seminarski rad-dns i ftp serveri zaŠtita od napada
TRANSCRIPT
SVEUČILIŠTE/UNIVERZITET „VITEZ ” TRAVNIK
FAKULTET POSLOVNE INFORMATIKE
STUDIJ I CIKLUSA; GODINA STUDIJA: II CIKLUS; III GODINA
SMJER: INFORMACIONE TEHNOLOGIJE
ZAŠTITA DNS I FTP SERVERA
SEMINARSKI RAD
Travnik 22.03.2013 god.
SVEUČILIŠTE/UNIVERZITET „VITEZ ” TRAVNIK
FAKULTET POSLOVNE INFORMATIKE
STUDIJ I CIKLUSA; GODINA STUDIJA: II CIKLUS; III GODINA
SMJER: INFORMACIONE TEHNOLOGIJE
ZAŠTITA DNS I FTP SERVERA
SEMINARSKI RAD
IZJAVA: Ja (Nikola Sarić) student Sveučilišta/Univerziteta „Vitez“ Travnik,
Indeks broj: 0016-10/DIT odgovorno i uz moralnu i akademsku odgovornost
izjavljujem da sam ovaj rad izradio potpuno samostalno uz korištenje citirane
literature i pomoć profesora odnosno asistenta.
Potpis studenta: _
STUDENT:Sarić Nikola
PREDMET:Zaštita podataka i računarski sistema
PROFESOR: Prof. Dr. Dušan Starčević
ASISTENT:Mr. Afan Čečo
Sadržaj:
Uvod............................................................................................................................................1
DNS-Domain Name System......................................................................................................2
Poboljšanje zaštite DNS servera..............................................................................................6
FTP-File Transfer Protocol......................................................................................................8
Poboljšanje zaštite FTP servera...............................................................................................9
Zaključak.................................................................................................................................11
Literatura.................................................................................................................................12
UVOD
Moj zadatak u ovome seminarskome radu je da objasnim na koji način funkcionišu DNS i FTP sistemi te koji je najbolji način da se isti zaštite od različitih hakerskih napada. Zaštita podataka vaše računalne mreže sadrži tri osnovne oblasti, koje se odnose na različite dijelove zaštite računalnih sustava. Efikasni plan zaštite sadržava procjenu rizika i odgovarajuću strategiju i metode za svaku pojedinačnu oblast:
o fizičkim mjerama zaštite
o operativnim mjerama zaštite
o upravljanju i politici
Svaka od navedenih oblasti ima izuzetnu važnost u uspostavljanju efikasnog sistema zaštite u organizaciji. Kada je riječ o zaštiti računalnih sustava, organizacija i njeno poslovanje se moraju promatrati kao cjelina, uz evidentiranje svih problema. Na slici 1.1 prikazan je međusobni odnos navedenih komponenata sistema zaštite računala, koje zajedno osiguravaju relativno zaštićeno okruženje.
Posao administratora sustava zaštite jest i da daje prijedloge organima upravljanja o potrebama i nedostacima, da poduzima mjere za smanjenje rizika i izloženosti podataka i sistema, i da uspostavlja, unapređuje i održava sigurnost sistema sa kojim radi.
1
DNS-Domain Name System
Većina prosječnih korisnika uređaja poput računala, notebooka, tableta, pametnih mobilnih uređaja (engl. smartphone) itd. ne razmišlja niti ima potrebe razmišljati o svim mogućim parametrima koje proizvođači i njihovi inženjeri moraju objediniti i implementirati kako bi ti uređaji bili jednostavni, funkcionalni i kako bi služili svojoj namjeni i korisniku, a ne korisnik njima. Zaista je mnogo parametara da bi proizvod u konačnici obavljao svoj posao, poput hardverske i softverske izvedbe, općenito rečeno, no u ovom članku će fokus biti na djeliću softvera koji nam služi kako bi aplikacije koje koristimo što jednostavnije znale doći do nekog odredišta na globalnoj mreži – Internetu, no i unutar manjih mreža – Intranetu/Ekstranetu.Kao što naslov govori, radi se o DNS (engl. Domain Name System) servisu koji nam to i omogućuje. Svi ga svakodnevno koristimo, možda i ne znajući za njega. Ipak, kako je DNS samo po sebi dosta opširna i kompleksna tema, više ćemo se fokusirati na neke općenite tehničke detalje pristupačne korisnicima, kako bi imali lakše razumijevanje što DNS zapravo za nas radi i kako to radi te kako riješiti neke probleme vezane uz DNS i sl. Naravno, kao što svaki edukativni sustav funkcionira, prije svega mora biti malo teorije da bi razumjeli praksu ;)
DNS je servis koji primarno služi prevođenju odnosno mapiranju alfa-numeričkih naziva u IP adresu računala (engl. Forward Lookup), ali često i obratno (engl. Reverse Lookup). Taj proces nazivamo procesom rezolucije. Kao što vjerojatno znamo, svako računalo na mreži, između ostaloga, ima i jedinstvenu oznaku a to je IP adresa. Postoje dvije vrste IP adresa, one od 4 byte-a (32-bit) – IPv4 i one od 16 byte-ova (128-bit) – IPv6. Suština računalnih algoritama je bazirana na binarnom 1 Kako radi DNS, izvor: http://en.wikibooks.org
2
sustavu brojeva i sve se na kraju svodi na pretvorbu u “jedinice” i “nule” (engl. bit) tako da se ime računala pomoću DNS-a usmjerava na IP adresu računala. Kao primjeruzmimodomenu avalon.hr mapiranunaIP adresu poslužitelja 80.237.232.142 a na kraju to bude zapis od 32 jedinice i nule.Adresiranje računala, odnosno svakog mrežnog uređaja, je opet tema za sebe koju ćemo možda sažeti u nekom od sljedećih blog postova pa zasada nećemo ulaziti u detalje, no bilo je bitno skrenuti pozornost da je čovjeku teško zapamtiti skup nekakvih brojeva decimalne vrijednosti (IPv4) ili čak heksadecimalnih vrijednosti (IPv6) a to nam DNS sustavi olakšavaju lakše pamtljivim nazivima.
Kako i za sve drugo u informatičkoj djelatnosti trebaju postojati stroga pravila i kako se moraju poštivati strogo propisani protokoli i hijerarhija, tako i kod DNS sustava. Postoji krovna organizacija, ICAAN (engl. Internet Corporation for Assigned Names and Numbers), koja je između ostaloga zadužena za koordinaciju i alokaciju segmenata IP adresa, ali i naziva domena. Ta organizacija prema strogim pravilima odlučuje kome će, kako i u kojem omjeru dodijeliti neki naziv.
Organizacije kojima je nazivni entitet dodijeljen od strane ICAAN-a, dalje prema svojim pravilima distribuiraju, odnosno u većini slučajeva prodaju nazive krovnih domena (engl. TLD = Top-Level Domain) koje su im dodijeljene, npr. tzv generičke domene .com, .info, .net, .org ili nacionalne domene (engl. ccTLD = Country Code Top-Level Domain), npr. .hr, .ba, .rs, .it. Korisnici domene registriraju kod takvih organizacija pa te organizacije nazivamo registrarima.
3
Kao što ICAAN na vrhu hijerarhije upravlja logistikom nazivlja, tako (posredstvom operatora) upravlja i tehničkim implementacijama sustava koji nama i našim računalima omogućavaju put do odredišta. Ti sustavi se nazivaju root DNS serveri i svega ih je 13 u cijelome svijetu. No to ne znači da se u svijetu nalazi samo 13 fizičkih servera, već je svaki root DNS servis dizajniran tako da uvijek postoji redundancija u slučaju ispada neke od hardverskih ili softverskih komponenti pojedinog servera.
Iako nevidljivo u nazivu domene, npr. “avalon.hr”, na kraju naziva domene se uvijek nalazi točka, dakle “avalon.hr.” koja označava neki od tih 13 root servera koji uvijek znaju kome je delegiran .hr dio domene, odnosno na kojem DNS serveru se to nalazi, dok .hr DNS server zna gdje se nalazi domena avalon, odnosno na koje računalo (server) je ta domena usmjerena. Naravno, sve to ne bi funkcioniralo da se ne poštuju strogi tehnički propisi protokola koja opet propisuje krovna organizacija za dizajn protokola – IETF (engl. Internet Engineering Task Force) koji su objedinjeni u RFC 1034 memorandumu.
Nakon malo teorije krećemo u opisivanje kako to zapravo na našim računalima funkcionira.
Svako računalo je opremljeno nekom vrstom operativnog sustava čiji je sastavni dio komadić softvera koji omogućuje da bi se proces rezolucije dogodio. Taj softver je zapravo servis (engl. DNS Client) koji koriste aplikacije, npr. Internet preglednik, da 2 Rekurzivni DNS upit za domenu mail.yahoo.com, izvor: http://en.wikibooks.org
4
bi znale pronaći put do odredišta, dakle programer aplikacije to mora omogućiti. Računalo također mora imati mrežnu karticu (engl. Network Interface Card), i svoj pogonski softver (engl. driver) da bi mrežna kartica znala komunicirati sa TCP/IP stackom koji je implementiran unutar operativnog sustava. Dakle, vidimo koliko je to sve skupa povezano i zato se spomenuta pravila u svijetu tehnologije moraju poštivati.
Da bi računalo znalo komunicirati sa udaljenim računalima pomoću imena mora imati zadane DNS servere, kao što je ručno zadano na Slici 1 (primjer Windows okruženja). Parametri za DNS servere ne moraju nužno biti zadani ručno, već mogu biti dodijeljeni automatski putem DHCP protokola (engl. Dynamic Host Configuration Protocol) koji je konfiguriran na našim usmjerivačima (engl. router) ili je isti konfiguriran na lokalnim serverima od strane sistem administratora.
TCP/IPv4 – konfiguracija DNS poslužitelja
Poboljšanje zaštite DNS servera
5
Domain Name Service (DNS) serveri prevode nazive hostova u IP adrese. Ovi servisi omogućavaju prevođenje web naziva, poput www.sybex.com, u IP adresu, kao što je 192.168.1.110.
DNS serveri mogu obavljati svoju funkciju interno, samo za korisnike interne mreže, ali i eksterno radi prevođenja naziva u IP adrese za ostale korisnike. Napadi sa osloncem na DNS servere nisu česti i obično se javljaju u tri oblika:
DNS DoS napad DoS napadi su prvenstveno usmjereni na DNS servere. Cilj napadača je narušavanje funkcioniranja servera, zbog čega i čitav sistem postaje beskoristan. Ažurnost DNS softvera i operativnog sistema predstavlja osnovnu obranu od takvih napada. Na taj način se umanjuje utjecaj DoS napada.
Uzimanje "otisaka prstiju" Uzimanje "otisaka prstiju" (network footprinting) predstavlja proces prikupljanja podataka o mreži radi otkrivanja načina za upad na mrežu. Na taj način se otkrivaju slabosti u mreži i načini za ulazak na nju. DNS serveri sadrže veliku količinu podataka o mreži. Upotrebom jednog od standardnih programa za DNS pregled, kao što je NSLOOKUP napadač može doći do podataka o konfiguraciji mreže-žrtve. DNS podaci obično sadrže informacije o nazivima domena i o poštanskim, web, komercijalnim i drugim ključnim serverima u mreži.
6
Narušavanje integriteta slogova DNS sistemi mogu koristiti samo primarni ili
primarni i sekundarni DNS server. Svaka izmjena na primarnom ili sekundarnom
serveru automatski se prenosi i na ostale provjerene DNS servere. Napadač može
ubaciti lažni slog na DNS server, koji će, umjesto na legitiman sajt, ukazivati na
lokaciju koju je odredio napadač. Zamislite neprilike koje može imati neka
korporacija ukoliko posjetitelji njenog web sajta budu preusmjereni na konkurentsku
firmu ili, još gore, na neki sajt sa porno sadržajem. DNS servere obavezno treba
zaštititi tako da se prije bilo kakve izmjene obavezno izvrši identifikacija korisnika.
Na taj način se sprečava ubacivanje neautoriziranih slogova u DNS servere.
7
FTP-File Transfer Protocol
FTP je skraćenica od engleske riječi File Transfer Protocol, i u prevodu znači protokol za prenos fajlova (datoteka). To je zapravo vrsta usluge kojiom se razmjenu fajlovi između udaljenih kompjutera, na primjer razmjenu fajlova između vašeg računara i našeg servera. FTP nam omogućava da se sa jednog kompjutera prenesu fajlovi na drugi kompjuter i obrnuto.
Na serverima se nalaze fajlovi i programi koje možete prenjeti na svoj kompjuter, takođe možete i kontra, fajlove sa svog računara da prenesete na server. Da bi ste koristili prenos fajlova putem FTP potreban vam je FTP klijent softver kao što je: FileZillla, Total Commander, WinSCP, itd. Jednostavno, na serveru izaberete datoteke koje želite da prenesete kod sebe, a FTP softver će započeti prenos i na kraju prenjeti sve na vaš kompjuter.
Takođe, FTP se koristi i za "upload", tj. slanje fajlova na servere. Na primjer, kada kreirate sopstvene web-stranice, da bi svima bile dostupne, morate ih prenjeti na host-ujući server. Tek nakon toga se vašim stranicama može neometano pristupiti.
8
Da bi ste pristupili serveru serveru i poslali fajlove, potrebna su vam 3 podatka: naziv servera, lozinka (eng. password) i korisničko ime (eng. username). U slučaju da korstite naše hosting usluge ova tri podatke su vam poslana pri aktivaciji vaše usluge.
Ako prenosite stranicu sa vašeg računara na naš server, obavezno obratite pažnju da fajlove smjesite u serveru u folder: public_html/httpdocs (na windows hostingu).
U produžetku imate par linkova sa slikama u vezi toga kako podesite pojedine FTP softvere koje mi preporučujemo za korištenje.
Poboljšanj zaštitte FTP servera
File Transfer Protocol (FTP) serveri nisu predviđeni za aplikacije koje zahtijevaju visok stupanj zaštite, zbog standardnih problema koji prate ovaj protokol. Većina FTP servera dozvoljava kreiranje zasebnih oblasti na bilo kom disku u sistemu. Poželjno je da odredite zaseban disk na sistemu ili da kreirate poseban direktorij koji je namijenjen transferu datoteka. Danas čak postoje i programi koji nam olakšavaju napadanje FTP servera ali takodje i pomažu u stvaranju jačih zaštita te kreiranju komplikovanijih pasvorda:
Key Features and Benefits of FTP Brute Force Attack:
Uses Brute Force Attack and helps in identifying weak usernames & passwords of
FTP Server.
Shows the strength of user authentication credentials which can be broken using
different techniques and helping them to use strong user authentication credentials.
3
3 Preuzeto sa http://www.secure-bytes.com/FTP+Brute+Force+Attacker.php
9
Ukoliko je moguće, poželjno je da FTP aktivnosti obavljate korištenjem virtualne privatne mreže (VPN) ili veze sa Secure Shell (SSH) protokolom. FTP se ne može "pohvaliti" nekom osobino velikom zaštitom, dok veliki broj FTP sistema šalje čak i podatke o nalozima i zaporke u otvorenom obliku preko mreže. FTP je jedna od alatki koju napadači često koriste za eksploataciju sistema, tako da se u ovome djelu nema još mnogo toga navesti o zaštiti.
10
ZAKLJUČAK
Iz gore predočenoga sadržaja možemo da zaključimo da u današnje vrijeme rizik od napada na bilo kakve sisteme koje sadržavaju vrijedne podatke je veliki, tako da i sama zaštita istih mora da bude na visokom nivou te da se održava redovno i uredno uz maksimalan oprez.
11
LITERATURA
1. www.google.ba
2. dl.unvi.edu.ba
3. http://en.wikipedia.org
4. Privatna istraživanja
12