(3-Bezpieczeństwo sieci informatycznych)
Transkrypt
(3-Bezpieczeństwo sieci informatycznych)
Bezpieczeństwo sieci informatycznych – Środki techniczne Dr inż. Małgorzata Langer EKRAN Metaliczna przegroda umieszczona pomiędzy dwoma obszarami przestrzeni, uniemożliwiająca propagację pola elektromagnetycznego między nimi Ekran może zatrzymać promieniowanie wewnątrz ekranowanego obszaru: Ekran Brak zewnętrznego pola Źródło zakłóceń Lub ochronić obszar przed propagacją z zewnątrz Źródło zakłóceń Brak pola wewnętrznego Ekran Pola bliskie i dalekie • Charakterystyka pola określana jest przez jego źródło (promiennik, antena), otaczające medium i odległość między źródłem a punktem obserwacji • Im dalej od źródła, tym większe znaczenie ma rodzaj medium, w którym następuje propagacja • Im bliżej – decydujące o wartościach pola jest źródło λ/2π - odległość oddzielająca • Pole bliskie (indukcja) • Pole dalekie (promieniowanie) • W pobliżu tej wielkości jest obszar przejściowy [EMC Eng., H. W. Ott] Zasada zachowania energii dla pola elektromagnetycznego DLA POLA DALEKIEGO PRZYJMUJE SIĘ: (wartość dla powietrza, taka, jak dla próżni): Z0=120π ~ 377 Ω Impedancja pola bliskiego Jeżeli E/H < 377 – w polu bliskim przeważa składowa pola magnetycznego (źródło o wysokim prądzie i niskim napięciu) Jeżeli E/H > 377 - w polu bliskim przeważa składowa pola elektrycznego (źródło o wysokim napięciu i niskim prądzie) W polu bliskim składowa „przeważająca” (oddaje energię) jest tłumiona w stosunku 1/r3 natomiast druga 1/r2 W polu dalekim obie składowe są tłumione w stosunku 1/r Impedancja falowa [EMC Eng., H. W. Ott] Impedancja falowa dla dowolnego medium • Jest zależna od częstotliwości • Dla izolatorów konduktywność jest znikoma (δ<<jωε) • Dla przewodników (tzw. Impedancja ekranu) Przykładowe materiały • Miedź • Aluminium • Stal • Dowolny przewodnik Efektywność ekranowania - S • Rozważamy zmniejszenie składowej pola elektrycznego i/lub magnetycznego spowodowane ekranem • Używana jednostka: dB • S=120 dB oznacza, np., zmniejszenie składowej 106 razy Efektywność ekranowania - S Na efektywność ekranowania wpływają: • Rodzaj materiału • Ciągłość materiału (szczeliny, spawy, zgrzewania…) • Apretura • Kształt • Wielowarstwowość • … Np. przejście kabla całkowicie może zniwelować efekt ekranowania Sprzężenia i przesłuchy a) Przesłuch do przewodu; b) do ziemi; c) do ekranu Przesłuch to zakłócenie zewnętrzne przenoszone z sąsiednich par przewodów Intruduction to EMC; C. R. Paul Przykłady kabli sieciowych STP – Shielded Twisted Pair FTP – Foiled Twisted Pair UTP – Unshielded Twisted Pair www.eprace.edu.pl] Ochrona za pomocą urządzeń bezpieczeństwa typu UTM i USG • Odpowiedzią na rosnące zagrożenia jest zastosowanie urządzeń bezpieczeństwa typu USG (ang. Unified Security Gateway); oraz UTM ( ang. Unified Threat Management) zawierających między innymi Firewall (zapora ogniowa), które śledzą ruch z zewnątrz (typowo z Internetu), zabezpieczają przed atakami typu "Denial of Service" (DoS) oraz informują administratora o próbie ataku w formie komunikatu systemowego lub poprzez e-mail. • Często funkcje Firewall'a są połączone z funkcją routingu (odpowiedniego przekazywania pakietów między siecią zewnętrzną np. Internet , a wewnętrzną siecią LAN) oraz bramy VPN ( Virtual Private Network Gateway) VPN • WIRTUALNA – oznacza, że istnieje tylko jako logiczna struktura, przeznaczona dla danego właściciela – dzierżawcy złącz (PRYWATNA), osadzona w rzeczywistej sieci publicznej • Węzły VPN są przezroczyste dla przesyłanych pakietów; bezpośrednie logiczne połączenie pomiędzy klientami końcowymi, działające podobnie do fizycznego prywatnego połączenia. • Idealne rozwiązanie do, np. telepracy Protokoły tunelowania • Point-To-Point-Tunneling-Protocol (PPTP), zaproponowany przez Microsoft, używany z MS Windows, później również z innymi OS • Można transmitować pakiety TCP/IP przez sieć innego typu • PPTP może być używany do łączenia różnych fizycznych sieci PPTP – c.d. • Nie obejmuje autentyfikacji (uwierzytelniania) i/lub szyfrowania (ale istnieją odmiany uzupełnione o te mechanizmy) • PPTP działa w warstwie 2 (Data Link). Może być użyty z protokołem Microsoft Point to Point Encryption (MPPE) • JEST ZAINSTALOWANY w systemie operacyjnym Windows; (inne wersje) Android (telefony), również MAC; można go doinstalować do Linuxa IPsec • Internet Protocol Security – właściwie zbiór protokołów do zapoczątkowania i zastosowania bezpiecznych połączeń oraz wymiany kluczy szyfrowanych. • VPN oparty na IPsec składa się przynajmniej z dwóch kanałów – w jednym standardowym kanale z protokołem UDP wymiana kluczy oraz w pozostałych – pakiety danych z ESP (Encapsulating Security Payload) IPsec – c.d. • Oryginalny pakiet IP jest szyfrowany, kapsułowany (otrzymuje nagłówek IPsec) i wysyłany do sieci • Najszybciej działają klucze symetryczne; najlepiej zabezpiecza kryptografia asymetryczna • Dla dystrybucji i uwierzytelniania kluczy powstał oddzielny protokół IKE (Internet Key Exchange) Nagłówek IPsec • SPI (Security Parameters Index) - wartość stała dla transmisji w danym tunelu, generowana losowo podczas tworzenia kanału • Numer sekwencyjny – losowany i zwiększany o 1 z każdym pakietem PPTP, c.d. • Protokół ten nie gwarantuje odpowiedniego poziomu bezpieczeństwa przesyłanych danych, był wielokrotnie łamany, zwłaszcza w podstawowych wersjach • Również stosowana w MS Windows wersja L2TP (Layer 2 Tunneling Protocol) nie była odporna na blokowanie przez niektóre zapory i programy NAT (Network Address Translation) Protokół SSL (Secure Sockets Layer) • SSL to protokół warstwy transportowej (powyżej warstwy TCP/IP i poniżej warstwy aplikacji) ISO/OSI, składa się z dwóch części: handshake protocol - uzgodnienia warunków transmisji oraz record protocol –zapisów • Podczas łączenia następuje wymiana referencji (uwierzytelnienie) i negocjacja parametrów zabezpieczeń SSL zapewnia: • Uwierzytelnienie (weryfikacja serwerów, lub serwera i klienta na obu końcach uwierzytelnienia) • Poufność (szyfrowanie zgodnie z Master Secret/ shared secret) • Integralność – niedopuszczenie do zmiany zawartości komunikatu Master Secret • 49-bitowy tajny ciąg kontrolny, zaszyfrowany publicznym kluczem serwera, używany do szyfrowania całej późniejszej komunikacji. • Ale publiczny klucz kryptograficzny może być użyty do utworzenia „shared secrets”, czyli transmisji szyfrowanej w sposób znany tylko dwóm stronom Integralność w SSL • Fragment zaszyfrowanych danych zostaje zabezpieczony „opakowaniem” (ang. wrapper) • SSL stał się podstawowym protokołem do aplikacji telepracy, e-commerce, urządzeń dostępu bezprzewodowego, usług webowych itp. Protokół SSTP • Poczynając od Vista, Microsoft wprowadził SSTP (Secure Socket Tunneling Protocol) • Protokół jest oparty na SSL, ale wspiera tylko tunelowanie Architektura systemu SSTP na poziomie protokołów PPP • PPP – Point-to-Point-Protocol (metoda kapsułkowania, Link Control Protocol zarządzający stanami łącza: otwarcie, utrzymanie, zamknięcie, maksymalny pakiet, itd., Network Control Protocols przetwarzające adresy, maski, listę serwerów DNS) • W rzeczywistości jest to zbiór ponad 25 protokołów HTTPS • HTTPS - HyperText Transfer Protocol Secure szyfrowana wersja protokołu HTTP • Wpierw następuje wymiana kluczy SSL a później wywoływany jest HTTP • HTTP umożliwia np. przeglądanie stron www; przesyła żądania udostępnienia dokumentów www, informacje o kliknięciu odnośnika na stronie, informacje z formularzy • Nie zachowuje informacji (do tego służą inne mechanizmy) GRE • Protokół GRE - Generic Route Encapsulation . Pakiet GRE przenosi dane między dwoma punktami końcowymi tunelu (protokół firmy Cisco) • Po ustanowieniu sesji sterowania PPTP protokół GRE jest używany do zabezpieczonej hermetyzacji danych lub ładunku Przykład sprzętu Bezpieczne usługi