OCHRONA DANYCH W SIECI,wirusy


OCHRONA DANYCH W SIECI

Wraz z listem można otrzymać wirusa, który może skasować całą zawartość komputera, może ktoś się włamać i przejąć nasze wyniki pracy, numery kont bankowych, kart kredytowych.. Potrzeby zaś wynikają ze specyfiki wykorzystywania sieci. W inny sposób wykorzystują sieć przedsiębiorstwa a w inny indywidualni użytkownicy. Zagrożenia mogą być różne i specyficzne dla danego fragmentu sieci ale z pewnym przybliżeniem możemy je podzielić następujące grupy:

uzyskanie przez osoby niepowołane dostępu do danych transmitowanych przez sieć lub przechowywanych na dołączonych do sieci komputerach;

uzyskanie przez osoby niepowołane dostępu do innych zasobów (moc obliczeniowa komputerów itd.); utrata danych na skutek złośliwej ingerencji zewnętrznej;

fałszerstwo danych (np. poprzez podszycie się pod innego nadawcę w poczcie elektronicznej).

Większość zagrożeń sieciowych jest związana z Internetem i wypływa z niedoskonałości protokołu TCP/IP. Do tego dochodzi jeszcze niechlujstwo dostawców systemów operacyjnych i popularnego oprogramowania.

Najbardziej znanym zagrożeniem w sieciach komputerowych są wirusy komputerowe.

Wirusy komputerowe to proste programy komputerowe, które potrafią się powielać na komputerze użytkownika bez jego wiedzy. Oprócz powielania mogą wykonywać jeszcze dodatkowe zadania. Wirusy komputerowe istnieją prawie tak długo jak istnieją komputery. Wirusy wykonują różne zadania. W zależności od zamysłu twórcy wirusa mogą to być zadania nieszkodliwe takie jak otwarcie okienka z mniej lub bardziej sensownym komunikatem jak i procedura formatowania dysku twardego. Wirusy wykorzystują luki w zabezpieczeniach systemów operacyjnych oraz oprogramowania użytkowego pracujących na tych systemach. Wirusy generalnie atakują systemy operacyjne stworzone przez firmę Microsoft czyli systemy DOS/WINDOWS. Sąteż pojedyncze wirusy działające w środowisku UNIX. Wirusy są programami binarnymi, czyli są wynikiem kompilacji programu napisanego w jednym z języków programowania jak - na przykład język C - lub zestawami instrukcji napisanych w językach wysokiego poziomu, które są wykonywane przez interpreter. Wirusy w postaci programów wykonywalnych były popularne przed laty. Ich główną drogą przenoszenia były dyskietki. Aby zarazić komputer trzeba też było wykazać się pewną niefrasobliwością gdyż polecenie uruchomienia programu z wirusem musiał wydać użytkownik. Wirus doklejał się wtedy do innych programów wykonywalnych. Skutki posiadania wirusa w systemie mogły się ujawnić po wielu tygodniach lub miesiącach. Mógł to być zwykły komunikat na ekranie jak i operacja kasowania dysku. Sposób przenoszenia wirusów ograniczał ich zasięg, ale w miarę popularyzowania się usług sieciowych zmieniała się ich droga przenoszenia. Wirusy zaczęto rozsyłać np. za pomocą poczty elektronicznej. W przypadku wirusów w postaci binarnej użytkownik stosujących się do pewnych zasad był w stanie uniknąć zarażenia komputera wirusem. Wystarczyło nie otwierać załączników poczty elektronicznej, które zawierały programy. Pojawiły się także nowe rodzaje wirusów wykorzystujące np. możliwość tworzenia makr w popularnym pakiecie Microsoft Office. Zagrożeniem stały się więc nie tylko pliki zawierające programy, ale też pliki, w których przesyłane są dokumenty. Dokumenty nadesłane od znanej osoby są traktowane jako bardzo ważne i odbiorca próbuje je otworzyć, co powoduje uruchomienie makra z wirusem.

Bardziej zaawansowani użytkownicy blokują możliwość uruchamiania makr w otrzymanym dokumencie. Ogranicza to możliwość uruchomienia wirusa makrowego, ale go nie eliminuje..

Wirusy zaczęto dzielić na różne kategorie. Najczęściej spotykanymi nazwami są robaki i trojany.

Robakami (ang. Worms) określa się programy podobne do wirusów, które zostały opracowane w celu szybkiego zainfekowania jak największej liczby komputerów. Robaki rozprzestrzeniając się poprzez sieć mogą z jednego zainfekowanego komputera rozprzestrzenić się do tysięcy lub nawet milionów komputerów. Ich masowa reprodukcja powoduje ogromny ruch w sieci. Konie trojańskie lub trojany swoja nazwę wywodzą ze starożytnej Troi. Są jakby współczesną wersją drewnianego konia trojańskiego. Miejscem ich operowania jest sieć Internet. Po zainfekowaniu systemu nie czynią w nim żadnych zniszczeń tylko oczekują na polecenia z zewnątrz. W odróżnieniu od typowego wirusa ich kod zawarty jest w dwóch plikach. W jednym jest kod "wirusa", który jest instalowany na komputerze ofiary. W drugim pliku jest kod "sterownika" za pomocą, którego można sterować trojanem na komputerze ofiary. Trojan daje możliwość przejęcia kontroli nad komputerem ofiary. Zakres kontroli zależy od trojana a w zasadzie od jego twórcy. Trojan sam w sobie nie jest groźny gdyż, jego szkodliwość jest zależna od osoby, która danego trojana kontroluje. Często może się on ograniczyć do wyświetlenia głupiego komunikatu, ale nie należy wykluczać działań bardziej destrukcyjnych.

Dialery są dość często wiązane z wirusami, choć nimi nie są. Są to programiki, które zmieniają ustawienia sieciowe komputera wyposażonego w modem. Duża część użytkowników łączy się do internetu wykorzystuje połączenia modemowe. Są to darmowe numery operatorów jak na przykład numer 0202122 TPSA czy też numery płatne, gdzie użytkownik otrzymuje jakiś dodatkowy zestaw usług. Dialer dokonuje zmiany numeru telefonu, za pomocą którego jest realizowany dostęp do Internetu na inny numer. Najczęściej jest to numer telefonu typu 0-700 gdzie opłata za wynosi kilka złotych za minutę. Operatorzy tych numerów mają podpisane umowy na dzielenie zysków z operatorami telekomunikacyjnymi. Oferują oni najczęściej dostęp do płatnych serwisów pornograficznych. Problem z dialerami jest taki, że są one instalowane na komputerach w sposób podstępny, przypominający działanie wirusów. Skutkami działania dialerów zagrożone są głównie komputery korzystające z połączeń modemowych.

OCHRONA ANTYWIRUSOWA

Typową ochroną komputera jest zainstalowanie programu antywirusowego. Klasyczny program antywirusowy składa się ze skanera oraz bazy sygnatur wirusów. Skaner dokonuje przeglądu plików w komputerze. Zawartość porównuje z bazą sygnatur. Aby program był skuteczny, to baza z sygnaturami wirusów musi być aktualna. Bazy więc muszą być aktualizowane nawet kilka razy dziennie Powoduje to wydłużenie pracy programu antywirusowego co w efekcie przekłada się na niższy komfort pracy przy komputerze. Ponieważ niektóre wirusy mogą być bardzo niebezpieczne, wymaga to, aby firmy tworzące oprogramowanie antywirusowe dostarczały bardzo szybko aktualizacje. Wymusza to na nich niemal 24 godzinny cykl pracy. Nowoczesne programy antywirusowe potrafią wykryć wirusa i zablokować otwarcie pliku, w którym wirus się znajduje. Potrafią także kontrolować pocztę elektroniczną i blokować możliwość otwarcia listu, w którym jest wirus. Nie są w stanie jednak zabezpieczyć wszystkiego.

Skoro najwięcej wirusów roznoszonych jest pocztą to można zwalczać wirusy na serwerach pocztowych. Sprawdzenie już na serwerze poczty, czy list nie zawiera wirusa, pozwala na podjęcie akcji zanim list trafi do skrzynki. Najczęściej list z wirusem trafia do kwarantanny lub jest kasowany. Systemy antywirusowe zainstalowane na serwerach pocztowych pozwalają także wysłać list z ostrzeżeniem do nadawcy listu. Kontrola antywirusowa poczty na serwerze pozwala także wdrożyć centralną, niezależną od użytkownika politykę postępowania z podejrzanymi przesyłkami. Użytkownik nie musi wiedzieć, że przyszedł do niego list. Tego typu polityka jest wdrażana w firmach. Centralny serwer pocztowy z systemem antywirusowym pozwala także na częściową rezygnację z programów antywirusowych na stacjach klienckich. Operatorzy darmowych i płatnych portali internetowych także wdrażają ochronę antywirusową poczty. Mają jednak problem prawny co zrobić z listem, który zawiera wirusa. W przypadku firmy wystarczy jedno polecenia właściciela i wszystkie zawirusowane listy mogą być kasowane. W przypadku portalu zachodzi konflikt prawem użytkownika do zachowania poufności korespondencji, a koniecznością świadczenia bezpiecznej usługi.

Modele gromadzenia danych.

W typowym modelu dane firmy są gromadzone na centralnym serwerze (serwerach). Tak funkcjonuje większość firm, ale - jak pokazuje Internet - nie jest to jedyny możliwy model gromadzenia i przechowywania danych. Innym jest system, w którym dane są rozpraszane pomiędzy użytkowników - członków danej organizacji. Przykładem t modelów przechowania danych są systemy P2P używane przez internautów do wymiany plików z muzyką, filmami, grami. Możliwe są także różne systemy pośrednie.

Model centralny gromadzenia danych. Typowy przykład takiego modelu gromadzenia danych to serwer lub serwery, które dość często wyposażone są w macierze dyskowe, ale już nie zawsze w biblioteki taśm do robienia kopii zapasowych. Taki model ma wiele, zalet, ale też i wady. Największą zaletą jest to, że wiadomo gdzie te dane fizycznie są przechowywane, a więc można zorganizować ich sprawną ochronę. Ochrona powinna być całościowa, a więc obejmować musi:

fizyczne bezpieczeństwo samego serwera; zasilanie; strategię tworzenia kopii zapasowych; procedury awaryjne; zasady dostępu; ochronę sieciową.

Bezpieczna sieć to sieć, w której spełnione są wymagania:

dostępności i niezawodności; integralności przechowywanych i przetwarzanych danych; poufności i autentyczności. Kiedyś za taką sieć uważało się sieć LAN (Local Area Network). Sieci LAN były małe, obejmowały jedno piętro lub budynek. Dzisiaj sieć może obejmować wiele budynków na różnych krańcach świata. Sieć jest tak bezpieczna, jak bezpieczne są komputery przyłączone do niej.

W przypadku firmy może istnieć centralna polityka określająca co na komputerze w sieci LAN może być zainstalowane, a co nie powinno być. Inaczej jest w sieci osiedlowej. Pracują tam prywatne komputery i ich właściciele decydują co na nich jest. Sieć LAN to nie tylko komputery i ich oprogramowanie; to także urządzeni które posłużyły do jej zbudowania. Obecnie do budowy sieci LAN wykorzystuje się urządzenia pracujące w standardzie Ethernet.

Media w sieciach LAN

.

Kabel koncentryczny. Za pomocą tego typu kabli budowano sieci w topologii szyny. Najczęściej używanym kablem był kabel RG 58. Poszczególne stacje są oddalone co najmniej 2,5 metra (liczonego po kablu). Maksymalna długość kabla wynosi 185 metrów. Sposób budowy sieci w oparciu o kable koncentryczne powoduje poważne niebezpieczeństwo. Każda stacja podłączona do kabla otrzymuje wszystkie pakiety, które pojawiają się na kablu. Wystarczy więc przejąć jeden z komputerów i za pomocą oprogramowania typu sniffer można podsłuchiwać dowolną transmisje danych. Dodatkowym niebezpieczeństwem jest konieczność wykonania dobrego uziemienia kabla. W warunkach polskich jest to trudne do uzyskania. Ponieważ kabel taki łączy komputery przyłączone do różnych faz zasilania, możliwe jest pojawienia się przepięć. Mogą prowadzić one do uszkodzeń sprzętu, jak również mogą stanowić zagrożenie dla osób pracujących przy komputerach. Skrętka kategorii 5 i 5+ Za pomocą tego typu kabli buduję się obecnie większość okablowania strukturalnego. Sieć LAN zbudowana jest wtedy w topologii gwiazdy. W środku gwiazdy ulokowane są urządzenia aktywne. Ponieważ połączenia są typu komputer - urządzenie, to o danych transmitowanych do komputera decydują urządzenia aktywne. Istnieje także możliwość podsłuchu, co jest transmitowane w kablu, za pomocą specjalistycznych urządzeń.

Najbardziej znane rodzaje ataków sieciowych to:

Skanowanie sieci - jest to atak, który nie do końca jest atakiem. Skanowanie sieci pozwala atakującemu wykryć włączone komputery i urządzenia sieciowe. W zależności od rodzaju skanu możliwe jest też wykrycie otwartych portów TCP/UDP, co pozwala potencjalnemu napastnikowi określić, które usługi są aktywne. Skanowanie sieci można przyrównać do wykonywania zwiadu przed decydującym atakiem;

Fałszowanie adresu (ang. adress spoofing) - jest to atak, w którym sfałszowany zostaje adres nadawcy. Zamiast orginalnego adresu wstawiany jest adres z wewnętrznej sieci. Atak ten pozwala na oszukanie prostych filtrów ochronnych opartych na adresach;

Routing źródłowy (ang. Source Routing) - w protokole TCP/IP można podać trasę, przez jaką ma przejść pakiet, aby dotrzeć do miejsca docelowego. Ponieważ możliwość ta bardzo rzadko jest wykorzystywana, to większość urządzeń sieciowych ignoruje pakiety ze znacznikami routingu źródłowego co uniemożliwia różnorodne ataki; Denial of Service - atak polegający na wysyłaniu serii pakietów IP, który powoduje spowolnienie lub zaprzestanie pracy usługi, do której pakiety są wysyłane

. Odmiana ataku Distributed Denial of Service (DDOS) jest wykonywana z wielu komputerów równocześnie. Przejęcie sesji - atak polegający na przejęciu przez osobę nieuprawnioną (hackera)sesji użytkownika. Od momentu przejęcia sesji hacker uzyskuje dostęp do zasobów z uprawnieniami osoby, której sesje zawłaszczył;

Przepełnienie bufora - atak polegający na wykorzystaniu niedoskonałości stosu TCP/IP implementowanego w urządzeniach sieciowych. Odpowiednio spreparowany zestaw pakietów jest w stanie przepełnić bufor w stosie, co najczęściej prowadzi do odcięcia urządzenia od sieci. Efektem dodatkowym może być reset urządzenia. Przed częścią z tych ataków można się uchronić, jeśli wykorzysta się możliwości urządzeń, które przenoszą ruch pakietów IP.

Urządzeniami, które realizują połączenia międzysieciowe, są routery. Usytuowanie routerów na styku sieci LAN z Internetem lub pomiędzy sieciami LAN czyni z niego bardzo ważny element bezpieczeństwa. Większość routerów jest optymalizowana pod kątem transmisji pakietów IP. Bardzo często jako funkcję dodaną posiadają one możliwość zakładania tzw. list dostępu (ang. access list). Pozwalają one na tworzenie różnych filtrów. Filtry tworzone na routerach mogą wykorzystywać pola zawarte w nagłówkach protokołu IP oraz TCP i UPD. Filtry mogą obniżać wydajność routera, gdyż każdy pakiet przed przesłaniem musi być przeanalizowany pod kątem zgodności z filtrem. Im dłuższy filtr, tym przetwarzanie pojedyńczego pakietu trwa dłużej. Przydatnym filtrem, który można zastosować na routerach, jest filtr antyspofingowy. Pozwala on na ograniczenie znacznej ilości ataków wykonywanych na sieć. Router jako urządzenia pośredniczące w transmisji pakietów pomiędzy sieciami musi być także urządzeniem bezpiecznym.

Routery mają możliwość zdalnego zarządzania, co może pozwolić nieuprawnionym osobom na przejęcie kontroli nad nimi.

Jeśli jest to możliwe należy często zmieniać domyślne ustawienia związane z hasłami, a także utworzyć filtry, które ograniczą możliwość zdalnego zarządzania tylko do wybranych komputerów. Routery wymieniają z innymi routerami tablice routingu. Czynią to za pomocą protokołów routingu. Za pomocą takich protokołów można podesłać fałszywe tablice. Nieautoryzowanych zmian w tablicach routingu można uniknąć stosując mechanizmy bezpieczeństwa zawarte w protokołach dynamicznego routingu. Protokoły takie jak RIP-2 czy OSPF pozwalają na autoryzację rozsyłanych tablic. Pozwala to uniknąć zaakceptowania fałszywych danych. W większości routerów można też określić, poprzez które to interfejsy będą wymieniane informacje o routingu. W połączeniu z filtrami pozwala to na ograniczenia do minimum możliwości zaakceptowania przez router fałszywych tablic routingu.

Termin firewall czyli ściana ogniowa pochodzi z techniki budowlanej. Terminem określa się specjalnie skonstruowaną ścianę, która ma zapobiegać rozprzestrzenianiu się ognia. W sieciach komputerowych terminem firewalla określa się oprogramowanie, które jest usytuowane na styku sieci LAN z inną siecią np. Internetem i ma zapobiegać przedostawaniu się pożaru z innej sieci do chronionej sieci LAN. Usytuowanie firewalla jest podobne jest do usytuowania routera. Z tego powodu firewall dość często jest lokowany tuż za routerem lub występuje jako połączenie funkcjonalności routera i firewalla w jednym pudełku. Firewall podobnie jak router posiada możliwość filtrowania pakietów. Zasadnicza różnica jest w możliwości pamiętania stanu sesji. Filtr pakietów z pamięcią określa się mianem statefull inspection. Tego typu filtr pozwala na pełniejszą kontrolę przechodzących pakietów. Jeśli zostaną wykryte pakiety nie przynależne do danej lub do żadnej, sesji to mogą być ignorowane. W wypadku resetu firewalla wszystkie sesje są zrywane i muszą być od początku zainicjowane. Mimo, że przyjmuje się, że firewall broni dostępu z zewnątrz do chronionej sieci, to jednak równie dobrze może blokować dostęp na zewnątrz sieci. Ta właściwość pozwala na określenie, jakie usługi mogą być udostępniane z sieci LAN.

Ponieważ adresów IP zaczyna brakować to w sieciach LAN, powszechne się stało używanie adresów prywatnych (klasy 172.16.0.0 - 172.31.255.255, 10.0.0.0 - 10.255.255.255, 192.168.0.0 - 192.168.255.255). Aby jednak możliwy był dostęp z sieci LAN wykorzystującej prywatną pulę adresów, stosuje się techniki NAT (ang. Network Address Translation) oraz PAT (ang. Port Adress Translation). Pozwalają one komputerom z niepublicznymi adresami IP korzystać z Internetu. Użycie prywatnych adresów w sieci LAN podnosi jej bezpieczeństwo. Niemożliwe jest bowiem dostanie się z Internetu do dowolnego komputera. Zagrożone są wyłącznie komputery, które w jakiś sposób są widoczne w sieci Internet.

NAT jest techniką mapowania adresu IP na adres IP w skali 1 do 1. Oznacza to, że aby udostępnić dostęp wszystkim komputerom z sieci LAN, musielibyśmy posiadać tyle adresów, ile mamy komputerów. W tym momencie numeracja przy użyciu prywatnych adresów IP traci nieco sens. Numeracja 1 do 1 odkrywa przed potencjalnym napastnikiem całą naszą sieć. Technika NAT ma sens stosowania w odniesieniu do serwerów. W przypadku komputerów jako użytkowników sieci jest ona zbytnią rozrzutnością

PAT albo IP Masquerading pozwala na mapowanie 1 do wielu. Pozwala to wielu komputerom posiadających prywatne adresy IP korzystać z dostępu do Internetu. W technice tej wykorzystywany jest fakt, że sesja TCP/IP składa się z par (adres źródła, port źródła) (adres docelowy, port docelowy). W przypadku translacji NAT na urządzeniu realizującym translację podmieniany jest tylko adres źródłowy, natomiast w przypadku translacji PAT podmieniany jest adres źródłowy i port źródłowy. Ponieważ portów może być ponad 65 000, to teoretycznie tyle komputerów może być ukrytych za jednym adresem IP. PAT ukrywa strukturę sieci LAN przed potencjalnym napastnikiem. Nie łatwo jest określić, ile komputerów jest schowanych za pojedynczym adresem

Serwer proxy jest to program występujący w roli pośrednika dla innego programu działającego na innym komputerze. Serwery proxy mogą być także pośrednikami dla konkretnych protokołów. Najczęściej spotykanymi są serwery proxy dla www. Zasada działania serwera proxy jest bardzo prosta. Program żądający dostępu do danych przesyła swe zapytanie do serwera proxy a on wysyła je w świat - do komputera, który wysłał zapytanie. Serwer proxy może być jawnie zdefiniowany w konfiguracji programu, lub też przekierowanie zapytań do serwera proxy może być realizowane przez router lub firewall bez wiedzy użytkownika programu. W takiej sytuacji serwer proxy określa się jako transparent proxy. Serwery proxy ukrywają przed światem zewnętrznym wewnętrzną strukturę sieci. Mogą także poprawiać jakość pracy sieci. Np. serwery proxy www mogą zapisywać na dyskach wyniki zapytań, a na następne zapytanie odpowiadać korzystając z już zgromadzonych danych. Powoduje to zmniejszenie ruchu na łączu do Internetu.

Firewalle, serwery proxy oraz routery z filtrami potrafią zapewnić dostęp do i z sieci na podstawie konkretnych protokołów i usług. Nie potrafią zaś ocenić, czy przez dopuszczoną usługę nie jest dokonywany jakiś atak.

Takie funkcje potrafią realizować systemy IDS (ang. Intrusion Detection Systems). Istnieją dwa typy systemów IDS:

sieciowe; systemowe.

IDS sieciowy (ang. network-based) bazuje na badaniu ruchu sieciowego. IDS pracuje podobnie jak sniffer. Pobiera z sieci pakiety (na poziomie warstwy fizycznej) poprzez adapter (kartę) sieciowy ustawiony w trybie pasywnym promiscous. Tryb ten umożliwia przechwytywanie wszystkich pakietów podróżujących w danym segmencie sieciowym. W przypadku gdy IDS zostanie podłączony podłączony do przełącznika to na port, do którego jest przyłączony, musi być kopiowany ruch z portu, który ma być nadzorowany.

Najczęściej w ten sposób nadzorowany jest port, poprzez który odbywa się transmisja danych z siecią zewnętrzną. Przechwycone pakiety są następnie poddawane analizie w czasie rzeczywistym.

Wymaga to sporych mocy obliczeniowych od urządzenia realizującego analizęIDS systemowy (określany czasami Host IDS) jest instalowany na chronionych komputerach. Podstawowym zadaniem takiego IDS-a jest wykrywanie nietypowych zachowań w obrębie komputera. Mniej istotne jest źródło ich pochodzenia. Analizie poddawana jest komunikacja między wybranymi procesami, kontrolowana jest integralność kluczowych plików systemowych oraz analizowane są logi. W wypadku wykrycia niepożądanych zdarzeń o ich wystąpieniu informowany jest administrator sieci lub użytkownik komputera. Działanie tego typu systemów IDS jest ściśle związane z systemami operacyjnymi komputerów, na których te systemy pracują. Bardzo często możliwa jest też analiza ruchu sieciowego wchodzącego do komputera.

Ma to tę zaletę, że wykrywa to zdarzenia wewnątrz sieci LAN, które nie mogą być nadzorowane przez sieciowy IDS. Wymaga to jednak rezerwy mocy komputera, na którym ten system ma pracować

Sieci w firmach mają administratorów oraz są chronione centralnymi firewallami. Inaczej jest ze zwykłymi posiadaczami komputerów. Ponieważ zaczęli korzystać z Internetu, to ich komputery stały się potencjalnymi celami ataków. Jako odpowiedź na to powstały rozwiązania nazywane Personal Firewall. Podstawowa różnica w stosunku do klasycznych firewalli polega na tym, że chronią one pojedynczy komputer w sieci, a nie sieć.

W zależności od producenta mogą mieć one funkcjonalność zarówno filtra pakietów jak i IDS systemowego. Mogą też być wyposażane w klientów sieci VPN. Większość z personalnych firewalli posiada predefiniowaną politykę bezpieczeństwa, która w znacznym stopniu podnosi bezpieczeństwo pojedynczego komputera. Możliwe jest też centralne zarządzanie polityką bezpieczeństwa na firewallach zainstalowanych na komputerach firmowych. Tego typu rozwiązania dostarczają producenci firewalli chroniących sieci. Pozwala to podnieść bezpieczeństwo poszczególnych komputerów wewnątrz sieci, jak wreszcie na objęcie polityką bezpieczeństwa komputerów użytkowników mobilnych korzystających z laptopów jak również objęcie polityką bezpieczeństwa użytkowników pracujących na rzecz firmy w domu.

Techniki kryptograficzne. Nie zabezpieczają one w 100 % transmisji, ale utrudniają możliwość jej odczytania w momencie przechwycenia. Techniki kryptograficzne dostarczają także mechanizmy potwierdzania tożsamości oraz integralności przesyłanych danych. Najczęściej kryptografia jest kojarzona z szyfrowaniem. Dane lub tekst w postaci jawnej są przekształcane za pomocą funkcji szyfrującej do postaci zaszyfrowanej. Z przekształceniem tym związany jest jakiś klucz lub para kluczy. Przekształcenie to może być jednokierunkowe lub dwukierunkowe. W przypadku przekształceń jednokierunkowych bardzo trudne jest odzyskanie tekstu jawnego z zaszyfrowanego tekstu. Jest to wykorzystywane przy przechowywaniu haseł. Szyfry dwukierunkowe pozwalają odtworzyć tekst jawny z zakodowanej informacji. W zależności od użytego algorytmu szyfrowania możliwe jest odzyskanie treści wiadomości za pomocą tego samego klucza (szyfry symetryczne) lub innego klucza z pary (szyfry asymetryczne). Poniżej są omównione podstawowe pojęcia związane z kryptografią

Szyfr - jest to algorytm oraz klucz. Algorytm to umowny sposób zamiany tekstu jawnego na tekst zaszyfrowany. Algorytm określa przekształcenie, które zostanie wykonane przy użyciu klucza. W technice cyfrowej mamy do czynienia z bitami. Kluczem najczęściej jest jakaś liczba losowa o określonej długości. Najczęściej spotykane wartości to 40, 64, 128, 512 lub 1024 bity. Można przyjąć, że im dłuższy klucz, tym zaszyfrowana wiadomość jest trudniejsza do odczytania przez osoby nieupoważnione.

Funkcja skrótu - tworzy unikalną dla danej wiadomości sumę kontrolną. Wiadomość może mieć dowolną długość, funkcja skrótu wygeneruje zawsze liczbę o ustalonej długości (np. 126 lub 160 bitów). Funkcja skrótu uzyskana bezpiecznym algorytmem (SHA-1) ma dwie bardzo ważne własności: każda zmiana w wiadomości (nawet jednego bitu) powoduje nieprzewidywalną zmianę wartości skrótu oraz praktycznie niemożliwe jest obliczenie oryginalnej wiadomości na podstawie jej skrótu (jednokierunkowość). Dodatkowo żadne dwie różne wiadomości nie "wygenerują" takiej samej wartości funkcji skrótu (bezkolizyjność). Funkcje skrótu są wykorzystywane przy sprawdzaniu zachowywania integralności przesyłanych danych.

Szyfr symetryczny - szyfr z jednym kluczem. Bezpieczeństwo wiadomości w systemie symetrycznym opiera się na utrzymaniu w tajemnicy klucza służącego jednocześnie do szyfrowania, jak i do rozszyfrowywania przesyłanej wiadomości. W idealnym przypadku klucz powinny znać tylko dwie osoby: nadawca i odbiorca.

Szyfr asymetryczny powstał w wyniku prac matematycznych nad teorią liczb i funkcji asymetrycznych, czyli takich, które łatwo obliczyć (zakodować), ale bardzo trudno obliczyć ich funkcją odwrotną (złamać kod). W efekcie złamanie kodu asymetrycznego o dostatecznej długości kluczy może wymagać pracy najsilniejszych komputerów świata przez setki lat.

W praktyce, szyfr asymetryczny to szyfr z parą kluczy: prywatnym (znanym tylko jego właścicielowi) i publicznym (dostępnym dla każdego), obydwa klucze są ze sobą powiązane matematycznie. Wiadomość zaszyfrowana jednym z kluczy (publicznym) może być rozszyfrowana tylko drugim (prywatnym), co pozwala na bezpieczną korespondencję w kierunku "świat zewnętrzny" - właściciel klucza prywatnego. W przypadku podpisu cyfrowego następuje zamiana: nadawca szyfruje skrót wiadomości kluczem prywatnym, a każda zainteresowana osoba może go zweryfikować kluczem publicznym.

SSL jest protokołem opracowanym przez firmę Netscape. Jest on otwartym standardem, dzięki czemu jest zaimplementowany między innymi w większości przeglądarek internetowych. Obecnie są w użyciu dwie specyfikacje tego protokołu wersja: 2.0 i 3.0.

Protokół SSL zapewnia trzy podstawowe funkcje:

prywatność - dane transmitowane przy użyciu protokołu SSL są szyfrowane; potwierdzenie tożsamości serwera za pomocą certyfikatów cyfrowych, co utrudnia możliwość podszycia się pod serwer; integralność przesyłanych danych przy użyciu sum kontrolnych - utrudnia to dokonanie wandalizmu na transmitowanych danych. SSL pierwotnie został opracowany do zabezpieczenia transmisji pomiędzy serwerem, a przeglądarka WWW. Pierwszą przeglądarką, która posiadała wsparcie dla SSL była przeglądarka firmy Netscape. Ponieważ na stosie protokołów TCP/IP warstwa SSL znajduję się pomiędzy warstwą aplikacji a warstwą transportową, to możliwe jest wykorzystanie protokołu SSL dla różnych aplikacji.

Umieszczenie SSL nad stosem TCP/IP pozwala wykorzystać istniejące internetowe standardy bez konieczności ustawienia SSL jako protokołu aplikacji. SSL jest obecnie wykorzystywany przez wiele aplikacji, jak telnet czy ftp.

Za pomocą protokołu SSL klient może potwierdzić tożsamość serwera, do którego się łączy. W tym celu protokół SSL korzysta z algorytmu RSA, oraz certyfikatów nadawanych serwerom przez jedną z niezależnych organizacji certyfikujących ( Thawte, Verisign). Organizacje te mają upoważnienie od RSA Data Security Inc. właściciela algorytmu szyfrowania RSA. Oczywiście, aby otrzymać certyfikat należy wystąpić o jego otrzymanie. Certyfikat taki jest podpisany przez organizację, która go wydała. Większość przeglądarek posiada listę centrów certyfikujących i jest w stanie automatycznie zweryfikować poprawność certyfikatu serwera, z którym połączenie następuje. Ponieważ certyfikaty podpisywane przez


Wyszukiwarka

Podobne podstrony:
Sieci komputerowe - super opracowanie, OCHRONA DANYCH
Ochrona danych w lokalnej sieci komputerowej w ujęciu praktycznym
BLD ochrona danych osobowych VI ppt
GIODO, abi-ochrona danych osobowych
Ochrona prywatności w połączonym świecie – europejskie ramy ochrony danych w XXI wieku
Ochrona danych osobowych a bezpieczeństwo informacji, Studia, Ochrona własności intelektualnej
Administracyjnoprawna ochrona danych osobowych
ochrona danych osobowych adm pol
BLD ochrona danych osobowych II ppt
3 bezpieczne przesyłanie danych w sieci
Obowiazujacy tekst ustawy Ustawa z dnia 29 sierpnia 1997 r o ochronie danych 2
Ochrona danych osobowych po now Nieznany
kołaczek,bezpieczeństwo i ochrona danych, metody progowe
Ochrona danych osobowych prezentacja
WAT Ochrona danych IIIrok dzienne

więcej podobnych podstron