(3-Bezpieczeństwo sieci informatycznych)

Bezpieczeństwo sieci
informatycznych – Środki
techniczne
Dr inż. Małgorzata Langer
EKRAN
Metaliczna przegroda umieszczona pomiędzy
dwoma obszarami przestrzeni, uniemożliwiająca propagację pola elektromagnetycznego
między nimi
Ekran może zatrzymać promieniowanie
wewnątrz ekranowanego obszaru:
Ekran
Brak zewnętrznego
pola
Źródło
zakłóceń
Lub ochronić obszar przed propagacją z zewnątrz
Źródło
zakłóceń
Brak pola
wewnętrznego
Ekran
Pola bliskie i dalekie
• Charakterystyka pola określana jest przez jego
źródło (promiennik, antena), otaczające
medium i odległość między źródłem a
punktem obserwacji
• Im dalej od źródła, tym większe znaczenie ma
rodzaj medium, w którym następuje
propagacja
• Im bliżej – decydujące o wartościach pola jest
źródło
λ/2π - odległość oddzielająca
• Pole bliskie (indukcja)
• Pole dalekie (promieniowanie)
• W pobliżu tej wielkości jest obszar przejściowy
[EMC Eng., H. W. Ott]
Zasada zachowania energii dla
pola elektromagnetycznego
DLA POLA DALEKIEGO PRZYJMUJE SIĘ: (wartość dla
powietrza, taka, jak dla próżni): Z0=120π ~ 377 Ω
Impedancja pola bliskiego
Jeżeli E/H < 377 – w polu bliskim przeważa składowa pola
magnetycznego (źródło o wysokim prądzie i niskim
napięciu)
Jeżeli E/H > 377 - w polu bliskim przeważa składowa pola
elektrycznego (źródło o wysokim napięciu i niskim prądzie)
W polu bliskim składowa „przeważająca” (oddaje energię)
jest tłumiona w stosunku 1/r3 natomiast druga 1/r2
W polu dalekim obie składowe są tłumione w stosunku 1/r
Impedancja falowa
[EMC Eng., H. W. Ott]
Impedancja falowa dla dowolnego
medium
• Jest zależna od
częstotliwości
• Dla izolatorów
konduktywność jest
znikoma (δ<<jωε)
• Dla przewodników (tzw.
Impedancja ekranu)
Przykładowe materiały
• Miedź
• Aluminium
• Stal
• Dowolny przewodnik
Efektywność ekranowania - S
• Rozważamy
zmniejszenie składowej
pola elektrycznego i/lub
magnetycznego
spowodowane ekranem
• Używana jednostka: dB
• S=120 dB oznacza, np.,
zmniejszenie składowej
106 razy
Efektywność ekranowania - S
Na efektywność ekranowania wpływają:
• Rodzaj materiału
• Ciągłość materiału (szczeliny, spawy,
zgrzewania…)
• Apretura
• Kształt
• Wielowarstwowość
• …
Np. przejście kabla całkowicie może
zniwelować efekt ekranowania
Sprzężenia i przesłuchy
a) Przesłuch do
przewodu; b) do ziemi;
c) do ekranu
Przesłuch to zakłócenie
zewnętrzne
przenoszone z
sąsiednich par
przewodów
Intruduction to EMC; C. R. Paul
Przykłady kabli sieciowych
STP – Shielded Twisted Pair
FTP – Foiled Twisted Pair
UTP – Unshielded Twisted Pair
www.eprace.edu.pl]
Ochrona za pomocą urządzeń
bezpieczeństwa typu UTM i USG
• Odpowiedzią na rosnące zagrożenia jest zastosowanie
urządzeń bezpieczeństwa typu USG (ang. Unified Security
Gateway); oraz UTM ( ang. Unified Threat Management)
zawierających między innymi Firewall (zapora ogniowa),
które śledzą ruch z zewnątrz (typowo z Internetu),
zabezpieczają przed atakami typu "Denial of Service" (DoS)
oraz informują administratora o próbie ataku w formie
komunikatu systemowego lub poprzez e-mail.
• Często funkcje Firewall'a są połączone z funkcją routingu
(odpowiedniego przekazywania pakietów między siecią
zewnętrzną np. Internet , a wewnętrzną siecią LAN) oraz
bramy VPN ( Virtual Private Network Gateway)
VPN
• WIRTUALNA – oznacza, że istnieje tylko jako
logiczna struktura, przeznaczona dla danego
właściciela – dzierżawcy złącz (PRYWATNA),
osadzona w rzeczywistej sieci publicznej
• Węzły VPN są przezroczyste dla przesyłanych
pakietów; bezpośrednie logiczne połączenie
pomiędzy klientami końcowymi, działające
podobnie do fizycznego prywatnego połączenia.
• Idealne rozwiązanie do, np. telepracy
Protokoły tunelowania
• Point-To-Point-Tunneling-Protocol (PPTP),
zaproponowany przez Microsoft, używany
z MS Windows, później również z innymi OS
• Można transmitować pakiety TCP/IP przez sieć
innego typu
• PPTP może być używany do łączenia różnych
fizycznych sieci
PPTP – c.d.
• Nie obejmuje autentyfikacji (uwierzytelniania)
i/lub szyfrowania (ale istnieją odmiany
uzupełnione o te mechanizmy)
• PPTP działa w warstwie 2 (Data Link). Może być
użyty z protokołem Microsoft Point to Point
Encryption (MPPE)
• JEST ZAINSTALOWANY w systemie operacyjnym
Windows; (inne wersje) Android (telefony),
również MAC; można go doinstalować do Linuxa
IPsec
• Internet Protocol Security – właściwie zbiór
protokołów do zapoczątkowania i
zastosowania bezpiecznych połączeń oraz
wymiany kluczy szyfrowanych.
• VPN oparty na IPsec składa się przynajmniej
z dwóch kanałów – w jednym standardowym
kanale z protokołem UDP wymiana kluczy oraz
w pozostałych – pakiety danych z ESP
(Encapsulating Security Payload)
IPsec – c.d.
• Oryginalny pakiet IP jest szyfrowany,
kapsułowany (otrzymuje nagłówek IPsec) i
wysyłany do sieci
• Najszybciej działają klucze symetryczne;
najlepiej zabezpiecza kryptografia
asymetryczna
• Dla dystrybucji i uwierzytelniania kluczy
powstał oddzielny protokół IKE (Internet Key
Exchange)
Nagłówek IPsec
• SPI (Security Parameters Index) - wartość stała
dla transmisji w danym tunelu, generowana
losowo podczas tworzenia kanału
• Numer sekwencyjny – losowany i zwiększany o
1 z każdym pakietem
PPTP, c.d.
• Protokół ten nie gwarantuje odpowiedniego
poziomu bezpieczeństwa przesyłanych danych,
był wielokrotnie łamany, zwłaszcza
w podstawowych wersjach
• Również stosowana w MS Windows wersja
L2TP (Layer 2 Tunneling Protocol) nie była
odporna na blokowanie przez niektóre zapory
i programy NAT (Network Address Translation)
Protokół SSL (Secure Sockets Layer)
• SSL to protokół warstwy transportowej
(powyżej warstwy TCP/IP i poniżej warstwy
aplikacji) ISO/OSI, składa się z dwóch części:
handshake protocol - uzgodnienia warunków
transmisji oraz record protocol –zapisów
• Podczas łączenia następuje wymiana referencji
(uwierzytelnienie) i negocjacja parametrów
zabezpieczeń
SSL zapewnia:
• Uwierzytelnienie (weryfikacja serwerów, lub
serwera i klienta na obu końcach
uwierzytelnienia)
• Poufność (szyfrowanie zgodnie z Master
Secret/ shared secret)
• Integralność – niedopuszczenie do zmiany
zawartości komunikatu
Master Secret
• 49-bitowy tajny ciąg kontrolny, zaszyfrowany
publicznym kluczem serwera, używany do
szyfrowania całej późniejszej komunikacji.
• Ale publiczny klucz kryptograficzny może być
użyty do utworzenia „shared secrets”, czyli
transmisji szyfrowanej w sposób znany tylko
dwóm stronom
Integralność w SSL
• Fragment zaszyfrowanych danych zostaje
zabezpieczony „opakowaniem” (ang. wrapper)
• SSL stał się podstawowym protokołem do
aplikacji telepracy, e-commerce, urządzeń
dostępu bezprzewodowego, usług webowych
itp.
Protokół SSTP
• Poczynając od Vista, Microsoft wprowadził
SSTP (Secure Socket Tunneling Protocol)
• Protokół jest oparty na SSL, ale wspiera tylko
tunelowanie
Architektura systemu SSTP na
poziomie protokołów
PPP
• PPP – Point-to-Point-Protocol (metoda
kapsułkowania, Link Control Protocol
zarządzający stanami łącza: otwarcie,
utrzymanie, zamknięcie, maksymalny pakiet,
itd., Network Control Protocols przetwarzające
adresy, maski, listę serwerów DNS)
• W rzeczywistości jest to zbiór ponad 25
protokołów
HTTPS
• HTTPS - HyperText Transfer Protocol Secure szyfrowana wersja protokołu HTTP
• Wpierw następuje wymiana kluczy SSL a później
wywoływany jest HTTP
• HTTP umożliwia np. przeglądanie stron www;
przesyła żądania udostępnienia dokumentów
www, informacje o kliknięciu odnośnika na
stronie, informacje z formularzy
• Nie zachowuje informacji (do tego służą inne
mechanizmy)
GRE
• Protokół GRE - Generic Route Encapsulation .
Pakiet GRE przenosi dane między dwoma
punktami końcowymi tunelu (protokół firmy
Cisco)
• Po ustanowieniu sesji sterowania PPTP
protokół GRE jest używany do zabezpieczonej
hermetyzacji danych lub ładunku
Przykład sprzętu
Bezpieczne usługi