siti budeme rozumet soustavu nekolika vypocetnich systemu, uzivatele pristupuji k siti prostrednictvim nektereho z techto systemu
v teto prednasce su budeme zabyvat pouze bezpecnostni politikou, ne jeji implementaci
zdroje bezpecnostnich obtizi:
sifrovani lze provadet mezi dvema uzly site, nebo mezi dvema aplikacemi bezicimi na techto uzlech
data jsou sifrovana tesne pred vstupem do komunikacniho media, desifrovana ihned po prichodu na druhy pocitac
toto sifrovani probiha na urovni fyzicke pripadne linkove vrstvy referencniho modelu
vyhodou je, ze tento mechanismus je pro uzivatele transparentni a muze byt i velmi rychly, navic je snadno pripojitelny k stavajicim zarizenim
je zcela nevhodny pokud nejsme schopni ovlivnit, kudy budou data prenasena
poskytuje kryptografickou ochranu po celou dobu prenosu
toto sifrovani probiha priblizne na urovni aplikacni nebo prezentacni vrstvy referencniho modelu
toto sifrovani vsak jiz nebyva transparentni a ma-li byt ucinne, musi byt vhodne zakomponovano do celeho systemu
dalsi vyhodou je, ze neni nutno sifrovat veskerou komunikaci, ale pouze citliva data
na rozdil od sifrovani linky je schopno
zajistit autentizaci a integritu
nekdy jsou pouzivany obe zminene
metody zaroven - sifrovani linky
za ucele bezne preventivni
ochrany dat a End-to End sifrovani k docileni
skutecne kvalitni ochrany senzitivnich
dat
se zavedenim sifrovani souvisi nutnost existence mechanismu distribuce a spravy nezbytnych sifrovacich klicu, potrebnych centralnich autorit pro zajisteni provozu systemu kryptograficke ochrany, vhodnych kryptografickych zarizeni zajistujicich zakladni funkce kryptograficke ochrany
v pripade siti pristupuji k obvyklym problemum kontroly pristupu jeste nasledujici okruhy
pred mechanismus autentizace uzivatele lze predradit jeste ochranu vlastniho komunikacniho portu
metoda vhodna pro komutovane (dial-up) spoje
Pote, co je navazano spojeni a uzivatel se identifikuje, system ukonci spojeni, v internich tabulkach zjisti adresu (tfn. cislo) daneho uzivatele a pokusi se o navazani spojeni na tuto adresu.
Timto zpusobem je zajisteno, ze pristup je mozny pouze z omezeneho mnozstvi jinych uzlu (adres) a tedy vyrazne omezena ci alespon zkomplikovana moznost pruniku 'zvenci'.
Pristup k senzitivnim datum muze byt omezen na pouze nektere uzly. Pokud i autorizovany uzivatel zada o pristup z jineho uzlu, mohou jeho pristupova prava byt vyrazne omezena, nebo muze byt zcela odepren pristup k datum.
Po prijeti volani modem nezacne bezprostredne generovat nosnou, ale pocka, az se druha strana pokusi o negotiation.
Tim je pristup do jiste miry omezen pouze na uzivatele, kteri vedi, ze jde o linku vedouci k pocitaci, metoda omezuje moznost nahodneho nalezeni tohoto portu.
Obdobou ticheho modemu muze byt v pripade IP protokolu sluzba, dostupna na danem stroji na jinem nez obvyklem portu.
Je treba, aby existovali mechanimy umoznujici vzajemnou autentizaci jednotlivych uzlu, ne pouze uzivatelu.
v pripade jednotlivych stroju muze byt utocnikem clovek, v prostredi siti vsak jiz utocnik muze pouzivat pocitac a pokouset se aktivne poskozovat system ochrany dat
pokusy o znovupouzivani starsich zachycenych zprav
vhodnou metodou ochrany jsou casova razitka v kombinaci s sifrovanim, ruzne tokeny s omezenou casovou platnosti, notarizace, nebo ofsetovani zprav.
velmi snadnym zpusobem utoku je pretezovani site nesmyslnymi zpravami
rovnez ucinnou metodou je pokusit se pozmenovat routovaci informace
rovnez je mozne zachycovat, nebo alespon poskozovat zpravy zasilane urcitemu uzivateli
proti mnohym utokum je mozno se branit vytvorenim duplicitnich linek, po kterych mohou byt zpravy posilany, pokud je to mozne, lze se omezit pouze na duveryhodne uzly
utocnik muze vkladat poskozene zpravy, pri jejichz zpracovani muze dojit ke zhrouceni sluzbu konajiciho stroje, nebo k jeho nespravne funkci
utocnik muze zachycovat veskerou komunikaci a provadet rozbor, kdo s kym jak casto komunikuje - jde o tzv. analyzu zateze : z nahlych zmen zateze lze usuzovat na nadchazejici vyrazne udalosti
vhodnou metodou ochrany je generovani vycpavaci (pad) zateze v dobe, kdy nedochazi ke skutecne komunikaci
generovana vycpavaci zatez muze byt prostredkem pro vytvoreni skryteho kanalu
administrator tedy musi zajistit generovani dalsich vycpavacich zprav doplnujicich komunikaci mezi libovolnymi dvema uzly site
administrator muze aktivne zasahovat do procesu routovani a nahodne menit zpusob routovani nekterych zprav, cimz se dosahne vetsi nahodnosti do procesu prenosu zprav a omezi moznost predchozich utoku
administrator muze aktivnimi zasahy zvysovat bezpecnost:
prenos zprav je rizen prenosovymi protokoly zajistujicimi integritu dat, poradi dorucenych casti, detekci duplicit apod.
pro ucely ochrany dat nedostacujici - tyto informace jsou v plaintextu bez potrebne detekce modifikaci
ruzne zabezpecovaci kody je snadne replikovat
vhodnejsi je pouziti kryptografickych kontrolnich souctu - zdeje vhodne do kazdeho sifrovaneho bloku zpravy pridat jeho poradove cislo, aby utocnik nemohl provadet zameny poradi
notarizace zprav - kazdou posilanou zpravu je mozne nechat overit centralni autoritou
jsou v mnohem specificke - jejich uzivatele casto jsou lide pracujici ve spolecnem oboru, byvaji laici v oblasti pocitacu, povetsinou si mezi sebou do znacne miry duveruji
problemy nastavaji pri vzajemnem propojovani techto siti
lokalni sit ma vetsinou jednotnou topologii, dle ktere lze modifikovat pouzite ochranne mechanismy
vzhledem k tomu, ze lokalni sit byva umistena uvnitr jedne budovy, ci dokonce pouze jeji casti, lze uplatnit ruzne metody fyzicke ochrany
lokalni sit rovnez miva
administratora, ktery muze efektivne
vynucovat dodrzovani stanovene bezpecnostni
politiky ve vsech uzlech
zvysena mira duvery vsak vede ke snizeni obranyschopnosti v pripade nahleho utoku ci zvyseni jeho hrozby
rovnez v pocitacovych sitich mohou pracovat uzivatele s ruznym stupnem provereni, sit obsahuje data ruznych stupnu utajeni
nejcasteji se pouziva nejaka modifikace military security modelu
operacni systemy, navrhovane pro vysokou
bezpecnost byvaji rozdeleny na moduly,
na jejichz bezpecnost nejsou kladeny naroky,
ktere pristupuji k chranenym
objektum prostrednictvim spolehlivych
modulu, jez tvori spolehlivou vypocetni
bazi (TCB)
obdobne pro site:
kazdy uzel site musi byt "opatrny" vuci ostatnim uzlum, mel by zajistit, ze spojeni navaze pouze s dalsim uzlem, ktery ma spolehlive sitove rozhrani
funkce spolehliveho sitoveho rozhrani:
vlastni sit vcetne prislusnych ridicich modulu neni uvazovana
bezpecnou komunikaci zajistuji samy komunikujici procesy ve spolupraci s operacnim systemem
jsou dodrzovana pravidla Bell-LaPadula bezpecnostniho modelu
pokud chceme zavest potvrzovani zprav, je nutne, aby na kazdem uzlu bezel pro kazdou bezpecnostni uroven komunikacni server - posila-li proces zpravu procesu vyssi urovne na jinem uzlu, zasle ji tamnejsimu kom. serveru sve urovne, od ktereho obdrzi potvrzeni a ktery ji preda
posilani zprav procesum nizsi urovne probiha prostrednictvim spolehlive centralni autority - network manazera, ktery zkouma, zda nedochazi k unikum klasifikovanych informaci
spolehliva sitova rozhrani rozdelime na moduly se vstupnimy a vystupnimy sokety
pokud u daneho modulu muzeme dokazat, ze jeho vystupy zavisi pouze na nekterych vstupech - multilevel modul - muze mit vystupni sokety ruznych urovni citlivosti
jinak ma modul vystupy odpovidajici
nejvyssi citlivosti vstupu
opet budeme dbat na zachovani pravidel Bell-LaPadula modelu, tzn. vystup modulu muze byt pripojen pouze na vstup jineho s nejmene stejnym stupnem citlivosti
kazdy proces prohlasime rovnez za modul se specifickym stupnem citlivosti
takto lze definovat povolena spojeni v ramci cele site
bezpecnost je do znacne miry zavisla na pouzitem prenosovem mediu
utok proti komunikacnim linkam muze byt pasivni (pouze odposlech), nebo aktivni (vkladani dalsich informaci do komunikace)
castym utokem je tzv. napichnuti (wiretaping)
proti tomuto zpusobu utoku jsou obzvlaste bezbranne metalicke vodice, je vsak mozne monitorovat i opticke kabely
obecne lze mezi metalickymi kabely povazovat za bezpecnejsi kabely koaxialni
vyrabi se cela rada kabelu s omezenym vyzarovanim pripadne s detekci napichnuti
k napichnuti jsou nachylnejsi pevne linky (leased lines), obecne je utok pravdepodobnejsi u nektereho z koncu linky
svazek neni mozno zcela presne merovat, navic se mirne rozbiha
komunikace muze byt zachycena kdekoliv mezi vysilacem a prijimacem, nebo v prostoru za prijimacem
obdobne nedostatky z hlediska moznosti aktivniho utoku
poznamenejme, ze ta sama technologie je pouzivana k sireni TV signalu
nebezpeci utoku je velke, vlastni zejmena pasivni utok je snadno proveditelny
vetsina techto siti puvodne navrzena pro prenos hlasu,
castym problemem autentizace, site vetsinou neposkytuji informace o zdroji prenasene informace
problem lze resit zejmena pouzitim kryptografie v zarizenich tvoricich rozhrani techto siti a pocitace, dosud vsak neexistuje dostatek standardu
verejne datove site jiz poskytuji prostredky pro autentizaci entit, umoznuji vytvareni uzavrenych logickych podsiti cele site
vlastni komunikacni lilnky byvaji spolehlivejsi
lze rovnez provadet end-to-end sifrovani prenasenych dat, bohuzel jiz ne sifrovani zahlavi zprav, tedy je mozna analyza zatizeni
nebezpeci predstavuji pripojeni via trojici protokolu X.3, X.28, X.29 - po analogovych linkach - zde nelze spolehat na autentizaci
obecnym problemem potom je propustnost techto siti
poskytuje celou radu identifikacnich sluzeb pocinajic identifikaci volajiciho ci volaneho ucastnika a koncic moznosti omezit nebo zcela vyloucit spojeni z (jinych nez) urcitych smeru
daleko propracovanejsi vytvareni logiskych podsiti
vyhodou je, ze linku pouziva pouze najemce, je jiste spojeni
na druhou stranu okruh vede stale stejnou cestou, je snadneji k nalezeni a naslednemu odposlechu
protokol poskytuje kompletni skalu bezpecnostnich funkci - autentizace puvodu zprav, dukazy prijeti, security labeling, utajeni toku dat a spojeni, autentizace entit, bezpecnost prenasene informace, zajisteni integrity a neopakovatelnosti