Informatyka ekonomiczna. III. Sieci komputerowe 1. rozdz. 1 s ; rozdz. 3 s.82-87] 1. Podstawowe elementy sieci [Clark, rozdz.

Transkrypt

1 III. Sieci kmputerwe 1 Spis treści 1. Pdstawwe elementy sieci [Clark, rzdz. 8, 9] 2. Tplgia sieci LAN [Niedzielska, rzdz. 3.3] 3. Łączenie sieci 4. Internet, intranet, ekstranet 5. ZagrŜenia bezpieczeństwa danych w sieciach infrmatycznych [Ahuja, rzdz. 1 s ; rzdz. 3 s.82-87] 6. Usługi pdnszące pzim bezpieczeństw danych [Ahuja, rzdz. 1 s.23-30, rzdz.2, rzdz.3 s ] 7. Firewall (zapra sieciwa) [Ahuja, rzdz. 7] Słwa kluczwe: firewall, karta sieciwa, kablwanie sieciwe, plityka bezpieczeństwa, rdzaje sieci, sieć kmputerwa, tplgia sieci, usługi bezpieczeństwa, zagrŝenia danych Pdstawwe elementy sieci Sieć kmputerwa jest t zbiór wzajemnie płącznych autnmicznych systemów kmputerwych w celu wymiany infrmacji (danych, prgramów) lub krzystania z zasbów sprzętwych (drukarek, dysków, faksu itd.). Sieć kmputerwa zapewnia uŝytkwnikwi dstęp d wszystkich prgramów, danych i innych zasbów niezaleŝnie d jeg fizycznej lkalizacji. Dzięki utwrzeniu alternatywnych dróg dstępu d zasbów mcy bliczeniwej uzyskuje się duŝą niezawdnść działania systemów kmputerwych. Sieć pzwala takŝe na aktualizację danych w dległych bazach danych, a zatem takŝe dstęp d zawsze aktualnej infrmacji. Wykrzystywana jest takŝe przez ludzi d przumiewania się (chat, mail, VIP Vice ver IP, wideknferencje). 1 Opracwał zespół pracwników Katedry Infrmatyki eknmicznej UŁ 1

2 W sieciach mgą być wymieniane dane w trybie dialgwym, pliki graficzne, sygnały mwy zakdwane cyfrw, kmunikaty sterujące i rganizacyjne itp. W latach 80-tych zaczęły pwstawać sieci typu klient-serwer (zbacz rysunek 1), pzwalające uŝytkwnikiem na dstęp z ich miejsca pracy d róŝnrdnych funkcji i usług kmputerwych. Sieć teg typu składa się z wielu stacji rbczych i jedneg lub więcej serwerów (np. plików, wydruku). Serwer jest t kmputer ze specjalnym systemem peracyjnym, który pzwala zdalnym kmputerm na dstęp d plików. Serwer dpwiada jedynie na zapytania lub Ŝądania pchdzące d klientów, nie inicjuje transmisji, chdź mŝe Ŝądać dstępu d inneg serwera. Klient jest jednstką, która ma swój system peracyjny i prgramy, które wyknują kreślne funkcje np.: 2 współpraca z uŝytkwnikiem za pmcą interfejsu graficzneg, Rysunek 1. Struktura sieci klient-serwer 3 rzprszne usługi, interfejs klienta, interfejs kmunikacyjny. serwer interfejs kńcwy uŝytkwnika, interfejs serwera, interfejs kmunikacyjny. klient klient klient przygtwywanie zapytań i Ŝądań uŝytkwnika związanych z dstępem d serwera w parciu standardwy interfejs, kmunikwanie się z serwerem za pmcą interfejsu kmunikacyjneg, wyknywanie analiz danych trzymanych z serwera, przeznacznych d przedstawienia uŝytkwnikwi. 2 Ahuja V. (1996) Bezpieczeństw w sieciach, MIKOM, Warszawa, s pracwanie własne na pdstawie Ahuja V. (1996) Bezpieczeństw w sieciach, MIKOM, Warszawa, s. 14 2

3 Sieci typu klient-serwer, dzięki mŝliwści graniczenia dstępu uŝytkwników tylk d wyznacznych części bszaru dyskweg i chrny dstępu d kluczwych infrmacji związanych z rganizacją plików, twrzą bezpieczne śrdwisk pracy i zapewniają wyski stpień integralnści danych. Sieć kmputerwa nie mgłaby pwstać bez takich elementów (prócz kmputerów i sieciweg systemu peracyjneg) jak: karty sieciwe, kablwanie sieciwe, urządzenia d kmunikacji bezprzewdwej. Karta sieciwa psiada wyspecjalizwany prcesr i prgramwanie, które wykrzystuje d przesyłania danych z/d pamięci kmputera raz nadawania i dbierania danych przesyłanych pmiędzy kmputerami. Realizuje takie funkcje jak: knwertwanie danych d pstaci sygnału elektryczneg (i dwrtnie), sprawdzenie, czy dane są adreswane d daneg kmputera, sterwanie przepływem danych przez kabel sieciwy. Karta jest instalwana w gniazdach rzszerzeń na kaŝdym kmputerze raz serwerze w sieci i musi psiadać gniazdk d uŝywaneg w sieci kablwania. Karta jest bsługiwana przez system peracyjny kmputera. Przesyła dane w pstaci pakietów. KaŜda karta psiada adres fizyczny (zwany teŝ adresem MAC), który jest unikalny, a zatem identyfikuje kmputer w sieci. Okablwanie sieciwe (zbacz tabela 1) umŝliwia płączenie wszystkich kmputerów w sieci. Dane mgą być przesyłane równieŝ bezprzewdw. Systemy bezprzewdwe bejmują wszelkieg rdzaju transmisje sygnałów elektrmagnetycznych bez udziału kabla przewdząceg elektrycznść lub światł. Obecnie wykrzystuje się takie rdzaje transmisji bezprzewdwej jak: transmisja mikrfalwa - plega na przesyłaniu sygnałów częsttliwściach rzędu kilku - kilkunastu GHz pmiędzy parablicznymi antenami i wykrzystywana jest d wymiany infrmacji pmiędzy dległymi budynkami; transmisja satelitarna realizwana jest za pmcą anteny pśredniczącej znajdującej się na satelicie gestacjnarnym; transmisja laserwa wykrzystuje prmień światła, generwany przez laser, d przenszenia danych pwietrzem. Ma pdbne zastswanie jak mikrfalwa, ale charakteryzuje się większą szybkścią przesyłu danych i brakiem kniecznści uzyskania licencji na pasm częsttliwści uŝywanej w transmisji; transmisja w pdczerwieni zapewnia duŝą szybkść, mŝe być wykrzystywana na małe dległści np. w hali biurwej. Prmienie generwane przez didy nadawcze trafiają d ftdid dbirników bezpśredni lub p 3

4 dbiciu d płaszczyzn ścian i sufitu. MŜliwe jest zbudwanie całej sieci na bazie transmisji w pdczerwieni. Wymaga generwania bardz silneg sygnału, a kaŝda przeszkda na drdze sygnału zakłóca kmunikację; transmisja radiwa wymaga uzyskania przydziału częsttliwści, lecz pzwala na włączenie w sieć mbilnych stacji rbczych (na statkach, samltach). Systemy lkalne mgą uŝywać fal ultrakrótkich, a d łącznści glbalnej stswane są fale krótkie. Transmisja za pmcą fal radiwych jest niezbyt szybka i mał dprna za zakłócenia (np. zakłóca ją stal i zbrjne ściany). Wąskpasmwa transmisja radiwa wymaga nastrjenia na kreślną częsttliwść nadajnika i dbirnika. Częst łączy się róŝne rdzaje kablwania w jednej sieci p t, aby lepiej wykrzystać mŝliwści sprzętu i sprstać ptrzebm uŝytkwników. Tabela 1. Okablwanie sieciwe Nazwa kablwania Rysunek Uwagi Skrętka (związane razem dwie pary skręcnych przewdów) Kabel kncentryczny (jeden lub więcej kncentrycznych przewdników) Światłwód (szklana nić w plastikwej prawie, p której przesyłany jest sygnał świetlny wysyłany przez laser) Ten rdzaj kablwania stswany jest d przesyłania danych na duŝe dległści z duŝą szybkścią; jest niewskazany, gdy wymagany jest wyski pzim chrny sygnału przed sygnałami elektrmagnetycznymi. Ten rdzaj kablwania ma zastswanie wtedy, gdy dane mają być transmitwane na większe dległści bez uŝycia drgieg kablwania; jest niewskazany, gdy układ kablwania jest częst zmieniany ze względu na zmianę lkalizacji. Ten rdzaj kablwania stswany jest wtedy, gdy dane muszą być bezpiecznie transmitwane na duŝe dległści z duŝą prędkścią; nie jest wskazany, gdy firma psiada mały budŝet. Ze względu na zasięg działania sieci dzieli się na: lkalne (LAN Lcal Area Netwrk), miejskie (MAN Metrplitan Area Netwrk), rzległe (WAN Wide Area Netwrk). 4

5 Sieci lkalne są najmniejszymi sieciami, bejmują swim zasięgiem bszar kilku kilmetrów (zbacz rysunek 2). Najczęściej usytuwane są w jednym lub kilku sąsiadujących budynkach danej firmy. Rysunek 2. Sieć lkalna 4 Kmentarz [ZM1]: niestety rysunek nie ddaje istty kmunikacji w sieci LAN; sugeruje n kniecznść pśredniczenia jedneg kmputera przy wymianie infrmacji z innym Sieci miejskie pwstają na terenie duŝych miast i łączą sieci LAN znajdujące się na terenie daneg miasta. Mają zasięg d kilkuset kilmetrów. Sieci rzległe (zbacz rysunek 3) mgą być rzwinięte na dwlnym bszarze swim zasięgiem bejmują róŝne kraje, kntynenty. Rysunek 3. Sieć rzległa LAN LAN Pdział na sieci LAN, MAN i WAN nie jest w pełni rzdzielny, nie bejmuje sieci krpracyjnej, która składa się z wielu sieci LAN płącznych przez sieć WAN z centralą przedsiębirstwa. NajwaŜniejsze znaczenie mają dla uŝytkwnika sieci LAN, gdyŝ MAN i WAN są właściwie narzędziem pzwalającym na ich płączenie. Tplgia sieci LAN Tplgia sieci kreśla układ kmputerów, kablwania i innych urządzeń w sieci. Wybór tplgii ma wpływ na rdzaj i mŝliwści urządzeń sieciwych, zarządzanie nimi raz mŝliwści przyszłej rzbudwy. WyróŜnia się tplgię fizyczną i lgiczną. Tplgia fizyczna pisuje, w jaki spsób fizyczne urządzenia są płączne w sieci, natmiast tplgia lgiczna pisuje spsób przesyłania danych przez fizyczne płączenia sieciwe. WyróŜnia się następujące tplgie sieci LAN: magistrala, gwiazda, 4 Ahuja V. (1997): Bezpieczeństw w sieciach, Mikm, Warszawa, s. 13 5

6 pierścień, tplgia pełnych płączeń, mieszana. W tplgii magistrali (zbacz rysunek 4) wszystkie kmputery pdłączne są d jedneg kabla, któreg kńce zamknięte są przez urządzenia zwane terminatrami (ze względu na spsób transmisji sygnału elektryczneg). Sygnał wysyłany jest d wszystkich kmputerów, ale dbiera g tylk ten, d któreg adres pdany jest w kmunikacie. Kmputer, który debrał infrmację sprawdza jej pprawnść i wysyła ptwierdzenie d nadawcy. Rysunek 4. Tplgia magistrali W tplgii gwiazdy (zbacz rysunek 5) wszystkie kmputery pdłączne są d centralneg urządzenia, tzw. kncentratra. Sygnał przesyłany jest przez dwlny kmputer d kncentratra, działająceg w spsób zapbiegający klizji, który przesyła g d wszystkich kmputerów w sieci. Awaria kncentratra pwduje unieruchmienie całej sieci. Rysunek 5. Tplgia gwiazdy kncentratr 6

7 W tplgii pierścienia (zbacz rysunek 6) wszystkie kmputery płączne są w zamkniętą pętlę. Sygnał przesyłany jest d kmputera d kmputera, aŝ trafi d adresata. KaŜdy kmputer pełni rlę wzmacniaka, który regeneruje sygnał przed przesłaniem g d następneg kmputera. W danym mmencie w pjedynczym pierścieniu mŝe nadawać tylk jeden kmputer, ten, który psiada Ŝetn dstępu sekwencję bitów kreślającą infrmację kntrlną. Rysunek 6. Tplgia pierścienia Ŝetn W tplgii pełnych płączeń kmputery płączne są kaŝdy z kaŝdym za pmcą ddzielneg kablwania. W takiej tplgii istnieje kilka ścieŝek płączeń, zatem jeśli jeden kabel będzie uszkdzny, t sygnał zstanie przesłany innym kablem. Tplgia mieszana łączy pdstawwe tplgie, np. mŝna utwrzyć tplgię gwiazda-magistrala czy gwiazda-pierścień. Transprt sieciwy Wykrzystywane dzisiaj śrdki techniczne umŝliwiają dwa rdzaje transmisji: - transmisję w paśmie pdstawwym (baseband system), - transmisję szerkpasmwą (bradband system). Transmisja w paśmie pdstawwym plega na przesyłaniu d śrdka sygnału niemdulwaneg tak, Ŝe w dwlnej chwili istnieje tylk jeden sygnał infrmacyjny. Transmisja szerkpasmwa plega na przesyłaniu d śrdka zmdulwaneg sygnału infrmacyjneg, wskutek czeg w tej samej chwili w śrdku mŝe istnieć wiele niezakłócających się wzajemnie sygnałów infrmacyjnych. Znacznie łatwiejsze i tańsze w realizacji są systemy transmisji w paśmie pdstawwym i tą techniką realizuje się większść sieci lkalnych. Zasady przydzielania medium danej stacji zwane są regułami lub prtkłami dstępu, które dzielą się na dwie pdstawwe grupy: - przydział lswy (CSMA/CD - Carrier Sense, Multiple Access with Cllisin Detect), - przydział na Ŝądanie (tken passing). CSMA/CD realizuje dstęp jednczesny z wykrywaniem klizji, który plega na śledzeniu przez kaŝdy kmputer stanu sieci i nadawaniu infrmacji tylk wtedy, 7

8 gdy nie dbywa się aktualnie Ŝadna transmisja. Jeśli dwa kmputery rzpczynają transmisję równcześnie, następuje klizja sygnałów wykrywana przez nadające kmputery. W przypadku klizji wszystkie transmisje zstają wstrzymane. Próba nadawania pwtarzana jest p pewnym lswym dcinku czasu. Głównym załŝeniem dla przydziału na Ŝądanie jest traktwanie wszystkich aktualnie pracujących stacji rbczych jak elementów pierścienia lgiczneg, niezaleŝnie d ich architektury fizycznej i przypisanie kaŝdej ze stacji unikalneg numeru identyfikacyjneg. Metda transmisji plega na przekazywaniu Ŝetnu (tken) klejn d kaŝdej stacji. Ta, która trzymała Ŝetn, wysyła ptwierdzenie dbiru i jeśli psiada dane d wysłania, rzpczyna transmisję. P zakńczeniu transmisji lub, gdy nie ma danych d wysłania, przekazuje Ŝetn d klejnej stacji. Sieć musi realizwać funkcję samczynnej reknfiguracji, która inicjwana jest autmatycznie przez układy sterwników w przypadku przyłączenia nwej stacji d sieci, wyłączenia lub awarii którejś ze stacji, czy w sytuacji zagubienia Ŝetnu na skutek np. silnych zakłóceń. Technlgie sieciwe róŝnią się m. in. metdą dstępu, czyli zestawami reguł uŝywanymi w celu umieszczenia danych w kablu sieciwym raz usuwania z nieg danych. NajwaŜniejszym elementem technlgii sieciwej jest prtkół transmisji, który kreśla frmat przesyłanych danych, spsób nawiązania, przebiegu i zakńczenia płączenia raz metdę dstępu d łącza. D najppularniejszych prtkłów transmisji zaliczane są: Ethernet, Tken Ring, ATM, FDDI, Frame Relay. Ethernet jest stswany najczęściej w tplgii magistrali. Stsuje metdę dstępu CSMA/CD. Jest jednym z najtańszych rzwiązań. Tken Ring stsuje metdę dstępu przydziału na Ŝądanie. Stswanie teg rzwiązania jest efektywniejsze d Ethernetu dla sieci duŝym natęŝeniu ruchu, ale jest d nieg drŝsze. Tken Ring wykrzystywany jest w sieciach tplgii pierścienia lub magistrali, jeśli ustaln tzw. lgiczny pierścień kmputerów w sieci (klejnść przekazywania Ŝetnu). 8

9 ATM (zbacz rysunek 7) umŝliwia twrzenie sieci LAN i WAN, zapewniających przesyłanie infrmacji w róŝnych pstaciach (dane cyfrwe, głs, dźwięk wyskiej jakści, zeskanwane brazy, filmy czy sygnały wizyjne wyskiej rzdzielczści) z duŝą prędkścią. Pdstawwym medium kmunikacyjnym są światłwdy, a metdą dstępu metda punkt-punkt - transfer pakietów stałym rzmiarze z jedneg kmputera d drugieg za pmcą przełączników ATM. Lgiczne płączenie nadawcy z dbircą w ATM twrzy kanał wirtualny, a zbiór kanałów ścieŝkę wirtualną, przełączaną w razie ptrzeby (awaria, przeciąŝenie) na inną trasę sieci. Sieci ATM są drŝsze niŝ sieci realizwane przy uŝyciu innych technik. Rysunek 7. Sieć z przełącznikami ATM ATM ATM ATM FDDI (zbacz rysunek 8) wykrzystuje jak medium transmisyjne pdwójną pętlę światłwdu: jeden kabel jest uŝywany d przesyłania sygnału w jednym kierunku w pętli (pierścień pdstawwy), a drugi w przeciwnym (pierścień zapaswy), c zapewnia niezawdnść transmisji, gdyŝ w razie uszkdzenia kabla mŝliwe jest utwrzenie pjedynczej pętli. W sieciach FDDI stsuje się metdę dstępu tken passing. Rysunek 8. Sieć FDDI Ŝetn pierścień pdstawwy pierścień zapaswy 9

10 Głównym zastswaniem prtkłu Frame Relay jest łączenie sieci lkalnych za pśrednictwem łączy telekmunikacyjnych. Stswaną metdą dstępu jest metda punkt-punkt przesyłane są pakiety zmiennej długści z jedneg kmputera bezpśredni d drugieg (zbacz rysunek 9). Rysunek 9. Sieć Frame Relay Oddział Centrala Sieć Frame Relay Oddział Łączenie sieci Sieci mgą być rzbudwywane dzięki wykrzystywaniu specjalnych urządzeń typu: wzmacniak - transmituje dane d wszystkich pdłącznych kmputerów, przy czym ba segmenty sieci muszą uŝywać tej samej metdy dstępu, kncentratr - transmituje dane d wszystkich pdłącznych kmputerów w tplgii gwiazdy, mst - przesyła pakiety danych między segmentami sieci uŝywającymi teg sameg prtkłu kmunikacyjneg, zawiera tabelę adresów pamiętającą adres MAC kaŝdeg kmputera i jeg lkalizację w segmentach sieci. przełącznik - przełącznik przesyła debrany pakiet danych jedynie d kmputera przeznaczenia w parciu infrmację zawartą w nagłówku pakietu, ruter - przesyła dane między róŝnymi segmentami sieci sprawdzając nagłówek pakietu w celu kreślenie najlepszej drgi przesyłania pakietu. Wykrzystuje tabelę rutingu, w której przechwuje infrmacje wszystkich segmentach sieci, dzięki temu zna ścieŝki d tych segmentów. Dzięki ruterwi mŝliwe jest współdzielenie przez wszystkich uŝytkwników pjedynczeg łącza d sieci Internet lub WAN, 10

11 brama - łączy dwie sieci uŝywające róŝnych prtkłów kmunikacyjnych, struktur danych, języków i architektur. MŜna krzystać z sieci w spsób zdalny, wykrzystując metdy zdalneg dstępu takie jak: publiczna sieć telefniczna PSTN, cyfrwa sieć telefniczna ISDN, Kmentarz [ZM2]: Odesłanie d bszaru zawierająceg rzwinięcie skrótu Kmentarz [ZM3]: j.w. sieć pakietwa X.25. Internet, intranet, ekstranet Internet jest gólndstępną siecią partą na prtkle TCP/IP (Transmissin Cntrl Prtcl/Internet Prtcl) zbirze zasad dtyczących przesyłania danych. W ramach tej sieci realizwane są takie usługi jak: WWW (Wrld Wide Web)- gólnświatwy system łączący ze sbą serwery z infrmacjami w frmacie hipertekstu, pczta elektrniczna - wysyłanie i dbieranie kmunikatów w frmie elektrnicznej, FTP (File Transfer Prtcl) - system wymiany plików, listy dyskusyjne - elektrniczna frma biuletynu, Telnet - standard umŝliwiający zdalne przyłączenie kmputera jak terminala, elektrniczny handel - dknywanie zakupów drgą elektrniczną. Intranet jest równieŝ siecią party na technlgii internetwej, ale bwarwany jest zabezpieczeniami tak, aby mgli z nieg krzystać wyłącznie pracwnicy firmy. Wykrzystywanie intranetu przynsi firmie wiele krzyści, m.in. znaczną redukcję ksztów łącznści, dstęp d baz firmwych dla pracwników w dwlnym czasie i miejscu, usprawnienie biegu infrmacji i zarządzanie nią, bsługa pczty, twrzenie grup dyskusyjnych. Przeznaczny jest dla średnich i duŝych firm. UmŜliwia wszystkim pracwnikm wspólne krzystanie z dkumentów i kntrlwanie dstępu grup pracwników d kreślnych infrmacji. Intranet mŝe być łatw płączny z Internetem, dzięki temu mŝna wybranym uŝytkwnikm Internetu umŝliwić dstęp d kreślnych zasbów intranetu danej firmy. Tymi uŝytkwnikami są najczęściej klienci i kntrahenci firmy. Taki udstępniny na zewnątrz intranet nazywany jest extranetem. UmŜliwia n firmie kmunikwanie się z klientami i partnerami gspdarczymi. Styk intranetu z siecią zewnętrzną musi być bardz dbrze zabezpieczny. 11

12 ZagrŜenia bezpieczeństwa danych w sieciach infrmatycznych Rzwój technlgiczny kńca 20 wieku spwdwał pwstanie szeregu nwych zjawisk patlgicznych raz zdarzeń, które z uwagi na swe spłeczne niebezpieczeństw i szkdliwść są ścigane jak przestępstwa lub wykrczenia. Jednym z tych zjawisk jest przestępczść kmputerwa, będąca wynikiem grmneg pstępu techniczneg w zakresie przetwarzania i przechwywania infrmacji. Zaistniała na w kresie, gdy kmputery przestały być ściśle strzeŝną dmeną zamówień rządwych i stały się dstępne dla instytucji charakterze gspdarczym. Rzwój światwych sieci kmputerwych, stała bniŝka cen raz pwstawanie prgramów przyjaznych dla uŝytkwnika i nie wymagających specjalistycznej wiedzy sprzyjają craz szerszemu uŝywaniu tych urządzeń. Stały się ne przedmitem działalnści sprzecznej z prawem, która zstała uznana za jedną z frm przestępczści transgranicznej i stała się przedmitem badań prwadznych z inicjatywy ONZ nad przestępczścią zrganizwaną. Stwierdzn, Ŝe klicznści d naduŝyć kmputerwych zwiększają się prprcjnalnie d pstępu techniczneg. Rzwój glbalnych sieci kmputerwych ptęguje skalę tych zagrŝeń. Przestępczść kmputerwa związana jest z atakami na urządzenia systemu infrmatyczneg, włamaniami d systemu, z ppełnianiem szustw i fałszerstw z wykrzystaniem kmputerów, rzpwszechnianiem zabrninych prawem treści (np. nazistwskich, prngrafii), wykrzystywaniem kmputerów przez zrganizwane grupy przestępcze. Z kaŝdym z elementów systemu kmputerweg związane są kreślne niebezpieczeństwa, które mŝna pdzielić na trzy kategrie: 5 naruszenie tajnści danych, które występuje wtedy, gdy sba nieupwaŝnina uzyska dstęp d przechwywanych i przetwarzanych danych, np. psługując się pdsłuchem płączenia sieciweg i zapisując przesyłane dane. Zdbytą w ten spsób infrmację mŝe wykrzystać ze szkdą dla jej właściciela (np. szpiegstw przemysłwe); nieautryzwany dstęp d systemu związany jest z nieautryzwaną rejestracją w systemie, mŝliwą w wyniku wykrzystania skradzineg lub dgadnięteg hasła. Bardz isttne zatem jest zachwanie właściwej prcedury weryfikacji tŝsamści sby lub prgramu (serwera). Napastnik (tzw. hacker) p włamaniu się d systemu mŝe wyrządzić znaczne szkdy niszcząc dane, przesyłając wiadmści w imieniu prawwiteg uŝytkwnika systemu, kasując prgramy itp.; 5 Ahuja V. (1997) Bezpieczeństw w sieciach, MIKOM, Warszawa, s

13 zablkwanie usługi pwduje wymuszną przerwę w pracy systemu (uszkdzenie aplikacji, prgramu peracyjneg lub sameg sprzętu kmputerweg), bniŝenie jeg wydajnści lub zajęcie jedneg z zasbów (np. pamięci). Wskutek ataku uŝytkwnicy nie mgą krzystać z systemu kmputerweg lub jeg kreślnych zasbów. Ataki takie sprwadzają się częst d zainfekwania systemu kmputerweg prgramami typu badware (np. wirusy, rbaki, bmby czaswe). Innym kryterium pdziału zagrŝeń jest miejsce ich pwstawania. Według teg kryterium zagrŝenia mŝna pdzielić na: 6 zewnętrzne wynikające za szkdliweg wpływu tczenia systemu (np. dym, kurz, wilgć, insekty, zakłócenia elektryczne) i niewłaściwych zabezpieczeń fizycznych (złamanie fizycznych blkad dstępu d systemu kmputerweg), zagrŝenia wewnętrzne (świadme lub nieświadme działania pracwników naruszające bezpieczeństw systemu kmputerweg), zagrŝenia ze strny Internetu (zainfekwanie prgramem typu badware, ataki na serwery). Internet stał się najgrźniejszym niebezpieczeństwem dla systemu kmputerweg, tym bardziej, Ŝe bardz trudn ścigać przestępców internetwych. ZagrŜenia ze strny Internetu dzielne są na dwie grupy: prgramy zagraŝające systemwi kmputerwemu: rbak - pwiela się w kmputerach w całej sieci. Niezliczna liczba kpii teg prgramu pwduje przepełnienie pamięci i w efekcie dezrganizację pracy całeg systemu, wirus - najczęściej jest przenszny przez róŝne aplikacje lub pliki. Jest nieszkdliwy, póki nie zstanie uruchminy (pzstaje w ukryciu). P aktywacji atakuje system słabiając g. Ilść wirusów krąŝących w sieci jest grmna, znajdują się wśród nich i te niegrźne (graniczające się d wypisywania dziwnych kmunikatów na ekranie) i te bardz niebezpieczne, które niszczą prgramy, kń trjański - stwarza wraŝenie uŝyteczneg prgramu, chć w rzeczywistści jest pułapką. Uruchamiany jest przez kreślne dane lub kluczwe słw i słuŝy włamywaczwi d zdbywania infrmacji (np. haseł uŝytkwników), 6 Kukulaka K., Schmidt A. Bezpieczeństw systemów kmputerwych wykład udstępniny w Internecie 13

14 bmba lgiczna - pdprgram, który uruchamia się w pewnym kreślnym czasie (np. dzień urdzin Lenarda da Vinci) i atakuje system dknując zniszczeń, wrgi applet Javy - prgram napisany w języku JAVA, który jest pdstawwym narzędziem prgramwania w Internecie, mŝe zawierać w sbie pdprgram działaniu pdbnym d knia trjańskieg. ataki na serwery: zgadywanie haseł dgadnięcia hasła metdą klejneg pdstawiania słów słwnikwych z wykrzystaniem specjalneg prgramu, maskarada - metda stswana przez dświadcznych włamywaczy. Plega na pdszyciu się włamywacza pd jeden z ze znanych serwerwi kmputerów pprzez pdanie jeg numeru IP, pdsłuch - plega na przechwytywaniu przesyłanych przez sieć niezaszyfrwanych infrmacji, umŝliwiając zdbycie pufnych infrmacji np. hasła uŝytkwnika, szukanie luk plega na wyszukiwaniu błędów w prgramwaniu (szczególnie systemu peracyjneg), jest pdstawą ataku kaŝdeg włamywacza, blkwanie serwisów - plega na wysłaniu duŝej partii infrmacji, które dprwadzają d przeładwania pamięci serwera, a w efekcie d jeg zablkwania, terrryzm sieciwy - uprawiany głównie przez rganizacje terrrystyczne, które wykrzystując słabe zabezpieczenia systemu np. szantaŝują firmy grŝąc zniszczeniem danych. Przeciwdziałać zagrŝenim mŝna stsując dpwiednie usługi i sprzęt, chć całkwicie wyeliminwać się ich nie da. Usługi pdwyŝszające pzim bezpieczeństwa danych KaŜda rganizacja musi wypracwać własną plitykę chrny zasbów w sieci. Przez plitykę bezpieczeństwa rzumie się zbiór przyjętych zasad kreślających stanwisk firmy wbec prblemu bezpieczeństwa. Głównym celem plityki bezpieczeństwa jest chrna zasbów przedsiębirstwa. Bezpieczeństw sieci teleinfrmatycznych jest zagadnieniem systemwym, które wymaga pracwania dkładneg i spójneg prgramu bezpieczeństwa. Dzięki niemu unika się zagrŝeń związanych z nieświadmścią uŝytkwników. Prgram ten musi 14

15 być spójny, pprzedzny analizą ptencjalnych zagrŝeń związanych z róŝnymi spsbami wymiany danych raz skutków przejęcia infrmacji przez nieuprawnine sby. Ustalenia plityki bezpieczeństwa pwinny znaleźć wyraz w dkumencie zasad bezpieczeństwa, zawierającym m.in. pis: struktury systemu kmputerweg, analizy zagrŝeń i metdy zabezpieczeń, prcedur bezpieczeństwa systemu kmputerweg (backup, hasła dstępu, plan ciągłści działania, metdyka pstępwania z nśnikami, metdyka pstępwania ze starymi wydrukami, prcedury antywiruswe, twrzenie prgramwania), zasilania awaryjneg, kntrli dstępu d systemu, metd śledzenia działania systemu pd kątem bezpieczeństwa, metdyki naprawy sprzętu kmputerweg, metd egzekwwania wprwadznych reguł chrny, prgramu szkleń. Pszczególne elementy prgramu bezpieczeństwa muszą ze sbą współpracwać, gdyŝ jakść zabezpieczeń jest taka, jak jakść najsłabszeg gniwa w prgramie bezpieczeństwa. W celu zwiększenia bezpieczeństwa danych wykrzystywane są najczęściej usługi takie jak: uwierzytelnienie - weryfikacja tŝsamści pdmitu alb źródła danych, autryzacja uŝytkwnika - przydzielenie dpwiednich praw dstępu d infrmacji, integralnść - zapewnienie wykrycia mdyfikacji danych, pufnść zapewnienie tajnści danych, kntrla dstępu chrna przed nieupwaŝninym wykrzystaniem systemu, niezaprzeczalnść nadawca lub dbirca nie będą w stanie wyprzeć się faktu nadania lub debrania infrmacji. W prces zabezpieczeń zaangaŝwany jest zarówn nadawca, jak i dbirca infrmacji. Nadawca jest strną, która zabezpiecza kmunikat przed rzpczęciem transmisji, zaś dbirca jest strną, która dknuje sprawdzenia trzymaneg 15

16 kmunikatu. D realizacji pwyŝszych usług wykrzystywane są algrytmy kryptgraficzne. D najczęściej wykrzystywanych naleŝą algrytmy symetryczne, asymetryczne i jednkierunkwej funkcji skrótu. Algrytmy symetryczne wykrzystują d szyfrwania i deszyfrwania infrmacji ten sam klucz. Klucz ten jest pufny, nie mŝe zstać ujawniny. Prblem, który naleŝy rzwiązać dtyczy uzgdnienia klucza i bezpieczneg spsbu dstarczenia klucza d dbircy. Algrytm symetryczny stswany jest dla zapewnienia integralnści i autentycznści kmunikatu. Zaletą tych algrytmów jest ich duŝa szybkść, szczególnie wtedy, gdy bazują na rzwiązaniach sprzętwych. Algrytm asymetryczny wykrzystuje parę kluczy: publiczny i prywatny. Klucz publiczny jest kluczem jawnym, natmiast klucz prywatny jest kluczem tajnym. Infrmacja zaszyfrwana jednym kluczem mŝe zstać rzszyfrwana drugim kluczem. Obydwa klucze generwane są razem. Stswane są dla zapewnienia niezaprzeczalnści (pdpis cyfrwy) i pufnści. W usłudze pufnści d szyfrwania wiadmści wykrzystywany jest klucz publiczny dbircy, a deszyfrwania jeg klucz prywatny. Zatem jeśli firma A chce wysłać zaszyfrwaną wiadmść d firmy B musi pbrać jej klucz publiczny (z repzytrium lub certyfikatu) i tym kluczem zakdwać infrmację. Firma B p debraniu infrmacji uŝyje swjeg klucza prywatneg d jej dkdwania. Pdstawą działania teg algrytmu jest załŝenie, Ŝe na pdstawie klucza publiczneg nie mŝna dgadnąć (wygenerwać) klucza prywatneg. Algrytm asymetryczny wykrzystywany jest takŝe w mechanizmie pdpisu cyfrweg. Pdpis cyfrwy jest rdzajem pieczęci (w pstaci ciągu bitów), która jest przyłączna d danych i umŝliwia ich adresatwi uwierzytelnienie źródła danych raz ptwierdzenie integralnści danych. Pdpis cyfrwy, jak wszystkie inne prcedury bezpieczeństwa, wymaga udziału bydwu strn wymieniających infrmację nadawca generuje pdpis cyfrwy, zaś dbirca g weryfikuje. Pdpis cyfrwy musi być pwiązany z pdpisywaną wiadmścią, Ŝeby niemŝliwe był jeg kpiwanie d innej wiadmści. Realizację teg wymgu zapewnia jednkierunkwa funkcja skrótu, która przekształca pdpisywany dkument d ciągu bitów ustalnej długści. Nadawca, który chce pdpisać wiadmść twrzy najpierw skrót wiadmści z wykrzystaniem funkcji skrótu, a następnie kduje ten skrót za pmcą swjeg klucza prywatneg. Otrzymany w ten spsób ciąg bitów jest pdpisem cyfrwym nadawcy. Nadawca wysyła d dbircy wiadmść i pdpis cyfrwy. Odbirca dkdwuje trzymany pdpis z wykrzystaniem klucza publiczneg nadawcy. Pprawne dkdwanie znacza, Ŝe nadawca jest tą sbą, za którą się pdaje (uwierzytelnienie nadawcy). P dkdwaniu trzymuje skrót wiadmści utwrzny 16

17 przez nadawcę. Następnie twrzy z trzymanej wiadmści skrót za pmcą tej samej funkcji c nadawca. Prównuje ze sbą bydwa skróty jeśli są identyczne t znaczy, Ŝe treść wiadmści nie uległa mdyfikacji pdczas transmisji. Działanie prcedury twrzenie i weryfikacji pdpisu cyfrweg pkazuje rysunek 10. W sytuacji, gdy tŝsamści uŝytkwnika (a więc takŝe dstępie d pufnych danych) decyduje jeg cyfrwy pdpis pjawia się kniecznść upewnienia, Ŝe klucz publiczny, który wykrzystywany jest d weryfikacji pdpisu rzeczywiście naleŝy d sby, za którą uŝytkwnik się pdaje. Z drugiej strny knieczne jest dpwiednie zarządzanie kluczami uniewaŝnianie kluczy skmprmitwanych (publikwanie ich listy), wydawanie nwych. Pwinna równieŝ istnieć mŝliwść ptwierdzania na Ŝądanie tŝsamści uŝytkwnika. Te same wymagania dnszą się d serwerów sieciwych, d których uŝytkwnicy wysyłają pufne dane. Rzwiązanie wymieninych prblemów (i nie tylk) pwierzn urzędm certyfikacji (CA - Certificate Authrity). CA jest strną, d której inni uczestnicy wymiany mają uzasadnine zaufanie i która rzstrzyga wątpliwści c d autentycznści przesyłanych infrmacji na pdstawie psiadanych certyfikatów uŝytkwników. Urzędy certyfikacji działają w ramach tzw. infrastruktury kluczy publicznych (PKI - Public Key Infrastructure). W większści rzwiązań dbywa się t w ten spsób, Ŝe kaŝdy uŝytkwnik, który chce brać udział w bezpiecznej wymianie danych, musi się zwrócić d CA wystawienie certyfikatu, ptwierdzająceg jeg tŝsamść. Najczęściej prcedura wydania certyfikatu wymaga sbisteg udania się d punktu rejestracji i przyniesienia papierwych dkumentów ptwierdzających tŝsamść. Następnie na tej pdstawie CA generuje klucze publiczny i prywatny, którymi uŝytkwnik będzie się psługiwał raz wystawia certyfikat. W samym CA pzstaje klucz publiczny dla celów późniejszeg ptwierdzania tŝsamści uŝytkwnika wbec innych uczestników wymiany danych. W przypadku pdejrzenia np. wykradzenie klucza prywatneg lub zmiany danych sbwych zawartych w kluczu, uŝytkwnik zwraca się d CA uniewaŝnienie dtychczasweg certyfikatu i wystawienie nweg. Usługę tę mŝna takŝe uzyskać pprzez WWW. Prtkół SSL (Secure Sckets Layer) zaimplementwany w przeglądarkach WWW człwych prducentów piera się właśnie na istnieniu CA. 17

18 Rysunek 10. Prcedury pdpisu cyfrweg 7 Firma A Wiadmść 1 dla firmy B Skrót wiadmści 1 Pdpisy cyfrwy Funkcja skrótu klucz prywatny firmy A sieć Wiadmść 1 dla firmy B Skrót wiadmści 1 =? Skrót wiadmści 1 Pdpisy cyfrwy d wiadmści 1 Funkcja skrótu Firma B klucz publiczny firmy A Firewall (zapra sieciwa) W przypadku pdłączenie lkalnej sieci firmy d sieci rzległej istnieje kniecznść zabezpieczenia wewnętrznej sieci przed nieuprawninym dstępem z zewnątrz. Najlepszą metdą zabezpieczenia styku bydwu sieci jest wykrzystanie Firewall a. Firewall jest dedykwanym urządzeniem (grupą urządzeń), które realizuje dwa pdstawwe zadania: zabezpiecza sieć wewnętrzną przed nieuprawninym dstępem z zewnątrz, zapewnia kntrlwany dstęp uŝytkwników wewnętrznych d sieci rzległej. Jak jedyny punkt styku bydwu sieci Firewall zapewnia przestrzeganie ustawinych na nim zasad krzystania z sieci. Na nim dbywa się uwierzytelnianie uŝytkwników chcących skrzystać z zasbów znajdujących się p drugiej strnie Firewall a. Jednczesne zapewnienie łącznści raz rzpznanie i blkwanie prób nieuprawnineg dstępu d lub z sieci wewnętrznej nie jest łatwym zadaniem. Firewall e wykrzystują w tym celu pniŝsze techniki: 7 pracwanie własne 18

19 filtrwanie pakietów - najprstszy spsób kntrlwania ruchu, plega na niezaleŝnej analizie adresów pszczególnych pakietów. Na pdstawie zapisanych reguł Firewall drzuca pjedyncze pakiety, nie wnikając w t, jaki jest ich kntekst. Ten typ Firewall jest bardz szybki, ale teŝ stanwi niezbyt dbre zabezpieczenie; prxy w tej technice wszelkie transmisje muszą najpierw trafić d tzw. prxy (specjalnej aplikacji działającej na Firewall), które zazwyczaj Ŝąda d uŝytkwnika ptwierdzenia swjej tŝsamści i sprawdza jeg uprawnienia d danej peracji. Następnie, jeśli ten etap będzie pzytywny, prxy realizuje płączenie na zewnątrz i d tej chwili przekazuje w spsób przezrczysty dane pmiędzy uŝytkwnikiem a zdalnym serwerem. Ten typ Firewall jest bardz bezpieczny, ale znacznie wlniejszy d pprzednieg; analiza stanu płączeń - stanwi kmprmis pmiędzy pprzednimi rzwiązaniami. Firewall bada pszczególne pakiety, ale w szerszym kntekście, pamiętając stan lgiczneg płączenia, któreg częścią są dane pakiety. T rzwiązanie zapewnia duŝą przezrczystść dla uŝytkwników raz dbrą wydajnść. Firewall jest częścią plityki bezpieczeństwa w firmie. Nie mŝna traktwać g jak panaceum na wszystkie prblemy związane z transmisją danych, gdyŝ mŝe t spwdwać rzluźnienie zasad chrny danych i dprwadzić d naruszenia ich bezpieczeństwa. Zastswanie przedstawinych usług i technlgii pzwli na stwrzenie bezpiecznej sieci firmy, która: będzie miała bezpieczne płączenie z Internetem (Firewall), realizwała uwierzytelnienie za pmcą centralneg serwera uwierzytelniania (dla Telnet i FTP), wykrzystywała urząd certyfikacyjny w celu zapewnienia bezpiecznej pczty w firmie, wykrzystywała szyfrwanie dla zapewnienia pufnści wiadmści przesyłanych p publicznych łączach. 19