Bezpieczeństwo sieci informatycznych -wstęp do części drugiej Dr inż. Małgorzata Langer
Systemy i sieci informatyczne Coraz wydajniejsze komputery osobiste Rozwiązania na styku różnych technologii Powszechne użycie Internetu Ilość połączeń między uczestnikami nieustannie wzrasta, a same połączenia przekraczają granice państwowe Zwielokrotniła się liczba i rodzaje urządzeń dostępowych
Internet wspomaga strategiczne infrastruktury - energetyczną, transportową, finansową odgrywa dużą rolę w procesie funkcjonowania przedsiębiorstw odgrywa dużą rolę przy świadczeniu przez państwo usług na rzecz obywateli i przedsiębiorstw powszechne narzędzie w komunikacji i wymianie informacji między obywatelami
Kultura bezpieczeństwa Skoncentrowanie się na bezpieczeństwie podczas tworzenia systemów i sieci informatycznych Podejście, które przykłada należną wagę do potrzeb wszystkich użytkowników, istoty systemów, sieci i usług pochodnych Uczestnicy powinni być świadomi możliwych zagrożeń bezpieczeństwa i działań prewencyjnych
Zasady realizacji Kultury Bezpieczeństwa (OECD Guidelines) 1. Świadomość 2. Odpowiedzialność 3. Reakcja 4. Etyka 5. Demokracja 6. Ocena ryzyka 7. Projektowanie i wdrażanie rozwiązań z zakresu bezpieczeństwa 8. Zarządzanie bezpieczeństwem 9. Przegląd
Bezpieczeństwo telekomunikacyjne i teleinformatyczne w systemie bezpieczeństwapaństwa Znaczenie bezpieczeństwa telekomunikacyjnego i teleinformatycznego (TiT) jest jednym z kluczowych aspektów bezpieczeństwa narodowegoi jest opisane w Strategii bezpieczeństwa narodowego. Bezpieczeństwo TiTw szerokim rozumieniu, odnosi się do wielu dziedzin, od ochrony danych i sposobów ich przekazywania, po sposoby ich pozyskiwania z zewnętrznych źródeł. jest powiązane ze zjawiskiem określanym, jako wojna informacyjna
Wojna informacyjna Działanie oparte na technologiach informatycznych, prowadzone w trakcie impasu politycznego lub konfliktu zbrojnego przeciw drugiemu podmiotowi wywarcie wpływu na systemy informatyczne przeciwnika (fałszowanie danych, tworzenie szumów informacyjnych, dezinformowanie ) ochrona własnych systemów i danych
Bezpieczeństwo TiT Bezpieczeństwo TiTw wąskim rozumieniu, jest to katalog zagadnień z dziedziny informatyki traktujące o zakresie i możliwościach ochrony sieci komputerowych w zakresie poufności, udostępniania i integralności danych.
Podejście operatorów Wszędzie tam, gdzie jest przesyłana informacja niejawna, zaleca się, aby nadawca i odbiorca informacji zadbał o jej właściwe utajnienie, operator zaś powinien skoncentrować się na tym, co potrafi robić najlepiej, czyli świadczeniu usług, np. polegających na dostarczaniu niezawodnego i szybkiego medium transmisyjnego, tak aby operacja szyfrowania i deszyfrowania nie wpływała na nietolerowalneopóźnienia transmisji sygnału.
Bezpieczeństwo infrastruktury sieciowej bezpieczeństwo podstawowych protokołów i urządzeń sieciowych w poszczególnych warstwach modelu OSI bezpieczeństwo infrastruktury sieci przewodowych, bezprzewodowych i urządzeń mobilnych (WiFi, Bluetooth) bezpieczeństwo usług VoIP, interaktywnych IPTV bezpieczeństwo otoczenia (EMC)
FCAPS Rekomendacja ITU-TM3400 Fault Management Configuration Management Accounting Management Performance management Security management
ISO 7498-1 (1994 rok) OSI- Open System Interconnection
Cele OSI: Logiczny rozkład złożonej sieci na mniejsze części (WARSTWY) Możliwość zdefiniowania znormalizowanych interfejsów dla funkcji sieci Zapewnienie symetrii funkcji przy każdym węźle Umożliwienie przewidywalnościskutków i kontroli nad wszelkimi zmianami w sieci Ujednolicenie definicji i terminów umożliwiających precyzyjną i jednoznaczną wymianę informacji pomiędzy projektantami sieci, zarządcami, kupcami i producentami sprzętu oraz użytkownikami
Założenie Każda warstwa daje projektantowi/producentowi/inwestorowi dowolne własne podejście, wykorzystanie know-how i opatentowanych rozwiązań ZNORMALIZOWANE SĄ PUNKTY STYKU (SAP Service Access Point) INTERFEJSY POMIĘDZY WARSTWAMI, lub do dostawcy usługi
SAP Service Access Point Przez SAP przechodzą 4 funkcje pierwotne A B Request Confirm Response Indication SAP SAP Usługodawca (Jedna lub wiele funkcji)
Komunikacja pomiędzy warstwami SDU Service Data Unit PCI Protocol Control Information PDU Protocol Data Unit IDU Interface Data Unit ICI Interface Control Information
SDU Dane użytkownika (CAŁKOWICIE PRZEZROCZYSTE!!) przenoszone przez warstwę N+1 do warstwy N, następnie do N-1 PCI informacja wymieniana przez jednostki tej samej warstwy (PEER ENTITIES) w różnych lokalizacjach, aby poinstruować jedna drugą, że należy wykonać określoną funkcję serwisową (NAGŁÓWEK) PDU połączenie SDU i PCI ICI tymczasowy parametr przenoszony pomiędzy N i N-1 dla właściwego wykonania usługi (np. połączenie na koszt abonenta) IDU kompletna jednostka informacji, która przekracza granice warstw transmitowana poprzez SAP
NADAWCA ODBIORCA H: Header Symetria H1 DATA H1 DATA N + 1 H1 DATA H1 DATA H2 H1 DATA H2 H1 DATA H2 H1 DATA N H2 H1 DATA H3 H2 H1 DATA H3 H2 H1 DATA H3 H2 H1 DATA N - 1 H3 H2 H1 DATA Kanał transmisyjny
Application Layer Presentation Layer Session Layer Transport Layer Network Layer Data Link Layer Physical Layer Port AUI Port DCE Port MDI Podstawowy Model OSI 7 warstw AUI: Attachment Unit Interface MDI: Medium Dependent Interface K A N A Ł
Niektóre, pośredniczące, systemy nie muszą wykorzystywać wszystkich warstw pełnią rolę przekaźników
Wewnątrz kanału można łączyć wiele obwodów danych (np. różne media) aktywowana jest warstwa fizyczna
SIECI CONNECTION-ORIENTED oraz CONNECTIONLESS Connection-oriented początkowo nie istnieje żadne legalne połączenie pomiędzy DTE i siecią (stan jałowy -idle) By nawiązać komunikację niezbędne są procedury handshake Dane użytkownika wymieniane są zgodnie z wcześniej ustalonym protokołem Po realizacji połączenia następuje powrót do stanu jałowego
Connection oriented Idle brak połączenia Połączenie ustalone Transfer danych Potrzebne są ACKs (acknowledgments) do nawiązania połączenia, kontroli przepływu, ujawniania i naprawiania błędów Zwolnienie połączenia Idle brak połączenia
Idle brak połączenia Connectionless jak skrzynka pocztowa Transfer danych Idle brak połączenia Nie ma ACKs, brak kontroli przepływu, żadnych mechanizmów do ujawniania i kontroli błędów Ale oczywiście można dołożyć kontrolę błędów do aplikacji lub protokołu w wyższej warstwie
Model 5 warstw TCP/IP 5. Application stratum(dhcp Dynamic Host Configuration Protocol, DNS Domain Name Service, FTP File Transfer Protocol, TELNET, SSH Secure Shell Encryption ) 4. Transport stratum(tcp Transport Control Protocol, UDP User Datagram Protocol, IGMP Internet Group Management Protocol, ICMP Internet Control Message Protocol ) 3. Network/Internet stratum(ipv4, IPv.6, OSPF Open Shortest Path First, ARP Address Resolution Protocol, ) 2. Data link stratum(token Ring, Ethernet, GPRS General Packet Radio Service, ) 1. Physicalstratum(Modemy, światłowód, radio, Warstwa bardzo złożona, obejmuje wiele technologii, tutaj są np. technologie LTE)
Modyfikacje Wprowadzenie warstwy dodatkowej: Service usługi pomiędzy warstwy aplikacji i transportu Warstwa usług zawiera m.in. RACS (Resource Warstwa usług zawiera m.in. RACS (Resource & Admission Control Subsystem)
Faleelektromagnetyczne Zaburzenie pola elektromagnetycznego rozchodzące się w przestrzeni ze skończoną prędkością. Są to fale poprzeczne -w każdym punkcie pola wektor natężenia pola elektrycznego E i wektor indukcji magnetycznej B są prostopadłe do kierunku rozchodzenia się fal elektromagnetycznych i do siebie, a ich prędkość rozchodzenia się w próżni c 3 10⁸m/s. Właściwości, warunki powstawania i rozprzestrzeniania się fal elektromagnetycznych opisują równania falowe wynikające z równań Maxwella
Równania Maxwella: w przestrzeni nie zawierającej ładunków (w próżni) gdzie 2 2 E = µ H t 2 H = µε H 2 tt H-natężeniepolamagnetycznego, E- natężenie pola elektrycznego Fala rozchodzi się z prędkością: = µε t 2 2 E 1 µε
Interpretacja fizyczna I równania
Interpretacja fizyczna II równania
Rodzaj fali Długość fali [m] Częstotliwość [Hz] Radiowe > 10 ⁴ < 3 10¹² Podczerwień 5 10 ⁴ 8 10 ⁷ 6 10¹¹ 3,7 10¹⁴ Światło 8 10 4 10 ⁷ 3,7 10¹⁴ 7,5 10¹⁴ widzialne Ultrafiolet 4 10 ⁷ 10 ⁹ 7,5 10¹⁴ 3 10¹⁷ Promienie Roentgena Promienie Gamma 10 ⁹ 6 10 ¹² < 10 ¹⁰ > 10¹⁸ 1,5 10¹⁷ 5 10¹⁹
Fale elektromagnetyczne
PROMIENNIKI (źródła promieniowania) Źródłami fal elektromagnetycznych są kable i przewody z prądem przemiennym, kineskopowe ekrany telewizorów i monitorów, przełączalne układy elektroniczne, silniki, kuchenki mikrofalowe, telefony komórkowe i przenośne, piloty do sprzętu audio video, ale również Słońce, gwiazdy Szczególnie zakłócającymi środowisko są częstotliwości 50 Hz i jej wielokrotności, wynikające z przyjętego systemu zasilania w Europie (w USA 60 Hz)
Kompatybilność systemów radiokomunikacyjnych Kompatybilność wewnętrzna zapewnienie dostatecznego marginesu bezpieczeństwa wszystkim obiektom wchodzącym w skład systemu np. komórki tej samej sieci leżące obok siebie nie mogą się wzajemnie zakłócać Środowisko elektromagnetyczne tworzone przez naturalne pola istniejące w otoczeniu Ziemi oraz pola powstające w wyniku działalności człowieka Kompatybilność zewnętrzna rozpatrywany obiekt w znikomym stopniu oddziaływujedegradująco na środowisko i jednocześnie jest mało podatny na oddziaływanie ze strony środowiska
Możliwości technologiczne pozyskiwania i modyfikacji informacji Media transmisyjne: -miedziane - światłowodowe -radiowe Jak wyłowić transmitowany sygnał?
Zalety światłowodów Światłowodynieemitujązewnętrznegopola elektromagnetycznego, w związku z czym niemożliwe jest podsłuchanie transmisji, jeżeli nie posiada się dostępu fizycznego, są bardzo odporne na zewnętrznezakłóceniaelektromagnetyczne,stopa błędówmniejszaniż10-10 przynajwyższych przepływnościach binarnych, mała tłumienność jednostkowa(około0,20db/kmdlaświatła1,5µm).
Jak włamać się do sygnału? Dostęp do włókna jest możliwy na urządzeniach przełączających, końcowych, nawet na pewnych odcinkach trasy. Część mocy można by wyprowadzić na zewnątrz Część mocy można by wyprowadzić na zewnątrz poprzez sprzęgacz optyczny, ale trzeba do tego odłączyć lub przeciąć światłowód: -użytkownik może nie zauważyć, jeżeli zadziała przełączenie automatyczne - operator powinien zauważyć
c.d. Sprzęgacze nowej generacji wystarczy wyciek sygnału na przegięciu włókna o małym promieniu. Straty mocy mogą nie przekroczyć 1% a uzyskany sygnał wystarczy do analizy Większość urządzeń operatora umożliwia Większość urządzeń operatora umożliwia monitorowanie wartości odbiorczej mocy sygnału z poziomu systemu zarządzania. Jej zmiany w małym zakresie (1 sprzęgacz to spadek 0,1dB do 2 db) nie generują alarmów
Media miedziane W przypadku sygnału analogowego dostęp do informacji w sygnale może być stosunkowo prosty Wykorzystanie zjawisk indukcji, przenikania, przesłuchu mogą umożliwiać odczytanie sygnału bez fizycznej ingerencji w sieć Włączenie w tor dodatkowego urządzenia powinno być zauważone przez operatora, nie będzie zauważone przez użytkownika
Linia symetryczna budowa rozkład pól
Sygnał radiowy Pozyskanie sygnału wydaje się być bardzo proste i wynika z łatwości dostępu do medium; W wypadku systemów nowszych generacji, w których zastosowano nowoczesne metody szyfrowania sprawa na szczęście znacznie się komplikuje Transmisja sygnałów w technologii 4G wykorzystuje różne częstotliwości dla jednego połączenia Natomiast niezaszyfrowany sygnał analogowy jest bezbronny