bezbjednost mreŽnih ureĐaja - oib.aidrs.org · pdf filebezbjednost mreŽnih ureĐaja...
TRANSCRIPT
BEZBJEDNOST MREŽNIH
UREĐAJA
PREPORUKE ZA POVEĆANJE STEPENA
BEZBJEDNOSTI MREŽNIH UREĐAJA U
RAČUNARSKIM MREŽAMA
AGENCIJA ZA INFORMACIONO DRUŠTVO REPUBLIKE SRPSKE
ODJELJENJE ZA INFORMACIONU BEZBJEDNOST
Autor: Dejan Kukić
1
ODJELJENJE ZA INFORMACIONU BEZBJEDNOST
Agencija za informaciono društvo Republike Srpske
Odjeljenje za informacionu bezbjednost
Publikacija OIBRS-PUB-M2
Serijal publikacija o bezbjednosti računarskih mreža
Autor : Dejan Kukić, [email protected]
Urednik izdanja: mr Srđan Rajčević, [email protected]
2
ODJELJENJE ZA INFORMACIONU BEZBJEDNOST
SADRŽAJ
Sadržaj .................................................................................................................................................................... 2
1. Uvod ............................................................................................................................................................... 4
1.1 Autoritet ................................................................................................................................................ 6
1.2 Namjena i obim ..................................................................................................................................... 7
1.3 Publika .................................................................................................................................................. 7
1.4 Struktura dokumenta ............................................................................................................................. 7
2. Napadi na mrežne uređaje .............................................................................................................................. 9
2.1 Klasifikacija napada. ............................................................................................................................. 9
2.1.1 Pasivni napadi ....................................................................................................................................... 9
2.1.2 Aktivni napadi ....................................................................................................................................... 9
2.2 Najčešći napadi na mrežnu infrastrukturu ........................................................................................... 10
2.2.1 VLAN Hopping ................................................................................................................................... 10
2.2.2 CAM Flooding, CAM Table Exhaustion ............................................................................................ 11
2.2.3 MAC Address Spoofing ...................................................................................................................... 11
2.2.4 STP Spoofing ........................................................................................................................................ 11
2.2.5 ARP Spoofing ..................................................................................................................................... 12
2.2.6 DHCP Starvation ................................................................................................................................. 12
2.2.7 IP Spoofing ......................................................................................................................................... 12
2.2.8 ICMP napadi ....................................................................................................................................... 13
3. Smjernice ...................................................................................................................................................... 15
3.1 Nabavka i preuzimanje opreme ........................................................................................................... 15
3.2 Fizički pristup uređajima ..................................................................................................................... 16
3.3 Firmver ................................................................................................................................................ 16
3.4 Kredencijali .......................................................................................................................................... 17
3.5 Interfejsi .............................................................................................................................................. 19
3.6 Servisi i protokoli ................................................................................................................................. 19
3.7 Filtriranje saobraćaja i mrežna podešavanja ....................................................................................... 22
3.8 Rad sa konfiguracionim datotekama i servisima ................................................................................. 23
3.9 Logovi .................................................................................................................................................. 24
3.10 Testiranje ............................................................................................................................................ 26
Dodaci .................................................................................................................................................................. 27
Dodatak A – Sažetak smjernica ........................................................................................................................ 27
Nabavka i preuzimanje opreme ........................................................................................................................ 27
Fizički pristup uređajima ................................................................................................................................... 27
Firmver .............................................................................................................................................................. 27
3
ODJELJENJE ZA INFORMACIONU BEZBJEDNOST
Kredencijali ....................................................................................................................................................... 28
Interfejsi ............................................................................................................................................................ 28
Servisi i protokoli .............................................................................................................................................. 28
Filtriranje saobraćaja i mrežna podešavanja .................................................................................................... 29
Rad sa konfiguracionim datotekama i servisima .............................................................................................. 29
Logovi ................................................................................................................................................................ 30
Testiranje .......................................................................................................................................................... 31
Dodatak B – Akronimi...................................................................................................................................... 31
Dodatak C – Literatura ..................................................................................................................................... 32
4
ODJELJENJE ZA INFORMACIONU BEZBJEDNOST
1. UVOD
Svakodnevno se objavljuju članci koji upozoravaju na nove propuste u računarskim
sistemima koji omogućavaju nove napade.
Problem sa računarskim sistemima a pogotovo sa mrežnom infrastrukturom se ogleda u
činjenici da većina protokola koje se i danas koriste u vrijeme nastajanja nisu stavljali fokus
na bezbjednost.
U vrijeme nastajanja mrežnih protokola broj računara u svijetu je bio veoma mali, svaki
pristup mreži se mogao jedinstveno identifikovati. Danas se procijenjuje da pristup internetu
ima oko tri milijarde korisnika, od kojih jedan broj čine maliciozni korisnici, tj napadači.
Napadači, pojedinci i organizacije koje se bave informacionom bezbjednošću se nalaze u
konstantnoj trci u naoružanju. Zbog disbalansa ofanzivnih i defanzivnih alata i oružja, kod
kog značajnu prednosti imaju napadači, prevencija je jedan od primarnih načina odbrane.
Jedan od aspekata preventivnog djelovanja je i ojačavanje uređaja kako bi se umanjila
sposobnost napadača da izvrši napad.
Postoje različiti napadi na računarske sisteme, mi ćemo navesti neke od najčešćih ovdje.
Potrebno je napomenuti da se novi napadi pojavljuju gotovo svakodnevno, ali otklanjanje
ovih prijetnji će isključiti ili znatno otežati većinu napada.
Potrebna je svakodnevna edukacija administratora o novim prijetnjama. O aktuelnim
pitanjima iz oblasti informacione bezbjednosti može te se informisati na našoj veb
prezentaciju : https://oib.aidrs.org
U publikaciji ćemo koristi engleske termine u izvornom obliku, da ne bi smo uvodili dodatnu
konfuziju u još uvijek nestandardizovan prostor računarske terminologije. Izuzetak će biti
riječi koje su se udomaćile u svakodnevnom govoru koje ćemo pisati kako se izgovaraju:
Hardver (hardwere) – fizičke komponente računara.
Softvrer (software) – programi na računaru, uključuju i operativne sisteme.
Firmver (firmware) – programi niskog nivo koji su zaduženi za komunikaciju
sa harverom i pružaju servise operativnom sistemu ili drugim programima.
Interfejs (interface) – sloj između dvije cijeline, međusklop. Iako je interfejs
često korišćena riječ u računarstvu u ovoj publikaciju ćemo interfejsima
nazivati utičnice na mrežnim uređajima, tj mrežni interfejs.
Port (port) – port se u računarstvu koristi u kontekstu hardvera i u kontekstu
softvera. Pošto je hardverski port između ostalog sinonim i za mrežni interfejs,
riječ port ćemo koristi u kontekstu mrežnih protokola.
5
ODJELJENJE ZA INFORMACIONU BEZBJEDNOST
Log (log) – zapis u nekoj datoteci, najčešće zapis o ponašanju uređaja ili
programa.
Server (server) – računar koji je određen da pruža usluge drugim računarima.
Ruter (router) – mrežni uređaj trećeg nivoa OSI referentnog modela.
Svič (switch) – mrežni uređaj drugog nivoa OSI referentnog modela.
Rutiranje – proces preusmjeravanja mrežnog saobraćaja, koji vrši ruter.
Publikacija se odnosi na podešavanja mrežnih uređaja u lokalnoj kabliranoj mreži.
Najčešće se mrežnim uređajima smatraju: mrežne kartice (NIC), repeater-i , hub-ovi, bridge-
vi, L2 i L3 switch-evi, router-i, firewall-i, IDS/IPS-ovi, WLAN access point-ovi, bluetooth
kartice isl.
Podešavanja za firewall-a, IDS/IPS (Intrusion Detection System/Intrusion Prevention
System) i bezbjednost bežičnih mrežnih uređaja će biti podržani u drugim publikacijama iz
ove serije.
Fokus publikacije je na mrežama i uređajima koji za komunikaciju koriste IEEE 802.3
Ethernet i IP protokole, iako se navedeni principi mogu koristi i na drugim uređajima.
Ova publikacija se primarno odnosi na uređaje koji rade na drugom (L2) i trećem (L3) nivou
OSI referentnog modela, a koji imaju mogućnost podešavanja (u daljem tekstu uređaji). Ti
uređaji uključuju L2 i L3 svičeve i rutere.
Principi navedeni u ovoj publikaciju mogu se koristiti i za ojačavanje (hardening) i drugih
uređaja na mreži.
6
ODJELJENJE ZA INFORMACIONU BEZBJEDNOST
1.1 AUTORITET
Pojedini nazivi institucija, zakona i podzakonskih akata koji će biti korišćeni u publikaciji:
Agencija - Agencija za informaciono društvo Republike Srpske
CERT – Computer Emergency Response Team
OIB – Odjeljenje za Informacionu bezbjednost, organizaciona jedinica u sastavu
Agencije sa zadatkom koordinacije prevencije i zaštite od računarskih bezbjednosnih
incidenta kao i zaštitu kibernetičke infrastrukture, javnih organa, privatnih i fizičkih
lica. OIB vrši ulogu nacionalnog CERT-a.
ZIB - Zakon o informacionoj bezbjednosti (Službeni glasnik Republike Srpske, broj
70/11)
UMIB – Uredba o mjerama informacione bezbjednosti – donesena od strane Vlade
Republike Srpske na 82. Sjednici, održanoj 20.09.2012. godine.
PSIB – Pravilnik o standardima informacione bezbjednosti – donesen od strane
ministra nauke i tehnologije, na prijedlog Agencije 10.05.2013.
Ovlaštenjima Agencija u daljem tekstu ćemo smatrati ovlaštenja koja su data Agenciju u ZIB
članovi 10 i 13. i u UMIB član 36.
Ovlaštenjima OIB-a u daljem tekstu ćemo smatrati ovlašćenja koja su data OIB-u (vršiocu
uloge CERT-a) u UMIB član 36 i 37, kao ovlašćenja koja su data CERT-u u ZIB članovi 10,
11 i 12, pošto OIB vrši ulogu nacionalnog CERT-a.
ZIB predviđa provođenje mjera i primjenu standarda informacione bezbjednosti. ZIB, UMIB,
PSIB se odnose na :
Republičke organe,
Organe jedinica lokalne samouprave,
Pravna lica koja vrše javna ovlašćenja,
Druga pravna i fizička lica koja ostvaruju pristup ili postupaju sa podacima u
elektronskom obliku, republičkih organa, organa jedinica lokalne samouprave i
pravnih lica koja vrše javna ovlašćenja,
koje ćemo u daljem teksta nazivati subjektima.
Na osnovu ovlaštenja Agencije i ovlaštenja OIB-a donosimo vam ovaj dokument u cilju
provođenja mjera informacione bezbjednosti datih u ZIB i UMIB u saglasnosti sa PSIB.
Dokument pripada seriji publikacija OIBRS-PUB-M koja se odnosi na bezbjednost
računarskih mreža.
7
ODJELJENJE ZA INFORMACIONU BEZBJEDNOST
1.2 NAMJENA I OBIM
Svrha dokumenta je podizanje nivoa računarske bezbjednosti u subjektima.
Potrebno je napomenuti da ne postoji apsolutno bezbjedan sistem, cilj je očuvanje stanja
informacione bezbjednosti sa što većom verovatnoćom uspjeha, dok god se informacija
smatra relevantom.
Ova publikacija je napisana u svrhu pomoći i smjernica prilikom postavljanja, podešavanja,
korišćenja i održavanja mrežnih uređaja, kako bi se informaciona bezbjednost u subjektima
digla na nivo koji omogućava veću vjerovatnoću zaštite podataka i spriječavanja incidenata u
informacionim sistemima i infrastrukturi subjekata.
Ovim dokumentom su obuhvaćene bezbjednosne prijetnje mrežnim uređajima, neki od
najčešćih napada na mrežne uređaje, podešavanja i testiranja mrežnih uređaja koja umanjuju
vjerovatnoću mrežnih napada na računarske sisteme od strane malicioznih korisnika.
1.3 PUBLIKA
Ovaj dokument je namijenjen stručnim licima koja se bave održavanjem računara i
računarskih mreža, mrežnih uređaja u subjektima, upravnim kadrovima iz oblasti IKT ,
timovima za odgovor na računarske incidente kao i trećim licima koja žele da povećaju nivo
računarske bezbjednosti u sistemima koje održavaju ili koriste (u daljem tekstu
administratori).
Pretpostavlja se da je publika upoznata sa principima funkcionisanja računarskih sistema i
računarskih mreža, kao i da poznaje osnovne pojmove iz računarske bezbjednosti.
Potrebno je poznavanje OSI (Open System Interconnection) referentnog modela.
1.4 STRUKTURA DOKUMENTA
Ostatak dokumenta je organizovan u dvije cjelina
Cjelina pod nazivom napadi na mrežne uređaje čitaoca će upoznati sa osnovinim pojmovima
vezanim za napade, korišćenom klasifikacijom i najčešćim napadima koji se dešavaju na L2 i
L3 nivoima OSI modela.
8
ODJELJENJE ZA INFORMACIONU BEZBJEDNOST
Cjelina pod nazivom smjernice sadrži konkretna podešavanja i načine upotrebe uređaja.
Smjernice su skup opšteprihvaćenih dobrih praksi. Za neke smjernice su navedena
obrazloženja.
9
ODJELJENJE ZA INFORMACIONU BEZBJEDNOST
2. NAPADI NA MREŽNE UREĐAJE
Resursi informacionog sistema uključuju hardver, softver, firmver, komunikacionu opremu,
informacije i podatke. U daljem tekstu koristićemo kao sinonime za resurse informacionog
sistema : sistemski resursi, računarski resursi ili jednostavno resursi.
Informaciona bezbjednost je stanje integriteta, dostupnosti i povjerljivosti resursa
informacionog sistema.
Napad na računarski sistem (u daljem tekstu napad) je narušavanje stanja informacione
bezbjednosti.
Napadač je osoba ili računar koji aktivno ili pasivno vrši napad ili pomaže izvršavanju
napada.
2.1 KLASIFIKACIJA NAPADA.
Napadi se mogu klasifikovati na nekoliko načina. Jedna od klasifikacija koja se koristi u RFC
4949 je na pasivne i aktivne napade. Pasivan napad pokušava da sazna ili iskoristi
informaciju iz sistema a da ne utiče na sistemske resurse. Aktivni napad pokušava da izmjeni
sistemske resurse ili utiče na njihov rad.
2.1.1 PASIVNI NAPADI
Cilj napadača koji izvodi pasivne napade je da dođe do informaciju koja se prenosi u nekoj
komunikaciji. Dve vrste pasivnih napada su otkrivanje sadržaja poruke i analiza saobraćaja.
Otkrivanje sadržaja poruke, je presretanje komunikacije između učesnika, u cilju saznavanja
informacija koje se prenose.
Analiza saobraćaja posmatra saobraćaj korišćenjem računarskih i statističkih metoda u cilju
saznavanja informacija o prirodi komunikacije. Informacije koje napadač skuplja mogu
uključivati lokaciju i identitet učesnika u komunikaciju, dužinu, vrstu i učestalost razmjene
poruka između učesnika.
Pasivni napadi se veoma teško otkrivaju zato što ne dolazi ni do kakve izmjene podataka.
2.1.2 AKTIVNI NAPADI
10
ODJELJENJE ZA INFORMACIONU BEZBJEDNOST
Aktivni napadi uključuju neku izmjenu toka podataka ili stvaranje lažnog toka i mogu da se
podjele na četiri kategorije – maskiranje, ponavljanje, izmjena poruka i uskraćivanje usluga.
Maskiranje se dešava kada se jedan entitet pretvara da je neki drugi entitet. Napad
maskiranjem obično uključuje i jedan od ostalih oblika aktivnog napada
Ponavljanje uključuje pasivno hvatanje jedinice podataka i njeno naknadno ponavljanje kako
bi se postigao neovlašten efekat.
Izmjena poruka jednostavno znači da se promjeni neki dio legitimne poruke ili da se poruke
odlože ili im se izmjeni redosljed kako bi se proizveo neovlašten efekat.
DoS – Denial of Service (Uskraćivanje usluga) se vrši u svrhu spriječavanja ili kočenja
normalnog korišćenja komunikacionih sredstava ili njihovo upravljanje.
Aktivni napadi imaju karakteristike suprotne pasivnim napadima. Dok se pasivni napadi
teško otkrivaju, postoje mjere koje spriječavaju njihov uspjeh. Na drugoj strani, aktivne
napada je teško potpuno spriječiti zbog velike raznovrsnosti potencijalnih fizičkih,
softverskih i mrežnih ranjivosti
Potrebno je napomenuti i posebnu klasu napada takozvane MItM – Man In the Middle
(Ćovjek u sredini, napadi presretanja i prisluškivanja) u kojima se napadač postavi između
dva entiteta koji učestvuju u komunikaciji, i preusmjeri tok saobraćaja na sebe. MItM napadi
kao i DoS napadi imaju veliki broj varijanti. Neke od MItM varijanti su aktivni napadi, neke
su pasivni.
2.2 NAJČEŠĆI NAPADI NA MREŽNU INFRASTRUKTURU
2.2.1 VLAN HOPPING
Tehnologija VLAN-ova (Virtual Local Area Network) je tehnologija koja omogućava
uspostavljanje logičkih LAN-ova. Uređaji koji se nalaze na VLAN-u se ponašaju kao da su
na istom fizičkom LAN-u. Najčešći način implementacije VLAN tehnologije je IEEE
802.1Q, koji koristi specijalne okvire (frame) sa oznakama (tag) kom VLAN-u je
namijenjena poruka.
VLAN hopping (skakanje po VLAN-ovima) se odnosi na presretanje ili usmjeravanje okvira
iz jednog u drugi VLAN. Napadač ima dvije mogućnosti.
Prva mogućnost je da se pretvara da je svič i sa drugim svičem pregovara oko trunk portova i
ako uspije efektivno preusmjerava saobraćaj na sebe sa svih VLAN-ova drugog sviča.
11
ODJELJENJE ZA INFORMACIONU BEZBJEDNOST
Druga mogućnost je Double tagging. Podatke koje napadač hoće da pošalje enkapsulira u
802.1Q okvir sa oznakom VLAN-a kojem hoće da prosljedi podatke. Nakon toga enkapsulira
taj čitav okvir u 802.1Q okvir sa oznakom svog VLAN-a. Kada takav okvir dođe na svič
skida se samo prvo zaglavlje, dok drugo ostaje netaknuto. Slijedeći svič na koji dođe okvir će
taj okvir preusmjeriti u VLAN za koji napadač nema pravo pristup.
2.2.2 CAM FLOODING, CAM TABLE EXHAUSTION
Drugi nivo OSI modela (L2) koristi MAC (Media access control) adrese. Content address
table (CAM) sadrži mapiranje liste portova sviča sa odredišnim MAC adresama. Ovaj
mehanizam omogućava sviču da proslijedi okvir na port na kome se nalazi odredišna MAC
adresa.
CAM flooding napadom napadač u tabelu ubacuje veliki broj lažnih mapiranja. Nakon što se
CAM tabela popuni svič šalje sav saobraćaj na sve portove i tako napadač dobija okvire koji
mu nisu originalno namijenjeni.
2.2.3 MAC ADDRESS SPOOFING
Spoofing je u ovom kontekstu lažno predstavljanje, napadač sazna MAC adresu uređaja, i
falsifikuje istu. Cilj napadača je da preusmjeri saobraća na sebe i tako dobije pristup
informacijama na koje nema pravo.
2.2.4 STP SPOOFING
Spanning Tree Protocol je protokol koji sprječava petlje u Ethernet mrežama.
TTL (Time To Live) je dio IP zaglavlja koje predstavlja maksimalan broj skokova (hop), tj
rutera, koje će paket proći prije nego što se odbaci. Pošto okviri nemaju TTL polje moguće je
da se okviri beskonačno vrti kroz mrežu smanjujući kapacitet mreže ili izazivajući DoS
napad.
STP proglašava jedan od svičeva root svičem, tada se topologija logički promjeni da bi se
izbegle petlje. Topologija se organizuje na osnovu root sviča. Kao posljedica toga preko root
sviča ide većina saobraćaja. Izbor root sviča se vrši na osnovu prioriteta i MAC adresa.
12
ODJELJENJE ZA INFORMACIONU BEZBJEDNOST
Napadač se može predstaviti kao svič sa najvećim prioritetom i preusmjeriti saobraćaj na
sebe.
2.2.5 ARP SPOOFING
ARP (Adress Resolution Protocol) služi za mapiranje IP i MAC adresa. Napadač može
svima slati ARP poruke kojima govori da se na njegovoj MAC adresi nalazi određena IP
adresa, i tako preusmjeriti saobraćaj na svoj računar.
2.2.6 DHCP STARVATION
Kada se klijent bez dodeljene IP adrese prijavi na mrežu kontaktira DHCP (Dynamic Host
Configuration Protocol) server da bi dobio podešavanja. Podešavanja uključuju IP adresu,
adresu izlaza iz mreže (Default Gateway-a), adresu mreže, i mrežnu masku.
Broj adresa koji se mogu dodijeliti ograničen je veličinom DHCP pool-a (predefinisani
opseg adresa koje se mogu dodijeliti).
Pošto DHCP ne koristi ni autorizaciju ni enkripciju, napadač može preplaviti mrežu DHCP
zahtjevima i preuzeti sve adrese iz DHCP pool-a. Ovo onemogućava novim uređajima koji se
priključe na mrežu da dobiju adrese.
Napadač čak može uspostaviti svoj DHCP server na kome će u podešavanjima sebe proglasiti
default gateway-om i efektivno presretati sav saobraćaj koji dolazi sa mreže.
2.2.7 IP SPOOFING
Slično kao i ostali vidovi spoofing-a napadač se predstavlja kao meta, u cilju neautorizovanog
pristupa podacima.
Najčešći način IP Spoofinga je predviđanje broja sekvence. Napadač koristi slabost u TCP
protokolu.
TCP protokol koristi SYN , ACK, FIN flag-ove u TCP zaglavlju za sinhronizaciju klijenta i
servera. Pored flag-ova koriste se i dva broja, broj sekvence (sequence number) i broj potvrde
(acknowledgment number).
Ako napadač uspije da otkrije ili pogodi broj sekvence ima mogućnost da pristupi
informacijama koje mu nisu namjenjene. IP spoofing se koristi da bi se izveli napadi kao što
su krađa sesije (session hijacking) i blind spoofing.
13
ODJELJENJE ZA INFORMACIONU BEZBJEDNOST
Drugi način izvođenja IP spoofing-a je IP spoofing korišćenjem source route-a. Napadač se
može predstaviti kao ruter i koristeći slabosti u protokolima rutiranja preusmjeravati
saobraćaj na sebe.
2.2.8 ICMP NAPADI
ICMP (Internet Control Message Protocol) se koristi za dijagnostiku mreže. Pošto ICMP ne
koristi autentifikaciju, ovaj koristan protokol za mrežne administratore se može zloupotrebiti
u svrhu izvršavanja DoS napada i MITM napada.
2.2.8.1 Ping Flood , ICMP Flood
Ovaj napad koristi echo (ping) opciju iz ICMP-a sa velikim payload-om. Ping najčešće šalje
podatke reda veličine deset B, npr 64 B. Ping flood promjeni veličinu podataka na recimo 64
kB i zatrpa računar sa velikom količinom podataka izazivajući DoS napad.
2.2.8.2 Ping of Death
Ovaj napad koristi ICMP echo opciju zajedno sa fragmentacijom paketa.
Fragmentacija paketa je mehanizam u IP protokolu koji omogućava da se paketi veći od
MTU(Maximum Transsmision Unit) sloja ispod prenesu kroz mrežu. Paketi koji su veći od
MTU-a sloja ispod se vraćaju na IP sloj gdje se dijele na manje dijelove koji se šalju u
zasebnim paketima, taj proces se naziva fragmentacija paketa (IP fragmentation).
Fragmentovani paketi se sklapaju na uređaju. Maksimalna veličina jednog IPv4 paketa je 64
kiB.
Napadač ima mogućnost da u pošalje fragmentovan ICMP echo sa maksimalnim payload-om,
kad se taj paket pokuša sastaviti na meti, veličina će biti veća maksimalne veličine paketa od
64kiB što može dovesti do DoS stanja na uređaju.
2.2.8.3 Smurf napadi
Napadač koristi falsifikovan ICMP echo zahtjev sa IP adresom mete i pošalje je na broadcast
adresu neke mreže, kad svi računari odgovore meti postoji mogućnost da dođe do DoS stanja.
2.2.8.4 ICMP Redirect napad
ICMP Redirect poruke se koriste za obavještavanje računara da postoji bolji gateway za
njihov saobraćaj. Napadač može iskoristi ICMP Redirect da preusmjeri saobraćaj na sebe.
Ovdje navedeni napadi su neki od najpoznatijih i najčešćih napada. Postoji veliki broj napada
koji ovdje nisu navedeni. Interesantan je primjer SYNFul Knock virusa, ovaj virus napada
14
ODJELJENJE ZA INFORMACIONU BEZBJEDNOST
Cisco uređaje. Distribuiran je preko modifikovanog firmvera uređaja. Ovaj virus miruje u
uređaju i nije ga bilo moguće detektovati. U slučaju da dobije sekvencu paketa koji sadrže
određenu sekvencu SYN brojeva, koje nije moguće dobiti u normalnom režimu rada, tada
otvara port za udaljeni pristup tako da napadač može pristupiti. Istraživači smatraju da će
ovakvi napadi biti sve učestaliji u budućnosti. To je jedan od razloga zašto smo posvetili dio
ove publikacije zaštiti firmvera.
15
ODJELJENJE ZA INFORMACIONU BEZBJEDNOST
3. SMJERNICE
Podešavanja uređaja, procedure korišćenja i postupanja sa uređajima i podešavanjima koje su
navedene u ovom poglavlju će omogućiti značajno povećanje nivoa bezbjednost.
Podešavanja nisu bazirana na nekog proizvođača, već se mogu primijeniti na uređajima
različitih proizvođača.
Podešavanja nisu podjeljena po uređajima, jer se većina podešavanja može izvršiti na svima
uređaji. Neki servisi i protokoli se koriste samo na svičevima, neki samo na ruterima,
pretpostavljamo da administratori znaju razliku pa nećemo detaljnije ulaziti u podjele.
Podešavanja nisu podjeljena po zonama bezbjednosti, podjela se nalazi kao dodatak u obliku
lista u cilju olakšavanja implementacije ovih podešavanja.
Pri tumačenju nekih od pojmova administratorima može biti od pomoći literatura koji se
nalaze u dodacima.
3.1 NABAVKA I PREUZIMANJE OPREME
Uređaji moraju biti nabavljani od strane proizvođača ili ovlaštenog prodavca da bi se
smanjila mogućnost podmetanja modifikovanih ili neispravnih uređaja. Pregledom
dokumentacije se utvrđuju mjere čuvanja i način upotrebe uređaja.
Pregledom dokumentacije se mogu utvrditi propusti koji mogu dovesti do bezbjednosnih
ranjivosti čiji se efekti, ako se uoče na vrijeme mogu otkloniti. Pregled dokumentacije i
testiranje funkcionalnosti uređaja predstavljaju osnovu za ojačavanje uređaja.
Dokumentacija je često izvor liste protokola i servisa koje uređaj koristi, verzije firmvera,
konfiguracionih adresa i fabrički ugrađenih kredencijala.
3.1.1 Uređaje nabavljati isključivo od proizvođača ili od ovlaštenog prodavca.
3.1.2 Ispravnost uređaja tokom prijema mora verifikovati stručno lice iz službe
zadužene za održavanje mreže. Stručno lice piše izvještaj o primopredaji i stanju
uređaja.
3.1.3 Prilikom preuzimanja provjeriti serijske brojeve koji su navedeni u dokumentaciju
sa serijskim brojevima na uređaju. Izvještaj mora da sadrži :
Serijske brojeve u dokumentaciji
Serijske brojeve na uređaju
Verziju firmvera.
16
ODJELJENJE ZA INFORMACIONU BEZBJEDNOST
3.1.4 Izvođač je dužan dostaviti dokumentaciju koja sadrži korisničko uputstvo izdano
od strane proizvođača, spisak svih kredencijala za uređaje i konfiguracionim
adresama ako postoje.
3.1.5 Dokumentacija se čuva dok god je uređaj u upotrebi.
3.2 FIZIČKI PRISTUP UREĐAJIMA
U slučaju da napadač ima fizički pristup uređaju pored mogućnosti fizičkog uništenja i
onesposobljavanja ima mogućnost prisluškivanja. U nekim slučajevima moguća je i promjena
podešavanja uređaja.
Fizički pristup uređaju napadač može u nekim slučajevima manipulisati uređajem i
korisničkim nalozima.
Pasivni napadi koji koriste hardver, npr. prisluškivanje na fizičkom nivou su gotovo
nemogući za otkriti.
3.2.1 Uređaji moraju biti skladišteni, čuvani i upotrebljavani tako da su ispunjeni
Članovi PSIB- a od člana 44 do člana 71.
3.3 FIRMVER
Postoji mogućnost da se prilikom transporta, preuzimanja sa interneta ili sa nekog medijuma,
dođe do oštećenje ili podmetanja firmvera. Oštećenje može dovesti do nekorektnog rada
uređaja što može dovesti do bezbjednosnih propusta.
Postoji mogućnost presretanja saobraćaja i podmetanja firmvera koji je zaražen što može
dozvoliti napadaču neometan, a najćešće i neprimjetan pristup podešavanjima uređaja, mreži
i podacima na istoj.
Pošto je pasivne napade na nivou uređaja teško detektovati, mjere preventivne zaštite
obezbjeđuju korektno i bezbjedno ponašanje mrežnih uređaja.
Efikasan način provjere i spriječavanja je provjere intergriteta datoteke ili medijuma na kome
se firmver nalazi korišćenjem hash funkcija. Hash funkcija preslikava niz karaktera ili
datoteku u dugačak niz brojeva i slova. Dva različita unosa u hash funkciju ne mogu dati isti
izlaz.
Za izbor hash funkcije koja će se koristi za očuvanje integriteta pogledati ažurnu publikaciju
vezanu za dopuštene kriptografske algoritme i hash funkcije.
17
ODJELJENJE ZA INFORMACIONU BEZBJEDNOST
3.3.1 Firmver preuzimati samo sa veb strane proizvođača ili na mediju koji se dostavlja
od uz uređaj.
3.3.2 Prilikom preuzimanja provjeriti hash-eve i uporediti ih sa hash-evima koji se
nalaze na veb stranici proizvođača.
3.3.3 Nakon preuzimanja firmvar snimiti na medijum koji podržava samo jedan upis.
3.3.4 Hash vrijednost čuvati odvojeno od medijuma.
Preporučljivo je čuvanje hash vrijednosti na papiru odvojeno od medijuma na kome se čuva
firmvare. Ako čuvamo firmvare na CD-R-u, ako čuvamo hash firmvera zapisan na CD ili na
omotu napadač, u slučaju da ima fizički pristup može zamjeniti i CD i zapisan hash tako da
nemamo mogućnost provjere.
3.3.5 Prilikom svrhe postavljanja firmvera provjeriti hash-eve i uporediti ih sa
sačuvanim hash-evima.
3.3.6 U slučaju da je moguće periodično provjeravati hash-eve firmvera koji se nalazi
na uređaju, a ako nije periodično nanovo postaviti firmver.
3.3.7 Koristi ažurne verzije za koje postoji podrška od proizvođača
3.4 KREDENCIJALI
Kompromitovanje kredencijala, automatski povlači kompromitovanje uređaja, što ostavlja
prostor za ozbiljne zloupotrebe.
3.4.1 Ukloniti podrazumjevane, fabrički ugrađene, kredencijale
Podrazumjevani kredencijali su najčešće javna informacija kojoj napadač može jednostavno
pristupiti. Takođe postoje automatizovani alati koji služe za skeniranje mreža u potrazi za
uređajima koji imaju podrazumjevane kredencijale.
3.4.2 Svaka promjena kredencijala mora se dokumentovati, tako da se jedinstveno može
identifikovati ko, kad i na kom načinu je promijenio kredencijale.
3.4.3 Kredencijale je potrebno periodično mijenjati.
3.4.4 Uključiti opciju koja ograničava broj pogrešnih unosa kredencijala na maksimalno
pet puta, nakon čega uređaj zabranjuje pokušaje pristupa na minimalno pet
minuta.
Ovaj korak je potreban da bi se onemogućili brute force i dictionary napadi na uređaje.
3.4.5 Ako je moguće promijeniti ime administratorskog naloga na nešto što nije
administrator, admin, root i sl.
3.4.6 Koristi jake lozinke.
Izbor lozinke utiče na prostor pretraga u kome će napadač tražiti lozinku. Na veličinu
prostora, broj varijacija utiču dužina lozinke i karakteri koji se koriste.
18
ODJELJENJE ZA INFORMACIONU BEZBJEDNOST
𝐵𝑟𝑜𝑗𝑀𝑜𝑔𝑢ć𝑖ℎ = 𝐵𝑟𝑜𝑗𝐾𝑎𝑟𝑎𝑘𝑡𝑒𝑟𝑎𝐷𝑢ž𝑖𝑛𝑎𝐿𝑜𝑧𝑖𝑛𝑘𝑒
Ograničavanje broja mogućih pokušaja unošenja samo po sebi će onemogućiti brute force i
dictionay napade, ali je i pored toga poželjno koristiti jake lozinke.
Dužina lozinke znatno utiče na prostor pretraga.
Ako koristimo mala i velika slova engleskog alfabeta i specijalne karaktere imamo broj
karaktera =26 + 26 +30 =82, a lozinka nam je dugačka 6 karaktera dobijamo.
𝐵𝑟𝑜𝑗𝑀𝑜𝑔𝑢ć𝑖ℎ = 826 = 3.04 × 1011
U slučaju da koristimo samo mala slova engleskog alfabeta, a lozinka nam je dužine 9
karaktera dobijamo.
𝐵𝑟𝑜𝑗𝑀𝑜𝑔𝑢ć𝑖ℎ = 269 = 5.43 × 1012
Lozinke koje su vezane za uređaje na mreži na kojima se nalazi kritična infrastruktura
(Bezbjednosna zona 1 i 2) moraju sadržavati mala i velika slova i specijalne karaktere, dužina
lozinke ne smije biti kraća od 10 karaktera.
Da bi se spriječili dictionary napadi najbolje je ne koristi imenice. Takođe ne treba koristi
javno dostupne ili informacije koje se lako mogu saznati (datum rođenja, JMBG, ime djece).
3.4.7 U slučaju kompromitovanja, gubitka ili otkrivanja lozinke obavezno promijeniti.
Pod kompromitovanjem se podrazumijeva i prekid radnog odnosa sa licem koje zna
kredencijale.
3.4.8 U slučaju ustupljivanja kredencijala trećem licu, stručno lice piše izvještaj o
ustupanju kredencijala sa jasno definisanim rokom korišćenja. Nakon isteka roka
vrši se pregled log datoteka i podešavanja, i ako nije došlo do narušavanja
kredencijali se mjenjaju.
3.4.9 Isključiti servise koji omogućavaju udaljeno vraćanje lozinki.
3.4.10 Izbrisati ili na neki drugi način onemogućiti neaktivne korisničke račune.
19
ODJELJENJE ZA INFORMACIONU BEZBJEDNOST
Ako nije moguče otkloniti neaktivne korisničke račune promijeniti lozinke na njima tako da
dužina lozinke bude maksimalna dozvoljena dužina koju uređaj dozvoljava, mora se sastojati
od nasumičnih karaktera koji izabranih tako da maksimizuje prostor pretraga.
3.4.11 Poželjno je korišćenje servera za Autentifikaciju, Autorizaciju i Rad sa
korisničkim nalozima (AAA - Authentication, Authorization and Accounting) koji
koriste aktuelan protokol u vrijeme pisanja RADIUS protokol ili alternativu.
3.5 INTERFEJSI
Pod interfejsima se podrazumijevaju fizičke utičnice na uređajima.
3.5.1 Isključiti interfejse koji se ne koriste
Interfejse koji se ne koriste potrebno je isključiti, ako napadač ima pristup interfejsima postoji
mogućnost presretanja i vršenja napada koje je teško otkriti. Ovo pravilo koristi posebno ako
su na interfejse priključeni kablovi mreže koja se ne koristi, npr zbog renoviranja.
3.5.2 Ako je moguće fizički ukloniti interfejse koji se ne koriste.
Ako uređaj ima modularne komponente, npr kartice sa interfejsima, moguće je fizički
otkloniti kartice. Kod ovog koraka treba obratiti pažnju na potencijalnu potrebu za
interfejsima u bliskoj budućnosti, npr zbog proširenja mreže, i u skladu sa tim donijeti odluku
o tome da li ukloniti kartice.
3.5.3 Ako nisu prijeko potrebni isključiti AUX i Console interfejs.
AUX i Console interfejsi sa specijalnim privilegijama. Jedna od namjena ovih
interfejsa je vraćanje lozinki. Pristup ovim portovima uz mogućnost da restartuje
uređaj omogućava napadaču neautrorizovan pristup lozinkama.
3.5.4 Interfejse koji se ne koriste staviti u zaseban VLAN čija je jedina svrha čuvanje
neaktivnih interfejsa.
3.6 SERVISI I PROTOKOLI
Servisi koji se ne koriste predstavljaju nepotreban bezbjednosni rizik. Potrebno je isključiti
sve servise koji se ne koriste, a potencijalno rizične servise ograničiti na upotrebu sa
20
ODJELJENJE ZA INFORMACIONU BEZBJEDNOST
određenih adresa. Servisi koji se koriste za podešavanje uređaja su pokriveni u djelu
publikacije koji se odnosi na podešavanja uređaja.
3.6.1 Dozvoliti korišćenje ICMP-a samo iz lokalne mreže ili sa adresa koje koriste
administratori.
3.6.2 Isključiti nepotrebne servise na uređaju
3.6.3 Isključiti male UDP i TCP servise.
Iako ovi servisi imaju male pakete potrebno ih je isključiti da se ne bi zloupotrebe bili za DoS
napade na uređaj. Ovi servisi su se koristili za testiranje mreže prije pojave ICMP-a, i danas
se ne koriste.
Isključiti :
Echo (port broj 7) – Echo protokol originalno namijenjen testiranju mreže,
potisnut od strane ICMP-a tako da nema potrebe da se koristi.
Discard (port broj 9) – Na portu 9 postoje dva UDP protokola discard koji se
koristio za testiranje mreže i koji automatski odbacuje sav saobraćaj koji dođe
na taj port i Wake-on-Lan koji nema smisla za mrežne uređaje pogotovo ako su
uključeni 24 sata dnevno.
Daytime (port broj 13) – Takođe uveden u svrhe testiranja mreže, pošto postoji
mala potreba za ovim servisom isključiti ga.
Chargen (port broj 19) – Generiše niz ASCII karaktera, takođe se koristi za
testiranje, pošto ne postoji potreba isključiti ovaj servis.
3.6.4 Isključiti prevaziđene i nekorištene servise.
Finger – Protokol obezbjeđuje ime i prezime korisnika kao i mail adresu. U
ranim danima interneta je služio svrsi, ali u današnje vrijeme se može koristi u
svrhe socijalnog inženjeringa. Isključiti ovaj servis.
Bootp – Protokol koji se koristi za automatsku dodjelu adresa uređajima, pošto
je potisnut od strane DHCP-a nema potrebe da se koristi.
3.6.5 Ako nije potreban isključiti DHCP a ako je potreban ograničiti maksimalan broj
adresa koje se mogu dodijeliti interfejsu uređaja.
3.6.6 Isključiti PAD (Packet assembler/disassembler) ako nije u pitanju X.25 mreža.
3.6.7 Isključiti protokole za otkrivanje mrežnih uređaja ako nisu neophodni.
Napadač može iskoristi ove protokole da dobije znanje o arhitekturi mreže.
Protokoli za otkrivanje mreže :
LLDP - Link Layer Discovery Protocol,
CDP – Cisco Discovery Protocol,
LLTD - Link Layer Topology Discovery,
i ostale slične protokole.
3.6.8 Ako nisu potrebni isključiti protokole iz RMON (Remote MONitoring) porodice.
21
ODJELJENJE ZA INFORMACIONU BEZBJEDNOST
3.6.9 Isključiti DTP (Dynamic Trunking Protocol)
Napadač može koristi ovaj protokol da se predstavi kao svič.
3.6.10 Isključiti VTP (VLAN Trunking Protocol) .
VTP je Cisco-ov protokol za dinamičku konfiguraciju VLAN-ova. Napadač je u stanju da,
ako se uspije predstaviti kao svič, pošalje ostalim svičevima konfiguracione VTP poruke.
Napadač može izbrisati sve VLAN-ove, što će se zahvaljujući VTP-u propagirati na ostale
uređaje. Ako je već potrebno koristiti VTP omogućiti autentifikaciju.
3.6.11 Isključiti sve servise za udaljeni upload/download sistemskog softvera, ako nisu
neophodni, izuzetak su enkriptovani servisi za preuzimanje ažuriranja od strane
proizvođača.
3.6.12 Isključiti MOP (Maintenance Operation Protocol).
MOP je protokol koji je razvijen od strane Digital Equipment Corporation, a se koristi za
upload i download sistemskog softvera između uređaja i servera. MOP se pokazao ranjivim
na višestruke napade. Problem je što je MOP kao predefinisano podešavanje uključen na
većini Cisco uređaja.
3.6.13 Isključiti sve nepotrebne protokole rutiranja.
3.6.14 Koristi bezbjedno protokole rutiranja.
Detalji bezbjednosti i ranjivosti u protokolima rutiranja su van opsega ove publikacije.
Manipulacija metrikama i nedostatak autentifikacije omogućavaju napadačima da manipulišu
tokovima mrežnog saobraćaja.
Za interno rutinranje koristi slijedeći protokoli rutiranja se smatraju bezbjednim :
RIPv2 (Routing Internet Protocol) i novije verzije.
OSPFv2 (Open Shortest Path First) i novije verzije.
EIGRP (Enhanced Interior Gateway Routing Protocol).
3.6.15 Isključiti protokole za čuvanje redundantinh uređaja (First Hop Redundancy
Protocol), ako su potrebni uključiti omogućiti autentifikaciju.
FHRP protokoli se koriste ili za balansiranje saobraćaja ili kao osiguranje u slučaju otkaza.
Ako nisu potrebni njihovo korišćenje nije preporučljivo, jer sa sobom povlači razne
mogućnosti eksplatacije od strane napadača.
Neki od FHRP protokola :
Obavezno isključiti HSRP (Hot Standby Router Protocol) - Cisco-ov protokol
koji omogućava da se računar više fizičkih rutera vidi kao jedan logički ruter. Iz
grupe rutera se bira jedan koji se prograšava aktivnim i jedan koji se proglašava
22
ODJELJENJE ZA INFORMACIONU BEZBJEDNOST
kao zamjenski (stanby). U slučaju otkaza aktivnog rutera, zamjenski preuzima
njegove dužnosti.
HSRP se smatra nepouzdanim protokolom i ne treba se koristi. Napadač lako
može poslati poruku ruteru kojom mu govori da ode offline, drugi ruter možda
ima slabija bezbjednosna podešavanja i može obezbjediti napadaču lakši pristup
mreži.
VRRP (Virtual Router Redundancy Protocol) – open standard FHRP
GLBP (Gateway Load Balancing Protocol) – noviji Cisco-ov FHRP
CARP (Common Address Redundancy Protocol) – besplatan FHRP
ESRP (Extreme Standby Router Protocol) – FHRP koji koriste Extreme Networks
uređaji
R-SMLT (Routed Split multi-link trunking) – FHRP koji koriste Avaya uređaji
NSRP (NetScreen Redudancy Protocol) – FHRP koji koriste Juniper-ovi uređaji.
3.7 FILTRIRANJE SAOBRAĆAJA I MREŽNA PODEŠAVANJA
O filtriranju saobraćaja će više riječi biti u posebnoj publikaciji. Podešavanja navedena ovdje
predstavljaju osnove. Ako servise i protokole iz ostatka publikacije nije moguće isključiti na
uređaju, potrebno je blokirati portove na kojima rade.
3.7.1 Koristi ACL (Access Control Lists) mehanizme za filtriranje saobraćaja.
3.7.2 Svim korisnicima, osim administratora, zabraniti pristup konfiguracionim
portovima.
3.7.3 Zabraniti svima nekorištene portove.
3.7.4 Zabraniti directed-broadcast.
3.7.5 Zabraniti source-route.
3.7.6 Ukoliko nije potrebno isključiti podršku za IPv6
3.7.7 Zabraniti ICMP redirects.
3.7.8 Blokirati nevalidne dolazne lokalne adrese . Npr ako koristite 192.168.0.0/16
blokirati 10.0.0.0/08 i 172.16.0.0/12 adrese.
3.7.9 Ako nije potrebna isključiti fragmentaciju paketa.
Napadači mogu koristi alate koji fragmentiraju pakete u namjeri da zavaraju IDS/IPS-ove i da
izvrše napade kao što je Ping of Death.
3.7.10 Uključiti BPDU filtriranje.
BPDU (Bridge Protocol Data Unit) je protokol koji svič-evi koriste za međusobnu
komunikaciju. Ovaj protokol se koristi za izbor root svič-a u Spaning Tree Protocol-u.
Zabraniti BPDU pakete sa interfejsa na kojima se ne nalaze svič-evi.
23
ODJELJENJE ZA INFORMACIONU BEZBJEDNOST
3.7.11 Zabraniti saobraćaj koji sadrži potencijalno opasne protokole.
3.8 RAD SA KONFIGURACIONIM DATOTEKAMA I SERVISIMA
Nekorektno korišćenje servisa za podešavanje uređaja može biti veoma opasno. Pošto može
voditi do krađe kredencijala i drugih zloupotreba potrebno je posebnu pažnju obrati na
konfiguracione datoteke i servise za podešavanje uređaja.
3.8.1 Izbjegavati korišćenje neenkriptovanih kredencijala u konfiguracionim fajlovima,
kad god je moguće koristi enkriptovane kredencijale.
3.8.2 Nakon promjene konfiguracione datoteke dokumentovati promjene, izračunati
hash. Hash čuvati na medijumu u koji je dozvoljeno samo jedno pisanje.
3.8.3 Koristiti bezbjedne protokole za transfer konfiguracione datoteke.
3.8.4 Ako udaljeno konfigurisanje nije neophodno isključiti ga. Ako je potrebno
udaljeno kofigurisanje koristi bezbjedne protokole.
SNMP - Koristi ažurnu verziju koja omogućava enkripciju. Gdje god je moguće
koristi SNMPv3 ili noviji. SNMPv1 i SNMPv2 ne koriste enkripciju pa su
pogodni za MItM napade.
SSH i Telnet - Ni u kom slučaju ne koristi telnet. Telnet informacije, uključujući
kredencijale ne enkriptuje. Presretanjem telnet komunikacije, napadač može
dobiti kredencijale za pristup uređaju što mu otvara mogućnost ozbiljnih
zloupotreba. Ako je moguće isključiti telnet.
Ako je već potrebno konzolno podešavanje koristiti aktuelnu verziju SSH
protokola, SSHv2 ili noviju.
HTTP - Ako nije potrebno ne koristi veb interfejs uređaja. Ako je već potrebno
ni u kom slučaju ne koristi HTTP, već samo HTTPS. Isključiti HTTP ako je
moguće.
TFTP - Ako nije potreban iskljućiti servis. Iako se TFTP može koristit za
transfer konfiguracionih falova i ažuriranja, ne preporućuje se njegovo
korišćenje. TFTP ne koristi autorizaciju ni autentifikaciju pa ga je bolje
izbjegavati. TFTP se može koristi za podmetanje konfiguracionih fajlova kao i
za DoS napade.
3.8.5 Uključiti automatsko prekidanje sesija nakon 5 min.
3.8.6 Omogućiti banere ili ekvivalentna obavještenja.
Na konfiguracionim servisima kao što su SSH i HTTPS potrebno je upozoriti korisnika da
dalji neautentifikovan pristup servisu predstavlja krivično djelo, te da će njegove akcije biti
bilježene.
24
ODJELJENJE ZA INFORMACIONU BEZBJEDNOST
Potencijalni primjer banera sa upozorenjem :
„ Pristupate servisu koji je u vlasništvu SUBJEKTA.
Pristup ovom servisu je ograničen na autorizovana lica. Neautorizovan
pristup ovom servisu je krivično djelo, za koje možete odgovarati u
skladu sa Krivičnim Zakonom Republike Srpske.
Daljim pristupom servisu potvrđujete da ste autorizovan korisnik.
Daljim pristupom servisu pristajete da se vaše informacije i akcije
prate i trajno bilježe. Informacije koje se prate i trajno bilježe mogu
sadržavati i vaše lične informacije. Daljnim pristupom pristajete da se
vaše lične informacije prate i trajno bilježe.
U slučaju :
Da ste greškom pristupili ovom servisu ili
da niste autorizovan korisnik ili
da ne pristajete da se vaše informacije i akcije prate i trajno
bilježe ili
da ne pristajete da se vaše lične informacije prate i trajno bilježe,
napustite ovaj servis. “
3.8.7 Koristi poseban VLAN samo za održavanje i podešavanje uređaja.
3.8.8 Ne koristi VLAN 1
VLAN 1 je podrazumijevani VLAN, ako se napadač priključi na svič automatski se
dodjeljuje VLAN-u 1.
3.8.9 Ograničiti udaljeno podešavanje na adrese portove koje će administrator koristi.
Koristi mehanizame filtriranja, tako da se pristup konfiguracionim servisima i interfejsima
odobri samo autorizovanim licima.
3.8.10 Ako je moguće koristi višefaktorsku autentifikaciju
3.9 LOGOVI
Sa aspekta održavanja logovi pomažu administratoru da prati funkcionisanje uređaja.
25
ODJELJENJE ZA INFORMACIONU BEZBJEDNOST
Sa aspekta bezbjednosti logovi mogu pomoći otkrivanju i sprečavanju napada. Od velikog su
značaja tokom istraga o potencijalnom incidentu.
3.9.1 Obavezno je omogućiti logove.
3.9.2 Po mogućnosti koristi opcije logova koji se poslije dodavanja ne mogu mjenjati
(append only).
Izmjena logova ne bi trebala biti moguća. Napadač bi mogao da falsifikuje logove da bi
prikrio tragove napada ili naveo istraživače na pogrešan trag.
3.9.3 Moraju se voditi logovi o pristupu uređaju, pokušajima pristupa, promjeni u
firmveru, konfiguraciji, uključivanju i isključivanju uređaja.
3.9.4 Ako je moguće logove smještati na udaljeni (syslog) server.
Centralizacija logova na jedan server omogućava administratorima, lakši pristup i analizu
čitavog sistema.
3.9.5 Log server mora biti ojačan.
Loša strana centralizacije logova je, ako napadač napadne log server može dobiti značajne
informacije o sistemu i korisnicima koje može iskoristi u daljim napadima.
3.9.6 Logove po mogućnosti čuvati u enkriptovanom obliku.
3.9.7 Ograničiti pristup logovima svima osim administatoru.
U slučaju da se logovi čuvaju na serveru, samo administratorima odobriti čitanje istih.
Upisivanje logova omogućiti samo procesu koji je zadužen za pisanje logova.
3.9.8 Logove transportovati bezbjednom vezom.
Pošto logovi mogu imati osjetljive informacije, mora se onemogućiti presretanje.
Logove transportovati VPN vezom.
3.9.9 Uspostaviti standard normalnog ponašanja mreže (baseline).
Standard normalnog ponašanja mreže, pomaže administratoru da odredi devijacije u
ponašanju korisnika i reaguje. Pošto se navike korisnika mijenjaju potrebno je povremeno
mijenjati i baseline.
3.9.10 Periodično pregledati logove tražeći odstupanje od normalnog režima rada
3.9.11 Ako je moguće uvesti sisteme za obavještavanje u slućaju odstupanja od
normalnog ponašanja.
3.9.12 Koristiti NTP server.
Network time protocol se koristi za sinhronizaciju vremena na uređajima, znatno olakšava
analizu logova u slučaju incidenta.
26
ODJELJENJE ZA INFORMACIONU BEZBJEDNOST
3.9.13 Ako je moguće omogućiti grafičke alate za analizu logova.
Analiza tekstualnih fajlova zna biti poprilično zamorna, tako da je preporučljivo imati
grafičke alate za automatsku obradu logova, mada analiza tekstualnih logova nosi puno više
informacija za ljude koji je znaju koristiti.
3.10 TESTIRANJE
3.10.1 Prije uključivanja uređaja u mrežnu infrastrukturu potrebno je testirati uređaj.
Testiranje se može vršiti :
Automatskim alatima za testiranje - Alati koji testiraju uređaje na poznate ranjivosti i
o tome obavještavaju korisnika. Ovi alati brzo dolaze do rezultata, lako se koriste,
imaju module za generisanje izvještaja. Negativna strana je što mogu biti skupi i
nemaju inteligenciju koja bi im pomogla sklapanju šire slike o sistemu, npr. više
ranjivosti koje same po sebi ne mogu napraviti puno štete kad se iskombinuju mogu
imati katastrofalne posljedice.
Bezbjednsne liste - Liste sa koracima koji se trebaju preduzeti da bi se ispoštovala
politika bezbjednosti. Zahtjeva rad administratora, administrator mora pisati izvještaje
ručno. Liste nisu uvjek ažurne. Administrator može uočiti neke propuste koje program
ne može.
Pentesting – Testiranje mreže od strane trećih lica koja će simulirati napade, na
uređaje. Testeri se ponašaju kao napadači, koristeći sva moguća sredstva. Rezultati
zavise od kvaliteta i domišljatosti testera.
Poželjno je kombinovanje ovih metoda.
Testiranje obuhvata testiranje ispravnosti uređaja i analizu saobraćaja.
Testiranje u laboratorijskim uslovima je potrebno vršiti nakon postavljanja podešavanja iz
ostatka dokumenta.
U slučaju da se ne pronađu anomalije tokom testiranja u laboratorijskim uslovima, potrebno
je vršiti praćenje saobraćaja nakon postavljanja uređaja na mrežu.
3.10.2 Potrebno je napraviti provjera saobraćaja i skeniranje uređaja u laboratorijskim
uslovima, i napisati izvještaj.
Neki od uređaja mogu imati ugrađene propuste kao i skrivene servise. Analizom saobraćaja u
laboratorijskim uslovima moguće je otkriti anomalije u ponašanju. Ako se otkriju anomalije
potrebno ih je dokumentovati, i slijediti politike za rad sa incidentima.
27
ODJELJENJE ZA INFORMACIONU BEZBJEDNOST
3.10.3 Potrebno je periodično testirati funkcionalnost i bezbjednost uređaja.
DODACI
DODATAK A – SAŽETAK SMJERNICA
NABAVKA I PREUZIMANJE OPREME
o Uređaje nabavljati isključivo od proizvođača ili od ovlaštenog prodavca.
o Ispravnost uređaja tokom prijema mora verifikovati stručno lice iz službe zadužene za
održavanje mreže. Stručno lice piše izvještaj o primopredaji i stanju uređaja.
o Prilikom preuzimanja provjeriti serijske brojeve koji su navedeni u dokumentaciju sa
serijskim brojevima na uređaju. Izvještaj mora da sadrži :
Serijske brojeve u dokumentaciji
Serijske brojeve na uređaju
Verziju firmvera.
o Izvođač je dužan dostaviti dokumentaciju koja sadrži korisničko uputstvo izdano od
strane proizvođača, spisak svih kredencijala za uređaje i konfiguracionim adresama
ako postoje.
o Dokumentacija se čuva dok god je uređaj u upotrebi.
FIZIČKI PRISTUP UREĐAJIMA
o Uređaji moraju biti skladišteni, čuvani i upotrebljavani tako da su ispunjeni Članovi
PSIB- a od člana 44 do člana 71.
FIRMVER
o Firmver preuzimati samo sa veb strane proizvođača ili na mediju koji se dostavlja od
uz uređaj.
o Prilikom preuzimanja provjeriti hash-eve i uporediti ih sa hash-evima koji se nalaze
na veb stranici proizvođača.
o Nakon preuzimanja firmvar snimiti na medijum koji podržava samo jedan upis.
o Hash vrijednost čuvati odvojeno od medijuma.
o Prilikom svrhe postavljanja firmvera provjeriti hash-eve i uporediti ih sa sačuvanim
hash-evima.
28
ODJELJENJE ZA INFORMACIONU BEZBJEDNOST
o U slučaju da je moguće periodično provjeravati hash-eve firmvera koji se nalazi na
uređaju, a ako nije periodično nanovo postaviti firmver.
o Koristi ažurne verzije za koje postoji podrška od proizvođača
KREDENCIJALI
o Ukloniti podrazumjevane, fabrički ugrađene, kredencijale
o Svaka promjena kredencijala mora se dokumentovati, tako da se jedinstveno može
identifikovati ko, kad i na kom načinu je promijenio kredencijale.
o Kredencijale je potrebno periodično mijenjati.
o Uključiti opciju koja ograničava broj pogrešnih unosa kredencijala na maksimalno pet
puta, nakon čega uređaj zabranjuje pokušaje pristupa na minimalno pet minuta.
o Ako je moguće promijeniti ime administratorskog naloga na nešto što nije
administrator, admin, root i sl.
o Koristi jake lozinke.
o U slučaju kompromitovanja, gubitka ili otkrivanja lozinke obavezno promijeniti.
o U slučaju ustupljivanja kredencijala trećem licu, stručno lice piše izvještaj o
ustupanju kredencijala sa jasno definisanim rokom korišćenja. Nakon isteka roka vrši
se pregled log datoteka i podešavanja, i ako nije došlo do narušavanja kredencijali se
mjenjaju.
o Isključiti servise koji omogućavaju udaljeno vraćanje lozinki.
o Izbrisati ili na neki drugi način onemogućiti neaktivne korisničke račune.
o Poželjno je korišćenje servera za Autentifikaciju, Autorizaciju i Rad sa korisničkim
nalozima (AAA - Authentication, Authorization and Accounting) koji koriste
aktuelan protokol u vrijeme pisanja RADIUS protokol ili alternativu.
INTERFEJSI
o Isključiti interfejse koji se ne koriste
o Ako je moguće fizički ukloniti interfejse koji se ne koriste.
o Ako nisu prijeko potrebni isključiti AUX i Console interfejs.
o Interfejse koji se ne koriste staviti u zaseban VLAN čija je jedina svrha čuvanje
neaktivnih interfejsa.
SERVISI I PROTOKOLI
o Dozvoliti korišćenje ICMP-a samo iz lokalne mreže ili sa adresa koje koriste
administratori.
o Isključiti nepotrebne servise na uređaju
29
ODJELJENJE ZA INFORMACIONU BEZBJEDNOST
o Isključiti male UDP i TCP servise.
o Isključiti prevaziđene i nekorištene servise.
o Ako nije potreban isključiti DHCP a ako je potreban ograničiti maksimalan broj
adresa koje se mogu dodijeliti interfejsu uređaja.
o Isključiti PAD (Packet assembler/disassembler) ako nije u pitanju X.25 mreža.
o Isključiti protokole za otkrivanje mrežnih uređaja ako nisu neophodni.
o Ako nisu potrebni isključiti protokole iz RMON (Remote MONitoring) porodice.
o Isključiti DTP (Dynamic Trunking Protocol)
o Isključiti VTP (VLAN Trunking Protocol) .
o Isključiti sve servise za udaljeni upload/download sistemskog softvera, ako nisu
neophodni, izuzetak su enkriptovani servisi za preuzimanje ažuriranja od strane
proizvođača.
o Isključiti MOP (Maintenance Operation Protocol).
o Isključiti sve nepotrebne protokole rutiranja.
o Koristi bezbjedno protokole rutiranja.
RIPv2 (Routing Internet Protocol) i novije verzije.
OSPFv2 (Open Shortest Path First) i novije verzije.
EIGRP (Enhanced Interior Gateway Routing Protocol).
o Isključiti protokole za čuvanje redundantinh uređaja (First Hop Redundancy
Protocol), ako su potrebni uključiti omogućiti autentifikaciju.
FILTRIRANJE SAOBRAĆAJA I MREŽNA PODEŠAVANJA
o Koristi ACL (Access Control Lists) mehanizme za filtriranje saobraćaja.
o Svim korisnicima, osim administratora, zabraniti pristup konfiguracionim portovima.
o Zabraniti svima nekorištene portove.
o Zabraniti directed-broadcast.
o Zabraniti source-route.
o Ukoliko nije potrebno isključiti podršku za IPv6
o Zabraniti ICMP redirects.
o Blokirati nevalidne dolazne lokalne adrese . Npr ako koristite 192.168.0.0/16 blokirati
10.0.0.0/08 i 172.16.0.0/12 adrese.
o Ako nije potrebna isključiti fragmentaciju paketa.
o Uključiti BPDU filtriranje.
o Zabraniti saobraćaj koji sadrži potencijalno opasne protokole.
RAD SA KONFIGURACIONIM DATOTEKAMA I SERVISIMA
30
ODJELJENJE ZA INFORMACIONU BEZBJEDNOST
o Izbjegavati korišćenje neenkriptovanih kredencijala u konfiguracionim fajlovima, kad
god je moguće koristi enkriptovane kredencijale.
o Nakon promjene konfiguracione datoteke dokumentovati promjene, izračunati hash.
Hash čuvati na medijumu u koji je dozvoljeno samo jedno pisanje.
o Koristiti bezbjedne protokole za transfer konfiguracione datoteke.
o Ako udaljeno konfigurisanje nije neophodno isključiti ga. Ako je potrebno udaljeno
kofigurisanje koristi bezbjedne protokole.
SNMP - Koristi ažurnu verziju koja omogućava enkripciju. Gdje god je moguće
koristi SNMPv3 ili noviji.
SSH i Telnet - Ni u kom slučaju ne koristi telnet. Ako je moguće isključiti telnet.
Koristiti aktuelnu verziju SSH protokola, SSHv2 ili noviju.
HTTP - Ako nije potrebno ne koristi veb interfejs uređaja. Ako je već potrebno
ni u kom slučaju ne koristi HTTP, već samo HTTPS. Isključiti HTTP ako je
moguće.
o TFTP - Ako nije potreban iskljućiti servis.
o Uključiti automatsko prekidanje sesija nakon 5 min.
o Omogućiti banere ili ekvivalentna obavještenja.
o Koristi poseban VLAN samo za održavanje i podešavanje uređaja.
o Ne koristi VLAN 1
o Ograničiti udaljeno podešavanje na adrese portove koje će administrator koristi.
o Ako je moguće koristi višefaktorsku autentifikaciju
LOGOVI
o Obavezno je omogućiti logove.
o Po mogućnosti koristi opcije logova koji se poslije dodavanja ne mogu mjenjati
(append only).
o Moraju se voditi logovi o pristupu uređaju, pokušajima pristupa, promjeni u firmveru,
konfiguraciji, uključivanju i isključivanju uređaja.
o Ako je moguće logove smještati na udaljeni (syslog) server.
o Log server mora biti ojačan.
o Logove po mogućnosti čuvati u enkriptovanom obliku.
o Ograničiti pristup logovima svima osim administatoru.
o Logove transportovati bezbjednom vezom.
o Uspostaviti standard normalnog ponašanja mreže (baseline).
o Periodično pregledati logove tražeći odstupanje od normalnog režima rada
o Ako je moguće uvesti sisteme za obavještavanje u slućaju odstupanja od normalnog
ponašanja.
o Koristiti NTP server.
o Ako je moguće omogućiti grafičke alate za analizu logova.
31
ODJELJENJE ZA INFORMACIONU BEZBJEDNOST
TESTIRANJE
o Prije uključivanja uređaja u mrežnu infrastrukturu potrebno je testirati uređaj.
o Potrebno je napraviti provjera saobraćaja i skeniranje uređaja u laboratorijskim
uslovima, i napisati izvještaj.
o Potrebno je periodično testirati funkcionalnost i bezbjednost uređaja.
DODATAK B – AKRONIMI
AAA Authentication, Authorization, and Accounting
ACL Access Control List
ARP Address Resolution Protocol
ASCII American Standard Code for Information Interchange
AUX AUXiliary
BootP Bootstrap Protocol
BPDU Bridge Protocol Data Units
CAM Content Address Memory, Content Address Table
CARP Common Address Redundancy Protocol
CD CD-R Compact Disc Compact Disc-Recordable
CDP Cisco Discovery Protocol
CERT Computer Emergency Response Team
DHCP Dynamic Host Configuration Protocol
DoS Denial of Service
DTP Dynamic Trunking Protocol
EIGRP Enhanced Interior Gateway Routing Protocol
ESRP Extreme Standby Router Protocol
FHRP First Hop Redundancy Protocol
GLBP Gateway Load Balancing Protocol
HTTP HTTPS Hyper Text Transfer Protocol Secure/Hyper Text Transfer Protocol Secure
ICMP Internet Control Message Protocol
IDS Intrusion Detection System
IEEE Institute of Electrical and Electronics Engineers
IPS Intrusion Prevention System
IPv4 IPv6 Internet Protocol v4 v6
JMBG Jednistveni Matični Broj Građana
KB KiloByte, 1000 byte-a
KiB KibiByte1024 byte
L2 Layer 2
L3 Layer 3
LAN Local Area Network
32
ODJELJENJE ZA INFORMACIONU BEZBJEDNOST
LLDP Link Layer Discovery Protocol
LLTD Link Layer Topology Discovery
MAC Media Access Control
MItM Man In The Middle
MOP Maintenance Operation Protocol
NIC Network Interface Controler
NSRP NetScreen Redudancy Protocol
NTP Network Time Protocol
OIB Odjeljenje za Infromacionu Bezbjdnost
OSI Open System Interconnection
OSPF Open Shortest Path First
PAD Packet Assemby /Disasembly
PSIB Pravilnik o Standardima Informacione Bezbjednosti
RADIUS Remote Authentication Dial-In User Service
RFC Request for Comments
RIP Routing Information Protocol
RMON Remote MONitorting
R-SMLT Routed Split multi-link trunking
SNMP Simple Network Management Protocol
SSH Secure Shell
STP Spanning Tree Protocol
Syslog System Logging
TCP Transfer Control Protocol
TFTP Trivial File Transfer Protocol
TTL Time To Live
UDP User Datagram Protocol
UMIB Uredba o Mjerama Informacione Bezbjednosti
VLAN Virtual Local Area Network
VPN Virtual Private Network
VRRP Virtual Router Redundancy Protocol
VTP VLAN Trunking Protocol
WLAN Wireless Local Area Network
ZIB Zakon o Informacionoj Bezbjednosti
DODATAK C – LITERATURA
National Institute of Standards and Tehnology, Special publication 800-92, Guide to
Computer securiy log managment, NIST, 2006.
National Institute of Standards and Tehnology, Special Publication 800-123, Guide to
General Server Security, NIST 2008.
33
ODJELJENJE ZA INFORMACIONU BEZBJEDNOST
FEDERAL INFORMATION PROCESSING STANDARDS PUBLICATION PUB 200 -
Minimum Security Requirements for Federal Information and Information Systems, NIST,
2006.
NSA, Hardening Network Infrastructure, Security Recommendation for System Accreditors,
MIT-003FS-2013, NSA, 2013.
Dana Graesser, Cisco Router Hardening Step-by-Step, SANS Institute, 2001.
Christoph Eckstein, Validating Security Configurations and Detecting Backdoors in New
Network Devices, SANS Institute, 2014.
Robert L. Foxworth, Security and Vulnerability Analysis of an Ethernet-based attack on
Cisco IOS, SANS Institute, 2004.
TJ OConnor,Detecting and Responding to Data Link LayerAttacks, SANS Institute, 2010.
Chris Russell Security of IP Routing Protocols, SANS Institute GIAC, 2001.
Consensus Policy Resource Community, Router and Switch Security Policy, SANS Institute,
2014.
Victor Velasco, Introduction to IP Spoofing, SANS Institute, 2000.
Steve A. Rouiller, Virtual LAN Security : weaknesses and countermeasures, SANS Institute.
Securing IP Routing and Remote Access on Cisco Routers, SANS Institute, 2015.
IETF RFC 1918 - Address Allocation for Private Internets.
IETF RFC 2281 – Cisco Hot Standby Router Protocol (HSRP).
IETF RFC 2865 - Remote Authentication Dial In User Service (“RADIUS”, 2000)).
IETF RFC 3577 - Introduction to the Remote Monitoring (RMON) Family of MIB Modules.
IETF RFC 3768 - Virtual Router Redundancy Protocol (VRRP).
IETF RFC 4949 - Internet Security Glossary, Version 2.
IEEE 802.1AB - Station and Media Access Control Connectivity Discovery.
Chun-Jen Chung, Layer 2 and Layer 3 attacks , Arizona State University.
Shashank Singh, Cisco Guide to Harden Cisco IOS Devices, Cisco 2014.
Ziad Zubidah, Hardening Network Devices, MENOG 11, 2012.
ENISA, Guideline on Threats and Assets, 2015.
Andrew S. Tanenbaum ,David J. Wetherall, Computer Networks (5th Edition), PRENTICE
HALL
34
ODJELJENJE ZA INFORMACIONU BEZBJEDNOST
Omar Santos, SYNful Knock: Detecting and Mitigating Cisco IOS Software Attacks, Cisco
blog 2015,
http://blogs.cisco.com/security/synful-knock
Cisco, Network Security Base Line, Cisco 2008