Sadržaj
2.3. Klasifikacija računalnih mreža
3.1. Prijetnje
računalnoj sigurnosti (security threats)
3.3. Načini
iskorištavanja slabosti unutar sustava
3.5. Napadi s uskraćivanjem usluge (DoS
napadi)
4. Metode zaštite računalnih
mreža
1.Uvod
U vrijeme kada je Internet nastajao kao eksperimentalna mreža njegovi idejni začetnici nisu predvidjeli mogućnost zloupotrebe računalnih sustava i stoga nisu dovoljno pozornosti posvećivali definiranju i uvođenju računalne sigurnosti.
Zloupotreba računalnih sustava može se dogoditi na nekoliko razina. Osim na razini operativnog sustava, računalo može biti kompromitirano i iskorištavanjem propusta u programima koji se na tom računalu nalaze.
Ljudi koji zloupotrebljavaju računalne sustave nazivaju se „hakeri“, pišu vlasite programe za analizu i provalu te imaju iznimno visok stupanj tehnološke potkovanosti. Dijele se na Whitehats (hakiranje u dobre svrhe), Grayhats i Blackhats (skupina hakera orijentirana prema destrukciji).
Osim hakera postoje i takozvani „crackeri“, koji koriste tuđe programe i slabo razumiju rad sistema i iskorištavaju tuđe programe dok ne pogodi pravi (to su većinom ljudi željni dokazivanja).
Najčešći problemi radnih stanica (servera) su virusi (trojanci, spyware-i, crvi) i takozvani DoS(Denial of Service) i DDoS( Distributed Denial of Service) napadi odnosno napad na servise, servere ili grupe računala s razlogom privremenog ili stalnog prekida rada. DoS napade najčešće rade crackeri i danas su najčešća metoda napada na internetu.
U ovome radu bit će izloženi osnovni sigurnosni problemi računalnih mreža i metode njihovog sprečavanja.
2. Osnovno
o Internetu
2.1. Razvoj Interneta
Ukratko Internet se može definirati kao globalni komunikacijski sustav međusobno povezanih računalnih mreža namijenjen razmjeni informacija svih oblika, pri čemu se koriste tzv. hipertekstualni dokumenti.
Ideju za razvoj Interneta predstavlja američki vojni projekt ARPA. Agencija Pentagona – ARPA (Advanced Research Projects Agency), sastavljena od vodećih znanstvenika na više lokacija širom SAD-a, počela je sredinom šezdesetih godina nizom iznajmljenih linija povezivati ljudske i računalne resurse na tim lokacijama. Kako su računalni resursi u to vrijeme bili vrlo skupi, bilo je vrlo važno iskoristiti slobodne kapacitete bez obzira gdje su. Prvi ARPAnet čvor bio je postavljen 1969. na sveučilištu UCLA.
Uskoro je mreža prerasla ograničenje od 256 čvorova, te je stvoren TCP/IP protokol koji je do dana današnjeg, najrasprostranjeniji komunikacijski protokol. Paralelno sa rastom ARPAnet-a, mnoge tvrtke stvarale su po uzoru na ARPAnet vlastite privatne mreže, postupno ih povezujući sa ARPAnet-om. 1990. gubi se ARPAnet kao posebna mreža, i prerasta u Internet – spoj mnoštva privatnih i javnih mreža, sa jednim zajedničkim nazivnikom – TCP/IP (Transmission Control Protocol / Internet Protocol). Trenutno se Internet sastoji od više milijuna računala raznih operativnih sistema, od PC-ja do superračunala, sa milijunima korisnika. Veze među čvorovima su ostvarene na razne načine, od običnih telefonskih i iznajmljenih linija, do javnih paketnih mreža mikrovalnih i satelitskih veza do svjetlovoda. Fizički medij nije bitan, važno je samo da odgovara standardima TCP/IP protokola.
Iako je u početku mreža korištena za vojne potrebe, kasnije sustav povezanih računala postaje koristan alat za znanstvenike, a danas predstavlja desetke milijuna računala sirom svijeta povezanih u jednu jedinstvenu mrežu. Internet nije vlasništvo ni jedne kompanija pojedinačno već predstavlja otvorenu informatičku mrežu.
Internet nije jedna mreža, kako se obično misli, nego cijeli niz međusobno povezanih mreža. Ono što im je zajedničko je organizacija, protokoli za komunikaciju i usluge koje pružaju. U većini slučajeva to su nacionalne mreže i svaka od njih predstavlja zaseban dio, odnosno područje koje se, uz poštivanje nekih općih pravila, može samostalno organizirati.
Takvo područje se naziva i domena (engleski domain) koja je ujedno i glavna (top-level) domena za pojedinu nacionalnu mrežu. Tako su na primjer domene nekih država:
au – Austrija, ca – Kanada, de – Njemačka, fr – Francuska, hr – Hrvatska, uk – Velika Britanija.
U Sjedinjenim Američkim Državama pored nacionalne domene (koja se, zapravo, rijetko susreće) postoje domene koje predstavljaju određenu vrstu organizacije koje se u njoj nalaze (com za poduzeća i komercijalne ustanove, edu za obrazovne institucije, gov za vladine institucije, mil za vojne institucije i org za razne privatne organizacije, društva i udruženja).
2.2. Mrežni servisi
Na Internetu je popularno nekoliko mrežnih servisa koji se mogu podijeliti u nekoliko grupa. To je grupa mrežnih servisa za rad na udaljenom računalu (telnet, rlogin) i prijenos datoteka (ftp), zatim velika grupa informacijskih mrežnih servisa (WWW), elektronska pošta (e-mail) i konferencije (Usenet News).
Telnet – program i protokol koji omogućava terminalsku emulaciju, tj. rad na udaljenom računalu kao da radite na osobnom računalu na poslu ili kod kuće.
Ftp – (file transfer protokol) – protokol koji je jedan od sastavnih dijelova TCP/IP grupe mrežnih protokola. Služi za prijenos datoteka sa i na udaljeno računalo. Svako računalo koje je priključeno na Internet, može biti ftp poslužitelj.
WWW – (World Wide Web) - informacijski servis za izmjenu informacija putem teksta, slika, zvuka, animacija i sl. Često se pogrešno koristi kao sinonim za Internet.
E-mail – (Elektronska pošta) – je jedan od osnovnih i najviše korištenih servisa. Sustav za razmjenu elektronske pošte (tekstualni dokumenti u obliku pisma) među korisnicima interneta.
UseNet News – (Konferencije) – su drugi popularan način komuniciranja između korisnika Interneta. To je sustav konferencija različitog tematskog sadržaja, a slanjem poruka u određenu konferenciju sudjeluje se u raspravi na određenu temu.
Chat – jedan od popularnih načina komunikacije na Internetu, omogućuje komunikacije dvije ili više osoba.
2.3. Klasifikacija računalnih mreža
Računalne se mreže svrstavaju prema zemljopisnom području koje pokrivaju:
- PAN (Personal Area Network) - mreže s uskim područjem spajanja (bluetooth, IRDA)
- LAN (Local Area Network) - lokalna mreža koja je na primjer u jednoj zgradi ili prostoriji
- MAN (Metropolitan Area Network) - mreža koja se prostire preko područja jednog grada
- WAN (Wide Area network) - široko područna mreža - kao npr. Internet
Računalne se mreže također mogu svrstati prema sustavima koje spajaju ili prema tome što sačinjava mrežni sustav:
- SAN (Storage Area Network) - mreža za spajanje računala na spremišta podataka
- VLAN (Virtual LAN)
- WLAN (Wireless LAN) - bežična lokalna mreža (Wi-Fi)
3.
Računalna sigurnost
Pojam računalna
sigurnost (computer security) može se interpretirati na više
načina ovisno o razdoblju u kojem se taj pojam koristio. Danas kada su stolna
računala postala sastavni dio svakodnevnog života i kada većina
ljudi ima mogućnost pristupa globalnoj mreži (Interet) pojam
računalne sigurnosti predstavlja zaštitu od kradivaca podataka (data
thieves) i
mrežnih napadača (network
attackers) koje danas često nazivamo zajedničkim imenom hakeri
(hackers).
Moderna računalna
sigurnost u svijetu biznisa podrazumijeva i još neke dodatne zahtjeve na
sigurnost koji se odnose na probleme vezane uz kontinuitet posla te
mogućnosti spriječavanja oštećenja i uništenja
podataka. (corruption & data loss).
Računalna sigurnost fokusira se na tri bitna pojma: povjerljivost
(confidelity), integritet (integrity) i dostupnost (availability).
Podaci su povjerljivi
ako ostaju nedostupni svima osim onima koji imaju pravo pristupa. Pod pojmom
integriteta misli se na cjelovitost i nepromjenjivost podataka unutar sustava
tj. sustav ne smije dopustiti slučajno ili namjerno oštećivanje
i uništenje podataka. Dostupnost također igra vrlo bitnu ulogu u funkcioniranju
sustava.
Računalni sustav
mora omogućiti dostupnost podataka svim svojim korisnicima, a to
znači da hardverski i softverski dio sustava funkcioniraju učinkovito
te da se sustav u slučaju da nešto krene po zlu može brzo i u
potpunosti vratiti u normalan način rada bez ikakvih trajnih posljedica po
sam sustav i podatke koji se nalaze u njemu.
3.1. Prijetnje računalnoj sigurnosti (security
threats)
Kada govorimo o prijetnjama računalnoj
sigurnosti i načinima spriječavanja prijetnji najčešće
se tada misli na slijedeća tri pojma: slabosti sustava, direktne prijetlje
računalnom sustavu (direct threats) i protumjere u slučaju napada
(countermeasures).
Slabosti sustava (vulnerabilities)
Slabosti sustava predstavljaju
točke unutar sustava koje su osjetljive na napad. Preko tih slabih
točki napadač (attacker) želi prodrijeti u sustav sa namjerom
ostvarenja svojeg cilja koji može, ali i ne mora biti uvijek destruktivne
prirode.
Softverske slabosti mogu
dovesti do pada cijelog sustava, zatim do otvaranja drugih rupa unutar sustava
koje omogućuju napadaču brži i efikasniji ulaz u sustav, a u
krajnjem slučaju se preko njih može sustav učiniti do te mjere
nepouzdanim da korisnik više ne može biti siguran u njegov ispravan i
učinkovit rad.
Direktne prijetnje (direct threats)
Direktne prijetnje
računalnoj sigurnosti dijeli se u tri kategorije: prirodne i fizičke,
namjerne i nenamjerne. Pod prirodne i fizičke prijetnje smatraju se
prijetnje usko vezane uz probleme sa hardverom, elementarnim i drugim
nepogodama (požar, poplava, nestanak struje...).
Namjerne prijetnje
predstavljaju osoba ili više njih koje rade u firmi (insiders) ili su ubačene u firmu (outsiders) u svrhu
pribavljanja povjerljivih i osjetljivih informacija i podataka te u svrhu
degradiranja razine sigurnosti. Nenamjerne prijetnje najčešće su
uzrokovane nemarom i neznanjem: puno više podataka je kompromitirano,
oštećeno ili izgubljeno zbog neznanja i nemara nego zbog nekih
vanjskih utjecaja.
3.2.
Računalni virus
Virus je program ili kod koji se sam replicira u drugim datotekama s kojima dolazi u kontakt.Može se nalaziti i zaraziti bilo koji program, sektor za podizanje računala, dokument koji podržava makronaredbe, tako da promijeni sadržaj te datoteke te u nju kopira svoj kod. Računalni virus se obično sastoji od dva dijela.
· Prvi dio je samokopirajući kod koji omogućava razmnožavanje virusa
· Drugi dio je korisna informacija koja može biti bezopasna ili opasna.
Neki se sastoje samo od samokopirajućeg koda.Ponekad virus zahtijeva interakciju čovjeka da bi se replicirao poput pokretanje programa koji sadrži virus ili otvaranja neke zaražene datoteke.
Prvi pravi predak današnjih virusa bio je Prevading animal koji je bio sposoban da se nadodaje na druge programe na UNIVAC 1108 računalnom sustavu. Prvi potvrđen nalaz računalnog virusa je bio 1981. i zvao se Elk Cloner. Taj virus je inficirao BOOT sektor disketa za Apple II računala. 1988. je bio virus Jerusalim koji je brisao sve pokrenute programe, a 1989. Datacrime koji je bio sposoban izvršiti low-lewel format nulte staze na disku. Iste godine u Bugarskoj je aktivirana prava tvornica virusa. Napisao je netko (ili skupina) do danas bar 50-ak virusa uključujući New Zeland i Michelangelo.
Vrste računalnih virusa
- boot sektor virusi – napadaju Master boot sektor
- parazitski – zaraze izvršne datoteke dodavanjem svog sadržaja u strukturu programa
- svestrani virusi – napadaju boot sektore i izvršne programe
- virusi pratioci – stvori .com datoteku koristeći ime već postojećeg .exe programa i ugradi u nju svoj kod
- link virusi – u trenu inficiraju napadnuti računalni sustav, može izazvati pravi kaos na disku
- makro virusi – imaju mogućnost da sami sebe kopiraju, brišu i mijenjaju dokumente
Podjela
prema mjestu u memoriji
- virusi koji su u rezidentnoj memoriji – ostaju u memoriji računala nakon aktiviranja koda virusa
- virusi koji nisu u rezidentnoj memoriji
3.2.1. Trojanski konj
Trojanski konj ili kraće trojanac je računalni program koji se pretvara da izgleda kao i svaki drugi korisnički program. Međutim, jednom kada se pokrene otkriva svoje pravo lice i počinje izvršavati svoju (obično) štetnu zadaću (npr. formatiranje cijelog diska). Većina trojanaca ima nazive vrlo slične ili uobičajenim korisničkim programima (npr. Startme.exe) ili posebno primamljivim aplikacijama. Za razliku od virusa i crva, trojanski konj ne može sam sebe umnožavati.
Naziv trojanski konj nastao je po poznatoj priči o osvajanju grada Troje zloupotrebom povjerenja. Na sličan se način virtualni trojanski konj može predstaviti kao igra ili zanimljiv sadržaj koji vam neko šalje u e-mail poruci. Kada se pokrene, na računalo se npr. instalira aplikacija za udaljenu kontrolu.
Osim u e-mail porukama, trojanski konji mogu se pojaviti u obliku datoteka na webu ili mrežama za razmjenu datoteka (P2P programi - Kazaa, WinMX, Limewire itd. ). Mogućnosti su neograničene jer je metoda širenja - vaše povjerenje. Jedan od simptoma koji pokazuje računalo na kojem se nalazi trojanski konj je pokušaj podizanja servera na vašem računalu koji očekuje naređenja autora. Uz instaliran i aktivan osobni vatrozid, ovaj pokušaj bit će evidentiran i moći ćete ga zaustaviti.
3.2.2. Spyware
Spyware je široka kategorija malicioznog softwarea sa namjenom da presreće ili preuzima djelimično kontrolu rada na računalu bez znanja ili dozvole korisnika. Dok sam naziv sugerira da je riječ o programima koji nadgledaju rad korisnika, ovaj naziv danas označava široku paletu programa koji iskorištavaju korisničko računalo za stjecanje koristi za neku treću osobu.
Spyware se razlikuje od virusa i crva u tome što se obično ne replicira. Kao mnogi novi virusi, spyware je dizajniran da iskorištava zaražena računala za komercijalnu dobit. Tipične taktike su prikazivanje ne zahtjevanih pop-up reklama; krađa osobnih informacija (uključujući i financijske informacije kao što su brojevi kreditnih kartica i lozinke); praćenje aktivnosti na internetu za marketinške svrhe; ili preusmjeravanje HTTP zahtjeva na reklamne stranice. U nekim slučajevima, spyware se koristi za verificiranje pridržavanja uslova licence za korištenje programa.
Zaraza se u najvećem broju slučajeva događa prilikom posjete stranica sa ilegalnim ili pornografskim sadržajem.
3.2.3. Računalni crvi
Računalni crvi su računalni programi koji umnožavaju sami sebe. Pri tome koriste računalne mreže da bi se kopirali na druga računala, često bez sudjelovanja čovjeka. Za razliku od virusa, sa svoje djelovanje ne moraju inficirati druge programe. Mogu stići i kao privitak u elektroničkoj pošti te im pristup računalu omogućuju propusti u operacijskim sustavima i aplikacijama. Crvi otežavaju rad mreže, a mogu oštetiti podatke i kompromitirati sigurnost računala.
- Crv – može oštetiti podatke i kompromitirati sigurnost računala.
- Mailer i mass-mailer – sami se šalju elektroničkom poštom.
- Miješane prijetnje – kombiniraju karakteristike virusa, crva i trojanskih konja s propustima u softveru za svoje pokretanje, prijenos i širenje napada.
Podjela prema načinu
djelovanja
Crvi se sastoje od samokopirajućeg koda koji omogućava razmnožavanje i širenje crva i tereta (payload), a teret može biti:
- Nepostojeći/nefunkcionalan – Najčešći slučaj kod većine crva je upravo ovaj, kada ne postoji kod osim koda za širenje ili u njemu postoji nekakva pogreška pa nije funkcionalan.
- Daljinska kontrola – Otvara backdoor na žrtvinom računalu.
- Spam relays – Dio crva Sobig kreira mail relay koji spameri mogu koristiti da bi slali neželjenu elektroničku poštu.
- HTML-proxyji – Još jedna osobina crva Sobig je distribucija HTML-proxyja. Preusmjerujući web zahtjeve preko mnogo proxyja web stranice sa zabranjenim sadržajem dobivaju na vremenu jer providerima treba puna vremena da otkriju na kojoj se adresi web stranica fizički nalazi.
- Internet DOS – Još jedan česti teret je Internet DOS (Denial Of Service) napad
- Skupljači podataka – Većina ljudi na računalu na kojem rade imaju osjetljive podatke poput poslovnih tajni, nacrta novih uređaja, financijskih izvješća, itd. Crv može pretražiti disk računala u potrazi za tim podacima i zatim ih poslati na prije određeno mjesto.
- Brisači podataka – Postoji mnogo virusa, sadrže kod za brisanje podataka nakon određenog vremena. Budući da se crvi mogu širiti mnogo brže, mogli bi početi brisati podatke odmah nakon infekcije.
- Fizička šteta – Većina današnjih računala podržava nadogradnju pokretačkog softvera, pa tako i računala imaju BIOS čip koji je moguće flashati direktno iz Windowsa. Ukoliko se u flash čip upišu pogrešni podaci računalo se više neće moći pokrenuti.
3.3. Načini
iskorištavanja slabosti unutar sustava
Svaki prosječan korisnik osobnog
računala se u svom radu na njemu gotovo sigurno susreo sa pojmom
kompjutorskog virusa. Upravo je to glavni razlog zašto se velika
većina korisnika u tu svrhu odluči kupiti anti-virusni program
misleći pritom da je njihov kompjutor siguran od nepoželjnih
korisnika. Anti-virusna zaštita je uz redovito osvježavanje (update)
baze podataka učinkovita protiv virusa, trojanskih konja i u zadnje
vrijeme spyware-a, ali je zato vrlo neučinkovita po pitanju drugih oblika
prijetnji sustavu.
Virusi uglavnom svojim
djelovanjem oštećuju ili uništavaju osobne podatke, mijenjaju
djelove sistemskih datoteka kako bi što više onemogućili
korisniku da sam može ukloniti virus, dok u slučaju trojanskih konja
se otvaraju dodatne rupe u sustavu koje će omogućiti napadaču da
se preko Interneta i određenog porta spoji sa svog računala na
tuđe i pritom mu pružiti mogućnost da u potpunosti ovlada
računalom te podacima koji se nalaze u njemu. Viruse i trojanske konje
korisnik treba u većini slučajeva samostalno pokrenuti da bi oni
počeli destruktivno djelovati na sustav.
Upravo ta činjenica
je i odgovor na pitanje kako se učinkovito može braniti od takvih
oblika prijetnji. Datoteke koje su sumnjivog imena, koje su poslane na e-mail
od korisniku nepoznatog pošiljatelja i datoteke koje su sa ekstenzijama
.exe, .com, .bat (iako niti druge ekstenzije tipa .jpg, .bmp i mnoge druge nisu
sigurne jer postoje programi sa kojima se unutar
jedne datoteke sakriju dvije i koje se obje
pokreću istovremeno sa dvostrukim klikom na ikonu) jednostavno ne treba
otvarati ili treba skenirati sa anti-virusnim programom koji ima osvježenu
bazu podataka o virusima.
Nažalost, sa
virusima i trojanskim konjima ne prestaju „muke po sigurnosti“. Munjevitim razvojem Interneta u posljednjih
10-tak godina problem sigurnosti postao je vrlo ozbiljan problem prvenstveno
zato što su na mrežu povezani milijuni korisnika diljem svijeta i što
se zaraza može širiti velikom brzinom.
Na tom principu
širenja zaraze rade kompjutorski crvi (computer worms) koji su po dizajnu
vrlo slični virusima, ali za razliku od virusa se šire sami od sebe
od kompjutera do kompjutera i pritom se repliciraju u tisuće kopija.
Granajući se u svim smjerovima i šireći se velikom brzinom crvi
zagušuju mrežu što najčešče dovodi do
preopterećenja mrežnih servera i osobnih računala što za
posljedicu ima blokiranje i na koncu rušenje sustava. Najčešći
način širenja je taj da se crv samoreplicira i pošalje na sve e-mail
adrese koje korisnik ima pohranjene u svom adresaru. Neki od crva imaju i
mogućnost da tuneliranjem u sustav omoguće napadaču da preko
određenog porta upravlja korisnikovim kompjuterom te tako da potpuno
ovlada sustavom.
Od drugih načina kojima se
iskorištavaju rupe u sustavu
napadači se najčećše se koristepomoću
slijedećih metoda: preljev međuspremika, injekcija koda i Cross-site
skriptiranje. Preljev
međuspremnika (buffer overflow) je greška u kodu koja može
prouzrokovati iznimno pristupanje memoriji (memory access exception) i
gašenje programa, a u slučaju zlonamjerne upotrebe može se
iskoristiti za zaobilaženje i razbijanje sigurnosti sustava.
Napadač
pokušava iskoristiti taj proces za upisivanje podataka izvan granica
fiksno definiranog međuspremnika sa ciljem dodavanja novih podataka
prepisivanjem susjednih memorijskih lokacija, a posljedica toga upisivanja
može biti rušenje pokrenutog procesa ili dobivanje netočnih
rezultata. Preljev pomoću stoga (stack-based overflow) događa se kada
prilikom izvršavanja neke funkcije pomoću preljeva međuspremnika
se prepiše povratna adresa koja se nalazi na stogu. Na taj način
napadač može preusmjeriti povratak iz funkcije na neku drugu
memorijsku lokaciju na kojoj se nalazi maliciozni (malicious) kod koje će
napadač iskoristiti u svrhu ostvarenja svoga cilja.
3.4. Napadi injekcijom koda
Napad injekcijom koda
(code injection) bazira se na načinu da se maliciozni kod ubaci u
kompjutorski program ili sustav iskoristivši pritom slabost sustava koji
ne provjerava pretpostavke koje sustav ima prema ulaznim podacima. Glavna svrha
injekcije koda je da se zaobiđe ili izmjeni glavna namjena i
funkcionalnost programa što može imati katastrofalne posljedice. Ta
metoda se najčešće koristi u svrhu hakiranja i krekiranja
(cracking) sustava da bi se došlo do osjetljivih i vrloosobnih
informacija.
Postoji više vrsta injekcije koda:
-
SQL
injekcija,
-
Cross-site
skriptiranje,
-
ASP
injekcija,
-
PHP
injekcija,
-
Shell
injekcija,
-
HTML/Script
injekcija.
SQL injekcija (SQL
injection) je tehnika koja iskorištava sigurnosne propuste koji se
pojavljuju u sloju baze podataka(database layer) unutar programa. Ovaj propust
se pojavljuje kada su ulazni podaci nepravilno filtrirani ili kada njihove
vrijednosti nisu strogo i jednoznačno definirane (strongly typed) što
može dovesti do nepravilnog izvršavanja programa. To se
najčešće događa u situacijama kada je jedan programski ili
skripti jezik implenentiran (embedded) unutar drugog.
Cross-site skriptiranje
(Cross-site scripting) je sigurnosni propust koji se može pronaći u
mrežnim aplikacijama koji omogućava napadaču injekciju
malicioznoga koda na mrežne stranice koje gledaju drugi korisnici. Kod se
najednostavnije injektira u korisnikov sustav pomoću mrežnog preglednika
(Web browser) koji otvaranjem stranice na Internetu koja sadrži maliciozni
kod preko rupe u kodu Web preglednika zarazuje korisnikovo računalo. Uz
gore navedene postoje i drugi načini kako iskoristiti propuste unutar
programa i sustava (format string attack, integer overflow...) ali u
današnje vrijeme se koriste rijeđe.
3.5.
Napadi s uskraćivanjem usluge (DoS napadi)
Tehnologija korištena u DoS (Denial of Service) napadima nastavlja se širiti i napredovati. Koristi se za napadanje infrastrukture Interneta. Metode za sprečavanje napada nisu se značajno promijenile tijekom proteklih godina. Zbog toga DoS napadi ostaju ozbiljna prijetnja korisnicima, organizacijama i infrastrukturi Interneta.
Infrastruktura međusobno spojenih sustava i mreža sastoji se od ograničenih resursa. DoS napadi su napravljeni na način da zauzmu dovoljno slobodnih resursa, koje žrtva posjeduje, kao što su bandwidth, CPU ili mjesto za pohranu podataka. Na taj način DoS napadi uskraćuju usluge legalnim korisnicima. Napadi mogu biti usmjereni prema bilo kojem mrežnom uređaju ili bilo kojem drugom mrežnom resursu.
Rani DoS napadi koristili su jednostavne alate koji su generirali i slali pakete s jednog izvora na jedno odredište. Tijekom vremena, alati su unaprijeđeni da izvode napade s jednog izvora na više odredišta, s više izvorišta na jedno odredište ili s više izvorišta na više odredišta.
3.5.1. DoS NAPADI
DoS napad ili napad s uskraćivanjem usluge je pokušaj stvaranja resursa računala nedostupnim ili nekoristivim za legalne korisnike. To je tip sigurnosnog propusta računalnih sustava koji nužno ne rezultira krađom informacija ili bilo kojim drugim materijalnim gubitkom.
DoS napadi imaju dvije glavne forme. Jedna od njih je prisiljavanje računala žrtve da zauzme svoje resurse tako da više ne može pružati usluge koje je trebalo pružati. Drugi način je narušavanje načina komunikacije između legalnih korisnika i računala žrtve na način da oni više ne mogu komunicirati. Iako najčešće namjerni i zlonamjerni, DoS napadi mogu se dogoditi i sasvim slučajno.
3.5.2. Metode napada
DoS napadi izvode se korištenjem DoS alata koji šalju mnogo paketa ciljanom Internet poslužitelju. Ti paketi poplave (engl. flood) resurse poslužitelja i na taj način poslužitelj postaje neiskoristiv. Svaki sustav koji je spojen na Internet i koji je opremljen mrežnim uslugama temeljenim na TCP (engl. Transmission Control Protocol) protokolu potencijalna je žrtva napada.
DoS napadi mogu se podijeliti na softverska iskorištavanja i poplavljivanja (engl. flooding). Napadi poplavljivanjem se zasnivaju na jednom jednostavnom pravilu: onaj koji upravlja najvećim bandwidthom pobjeđuje. Napadi poplavljivanjem mogu se podijeliti na napade s jednog izvora, napade s više izvora ili napade s refleksijom.
U napadima s jednim izvorom postoji jedan napadač koji poplavljuje žrtvu, dok u napadima s više izvora postoji više napadača. U oba slučaja mogu se koristiti dodatna zombie računala. Zombie je računalo koje je zaraženo pomoću iskorištavanja neke ranjivosti. Takvo računalo sadrži skriveni program koji omogućuje upravljanje računalom iz daljine. Najčešće se koriste za izvođenje napada na neko drugo računalo.
Napadi s refleksijom su specijalni slučajevi napada s više izvora. Koriste se za skrivanje identiteta pravog napadača ili za pojačavanje napada. Reflektor je bilo koje računalo koje odgovara na zahtjeve. Bilo koje računalo može se koristiti kao reflektor dodavanjem IP adrese računala žrtve u izvorno polje zahtjeva. Dodavanjem te informacije računalo reflektor će poslati odgovor žrtvi umjesto napadaču. Ako postoji mnogo računala reflektora rezultat će biti DoS napad.
Glavna razlika između zombie računala i računala reflektora je ta što su reflektori legalni poslužitelji Internet usluga. Zbog toga je napade s refleksijom jako teško istrijebiti.
Najčešće metode DoS napada su:
A) SYN flood - SYN flood ili SYN poplavljivanje je metoda DoS napada u kojoj napadač iskorištava malu veličinu međuspremnika tijekom rukovanja u tri koraka (engl. three way handshake). Ova metoda sprečava poslužitelja da prihvati ulazne TCP veze.
Ova metoda napada je poznata već dulje vrijeme i nije primjenjiva na moderne mreže. Napad je iskoristiv samo ako poslužitelj zauzme sve resurse nakon što primi SYN poruku, ali prije nego što je primio ACK poruku.
B) Teardrop napad - Ovaj tip DoS napada iskorištava način na koji IP protokol (engl. Internet Protocol), paket koji je preveliki za router dijeli na fragmente. U fragmente paketa upisuje se udaljenost od početka prvog paketa, što omogućuje ponovno sastavljanje paketa na drugoj strani. U ovom napadu napadač postavlja zbunjujuću udaljenost u jedan od fragmenata. Ako poslužitelj koji prima takav paket nema plan za takav slučaj rezultat će biti pad sustava.
C) Reflektirajući napadi - Distribuirani reflektirajući DoS napad uključuje slanje krivotvorenih zahtjeva velikom broju računala koji će odgovoriti na zahtjev. Korištenjem maskiranja IP adrese, izvorišna adresa se postavlja na adresu računala žrtve. Zbog toga što će svi odgovori otići prema maskiranoj IP adresi računalo žrtva biti će poplavljeno.
D) Smurf napad i fraggle napad - Dvije glavne komponente smurf napada su korištenje krivotvorenih ICMP (engl. Internet Control Message Protocol) echo zahtjeva i smjer paketa prema IP broadcast adresi.
U ovoj metodi napada, napadač šalje IP ping zahtjev. Ping paket određuje da će biti poslan većini poslužitelja unutar lokalne mreže primatelja. Paket također pokazuje da zahtjev dolazi sa drugog izvora, računala koje će postati žrtva DoS napada. Rezultat će biti velika količina ping odgovora koji će poplaviti žrtvu. Ako je poplavljivanje dovoljno veliko, žrtva više neće moći razlikovati pravi promet od zlonamjernog.
E) Virusi Računalni - virusi također mogu biti metoda DoS napada. Žrtva u ovom slučaju nije unaprijed izabrana, nego je to najčešće računalo koje je slučajno dobilo virus. Ovisno o virusu, DoS napad može biti jedva primjetan ili katastrofalan.
F) Land napad - Land napad je DoS napad koji se sastoji od slanja posebnih zaraženih paketa računalu. Posljedica primanja tih paketa je zaključavanje računala. Napad uključuje slanje maskiranih TCP SYN paketa sa odredišnom IP adresom i open portom kao izvorišnom i odredišnom adresom. Ova metoda napada je efikasna jer računalo odgovara samom sebi unedogled.
G) SQL ubacivanje - SQL ubacivanje je ranjivost sustava koja se događa kada aplikacija ne filtrira korisničke podatke na dobar način, prije nego ih pošalje sustavu za upravljanje bazama podataka (engl. Data Base Management System). Korisnik ubacuje zloćudan unos u aplikaciju koja koristi SQL naredbe. Ako aplikacija korisnikov unos ne filtrira na dobar način, SQL naredba šalje se sustavu za upravljanje bazama podataka i izvodi.
H) Distribuirani DoS napad - Distribuirani DoS napadi (DDoS) događaju se kada više zaraženih sustava poplavljuje bandwidth ili resurse sustava žrtve. Ako napadač izvodi smurf napad sa jednog izvora, takav napad biti će prepoznat kao DoS napad. Bilo koji napad na dostupnost podataka biti će prepoznat kao DoS napad.
Ako napadač koristi tisuće zombie sustava da istovremeno izvedu smurf napad, napad će biti prepoznat kao DDoS napad.
I) Napad izgladnjivanjem resursa - Napadi ovog tipa pokušavaju zauzeti sve resurse na računalu žrtvi. Na taj način ti resursi postaju nedostupni legalnim korisnicima. Postoje tri načina ovog napada. CPU izgladnjivanje je specifično za aplikacije. Jedan paket poslan od napadača rezultira slanjem više paketa prema žrtvi. Izgladnjivanje memorije se oslanja na operacijski sustav ili aplikaciju.
Izgladnjivanje diska javlja se kada je na primjer veza zbog razmjene podataka ostala otvorena ili ako je pronađen FTP poslužitelj na kojem je dozvoljeno pisanje. Jedno od najpoznatijih napada ovog tipa je bombardiranje e-mailovima. To se postiže slanjem velikog broja e-mail poruka korisniku, što rezultira popunjavanjem sandučića.
J) Poplavljivanje na aplikacijskoj razini - Ranjivosti zbog popunjavanje međuspremnika nastaju zbog programskih pogrešaka. To su ujedno i najčešće programske pogreške. Zbog toga je najčešća metoda DoS napada generiranje većeg prometa prema mreži nego što međuspremnici mogu prihvatiti.
4. Metode zaštite računalnih mreža
Analogno sigurnosti fizičke imovine, postoji potreba zaštite računalne "imovine". Ljudi žele biti sigurni da će njihova računala koristiti samo oni, i isto tako da će pristup njihovim podacima imati samo oni kojima se pristup dozvoli.
Osim tih zahtjeva, postoje i mnogi drugi, tako da su se pojavile slijedeće kategorije unutar područja računalne sigurnosti:
- autentifikacija
- kriptografija
- sustav vlasništva nad datotekama u datotečnom sustavu
- sigurna komunikacija
S obzirom na učestalost prijetnji računalnoj sigurnosti koriste se:
- Anti virusni alati
- vatrozid
- sustav detekcije upada (IDS - intrusion detection system)
4.1.
Anti-virusni program
Anti-virus program se sastoji od nekoliko računarskih programa koji pokušavaju pronaći, spriječiti i ukloniti računarske viruse i ostali maliciozni softver (malware).
Anti-virus program obično koristi dvije tehnike da bi postigao svoju funkcionalnost:
- Provjera (skeniranje) datoteka tražeći poznate viruse provjerom definicija u rječniku virusa
- Identifikacijom sumnjivog ponašanja od strane kompjuterskog programa, koji bi moglo indicirati infekciju. Takve analize obuhvataju analizu podataka, monitorisanje portova i druge metode.
Većina komercijalnih anti-virus programa koristi oba pristupa, sa naglaskom na metode provjere poznatih virusa u rječniku virusa.
4.2.
Vatrozid (firewall)
Vatrozid (engl. firewall) je mrežni uređaj čija je namjena filtriranje mrežnog prometa ako da se stvori sigurnosna zona. Obično se kombiniraju usmjernici i vatrozidovi, kao jedan uređaj, ili se kaskadiraju, npr. unutarnja (osigurana) mreža - vatrozid - usmjernik - vanjski svijet.
Vatrozid može biti programski i sklopovski, sa širokom dostupnošću Interneta 24 sata dnevno postali su popularni osobni vatrozidovi koji štite jedno računalo od upada zlonamjernih osoba, dok je posebno računalo koje radi samo kao vatrozid/usmjernik uglavnom rješenje koje se primjenjuje kad se štiti više od jednog računala. Sklopovski vatrozid je također računalo, ali obično bez tvrdog diska, grafičke kartice, sastoji se obično od procesora, memorije i EPROMaa (sabirnice, mrežni/paralelni portovi se podrazumijevaju).
Danas ih klasificiramo u 4 grupe, obzirom na kojem nivou OSI modela "djeluju".
- Filtriranje paketa
- Vatrozidovi na transportnom sloju
- Vatrozidovi na aplikacijskom sloju (proxies)
- Vatrozidovi s višeslojnim ispitivanjem paketa
4.3. Zaštita od
DoS NAPADA
Nakon što se napad već dogodio, male su šanse da se brzo zaustavi. Na sreću postoji nekoliko koraka koji mogu pomoći u ublažavanju posljedica napada. Ako je napad bio usmjeren na samo jedno računalo, najbolje je promijeniti IP adresu tog računala.
Ako je napad nesofisticiran, može postojati specifičan promet. Ispitivanje uhvaćenih paketa može otkriti neki podatak na kojem se mogu zasnivati ili ACL (engl. Access Control List ) usmjernika (engl. router) ili pravila vatrozida (engl. firewall). Velika količina podataka može dolaziti od specifičnog davatelja Internet usluga ili core usmjernika. U tom slučaju može se privremeno blokirati sav promet koji dolazi sa tih izvora. Nažalost blokirati će se i legalan promet, ali to je neizbježna žrtva.
Alternativna opcija je dodavanje novog hardvera ili povećanje bandwidtha i čekanje da napad prođe. Ovo možda nije najbolje rješenje, ali može pružiti privremenu zaštitu. Zadnja metoda bi bila fizičko isključivanje poslužitelja sa mreže, što administratoru daje vremena da riješi problem, ali u tom slučaju niti jedna usluga neće biti dostupna legalnim korisnicima.
Najlakši način za preživljavanje DoS napada je planiranje istog. Posjedovanje odvojenog bloka IP adresi za hitne slučajeve sa odvojenim putovima može biti neprocjenjivo.
Najbolji način obrane od SYN napada su SYN kolačići (engl. cookies). Oni mijenjaju upravljanje TCP protokolom tako da usporavaju zauzimanje resursa dok se ne provjeri IP adresa klijenta.
Vatrozidi nisu efikasni protiv DoS napada. Današnji vatrozidi ne mogu razlikovati legalan promet od prometa koji se koristi kod DoS napada. Moderniji vatrozidi imaju ugrađenu mogućnost razlikovanja legalnog od zloćudnog prometa. Oni potvrđuju TCP veze prije prosljeđivanja na mrežu. Ova mogućnost zove se “Defender”.
Neki prospojnici (engl. switch) pružaju automatsko i/ili system-wide rate-limiting, oblikovanje prometa, delayed binding (TCP splicing), provjeravanje paketa i filtriranje IP adresa da bi otkrili i ispravili štetu koju su uzrokovali DoS napadi kroz automatsko filtriranje i WAN link failover i balansiranje.
Usmjernici su jako slični prospojnicima kada su u pitanju DoS napadi. Oni također imaju rate-limiting i ACL sposobnosti. Većina usmjernika može se lagano preopteretiti tijekom DoS napada, tako da nisu efikasni u borbi protiv DoS napada.
Front end hardver analizira podatkovne pakete prilikom ulaza u sustav, i identificira ih kao prioritetne, regularne ili opasne.
Sustavi za prevenciju nedopuštenog ulaženja (engl. Intrusion-prevention systems - IPS) jako su efikasni ako napadi imaju specifične tragove ili potpise. IPS sustavi koji rade na principu raspoznavanja uzoraka ne mogu blokirati DoS napade koji se temelje na ponašanju.
ASIC (engl. Application Specific Integrated Circuit) zasnovani IPS sustavi mogu otkriti i blokirati DoS napade, jer imaju mogućnost analiziranja napada i ponašaju se kao automatizirana sklopka.
Rate-based IPS sustavi moraju analizirati granularnost prometa i neprestano nadgledati uzorak prometa da bi otkrili bilo kakve anomalije. Oni moraju dozvoliti prolaz legalnom prometu, a blokirati DoS napade.
Zaključak
Iako
danas postoji mnoštvo različitih alata i načina za
sprečavanje virusa, provala ili DoS napada na računala koja su povezana
na internet ne postoji za sada unčikovita zaštita koja bi
pružila korisniku interneta sto postotnu zaštitu bilo od provale bilo
od krađe informacija.
Kako se povećava
broj korisnika Interneta tako se povećava i broj hakera i crackera koji su
uvjek željni dokazivanja (bilo da su u grupi ili pojedinačno), a
crackeri su upravo ti koji čine jedan dio prijetnji računalnim
mrežama. Njihove najčešće metode su tkzv. DoS napadi.
Problem DoS napada nije se značajno promijenio tijekom proteklih godina. Mrežni resursi ostaju ograničeni i ranjivi.
Od DoS napada, zbog svoje prirode, se teško obraniti. Zbog toga će ostati atraktivna metoda napada.
Količina DoS problema, u kojima su mreže “padale” zbog preplavljivanja elektroničkom poštom, teško se može procijeniti. Mnogi napadi nisu prijavljeni zbog toga jer se organizacije boje da će izgubiti povjerenje u njihovu sigurnost. Broj zombie računala koja se koriste u DDoS napadima je također nepoznat, ali se procjenjuje da ih ima nekoliko milijuna. Vojske zombie računala mogu se unajmiti, na crnom tržištu, za relativno malu količinu novca. Naredba za napad najčešće dolazi putem instant messaging. Pružatelji Internet usluga za sada mogu kontrolirati instant message poslužitelje. Ali ako se ta kontrola kompromitira, biti će jako teško pronaći krivca za DoS napade.
Iako se sveukupan broj elektroničkih napada smanjio, još uvijek postoji velika prijetnja od budućih DoS napada. Oni će postati automatiziraniji, sofisticiraniji i biti će ih teško iskorijeniti.
Literatura
1. Wikipedia, http://www.wikipedia.com
2. Google,
http://www.google.com
FORMULE
