Bezpieczeństwo sieci informatycznych –Środki...

Bezpieczeństwo sieci informatycznych – Środki

technicznetechniczne

Dr inż. Małgorzata Langer

EKRAN

Metaliczna przegroda umieszczona pomiędzy dwoma obszarami przestrzeni, uniemożliwia-jąca propagację pola elektromagnetycznego między nimimiędzy nimi

Ekran może zatrzymać promieniowanie wewnątrz ekranowanego obszaru:

Ekran

Brak zewnętrznego pola

Źródło zakłóceń

Lub ochronić obszar przed propagacją z zewnątrz

EkranBrak pola

Źródło zakłóceń

EkranBrak pola wewnętrznego

Pola bliskie i dalekie

• Charakterystyka pola określana jest przez jego źródło (promiennik, antena), otaczające medium i odległość między źródłem a punktem obserwacji

• Im dalej od źródła, tym większe znaczenie ma rodzaj medium, w którym następuje propagacja

• Im bliżej – decydujące o wartościach pola jest źródło

λ/2π - odległość oddzielająca• Pole bliskie (indukcja)

• Pole dalekie (promieniowanie)

• W pobliżu tej wielkości jest obszar przejściowy

[EMC Eng., H. W. Ott]

Zasada zachowania energii dla pola elektromagnetycznego

DLA POLA DALEKIEGO PRZYJMUJE SIĘ: (wartość dla

powietrza, taka, jak dla próżni): Z0=120π ~ 377 ΩΩΩΩ

Impedancja pola bliskiego

Jeżeli E/H < 377 – w polu bliskim przeważa składowa pola magnetycznego (źródło o wysokim prądzie i niskim napięciu)

Jeżeli E/H > 377 - w polu bliskim przeważa składowa pola elektrycznego (źródło o wysokim napięciu i niskim prądzie)elektrycznego (źródło o wysokim napięciu i niskim prądzie)

W polu bliskim składowa „przeważająca” (oddaje energię) jest tłumiona w stosunku 1/r3 natomiast druga 1/r2

W polu dalekim obie składowe są tłumione w stosunku 1/r

Impedancja falowa

[EMC Eng., H. W. Ott]

Impedancja falowa dla dowolnego medium

• Jest zależna od częstotliwości

• Dla izolatorów • Dla izolatorów konduktywność jest znikoma (δ<<jωε)

• Dla przewodników (tzw. Impedancja ekranu)

Przykładowe materiały

• Miedź

• Aluminium

• Stal

• Dowolny przewodnik

Efektywność ekranowania - S

• Rozważamy zmniejszenie składowej pola elektrycznego i/lub magnetycznego spowodowane ekranemspowodowane ekranem

• Używana jednostka: dB

• S=120 dB oznacza, np., zmniejszenie składowej 106 razy

Efektywność ekranowania - S

Na efektywność ekranowania wpływają:

• Rodzaj materiału

• Ciągłość materiału (szczeliny, spawy, zgrzewania…)zgrzewania…)

• Apretura

• Kształt

• Wielowarstwowość

• …

Np. przejście kabla całkowicie może zniwelować efekt ekranowania

Sprzężenia i przesłuchy

a) Przesłuch do przewodu; b) do ziemi; c) do ekranu

Przesłuch to zakłócenie zewnętrzne przenoszone z sąsiednich par

Intruduction to EMC; C. R. Paul

sąsiednich par przewodów

Przykłady kabli sieciowych

STP – Shielded Twisted Pair

FTP – Foiled Twisted Pair

UTP – Unshielded Twisted Pair

www.eprace.edu.pl]

Ochrona za pomocą urządzeń bezpieczeństwa typu UTM i USG

• Odpowiedzią na rosnące zagrożenia jest zastosowanie urządzeń bezpieczeństwa typu USG (ang. Unified Security Gateway); oraz UTM ( ang. Unified Threat Management) zawierających między innymi Firewall (zapora ogniowa), które śledzą ruch z zewnątrz (typowo z Internetu), zabezpieczają przed atakami typu "Denial of Service" (DoS) które śledzą ruch z zewnątrz (typowo z Internetu), zabezpieczają przed atakami typu "Denial of Service" (DoS) oraz informują administratora o próbie ataku w formie komunikatu systemowego lub poprzez e-mail.

• Często funkcje Firewall'a są połączone z funkcją routingu(odpowiedniego przekazywania pakietów między siecią zewnętrzną np. Internet , a wewnętrzną siecią LAN) oraz bramy VPN ( Virtual Private Network Gateway)

VPN

• WIRTUALNA – oznacza, że istnieje tylko jako logiczna struktura, przeznaczona dla danego właściciela – dzierżawcy złącz (PRYWATNA), osadzona w rzeczywistej sieci publicznejosadzona w rzeczywistej sieci publicznej

• Węzły VPN są przezroczyste dla przesyłanych pakietów; bezpośrednie logiczne połączenie pomiędzy klientami końcowymi, działające podobnie do fizycznego prywatnego połączenia.

• Idealne rozwiązanie do, np. telepracy

Protokoły tunelowania

• Point-To-Point-Tunneling-Protocol (PPTP), zaproponowany przez Microsoft, używany z MS Windows, później również z innymi OS

• Można transmitować pakiety TCP/IP przez sieć • Można transmitować pakiety TCP/IP przez sieć innego typu

• PPTP może być używany do łączenia różnych fizycznych sieci

PPTP – c.d.

• Nie obejmuje autentyfikacji (uwierzytelniania) i/lub szyfrowania (ale istnieją odmiany uzupełnione o te mechanizmy)

• PPTP działa w warstwie 2 (Data Link). Może być • PPTP działa w warstwie 2 (Data Link). Może być użyty z protokołem Microsoft Point to Point Encryption (MPPE)

• JEST ZAINSTALOWANY w systemie operacyjnym Windows; (inne wersje) Android (telefony), również MAC; można go doinstalować do Linuxa

IPsec

• Internet Protocol Security – właściwie zbiór protokołów do zapoczątkowania i zastosowania bezpiecznych połączeń oraz wymiany kluczy szyfrowanych.

• VPN oparty na IPsec składa się przynajmniejz dwóch kanałów – w jednym standardowym kanale z protokołem UDP wymiana kluczy oraz w pozostałych – pakiety danych z ESP (Encapsulating Security Payload)

IPsec – c.d.

• Oryginalny pakiet IP jest szyfrowany, kapsułowany (otrzymuje nagłówek IPsec) i wysyłany do sieci

• Najszybciej działają klucze symetryczne; • Najszybciej działają klucze symetryczne; najlepiej zabezpiecza kryptografia asymetryczna

• Dla dystrybucji i uwierzytelniania kluczy powstał oddzielny protokół IKE (Internet KeyExchange)

Nagłówek IPsec

• SPI (Security Parameters Index) - wartość stała dla transmisji w danym tunelu, generowana losowo podczas tworzenia kanału

• Numer sekwencyjny – losowany i zwiększany o • Numer sekwencyjny – losowany i zwiększany o 1 z każdym pakietem

PPTP, c.d.

• Protokół ten nie gwarantuje odpowiedniego poziomu bezpieczeństwa przesyłanych danych, był wielokrotnie łamany, zwłaszcza w podstawowych wersjachw podstawowych wersjach

• Również stosowana w MS Windows wersja L2TP (Layer 2 Tunneling Protocol) nie była odporna na blokowanie przez niektóre zapory i programy NAT (Network Address Translation)

Protokół SSL (Secure Sockets Layer)

• SSL to protokół warstwy transportowej (powyżej warstwy TCP/IP i poniżej warstwy aplikacji) ISO/OSI, składa się z dwóch części: handshake protocol - uzgodnienia warunków handshake protocol - uzgodnienia warunków transmisji oraz record protocol –zapisów

• Podczas łączenia następuje wymiana referencji (uwierzytelnienie) i negocjacja parametrów zabezpieczeń

SSL zapewnia:

• Uwierzytelnienie (weryfikacja serwerów, lub serwera i klienta na obu końcach uwierzytelnienia)

• Poufność (szyfrowanie zgodnie z Master • Poufność (szyfrowanie zgodnie z Master Secret/ shared secret)

• Integralność – niedopuszczenie do zmiany zawartości komunikatu

Master Secret

• 49-bitowy tajny ciąg kontrolny, zaszyfrowany publicznym kluczem serwera, używany do szyfrowania całej późniejszej komunikacji.

• Ale publiczny klucz kryptograficzny może być • Ale publiczny klucz kryptograficzny może być użyty do utworzenia „shared secrets”, czyli transmisji szyfrowanej w sposób znany tylko dwóm stronom

Integralność w SSL

• Fragment zaszyfrowanych danych zostaje zabezpieczony „opakowaniem” (ang. wrapper)

• SSL stał się podstawowym protokołem do • SSL stał się podstawowym protokołem do aplikacji telepracy, e-commerce, urządzeń dostępu bezprzewodowego, usług webowych itp.

Protokół SSTP

• Poczynając od Vista, Microsoft wprowadził SSTP (Secure Socket Tunneling Protocol)

• Protokół jest oparty na SSL, ale wspiera tylko • Protokół jest oparty na SSL, ale wspiera tylko tunelowanie

Architektura systemu SSTP na poziomie protokołów

PPP

• PPP – Point-to-Point-Protocol (metoda kapsułkowania, Link Control Protocolzarządzający stanami łącza: otwarcie, utrzymanie, zamknięcie, maksymalny pakiet, utrzymanie, zamknięcie, maksymalny pakiet, itd., Network Control Protocols przetwarzające adresy, maski, listę serwerów DNS)

• W rzeczywistości jest to zbiór ponad 25 protokołów

HTTPS• HTTPS - HyperText Transfer Protocol Secure -

szyfrowana wersja protokołu HTTP

• Wpierw następuje wymiana kluczy SSL a później wywoływany jest HTTP

• HTTP umożliwia np. przeglądanie stron www; • HTTP umożliwia np. przeglądanie stron www; przesyła żądania udostępnienia dokumentów www, informacje o kliknięciu odnośnika na stronie, informacje z formularzy

• Nie zachowuje informacji (do tego służą inne mechanizmy)

GRE

• Protokół GRE - Generic Route Encapsulation . Pakiet GRE przenosi dane między dwoma punktami końcowymi tunelu (protokół firmy Cisco)Cisco)

• Po ustanowieniu sesji sterowania PPTP protokół GRE jest używany do zabezpieczonej hermetyzacji danych lub ładunku

Przykład sprzętu

Bezpieczne usługi