1. Bezpečnosť v počítačových sieťach
Jaroslav Porubän
KPI FEI TU Košice © 2006

2. Zabezpečené spojenie
Zabezpečné spojenie dvoch komunikačných bodov zahŕňa
spoľahlivý prenos údajov
autentifikáciu oboch komunikačných bodov
ochranu pred odpočúvaním
ochranu pred zmenou resp. falšovaním údajov

3. TCP/IP model Aplikačná vrstva (Application layer)
telnet, FTP, SMTP, HTTP, DNS, SQL
Transportná vrstva (Transport layer)
TCP, UDP
Sieťová vrstva (Network layer/Internet layer)
IP, ARP, RARP, ICMP
Vrstva prístupu k sieti (Network access layer/Data link layer)
IEEE 802.x, FDDI, ATM, PPP
Application
Transport
Network
Data link

4. Základné protokoly v TCP/IP
IP (Internet Protocol) slúži na prenos datagramov, rôznymi typmi sietí
TCP (Transport Control Protocol) zaručuje doručenie paketu, ak nedostane potvrdenie o doručení paket je poslaný opäť
UDP (User Datagram Protocol) nezaručuje doručenie, nepreposiela pakety

5. IP a UDP hlavička

6. TCP hlavička

7. Prenos údajov

8. Bezpečnosť v TCP/IP
Protokoly IP, TCP a UDP nedefinujú mechanizmy zabezpečenia komunikácie šifrovaním údajov ani autentifikáciu
Protokoly Telnet, FTP, SMTP, POP, HTTP tiež nezabezpečujú dôvernosť a autentifikáciu

9. Zabezpečenie komunikácie v modely TCP/IP
Application
Transport
Network
Data link
Aplikačná vrstva
aplikačne závislé
Transportná vrstva
SSL/TLS (zabezpečenie TCP)
Sieťová vrstva
IPSec (zabezpečenie IP)
If we integrate secure communication into the application layer, we have to do so
for each application on a host. The application has access to the full user context
and can enforce role-based access control. The application need not depend on the
underlying host or operating system for security services and can coexist with
other services that are not secured. The application can use high-level interfaces
with other security service providers and can directly manage events such as
alarms.
■■ If we add security at the transport layer, we gain application independence but are
now further from the application, possibly with less information. The security
mechanism might require the use of a specific transport-level protocol because it
depends on its services. SSL, for example, runs over TCP because its sessionoriented
nature requires reliable communication. Alarm management can still be
handed to the application but is often sent to the system log or passed to a
dedicated alarm management process on the host because the application might
not be prepared to handle security events.
■■ If we add security at the network level, we lose even more contact with the
application. We might be unable to originate the connection from a particular
application, let alone a specific user within that application. The network-level
security mechanism must depend on a higher-layer interaction to capture this user
context and pass it down to the network layer. This context is called a security
association and must be established according to security policy guidelines that
might be unavailable at this low level.
■■ At the data link and the physical level, we can use hardware encryption units or
purchase dedicated private lines to protect a communications link. These are
completely divorced from the application and are generally statically configured.

10. IPSec
navrhnutý IETF
zabezpečenie dôvernosti, autentifikácie a integrity údajov na internetovej vrstve
poskytuje dva základné typy ochrany:
autentifikácia
šifrovanie

11. IPSec

12. IPSec módy Transport Mode Tunnel Mode host-host host-network
IP Header
TCP Header
Data
Transport Mode
Tunnel Mode
host-host
host-network
network-network
IP Header
TCP Header
Data
IPSec Header
IP Header
TCP Header
Data
IPSec Header
New IP Header

13. IPSec spojenie

14. Firewall
množina HW a SW prostriedkov, ktorých úlohou je oddeliť lokálnu sieť od Internetu (ohnivá stena)

15. Firewall bezpečnostná politika
mechanizmus identifikácie a autentifikácie
mechanizmus riadenia prechodu údajov cez firewall

16. Výhody firewall-u
celá komunikácia lokálnej siete s okolím prechádza cez jeden bod
zakrytie lokálnej siete
tvorba auditačných záznamov
zabránenie exportu informácií
preklad lokálnych adries

17. Nedostatky firewall-u
nechráni proti útokom zvnútra
nezabraňuje vytvoreniu alternatívnej cesty
v prípade prekonania ochranného mechanizmu je sieť nezabepečná
jeho výkon je kritický pre sieť

18. Filtrovanie paketov
filtrovanie prechádzajúcich paketov na základe definovaných pravidiel
jednoduché riešenie
vysoká rýchlosť
zložité postihovanie výnimiek pre konkrétne aplikácie
internetová vrstva podľa adresy zdroja a cieľa, čísla protokolu
transportná vrstva aj podľa zdrojového a cieľového portu, stavu komunikácie

19. Filtrovanie paketov - príklad
odkiaľ
kam
práva
*:*
deny
*:*
*:80
allow
*:20
*:21

20. Aplikačné brány bezpečnejšie ako paketové filtre
pre každú službu existuje proxy – zástupca (HTTP, FTP)
nižšia rýchlosť
povoľuje len služby, pre ktoré existuje proxy
analyzovanie obsahu paketov
antivírová kontrola
skrývanie mien lokálnej siete

21. Aplikačné brány

22. Kombinované firewally
stavová inšpekcia paketov – vychádza z filtrovania paketov, umelo je vybudovaná logika o prebiehajúcej komunikácii
adaptívne proxy – komunikácia je začatá na úrovni aplikácie, po overení je možné časť komunikácie prepúšťať priamo

23. Firemná sieť

24. Virtuálne privátne siete (VPN)