Bezpieczeństwo sieci informatycznych – Środki
technicznetechniczne
Dr inż. Małgorzata Langer
EKRAN
Metaliczna przegroda umieszczona pomiędzy dwoma obszarami przestrzeni, uniemożliwia-jąca propagację pola elektromagnetycznego między nimimiędzy nimi
Ekran może zatrzymać promieniowanie wewnątrz ekranowanego obszaru:
Ekran
Brak zewnętrznego pola
Źródło zakłóceń
Lub ochronić obszar przed propagacją z zewnątrz
EkranBrak pola
Źródło zakłóceń
EkranBrak pola wewnętrznego
Pola bliskie i dalekie
• Charakterystyka pola określana jest przez jego źródło (promiennik, antena), otaczające medium i odległość między źródłem a punktem obserwacji
• Im dalej od źródła, tym większe znaczenie ma rodzaj medium, w którym następuje propagacja
• Im bliżej – decydujące o wartościach pola jest źródło
λ/2π - odległość oddzielająca• Pole bliskie (indukcja)
• Pole dalekie (promieniowanie)
• W pobliżu tej wielkości jest obszar przejściowy
[EMC Eng., H. W. Ott]
Zasada zachowania energii dla pola elektromagnetycznego
DLA POLA DALEKIEGO PRZYJMUJE SIĘ: (wartość dla
powietrza, taka, jak dla próżni): Z0=120π ~ 377 ΩΩΩΩ
Impedancja pola bliskiego
Jeżeli E/H < 377 – w polu bliskim przeważa składowa pola magnetycznego (źródło o wysokim prądzie i niskim napięciu)
Jeżeli E/H > 377 - w polu bliskim przeważa składowa pola elektrycznego (źródło o wysokim napięciu i niskim prądzie)elektrycznego (źródło o wysokim napięciu i niskim prądzie)
W polu bliskim składowa „przeważająca” (oddaje energię) jest tłumiona w stosunku 1/r3 natomiast druga 1/r2
W polu dalekim obie składowe są tłumione w stosunku 1/r
Impedancja falowa
[EMC Eng., H. W. Ott]
Impedancja falowa dla dowolnego medium
• Jest zależna od częstotliwości
• Dla izolatorów • Dla izolatorów konduktywność jest znikoma (δ<<jωε)
• Dla przewodników (tzw. Impedancja ekranu)
Przykładowe materiały
• Miedź
• Aluminium
• Stal
• Dowolny przewodnik
Efektywność ekranowania - S
• Rozważamy zmniejszenie składowej pola elektrycznego i/lub magnetycznego spowodowane ekranemspowodowane ekranem
• Używana jednostka: dB
• S=120 dB oznacza, np., zmniejszenie składowej 106 razy
Efektywność ekranowania - S
Na efektywność ekranowania wpływają:
• Rodzaj materiału
• Ciągłość materiału (szczeliny, spawy, zgrzewania…)zgrzewania…)
• Apretura
• Kształt
• Wielowarstwowość
• …
Np. przejście kabla całkowicie może zniwelować efekt ekranowania
Sprzężenia i przesłuchy
a) Przesłuch do przewodu; b) do ziemi; c) do ekranu
Przesłuch to zakłócenie zewnętrzne przenoszone z sąsiednich par
Intruduction to EMC; C. R. Paul
sąsiednich par przewodów
Przykłady kabli sieciowych
STP – Shielded Twisted Pair
FTP – Foiled Twisted Pair
UTP – Unshielded Twisted Pair
www.eprace.edu.pl]
Ochrona za pomocą urządzeń bezpieczeństwa typu UTM i USG
• Odpowiedzią na rosnące zagrożenia jest zastosowanie urządzeń bezpieczeństwa typu USG (ang. Unified Security Gateway); oraz UTM ( ang. Unified Threat Management) zawierających między innymi Firewall (zapora ogniowa), które śledzą ruch z zewnątrz (typowo z Internetu), zabezpieczają przed atakami typu "Denial of Service" (DoS) które śledzą ruch z zewnątrz (typowo z Internetu), zabezpieczają przed atakami typu "Denial of Service" (DoS) oraz informują administratora o próbie ataku w formie komunikatu systemowego lub poprzez e-mail.
• Często funkcje Firewall'a są połączone z funkcją routingu(odpowiedniego przekazywania pakietów między siecią zewnętrzną np. Internet , a wewnętrzną siecią LAN) oraz bramy VPN ( Virtual Private Network Gateway)
VPN
• WIRTUALNA – oznacza, że istnieje tylko jako logiczna struktura, przeznaczona dla danego właściciela – dzierżawcy złącz (PRYWATNA), osadzona w rzeczywistej sieci publicznejosadzona w rzeczywistej sieci publicznej
• Węzły VPN są przezroczyste dla przesyłanych pakietów; bezpośrednie logiczne połączenie pomiędzy klientami końcowymi, działające podobnie do fizycznego prywatnego połączenia.
• Idealne rozwiązanie do, np. telepracy
Protokoły tunelowania
• Point-To-Point-Tunneling-Protocol (PPTP), zaproponowany przez Microsoft, używany z MS Windows, później również z innymi OS
• Można transmitować pakiety TCP/IP przez sieć • Można transmitować pakiety TCP/IP przez sieć innego typu
• PPTP może być używany do łączenia różnych fizycznych sieci
PPTP – c.d.
• Nie obejmuje autentyfikacji (uwierzytelniania) i/lub szyfrowania (ale istnieją odmiany uzupełnione o te mechanizmy)
• PPTP działa w warstwie 2 (Data Link). Może być • PPTP działa w warstwie 2 (Data Link). Może być użyty z protokołem Microsoft Point to Point Encryption (MPPE)
• JEST ZAINSTALOWANY w systemie operacyjnym Windows; (inne wersje) Android (telefony), również MAC; można go doinstalować do Linuxa
IPsec
• Internet Protocol Security – właściwie zbiór protokołów do zapoczątkowania i zastosowania bezpiecznych połączeń oraz wymiany kluczy szyfrowanych.
• VPN oparty na IPsec składa się przynajmniejz dwóch kanałów – w jednym standardowym kanale z protokołem UDP wymiana kluczy oraz w pozostałych – pakiety danych z ESP (Encapsulating Security Payload)
IPsec – c.d.
• Oryginalny pakiet IP jest szyfrowany, kapsułowany (otrzymuje nagłówek IPsec) i wysyłany do sieci
• Najszybciej działają klucze symetryczne; • Najszybciej działają klucze symetryczne; najlepiej zabezpiecza kryptografia asymetryczna
• Dla dystrybucji i uwierzytelniania kluczy powstał oddzielny protokół IKE (Internet KeyExchange)
Nagłówek IPsec
• SPI (Security Parameters Index) - wartość stała dla transmisji w danym tunelu, generowana losowo podczas tworzenia kanału
• Numer sekwencyjny – losowany i zwiększany o • Numer sekwencyjny – losowany i zwiększany o 1 z każdym pakietem
PPTP, c.d.
• Protokół ten nie gwarantuje odpowiedniego poziomu bezpieczeństwa przesyłanych danych, był wielokrotnie łamany, zwłaszcza w podstawowych wersjachw podstawowych wersjach
• Również stosowana w MS Windows wersja L2TP (Layer 2 Tunneling Protocol) nie była odporna na blokowanie przez niektóre zapory i programy NAT (Network Address Translation)
Protokół SSL (Secure Sockets Layer)
• SSL to protokół warstwy transportowej (powyżej warstwy TCP/IP i poniżej warstwy aplikacji) ISO/OSI, składa się z dwóch części: handshake protocol - uzgodnienia warunków handshake protocol - uzgodnienia warunków transmisji oraz record protocol –zapisów
• Podczas łączenia następuje wymiana referencji (uwierzytelnienie) i negocjacja parametrów zabezpieczeń
SSL zapewnia:
• Uwierzytelnienie (weryfikacja serwerów, lub serwera i klienta na obu końcach uwierzytelnienia)
• Poufność (szyfrowanie zgodnie z Master • Poufność (szyfrowanie zgodnie z Master Secret/ shared secret)
• Integralność – niedopuszczenie do zmiany zawartości komunikatu
Master Secret
• 49-bitowy tajny ciąg kontrolny, zaszyfrowany publicznym kluczem serwera, używany do szyfrowania całej późniejszej komunikacji.
• Ale publiczny klucz kryptograficzny może być • Ale publiczny klucz kryptograficzny może być użyty do utworzenia „shared secrets”, czyli transmisji szyfrowanej w sposób znany tylko dwóm stronom
Integralność w SSL
• Fragment zaszyfrowanych danych zostaje zabezpieczony „opakowaniem” (ang. wrapper)
• SSL stał się podstawowym protokołem do • SSL stał się podstawowym protokołem do aplikacji telepracy, e-commerce, urządzeń dostępu bezprzewodowego, usług webowych itp.
Protokół SSTP
• Poczynając od Vista, Microsoft wprowadził SSTP (Secure Socket Tunneling Protocol)
• Protokół jest oparty na SSL, ale wspiera tylko • Protokół jest oparty na SSL, ale wspiera tylko tunelowanie
Architektura systemu SSTP na poziomie protokołów
PPP
• PPP – Point-to-Point-Protocol (metoda kapsułkowania, Link Control Protocolzarządzający stanami łącza: otwarcie, utrzymanie, zamknięcie, maksymalny pakiet, utrzymanie, zamknięcie, maksymalny pakiet, itd., Network Control Protocols przetwarzające adresy, maski, listę serwerów DNS)
• W rzeczywistości jest to zbiór ponad 25 protokołów
HTTPS• HTTPS - HyperText Transfer Protocol Secure -
szyfrowana wersja protokołu HTTP
• Wpierw następuje wymiana kluczy SSL a później wywoływany jest HTTP
• HTTP umożliwia np. przeglądanie stron www; • HTTP umożliwia np. przeglądanie stron www; przesyła żądania udostępnienia dokumentów www, informacje o kliknięciu odnośnika na stronie, informacje z formularzy
• Nie zachowuje informacji (do tego służą inne mechanizmy)
GRE
• Protokół GRE - Generic Route Encapsulation . Pakiet GRE przenosi dane między dwoma punktami końcowymi tunelu (protokół firmy Cisco)Cisco)
• Po ustanowieniu sesji sterowania PPTP protokół GRE jest używany do zabezpieczonej hermetyzacji danych lub ładunku
Przykład sprzętu
Bezpieczne usługi