Tinklo apsauga

                Turinys:

Saugumas kompiuteriniame tinkle.

Tinklo saugumas.

Bevieliuose tinkluose.

Prisijungimo kontrolė.

Informacijos kodavimas tinkle.

Firewall priemonės.

    Pridengiantis maršrutizatorius (Screening Router).

    Įtvirtinta mašina (Bastion host).

    Dvigubi vartai (Dual homed Gateway).

    Pridengiančios mašinos vartai (Screened Host Gateway).

    Pridengiantis potinklis (Sreened Subnet).

    Programiniai vartai (Application Level Gateway).

    Hibridiniai vartai (Hybrid Gateways).

Firewall priemonės, naudojant pridengiančius maršutizatorius (Screening Routers).

 Dvigubi vartai (Dual Homed Gateways).

Pridengiančios mašinos vartai (Screened Host Gateways).

Pridengiantys potinkliai (Screened Subnets).

Hibridiniai vartai (Hybryd Gateways.

Paketų filtravimas.

Protokolų peržiūr.

Apsisaugojimas nuo virusų.

Elektronikos projektavimo (ELEN- Elelctronic Engineering) laboratorijos apsaugojimas tinkle naudojantis firewall priemonėmis.

Slaptažodžių pasiklausymas.

Sistemos modelio įvertinimas.

 

Saugumas kompiuteriniame tinkle

Saugumas yra pagrindinis tinklo reikalavimas, nes Internetas yra nesaugus. Yra milijonai kompiuterių tinkle, kurių ryšys gali būti perimtas. Kai duomenys keliauja nuo siuntėjo link gavėjo, paprastai turi keliauti per kelias kitas konekcijas. Tai vadinama maršrutizavimu. Maršrutizavimo metu, kiti kompiuteriai, nesantys siuntėju ir gavėju, gali prieiti prie siunčiamų duomenų. Netgi kompiuteriai tiesiogiai nesusiję su maršrutizavimu gali prieiti prie duomenų.

Visos saugumo problemos, susijusios su tinklu, gali būti išsprendžiamos firewall priemonėmis (angl. ugnies siena) pagalba.

Pagrindinės saugumo problemos Internete:

 Siunčiant informaciją tinklu, yra trys galimi pagrindiniai saugumo pažeidimai:

·        Klausymąsis. Tarpininikai tinkle klausosi privačių pokalbių (vieno kompiuterio kalbančio su kitu).

·        Manipuliacija - tarpininkai pakeičia informaciją privačiame ryšyje.

·        Įkūnijimas (Impersonacija) - siuntėjas arba gavėjas komunikuoja neteisingai save identifikavęs.

Tinklo saugumas

Yra du įsilaužėlių tipai, dėl kurių kyla rupesčių. Tai įsilaužėliai, kurie gali peržiūrėti informaciją duomenų failuose, stebėti privačius pokalbius tarp kitų kompiuterinio tinklo vartotojų, perimti elektroninio pašto pranešimus, skirtus kitiems vartotojams, arba uždraustą nuskaitymui informaciją. Ir įsilaužėliai, kurie, gadina informaciją modifikuodami ją, uždrausdami kitus vartotojus prisijungti prie tinklo resursų ir pateikdami klaidingus duomenis arba netikrus (neautentiškus) pranešimus tinkle. Tokio tipo įsilaužėliai gali net ieškoti programų sunaikinimo tikslu - paleidžiant virusus tinkle.

Fizinę darbo aplinką lengva apsaugoti. Tokia atsargumo priemonė, kaip ofiso durų rakinimas  ir laidų tiesimas, sugriežtinant įėjimą į duomenų centrą ir registruojant vartotojus, gali labai sumažinti riziką. Kai kurios darbo stotys turi administravimo priėjimą prie koncentratorių (hubs), lokalaus tinklo (LAN) serverių, tiltų-maršrutizatorių (bridge-routers) ir kitų prisijungimo prie tinklo taškų. Taip pat kompanijos turėtų paraginti vartotojus atsijungti nuo sistemos, kai paliekama darbo stotis, nes neužimta stotis tarsi kviečia duomenų vagis. Iš tikrųjų paliktas be priežiūros prijungtas kompiuteris sudaro didelę riziką, todėl reikia stebėti vartotojų prisijungimus bei atsijungimus. Administratoriai turėtų apsaugoti linijas, jungiančias duomenų apdorojimo įrangą ir modemus. Jie turėtų ištirti, per kurias vietas nutiesti laidai (kituose aukštuose ir pan.), ir pasirūpinti, kad vieta, kur visi pastato laidai sueina į vieną vietą būtų izoliuoti nuo aplinkinių žmonių.

Sunkumo lygis įsilaužti į liniją dažnai priklauso nuo to, kokio tipo kabelis ryšiui palaikyti yra nutiestas. Pavyzdžiui įsibrauti į optinę liniją yra žymiai sunkiau nei į kokią nors kitą liniją. Tai yra dėl to, kad optinis kabelis nespinduliuoja signalų, kurie gali būti surinkti (pasiklausomi) paslapčia. Optinio kabelio pluoštai yra padengti tankesne medžiaga, vadinama apvalkalu, kuri saugo šviesą, kad neišspinduliuotų nuo linijos, taigi nėra galimybės jokios informacijos pasiklausyti. Tačiau naudojant kitus įsibrovimo metodus galima pasiklausyti. Tada optinis pluoštas fiziškai nutraukiamas ir prijungiama sulydant jungtį prie pluošto galo. Tokie metodai įprastai yra naudojami prijunti mazgus prie optinės linijos. Šios procedūros metu jokia šviesa negali praeiti per tą nutrauktą vietą, kas įgalina lengvai nustatyti neautorizuotą priėjimą. Jei įsilaužėlis įsibrauna į tinklą grubiu būdu, padidėjęs klaidų kiekis parodys, kad tinklas yra pralaužtas. Jei net tikslus sujungimas yra padarytas profesionalaus įsilaužėlio, to pasekoje atsirandantis šviesos signalo praradimas galėtų atsispindėti įprastiniame matavimo lygyje, sukeldamas galimybę saugumo pažeidimui.

Ekranuotas varinis laidas taip pat apsaugo signalus nuo pasiklausymo. Ekranavimas apsaugo signalus nuo signalų laido spinduliavimo.Tai ne tik eliminuoja trukdžius tarp gretimų laidų, bet ir padeda apsaugoti signalų pasiklausymą nuo įsilaužėlių. Kad stebėti siuntimus laide, įsilaužėlis turėtų perkirsti laidą, kad įterpti pasiklausymo aparatūrą, bet tas pakeltų aliarmą valdymo stotyje. Laiko srities vaizdavimo matuokliai (TDR-time domain reflectometer) gali nurodyti tikslią įsilaužimo vietą.

Elektriniai prietaisai spinduliuoja elekromagnetinę radiaciją. Ypatingai jautrūs pasiklausymo įrenginiai gali nustatyti signalus, spinduliuojančius iš lokalaus tinklo (LAN-Local Area Network) laidų arba prijungtų įrenginių. Darbo stotys ir kiti tinklo įrenginiai, kaip ir kabeliai, gali būti ekranuoti, kad apsaugoti signalų sklidimą iki praktiškai nenustatomo lygio. Tačiau, kadangi teikiamos galimybės, naudojamos įprastiniuose ryšiuose nėra vartotjų kontroliuojamos, todėl duomenų kodavimas turi būti taikomas slaptos informacijos apsaugojimui.

Bevieliuose tinkluose  

Pagrindinis saugumo skirtumas tarp belaidžio ir laidinio tinklo yra tai, kad pirmasis skleidžia signalus žymiai didesnėje teritorijoje. Bendru atveju, tai įgalina lengviau pagauti signalus įsilaužėliams. Tačiau, kai kurios belaidės lokalaus tinklo technologijos yra saugesnės nei kitos.

Pavyzdžiui, kadangi infraraudonieji spinduliai neprasiskverbia per sienas ar lubas, jie suteikia didesnę apsaugą nuo prisijungimo. Nors išskleidžiamo signalas gali prasiskverbti pro sienas, signalų išskleidimo ir sujungimo algoritmai, naudojami abiejuose galuose padaro įprastinį pasiklausymą labai sunkiu. Aukštesnis saugumo lygis gali būti pasiektas naudojant, išskleidžiamo spektro kitimo technologiją, vadinama dažnio kitimu.

Dažnio kitimas iššaukia siųstuvą šokinėti nuo vieno dažnio prie kito tam tikru dažnio kitimu naudojant pseudo atsitiktinio kodo seką. Dažnių tvarka, parinkta siųstuvo yra paimta iš anksto nustatytos sekos, nustatomos pagal kodo seką. Pavyzdžiui siųstuvas gali turėti kitimo dažnio šabloną einant nuo kanalo 2 prie kanalo 6, nuo kanalo 1 prie kanalo 7, prie kanalo 9 ir t.t. Imtuvas seka šiuos pasikeitimus. Kadangi tik vienas imtuvas supranta siųstuvo dažnio kitimą, tik tas imtuvas gali priimti siunčiamus duomenis.

Organizacijos kiti dažnio kitimo siųstuvai naudos skirtingus kitimo šablonus, kurie bus nustatomi kitiems, netrukdančiams dažniams.  Jei signalas iškraipomas naudojant du siųstuvus su vienodu dažnio kitimu ir duomenys viename ar abiejuose yra iškraipomi, kiekvienas paveiktas duomenų paketas turi būti persiųstas. Tie paketai vėl bus išsiunčiami kiekvieno siųstuvo sekančiu kitimo dažniu. Daugelis lokalių tinklų protokolų turi savyje klaidų nustatymo savybę. Kada protokolo klaidų kontrolės mechanizmas atpažįsta ateinančius paketus, kurie yra blogi arba nustato, kad yra trūkstamų paketų, priėmimo stotis paprašo tų paketų persiuntimo. Kada nauji paketai susitinka su tais, laikomais eilėje, protokolo nuoseklumo galimybė sustato juos į teisingą eilę.

Žinoma, norint visiškai apsaugoti svarbią informaciją belaidžiame tinkle, turėtų būti naudojamas kodavimas. Kai kurie belaidžio ryšio prietaisų gamintojai siūlo aparatus su nuosekliu signalo suspaudimu (scrambling), sujungtą su galimybe, žinoma kaip dinaminis būdo (path) parinkimas, kas yra išskleidžiamo spektro dažnio kitimas. Naudojant šią schemą, sistema pastoviai keičia siuntimo būdus. To pasekoje signalus perimti praktiškai neįmanoma. Net jei tai būtų įmanoma, bet kuris gautas duomenų fragmentas bus nesuprantamas, nes duomenys unikalioje rėmo (frame) struktūroje ir yra suplaktas (scrambled). Žinoma, šių metodų trūkumas tai, kad jie  priverčia vartotoją priklausyti nuo vieno gamintojo tinklo atnaujinimui ir praplėtimui.

Prisijungimo kontrolė

Kodavimas gali efektyviai apsaugoti duomenis nuo išorinių įsibrovėlių, bet tai nebus pakankamai sustabdyti grėsmės, kylančios iš pačios organizacijos.

Dažnai įsilaužimo grėsmė kyla iš viešojo tinklo. Prisijungimo kontrolė turi apsaugoti neautorizuotą lokalų prisijungimą prie tinklo ir kontroliuoti nutolusį tinklą per prisikambinimo per modemą portus. Mažiausiai trys vartotojų prisijungimo lygiai paprastai priskiriami: viešas, privatus, bendras bei pasidalinamas (shared). Viešas prisijungimas leidžia vartotojams turėti tik nuskaitymo (read-only) teises  failų informacijai. Privatus (asmeniškas) prisijungimas duoda specifiniams vartotojams rašymo ir skaitymo teises, bendras prisijungimas leidžia vartotojams nuskaityti ir įrašyti į failus (priklausomai nuo to, kaip nustatyta).

Slaptažodžio saugumas

Dauguma slaptažodžių identifikuoja vartotoją ir susieja vartotoją su tam tikra darbo stotimi ir tikriausiai su paskirta į darbą pamaina, darbo grupe ar skyriumi. Pasitikėjimas tokiais mechanizmais turi trūkumų, kurių pagrindinis yra tai, kad vartotojai ne visada saugo slaptažodžius.

Slaptažodžiai turėtų turėti mažiausiai 6-7 simbolius, o jei bus mažiau, bus lengvai "nulaužiami" paprasčiausiu spėjimu. Reikia pažymėti, kad paprasto teksto slaptažodžiai yra labai pažeidžiami lokaliuose tinkluose, nes kiekvienas spėjimas padidina neautorizuoto prisijungimo galimybę 1xn koeficientu, kur n yra lygus slaptažodžių skaičiui tinkle. Kad sumažinti gero spėjimo galimybę, vartotojai neturėtų būti leidžiami pasikeisti slaptažodį. Turėtų būti naudojami atsitiktinių slaptažodžių generatoriai. Vartotojo prisijungimas turi būti laikinai uždraustas, jei bandyta prisijungti tam tikrą skaičių kartų, kad vėliau sumažinti bandymų-klaidų (trial-and-error) būdu jungimąsi į sistemą. Papildomai tinklo administratoriai turėtų gauti kasdieninį naudotų slaptažodžių ar raktų sąrašą, kas būtų naudojama atrasti potencialius įsilaužimus. Dažnai keičiant slaptažodžius ir naudojant daugialygį hierarchinį slaptažodžio apsaugos planą gali taip pat užtikrinti konfidencialumą.

Įvedinėjant slaptažodį, sistema neturėtų rodyti jo ekrane, kad kitas vartotojas jo nepamatytų. Taip pat administratorius turėtų užtikrinti, kad slaptažodžiai būtų periodiškai keičiami (po kiek laiko paprašytų sistema juos pakeisti, arba automatiškai pakeistų slaptažodį). Be to, kada personalas palieka darbą, visi slaptažodžiai turėtų būti pakeisti.

Informacijos kodavimas tinkle

Duomenų kodavimas yra praktiškai vienintelis būdas apsaugant informaciją, siunčiamą tinklu. Kadangi įsilaužėliai negali skaityti užkoduotos informacijos, informacija nėra prieinama. Kai kodavimas realizuotas kartu su klaidų atradimu ir ištaisymu, kodavimas yra labai efektyvus ir nebrangus būdas komunikavimo ryšį padaryti saugiu. Ir programinė įranga, ir aparatūrinė įranga gali atlikti kodavimą, bet aparatūrinės įrangos kodavimas yra greitesnis ir saugesnis, nes įsiveržėlis, kuris profesionaliai programuoja, paprastai nesugebės įsikišti į aparatūrinį kodavimą. Kodavimas tinkle (on-line) reikalauja užkodavimo ir dekodavimo įrenginių instaliacijos abiejuose ryšio galuose.

Kriptografiniai metodai turi slaptažodį, simbolių seką susijusią su suspaudžiančiu ir išarchyvuojančiu pranešimus suspaudimo - išarchyvavimo (scramble-unscramble) algoritmu. Kriptografiniai metodai yra suprojektuoti taip, kad net jei vartotojas žino algoritmą (matematinę formulę, saugomą elektroninėje schemoje (circuitry)), jie negalės atkoduoti suspaustos informacijos, jei jie neturi specifinio užkodavimo rakto. Kuo daugiau simbolių raktas turi, tuo sunkiau įsilaužėliui bus pralaužti informaciją. Kriptografinių sistemų atsparumas priklauso nuo sistemos kokybės ir pasirinktų raktų slaptumo.

Viešo rakto kodavimo būdas. Kodavimas keliais raktais.

Tradicinis kodavimas pagrįsta siuntėjo ir gavėjo bendru slaptu slaptažodžiu: siuntejas naudoja slaptą raktą užkoduoti informacijai, o gavėjas - atkoduoti ją. Šis metodas žinomas kaip slapto rakto (secret-key). Čia pagrindinė problema kaip susitarti siuntėjui ir gavėjui dėl rakto, kad kas nors nesužinotų jo. Todėl buvo ieškoma kitų būdų, kurie padidintų siunčiamų duomenų slaptumą.

Viešo rakto (public-key) kriptografijos sąvoka buvo pristatyta 1976m. Jos koncepcijoje, kiekvienas asmuo gauna porą raktų, vienas kurių yra pavadintas viešu raktu, o kitas privačiu raktu (private-key). Kiekvieno asmens viešas raktas yra neslepiamas, o privatus raktas yra laikomas saugiai. Siuntėjui ir gavėjui nebebūtina keistis slapta informacija, visos komunikacijos paremtos tik viešais raktais, ir joks privatus raktas nėra siunčiamas. Nebebūtina pasitikėti tinklų kanalais. Vienintelis reikalavimas, kad viešieji raktai būtų susieti su vartotojais patikimu (autentifikuotu) būdu (pavyzdžiui, patikimoje direktorijoje). Viešo rakto kodavimo sistemos paremtos vienpusiu kodavimu (tai matematinė funkcija, su kuria žymiai galima greičiau atlikti kodavimą viena kryptimi - užkodavimą - nei kita kryptimi - atkodavimą). Kiekvienas gali siųsti konfidencialius pranešimus naudodamas tik viešą informacija, bet pranešimas gali būti atkoduojamas tik su privačiu raktu, kuris yra vienintelė galimybė numatytam gavėjui. Viešo rakto kodavimas gali būti naudojamas ne tik slaptumui (užkodavimas), bet ir autentifikacijai (skaitmeniniai parašai).

·        Užkodavimas. Niekas klausydamąsis negali iškoduoti pranešimo. Kiekvienas gali siųsti užkoduotą pranešimą, bet tik gavėjas gali jį perskaityti. Aišku, vienas reikalavimas: niekas negali rodyti privataus rakto su atitinkamu viešu raktu.

·        Skaitmeninis parašas. Kad pasirašyti, siuntėjas atlieka skaičiavimus naudodamas savo privatų ir viešą raktą bei patį pranešimą. Viso to rezultatas yra vadinamas skaitmeniniu parašu, ir yra prijungiamas prie pranešimo, kuris išsiunčiamas. gavėjui, kad patikrinti parašą, atlieka skaičiavimus, įtraukdamas pranešimą, atsiųstą parašą ir siuntėjo viešąjį raktą. Jei rezultatas visiškai atitinka matematinį santykį, parašas laikomas tikru, kitu atveju parašas gali būti apgavikiškas arba pranešimas buvo pakeistas.

Viešo rakto privalaumai ir trūkumai. Pagrindinis viešojo rakto privalumas yra padidintas saugumas ir patogumas. Privatūs raktai niekada neturi būti persiunčiami arba pasakomi kam nors. Slapto rakto sistemoje, slapti raktai turi būti persiunčiami (arba rankiniu būdu, arba per komunikacinį kanalą)., todėl yra galimybė, kad priešas jį gali sužinoti. Kitas viešo rakto privalumas yra tai, kad jis gali būti naudojamas skaitmeniniams parašams. Viešo rakto kodavimo būdo trūkumas - kodavimo greitis. Yra populiarūs slapto rakto kodavimo būdai, kurie yra žymiai greitesni už dabar naudojamus viešojo rakto kodavimo metodus. Nepaisant to, viešo rakto kodavimas gali būti naudojamas kartu su slapto rakto kodavimu, kad gauti geriausias savybes iš abiejų metodų. Užkodavimui geriausias sprendimas būtų kombinuoti viešo ir slapto raktų sistemas, kad gauti viešo rakto saugumo ir slapto rakto greičio privalumus. Viešo rakto sistema gali būti naudojama užkoduoti slaptą raktą, kuris naudojamas užkoduoti didžiąją dalį - failą ar pranešimą. Toks protokolas yra vadinamas skaitmeniniu voku (digital envelope).

Kai kuriose situacijose viešo rakto sistemos yra nereikalingos, ir pilnai pakanka slapto rakto kodavimo. Todėl slapto rakto kriptografija išlieka ypatingai svarbi ir yra daugelio studijų ir tyrinėjimų objektu.

Kaip viešo rakto kodavimo sistemos pavyzdį būtų galima pateikti PGP (Pretty Good Privacy) kompiuterinę programą, kuri užkoduoja ir atkoduoja kompiuterio ir elektroninio pašto duomenis. Ji generuoja du raktus, kurie yra unikalūs vartotojui.

Saugaus pašto protokolai

Saugaus pašto protokolas (toliau PEM - Privacy-Enhanced Mail) yra planinis Interneto PEM standartas, suprojektuotas, bet dar oficialiai nepriimtas Internet Activities Board asociacijos. Jis padaro elektroninį paštą saugiu Internete. Suprojektuotas dirbti su RFC (Request For Comments) 822 elektroninio pašto formatu, PEM turi užkodavimą, autentiškumo patikrinimą, raktų valdymą ir leidžia naudoti abejas: viešo rakto ir slapto rašto kriptografines sistemas. Taip pat palaikomi kartotinės kriptografijos įrankiai netgi kiekvienam pašto pranešimui, specialūs užkodavimo algoritmai, skaitmeninio parašo algoritmai, krūvos (hash) funkcija yra specifikuojami laiško antraštėje (header). PEM apibrėžtai palaiko tik keletą kriptografinių algoritmų, kiti gali būti pridedami vėliau. DES ir CBC režimai yra dabar palaikomi pranešimų užkodavimui, RSA ir DES yra palaikomi raktų valdymui. PEM planas buvo vystomas du metus, ir dabar jau atrodo yra išstumiamas S/MIME bei PEM-MIME protokolų.

S/MIME (Secure/Multipurpose Internet Mail Extensions) yra protokolas, kuris prideda skaitmeninius parašus ir užkodavimą MIME pranešimams, kuris aprašytas RFC1521. MIME yra oficialiai siūlomas standartas praplėsti elektroninio pašto formatą. MIME formatas leidžia laiškams turėti tekstą, grafiką, audio ir t.t. Tačiau MIME formatas neturi jokių saugumo servisų.

Panašus į S/MIME formatą yra PEM-MIME (dar žinomas kaip MOSS- MIME Objects Security Standard). Pagal MIME prigimtį galima priskirti skirtingus saugumo servisus skirtingoms laiško turinio dalims, todėl galima siųsti pranešimus dviem kopijomis: vieną nekoduotą paprastą tekstą (tiems, kurie neturi elektroninio pašto programos su MIME palaikymu), ir kitą su elektroniniu parašu, kas įrodytų siuntėjo autentiškumą. Siūlomas standartas yra kritikuojamas, nes PEM-MIME elektroninio pašto programos turi būti labai lanksčios. Lankstumo pasekoje gali būti taip, kad vienai su PEM-MIME suderinama programa pasiuntus pranešimą, kita su PEM-MIME suderinama elektroninio pašto programa gali neperskaityti jo. S/MIME formatas yra kažkur tarp griežto PEM ir lankstaus  PEM-MIME standarto.

SSL ir S-HTTP protokolai

S-HTTP (Secure Hyper Text Transfer Protocol) yra HTTP praplėtimas, kuris turi saugumo servisus. HTTP yra protokolas, kuris sudaro pagrindą pasauliniame tinkle WWW (World Wide Web), leidžiantis keistis multimedia dokumentais šiame tinkle. S-HTTP yra suprojektuotas saugumo, autentiškumo, vientisumo tikslams, palaikant kartotinio rakto valdymo mechanizmus ir kriptografinius algoritmus. S-HTTP gali naudoti bet kurį iš keturių metodų apsikeisti koduotais duomenimis. Galimi metodai yra RSA, išorinio ryšio (out-band), vidinio ryšio (in-bound) ir Kerberos. Kai naudojamas RSA, duomenų užkodavimo raktai yra pasikeičiami su RSA viešo rakto kriptosistema. Išorinio ryšio metodas remiasi išoriniu raktu, vidinio ryšio remiasi raktu, transportuojamu kartu su S-HTTP apsaugotu pranešimu vykstant kitam siuntimui. Kerberos sistemoje raktas gaunamas iš Kerberos serverio.S-HTTP palaiko dar daugiau kriptografinių algoritmų: DES, dviejų ir trijų raktų DES, DESX, IDEA, RC2 ir CDMF.

SSL (Secure Socket Layer) rankų paspaudimo protokolas buvo sukurtas Netscape Communications korporacijos, kad aprūpinti saugumą ir privatumą Internete. Protokolas palaiko serverio ir kliento autentiškumą. SSL protokolas yra nepriklausomas nuo programinės įrangos, leidžiantis protokolams kaip HTTP, FTP (File Transfer Protocol) ir Telnet būti peršviečiamai pakelti virš jų. SSL protokolas sugeba suderinti užkodavimo raktus bei autentifikuoti serverį prieš tai, kai duomenys yra pasikeičiami aukštesnio lygio protokolų. SSL rankų paspaudimo protokolas susideda iš dviejų dalių: serverio autentifikacijos ir kliento autentifikacijos (antra dalis nebūtina). Pirmoje fazėje atsakydamas į kliento užklausimą, siunčia pažymėjimą (certificate) ir monogramos (cipher) atributus. Tada klientas generuoja originalų raktą, kuris užkoduojamas kartu su serverio viešuoju raktu ir siunčia užkoduotą originalų raktą serveriui. Serveris atkoduoja originalių raktą ir autentifikuoja save klientui grąžindamas originaliu raktu užkoduotą pranešimą. Nuoseklūs duomenys užkoduojami raktais, išvestais iš originalaus rakto. Nebūtinoje antroje fazėje, serveris siunčia kvietimą klientui. Klientas autentifikuoja save serveriui grąžindamas kliento skaitmeninį parašą, o taip pat ir viešojo rakto pažymėjimą (certificate). Daugybė algoritmų palaiko SSL protokolas, tarp kurių ir RSA, DES, IDEA ir t.t.

Pagrindinis SSL ir S-HTTP protokolų skirtumas yra lygis, kuriame jie dirba. SSL veikia transporto lygyje ir mėgdžioja "soketų biblioteką" (socket-library), o S-HTTP protokolas veikia programos lygyje. Transporto lygio kodavimas įgalina SSL būti nepriklausomu nuo programų, o S-HTTP protokolas yra apribotas skaičiumi programų, kurios palaiko šį protokolą. Protokolai įgyvendina skirtingas kodavimo filosofijas, nes SSL užkoduoja visą komunikavimo kanalą, o S-HTTP užkoduoja kiekvieną pranešimą nepriklausomai. S-HTTP leidžia vartotojui pridėti skaitmeninius parašus bet kokiems pranešimams, o šito SSL neturi. Į SSL yra panašus protokolas PCT (Private Communications Technology).

Firewall priemonės

Tai yra sistema, ar sistemų grupė, kuri įgalina kontroliuoti politiką tarp dviejų tinklų. Specifiškiau, firewall priemonės yra komponentų arba sistemų rinkinys, kuris yra patalpinamas tarp dviejų tinklų ir atlieka šiuos veiksmus:

·        visi duomenų srautai iš vidaus į išorę, ir atvirkščiai turi eiti per jį;

·        tik autorizuotas duomenų srautas, kaip nustatyta vietinio saugumo politikoje, gali eiti per jį;

·        pati sistema garantuotai atspari nuo įsiskverbimo.

Firewall priemonės yra mechanizmas, naudojamas apsaugoti patikimą tinklą nuo nepatikimo. Paprastai, du tinklai yra nagrinėjami: organizacijos vidinis tinklas (patikimas) ir Internetas (nepatikimas). Firewall priemonės yra skirtos Internetui, kaip pasaulinis tinklų tinklui, kuris komunikacijoms naudoja TCP/IP (Transport Control Protocol/Internet Protocol) protokolą.

Nors dauguma firewall priemonių yra dabar išsiskleidę Internete ir vidiniuose tinkluose, yra rimtos priežastys firewall priemonių naudojimui bet kokiame tinkle, tokiame kaip firmos globaliame tinkle (WAD -.Wide Area Network).

Vidinės firewall priemonės

Programinio lygio saugumas gali būti naudojamas apsaugoti slaptiems duomenims globaliame tinkle, kuris leidžia nuo kiekvieno tinklo jame prisijunti prie kito (tinklų izoliavimas (segregation) firewall priemonių pagalba labai žymiai sumažina atsiradusį rizikos faktorių), firewall priemonės gali pastebimai sumažinti vidinio pralaužimo (hacking) grėsmę, t.y. neautorizuotą prisijungimą autorizuotų vartotojų. Tai problema, kuri visada aukščiau išorinio įsilaužimo visose informacijos slaptumo apžvalgose.

Daugialypiai tinklai, sukurti skirtingų žmonių pagal skirtingas taisykles, yra staiga paprašomi pasitikėti vienam kitu. Šiose sąlygose, firewall priemonės vaidina didelį vaidmenį, kaip mechanizmai įgyvendinantys prisijungimo kontrole tarp tinklų ir apsaugantysi patikimus tinklus nuo nepatikimų tinklų.

Vartai (Gateways)

Vienas svarbus terminas, labai dažnai naudojamas kartu su firewall priemonėmis yra vartai (gateway). Interneto firewall priemonės yra dažnai laikomos saugiais Interneto vartais. Bet čia yra specifiškesnis termino vartojimas. Firewall priemonės susideda iš kelių skirtingų komponenčių, įskaitant filtrus, kurie blokuoja siuntimus tarp skirtingų duomenų srauto klasių. Vartai yra mechanizmas, arba mechanizmų aibė, kuri atlieka retransliacijos darbą, kad kompensuoti filtro poveikį. Tinklas, turintis vartus, yra dažnai laikomas demilitarizuota zona (DMZ).

       

Pav. 1. Firewall priemonės schematinis brėžinys  

Vartai demilitarizuotoje zonoje kartais pavaduojami vidinių vartų (pav.2). Paprastai du tinklai turės daugiau atvirų komunikacijų per vidinį filtrą, negu išoriniai vartai turi su kitomis vidinėmis mašinomis. Išorinis filtras gali būti naudojamas apsaugoti vartus nuo atakų, o vidiniai vartai naudojami apsisaugoti nuo statomų į pavojų vartų padarinių.

 

Pav.2. Vartų panaudojimas

Pridengiantis maršrutizatorius (Screening Router) - pridengiantis maršrutizatorius yra paprasčiausia visų firewall priemonių komponentė. Pridengiantis maršrutizatorius gali būti komercinis maršrutizatorius arba mašina paremtas maršrutizatorius su kokio nors tipo paketų filtravimo galimybe. Tipiniai pridengiantys maršrutizatoriai turi galimybę blokuoti duomenų srautą tarp tinklų ar tam tikrų mašinų IP (Internet Protocol) arba portų lygyje.Kai kurios firewall priemonės turi tik pridengiantį maršrutizatorių tarp privataus tinklo ir Interneto.

Įtvirtinta mašina (Bastion host) - įtvirtinimai yra labai įtvirtintos viduramžių pilies dalys. Pasižymi tuo, kad peržiūri kritines gynybos sritis, paprastai turi storesnes sienas, kambarį papildomiems paketams. Įtvirtinta mašina yra sistema, identifikuojama firewall priemonių administratoriaus kaip kritinis stiprus tinklo saugumo taškas.

Dvigubi vartai (Dual homed Gateway) - kai kurios firewall priemonės yra įgyvendinamos be pridengiančių maršrutizatorių, patalpinant sistemą ir lokaliame tinkle, ir Internete, bei uždraudžiant TCP/IP persiuntimą (forwarding). Mašinos lokaliame tinkle gali komunikuoti su vartais, kaip gali mašinos komunikuoti Internete, bet tiesioginis ryšys tarp tinklų yra blokuojamas. Dvigubi vartai yra pagal apibrėžimą yra įtvirtinta mašina (pav.3) 

 

Pav.3. Tipiniai dvigubi vartai

Pridengiančios mašinos vartai (Screened Host Gateway) - Dažniausiai sutinkama firewall priemonių konfigūracija yra pridengiančios mašinos vartai. Ši realizacija naudoja pridengiantį maršrutizatorių ir įtvirtintą mašiną. Paprastai įtvirtinta mašina yra lokaliame tinkle ir pridengiantis maršrutizatorius yra sukonfigūruotas taip, kad įtvirtinta mašina yra vienintelė sistema lokaliame tinkle, kuri yra pasiekiama iš Interneto. Dažnai pridengiantis maršrutizatorius yra sukonfigūruotas blokuoti tam tikrais portais duomenų srautą į įtvirtintą mašiną, leidžiant tik mažam servisų kiekiui komunikuoti su juo (pav.4.).

 

Pav.4. Tipiniai pridengiančios mašinos vartai

Pridengiantis potinklis (Sreened Subnet)- kai kuriose firewall priemonių konfigūracijose, izoliuotas tinklas yra sukuriamas, patalpintas tarp Interneto ir lokalaus tinklo. Paprastai toks tinklas yra izoliuojamas naudojant pridengiančius maršrutizatorius, kurie gali būti įgyvendinti su skirtingais filtravimo lygiais. Bendrai pridengiantis potinklis yra sukonfigūruotas taip, kad Internetas ir lokalus tinklas turėtų priėjimą prie mašinų pridengiančiame potinklyje, bet duomenų srautas pridengiančiajame tinkle yra blokuojamas. Kai kurios konfigūracijos pridengiančių tinklų turės įtvirtinimo mašinas pridengiančiame tinkle, arba palaikys interaktyvius ryšius tarp terminalų ar programinius vartus.  

Pav.5. Tipinis pridengiantis potinklis

Programiniai vartai (Application Level Gateway) arba "Pavaduojantys vartai" (Proxy Gateway) - Dauguma tokio tipo programinės įrangos Internete dirba įsirašyti ir siųsti režimu. Pašto programos ir USENET naujienos priima įėjimą, ištiria jį ir persiunčia tai. Programiniai vartai yra specifiniai (servisų atžvilgiu) persiuntėjai arba reflektoriai, kurie paprastai dirba vartotojo režime, o ne protokolų režime. Bendrai, šie persiuntimo servisai kai paleisti su firewall priemonėmis yra svarbūs viso tinklo saugumui.

Hibridiniai vartai (Hybrid Gateways) - hibridiniai vartai yra "kita" kategorija sąraše. Kaip pavyzdžiai tokių sistemų gali būti mašinos, prijungtos prie Interneto, bet prieinamos tik per nuoseklias linijas, prijungtas prie Ethernet galutinio serverio lokaliame tinkle. Tokie vartai gali pasinaudoti keleto protokolų galimybėmis, arba tuneliuodami vieną protokolą kitu. Maršrutizatoriai gali palaikyti ir stebėti visas TCP/IP konekcijas, arba kaip nors tyrinėti duomenų srautus.

Firewall priemonės tenkina savo pagrindinį tikslą padėti apsaugoti tinklą, tebėra svarbu ištirti kiekvieną firewall priemonę šių aspektų atžvilgiu:

·        Nuostolių valdymas (Damage control)- Jei firewall priemonė yra apeita, kokioje grėsmėje ji palieka lokalų privatų tinklą atviru Jei firewall priemonė yra sunaikinta, kokioje grėsmėje ji palieka lokalų privatų tinklą atviru

·        Rizikos zonos (Zones of risk)- rizikos zonoje firewall priemonės dirbant normaliai Tai galima išmatuoti mašinų arba maršrutizatorių skaičiumi, kurie gali būti zonduojami (probed) iš išorinio tinklo.

·        Avarinis režimas (Failure mode) - Jei firewall priemonė pralaužta, lengva tai nustatyti Kiek informacijos išlaikoma, kuri gali būti naudojama diagnozuoti įsiveržimą

·        Naudojimo paprastumas (Ease of use) - Kiek nepatogumų kelia firewall priemonės

Firewall priemonė, kuri įgyvendinta pagal pirmą būdą pagal nutylėjimą leidžia visiems servisams patekti į lokalų tinklą, išskyrus tuos servisus, kurie identifikuojami kaip uždrausti. Firewall priemonė, kuri įgyvendinta pagal antrą būdą pagal nutylėjimą draudžia visiems servisams patekti į lokalų tinklą, išskyrus tuos servisus, kurie identifikuojami kaip leidžiami. Antras būdas seka klasikinį prisijungimo modelį, naudotą visose saugumo srityse.

Pirmasis būdas yra mažiau pageidautinas, nes palieka daugiau kelių pralaužti firewall priemones. Bet jie labiau tinka tuo atveju, kai norima, kad be papildomų pakeitimų sistema veiktų pradėjus naudoti naujus portus ir protokolus. Antruoju atveju nauji protokolai būtų draudžiami. Priklausomai nuo saugumo ir lankstumo reikalavimų, tam tikros firewall priemonės labiau tinkamos nei kitos. Labai svarbu pasirinkti pradžioje prieš įgyvendinant vieną iš šių būdų.

  Firewall priemonės, naudojant pridengiančius maršutizatorius (Screening Routers)

    Daugelis tinklų yra apsaugoti firewall priemonėmis naudojant tik pridengiančius maršrutizatorius tarp lokalaus tinklo ir Interneto. Tokio tipo firewall priemonės yra skirtingos nuo pridengiančios mašinos vartų, kuriame paprastai yra leidžiamas tiesioginis ryšys tarp keletos mašinų lokaliame tinkle, ir keletos mašinų Internete. Rizikos zona lygi mašinų skaičiui lokaliame tinkle, ir servisų ir jų tipų skaičiui, kuriais pridengiantis maršrutizatorius praleidžia duomenų srautą. Kiekvienam servisui, tiekiančiam per  peer-to-peer konekciją, rizikos zona žymiai padidėja. Pagaliau to neįmanoma nustatyti. Žalos kontrolė yra sunki, nes sistemos administratorius turėtų reguliariai ištirti kiekvieną mašiną apie įsilaužimų pėdsakus.

   Visiško firewall priemonių sunaikinimo atveju, būtų labai sunku nustatyti, arba net sužinoti. Jei yra naudojamas komercinis maršrutizatorius  (kuris nelaiko įrašų apie prisijungimus  (logs)) ir maršrutizatoriaus administratoriaus slaptažodis yra statomas į pavojų, visas lokalus tinklas gali būti atviras. Yra žinomi atvejai, kada komerciniai maršrutizatoriai buvo sukonfigūruoti su klaidingomis pridengimo (screening), arba pakelti į perėjimo kiaurai (pass-through) režimą dėl techninės įrangos ar operatoriaus klaidos. Apskritai, ši konfigūracija yra "Tie, kurie nėra aiškiai uždrausti, yra leidžiami" atvejis ir išradingas vartotojas gali visiškai lengvai "sutvarkyti" protokolus, kad pasiekti aukštesnį prisijungimo lygį, negu administratorius tikėtųsi ir norėtų.

    Pridengiantys maršrutizatoriai yra ne pats saugiausias sprendimas, bet yra populiarus, nes jis leidžia visiškai laisvą priėjimą prie Interneto iš bet kurio lokalaus tinklo taško. Daug konsultantų ir  aprūpintojų tinkliniais servisais siūlo pridengiančius maršrutizatorius su firewall priemonių konfigūracija. Nerekomenduotina naudoti pridengiančio maršrutizatoriaus norint apsaugoti tikrai slaptą informaciją  (pvz. prekybos paslaptis), nes pridengiantys maršrutizatoriai yra labai prieinami iš vidaus.
  Dvigubi vartai (Dual Homed Gateways)

    Labai dažnai naudojami ir lengvai įdiegiami yra dvigubi vartai. Kadangi jis nepersiunčia TCP/IP duomenų srauto, jis elgiasi kaip visiškas blokas tarp Interneto ir lokalaus tinklo. Jo paprastumas vartojime yra nustatomas iš to, kaip sisteminis administratorius pasirenka nustatyti priėjimą: ar pateikiantis programinius vartus, kaip TELNET persiuntėjus, ar suteikdamas vartotojams teisę prisijungti vartų mašinoje.

   Vartotojai gali prieiti prie Interneto servisų kuriems yra priėjimas prie programinių vartų. Bet jei vartotojams yra suteikiami login'ai (prisijungimo teisės), firewall priemonių saugumas yra rimtai sumažinamas. Esant normaliam darbui, rizikos zona yra tik pati vartų mašina, nes tik ji viena yra prieinama iš Interneto. Bet jei yra vartotojų login'ai programiniuose vartuose, ir vienas iš vartotojų pasirenka lengvą slaptažodį, arba kitaip sukompromituotą (statomą į pavojų), rizikos zona išsiplėčia iki viso lokalaus tinklo. Iš žalos padarymo taško, administratorius turėtų stebėti galimus įsilaužimus, paremtus prisijungimo pavyzdžiu statomo į pavojų login'o.

    Jei dvigubi vartai sukonfigūruoti be tiesioginių vartotojų priėjimų, žalos padarymo kontrolė gali būti lengvesnė, nes kiekvienas, kuris prisijungia prie dvigubų vartų yra dėmesio vertas saugumo įvykis. Dvigubi vartai turi privalumą prieš pridengiančius vartus dėl programinės įrangos. Dvigubų vartų programinę įrangą lengviau pritaikyti, kad valdyti sistemos veiksmų įrašus (logs), atspausdintus įrašus arba nutolusius įrašus. Tai leidžia lengviau prižiūrėti pačius vartus, bet gali, arba gali nepadėti tinklo administratoriams identifikuoti, kokios kitos mašinos buvo statomos į pavojų "šokinėjimo nuo vienos salelės prie kitos" (island-hopping) atakos.

    Bandant įsilaužti dvigubus vartus, paliekama atakuotojui didelė pasirinkimų sritis. Kadangi atakuotojas žino ko siekia iš lokalių tinklų, ir jei login'as bus gautas, visos įprastos atakos gali būti padarytos per lokalų tinklą. NFS primontuotos failų sistemos, .rhosts failo silpnumas, automatinės programinės įrangos platinimo sistemos, tinklo rezervinės programų kopijos ir administratyvinės komandinės programėlės (script'ai) - visi gali pakirsti sistemas lokaliame tinkle. Ir tada galima organizuoti įsibrovimus atgal prieš pačius vartus. Silpniausias dvigubų vartų taškas tai jų avarinis režimas. Jei firewall priemonės yra sugriautos, yra įmanoma, kad patyręs įsilaužėlis gali iš naujo suteikti teisę maršrutizuoti, ir lokalus tinklas taps atakuotojams atviras. Įprastiniuose UNIX paremtuose dvigubuose vartuose TCP/IP maršrutizavimas yra paprastai uždraudžiamas modifikuojant branduolio kintamąjį, vadinamą ipforwarding. Jei sistemos privilegijos gali būti gautos ar pavogtos vartuose, šis kintamasis gali būti pakeistas. Jei nebus didelis dėmesys kreipiamas į programinės įrangos peržiūrėjimų lygius (klaidų ištaisymus) ir konfigūraciją vartų mašinoje, nėra garantijos, kad koks nors vandalas su tam tikros programinės įrangos versijos aprašymais tam tikrai operacinės sistemos versijai, prisijungs ir sukels pavojų sistemai.

Pridengiančios mašinos vartai (Screened Host Gateways)

    Apskritai, pridengiančios mašinos vartai yra labai saugūs, bet juos labai sunku realizuoti. Paprastai įtvirtinta mašina yra sukonfigūruojama lokaliame tinkle su pridengiančiu maršrutizatoriumi tarp Interneto ir lokalaus tinklo, kuris praleidžia Interneto priėjimą prie įtvirtintos mašinos. Kadangi įtvirtinta mašina yra lokaliame tinkle, lokaliems vartotojams ryšys yra labai geras, ir problemos, kurias uždraudžia įmantrios maršrutizavimo konfigūracijos, nepasirodo. Lokaliame tinkle, kaip ir daugelyje, yra virtualus praplėstas lokalus tinklas (t.y. nėra potinklių arba maršrutizavimo). Pridengiančios mašinos vartai dirbs nereikalaudami jokių pakeitimų lokaliame tinkle, naudodami įteisintai priskirtą tinklo adresų aibę. Pridengiančio maršrutizatoriaus vartų  rizikos zona yra apribota tik įtvirtintai mašinai ir pridengiančiam maršrutizatoriui, o pridengiančios mašinos vartų saugumo ideologija nustatoma programinės įrangos, esančios toje sistemoje. Jei atakuotojas gauna login'ą prieiti prie įtvirtintos mašinos, yra labai mažai būdų atakuoti likusį lokalų tinklą. Daugeliu atvejų, šis priėjimas yra panašus į dvigubus vartus, pasidalinant panašiais avariniais režimais ir projektavimo sprendimais programinės įrangos toje įtvirtintoje mašinoje atžvilgiu.

 Pridengiantys potinkliai (Screened Subnets)

    Pridengiantis potinklis yra paprastai konfigūruojamas su įtvirtinta mašina, kaip pagrindiniu prisijungimo tašku lokaliame tinkle. Rizikos zona yra maža, susidedanti iš įtvirtintos mašinos ar mašinų, ir bet kurie pridengiantys maršrutizatoriai, kurie palaiko ryšį pridengiančio potinklio viduje, Internete ir lokaliame tinkle. Vartojimo paprastumas ir paprasta ideologija pridengiančio potinklio gali būti skirtinga, bet iš esmės pridengiantis potinklis atsižvelgia tik į firewall priemones, kurios panaudoja maršrutizavimo pranašumus kad sustiprinti egzistuojantį pridengimą. Šis priėjimas įgalina visus servisus per firewall priemones pateikti per programinius vartus, išryškina stiprią ideologiją "Kas nėra aiškiai leidžiama, yra uždrausta".

    Jei pridengiančiu potinkliu paremtos firewall priemonės su blokuojamu tarptinkliniu maršrutizavimu yra atakuojamos su tikslu sunaikinti jį, įsilaužėlis turėtų perkonfigūruoti trijų tinklų maršrutizavimą, be atsijungimo nuo jų arba savęs izoliavimosi ir be nepastebėtų maršrutizavimo pakitimų. Nėra dvejonių tai įmanoma, bet gali būti padaryta labai sunkiai, uždraudžiant priėjimą prie pridengiančių maršrutizatorių, arba sukonfigūruojant pridengiančius maršrutizatorius leisti prieiti tik iš tam tikrų mašinų lokaliame tinkle. Šiuo atveju atakuotojas turės pralaužti įtvirtintą mašiną, tada vieną iš mašinų lokaliame tinkle, ir tada vėl pridengiantį maršrutizatorių - ir tai turės padaryti neišjungiant jokių pavojaus signalų.

    Kitas pridengiančio potinklio privalumas tai, kad jie gali būti įdiegiami tokiu būdu, kad jie slėptų bet kokias įvykių istorijas, kas gali užsitęsti lokaliame tinkle. Daugelis sričių (sites), kurios norėtų prieiti prie Interneto yra išgąsdintos peradresavimo potinklio perkeitimo perspektyvoje egzistuojančiuse tinkluose. Su pridengiančiu potinkliu su blokuotu tarptinkliniu maršrutizavimu, lokalus tinklas gali būti prijungtas prie Interneto ir pakeičiamas palaipsniui į naują potinklį ir tinklinius adresus. Iš tikrųjų, šio požiūrio buvo laikomasi, kad pastebimai pagreitinti naujų adresų įsavinimą prastai kontroliuojamuose lokaliuose tinkluose. Vartotojai bus imlesni pakeisti savo mašinų adresus, jei jie supras Internetinio ryšio naudą tuo būdu, nes mašinos, kurios  yra neteisingai adresuojamos negali naudoti firewall priemonių tinkamai. Daugeliu kitų atžvilgiu, pridengiantis potinklis yra labai priklausomas nuo programinės įrangos, esančios įtvirtintoje mašinoje. Pridengimas viso potinklio suteikia funkcionalumą, panašų į dvigubų vartų arba pridengiančios mašinos vartus, jis skiriasi papildomu sudėtingumo lygiu maršrutizavime ir pridengiančių maršrutizatorių konfigūravime.

Hibridiniai vartai (Hybryd Gateways)

    "Saugumas per neaiškumą, nežinomybę" (Security through obscurity) yra nepakankamas, bet nėra klausimo, kad neįprasta konfigūracija, arba ta, kurią sunku suprasti, priverčia atakuotoją sustoti ir susimąstyti ką jie prieš akis turi, ir kaip tai galima būtu apeiti. Iš kitospusės turėti saugumo konfigūraciją, kurią lengva suprasti, ir todėl lengviau įvertinti ir valdyti. Kadangi hibridiniai vartai yra paminėti "kažkas kita" kategorijoje, nebus bandoma aprašyti neaprašomo. Kai kurie hipotetiniai hibridai gali tarnauti ir parodyti, kaip hibridiniai vartai gali skirtis ir būti panašūs į kitus tipus.

    Sukurus hibridinius vartus, kurie susideda iš mašinos, esančios Internete, kuri gali maršrutizuoti duomenų srautą, ir taipogi vykdo pilną visų TCP/IP konekcijų stebėjimą, kiek duomenų praėjo per jį, iš kur jie, koks jų paskirties taškas. Tubūt konekcijos gali būti filtruojamos paremtos savavališkomis tiksliomis taisyklėmis, kaip "leisti duomenų srautą tarp mašinos A lokaliame tinkle ir visų mašinų tinkle B Internete per TELNET servisą tik ir tik tada, kai konekcija iš mašinos A yra tarp 9 ir 17 valandų, ir įsiminti duomenų srautą". Tai galbūt skamba baisiai, bet suteikiant tokias kontroles su naudojimo parastumu, bet kai kurias problemas tiesiog bus sunku išspręsti. Sakykime, kad kas nors nori pergudrauti firewall priemones, kuris įsilaužia į lokalų tinklą per neapsaugotą modemą, gali labai lengvai sukurti servisinę programą, kuri būtų prieinama per TELNET portą. Tai iš tikrųjų gana paprasta sunaikinti.

    Kiti hibridiniai vartai gali pasinaudoti įvairiomis protokolų tuneliavimo formomis. Reikalavimas prisijungti prie Interneto su labai suvaržytais uždraudimais, bet kartu reikalingu  ir aukšto ryšio lygiu tarp lokalaus tinklo ir išorinio yra gana patikima (sakykime vienam filialui reikia turėti galimybę paleisti X-Windows programas superkomiuteryje kitame potinklyje). Įprastiniai vartai čia nagrinėti galėtų suteikti bendro naudojimo elektroninio pašto ryšį, bet saugiam komunikavimui "taškas su tašku", užkoduotu virtualiu TCP/IP tarp taškų gali būti įdiegtos su nutolusia sistema, po to, kai vartotojai autentifikavo save su kriptografinėmis protingomis kortelėmis (smart cards). Tai būtų labai saugu, ir gali būti lengvai naudojama, bet trūkumas tas, kad protokolo draiveris turi būti pridedamas prie kiekvienos sistemos, kuri nori pasidalinti komunikacijomis. Sunku spėti apie avarinį režimą tokios sistemos, bet rizikos zona švariai limituota visoms mašinoms, kurios turi protokolo tuneliavimo draiverį (tvarkyklę), ir į kurį vartotojai turi protingų kortelių priėjimą. Kai kas iš jų gali būti realizuojama aparatūrinėje įrangoje, arba pačiuose maršrutzatoriuose. Ateityje yra tikėtina, kad greitas Interneto augimas paskatins investuoti šioje srityje daugiau, ir atsiras nauji hibridiniai vartai.  

Paketų filtravimas 

Visos firewall priemonės atlieka IP paketų filtravimą, dažniausiai paketus filtruojančio (pridengiančio) maršrutizatoriaus pagalba. Tai filtruoja paketus kai jie eina per maršrutizatoriaus mechanizmus, pagrįstais taisyklių visuma, kurias jūs nustatote, paremta firewall priemonių politika. Paketus filtruojantis maršrutizatorius paprastai gali filtruoti IP paketus, pagrįstus keliais, ar visais sekačiais kriterijais:

·        siuntėjo IP adresas

·        gavėjo IP adresas

·        TCP/UDP siuntėjo portas

·        TCP/UDP gavėjo portas

Ne visi paketus filtruojantys maršrutizatoriai gali filtruoti siuntėjo TCP/UDP portus. Kai kurie maršrutizatoriai gali ištirti, kokiu iš maršrutizatoriaus tinklo interfeisu paketas pateko, ir tada naudoti tai tolesniam filtravimo kriterijui. Kai kurios UNIX mašinos aprūpintos paketų filtravimo galimybe, nors dauguma neaprūpintos.

Filtravimas gali būti naudojamas blokuoti konekcijoms iš ar į tam tikras mašinas ar tinklus, taip kaip blokuoti konekcijas tam tikriems portams. Lokalus tinklas gali norėti blokuoti konekcijas iš tam tikrų adresų, kaip iš mašinų ar tinklų, kurie jo manymu yra nepatikimas. Alternatyvai, lokalus tinklas gali blokuoti visas konekcijas iš lokalaus tinklo išorės (su išimtimis kaip SMTP dėl elektroninio pašto gavimo).

Pridedant TCP arba UDP portų filtravimą sąlygoja didelį lankstumą. Servisai, kaip Telnet demonas, paprastai naudoja specialius portus (23-ias portas Telnet'ui). Jei firewall priemonės gali blokuoti TCP arba UDP konekcijas į ar iš tam tikrų portų, tada jomis galima įgyvendinti įvairias politikas. Pavyzdžiui, lokalus tinklas gali norėti blokuoti visas ateinančias konekcijas visoms mašinoms, išskyrus kelias su firewall priemonėmis susijusias sistemas. Tose sistemose, lokalus tinklas gali norėti įsileisti tik specialius servisus, kaip SMTP vienai sistemai, o Telnet arba FTP kitai sistemai (pav.6.). Su TCP ar UDP portų filtravimu politika gali būti greitai įgyvendinama su paketus filtruojančiu maršrutizatoriumi arba mašina su paketų filtravimo galimybe.

  

Pav.6. Paketų filtravimas TELNET ir SMPT protokolams.

Kaip paketų filtravimo pavyzdį, panagrinėkime paketų filtravimo politiką, leidžiančią tik tam tikroms konekcijoms tinkle adresu 123.4*.*. TELNET konekcijos bus leidžiamos tik vienai mašinai, 123.4.5.6, kuri gali būti to tinklo TELNET programiniai vartai, o SMTP konekcijos bus leidžiamos tik dviejoms mašinoms, 123.4.5.7 ir 123.4.5.8, kurie gali būti srities du elektroninio pašto vartai. NNTP (Network News Transfer Protocol) yra leidžiamas tik iš tinklo srities NNTP aprūpinimo (feed) sistemos,  sakykim 129.6.48.254, ir tinklo srities NNTP serverio, 123.4.5.9, o NTP (Network Time Protocol) yra leidžiamas visoms mašinoms. Kiti servisai ir paketai yra blokuojami. Tai labai paprastas paketų filtravimo pavyzdys. Realiai taisyklės leidžia labiau sudėtingą filtravimą ir didesnį lankstumą.

 

Protokolų peržiūra

Yra tinklo servisų prisijungims, kuri nustato, kokie protokolai ir laukai yra filtruojami, t.y. kokios sistemos turi turėti priėjimą prie Interneto, ir kokį priėjimo lygį ar tipą leisti. Sekantys servisai yra paprastai pažeidžiami ir yra paprastai blokuojami su firewall priemonėmis išeinant ar patenkant į lokalų tinklą.  

·        tftp, 69 portas (trivialus FTP), kuris naudojamas užsikrauti darbo stotims be diskų, terminaliniams serveriams, maršrutizatoriams taip pat gali būti naudojami nuskaityti bet kokį failą sistemoje, jei sistema neteisingai sutvarkyta.

·        X Windows, OpenWindows, portai 6000+, portas 2000 gali praleisti informaciją nuo X Windows displėjų įskaitant visus klavišų paspaudimus (įsilaužėliai gali net įgauti serverio kontrolę per X-serverį)

·        RPC, 111 portas. Remote Procedure Call servisai, įskaitant NIS  ir NFS (Network File System), kurie gali būti naudojami pavogti iš sistemos tokią informaciją kaip slaptažodžiai bei skaityti ir rašyti į failus.

·        rlogin, rsh ir rexec, portai 513, 514, 512 servisai, kurie, jei neteisingai nukonfigūruoti, gali leisti neautorizuotą priėjimą prie (accounts) bei komandų.

Kiti servisai, ar būdingai pavojingi ar ne, yra paprastai filtruojami ir paprastai leidžiami tik toms sistemoms, kurioms to reikia. Tai būtų: 

·        TELNET, 23 portas, dažnai uždraudžiamas, ir leidžiama prisijungti tik iš tam tikrų mašinų.

·        FTP, 20 ir 21 portai, kaip ir TELNET, dažnai uždraudžiamas, ir leidžiama prisijungti tik iš tam tikrų mašinų.

·        SMTP, 25 portas, dažnai uždraudžiamas, ir leidžiama tik cenriniam elektroninio pašto serveriui.

·        RIP, 250 portas, maršrutizavimo informacijos protokolas, gali būti apgaunamas peradresuojant paketų maršrutizavimą.

·        DNS, 53 portas, Domain Name Servise (kuris turi savyje mašinų vardus ir informaciją apie juos, kuri gali padėti įsilaužėliams), zonos duomenų siuntimai gali būti suklaidinti.

·        UUCP, 540 portas, UNIX-to-UNIX CoPy , jei neteisingai konfigūruojamas, gali būti naudojamas neautorizuotam priėjimui.

·        NNTP, 119 portas, prisijungiant ir skaitant tinklo naujienas.

·        gopher, http, 70 ir 80 portai, informaciniai serveriai ir klientinės programos gopher'iui ir WWW klientai gali būti uždrausti programinių vartų, kuris turi pavaduojančius (proxy) servisus.

    Kai kurie iš šių servisų kaip TELNET arba FTP yra rizikingi iš prigimties, visiškas prisijungimo blokavimas šiems servisams gali būti per daug drastiška politika daugeliui lokalių tinklų. Tačiau daugelyje tinklų ne visoms mašinoms reikalingas priėjimas prie visų servisų. Pavyzdžiui, leidžiant TELNET arba FTP konekcijas iš Interneto tik toms mašinoms, kurioms to reikia, gali padidinti saugumą be jokių kaštų ir be jokių nepatogumų vartotojams. Tokie servisai kaip NNTP atrodytų kelia šiokią tokią grėsmę, bet leidžiant šiuos servisus tik toms mašinoms, kurioms reikia jo, leidžia sukurti švaresnę tinklinę aplinką ir sumažina sugadinimo tikimybę nuo dar nesančių pažeidimų ir grėsmių.

    Sisteminiai administratoriai turėtų suprasti, kad yra servisų, kurie įmanomi prieiti vartotojams prie FTP ir kitų Interneto servisų per elektroninį paštą. Pavyzdžiui UNIX Mail Robot leidžia Web dokumentus gauti per elektroninį paštą ir mažiausiai dvi sritys (sites) tiekia Internetą per e-mail. Jei specialiai suvaržius saugumo reikalavimus, tokie priėjimai gali būti uždrausti, gali būti papildoma kontrolė uždėta išeinančiam ir įeinančiam paštui. 

Apsisaugojimas nuo virusų

Tarp didelių tinklo pavojų dėl informacijos pakeitimo ar sunaikinimo yra kirminai ir virusai, patenkantys į tinklą per neautorizuotas programas atnešti nežinomų vartotojų. Virusai yra paprastai skiriami pagal jų persikėlimo galimybę. Pavyzdžiui virusas apsiriboja žala tik tai darbo stočiai, per kurią jis pateko išoriniu būdu, kaip programų atsiuntimu iš FTP ar WWW sričių. Kirminai yra besidauginantys ir keliaujantys per tinklą nuo vieno mazgo link kito. Kai kurie virusai ir kirminai yra nustatyti tam tikram laikui, kada jie turi aktyvuotis ateityje, kas padaro dar sunkiau juos aptikti.

Virusas sukelia didesnę grėsmę, nes jis gali pažeisti tinklo informaciją, ypač paskirstytose apdorojimo aplinkose, kur bet kuris iš vartotojų prieina prie daugybės tinklo resursų. Kartą virusas-programa buvo paleista sistemoje, tipiška sistemos reakcija gali turėti:

·        Ilgesnius nei įprata programų užsikrovimo laikus

·        Intensyvius disko naudojimus paprastoms užduotims

·        Neįprastus sistemos pranešimus

·        Kreipimosi į diską lemputės užsidegimus be jokios priežasties

·        Sumažėjęs laisvos operatyvinės atminties kiekis

·        Sumažėjęs laisvos atminties kiekis kietame diske

·        Mistiški failų dingimai

·        Vykdomo failo dydžio pasikeitimai

·        Ekranai tampa tuši arba pradeda mirgėti

·        Tekstas, kuris krenta žemyn ekrane

Kad apsisaugoti nuo katastrofiškų virusų atakų, tinklo administratoriai turėtų realizuoti vidinius barjerus tarp prijungtų sistemų. Tokie barjerai (t.y. skirtingi kodavimo raktai skirtingoms programoms ar tinklo įrenginiams) visiškai neapsaugos tinklo nuo viruso patekimo.

Kai kurios antivirusinės programos tik identifikuoja pasikeitimus, padarytus failuose, o kiti identifikuoja ir pašalina virusus bei atstato virusų padarytus pakeitimus. Bet jokia programa negali garantuoti visiško apsisaugojimo nuo virusų, nes yra pastoviai atrandama.labai daug naujų virusų rūšių.

Elektronikos projektavimo (ELEN- Elelctronic Engineering) laboratorijos apsaugojimas tinkle naudojantis firewall priemonėmis.

Visų pirma norint apsaugoti tinklą, reikia išsiaiškinti jo struktūrą, t.y kokia techninė ir programinė įranga jau yra, ir kaip ji sukonfigūruota. Taigi ELEN lokalus tinklas (esantis ktu.lt potinklyje), turintis IP adresus intervale nuo 193.219.32.208 iki 193.219.32.223, yra sudarytas iš šių sudedamųjų dalių:

1.  Serveris Sun Ultra Enterprise 1 su Sun Solaris 2.5.1 operacine sistema. Jis pavadintas vardu “kietas”. Pilnas mašinos adresas (host name) yra kietas.elen.ktu.lt, o IP adresas 193.219.32.222

2.  Koncentratorius - kartotuvas (switch-hub). 3COM Link Switch 1000, konfigūruojamas. Jo IP adresas 193.219.32.223

3.  Personalinis kompiuteris - srities valdytojas (domain controller) su Microsoft Windows NT 4.0 operacine sistema. Jos vardas roze.elen.ktu.lt, IP adresas 193.219.32.208

4.  Dar 10 personalinių kompiuterių, vienas kurių rezervinis srities valdytojas (backup domain controller), kurių IP nuo 193.219.32.209 iki 193.219.32.218.

5.  Dvi prisijungimo modemu linijos prie Windows NT 4.0 serverio. IP adresai 193.219.32.219 ir 193.219.32.220

6.  Printeris, kurio adresas 193.219.32.221

Visi kompiuteriai naudoja vartus ktu-gw.litnet.lt (adresu 193.219.32.254), DNS (Domain Name Server) yra nemunas.sc-uni.ktu.lt (IP 193.219.32.13).

1. pav. Esama tinklo struktūra Elektronikos Projektavimo laboratorijoje.  

 Šiuo metu pašto servisas yra UNIX serveryje, FTP ir WWW servisai yra serveriuose kietas (UNIX; pagrindiniai servisai) bei rožė (Windows NT 4.0). UNIX kompiuteris neturi nei monitoriaus, nei klaviatūros, todėl, kad paleisti Solaris OS programas personaliniuose kompiuteriuose naudojamas X-Windows emuliatorius, dirbantis su serveriu REXEC (TCP/IP) arba RLOGIN (TCP/IP) protokolais. Kadangi UNIX serveris neturi nei monitoriaus, nei klaviatūros, kritiniu atveju (kada serveryje nepaleisti X Windows ir atitinkami servisai, ir negalima prisijungti prie jo įprastiniu būdu), prie serverio jungiamasi per Com portą nuo personalinio kompiuterio.

 Taigi yra pagrindiniai 2 keliai, per kuriuos galima prieiti prie šio lokalaus tinklo. Tai tiesioginis ryšys su internetu bei netiesioginis - per modemą, kuris prijungtas prie Windows NT 4.0 operacinės sistemos.

  Vienas paprastesnių ir pigesnių bei gana efektyvių apsisaugojimo variantų yra programinių vartų (Application Level Gateway) panaudojimas. Tai įgalintų šiems programiniams vartams programiniame lygyje prafiltruoti ateinančius duomenis iš interneto, taip sumažinant įsilaužimo tikimybę. Tada, kad sistema veiktų, reikėtų atlikti šiuos veiksmus.

Nustatyti visiems kompiuteriams kitus vartus (naujuosius), o tiems vartams nurodyti kitus (193.219.32.254) vartus.

 Labiausiai “kenčiantis” šiame lokaliame tinkle yra UNIX serveris, nes jis yra prieinamas iš interneto per daugelį servisų. Prie jo galima prisijungti per TELNET (23 portas), FTP (20, 21portai), HTTP (80 portas), SMTP (25 portas; Simple Mail Transfer Protocol) ir daugelį kitų servisų.

Personaliniai kompiuteriai neturi TELNET ir SMTP servisų, todėl atsargumo dėlei galima užblokuoti TELNET ir SMTP servisus personaliniams kompiuteriams, nes pavojus atsiranda šiuose kompiuteriuose paleidus nuotolinio prisijungimo ar pašto servisus, kurie, jeigu turi kokių nors būdų pralaužti sistemą, gali paveikti ne tik kompiuterį, į kurį buvo įsilaužta, bet ir bandyti iš vidaus pakenkti tinklui.

UNIX serveryje gali būti absoliučiai uždraustas TFTP 69 portas, nes jis visiškai nenaudojamas (nes nėra tinkle kompiuterių be diskų, kuriems būtų naudojamas šis protokolas) ir tokiu būdu visiškai užkertamas kelias patekti įsilaužėliams per šį portą.

Drausti NNTP servisą, kuris komunikuoja per 119 portą.

Drausti iš išorės DNS 53 portą, kad uždrausti įsilaužėliams sužinoti informaciją apie šio tinklo mašinas ir jų vardus.

 Programiniai vartai gali uždrausti ir gopher servisą (70 portą), kuris šiuo metu beveik nebenaudojamas, nes atsirado galingesnis Web servisas (80 portas). Su šia informacija programiniai vartai turėtų elgtis kaip tarpinis persiuntėjas - laikinai saugoti savyje dokumentus ir persiuntinėti kiekvienam kompiuteriui atskirai pagal užklausą.

 Kad prie UNIX serverio neprisijungtų žmonės iš nepatikimų vietų, galima apriboti telnet prisijungimą iš tam tikrų sričių, o geriau leisti tik toms tinklo sritims, iš kurių vartotojai paprastai prisijunginėja (nustatant pagal atitinkamus potinklių IP adresus): pit.ktu.lt, soften.ktu.lt, sc-uni.ktu.lt, fortas.ktu.lt ir pan. Esant reiklalui, vėliau galima praplėsti šį ratą dar keliais potinkliais

 Iš išorės per programinius vartus drausti RPC 139 porto naudojimą personaliniams komiuteriams, nes Windows NT 4.0 turi “skylę” (hole) šioje vietoje - galima priversti sistemą “nulūžti” (crash).

 Slaptažodžių pasiklausymas.

Paprastai lokaliame tinkle esant serveriui ir kitiems kompiuteriams, sujungtiems paprastu koncentratoriumi ir pajungtu į internetą, jungiantis nuo vieno kompiuterio prie kito galima pasiklausyti (snoop) tinkle siuntinėjamais duomenimis, nes jie tinkle paprastai vaikšto “pliki”, t.y. neužkoduoti. Kadangi UNIX serveris, esantis šiame lokaliame tinkle neturi nei klaviatūros, nei monitoriaus, tiesiogiai su juo dirbti neįmanoma (nebent su tekstiniu interfeisu per nuoseklią jungtį), tai administratoriaus privilegijuoto login’o (root) slaptažodį būtų galima lengvai pasiklausyti, nes jis paskirstytuvo (šiuo atveju ši hub verčiama reikšmė tikslesnė) pagalba yra išsiunčiamas už lokalaus tinklo ribų. Todėl priimtas sprendimas naudoti tokį koncentratorių-paskirstytuvą (switch-hub), kuris siunčia paketus tik tam kompiuteriui, kuriam jis skirtas, o ne visiems, esantiems tinkle (kada jiems reikiamus paketus kompiuteriai patys atsirenka - nelegalus tokių atrankai peržiūrimų paketų peržiūrėjimas ir vadinamas klausymusi (snooping)). Todėl prapuola elementari grėsmė pasiklausyti slaptažodžių.

Yra ir kitas būdas apsisaugoti nuo pasiklausymo: naudoti tolimojo prisijungimo protokolą SSH (Secure SHell), kuris koduoja siunčiamą informaciją RSA viešo rakto kodavimo ir autentifikavimo sistema, todėl ji tinklo pasiklausinėtojams yra neaiški. Teoriškai galima būtų atkoduoti ir tai, bet tai sukelia daug papildomų problemų, ir bet koks smalsuolis negalės sužinoti siunčiamos duomenų prasmės. SSH gali būti naudojamas kaip RSH, RCP ir  RLOGIN funkcijų pakaitalas, todėl uždraudus tas funkcijas ir palikus tik SSH, galima išvengti dar vienos problemos - 512-514 portų neteisingo sukonfigūravimo. Daugeliu atvejų SSH gali pakeisti ir TELNET bei FTP komandas ir persiųsti konekcijas tarp X, POP (pašto pasiėmimui) ir NNTP (Network News Transfer Protocol) serverių ir klientų. Tada reikėtų visų pirma suinstaliuoti šį servisą UNIX serveryje, o po to klientinę pusę kiekviename personaliniame kompiuteryje. Tada jungiantis šiuo protokolu galima sėkmingai išvengti problemų, susijusių su tinklo pasiklausymu.

Sistemos modelio įvertinimas: Slaptažodžių pasiklausymas.

1.      Nuostolių valdymas

Jei firewall priemonė apeita arba sunaikinta, paliekama tokia padėtis, kaip ir buvo prieš programinių vartų instaliavimą. Taigi padidėja rizika būti pralaužtiems.

2.      Rizikos zonos

Pagrindinė rizikos zona yra UNIX serveris, nes jis turi daug servisų, susijusių su internetu, ko negalima pasakyti apie personalinius kompiuterius, kurie iš prigimties sukurti ne tinklui, todėl ir jų sąsaja su internetu nėra tokia tampri kaip UNIX serverio.

3.      Avarinis režimas

Ar programiniai vartai atlieka savo funkciją galima laikas nuo laiko patikrinti praktiškai bandant daryti tai, ką programiniai vartai turėtų drausti (sakykim Web ar FTP servisą iš išorės tiems personaliniams kompiuteriams, kurie turi instaliuotą Information Service)

Programiniai vartai praleidžiamos informacijos įtartinas dalis gali įsirašinėti ir pralaužus juos būtų galima pažiūrėti visą įrašytą informaciją bei pagal ją spręsti, kas ir iš kur tai padarė. Žinoma, jei asmuo naudojo šokinėjimo nuo vienos salelės prie kitos būdą neatpažįstamam įsilaužti į tinklą, bus labai sunku ir dažnai neįmanoma atsekti jo pėdsakus.

4.      Naudojimo paprastumas

Gana paprasta instaliuoti proxy serverį (programinius vartus) bei jį konfigūruoti. Programos visada lengviau įsisavinamos nei aparatūrinė įranga, be to jos yra žymiai pigesnis variantas.

5.      Požiūris (stance)

Čia yra palaikomas principas “kas nėra aiškiai uždrausta, yra praleidžiama”. Tai nėra saugiausias būdas, bet jis patogesnis tuo atveju, kai išleidžiami nauji standartai ir reikia palaikyti naują protokolą. Tada, naudojant šią ideologiją, nekyla jokių problemų.