Razlika između inačica stranice Dokumentacija Sigurnost

Izvor: HrOpenWiki
Skoči na: orijentacija, traži
 
Nije prikazano 17 međuinačica istog suradnika
Redak 1: Redak 1:
== UVOD ==
+
= UVOD =
 
+
 
+
 
U današnje vrijeme kada broj Windows virusa prešao 1 000 000 (milijun),  
 
U današnje vrijeme kada broj Windows virusa prešao 1 000 000 (milijun),  
 
a internet sam za sebe postaje sve nesigurniji i nesigurniji, postavlja se pitanje koliko je zapravo sigurno naše računalo na kojem se vrti Linux, koja god da mu distribucija. Kada govorimo o sigurnosti moramo prihvatiti jednu neizbježnu činjenicu, a to je da je 100% sigurno računalo iznimno teško postići. Konkretno primjer Sigurnog Računala (tm) je ono koje zadovoljava slijedeće uvjete:
 
a internet sam za sebe postaje sve nesigurniji i nesigurniji, postavlja se pitanje koliko je zapravo sigurno naše računalo na kojem se vrti Linux, koja god da mu distribucija. Kada govorimo o sigurnosti moramo prihvatiti jednu neizbježnu činjenicu, a to je da je 100% sigurno računalo iznimno teško postići. Konkretno primjer Sigurnog Računala (tm) je ono koje zadovoljava slijedeće uvjete:
  
1. Nije spojeno na internet.
+
#Nije spojeno na internet.
 
+
#Nitko ga ne koristi.
2. Nitko ga ne koristi.
+
#Zaključano je u sefu sa lokotom.
 
+
#U sobi su tri gladna dobermana.
3. Zaključano je u sefu sa lokotom.
+
 
+
4. U sobi su tri gladna dobermana.
+
  
 
Znači, zaključujemo da nema sigurnog računala, niti se 100% sigurnost može postići. Svatko tko tvrdi drugačije leže kao Sanader. Konkretno, sigurnost je inverzno proporcionalna jednostavnosti korištenja bilo kojeg operacijskog sustava. U grubo, sigurnosne rizike možemo postaviti u tri bitne skupine (koje se često isprepliću):
 
Znači, zaključujemo da nema sigurnog računala, niti se 100% sigurnost može postići. Svatko tko tvrdi drugačije leže kao Sanader. Konkretno, sigurnost je inverzno proporcionalna jednostavnosti korištenja bilo kojeg operacijskog sustava. U grubo, sigurnosne rizike možemo postaviti u tri bitne skupine (koje se često isprepliću):
  
1. Problemi koji vrebaju sa interneta.
+
#Problemi koji vrebaju sa interneta.
 
+
#Problemi vezani za programe koji su instalirani.
2. Problemi vezani za programe koji su instalirani.
+
#Ljudski faktor
 
+
3. Ljudski faktor
+
  
 
Treća stavka je ona najopasnija. Razlog tome je da ljudi žele imati računalo podešeno što jednostavnijem korištenju, ali to znači da je sigurnosna razina izrazito nisko. Vrijedi i obrat po kontrapoziciji: što je sigurnost veća to je teže koristiti računalo.
 
Treća stavka je ona najopasnija. Razlog tome je da ljudi žele imati računalo podešeno što jednostavnijem korištenju, ali to znači da je sigurnosna razina izrazito nisko. Vrijedi i obrat po kontrapoziciji: što je sigurnost veća to je teže koristiti računalo.
Redak 26: Redak 19:
  
  
== ZAŠTO SE BRINUTI O SIGURNOSTI SVOG RAČUNALA? ==
+
= ZAŠTO SE BRINUTI O SIGURNOSTI SVOG RAČUNALA? =
 
+
 
+
 
Vjerojatno se pitate zašto bi uopće osigurali svoje računalo?  Pa vi nemate ništa što bi itko htio! Ovo nije istina. Vi imate računalo spojeno na internet što može pretvoriti vaše računalo u zombija ili proxy. Ovo prvo znači da će vaše računalo biti jedno od mnogih koje će se iskoristiti u napadu na neku web stranicu, primjerice neke vladine agencije ili firme ili portala u smislu prevencije rada istih. U drugom slučaju, da vaše računalo postane proxy, znači da vaš PC služi kao neizravna metoda napada neke treće osobe.  
 
Vjerojatno se pitate zašto bi uopće osigurali svoje računalo?  Pa vi nemate ništa što bi itko htio! Ovo nije istina. Vi imate računalo spojeno na internet što može pretvoriti vaše računalo u zombija ili proxy. Ovo prvo znači da će vaše računalo biti jedno od mnogih koje će se iskoristiti u napadu na neku web stranicu, primjerice neke vladine agencije ili firme ili portala u smislu prevencije rada istih. U drugom slučaju, da vaše računalo postane proxy, znači da vaš PC služi kao neizravna metoda napada neke treće osobe.  
  
Redak 41: Redak 32:
 
Rješenje sigurnosnog problema: enkripcija diska, šifra na BIOS.  
 
Rješenje sigurnosnog problema: enkripcija diska, šifra na BIOS.  
  
 +
== UPUTE i SMJERNICE ==
  
 +
NAJBITNIJA ČETIRI SAVJETA
  
  
== UPUTE i SMJERNICE ==
+
#Koristite firewall na routeru od DSL-a i Linuxov iptables bazirani firewall (Firestarter ili guarddog)'''
 +
#Koristete enkripciju diska ili barem enkripciju važnih podataka. Pornjava nije važan podatak.'''
 +
#Koristite neki od MLS/MAC sustava: SElinux, TOMOYO ili apparmor.'''
 +
#Redoviti automatizirani backup'''
  
 +
= Savjeti za sigurnosne postavke  =
  
  
 +
'''Kompletna enkripcija diska je obavezatna stvar.''' Ovo štiti vaše računalo od ljudi koji imaju fizički pristup.  Ovo nije pretjeran savjet, kao što gornja priča ilustrira.
 +
Uvijek imajte sve sigurnosne zakrpe instalirane na računalu. Linux je hvala bogu besplatan sustav i nema izlike. Također se sigurnosne zakrpe lagano instaliraju (1 klik). Nema izlike.
 +
Nikada, ali nikada ne raditi kao root korisnik. Uvijek koristite
 +
klasični UNIX ograničeni korisnik. To osigurava da potencijalni malware neće moć naškoditi sustavu. Za root potrebe koristite sudo ili su.
  
  NAJBITNIJA ČETIRI SAVJETA
+
'''Obavezno radite sigurnosnu pohranu svih podataka (backup).''' Stavljajte sve na USB stick ili eksterni disk, NE na DVD/CD. DVD/CD je optička tehnologija koja se pokazala kao neadekvatna za backup je već nakon godine dana postoji visoka vjerojatnost da podatci neće biti čitljivi.
 +
Backup mediji MORA biti enkriptiran i držan pod ključem!
 +
Backup je najbolji ako je automatiziran jer ljudskoj ljenosti nema kraja. Dedicirani disk/USB stick i CRON job koji svakih nekoliko dana radi novi backup (znači ne prepisuje preko starog, već stvara kompletno novu kopiju) koji bi najzgodnije bilo raditi preko "delta" baziranog kopiranja.
 +
Pogledajte program koji se zove rsync i backup alate bazirane na njemu.
  
 +
Kod stvaranja šifre za mail, kućno računalo ,... niti u ludilu nakon tuluma, nadrogiran i udaren u glavu nakon šake lexaurina ne koristiti šifre tipa: ja, datum rođenja, ime ljubimaca, imena djece, žene, ljubavnice, ljubavnika, cure, ili bilo koje normalne riječi iz bilo kojeg jezika.
  
'''1)  Koristite firewall na routeru od DSL-a i Linuxov iptables bazirani firewall'''
+
Šifre su nasumični niz znakova, slova i brojeva uključujući. Nemojte koristiti specijalne znakove tipa “!(%$?!.
  
'''2)  Koristete enkripciju diska ili barem enkripciju važnih podataka. Pornjava nije važan podatak.'''  
+
*'''Primjer dobre šifre:''' G9erZd45Ql
  
'''3)  Koristite neki od MLS/MAC sustava: SElinux, TOMOYO ili apparmor.'''
+
*'''Primjer loše šifre:''' quantum ili anita ili đuro.
  
'''4)  Redoviti automatizirani backup'''
+
'''Dobra šifra se može napraviti i lako zapamtiti:'''
  
  
 +
[[Mrci7yo      ======      My rusty car is 7 years old]]
  
 +
[[2emBp1ib    =====        2 elephants make BAD pets, 1 is better]]
  
== Lokalno računalo ==
+
Nemojte davati ekstra prava na mape (foldere) kada nije potrebno imati ta prava. Konkretno, osigurajte da niti jedan korisnik ne može pogledati niti jedan drugi folder u /home osim vlastitog. Znači, ako je korisnik shrike, postoji datoteka /home/shrike i korisnik kao takav mora imati samo pravo vidjeti sadržaj tog foldera, ne i foldee drugih korisnika unutar /home direktorija. Pročitajte manual od chmod i chown programa. (U terminal ukucaj "man chmod" i "man chown" bez navodnika)
  
  
Kompletna enkripcija diska je obavezatna stvar. Ovo štiti vaše računalo od ljudi koji imaju fizički pristup.  Ovo nije pretjeran savjet, kao što gornja priča ilustrira.
+
= Savjeti za internet sigurnost =
Uvijek imajte sve sigurnosne zakrpe instalirane na računalu. Linux je hvala bogu besplatan sustav i nema izlike. Također se sigurnosne zakrpe lagano instaliraju (1 klik). Nema izlike.
+
Nikada, ali nikada ne raditi kao root korisnik. Uvijek koristite
+
klasični UNIX ograničeni korisnik. To osigurava da potencijalni malware neće moć naškoditi sustavu. Za root potrebe koristite sudo ili su.
+
  
Obavezno radite sigurnosnu pohranu svih podataka (backup). Stavljajte sve na USB stick ili eksterni disk, NE na DVD/CD.  DVD/CD je optička tehnologija koja se pokazala kao neadekvatna za backup je već nakon godine dana postoji visoka vjerojatnost da podatci neće biti čitljivi.
 
Backup mediji MORA biti enkriptiran i držan pod ključem!
 
Backup je najbolji ako je automatiziran jer ljudskoj ljenosti nema kraja. Dedicirani disk/USB stick i CRON job koji svakih nekoliko dana radi novi backup (znači ne prepisuje preko starog, već stvara kompletno novu kopiju) koji bi najzgodnije bilo raditi preko "delta" baziranog kopiranja.
 
Pogledajte program koji se zove rsync i backup alate bazirane na njemu.
 
  
Kod stvaranja šifre za mail, kućno računalo ,... niti u ludilu nakon tuluma, nadrogiran i udaren u glavu nakon šake lexaurina ne koristiti šifre tipa: ja, datum rođenja, ime ljubimaca, imena djece, žene, ljubavnice, ljubavnika, cure, ili bilo koje normalne riječi iz bilo kojeg jezika. Šifre su nasumični niz znakova, slova i brojeva uključujući. Nemojte koristiti specijalne znakove tipa “!(%$?!.
+
*'''Uvijek koristite firewall.''' Guarddog za KDE ili Firestarter za GNOME
Primjer dobre šifre: G9erZd45Ql Primjer loše šifre: quantum ili anita ili đuro.
+
su odlični izbori. Konfiguracija bi trebala biti takva  da se drži "stealth" način rada i onemogući sve što se ne koristi. Paziti na portove od telnet-a, http(s). ftp i ssh.  
Dobra šifra se može napraviti i lako zapamtiti:
+
Mrci7yo        ======      My rusty car is 7 years old
+
2emBp1ib    =====        2 elephants make BAD pets, 1 is better
+
  
Nemojte davati ekstra prava na mape (foldere) kada nije potrebno imati ta prava. Konkretno, osigurajte da niti jedan korisnik ne može pogledati niti jedan drugi folder u /home osim vlastitog. Znači, ako je korisnik shrike, postoji datoteka /home/shrike i korisnik kao takav mora imati samo pravo vidjeti sadržaj tog foldera, ne i foldee drugih korisnika unutar /home direktorija. Pročitajte manual od chmod i chown programa. (U terminal ukucaj "man chmod" i "man chown" bez navodnika)
+
*'''Koristiti OpenWall i Bastille.''' To su alati koji podešavaju sustav da radi sigurnije. Više o njima u ostatku teksta. 
 +
Ukoliko koristite neki bankovni software, tipa paypal ili plaćanje
 +
preko interneta, stvorite zasebnog korisnika na sistemu i pokrečite preglednik kao taj korisnik (gksu). Taj browser i taj korisnik moraju biti najparanoidnije podešeni. Nikakvi pop-upovi, nikakva java, kodovi, ... Sve isključeno. Bez flasha. Korisnik ne smije biti u mogućnosti pisati nigdje izvan svog home foldera. Nikakva prava na DVD/CD printere, ... Samo internet.
 +
Nikada ne odajte svoje podatke na mailu ili bilo gdje preko interneta. Nema tih "miljona" i udovica kojima treba neki depozit. Sve službene osobe sa svih stranica i servisa nemaju potrebe znati vaš mail i šifru ili šifru vašeg računa na njihovoj stranici. Oni imaju administratorski (root) pristup i mogu do svega.
 +
Iako ova tema nije direktno povezana s Linuxom, od velike važnosti je svakom Linux korisniku, a tiče se zaštite vaše bežične mreže. U današnje vrijeme možemo reći kako je bežični pristup vašem kućnom routeru postao učestalije rješenje od povezivanja mrežnim kabelom. Prvenstveno iz razloga mobilnosti i komocije koju ne može pružiti spajanje putem žice. Ali, bežični pristup otvara i velike probleme po pitanju sigurnosti i moguće krađe vašeg internet prometa.
 +
Začudili biste se koliko je malo ljudi svjesno loše ili nikakve zaštite njihove bežične (wireless) mreže, dok današnji routeri nude vrlo kvalitetnu zaštitu od neovlaštenog upada u vaš privatni mrežni prostor, samo je treba znati pravilno upotrijebiti.
 +
Iz ovih i drugih razloga (napisima po kojekakvim drugim forumima gdje se vrlo otvoreno razgovara i daju upute kako probiti nečiju bežičnu mrežu) ponukan sam malo rasvijetliti ovo područje običnim korisnicima koji su zapravo i najčešća meta ovakve zloupotrebe.
 +
Pa, krenimo redom:
 +
==1. Kako zapravo radi bežična komunikacija ==
 +
Da ne kompliciram cijelu temu, pokušati ću ovo jednostavno i slikovito objasniti. Dakle, kompletna komunikacija između računala na interentu (putem tzv. TCP/IP protokola) odvija se u razmjeni paketića informacija između računala. Paketići putuju raznim putevima (kako ih već usmjeravaju routeri-usmjerivači) dok ne dođu do vašeg računala i tu se slažu u cjelovitu poruku. Ova metoda naziva se još i packet switching, mogli bi je i nazvati izmjena paketa informacija. E sad, dok ti paketići informacija putuju putem žice od npr. vašeg kućnog routera do vašeg računala nitko sa strane ih ne može prisluškivati i na taj način slagati kompletnu sliku o informaciji koja se prenosi.
 +
S druge pak strane, bežična komunikacija ima domet prisluškivanja vaših paketića od 50, pa čak i do 300-tinjak metara u krugu vašeg routera. Naravno, ovo ovisi o barijerama na koje nalete radio valovi iz routera, pa o samoj snazi kojom router odašilje ove radio valove. Uglavnom, vaše susjedstvo i ulica može vrlo jednostavno saznati za postojanje vaše router stanice u kući. Paketići koji lete između vašeg routera i vašeg računala vrlo jednostavno mogu biti prisluškivani od trećih osoba.
 +
Toga možete biti svjesni onog trenutka kada ste na računalu otvorili vaš upravitelj mrežama i uvidjeli određen broj routerskih stanica ispisanih na listi mreža. Isto tako se i vaša stanica prikazuje u listi mreža nekih drugih računala, a to obično zaboravljamo!
 +
I sada, u slučaju da nemamo postavljenu nikakvu zaštitu, vrlo jednostavno se može upasti u vašu mrežu. Dovoljno je da netko iz susjedstva na svom računalu klikne na vašu rutersku stanicu iz popisa susjednih stanica koje računalo vidi i automatski se je povezao sa vašim routerom. To konkretno znači da je on od tog trenutka postao punopravnim članom vaše kućne mreže i da za daljni izlaz na internet koristi vaš router i troši vaš internet promet. Ako imate ugovoren flat promet (neograničen promet) sa vašim internet davateljem onda to i nije tako strašno, no on može sjesti na vaš promet (bandwith), nedozvoljavajući punu brzinu pristupa internetu koju bi inače trebali imati. Također može izvršiti i upad u neko od vaši kućnih računala, kao i u sam router te napraviti i znatno veću štetu nego što je krađa samog internet prometa.
 +
Baš iz ovih razloga trebali bi i morali zaštititi vašu kućnu bežičnu mrežu od neovlaštenog korištenja.
 +
==2. Osnovni vidovi zaštite==
 +
Postoji nekoliko osnovnih vidova zaštite bežične mreže koji ne obuhvaćaju kriptiranje paketa informacija između routera i vašeg računala, a mogu biti od velike koristi:
 +
===2.1. Sakrivanje imena vašeg routera (SSID-a) ===
 +
Velika večina routera ima mogućnost sakrivanja imena stanice (SSID – ServiceSetID). Na ovaj način okolno selo neće moći pristupiti vašem routeru bez da mu ne zna ime. Uostalom, kada zadajete ime routera nemojte se baš predstaviti. Ime postavite što neutralnije, kako okolina ne bi mogla iz njega zaključiti čijoj kućnoj mreži pripada.
 +
opcija za isključivanje obično nosi naziv Broadcast Network Name (SSID) (objava mrežnog imena). Isključite je! Ali imajte na umu da će te prilikom spajanja novog računala u kućnu mrežu morati ručno unijeti ime vašeg routera jer isto neće biti objavljeno na listi.
 +
===2.2. Zabrana automatske registracije novog računala u mrežu===
 +
I ova metoda može biti od velike koristi u zaštiti vaše mreže. Istom se naime, onemogućava da novo računalo (npr. računalo nepoznate osobe) bude automatski  prihvaćeno u vašu kućnu mrežu, nego se čeka potvrda onoga tko ima administratorski pristup vašem routeru (dakle, vas). Ova zaštita doduše radi na principu provjere tzv. MAC (Media Access Control) adrese koja bi trebala biti unikatna za svaki hardverski uređaj, no ista se može promijeniti pomoću softverskog alata, pa se računalo potencijalnog napadača može prijaviti sa vašom MAC adresom koju je ukrao osluškujući izmjenu paketića između vašeg računala i routera.
 +
opcije za podešavanje ove kontrole nazivaju se i Access Control List (ACL) opcije pa ih kao takve pronađite u postavkama vašeg routera.
 +
===2.3. Statička dodjela adresa vašim računalima u kućnoj mreži===
 +
U većini slučajeva, routeri su podešeni da automatski dodjeljuju IP  adrese računalima spojenim na njega. To znatno olakšava manje iskusnim korisnicima spajanje na bežičnu mrežu, ali i otvara sigurnosnu rupu. Za dodjelu tih adresa zadužen je tzv. DHCP (Dynamic Host Configuration Protocol) servis na vašem routeru. Isključivanjem DHCP opcije i ručnom, statičkom dodjelom IP adresa vašim računalima još je jedan od dobrih vidova osnovne zaštite bežične mreže. Osim isključivanja DHCP-a, dobro je i ograničiti skup mogućih IP adresa na minimum, kako potencijalni napadač ne bi mogao pristupiti routeru preko neiskorištene IP adrese. Za postavljane ovih opcija, treba imati malo više znanja oko dodjele i rada sa IP adresama.
 +
opcije za podešavanje nalaze se obično pod IP adresnom upravljanju
 +
===2.4. Zaporka za pristup routeru===
 +
Svakako postavite kvalitetnu zaporku za pristup routeru. O kvalitetnim zaporkama možete pročitati u daljnjem tekstu.
 +
==3. Napredni vidovi zaštite==
 +
Pod napredne vidove zaštite spadaju određeni sistemi kriptiranja paketa informacija koji putuju od vašeg routera do računala unutar njegove mreže. To u osnovi radi ovako:
 +
Na router se postavi određena lozinka, te se istovjetna postavi i na računala koja imaju ovlašteni pristup routeru. Router prilikom slanja paketa informacije isti kriptira na temelju zadanog ključa – lozinke. Računalo, prilikom preuzimanja paketa s routera isti dekriptira temeljem iste te lozinke i dalje ga upotrebljava pri slaganju kompletne informacije. Ako neovlašteno računalo uhvati takav paket s njime ne može ništa jer su informacije u njemu besmislene dok ih se ne dekriptira. Kako to računalo ne zna ključ za dekriptiranje, u teoriji s njime ne može ništa. Praksa je malo drugačija, ali uz pažljivu upotrebu ovog sistema nedostaci se lako uklone.
 +
Dva su osnovna sustava kriptiranja paketa – WEP i WPA/WPA2.
 +
===3.1 WEP zaštita===
 +
Svi kućni routeri podržavaju ovu metodu zaštite lozinkom. WEP (Wired Equivalent Privacy) ili Privatnost kao putem žice, na žalost uopće ne stoji. Ovaj sustav zaštite vrlo je brzo probijen i zlonamjernicima ne treba ništa drugo do par slobodnih alata, malo osluškivanja vaših paketa informacija i s lakoćom upadaju u vašu mrežu bez da znaju lozinku postavljenu na routeru. Upravo iz ovih razloga strogo preporučam da se ovaj vid zaštite izbjegava u širokom luku! WEP zaštita daje zapravo samo osnovni vid zaštite, kako baš neuka okolina ne bi imala pristup vašoj mreži.
 +
===3.2 WPA/WPA2-PSK zaštita===
 +
Upravo iz gore navedenih razloga razvijen je novi algoritam zaštite putem kriptiranja paketa informacija nazvan WPA (Wi-Fi Protected Access). WPA2 predstavlja samo još dorađeniji WPA algoritam, pa ako vam router i računala podržavaju ovaj vid zaštite, svakako ga podesite. PSK je oznaka načina autentifikacije, pa u prijevodu znači PreShared Key, odnosno Prethodno Podijeljeni Ključ. Ključ je lozinka koja se postavlja na router i sva računala koja imaju ovlašteni pristup mreži. Ključ – lozinka može biti duljine od 8 do 63 znaka, odnosno kao 64 heksadecimalni niz. Ovo je ujedno i jedina najslabija karika u sustavu zaštite. Naime, ako se korsiti mali broj znakova ili se koriste poznate riječi kao lozinka ili njeni dijelovi, onda potencijalni napadač može vrlo brzo doći do iste putem tzv. dictionary attack i brute-force metode. Ova metoda napada sastoji se u korištenju posebnih rječnika (dictionary-a) koji imaju u sebi veliki broj pojmova koji se često koriste kao lozinke. Ako napad putem riječi iz ovakvog rječnika ne uspije onda se pokušava sistemom isprobavanja svih znakova u kombinaciji sa jednim, dva, pa tri znaka itd. Ali, tu leži i kvaka za napadača, jer broj kombinacija nemilice raste sa svakim novim znakom. Pa već sa lozinkama duljim od 6 znakova napadač zapada u probleme s vremenom i gotovo sigurno odustaje od daljnjih pokušaja napada. Pogotovo zato jer vi sigurno niste jedina dohvatljiva mreža u njegovoj okolici.
 +
===3.3 Kako složiti stvarno dobru lozinku===
 +
U prethodnom poglavlju uvidjeli smo da korištenjem WPA/WPA2-PSK zaštite i dobro postavljenom lozinkom možemo biti i više nego sigurni od neovlaštenog upada. Ostaje, dakle pitanje kvalitete lozinke. Po osobnom iskustvu znam da ljudi ne znaju dobro odrediti lozinku, pa su to obično imena kojekakvih kućnih ljubimaca, imena uže, šire i preširoke familije. Pa brojevi rođendana, godišnjica, te kombinacije pojmova i riječi koje se, gotovo sigurno nalaze u gore pomenutim rječnicima za razbijanje zaštite.
 +
Jedino i ispravno rješenje za dobru šifru jesu generatori za proizvodnju visoko entropijskih lozinki. Jedan takav generator jest i GRC’s Ultra High Security
 +
Password Generator. Lozinku koju generira ovaj sustav slobodno možete sa sigurnošću postaviti na svoj router i računala u mreži i to u cijeloj njenoj duljini (dakle 63 znaka, ili kao 64-bitni heksadecimalni niz) i biti mirni od neovlaštenih upada. Ovaj sustav nikada ne generira dvije istovjetne lozinke, tako da je svaki proizvedeni niz unikatan i samo vaš!
 +
Naravno, sada samo o vama ovisi kome će te dati ovu lozinku, jer ako ista dođe do napadača, ništa vam neće koristiti. Zato, budite pažljivi sa podjelom lozinke korisnicima i povremeno je promijenite putem ovog generatora.
 +
==4. Da zaključimo ==
 +
Jedino WPA/WPA2-PSK zaštita sa dobro generiranom lozinkom može vam dati zaista kvalitetno riješenje sigurnosti vaše bežične mreže. Naravno, možete ju koristiti uz sve one osnovne vidove zaštite prikazane u poglavlju 2.
 +
Zato, nedajte se krasti i čuvajte svoje podatke uz korištenje ovih naputaka.
 +
 
 +
 
 +
= Multi Level Security =
 +
 
 +
 +
Zanimati će vas SElinux, apparmor i TOMOYO. SElinux je stvoren od strane NSA (National Security Agency) i predstavlja metodu osiguranja računala dostatnu za vojsku, CIA-u i slične organizacije.
 +
 
 +
Apparmor i TOMOYO su jednostavnije verzije Mandatory Access Control osiguranja. Konkretno ova tri sustava rade tako da stave dodatne restrikcije na programe koji se izvršavaju na računalu. Štos je u tome da se većina expolita programa (recimo Firefox) svodi na to da se program sa sigurnosnom rupom natjera da napravi nešto što uopće ne treba raditi ili mu nije svrha. MAC sustavi zapravo ograničavaju programe da rade takve stvari i dozvoljavaju samo ono što trebaju moć raditi. Konkretno, ukoliko je, recimo, TOMOYO dobro konfiguriran, nema veze što se pojavio exploit koji daje root ovlasti preko firefoxa. TOMOYO neće dozvoliti takve radnje jer nije potrebno Firefoxu koristiti naredbe tipa "su" ili igrati se sa sistemskim fajlovima.
 +
 
 +
SElinux, apparmor i TOMOYO se nalaze u kernelu. Ukoliko imate Fedoru imat će te i grafičko sučelje za SElinux te vam preporučam da ga konfigurirate. U ostalim slučajevima preporučam TOMOYO.
 +
 
 +
[[SVAKAKO INSTALIRAJTE I KONFIGURIRAJTE JEDAN OD OVIH ALATA.]]
 +
 
 +
 
 +
= ROOTKIT =
 +
 
 +
 
 +
Rootkit je program koji između ostaloga omogućava kontinuirani privilegirani pristup računalu na način da je ta informacija sakrivena administratorima. Ovo se omogućuje zaobilaženjem i iskrivljavanjem sigurnosnog modela na OS-u.
 +
Rootkit se instalira NAKON što se dobiju administratorske ovlasti i služi tome da se održi takva situacija i manipulira računalom BEZ znanja pravog administratora i/ili vlasnika računala. Rootkit može poslužiti i kao metoda  skrivanja drugog malwarea. Detekcija i micanje rootkit programa je često ekstremno teška i komplicirana jer rootkit-ovi mogu lagano modificirati programe koji služe za detekciju rootkita. Najbolji pristup traženju rootkita je taj da se skeniranje provede preko liveCD-a i da se drži log o modifikacijama kritičnih sistemskih datoteka.
 +
 
 +
 
 +
= Programi za ojačavanje sigurnosti =
 +
 
 +
*'''guarddog''' - KDE/qt firewall sa naprednim opcijama i filterima. Preporuke naprednijim korisnicima.
 +
*'''firestarter''' - GNOME/GTK++ firewall koji ima skrominiji set opcija, ali je zato lakše za koristiti.
 +
*'''bastille''' - aplikacija koja ojačava Linux sigurnost tako da zaustavlja nepotrebne servise ili mijenja njihove konfiguracije. Bastille sve radi interaktivno pa će te znati točno što se napravilo i malo se educirati.
 +
*'''tripwire''' - Tripwire je program koji stvara bazu podataka o instaliranim sistemskim datotekama i programima. Baza su zapravo kriptografski potpisi datoteka i ostali opisi. Kada se program pokrene, on napravi inicijalnu bazu i uspoređuje ju svaki idući put sa trenutnim stanjem. Ovime se postiže uvid u sve promjene na sustavu, te se može brže i lakše uvidjeti koje su promjene nastale. Ovo je iznimno korisno kod infekcija, namjernog mijenjanja sigurnosnih postavka (od nekog tko ima fizički pristup računalu ili sa mreže) ili čak moguće drugih grešaka na sustavu. Ovo je svakako program o kojem treba razmisliti.
 +
*'''snort''' - Snort je program za mrežnu analizu (Intrusion Detection System). On provjerava promet te traži tipične napade na IP razini ili preko programa. Traži sve neobične događaje i konkretne tipične situacije u sumnjivim okolnostima. Ovaj program je super zgodan za DSL računala. Lagano se konfigurira i koristi.Sposoban je primjetiti nmap analize, netBIOS zahtjeve, CGI napade i ostalo.
 +
*'''chkrootkit''' - provjerava da li postoji rootkit na računalu
 +
*'''GnuPG''' - Program za sigurnu komunikaciju i pohranjivanje. Ima dvije svrhe, prva je enkripcija podataka a druga je digitalno potpisivanje. Podržava DSA, RSA, Elgamal, AES (sa 128, 192, i 256 bitni ključevi), 3DES, Blowfish, CAST5, Twofish, MD5, RIPEMD/160, SHA-1, SHA-256, SHA-384, and SHA-512.
 +
*'''nessus''' - Program koji služi za traženje sigurnosnih rupa koje se trebaju popraviti. Sa ovime možete provjeriti da li ste napravil idobar posao u osiguravanju vašeg kućnog računala (nekima i ljubimca).
 +
 
 +
= Dodatne informacije =
 +
 
 +
Originalni dokument iz kojeg je ovo kopirano (od istog autora):
 +
[[Mediji:Linux sigurnost.pdf]]

Trenutačna izmjena od 15:37, 2. svibnja 2011.

UVOD

U današnje vrijeme kada broj Windows virusa prešao 1 000 000 (milijun), a internet sam za sebe postaje sve nesigurniji i nesigurniji, postavlja se pitanje koliko je zapravo sigurno naše računalo na kojem se vrti Linux, koja god da mu distribucija. Kada govorimo o sigurnosti moramo prihvatiti jednu neizbježnu činjenicu, a to je da je 100% sigurno računalo iznimno teško postići. Konkretno primjer Sigurnog Računala (tm) je ono koje zadovoljava slijedeće uvjete:

  1. Nije spojeno na internet.
  2. Nitko ga ne koristi.
  3. Zaključano je u sefu sa lokotom.
  4. U sobi su tri gladna dobermana.

Znači, zaključujemo da nema sigurnog računala, niti se 100% sigurnost može postići. Svatko tko tvrdi drugačije leže kao Sanader. Konkretno, sigurnost je inverzno proporcionalna jednostavnosti korištenja bilo kojeg operacijskog sustava. U grubo, sigurnosne rizike možemo postaviti u tri bitne skupine (koje se često isprepliću):

  1. Problemi koji vrebaju sa interneta.
  2. Problemi vezani za programe koji su instalirani.
  3. Ljudski faktor

Treća stavka je ona najopasnija. Razlog tome je da ljudi žele imati računalo podešeno što jednostavnijem korištenju, ali to znači da je sigurnosna razina izrazito nisko. Vrijedi i obrat po kontrapoziciji: što je sigurnost veća to je teže koristiti računalo. Pristup sigurnosti kojem se mora težiti je: Sigurnosna razina mora biti prilagođena realnoj potrebi. Ovaj tekst je edukativne prirode i ima eksplorativni pristup toj istoj edukaciji. To znači da neke stvari poput točnog postupka konfiguriranja programa i korištenja raznih tehnologija namjerno nisu opisani kako bi čitaoc sam otišao na internet (www.google.com) i proučio ono što je potrebno. Razlog zašto smatram ovo superiornim je taj što se sigurnosti računala ne može pristupiti na način da se u10 minuta pročita članak sa vikipedije i dodatno smatram da svatko tko čeka da mu netko drugi riješi problem ima preveliki ego i zaslužuje sve što mu se desi.


ZAŠTO SE BRINUTI O SIGURNOSTI SVOG RAČUNALA?

Vjerojatno se pitate zašto bi uopće osigurali svoje računalo? Pa vi nemate ništa što bi itko htio! Ovo nije istina. Vi imate računalo spojeno na internet što može pretvoriti vaše računalo u zombija ili proxy. Ovo prvo znači da će vaše računalo biti jedno od mnogih koje će se iskoristiti u napadu na neku web stranicu, primjerice neke vladine agencije ili firme ili portala u smislu prevencije rada istih. U drugom slučaju, da vaše računalo postane proxy, znači da vaš PC služi kao neizravna metoda napada neke treće osobe.

Primjerice, neka maliciozna osoba može preuzeti vaše računalo, a time i vaš identitet preko IP adrese te napasti neku metu po želji, sa time da će svi tragovi voditi do vas. Znači da napad na neku banku i puno ukradenih novaca ili održavanje pedofilske stranice mogu biti direktno povezani sa vama. Bi li rekli policiji onda: "Ja nemam ništa što drugi žele!".

Postoji još jedna situacija u kojoj je kritično imati sigurno računalo. U slučaju poslovnog računala ili računala u nekoj firmi vi imate povjerljive podatke. Ne smijete dopustiti da vam netko trivijalno jednostavno uzme sve poslovne podatke i planove. Evo konkretnog primjera kako sam preuzeo kontrolu nad linux i windows računalom u slučaju fizičkog pristupa. Riječ je o Windows 7 i Ubuntu OS-ovima. Oba OS-a su imali samo jednog korisnika sa limitiranim pristupom računalu preko kojeg se više osoba logira. Nitko nema mogućnosti ikakvih promjena u sustavu ili instalaciju programa.

Linux: restartam računalo i tokom GRUB boot logina pritišćem e i na kraju "linux" linije dodajem riječ "single". Ovo za posljedicu ima da me računalo direktno prebacilo u root shell account bez zahtjeva šifre (dobio sam administratorski pristup). Sada mogu dati bilo kakve ovlasti standardnom računu preko kojeg se logiram, dodati druge korisnike ili bilo što što želim. Rješenje sigurnosnog problema: enkripcija diska, šifra na BIOS i GRUB šifra.

Windows: Bootam računalo sa Linux live CD-a i instaliram program chntpw. Montiram Windows particiju i preko chntpw programa mijenjam ovlasti korisnika po želji iz "Limited account" u "Administrator". Restartam računalo u Windows i radim što želim bez ograničenja. Rješenje sigurnosnog problema: enkripcija diska, šifra na BIOS.

UPUTE i SMJERNICE

NAJBITNIJA ČETIRI SAVJETA 


  1. Koristite firewall na routeru od DSL-a i Linuxov iptables bazirani firewall (Firestarter ili guarddog)
  2. Koristete enkripciju diska ili barem enkripciju važnih podataka. Pornjava nije važan podatak.
  3. Koristite neki od MLS/MAC sustava: SElinux, TOMOYO ili apparmor.
  4. Redoviti automatizirani backup

Savjeti za sigurnosne postavke

Kompletna enkripcija diska je obavezatna stvar. Ovo štiti vaše računalo od ljudi koji imaju fizički pristup. Ovo nije pretjeran savjet, kao što gornja priča ilustrira. Uvijek imajte sve sigurnosne zakrpe instalirane na računalu. Linux je hvala bogu besplatan sustav i nema izlike. Također se sigurnosne zakrpe lagano instaliraju (1 klik). Nema izlike. Nikada, ali nikada ne raditi kao root korisnik. Uvijek koristite klasični UNIX ograničeni korisnik. To osigurava da potencijalni malware neće moć naškoditi sustavu. Za root potrebe koristite sudo ili su.

Obavezno radite sigurnosnu pohranu svih podataka (backup). Stavljajte sve na USB stick ili eksterni disk, NE na DVD/CD. DVD/CD je optička tehnologija koja se pokazala kao neadekvatna za backup je već nakon godine dana postoji visoka vjerojatnost da podatci neće biti čitljivi. Backup mediji MORA biti enkriptiran i držan pod ključem! Backup je najbolji ako je automatiziran jer ljudskoj ljenosti nema kraja. Dedicirani disk/USB stick i CRON job koji svakih nekoliko dana radi novi backup (znači ne prepisuje preko starog, već stvara kompletno novu kopiju) koji bi najzgodnije bilo raditi preko "delta" baziranog kopiranja. Pogledajte program koji se zove rsync i backup alate bazirane na njemu.

Kod stvaranja šifre za mail, kućno računalo ,... niti u ludilu nakon tuluma, nadrogiran i udaren u glavu nakon šake lexaurina ne koristiti šifre tipa: ja, datum rođenja, ime ljubimaca, imena djece, žene, ljubavnice, ljubavnika, cure, ili bilo koje normalne riječi iz bilo kojeg jezika.

Šifre su nasumični niz znakova, slova i brojeva uključujući. Nemojte koristiti specijalne znakove tipa “!(%$?!.

  • Primjer dobre šifre: G9erZd45Ql
  • Primjer loše šifre: quantum ili anita ili đuro.

Dobra šifra se može napraviti i lako zapamtiti:


Mrci7yo ====== My rusty car is 7 years old

2emBp1ib ===== 2 elephants make BAD pets, 1 is better

Nemojte davati ekstra prava na mape (foldere) kada nije potrebno imati ta prava. Konkretno, osigurajte da niti jedan korisnik ne može pogledati niti jedan drugi folder u /home osim vlastitog. Znači, ako je korisnik shrike, postoji datoteka /home/shrike i korisnik kao takav mora imati samo pravo vidjeti sadržaj tog foldera, ne i foldee drugih korisnika unutar /home direktorija. Pročitajte manual od chmod i chown programa. (U terminal ukucaj "man chmod" i "man chown" bez navodnika)


Savjeti za internet sigurnost

  • Uvijek koristite firewall. Guarddog za KDE ili Firestarter za GNOME

su odlični izbori. Konfiguracija bi trebala biti takva da se drži "stealth" način rada i onemogući sve što se ne koristi. Paziti na portove od telnet-a, http(s). ftp i ssh.

  • Koristiti OpenWall i Bastille. To su alati koji podešavaju sustav da radi sigurnije. Više o njima u ostatku teksta.

Ukoliko koristite neki bankovni software, tipa paypal ili plaćanje preko interneta, stvorite zasebnog korisnika na sistemu i pokrečite preglednik kao taj korisnik (gksu). Taj browser i taj korisnik moraju biti najparanoidnije podešeni. Nikakvi pop-upovi, nikakva java, kodovi, ... Sve isključeno. Bez flasha. Korisnik ne smije biti u mogućnosti pisati nigdje izvan svog home foldera. Nikakva prava na DVD/CD printere, ... Samo internet. Nikada ne odajte svoje podatke na mailu ili bilo gdje preko interneta. Nema tih "miljona" i udovica kojima treba neki depozit. Sve službene osobe sa svih stranica i servisa nemaju potrebe znati vaš mail i šifru ili šifru vašeg računa na njihovoj stranici. Oni imaju administratorski (root) pristup i mogu do svega. Iako ova tema nije direktno povezana s Linuxom, od velike važnosti je svakom Linux korisniku, a tiče se zaštite vaše bežične mreže. U današnje vrijeme možemo reći kako je bežični pristup vašem kućnom routeru postao učestalije rješenje od povezivanja mrežnim kabelom. Prvenstveno iz razloga mobilnosti i komocije koju ne može pružiti spajanje putem žice. Ali, bežični pristup otvara i velike probleme po pitanju sigurnosti i moguće krađe vašeg internet prometa. Začudili biste se koliko je malo ljudi svjesno loše ili nikakve zaštite njihove bežične (wireless) mreže, dok današnji routeri nude vrlo kvalitetnu zaštitu od neovlaštenog upada u vaš privatni mrežni prostor, samo je treba znati pravilno upotrijebiti. Iz ovih i drugih razloga (napisima po kojekakvim drugim forumima gdje se vrlo otvoreno razgovara i daju upute kako probiti nečiju bežičnu mrežu) ponukan sam malo rasvijetliti ovo područje običnim korisnicima koji su zapravo i najčešća meta ovakve zloupotrebe. Pa, krenimo redom:

1. Kako zapravo radi bežična komunikacija

Da ne kompliciram cijelu temu, pokušati ću ovo jednostavno i slikovito objasniti. Dakle, kompletna komunikacija između računala na interentu (putem tzv. TCP/IP protokola) odvija se u razmjeni paketića informacija između računala. Paketići putuju raznim putevima (kako ih već usmjeravaju routeri-usmjerivači) dok ne dođu do vašeg računala i tu se slažu u cjelovitu poruku. Ova metoda naziva se još i packet switching, mogli bi je i nazvati izmjena paketa informacija. E sad, dok ti paketići informacija putuju putem žice od npr. vašeg kućnog routera do vašeg računala nitko sa strane ih ne može prisluškivati i na taj način slagati kompletnu sliku o informaciji koja se prenosi. S druge pak strane, bežična komunikacija ima domet prisluškivanja vaših paketića od 50, pa čak i do 300-tinjak metara u krugu vašeg routera. Naravno, ovo ovisi o barijerama na koje nalete radio valovi iz routera, pa o samoj snazi kojom router odašilje ove radio valove. Uglavnom, vaše susjedstvo i ulica može vrlo jednostavno saznati za postojanje vaše router stanice u kući. Paketići koji lete između vašeg routera i vašeg računala vrlo jednostavno mogu biti prisluškivani od trećih osoba. Toga možete biti svjesni onog trenutka kada ste na računalu otvorili vaš upravitelj mrežama i uvidjeli određen broj routerskih stanica ispisanih na listi mreža. Isto tako se i vaša stanica prikazuje u listi mreža nekih drugih računala, a to obično zaboravljamo! I sada, u slučaju da nemamo postavljenu nikakvu zaštitu, vrlo jednostavno se može upasti u vašu mrežu. Dovoljno je da netko iz susjedstva na svom računalu klikne na vašu rutersku stanicu iz popisa susjednih stanica koje računalo vidi i automatski se je povezao sa vašim routerom. To konkretno znači da je on od tog trenutka postao punopravnim članom vaše kućne mreže i da za daljni izlaz na internet koristi vaš router i troši vaš internet promet. Ako imate ugovoren flat promet (neograničen promet) sa vašim internet davateljem onda to i nije tako strašno, no on može sjesti na vaš promet (bandwith), nedozvoljavajući punu brzinu pristupa internetu koju bi inače trebali imati. Također može izvršiti i upad u neko od vaši kućnih računala, kao i u sam router te napraviti i znatno veću štetu nego što je krađa samog internet prometa. Baš iz ovih razloga trebali bi i morali zaštititi vašu kućnu bežičnu mrežu od neovlaštenog korištenja.

2. Osnovni vidovi zaštite

Postoji nekoliko osnovnih vidova zaštite bežične mreže koji ne obuhvaćaju kriptiranje paketa informacija između routera i vašeg računala, a mogu biti od velike koristi:

2.1. Sakrivanje imena vašeg routera (SSID-a)

Velika večina routera ima mogućnost sakrivanja imena stanice (SSID – ServiceSetID). Na ovaj način okolno selo neće moći pristupiti vašem routeru bez da mu ne zna ime. Uostalom, kada zadajete ime routera nemojte se baš predstaviti. Ime postavite što neutralnije, kako okolina ne bi mogla iz njega zaključiti čijoj kućnoj mreži pripada. opcija za isključivanje obično nosi naziv Broadcast Network Name (SSID) (objava mrežnog imena). Isključite je! Ali imajte na umu da će te prilikom spajanja novog računala u kućnu mrežu morati ručno unijeti ime vašeg routera jer isto neće biti objavljeno na listi.

2.2. Zabrana automatske registracije novog računala u mrežu

I ova metoda može biti od velike koristi u zaštiti vaše mreže. Istom se naime, onemogućava da novo računalo (npr. računalo nepoznate osobe) bude automatski prihvaćeno u vašu kućnu mrežu, nego se čeka potvrda onoga tko ima administratorski pristup vašem routeru (dakle, vas). Ova zaštita doduše radi na principu provjere tzv. MAC (Media Access Control) adrese koja bi trebala biti unikatna za svaki hardverski uređaj, no ista se može promijeniti pomoću softverskog alata, pa se računalo potencijalnog napadača može prijaviti sa vašom MAC adresom koju je ukrao osluškujući izmjenu paketića između vašeg računala i routera. opcije za podešavanje ove kontrole nazivaju se i Access Control List (ACL) opcije pa ih kao takve pronađite u postavkama vašeg routera.

2.3. Statička dodjela adresa vašim računalima u kućnoj mreži

U većini slučajeva, routeri su podešeni da automatski dodjeljuju IP adrese računalima spojenim na njega. To znatno olakšava manje iskusnim korisnicima spajanje na bežičnu mrežu, ali i otvara sigurnosnu rupu. Za dodjelu tih adresa zadužen je tzv. DHCP (Dynamic Host Configuration Protocol) servis na vašem routeru. Isključivanjem DHCP opcije i ručnom, statičkom dodjelom IP adresa vašim računalima još je jedan od dobrih vidova osnovne zaštite bežične mreže. Osim isključivanja DHCP-a, dobro je i ograničiti skup mogućih IP adresa na minimum, kako potencijalni napadač ne bi mogao pristupiti routeru preko neiskorištene IP adrese. Za postavljane ovih opcija, treba imati malo više znanja oko dodjele i rada sa IP adresama. opcije za podešavanje nalaze se obično pod IP adresnom upravljanju

2.4. Zaporka za pristup routeru

Svakako postavite kvalitetnu zaporku za pristup routeru. O kvalitetnim zaporkama možete pročitati u daljnjem tekstu.

3. Napredni vidovi zaštite

Pod napredne vidove zaštite spadaju određeni sistemi kriptiranja paketa informacija koji putuju od vašeg routera do računala unutar njegove mreže. To u osnovi radi ovako: Na router se postavi određena lozinka, te se istovjetna postavi i na računala koja imaju ovlašteni pristup routeru. Router prilikom slanja paketa informacije isti kriptira na temelju zadanog ključa – lozinke. Računalo, prilikom preuzimanja paketa s routera isti dekriptira temeljem iste te lozinke i dalje ga upotrebljava pri slaganju kompletne informacije. Ako neovlašteno računalo uhvati takav paket s njime ne može ništa jer su informacije u njemu besmislene dok ih se ne dekriptira. Kako to računalo ne zna ključ za dekriptiranje, u teoriji s njime ne može ništa. Praksa je malo drugačija, ali uz pažljivu upotrebu ovog sistema nedostaci se lako uklone. Dva su osnovna sustava kriptiranja paketa – WEP i WPA/WPA2.

3.1 WEP zaštita

Svi kućni routeri podržavaju ovu metodu zaštite lozinkom. WEP (Wired Equivalent Privacy) ili Privatnost kao putem žice, na žalost uopće ne stoji. Ovaj sustav zaštite vrlo je brzo probijen i zlonamjernicima ne treba ništa drugo do par slobodnih alata, malo osluškivanja vaših paketa informacija i s lakoćom upadaju u vašu mrežu bez da znaju lozinku postavljenu na routeru. Upravo iz ovih razloga strogo preporučam da se ovaj vid zaštite izbjegava u širokom luku! WEP zaštita daje zapravo samo osnovni vid zaštite, kako baš neuka okolina ne bi imala pristup vašoj mreži.

3.2 WPA/WPA2-PSK zaštita

Upravo iz gore navedenih razloga razvijen je novi algoritam zaštite putem kriptiranja paketa informacija nazvan WPA (Wi-Fi Protected Access). WPA2 predstavlja samo još dorađeniji WPA algoritam, pa ako vam router i računala podržavaju ovaj vid zaštite, svakako ga podesite. PSK je oznaka načina autentifikacije, pa u prijevodu znači PreShared Key, odnosno Prethodno Podijeljeni Ključ. Ključ je lozinka koja se postavlja na router i sva računala koja imaju ovlašteni pristup mreži. Ključ – lozinka može biti duljine od 8 do 63 znaka, odnosno kao 64 heksadecimalni niz. Ovo je ujedno i jedina najslabija karika u sustavu zaštite. Naime, ako se korsiti mali broj znakova ili se koriste poznate riječi kao lozinka ili njeni dijelovi, onda potencijalni napadač može vrlo brzo doći do iste putem tzv. dictionary attack i brute-force metode. Ova metoda napada sastoji se u korištenju posebnih rječnika (dictionary-a) koji imaju u sebi veliki broj pojmova koji se često koriste kao lozinke. Ako napad putem riječi iz ovakvog rječnika ne uspije onda se pokušava sistemom isprobavanja svih znakova u kombinaciji sa jednim, dva, pa tri znaka itd. Ali, tu leži i kvaka za napadača, jer broj kombinacija nemilice raste sa svakim novim znakom. Pa već sa lozinkama duljim od 6 znakova napadač zapada u probleme s vremenom i gotovo sigurno odustaje od daljnjih pokušaja napada. Pogotovo zato jer vi sigurno niste jedina dohvatljiva mreža u njegovoj okolici.

3.3 Kako složiti stvarno dobru lozinku

U prethodnom poglavlju uvidjeli smo da korištenjem WPA/WPA2-PSK zaštite i dobro postavljenom lozinkom možemo biti i više nego sigurni od neovlaštenog upada. Ostaje, dakle pitanje kvalitete lozinke. Po osobnom iskustvu znam da ljudi ne znaju dobro odrediti lozinku, pa su to obično imena kojekakvih kućnih ljubimaca, imena uže, šire i preširoke familije. Pa brojevi rođendana, godišnjica, te kombinacije pojmova i riječi koje se, gotovo sigurno nalaze u gore pomenutim rječnicima za razbijanje zaštite. Jedino i ispravno rješenje za dobru šifru jesu generatori za proizvodnju visoko entropijskih lozinki. Jedan takav generator jest i GRC’s Ultra High Security Password Generator. Lozinku koju generira ovaj sustav slobodno možete sa sigurnošću postaviti na svoj router i računala u mreži i to u cijeloj njenoj duljini (dakle 63 znaka, ili kao 64-bitni heksadecimalni niz) i biti mirni od neovlaštenih upada. Ovaj sustav nikada ne generira dvije istovjetne lozinke, tako da je svaki proizvedeni niz unikatan i samo vaš! Naravno, sada samo o vama ovisi kome će te dati ovu lozinku, jer ako ista dođe do napadača, ništa vam neće koristiti. Zato, budite pažljivi sa podjelom lozinke korisnicima i povremeno je promijenite putem ovog generatora.

4. Da zaključimo

Jedino WPA/WPA2-PSK zaštita sa dobro generiranom lozinkom može vam dati zaista kvalitetno riješenje sigurnosti vaše bežične mreže. Naravno, možete ju koristiti uz sve one osnovne vidove zaštite prikazane u poglavlju 2. Zato, nedajte se krasti i čuvajte svoje podatke uz korištenje ovih naputaka.


Multi Level Security

Zanimati će vas SElinux, apparmor i TOMOYO. SElinux je stvoren od strane NSA (National Security Agency) i predstavlja metodu osiguranja računala dostatnu za vojsku, CIA-u i slične organizacije.

Apparmor i TOMOYO su jednostavnije verzije Mandatory Access Control osiguranja. Konkretno ova tri sustava rade tako da stave dodatne restrikcije na programe koji se izvršavaju na računalu. Štos je u tome da se većina expolita programa (recimo Firefox) svodi na to da se program sa sigurnosnom rupom natjera da napravi nešto što uopće ne treba raditi ili mu nije svrha. MAC sustavi zapravo ograničavaju programe da rade takve stvari i dozvoljavaju samo ono što trebaju moć raditi. Konkretno, ukoliko je, recimo, TOMOYO dobro konfiguriran, nema veze što se pojavio exploit koji daje root ovlasti preko firefoxa. TOMOYO neće dozvoliti takve radnje jer nije potrebno Firefoxu koristiti naredbe tipa "su" ili igrati se sa sistemskim fajlovima.

SElinux, apparmor i TOMOYO se nalaze u kernelu. Ukoliko imate Fedoru imat će te i grafičko sučelje za SElinux te vam preporučam da ga konfigurirate. U ostalim slučajevima preporučam TOMOYO.

SVAKAKO INSTALIRAJTE I KONFIGURIRAJTE JEDAN OD OVIH ALATA.


ROOTKIT

Rootkit je program koji između ostaloga omogućava kontinuirani privilegirani pristup računalu na način da je ta informacija sakrivena administratorima. Ovo se omogućuje zaobilaženjem i iskrivljavanjem sigurnosnog modela na OS-u. Rootkit se instalira NAKON što se dobiju administratorske ovlasti i služi tome da se održi takva situacija i manipulira računalom BEZ znanja pravog administratora i/ili vlasnika računala. Rootkit može poslužiti i kao metoda skrivanja drugog malwarea. Detekcija i micanje rootkit programa je često ekstremno teška i komplicirana jer rootkit-ovi mogu lagano modificirati programe koji služe za detekciju rootkita. Najbolji pristup traženju rootkita je taj da se skeniranje provede preko liveCD-a i da se drži log o modifikacijama kritičnih sistemskih datoteka.


Programi za ojačavanje sigurnosti

  • guarddog - KDE/qt firewall sa naprednim opcijama i filterima. Preporuke naprednijim korisnicima.
  • firestarter - GNOME/GTK++ firewall koji ima skrominiji set opcija, ali je zato lakše za koristiti.
  • bastille - aplikacija koja ojačava Linux sigurnost tako da zaustavlja nepotrebne servise ili mijenja njihove konfiguracije. Bastille sve radi interaktivno pa će te znati točno što se napravilo i malo se educirati.
  • tripwire - Tripwire je program koji stvara bazu podataka o instaliranim sistemskim datotekama i programima. Baza su zapravo kriptografski potpisi datoteka i ostali opisi. Kada se program pokrene, on napravi inicijalnu bazu i uspoređuje ju svaki idući put sa trenutnim stanjem. Ovime se postiže uvid u sve promjene na sustavu, te se može brže i lakše uvidjeti koje su promjene nastale. Ovo je iznimno korisno kod infekcija, namjernog mijenjanja sigurnosnih postavka (od nekog tko ima fizički pristup računalu ili sa mreže) ili čak moguće drugih grešaka na sustavu. Ovo je svakako program o kojem treba razmisliti.
  • snort - Snort je program za mrežnu analizu (Intrusion Detection System). On provjerava promet te traži tipične napade na IP razini ili preko programa. Traži sve neobične događaje i konkretne tipične situacije u sumnjivim okolnostima. Ovaj program je super zgodan za DSL računala. Lagano se konfigurira i koristi.Sposoban je primjetiti nmap analize, netBIOS zahtjeve, CGI napade i ostalo.
  • chkrootkit - provjerava da li postoji rootkit na računalu
  • GnuPG - Program za sigurnu komunikaciju i pohranjivanje. Ima dvije svrhe, prva je enkripcija podataka a druga je digitalno potpisivanje. Podržava DSA, RSA, Elgamal, AES (sa 128, 192, i 256 bitni ključevi), 3DES, Blowfish, CAST5, Twofish, MD5, RIPEMD/160, SHA-1, SHA-256, SHA-384, and SHA-512.
  • nessus - Program koji služi za traženje sigurnosnih rupa koje se trebaju popraviti. Sa ovime možete provjeriti da li ste napravil idobar posao u osiguravanju vašeg kućnog računala (nekima i ljubimca).

Dodatne informacije

Originalni dokument iz kojeg je ovo kopirano (od istog autora):

Mediji:Linux sigurnost.pdf