1. Sigurnost raunalnih mrea
Infrastuktura i povezivanje( 3. poglavlje )

2. to predstavlja zatita infrastukture?
Vaa mrea je sastavljena od razliitih prijenosnih medijai ureaja koji osiguravaju komunikaciju i odreeni nivo zatite
Neki od tih ureaja (poput rutera, modema i PB sistema) omoguavaju povezivanje mree sa vanjskim uesnicima i drugim mreama
Drugi ureaji (kao to su CD-R, diskovi i magnetne trake) predstavljaju interni arhivski medij, ali i medij za radno skladitenje podataka u raunarskim sistemima.
Da bi se osigurao odreeni nivo zatite, administrator sistema zatite mora znati kako ti ureaji rade i na koji nain osiguravaju zatitu (ili to ne ine)
3. to predstavlja zatita infrastukture?
Zatita infrastrukture obuhvaa najvanije aspekte protoka podataka i naina rada u mrei i raunarskim sistemima.
Mrena infrastruktura predstavlja osnovu za cjelokupan posao koji se odvija u odreenoj organizaciji
Kada je rije o infrastrukturi, imajte na umu da nju sainjavaju serveri, mree, mreni ureaji, radne stanice i svi procesi koji omoguavaju normalno odvijanje posla.
Da biste procijenili sigurnost konkretne infrastrukture, morate znati koji hardver sainjava tu infrastrukturu i kakve su njegove karakteristike, ali i softver koji se u njoj koristi i njegove karakteristike
Mree su meusobno povezane putem Interneta i drugih tehnologija, ime se poveava i mogunost za napade na njih primjenom razliitih tehnika
4. Osnovne komponente infrastukture
Hardverske komponente infrastukture,
Softverske komponente infrastukture.
5. Tipina mrena infrastuktura
6. to je NOC - Network Operations Center
NOC je centralni mreni operativni centar,
Centralizacija osigurava iru, opu sliku itave mree, nudei istovremeno i mogunost sinkronizirane akcije nad veim brojem raunarskih sistema ili mrenih resursa u sluaju eventualnog napada,
Najvei broj krupnih organizacija objedinjava proces mrenog nadzora i administrativne kontrole raunarskih sistema na mrei,
NOC olakava praenje eventualnog napada i poduzimanje odgovarajuih protivmjera.
7. Kako funkcioniraju ureaji koji sainjavaju mrenu infrastrukturu?
Vatrozid,eng. Firewalls,
Mreni vatrozid za filtriranje paketa
Proxy mreni vatrozid
Mreni vatrozid na bazi punog nadzora
8. Proxy mreni vatrozid koji sprjeava pristup na vanjski dio mree
9. Dual - homed mreni vatrozid koja odvaja dvije mree
10. Ostali ureaji koji ine mrenu infrastukturu
vorita (Hubovi),
Usmjerivai (Routeri),
Prespojnici ( Switches),
Beine pristupne toke,
Modemi,
Servisi daljinskog pristupa,
PBX sistemi.
11. Router koji povezuje dvije LAN mree
12. Korporativna mrea sa routerima koji osiguravaju segmentaciju i zatitu
13. Ruteri razmjenjuju podatke o preusmjeravanju i druge vane podatke koristei tri standardna protokola:
Routing Information Protocol (RIP) - jednostavan protokol koji je dio /I niza. Ruteri koji koriste RIP redovno emitiraju podatke o svom statusu i o putanjama do poznatih rutera. Pored toga, RIP pokuava da otkrije i putanje izmeu sistema koje imaju najmanji broj "skokova" ili konekcija.
Border Gateway Protocol (BGP) - protokol novijeg datuma, koji osigurava dijeljenje podataka o rutiranju izmeu grupe rutera
Open Shortest Path First (OSPF)- protokol koji osigurava bre auriranje podataka o rutiranju u odnosu na RIP
14. Suvremeni digitalni PBX sistem sa integracijom prijenosa govora i
podataka preko jedne linije
15. Povezivanje dvije LAN mree pomou VPN preko Interneta
16. Praenje prometa na mrei i dijagnostika
To je proces u kome se specijaliziranim ureajima prislukuje prijenos podataka na mrei.
Postoje dvije vrste ureaja za praenje prometa na mrei - to su sniferi("njukala", engl. sniffers) i sistemi za detekciju uljeza(intrusion detection svstems - IDS).
Pomou tih alata administrator moe pratiti aktivnosti na svojoj mrei, dok uz IDS itavom procesu moe dodati i odreenu inteligenciju, nadgledati sistemske log datoteke i sumnjive aktivnosti, pa ak i poduzimati odreene korektivne mjere, ukoliko je to potrebno.
17. Zatita radnih stanica i servera
uklanjanje programa, servisa i procesa koji se ne koriste sa radne stanice (na primjer, uklanjanje serverskih servisa sa radne stanice) - Takvi servisi i procesi mogu predstavljati izvor eventualne eksploatacije,
osiguranje aurnosti svih servisa i aplikacija (ukljuujui raspoloive servise i pakete sistema zatite - security packs), uz njihovu konfiguraciju koja osigurava najvii stupanj zatite - To se obino postie uvoenjem zaporki, ograniavanjem pristupa i drugim restriktivnim mjerama,
to manje publiciranje podataka o primijenjenom operativnom sistemu, servisima i mogunostima sistema - Napad na neku platformu moe biti znatno olakan ukoliko se znaju podaci o njoj. Veliki broj operativnih sistema koristi standardne nazive za naloge koji omoguavaju administrativni pristup. Takve nazive treba to prije izmijeniti, ukoliko je mogue.
18. IDS i mrena barijera u zajednikom sistemu mrene zatite
19. Kako funkcionira udaljeni pristup?
Povezivanje sistema je jedan od osnovnih zadataka mree. Sa porastom veliine mrea razvijaju se i nove tehnologije koje olakavaju proces povezivanja, nudei istovremeno i vii stupanj zatite. Osnovni problem se javlja pri povezivanju sistema i drugih mrea koje ne pripadaju organski Vaoj mrei. U ovom odjeljku emo govoriti o uobiajenim protokolima za povezivanje udaljenih sistema.
20. Kako funkcionira udaljeni pristup?
Serial Line Internet Protocol(SLIP) spada u grupu starijih protokola koji je ranije koriten za okruenja sa daljinskim pristupom. Prvenstveno je razvijen radi povezivanja UNIX sistema prijeko komutiranih (dial-up) telefonskih linija.
Point-to-Point Protocol (PPP) je nastao 1994. godine, od kada je uglavnom zamijenio SLIP protokol. PPP podrava vie protokola, ukljuujui AppleTalk, IPX i DECNet. PPP radi prijeko obinih telefonskih mrea (POTS), ISDN (Integrated Services Digital Netvvork) mrea, kao i prijeko drugih, brih sistema, kao to je T1.
21. Protokoli za tuneliranje
Point-to-Point Tunneling Protocol (PPTP)PPTP podrava enkapsulaciju u zasebnom ponit-to-point okruenju. PPTP enkapsulira i ifrira PPP pakete, zbog ega spada u grupu omiljenih mrenih protokola na donjem kraju ljestvice. Poetno sporazumijevanje uesnika u PPTP vezi obavlja se otvoreno, nakon ega se prijenos podataka ifrira.
Layer2 Forwarding(L2F) L2F protokol je nastao u firmi Cisco prvenstveno radi kreiranja tunela za veze prijeko komutirane telefonske linije (dial-up).
Secure Shell (SSH)SSH je protokol za tuneliranje koji je dizajniran prvenstveno za Unix sisteme.
Internet Protocol Security (IPSec)IPSec u sutini ine pripada grupi protokola za tuneliranje, mada se koristi u sprezi sa njima. Ovaj protokol je prvenstveno orijentiran ka vezama tipa LAN-LAN, kada se moe koristiti iu vezama preko komutiranih linija.
22. RADIUS
Remote Authentication Dial-In User Service(RADIUS) predstavlja mehanizam za identifikaciju korisnika koji se prikljuuje na mreu prijeko komutirane linije ili nekog drugog oblika povezivanja. RADIUS protokol spada u IETF standarde, a implementira ga veina proizvoaa vodeih operativnih sistema. Upravljanje RADIUS serverom je centralizirano. Mreni serveri, koji osiguravaju pristup mrei, provjeravaju autentinost pozivajueg uesnika koritenjem RADIUS servera. Na taj nain se identifikacija svih korisnika u sloenim mreama sa velikim brojem veza obavlja iskljuivo pomou jednog servera.
23. TACACS/+
Terminal Access Controller Access Control System(TACACS)je okruenje tipa klijent/server koje funkcionira slino RADIUS sistemima. Najnovija verzija TACACS sistema nazvana TACACS/+ osigurava razmjenu akreditiva putem razliitih tehnika, ukljuujui i Kerberos. TACACS proces tipa klijent/server odvija se na isti nain kao i RADIUS proces.
Cisco intenzivno primjenjuje TACACS/ + u svojim sistemima. Oekuje se da e TACACS/+ stei iroku popularnost kao alternativa za RADIUS.
24. Zatiene web konekcije
SSL/TLS Secure Socket Layer(SSL) i Transport Layer Security (TLS) su dva uobiajena protokola koji se koriste za prijenos podataka izmeu web klijenta i servera. SSL koristi kriptozatitu podataka izmeu dva sistema.
HTTP/SHTTP Secure (HTTP/S) je protokol koji se koristi radi odravanja zatiene veze izmeu dva sistema prijeko Weba. On titi vezu izmeu dva sistema. Kompletan promet izmeu dva sistema se ifrira. HTTP/S koristi SSL ili TLS za zatitu veze, dok za svoj rad koristi port 443 i TCP protokol.