U današnjem globalnom svijetu Interneta vatrozid sustav je postao uistinu ključna tehnologija u borbi za očuvanje sigurnosti na mreži i prva linija obrane protiv napada i prijetnji na mreži. Ipak, s neprestanim rastom Interneta te sve profinjenijim napadima dolazi potreba za sve složenijim dizajnom i održavanjem vatrozid sustava, što za sobom povlači njihovu povećanu ranjivost. Pod napadom ili teškim opterećenjem vatrozid sustav s mnogo sigurnosnih pravila koja nisu optimizirana lako može postati usko grlo. Kako se skup pravila stalno mijenja i raste zbog dinamike mrežnog prometa, tako su i sigurnosna pravila u stalnoj potrebi za nadogradnjom, ugađanjem i ispitivanjem kako bi se optimizirala sigurnost koju pruža vatrozid sustav. Kako ne postoji jedinstveno najbolje riješenje za optimizaciju vatrozid sustava, potrebno je poznavati različite pristupe kako bi se mogao odabrati najprikladniji pristup za danu situaciju.
Dokument daje pregled najčešćih anomalija u sigurnosnim pravilima te tri pristupa optimizaciji vatrozid sustava: optimizacija pomoću rudarenja podataka (eng. Data Mining), na temelju karakteristika mrežnog prometa i putem metode koja koristi usmjerene acikličke grafove (eng. Directed Acyclical Graphs Method).
U posljednjih nekoliko godina sve se više govori o ciljanim računalnim napadima na vlade različitih država i velike kompanije.
Takve napade obično provode dobro organizirane skupine ljudi koje se nazivaju naprednim ustrajnim prijetnjama (eng. Advanced Persistent Threat. APT). Te skupine posjeduju napredna znanja i tehnologije za izvođenje računalnih napada i krađu informacija.
Napadi se izvode kroz dulje vremensko razdoblje i ciljaju na točno određeni subjekt. Napadači su iznimno prilagodljivi, pa tako po potrebi mogu razviti napredne alate za izvođenje napada.
U posljednjih deset godina zabilježeno je više od 50 velikih napada na različite subjekte. APT napadi obično se odvijaju u nekoliko faza.
Napadač koristi određen skup metoda i alata. Te metode i alati uključuju: phishing, drive-by preuzimanje, backdoor servise, RAT alate, alate za izradu zlonamjernih programa i mnoge druge tehnike i alate.Povećanje sigurnosti, razine otpornosti i sprječavanje APT napada moguće je izvesti pridržavajući se nekih osnovnih sigurnosnih mjera. Ponekad je moguće otkriti mrežne aktivnosti povezane s udaljenim upravljanjem, te ih analizom odlaznog prometa omesti ili onemogućiti. U budućnosti se mogu očekivati novi napadi, ali i povećanje broja programskih paketa specijaliziranih za zaštitu od takve vrste napada.Važno je poduzeti sve moguće osnovne mjere zaštite u svrhu sprječavanja APT napada..
Napad prisluškivanjem mrežnog prometa omogućava napadačima prikupljanje informacija za daljnje napade koji mogu rezultirati i potpunim preuzimanjem nadzora nad sustavom.
Najčešći propusti koje napadači iskorištavaju su oni u protokolu ARP (eng.Address Resolution Protocol) i DNS (eng. Domain Name System). Ovi napadi se zovu ARP, odnosno DNS trovanje jer se temelje na umetanju lažnih informacija u privremene ARP i DNS tablice.
Ovisno o tome koje podatke napadač umetne, moguće je prisluškivanje prometa, ali i izvođenje DoS (eng. Denial of Service) ili MITM (eng. man in the middle) napada. U dokumentu je objašnjen rad protokola ARP i DNS-a, načini izvođenja napada trovanjem ARP i DNS tablica te oblici zaštite od ovih napada.
Internet se jako brzo razvija i svakim danom postoji sve više tehnologija i različitih alata. Razvojem Interneta pojavljuju se i različiti pokušaji neovlaštenog upada u mrežu, kao i zlonamjernog iskorištavanja osobnih/poslovnih podataka pohranjenim u informacijskim sustaviama. Zlonamjerni alati pokušavaju iskoristiti sigurnosne propuste u sustavima.
Prije više od deset godina počeli su se intenzivno razvijati sustavi za detekciju upada (IDS). Ova tehnologija omogućuje detektiranje upada u sustav tako da ili analizira promet i uspoređuje ga s potpisima koji se nalaze u bazi podataka, ili uočava nepravilnosti u paketima. Snort IDS je alat koji je u svom početku bio zamišljen kao „slušač“ mrežnog prometa, a danas je zbog toga što je pisan kao program otvorenog koda, postao neizostavan element u sigurnosti mreža. U budućnosti će se težiti razvoju alata koji mogu, uz otkrivanje, i spriječiti upade u sustav (IPS) te alata koji objedinjavaju više tehnologija zaštite.
Računalni kriminal postao je unosan posao, a preuzimanje nadzora nad tuđim računalom, odnosno stvaranje cijelih mreža takvih „otetih“ računala, poznatijih kao botnet, je potencijalno najunosniji vid takvog kriminala. Motivi za preuzimanje nadzora nad cijelim mrežama računala, odnosno izvođenju napada sa tih mreža na druge računalne sustave nekad nisu samo financijske prirode. Sve češći su i napadi okarakterizirani kao teroristički napadi, a zabilježeni su i napadi pokrenuti sa botnet mreže na neku tvrtku čisto iz osvete.
U ovom dokumentu biti će više riječi o botnet mrežama, koje su poznate još i pod imenom „vojska zombija“ (eng. zombie army), načinu na koji rade i najčešće svrhe za koje se koriste, te vjerojatnim smjerovima razvoja same arhitekture takvih mreža.
Posljednje sigurnosne preporuke