Podstawy komunikacji sieciowej

Transkrypt

1 Wykład 1 7

2 Podstawy komunikacji sieciowej 8

3 Komponenty sieci komputerowej Połączenie fizyczne Jest realizowane za pomocą karty rozszerzeń, takiej jak modem lub karta sieciowa, łączącej komputer z siecią. Połączenie fizyczne służy do konwersji i przekazywania sygnałów między komputerami znajdującymi się w sieci. Połączenia logiczne Opisywane są przez standardy zwane protokołami. Protokół jest formalnym opisem zestawu reguł i konwencji określających sposób komunikacji między urządzeniami w sieci. Aplikacje Programy, które interpretują dane i prezentują je w formie zrozumiałej dla człowieka. Aplikacje używają protokołów przy wysyłaniu i odbieraniu danych za pośrednictwem Internetu. 9

4 Topologie sieci Czego tu brakuje? 10

5 Rodzaje transmisji UNICAST jeden do jednego MULTICAST do wielu (grupy) BROADCAST do wszystkich, rozgłaszanie ANYCAST do wszystkich, odbiera najbliższy 11

6 Model OSI Model OSI (ang. Open System Interconnection(s)) powstał za pośrednictwem organizacji ISO i został opublikowany jako RFC w roku All People Seems To Need Data Processing 12

7 Role warstw w modelu OSI 13

8 Warstwowość 14

9 Komunikacja równorzędna 15

10 Model TCP/IP Model TCP/IP jest historycznym i technicznym standardem sieci Internet. Model odniesienia TCP/IP został utworzony w Departamencie Obrony USA jako projekt sieci, która przetrwałaby w każdych warunkach. Obecnie używana wersja stała się standardem we wrześniu 1981 roku. 16

11 Porównanie modeli OSI i TCP/IP 17

12 Protokoły w modelu TCP/IP 18

13 Wprowadzenie do bezpieczeństwa 19

14 Bezpieczeństwo? Bezpieczeństwo stan braku zagrożenia, stan spokoju i pewności Bezpieczeństwo teleinformatyczne zbiór zagadnień z dziedziny telekomunikacji i informatyki związany z szacowaniem i kontrolą ryzyka wynikającego z korzystania z komputerów, sieci komputerowych i przesyłania danych do zdalnych lokalizacji, rozpatrywany z perspektywy poufności, integralności i dostępności Prawdziwie bezpieczny system teleinformatyczny jest wyidealizowanym urządzeniem, które poprawnie i w całości realizuje tylko i wyłącznie cele zgodne z intencjami właściciela 20 A General Framework for Formal Notions of "Secure" Systems B. Pfitzmann, M. Waidner, Hildesheimer Informatik-Berichte

15 Haker Wg osoba, która szuka i ewentualnie wykorzystuje dziury bezpieczeństwa w oprogramowaniu komputerowym. Może też dzięki nim uzyskiwać dostęp do zabezpieczonych zasobów Wg The Hacker's Dictionnary" (Guy L. Steele et al.): osoba, której sprawia przyjemność poznawanie szczegółowej wiedzy na temat systemów komputerowych i rozszerzanie tej umiejętności, w przeciwieństwie do większości użytkowników, którzy wolą uczyć się niezbędnego minimum; osoba, która entuzjastycznie zajmuje się programowaniem i nie lubi teorii dotyczącej tej dziedziny. 21

16 Podział hakerów 22

17 Podział hakerów black hat (czarne kapelusze) Hakerzy/crackerzy działający na granicy lub poza granicami prawa. Znalezionych błędów albo nie publikują w ogóle, wykorzystując je w nielegalny sposób, albo publikują od razu w postaci gotowych programów (tzw. exploitów), które mogą zostać użyte przez osoby o niższych umiejętnościach (np. script kiddies). Niektóre osoby kwestionują w tym przypadku użycie słowa "haker", zastępując je wyrazem "cracker". white hat (białe kapelusze) hakerzy działający zupełnie legalnie lub też starający się nie popełniać szkód. Odkryte przez siebie dziury w bezpieczeństwie zwykle podają w formie, w której mogą zostać łatwo załatane przez autorów oprogramowania, lecz trudne do wykorzystania w celu zaszkodzenia komuś. Wśród nich często się spotyka audytorów bezpieczeństwa. grey hat (szare kapelusze) hakerzy/crackerzy, którzy przyjmują po części metody działania obu wyżej wymienionych grup. 23

18 Zainteresowania hakerów luki (dziury) w: systemach operacyjnych, programach, sieciach komputerowych (systemy zabezpieczeń), urządzeniach (głównie podłączonych do sieci, ale również m.in. w telefonii), systemach autoryzacji (kontrola dostępu do zasobów); (zdalne) przejmowanie kontroli nad danym systemem (zdobywanie uprawnień nadzorcy systemu) techniki (elektronicznego) kamuflażu oraz zacierania śladów (maskowanie operacyjne w wojsku); zaawansowana, praktyczna znajomość technik agresji teleinformatycznej (np. ataki funkcjonalne, sniffing, podszywanie się, cracking, tworzenie koni trojańskich, exploitów itp.) budowa i funkcjonowanie systemów operacyjnych, w szczególności jądra systemu operacyjnego i implementacji usług sieciowych; systemy operacyjne otwarte 24

19 Zasada (nie)bezpieczeństwa nr 1 Nie istnieje bezpieczny komputer! Zabezpieczanie to ciągły proces polepszania. Przeprowadzanie inspekcji pozwala uzyskać pewność, że wszystko wykonano poprawnie i ustawienia są prawidłowe. Wykrywanie włamań pozwala na nie reagować. 25

20 Poziom bezpieczeństwa Nie ma sposobu aby zapewnić 100% bezpieczeństwa! Zabezpieczenia przeważnie nie są łamane lecz omijane. Nie należy opierać się na pojedynczym zabezpieczeniu. Złożoność systemu, a wygoda. Kiedy można założyć, że system jest bezpieczny? 26

21 Strategia bezpieczeństwa Opracowanie skutecznych zabezpieczeń jest problemem bardzo złożonym. Wymaga uwagi i systematyczności na każdym etapie (zwłaszcza projektowym). 27

22 Strategia bezpieczeństwa Co chronić? (określenie zasobów) Przed czym chronić? (identyfikacja zagrożeń) Ile czasu, wysiłku i pieniędzy można poświęcić na należną ochronę (oszacowanie ryzyka, analiza kosztów i zysku) 28

23 Strategia bezpieczeństwa co chronić? sprzęt komputerowy; infrastruktura sieciowa; wydruki; strategiczne dane; kopie zapasowe; wersje instalacyjne oprogramowania; licencje i numery seryjne; 29

24 Strategia bezpieczeństwa co chronić? dane osobowe; dane audytów (teleinformatycznych!!!); Ale także.. zdrowie pracowników; prywatność pracowników; zdolności produkcyjne; wizerunek publiczny i reputacja; 30

25 Strategia bezpieczeństwa przed czym chronić? włamywacze komputerowi; infekcje wirusami; destruktywność pracowników / personelu zewnętrznego; błędy w programach; kradzież dysków / laptopów / innych (również w podróży służbowej); 31

26 Strategia bezpieczeństwa przed czym chronić? utrata możliwości korzystania z łączy telekomunikacyjnych; bankructwo firmy serwisowej / producenta sprzętu; choroba administratora / kierownika (jednoczesna choroba wielu osób); powódź i inne kataklizmy lokalne. 32

27 Polityka bezpieczeństwa 33

28 Polityka bezpieczeństwa Polityka bezpieczeństwa stanowi element polityki biznesowej firmy. Jest to formalny dokument opisujący strategię bezpieczeństwa. Jej realizacja podlega oczywistym etapom: projekt implementacja zarządzanie (w tym audyty) Szczególnie godnym podkreślenia jest etap 3. odzwierciedlający ciągłą ewolucję jaką przechodzą: działalność firmy, środowisko rynkowe jej funkcjonowania, zagrożenia i technologie obrony. 4 Wymaga to ciągłego "trzymania ręki na pulsie" 34

29 Polityka bezpieczeństwa Zakres: definicja celu i misji polityki bezpieczeństwa; standardy i wytyczne; określenie kluczowych zadań i procesów; określenie odpowiedzialności personalnej; 35

30 Polityka bezpieczeństwa Specyfikacja środków: ochrona fizyczna mechanizmy techniczne model bezpieczeństwa mechanizmy kontroli dostępu poziomy uprawnień (jakie poziomy uprawnień istnieją i jakie są zasady ich przyznawania) mechanizmy identyfikacji i zapewnienie autentyczności (na poziomie fizycznym i systemów) śledzenie zdarzeń w systemie (jakie mechanizmy stosowane są do śledzenia zmian w systemach) 36

31 Klasyczne zasady zabezpieczeń CIA Confidentiality poufność Integrity integralność Accounting / Availability inspekcja - audyt / dostępność 37

32 Poufność Zdolność utrzymania czegoś w tajemnicy. szyfrowanie; uprawnienia dostępu; prawa użytkowników do zasobów; uwierzytelnianie. 38

33 Integralność Gwarantuje, że coś pozostaje niezmienione. Szyfrowanie nie zapewnia integralności; Stosuje się m. in. kryptograficzne funkcje mieszające i podpisy cyfrowe. 39

34 Inspekcja (audyt) Proces mający na celu uzyskanie pewności, że coś jest takie, jakie powinno być. 40

35 Dostępność Dane powinny być dostępne dla osób, które w wyniku autoryzacji są uprawnione do tego, aby z nich skorzystać. 41

36 Koniec Wykładu 1 42