Sigurnosni protokoli

  • View
    313

  • Download
    9

Embed Size (px)

Transcript

Visoka tehnoloka kola strukovnih studija abac Smer: Informacione tehnologije

SEMINARSKI RAD IZ PREDMETA BEZBEDNOST INFORMACIONIH SISTEMA

Tema rada: Sigurnosni protokoli

Profesor: Dr. Aleksa Macanovi

Student: Dejan Simi, 4-10/2009

abac, januar 2012.

SADRAJ:ZADATAK.......................................................................................................3 1. UVOD U ZATITU INFORMACIJA....................................................... 4 2. KOMPIJUTERSKI KRIMINAL.................................................. ............. 5 3. BEZBEDNOST MREA I SIGURNOSNI PROTOKOLI........................ 7 4. PROTOKOL Secure Sockets Layer (SSL) 8 5. SSH.............................................................................................................10 6. IPSecurity (IPSec). 11 7. PROTOKOLI ZA PROMENU IDENTITETA 16 ZAKLJUAK..................................................................................................18 LITERATURA................................................................................................ 19

2

Zadatak

Zadatak seminarskog rada je da se opiu sigurnosni protokoli. Pokazae mo ta oni predstavljaju, od kakvog su znaaja, od ega se sastoje i kako funkcionisu. U toku rada videemo njihovu struktutu i zbog ega se uopte koriste.

3

1. Uvod u zatitu informacijaOdavno je ve izvesno da elektronske transakcije u svetu, a i kod nas postaju sve dominantniji nain poslovanja. Promet ostvaren velikoprodajom i maloprodajom ovim putem, svake godine sve vie raste. Svrha prelaska na elektronski nain poslovanja (e-business) je, izmeu ostalog, optimizacija poslovnih procesa (proizvodnje, marketinga, distribucije, prodaje, naplate), unapreenje odnosa i poslovnih servisa kompanije sa poslovnim partnerima (klijentima, dobavljaima, distributerima, bankama, vladinim agencijama i dr.). Naalost, podatke o razvoju elektronskog poslovanja prate i podaci o porastu kriminala u elektronskom poslovanju. Na osnovu procena o irenju Interneta u narednim godinama predvia se i ogroman porast elektronskog kriminala (cyber crime). Razlog tako velikog porasta lei kako u neadekvatnoj primeni zakona koji tu oblast reguliu, tako i u razvoju novih tehnologija koje sadre i nove mogunosti za kriminalne aktivnosti. Znanje kriminalaca, o tome kako da eksploatiu ove mogunosti, svakodnevno se uveava, a softverski i hardverski alati su postali iroko dostupni putem Interneta. Ovakvo stanje stvari zahteva implementaciju najstroih moguih mera zatite elektronskog poslovanja. Pojavom Interneta i njegovom sve masovnijom primenom dolazi do pojave novih oblika B2B poslovanja. Koristei B2B u svakodnevnom poslovanju kompaije ostvaruju: bru obavljanje novanih transakcija, znaajne utede u vremenu potrebnom za obradu dokumentacije, poveanje produktivnosti i efikasnosti, smanjenje obima greaka u obradi podataka. Meutim, aplikacije za elektronsko poslovaje su podlone skupu novih rizika i ranjivosti sistema. Zatiti informacija B2B sistema je posveena posebna panja. Imajui u vidu osetljivost i poverljivost informacija, kao i njihov kritian uticaj na samo poslovanje kompanije, treba implementirati zatitu B2B sistema na vie nivoa: zatita na nivou aplikativnog i transakcionog softvera, zatita na nivou operativnog sistema, hardverska kontrola, antivirusna zatita, zatita na nivou mrene infrastrukture, proceduralna i operaciona zatita.

4

2. Kompijutersk kriminalIako je u svetu uobiajeno da se krivina dela protiv bezbednosti podataka u savremenim informatikim sistemima nazivaju kompjuterska krivina dela (kompjuterski kriminalitet) na je zakondavac za ova dela upotrebio termin raunarski kriminalitet. Inae radi se o dva sinonimna pojma koja ukazuju na osnovne teorijske definicije pojma kompjuterskog kriminaliteta. Kompjuter (raunar) u svakom sluaju predstavlja jednu od najznaajnijih i najrevolucionarnijih tekovina razvoja tehniko - tehnoloke civilizacije. Ipak, pored svih prednosti koje sobom nosi i ogromne koristi oveanstvu, kompjuter je brzo postao i sredstvo zloupotrebe nesvesnih pojedinaca, grupa ak i organizacija. Tako nastaje kompjuterski kriminalitet kao poseban i specifian oblik savremenog kriminaliteta po strukturi, obimu i osobenostima. Sve to zasluuje panju drave i njenih organa pa i cele meunarodne zajednice. Zahvaljujui ogromnoj moi kompjutera u memorisanju i brzoj obradi velikog broja podataka, automatizovani informacioni sistemi postaju sve brojniji i gotovo nezamenjivi deo celokupnog drutvenog ivota svih subjekata (fizikih, ali i pravnih lica) na svim nivoima. Tako kompjuter postaje svakodnevni i nezaobilazni deo, segment svih sfera drutvenog ivota od proizvodnje, prometa, vrenja usluga pa do nacionalne odbrane i bezbednosti u najirem smislu. Ipak sve ove raznolike forme neposredne primene kompjutera u svim oblastima ivota nisu ostale nezapaene od strane nesavesnih i neodgovornih pojedinaca i grupa koji ne birajui sredstva i nain protivpravnim ponaanjem pokuavaju da sebi ili drugom pribave protivpravnu imovinsku korist. Tako kompjuter postaje sredstvo vrenja razliitih oblika nedozvoljenih, protivpravnih i drutveno opasnih delatnosti. Naravno, kompjuterski kriminalitet pod ijim zbirnim nazivom su obuhvaeni svi ovi raznoliki oblici i forme ponaanja vezani za zloupotrebu kompjutera i informacionih sistema uopte iako tetna i opasna negativna drutvena pojava modernog doba nema opte usvojenu definiciju.

5

Tako se u krivinopravnoj literaturi za ove raznolike oblike kompjuterskog kriminaliteta upotrebljavaju razliiti termini kao to su : zloupotreba kompjutera (computer abuse), kompjuterska prevara (computer fraud), delikti uz pomo kompjutera (crime by computer), informatiki kriminalitet, raunarski kriminaliteti i tehno kriminalitet. Ovaj vid kriminaliteta za razliku od drugih ne predstavlja jo uvek zaokruenu fenomenolou kategoriju te ga je nemogue definisati jedinstvenim i precizno pojmovnim odreenjem. Kompjuterski kriminalitet je samo opta forma kroz koju se ispoljavaju razliiti oblici kriminalne delatnosti. Naime, to je kriminalitet koji je upravljen protiv bezbednosti informacionih (kompjuterskih, raunarskih) sistema u celini ili u njenom pojedinim delu na razliite naine i razliitim sredstvima u nameri da se sebi ili drugom pribavi kakva korist ili da se drugome nanese kakva teta.U teoriji krivinog prava se mogu nai razliita pojamna odreenja kompjuterskog kriminaliteta. Tako Don Parker odreuje kompjuterski kriminalitet kao zloupotrebu kompjutera u smislu svakog dogaaja koji je u vezi sa upotrebom kompjuterske tehnologije u kome rtva trpi ili bi mogla da trpi gubitak, a uinilac deluje u nameri da sebi pribavi ili bi mogao da pribavi.

6

3. Bezbednost mrea i sigurnosni protokoliBezbednost mrea predstavlja odravanje prihvatljivog nivoa rizika za razliite delove od kojih se sastoji mrea kao i zatita mree kao celine u postojeim informacionim sistemima. Pored toga u bezbednosti mrea spadaju i program, protokoli, model ii ostali nani zatite koji e u budunosti dovesti do smanjenja rizika od opasnosti za neke nove tehnologije koje se jo uvek razvijaju. Potreba za bezbednou mrea datira od vremena povezivanja prvih raunara radi sigurnijeg prenosa podataka. Protokol predstavlja skup pravila i konvencija koji definie poseban komunikacioni okvir izmeu dva ili vie uesnika u komunikaciji

Uspostava veze Odravanje veze Raskid veze Oporavak u sluaju prekida veze

Kriptografski protokoli se upotrebljavaju za uspostavljanje sigurne komunikacije preko nepouzdanih globalnih mree a i distribuiranih sistema. Oslanjaju se na kriptografske metode zatite kako bi korisnicima obezbedili osnovne sigurnosne usluge poverljivosti, integriteta i neporecivosti. Sigurnosni protokoli na razliitim TCP/IP slojevima: Sloj aplikacije OpenPGP Transportni sloj TLS (Transport Layer Secuity) Mreni sloj IPSec Sloj veze ifrovanje, razliiti mehanizmi Usluge specifine za odreene primene: PGP Pretty Good Privacy S/MIME Secure/Multipurpose Internet Mail Extensions SET Secure Eletronic Transaction Kerberos SSL/HTTPS7

4. Protokol Secure Sockets Layer (SSL)Obezbeuje mehanizme za identifikaciju dva sagovornika povezana raunarskom mreom i zatieni prenos podataka izmeu njih. Projektovan da zadovolji sledee ciljeve: Kriptografska zatita Nezavisnost od softvera i hardvera Proirivost Efikasnost

Zadatak protokola Secure Sockets Layer (SSL) jeste da ostvari zatieni prenos podataka kroz mreu. SSL obezbeuje mehanizme za identifikaciju servera, identifikaciju klijenta i ifrovanu razmenu podataka izmeu njih, to ini potpuni sistem zatiene komunikacije dva mrena entiteta. Za ostvarivanje zatienog prenosa, protokol SSL moraju podravati i klijent i server. Svojstva SSL-a: Privatnost Mogunost provere identiteta Pouzdanost

Slika 1. Takozvani handshake - pozdrav izmeeu klijenta i servera8

SSL se sastoji od dva protokola: 1. SSL Handshake protokol (protokol za rukovanje, tj.uspostavljanje sesije) koji omoguuje klijentu i serveru meusobnu identifikaciju i razmenu parametara za prenos (odabir algoritma i kljueve). 2. SSL Record protokola ( protokol za zapise ) koji je zaduen za ifrovanje i prenos poruka Svaka SSL sesija je opisana sledeim atributima: Identifikator sesije Potvrda identiteta Metoda kompresije ifrovanje Tajna Proirivost

SSL protokol za zapise prima podatke s vieg sloja u blokovima proizvoljnih veliina, ne interpretira ih, ve ih deli na delove odgovarajue veliine, kriptografski titi i alje sagovorniku, gde se odvija obrnuti proces. SSL se najee koristi za plaanje robe kreditnom karticom, gde se zatieno prenosi samo broj kreditne kartice. Za takve, a i mnogo zahtevnije zadatke, SSL je zadovoljavajue reenje. SSL nije standardizovao IETF (Internet Engineering Task Force) pomou RFC dokumenata, ve je opisan u publikaciji koju je objavila kompanija Netscape Communications. SS