COMPUTERWORLD - BezpeΦnost pro vÜechny, soukromφ pro ka₧dΘho

Specializovan² t²denφk o v²poΦetnφ technice

Serißl
o bezpeΦnosti
a informaΦnφm soukromφ

╚ßst 40 - CW 5/98

BezpeΦnost a sφ¥ovß architektura

Jaroslav DoΦkal

V minulΘm dφle jsme se podφvali na specifickΘ hrozby bezpeΦnosti v sφtφch a takΘ na mo₧nosti volby vhodn²ch bezpeΦnostnφch mechanism∙. V dneÜnφm pokraΦovßnφ se zam∞°φme blφ₧e na otßzku sφ¥ovΘ architektury a takΘ nahlΘdneme do menu n∞kolika dalÜφch dφl∙ serißlu.

V rßmci dopl≥ku ISO 7498-2 byla takΘ provedena dekompozice jednotliv²ch slu₧eb a mechanism∙ do vrstev sφ¥ovΘ architektury -- viz tabulka. Takov²to p°φstup se vÜak ukßzal jako dosti nepraktick² a t∞₧kopßdn², nakonec jako celß architektura OSI. ReßlnΘ problΘmy reßln²ch sφtφ ukßzaly, ₧e pro praxi je vhodn∞jÜφ dekompozice do 4 ·rovnφ (viz obrßzek), kterΘ nakonec odpovφdajφ i dnes dominujφcφ protokolovΘ sad∞ TCP/IP:

1. aplikaΦnφ,

2. koncov²ch systΘm∙ (transportnφ ·rove≥),

3. podsφtφ (sφ¥ovß ·rove≥),

4. k lince (fyzickß ·rove≥).

Nejprve si prove∩me hrubou rozvahu na tΘma, kam rad∞ji bezpeΦnostnφ slu₧by umφstit: blφ₧e k aplikaci (nahoru) anebo co nejblφ₧e k lince (dol∙)?

╖ Na ·rovni fyzickΘho propojenφ je nutnΘ zabezpeΦit veÜker² provoz, kter² je na danΘ lince multiplexovßn. Pokud je z n∞j utajovßno nap°φklad jen jedno procento paket∙, nenφ to p°φliÜ efektivnφ p°φstup a je lΘpe bezpeΦnost zajiÜ¥ovat na n∞kterΘ vyÜÜφ ·rovni.

╖ ╚φm ni₧Üφ ·rove≥ zabezpeΦenφ blok∙ dat, tφm je vφce zabezpeΦovßno zßhlavφ. ZabezpeΦenφ na aplikaΦnφ ·rovni vede k tomu, ₧e zßhlavφ na ni₧Üφch ·rovnφch (transportnφ, sφ¥ovΘ) jsou p°enßÜena nezabezpeΦenß. Zßle₧φ na zvolenΘ bezpeΦnostnφ politice, je-li to pova₧ovßno za zßvadu.

╖ Na fyzickΘ ·rovni lze p°ihlΘdnout k charakteristikßm linky; pokud jsou znßmy trasy, po kter²ch se budou chrßn∞nΘ pakety pohybovat, staΦφ chrßnit pouze linky (p°φpadn∞ podsφt∞) na t∞chto trasßch a ne vÜechny linky v sφti.

╖ Umφst∞nφ bezpeΦnostnφch slu₧eb na aplikaΦnφ ·rovni znamenß zahrnout je do ka₧dΘ aplikace na ka₧dΘm koncovΘm systΘmu. Volba linkovΘ ·rovn∞ zase znamenß implementovat bezpeΦnost na ka₧dΘm konci ka₧dΘ sφ¥ovΘ linky. Z tohoto hlediska se tedy ukazuje jako nejvhodn∞jÜφ umφstit prvky doprost°ed architektury (koncov²ch systΘm∙ nebo podsφtφ).

Zhodno¥me nynφ jednotlivΘ konkrΘtnφ mo₧nosti:

╪eÜenφ na aplikaΦnφ ·rovni vychßzφ ze skuteΦnosti, ₧e n∞kterΘ bezpeΦnostnφ slu₧by jsou spojeny p°φmo s odesφlatelem nebo p°φjemcem (autentizace zdroje dat, zamezenφ popφrßnφ atd.) a t∞₧ko je lze realizovat na ni₧Üφ ne₧ aplikaΦnφ ·rovni. Jako p°φklad umφst∞nφ bezpeΦnostnφ slu₧by na aplikaΦnφ ·rove≥ lze uvΘst d∙v∞rnost vybranΘho pole zprßvy (nap°. PINu p°i finanΦnφ transakci), integritu vybranΘho pole zprßvy (nap°. p°i podpisu dokumentu) Φi nepopiratelnost (nap°. p°φjmu ob∞₧nφku).

KoncovΘ °eÜenφ vychßzφ z p°edpokladu, ₧e koncovΘ systΘmy jsou zabezpeΦenΘ, zatφmco komunikaΦnφ prost°edφ, kterΘ je propojuje, nenφ. Volba koncovΘho °eÜenφ vede k transparentnφm °eÜenφm pro aplikace (p°i p°idßnφ novΘ aplikace nenφ nutnΘ se znovu zab²vat jejφ bezpeΦnostφ), je efektivn∞jÜφ, proto₧e jsou zabezpeΦovßna data, kterß jsou u₧ z aplikace sdru₧ena do transportnφch jednotek. Lze zde takΘ chrßnit transportnφ zßhlavφ. Nakonec -- bezpeΦnostnφ administrßtor systΘmu m∙₧e definovat jednotnou bezpeΦnostnφ politiku pro cel² koncov² systΘm a nemusφ ji definovat zvlßÜ¥ pro ka₧dou aplikaci. Na koncovΘ ·rovni b²vß °eÜen problΘm ztrßty, resp. zdvojenφ paket∙ (u n∞kter²ch p°enosov²ch systΘm∙ i chyb p°enosu). Je zcela p°irozenΘ tyto kontroly rozÜφ°it o kontroly integrity. Proto₧e se pro zajiÜt∞nφ d∙v∞rnosti pou₧φvajφ stejnΘ mechanismy jako pro kontrolu integrity, je vhodnΘ se vyhnout dvojφ funkcionalit∞ umφst∞nφm obou bezpeΦnostnφch funkcφ na stejnou ·rove≥ sφ¥ovΘ architektury.

╪eÜenφ na ·rovni podsφtφ (s vyu₧itφm sm∞rovaΦ∙, paketov²ch filtr∙ atd.) p°esouvß zodpov∞dnost za bezpeΦnost od sprßvce systΘmu na sprßvce sφt∞. Je to zßrove≥ °eÜenφ ·spornΘ, proto₧e umo₧≥uje definovat a realizovat bezpeΦnostnφ politiku pro jeden sφ¥ov² prvek mφsto pro desφtky, stovky, resp. tisφce koncov²ch za°φzenφ.

╪eÜenφ na fyzickΘ ·rovni je transparentnφ ke vÜem protokol∙m vyÜÜφch vrstev. Nutn∞ vÜak vede k hardwarovΘ realizaci, co₧ se p°i v∞tÜφm poΦtu linek v sφti m∙₧e znaΦn∞ prodra₧it. Navφc zde mohou b²t i vysokΘ operaΦnφ nßklady p°i nastavovßnφ v∞tÜφch mno₧stvφ geograficky vzdßlen²ch za°φzenφ. P°itom je zde zabezpeΦovßn vztah pouze mezi dvojicφ fyzicky propojen²ch systΘm∙ a navφc bezpeΦnost uvnit° t∞chto systΘm∙ (rozboΦovaΦ∙, most∙, p°epφnaΦ∙, sm∞rovaΦ∙) nenφ zajiÜt∞na. TradiΦnφ bezpeΦnostnφ slu₧bou je zde zajiÜt∞nφ d∙v∞rnosti p°enosu Üifrovßnφm.

Na jakΘ ·rovni a jak²mi mechanismy bychom °eÜili na poΦßtku Φlßnku uvedenΘ konkrΘtnφ ·toky proti protokolovΘ sad∞ TCP/IP?

╖ proti odposlechu se lze brßnit Üifrovßnφm na libovolnΘ ·rovni, ale takΘ v²b∞rem vhodnΘho typu sφt∞ (nap°. 100VG-AnyLAN), resp. sφ¥ov²ch komponent (p°epφnaΦ∙, "bezpeΦn²ch" rozboΦovaΦ∙ atd.) tj. °φzenφm p°φstupu na ·rovni linky,

╖ proti p°ehrßvßnφ paket∙ se lze brßnit v²b∞rem vhodnΘho mechanismu autentizace na aplikaΦnφ ·rovni,

╖ proti zm∞nßm paket∙ se lze brßnit kontrolami integrity na aplikaΦnφ ·rovni (nap°. mechanismem digitßlnφho podpisu) anebo na sφ¥ovΘ ·rovni (autentizaΦnφ zßhlavφ),

╖ proti zßsah∙m do sm∞rovaΦ∙ se lze brßnit jejich autentizacφ, tj. na sφ¥ovΘ ·rovni,

╖ proti zßplavßm paket∙ se lze brßnit mechanismy °φzenφ p°φstupu op∞t na sφ¥ovΘ ·rovni,

╖ proti krßde₧i paket∙ se lze brßnit pevn∞ nastaven²mi sm∞rovacφmi tabulkami, ale takΘ monitorovßnφm sφ¥ovΘho provozu,

╖ pou₧itφ zdrojovΘho sm∞rovßnφ se lze vyhnout jeho zßkazem v rßmci konfigurace sm∞rovaΦ∙,

╖ proti ICMP p°esm∞rovßnφ se lze brßnit autentizaΦnφmi vlastnostmi sm∞rovaΦ∙,

╖ proti SYN ·toku se dnes lze brßnit pomocφ firewall∙ anebo jednoduÜeji vhodn∞jÜφm °φzenφm p°φstupu k soket∙m (nap°. s vyu₧itφm Φasovßnφ, vyhazovßnφm p°espoΦetn²ch SYN atd.),

╖ proti odhadu oΦekßvßnφ p°i navazovßnφ TCP spojenφ se lze brßnit nßhodnou volbou Φφsla prvnφho bajtu spojenφ, °φzenφm p°φstupu do sφt∞ atd.

Ochran∞ nejv²znamn∞jÜφch aplikaΦnφch protokol∙ a dalÜφm klφΦov²m problΘm∙m bezpeΦnosti sφt∞ budou v∞novßny nßsledujφcφ dφly serißlu.

A o Φem tedy budou:

╖ Distribuce klφΦ∙, co₧ je jeden z nejv∞tÜφch problΘm∙ bezpeΦnosti poΦφtaΦovΘ sφt∞. ╚lßnek bude probφrat centralizovanΘ a decentralizovanΘ metody s vyu₧itφm symetrick²ch i asymetrick²ch klφΦ∙. Budou zde popsßny a porovnßny protokoly ISAKMP, OAKLEY a SKIP.

╖ AutentizaΦnφ protokoly, kdy autentizaΦnφ servery ov∞°ujφ autenticitu danΘho klienta a na zßklad∞ tohoto ov∞°enφ zvlßÜtnφ server p°id∞luje prßva na vyu₧itφ slu₧eb jednotliv²ch server∙. ╚lßnek provede porovnßnφ metod zalo₧en²ch na symetrick²ch a asymetrick²ch metodßch Üifrovßnφ, tj. znßm² Kerberos s SPX firmy DEC.

╖ ╪φzenφ p°φstupu, d°φve znßmΘ jen z oblasti databßzφ a nynφ pou₧φvanΘ i v rßmci poΦφtaΦov²ch sφtφ.

╖ PGP (Pretty Good Privacy), program pro zabezpeΦenφ elektronickΘ poÜty, hojn∞ pou₧φvan² p°i vzßjemnΘ komunikaci v Internetu. Nov∞ umo₧≥uje i jednoduchou podporu ochrany souboru na desktopu. Bude diskutovßna integrace PGP do poÜtovnφho programu a vyu₧itφ PGP k zajiÜt∞nφ d∙v∞rnosti, integrity a autenticity.

╖ X.400, poÜta standardizovanß ITU (International Telecommunication Union), u kterΘ se s komplexnφm zabezpeΦenφm p°enosu poΦφtalo ji₧ p°i jejφm nßvrhu. ╚lßnek objasnφ, jak se tato poÜta vypo°ßdßvß s jednotliv²mi bezpeΦnostnφmi hrozbami, jakΘ zajiÜ¥uje bezpeΦnostnφ slu₧by a jak jsou tyto slu₧by uspo°ßdßny do jednotliv²ch profil∙ bezpeΦnostnφch t°φd.

╖ EDI (Electronic business data interchange) je software zajiÜ¥ujφcφ elektronickou v²m∞nu obchodnφch transakcφ (objednßvky, faktury, platebnφ p°φkazy atd.), obvykle nad poÜtou X.400. ╚lßnek bude obsahovat rozbor p°φsluÜn²ch prßvnφch norem, anal²zu rizik prost°edφ EDI, popis jednotliv²ch typ∙ EDI a pou₧it²ch bezpeΦnostnφch mechanism∙, budou tΘ₧ diskutovßny implementaΦnφ problΘmy.

╖ ElektronickΘ obchodovßnφ. ╚lßnek objasnφ jeho podstatu, v²hody a nev²hody, popφÜe problΘmy a hrozby. Vysv∞tlφ fungovßnφ komerΦnφch a bankovnφch slu₧eb na elektronickΘ bßzi, homebanking, virtußlnφ bankovnictvφ, platebnφ systΘmy a slu₧by finanΦnφho investovßnφ. Ukß₧e, v Φem je budoucnost elektronickΘho obchodovßnφ.

╖ Protokoly SHTTP, SSL a PCT, slou₧φcφ pro bezpeΦnou komunikaci s Weby. ╚lßnek bude obsahovat porovnßnφ v²hod a nev²hod jednotliv²ch protokol∙ a popis souΦasnΘho stavu v oblasti jejich pou₧itφ.

╖ SET (Secure Electronic Transactions), protokol pro bezpeΦnou komunikaci mezi zßkaznφkem, obchodnφkem a jejich bankami. ╚lßnek poskytne p°edstavu co protokol umφ (zajistit autentizaci dr₧itele karty a obchodnφka a bezpeΦnost elektronickΘ transakce) a co neumφ (nap°. zamezit pop°enφ provedenφ platby).

╖ Firewally by m∞ly vymezit okruh, za kter²m jsou zabezpeΦenΘ vnit°nφ sφt∞ u₧ivatel∙. ╚lßnek objasnφ v²hody a nev²hody zßkladnφch typ∙ firewall∙ i dalÜφ slu₧by poskytovanΘ firewally (kvantitativnφ omezenφ toku dat, transformaci adres atd.). Dßle naznaΦφ postup p°i v²b∞ru vhodnΘho firewallu pro danΘho u₧ivatele, resp. organizaci.

Vztah slu₧eb a mechanism∙ k jednotliv²m vrstvßm sφ¥ovΘ architektury

sφ¥ovß vrstva

fyzickß dat spoje sφ¥ovß transportnφ relaΦnφ prezentaΦnφ aplikaΦnφ

SLUÄBY

autentizace dvojice entit X X X

autentizace zdroje dat X X X

°φzenφ p°φstupu X X X

d∙v∞rnost p°enosu v rßmci navßzanΘho spojenφ X X X X X X

d∙v∞rnost p°enosu bez navßzßnφ spojenφ X X X X X

d∙v∞rnost vybranΘho pole zprßvy X X

d∙v∞rnost provozu X X X

integrita spojenφ s obnovou X X

integrita spojenφ bez obnovy X X X

integrita urΦenΘho pole v re₧imu s navßzßnφm spojenφ X

integrita bloku dat v re₧imu bez navßzßnφ spojenφ X X X

integrita urΦenΘho pole v re₧imu bez navßzßnφ spojenφ X

d∙kaz odeslßnφ X

d∙kaz p°φjmu X

MECHANISMY

Üifrovßnφ X X X X X

digitßlnφ podpisy X X X

°φzenφ p°φstupu X X X X

integrita dat X X X

autentizace X X X

dopl≥ovßnφ tok∙ X X

°φzenφ sm∞rovßnφ X

ov∞°ovßnφ X X

BezpeΦnost a sφ¥ovß architektura

| COMPUTERWORLD - serißl o bezpeΦnosti | COMPUTERWORLD | IDG CZ homepage |