Infrastuktura i povezivanje
-
Upload
nikola-damjanovic -
Category
Education
-
view
2.250 -
download
0
description
Transcript of Infrastuktura i povezivanje
- 1. Sigurnost raunalnih mrea
Infrastuktura i povezivanje( 3. poglavlje )
2. to predstavlja zatita infrastukture?
Vaa mrea je sastavljena od razliitih prijenosnih medijai ureaja
koji osiguravaju komunikaciju i odreeni nivo zatite
Neki od tih ureaja (poput rutera, modema i PB sistema) omoguavaju
povezivanje mree sa vanjskim uesnicima i drugim mreama
Drugi ureaji (kao to su CD-R, diskovi i magnetne trake)
predstavljaju interni arhivski medij, ali i medij za radno
skladitenje podataka u raunarskim sistemima.
Da bi se osigurao odreeni nivo zatite, administrator sistema zatite
mora znati kako ti ureaji rade i na koji nain osiguravaju zatitu
(ili to ne ine)
3. to predstavlja zatita infrastukture?
Zatita infrastrukture obuhvaa najvanije aspekte protoka podataka i
naina rada u mrei i raunarskim sistemima.
Mrena infrastruktura predstavlja osnovu za cjelokupan posao koji se
odvija u odreenoj organizaciji
Kada je rije o infrastrukturi, imajte na umu da nju sainjavaju
serveri, mree, mreni ureaji, radne stanice i svi procesi koji
omoguavaju normalno odvijanje posla.
Da biste procijenili sigurnost konkretne infrastrukture, morate
znati koji hardver sainjava tu infrastrukturu i kakve su njegove
karakteristike, ali i softver koji se u njoj koristi i njegove
karakteristike
Mree su meusobno povezane putem Interneta i drugih tehnologija, ime
se poveava i mogunost za napade na njih primjenom razliitih
tehnika
4. Osnovne komponente infrastukture
Hardverske komponente infrastukture,
Softverske komponente infrastukture.
5. Tipina mrena infrastuktura
6. to je NOC - Network Operations Center
NOC je centralni mreni operativni centar,
Centralizacija osigurava iru, opu sliku itave mree, nudei
istovremeno i mogunost sinkronizirane akcije nad veim brojem
raunarskih sistema ili mrenih resursa u sluaju eventualnog
napada,
Najvei broj krupnih organizacija objedinjava proces mrenog nadzora
i administrativne kontrole raunarskih sistema na mrei,
NOC olakava praenje eventualnog napada i poduzimanje odgovarajuih
protivmjera.
7. Kako funkcioniraju ureaji koji sainjavaju mrenu
infrastrukturu?
Vatrozid,eng. Firewalls,
Mreni vatrozid za filtriranje paketa
Proxy mreni vatrozid
Mreni vatrozid na bazi punog nadzora
8. Proxy mreni vatrozid koji sprjeava pristup na vanjski dio
mree
9. Dual - homed mreni vatrozid koja odvaja dvije mree
10. Ostali ureaji koji ine mrenu infrastukturu
vorita (Hubovi),
Usmjerivai (Routeri),
Prespojnici ( Switches),
Beine pristupne toke,
Modemi,
Servisi daljinskog pristupa,
PBX sistemi.
11. Router koji povezuje dvije LAN mree
12. Korporativna mrea sa routerima koji osiguravaju segmentaciju i
zatitu
13. Ruteri razmjenjuju podatke o preusmjeravanju i druge vane
podatke koristei tri standardna protokola:
Routing Information Protocol (RIP) - jednostavan protokol koji je
dio /I niza. Ruteri koji koriste RIP redovno emitiraju podatke o
svom statusu i o putanjama do poznatih rutera. Pored toga, RIP
pokuava da otkrije i putanje izmeu sistema koje imaju najmanji broj
"skokova" ili konekcija.
Border Gateway Protocol (BGP) - protokol novijeg datuma, koji
osigurava dijeljenje podataka o rutiranju izmeu grupe rutera
Open Shortest Path First (OSPF)- protokol koji osigurava bre
auriranje podataka o rutiranju u odnosu na RIP
14. Suvremeni digitalni PBX sistem sa integracijom prijenosa govora
i
podataka preko jedne linije
15. Povezivanje dvije LAN mree pomou VPN preko Interneta
16. Praenje prometa na mrei i dijagnostika
To je proces u kome se specijaliziranim ureajima prislukuje
prijenos podataka na mrei.
Postoje dvije vrste ureaja za praenje prometa na mrei - to su
sniferi("njukala", engl. sniffers) i sistemi za detekciju
uljeza(intrusion detection svstems - IDS).
Pomou tih alata administrator moe pratiti aktivnosti na svojoj
mrei, dok uz IDS itavom procesu moe dodati i odreenu inteligenciju,
nadgledati sistemske log datoteke i sumnjive aktivnosti, pa ak i
poduzimati odreene korektivne mjere, ukoliko je to potrebno.
17. Zatita radnih stanica i servera
uklanjanje programa, servisa i procesa koji se ne koriste sa radne
stanice (na primjer, uklanjanje serverskih servisa sa radne
stanice) - Takvi servisi i procesi mogu predstavljati izvor
eventualne eksploatacije,
osiguranje aurnosti svih servisa i aplikacija (ukljuujui raspoloive
servise i pakete sistema zatite - security packs), uz njihovu
konfiguraciju koja osigurava najvii stupanj zatite - To se obino
postie uvoenjem zaporki, ograniavanjem pristupa i drugim
restriktivnim mjerama,
to manje publiciranje podataka o primijenjenom operativnom sistemu,
servisima i mogunostima sistema - Napad na neku platformu moe biti
znatno olakan ukoliko se znaju podaci o njoj. Veliki broj
operativnih sistema koristi standardne nazive za naloge koji
omoguavaju administrativni pristup. Takve nazive treba to prije
izmijeniti, ukoliko je mogue.
18. IDS i mrena barijera u zajednikom sistemu mrene zatite
19. Kako funkcionira udaljeni pristup?
Povezivanje sistema je jedan od osnovnih zadataka mree. Sa porastom
veliine mrea razvijaju se i nove tehnologije koje olakavaju proces
povezivanja, nudei istovremeno i vii stupanj zatite. Osnovni
problem se javlja pri povezivanju sistema i drugih mrea koje ne
pripadaju organski Vaoj mrei. U ovom odjeljku emo govoriti o
uobiajenim protokolima za povezivanje udaljenih sistema.
20. Kako funkcionira udaljeni pristup?
Serial Line Internet Protocol(SLIP) spada u grupu starijih
protokola koji je ranije koriten za okruenja sa daljinskim
pristupom. Prvenstveno je razvijen radi povezivanja UNIX sistema
prijeko komutiranih (dial-up) telefonskih linija.
Point-to-Point Protocol (PPP) je nastao 1994. godine, od kada je
uglavnom zamijenio SLIP protokol. PPP podrava vie protokola,
ukljuujui AppleTalk, IPX i DECNet. PPP radi prijeko obinih
telefonskih mrea (POTS), ISDN (Integrated Services Digital
Netvvork) mrea, kao i prijeko drugih, brih sistema, kao to je
T1.
21. Protokoli za tuneliranje
Point-to-Point Tunneling Protocol (PPTP)PPTP podrava enkapsulaciju
u zasebnom ponit-to-point okruenju. PPTP enkapsulira i ifrira PPP
pakete, zbog ega spada u grupu omiljenih mrenih protokola na donjem
kraju ljestvice. Poetno sporazumijevanje uesnika u PPTP vezi
obavlja se otvoreno, nakon ega se prijenos podataka ifrira.
Layer2 Forwarding(L2F) L2F protokol je nastao u firmi Cisco
prvenstveno radi kreiranja tunela za veze prijeko komutirane
telefonske linije (dial-up).
Secure Shell (SSH)SSH je protokol za tuneliranje koji je dizajniran
prvenstveno za Unix sisteme.
Internet Protocol Security (IPSec)IPSec u sutini ine pripada grupi
protokola za tuneliranje, mada se koristi u sprezi sa njima. Ovaj
protokol je prvenstveno orijentiran ka vezama tipa LAN-LAN, kada se
moe koristiti iu vezama preko komutiranih linija.
22. RADIUS
Remote Authentication Dial-In User Service(RADIUS) predstavlja
mehanizam za identifikaciju korisnika koji se prikljuuje na mreu
prijeko komutirane linije ili nekog drugog oblika povezivanja.
RADIUS protokol spada u IETF standarde, a implementira ga veina
proizvoaa vodeih operativnih sistema. Upravljanje RADIUS serverom
je centralizirano. Mreni serveri, koji osiguravaju pristup mrei,
provjeravaju autentinost pozivajueg uesnika koritenjem RADIUS
servera. Na taj nain se identifikacija svih korisnika u sloenim
mreama sa velikim brojem veza obavlja iskljuivo pomou jednog
servera.
23. TACACS/+
Terminal Access Controller Access Control System(TACACS)je okruenje
tipa klijent/server koje funkcionira slino RADIUS sistemima.
Najnovija verzija TACACS sistema nazvana TACACS/+ osigurava
razmjenu akreditiva putem razliitih tehnika, ukljuujui i Kerberos.
TACACS proces tipa klijent/server odvija se na isti nain kao i
RADIUS proces.
Cisco intenzivno primjenjuje TACACS/ + u svojim sistemima. Oekuje
se da e TACACS/+ stei iroku popularnost kao alternativa za
RADIUS.
24. Zatiene web konekcije
SSL/TLS Secure Socket Layer(SSL) i Transport Layer Security (TLS)
su dva uobiajena protokola koji se koriste za prijenos podataka
izmeu web klijenta i servera. SSL koristi kriptozatitu podataka
izmeu dva sistema.
HTTP/SHTTP Secure (HTTP/S) je protokol koji se koristi radi
odravanja zatiene veze izmeu dva sistema prijeko Weba. On titi vezu
izmeu dva sistema. Kompletan promet izmeu dva sistema se ifrira.
HTTP/S koristi SSL ili TLS za zatitu veze, dok za svoj rad koristi
port 443 i TCP protokol.