdje se prikupljeni podaci obrađuju moguće je podjeliti implementaciju IDS/IPS na centralizovanu ili distribuiranu. Kod centralizovane implementacije sva obrada se vrši u jednom centralnom čvoru, što je lakše za administraciju ali zahtjeva veliku procesorsku moć. S druge strane distribuiran pristup je teže održavati ali ima manje zahtjeve po pitanju procesorske snage jer se dobar dio podataka obrađuje na senzorima na kojima su prikupljeni. Za implementaciju IDS/IPS koristi se port mirroring ili TAP uređaji. - uređaji koji omogućavaju “prisluškivanje” saobraćaja u mreži između dvije tačke Većina novijih mrežnih svičeva danas imaju implementiranu mogućnost tzv. "mirror" (ogledalo) načina rada za svoje portove tako da se sav saobraćaj(i dolazni i odlazni) na jednom portu, preslikava na neki drugi port na koji se priključuje IDS/IPS senzor.
  20. Sistemi za privlačenje napada imaju drugačiju svrhu u odnosu na IDS/IPS. Oni za cilj imaju zadržati napadača što duže unutar samog sistema, i na taj način prikupiti podatke o prijetnjama – vidjeti na koji se način se one mijenjaju, kako evoluiraju te kako im se što bolje suprotstaviti. Pri tome pod sistemom se podrazumjeva specijalno pripremljeni izolovani segment mreže, sa specijalno pripremljenim računarima, koji napadaču daju lažnu sliku da napada pravi produkcioni sistem. Podjela: - sistemi za privlačenje napada niske interakcije – osnovne funkcije stvarnog sistema - sistemi za privlačenje napada srednje interakcije – napredne funkcije stvarnog sistema sistemi za privlačenje napada visoke interakcije – pravi sistemi projektovani za privlacenje napada Honeynet je sistem za privlačenje napada visoke interakcije. On je nastao u okviru The Honeynet Project organizacije i razlikuje se od drugih sistema za privlačenje i detekciju napadača i po tome što omogućava korisniku izgradnju čitave mreže (net) sistema za privlačenje napada.
  21. Na ovoj slici možemo vidjeti prijedlog IT infrastrukture e-Uprave predstavljenu pomocu više logičkih cjelina(zona) i veza između njih. Svaku cjelinu(zonu) čine hardversko-softverske komponente koje su grupisane u logičke čvorove (engl. Node) na osnovu namjene. Ove zone predstavljaju osnovu ovog modela i nazivaju se još i demilitarizovane zone - Demilitarizovane mrežne zone predstavljaju fizičke ili logičke podmreže sa specijalnim pravima pristupa Upotrebom zoniranja u slučaju da ipak do đe do kompromitovanja nekog čvora (servera), smanjuje se mogućnost napada na druge mrežne segmente(LAN, Interni DMZ i sl.). Tako možemo uočiti sledeće zone: Javna DMZ, Privatna DMZ, Integraciona DMZ, DB DMZ Honeypot zona Upravljačka zona LAN zona
  22. Javna DMZ - segment mreže koji sadrži servise koji su neophodni kako bi korisnici sistema e-Uprave mogli da pristupe svim uslugama, kao i resurse koji predstavljaju dodatne zaštitne mehanizme. Privatna DMZ: Ova zona treba da sadrži servere koji se koriste od strane internih korisnika(zaposlenih) za svakodnevni rad .
  23. U velikim sistemima kao što je e-Uprava preporučuje se detaljno evidentiranje dogadjaja i pristupa podacima pomocu nekog logging sistema. Potrebno je voditi detaljnu evidenciju o svim komponentama sistema. U tabeli se nalazi spisak dogadjaja koje treba automatski evidentirati.
  24. Citiracu definiciju organizacije za ekonomsku saradnju i razvoj koja kaze da elektronska Uprava predstavlja visok nivo upotrebe informaciono-komunikacionih tehnologija , posebno Interneta, kao orudja za postizanje boljih rezultata Vlade. U svakom sistemu e-Uprave mogu se uociti tri ciljne grupe: Vlada, gradjani i privredni subjekti Odnosi izmedju grupa u sistemu e-Uprave definisu se popularnim frazama engleskog jezika: G2C, G2B i G2G Neke od prednosti uvođenja ovakvog načina rada Vlade su: veca brzina usluge, dostupnost informacija 24 sata / 7 dana u nedjelji, smanjenje troškova poslovanja i sl. Medjutim, postoje i prepreke kao što su: nedostatak zakonskih propisa, loša infrastruktura, nedostatak finansijskih sredstava, sigurnost... U nastavku cemo vidjeti koje su to tehnike koje je moguce primjeniti kako bi se IT sigurnost sistema e-Uprave dovela na odgovarajuci nivo.