Kompiuterių tinklų saugumas

Šiame straipsnyje bandysiu trumpai išdėstyti pagrindines tinklų saugumo savokas ir išdėlioti pagrindines naudingas žinias, kurios apibendrintų tinklų saugumo savokas.

Tinklų saugumas – įžanga

Nuolat augantis kibernetinių nusikaltimų kiekis, nepakankamas žmonių kompiuterinis raštingumas leidžia nežinomiems įsilaužėliams periimti informaciją. Įmonės vis dažniau tampa pagrindiais taikiniais įvairaus masto atakų ir yra priversto vis labiau plėsti ir didinti investicijas į saugumą. Įmonių darbuotojai dažnai nesuvokia galimo pavojaus, rizikos, kuriuos gali sukelti neatsargumas ir aplaidumas. Ir kiekvieną dieną atsiranda naujų grėsmių apie kurias sužinoma dažniausiai jau šiek tiek per vėlai. Todėl kompiuterinių tinklų saugumas yra nuolatos auganti disciplina apimantis vis naujas sritis.

Kompiuteriniai tinklai

LAN – Local Area Network
VLAN – Virtual Local Area Network – virtualus tinklas
WLAN – Wireless Local Area Network – bevielio ryšio tinklas
WAN – Wide Area Network – Visuotiniai kompiuterių tinklai gali būti specializuoti arba bendros paskirties. Specializuotieji tinklai skirti tik siauros paskirties uždaviniams spręsti, jie dažniausiai valdomi centralizuotai. Bendrosios paskirties tinklai aptarnauja daugelį nepriklausomų vartotojų. Tokio tinklo pavyzdžiu gali būti pasaulinis interneto kompiuterių tinklas.
MAN – Metropolitan Area Network – Tinklas, kuris savo apimtimi yra didesnis už vietinį tinklą tačiau mažesnis už WAN tinklą
SAN – Storage Area Network – skirtas atlaikyti didžiulius duomenų srautus. Duomenų masyvo/saugyklos tinklas. tinklo greitis tiesiogiai priklauso nuo to prie kokio tinklo tipo jis yra prijungtas, kur tinklo greitis gali siekti 1,000 mb/s.
PAN – Personal Area Network – pvz. asmeninis įrenginių tiklas
CAN – Campus Area Network – pvz. studentų miestelio tinklas
DAN – Desk Area Network – daugialypės terpės stotis sujungtas ATM protokolu.

Informacijos apsaugos metodai

Apsaugos tikslai – konfidencialumas, autentiškumas, integralumas, informacijos prieinamumas, monitoringas, apsaugos valdymas.

• Šifravimas (informacijos įslaptinimas)
• Programinė kontrolė (priėjimo kontrolė prie duomenų bazių ar kitų vartotojų duomenų)
• Aparatinė kontrolė (elektroninės kortelės)
• Taisyklės (nurodymai kas yra draudžiama ir kas leidžiama)
• Fizinė apsauga (įrangos ir patalpų apsauga)

Ką reikėtų padaryti, kad apsisaugoti?

1. Įgyvendinti saugumo politiką
2. Išanalizuoti riziką, įvertinti pavojus
3. Įdiegti priemones, kuriomis galima nustatyti ir imtis prevencijos, bei atstatyti veiklą
4. Laikytis nustatytos politikos, laiku ją atnaujinti, testuoti
5. Paskirstyti vartotojams atsakomybę

Saugumas. Atakos ir jų tipai

• Atakos, tai veiksmai saugumui pažeisti
• Pasyvios atakos
  • Pranešimo turinio peržiūra.
  • Duomenų srauto analizė. Dažniausiai perduodamų pranešimų turinys šifruojamas, tačiau galima sužinoti kas, kam ir kokiu dažnumu siunčia informaciją.
• Aktyvios atakos
  • Imitavimas. Savęs pateikimas kuo nesama.
  • Atkūrimas. Pasyvus pranešimų turinio perėmimas ir paskesnis retransliavimas siekiant nesankcionuoto efekto.
  • Modifikavimas. Žinutės turinio modifikavimas.
  • Trukdymai. Kliūčių normaliam sistemos funkcionavimui sukūrimas. Pvz.: vieno vartotojo ar visų tinklu perduodamų pranešimų blokavimas.

Grėsmių tipai

• Stichinė nelaimė
  • Nuspėjamos ir nenuspėjamos
• Išorinės grėsmės
  • Įsilaužimai, organizuoti nusikaltimai, terorizmas
  • Įsilaužėliai siekia pavogti klientų finansų programos duomenų bazę. Tikslinis
  • Virusiniai laiškai, kaip “I Love You”. Atsitiktinis
• Vidinės grėsmės
  • Nusivylę įmonės darbuotojai
  • Stengiasi atspėti DB slaptažodį – Tikslinis
  • Tinkle randa tam tikras bylas – Atsitiktinis

Kas daro kompiuterinį tinklą saugiu?

• Autentiškumas: sistemos privalo reikalauti iš vartotojų unikalių duomenų
• Vientisumas: siunčiami duomenys tinklu neturi būti sugadinti, ar pakeisti.
• Ne reprodukcija: kai duomenys siunčiami, jie gali būti perimti ir pakeisti vėl bandomi siųsti nežinant autoriui.
• Neapsimetinėjimas: susijungia du vartotojai, o jų sesijos duomenis pavagia. Vėliau, pavogęs prisijungimo duomenis, gali apsimesti.
• Konfidencialumas: tai duomenų išlaikymas privačiais, leidžiant pasiekti juos tik autorizuotiems vartotojams

Populiauriausi portai

Portų būsenos:

• Closed / Denied / Not Listening
• Filtered / Dropped / Blocked
• OPEN / Accepted

FTP – 21
SSH – 22
Telnet – 23
SMTP – 25
POP3 – 110
IMAP – 143
NTP – 123
DNS – 53
HTTP – 80
HTTPS – 443
SNMP – 161 UDP Simple Network Management Protocol
SQL – 1433
RDP – 3389
DHCP – 67/68

https://quizlet.com/6066602/popular-port-numbers-flash-cards/

Plačiai žinomų portų sąrašą rasite čia iana.org.

Įsibrovimo į tinklą būdai

• Portų skanavimo metu galima nustatyti kokios programos veikia, kokie portai atviri skaitymui. Naudojama NMAP portų skaneris. Kiti įrankiai: hping2, Superscan, Angry IP scanner, Unicornscan, Scanrand
• Slaptas pasiklausymas (packet sniffing): įsibrovėlis gali perimti paketus. Naudojamos programos Ethereal Network Analyser, SnoopAnalyser, IP Sniffer, NetStumbler Wireless Packet Sniffer . Portų skanavimo metu galima nustatyti kokios programos veikia, kokie portai atviri skaitymui
• Programinės įrangos klaidos – įsilaužti galima pasinaudojus OS ar PĮ klaidomis. Dažniausiai tai būna web serveriai, naršyklės, pašto klientai ir duomenų bazės. Pažeidėjai randa PĮ spragų, per kurias susiklosčius tam tikrom salygoms gali įsibrauti į sistemas. Šiuolaikinė PĮ yra labai sudėtinga, ją privaloma greitai išleisti, kurti naujas versijas. Galima teigti, kad nėra PĮ, kurios nebūtų galima pažeisti.
  • Įvesties tikrinimas – įvedant netinkamus duomenis dėl nepakankamai ištestuotos PĮ, jos neatitikimų reikalavimams, gali priversti veikti sistemą neįprastai.
  • Buferio perpildymas – įsilaužėlis tyčia pasiunčia duomenų kiekį, kuris perpildo atminties buferį.
  • Paslėptos programos – programos, apie kurių buvimą vartotojas nenutuokia (dažniausiai tai Trojos arkliai, programos, kurios užmaskuoja tikrąjį veikimą)
  • Apsimetinėjimas – Tai tokios atakos, kuriose įsilaužėlis imituoja resursą, kuriuo auka patiki.
    • Replay Attack: šios atakos siejamos su duomenų paketų gaudymu, kuriuose yra vartotojų vardai, slaptažodžiai, šifruoti sesijos raktai.
    • Man-in-the-Middle Attack: kai pažeidėjas nepastebimas yra tarp dviejų komunikuojančių kompiuterių. Jis pagauna visus siunčiamus paketus
    • IP Spoofing: Naudojant programas, pakankamai lengva nustatyti ir pakeisti TCP/IP antraštes. Užpuolikai paprastai pakeičia turinį ir/arba galinį adresą IP pakete. Taip užmaskuojamas įsibrovėlio adresas.
    • DNS Spoofing: įsilaužėlis paprastai pakeičia tikrąjį manobankas.lt IP adresą į savo. Vėliau jis gali perimti siunčiamas užklausas manobankas.lt ir perkelti juos į tikrąją svetainę. Auka net nenujaučia kas vyksta. DNS pažeidimai. Galimi variantai DNS cache “užnuodijimas”, užpuolimas – atliekama Denial of Service
    • Session Hijacking: tai taikoma prieš silpnai prižiūrimus web serverius ir naršykles. Naršyklės saugo informaciją cookie bylose. Jeigu įsibrovėlis sugeba pagauti informaciją cookie (arba nuspėti kaip skirstomi sesijos kintamieji), taip jis gali sužlugdyti arba perimti vartotojo sesiją. Tai galima slapta “klausantis” arba pavogti iš kompiuterio panaudojus Cross-site scripting.
  • Paslaugos neveikimas (Denial of Service – DoS) – Jų tikslas išvesti pasirinktą paslaugą iš rikiuotės. Dažniausiai pasireiškia perkraunant serverį užklausomis. Jas galima vykdyti pasinaudojus PĮ pažeidžiamumu.
    • DoS atakos TCP pagrindu – Siunčiami SYN/ACK paketai į aukos serverį. Taip greitai yra apkraunamas visas turimas ryšio kanalas.
    • ICMP pagrindu DoS atakos – Šiuo atveju iš aukos kompiuterio pasiunčiamos ping užklausos į visą tinklą (broadcast). Kiekvienas hostas atsako į gautą užklausą ir užkrauna tinklo srautą.
• Socialinė inžinerija – Vienas būdas kaip išgauti slaptą informaciją tai vartotojų klaidos, kitas – juos suklaidinti. Klasikinis būdas, kai užpuolikas paskambina į skyrių, praneša, kad nori pritaikyti kažkokius nustatymus nuotoliniu būdu ir prašo atskleisti slaptažodį. Tokios atakos būna daug efektyvesnės, kai užpuolikas turi vidinės informacijos. Viena iš socialinės inžinerijos rūšių yra phishing. vienas iš populiariausių internetinio sukčiavimo būdų, norint iš neatidžių arba patiklių vartotojų išgauti tik jiems žinomus duomenis. Sukčiai naudoja tokius internetinius adresus, kurie yra labai panašūs į realiai egzistuojančios institucijos adresą (pvz.: eBay, amazon.com, PayPal, arba bet koks internetinis bankas).

Atakos prieš slaptažodžius

• Brute force – paprasčiausiai yra išbandomos visos įmanomos simbolių kombinacijos, kol atspėjamas slaptažodis. Tai gali trukti kelias minutes ar net amžius.
• Dictionary – programos paprasčiausiai bando įvairius žinomus slaptažodžius, žodyno žodžius ir kitą informaciją. Tai labai sutrumpina slaptažodžių nulaužimą
• Cryptographic – kai slaptažodžiai yra užkoduoti silpnais raktais. Čia naudojami matematiniai metodai, algoritmai.

Šifravimas, sertifikatai

Saugomų ir perduodamų Interneto tinklais duomenų turinys daţnai yra labai svarbus. Perduodami duomenys daţnai būna surišti su finansinėm operacijom, pirkimais – pardavimais, atsiskaitymais, bilietų, viešbučių rezervacija ir kita veikla. Smarkiai išaugusi duomenų perdavimų apimtis, svarba, konfidencialumas kelia reikalavimus apsisaugojimo nuo neautorizuoto šių duomenų naudojimo. Yra pripažįstama, kad duomenų šifravimas yra ta priemonė, kuri leidžia apsaugoti duomenis juos saugant ar perduodant, taigi pakankamai stiprus šifravimas gali būti naudojamas duomenų konfidencialumui, autentiškumui , vientisumui užtikrinti.

Šifravimo tipai

Mašininis, mechaninis kodas: sukeitimo ir perstatymo kodai buvo plačiai naudojami pritaikant kodavimo mašinas (vokiečių karinė kodavimo mašima Enigma, buvo naudojame per antrąjį pasaulinį karą).

Dažnumo analizė: sukeitimo ir perstatymo kodai yra pažeidžiami, analizuojant pasikartojimo daţnumą. Ji pasiţymi tuo, kad kai kurios raidės, ar jų kombinacijos yra dažniau pasikartojančios kalboje nei kitos. Šiuos šablonus galima išskirti užkoduotame pranešime ir taip atkoduoti pranešimą.

Matematiniai kodai: besidomint informacijos teorija ir dvidešimto amţiaus viduryje atsiradusių kompiuterių, paskatino kurti sudėtingus matematiniais algoritmais pagrįstais kodus. Jie plačiai naudojami ir šiuo metu.

Kvantinis šifravimas: šis kodavimas ir šifroanalizė pagrįstas kvantine fizika. Kvantinis šifravimas yra svarbus, kad gali pasiūlyti kur kas saugesnius kodus ir tuos kodus, kuriuos šiandien laikome pakankamai saugiais, paversti labai pažeidžiamais ateityje.

Šifravimo technologijos

Trys skirtingi kodavimo tipai naudojami sistemose: Hash functions, Symmetric ir Asymmetric kodavimas.

Hash funkcijos yra plačiai naudojamos kompiuterių programose. Jos atvaizduoja informaciją. Šios funkcijos naudojamos kaip checksum, kad užtikrinti duomenų vientisumą. Šių funkcijų pagalba gaunamas fiksuoto ilgio pranešimas, vadinamas santrauka (arba Message Authentication Code MAC) iš įvairaus ilgio sekų. Funkcija sukurta taip, kad iš santraukos neįmanoma atkurti originalaus pranešimo (vienpusis) ir taip, kad skirtingi pranešimai negautų tokio pačios santraukos (kolizija). Dažniausiai naudojamos SHA-1 ir MD5 hash funkcijos.

Simetriniam šifravimas yra naudojamas vienas raktas tiek duomenų uţšifravimui, tiek iššifravimui (kartais gali būti naudojami du raktai, bet ţinant vieną, nesunkiai galima nustatyti ir kitą). Šis raktas turi būti saugomas, nes pavogus raktą pažeidžiamas saugumas. Pagrindinis trūkumas, tai saugus rakto apsikeitimas ir saugojimas. Pagrindinis privalumas, tai greitis. Simetrinis šifravimas yra greitesnis už asimetrinį. Šifravimo būdai: Stream šifras – visa informacija paprastame tekste yra iškarto užkoduojama. Block šifras – tekstas yra suskaldomas į lygias dalis (paprastai 64 arba 128 bit) ir blokai yra šifruojami. Norint dar labiau apsisaugoti, galima dar kartą užšifruoti duomenis.

Asimetriniame šifravime slaptu privačiu raktu yra duomenys užkoduojami, o matematiškai susijusiu viešuoju raktu yra atkoduojami. Jei duomenys buvo užšifruoti su atviru raktu, tai juos atšifruoti galima tik su asmeniniu raktu ir atvirkščiai. Šis būdas dažniausiai naudojamas privatumui, autentiškumui ir skaitmeniniams parašams. Šios sistemos yra lėtos ir reikalauja didelių skaičiavimų, taigi yra naudojami tik mažiems duomenų kiekiams koduoti.

Skaitmeninis parašas

Šifravimas apsaugo nuo pasyvių atakų. Nuo aktyvių atakų, kuomet gali būti falsifikuojamas perduodamas turinys, apsaugo autentifikavimas. Pranešimo turinys laikomas autentišku, jei jis tikrai gautas iš siuntėjo, kuris nurodytas pranešime ir yra tikrai toks, kokį siuntėjas perdavė. Autentifikavimu vadinama procedūra skirta duomenų autentiškumui įvertinti, t.y. ar siuntėjas ir pranešimo turinys nebuvo pakeisti. Pranešimo autentifikavimui galima naudoti ir paprastą šifravimą, jei tik tikrasis siuntėjas gali užšifruoti pranešima jo gavėjui. Kadangi šifravimo procesas gali būti ilgas – autentifikavimui naudojami kiti būdai nenaudojant šifravimo.

Jo veikimas:

1. Siuntėjas sukuria hash, panaudodamas iš anksto sutartą algoritmą ir toliau uţkoduoja hash, naudodamas privatų raktą.
2. Rezultatas yra pridedamas ir originalaus dokumentu ir išsiunčiamas
3. Gavėjas iššifruoja parašą, panaudodamas viešąjį raktą, pagal originalų hash
4. Tada gavėjas skaičiuoja savo pranešimo santrauką ir palygina su siuntėjo santrauka
5. Jeigu dvi santraukos sutampa, tai duomenys nebuvo sugadinti persiuntimo metu ir siuntėjas yra garantuotas

Digital Sealing

Skaitmeninis parašas neapsaugo pranešimo turinio. Skaitmeninis sandarinimas kaip tik užtikrina šios dalies konfidencialumą:

1. Siuntėjas užkoduoja duomenis su gavėjo viešuoju raktu.
2. Informacija nusiunčiama
3. Gavėjas panaudodamas savo privatų raktą atkoduoja duomenis

Kriptografinės atakos

Matematinės atakos – šios atakos priklauso nuo įsibrovėlio žinojimo paprasto ir užkoduoto pranešimo. Kitas būdas, tai pateikiamas paprastas tekstas su minimaliais skirtumais ir analizuojamas užkoduotas tekstas. Brute Force Attack – šių atakų metu bandomos visos galimos kombinacijos rakto ribose, kad gauti paprastą tekstą iš koduoto pranešimo. Rakto dydis nustatomas pagal naudojamų bitų kiekį.

Silpnų raktų atakos – raktas gali būti sugeneruotas pagal slaptažodį. Jeigu silpnas slaptažodis, tai užpuolikas gali atspėti arba nulaužti jį ir gauti šifravimo raktą. Kitas silpno rakto pavyzdys galėtų būti šifro blogas veikimas. Jeigu šifras duoda silpnus raktus, ar nepalaiko sudėtingų.

Man-in-the-Middle – šios atakos priklauso nuo duomenų surinkimo tarp dviejų komunikuojančių dalių. Tikslas nenulaužti šifravimo sistemos, bet išnaudoti panaudojimo pažeidžiamumus.

Skaitmeniniai sertifikatai

• Skaitmeninis sertifikatas yra tarsi įmonės viešojo rakto įpakavimas. Taip pat viešasis raktas turi informacijos apie įmonę, bei sertifikato leidėją.
• Skaitmeninis sertifikatas paremtas X.509 standartu. Šis standartas įregistruotas Internet Engineering Taskforce RFC 2459 ir apibrėţia kokie laukai, kokia informacija privaloma sertifikatui. Tai leidţia suderinti skirtingų tiekėjų sertifikatus.

Sertifikato administracija (CA)

• Certificate Authority yra atsakingas uţ platinimą ir sertifikatų garantavimą
• Privatus CA gali būti ir vidinis (Windows Server)
• Naudojant verslo poreikiams CA turi pasitikėti tretieji asmenys. Kai kurios didelės organizacijos atlieka CA administravimo pareigas. Praktiškai daugiausiai įmonių naudojasi kitų organizacijų paslaugomis, tokių kaip Thawte/VeriSign, Microsoft, Computer Associates eTrust ir OpenCA

Pasitikėjimo modeliai

Tiltinis (bridge) – išplėstinis hierarchinio modelio pavyzdys. Jis buvo sukurtas Federal Bridge Certification Authority (FBCA). Šiuo atveju root CA gali sukurti pasitikėjimo ryšius per tarpinius tiltinius CA

Cross-Recognition Model – kryžminio pripažinimo modelyje individualus CA arba visas PKI domenas pripažįsta kitą CA arba domeną, vietoje to, kad būtų kuriami žemesnių lygių pasitikėjimai. Dalinai pasikliaunant vienu PKI domenu, galima naudoti kito PKI autorizavimo informaciją. Tai būtina bendradarbiaujant tarp skirtingų CA, administravimo lygyje arba akredituotų institucijų (valdžios) aukščiausiame lygyje. Praktiškai šis modelis reiškia, kad sertifikatai išleisti vieno domeno, kuris yra pripažįstamas, bus dalinai pasikliaunama kitame domene.

Pasitikėjimo tinklas (Web of Trust) – alternatyva PKI. Jis siejasi su Pretty Good Privacy (PGP). Čia vartotojai pasirašo ant kitų sertifikatų, t.y. pasitiki tikais vartotojais. Šioje sistemoje nėra centralizuoto administravimo, taigi patys vartotojai šalina nepatikimus vartotojus. Čia priešingai nei tinklinėje architektūroje, kiekvienas vartotojas nebūtinai turi būti sertifikuotas visų vartotojų. Sunkumai naujiems vartotojams, reikia sukurti galybę parašų, kad pasirašyti kitų vartotojų sertifikatus. Šis sprendimas yra geras grupėms, bet netinkamas komerciniams spendimams.

Raktų valdymas

Rakto gyvavimo stadijos:

• Rakto sukūrimas – sukuriant saugų raktą pagal norimą stiprumą, pasirinktą šifrą.
• Sertifikato sukūrimas – norint priskirti raktą vartotojui, paprastai jį reikia įterpti į skaitmeninį sertifikatą. Bet šiuo atveju būtina įsitikinti vartotojo identiškumu, kad juo būtų galima pasitikėti.
• Platinimas – padaromas raktas pasiekiamas vartotojui. Labai svarbu, kad raktas nebūtų perimtas siuntimo metu.
• Saugojimas – vartotojas privalo imtis priemonių saugiam rakto laikymui, užtikrinti, kad raktas nebūtų pamestas ar sugadintas.
• Panaikinimas – jeigu raktas sukompromituojamas, tai jis gali būti panaikintas anksčiau laiko
• Pasibaigimas – raktas galioja nustatytą laikotarpį

PGP (Pretty Good Privacy)

Šifravimo programinė įranga, leidžianti žmonėms keistis failais ir pranešimais garantuojant informacijos saugumą. PGP pasižymi šiomis savybėmis:

• Pasinaudoti gauta informacija gali tik asmuo, kuriam ši informacija buvo skirta.
• Siunčiama informacija autentikuojama: gavėjas informuojamas kas iš tikro siuntė pranešimą.
• Siuntimui nereikalingi saugūs kanalai

Informacijai koduoti naudojami du vienas su kitu susiję raktai: viešas ir slaptas. Su slaptu raktu užkoduotą informaciją galima atkoduoti naudojant viešą raktą. Ir atvirkščiai: užkodavus viešu raktu atkoduojama naudojant slaptą. Viešo rakto žinojimas nepadeda atgaminti slapto rakto, todėl jis (viešas raktas) gali būti prieinamas masėms. Bet kas gali naudoti gavėjo viešą raktą tam, kad užkoduotų pranešimą, siunčiamą tam asmeniui. Ir tik šis gavėjas galės atkoduoti šį pranešimą, nes tik jis turi atitinkamą slaptą raktą. Atkoduoti negalės netgi žmogus, užkodavęs pranešimą. Be to yra atliekamas autentikavimas. Siuntėjas gali pasirašyti pranešimą naudodamas savo slaptą raktą. Gavėjas, panaudodamas siuntėjo viešą raktą, gali patikrinti parašą ir įsitikinti, jog siuntė butent tas asmuo. Vieši raktai saugomi viešų raktų faile (pubring.pgp). Slapti raktai yra papildomai koduojami naudojant slaptažodį- kodavimo frazę. Ir užkoduoti laikomi slaptų raktų faile (secring.pgp). Papildomas slaptų raktų kodavimas apsaugo nuo rakto pavogimo.

Saugaus tinko topoligijos

Topologija apibrėžiame kaip fiziškai ar logiškai suprojektuotas kompiuterinis tinklas. Svarbu turėti kompiuterinio tinklo planą kada jis yra kuriamas ir atnaujinti jį darant pakeitimus. Tinklas gali būti suskirstomas į zonas. Zona, tai sritis, kurioje saugumo nustatymai visų įrenginių yra vienodi.

Private network (intranet) – tai organizacijos valdomų ir kontroliuojamų įrenginių tinklas. Kompiuteriai yra patikimi, kadangi jūs kaip administratorius juos prižiūrite ir saugote kompiuterinį tinklą.

Extranet – tai pusiau patikimų kompiuterių tinklas. Paprastai tai verslo partneriai, tiekėjai ar vartotojai. Vartotojai privalo registruoti.

Internet – šioje zonoje galimas anoniminis priėjimas (gali būti dalinis) tarp nepatikimų kompiuterių.

Demilitarised Zone (DMZ)

Svarbiausias skirtumas tarp skirtingų saugos lygių zonų yra ar kompiuteriai tiesiogiai prijungti prie interneto. Prie interneto prijungti kompiuteriai priima įeinančius (inbound) prisijungimus. Šie kompiuteriai yra patalpinami į išorinio perimetro arba DMZ zoną. DMZ tikslas, kad srautas negalėtų pro ją praeiti. Jeigu reikalingas ryšys tarp kompiuterių esančių DMZ zonoje, tai kompiuteriai DMZ zonoje veikia kaip proxy. Jie gauna užklausas, patikrina, jeigu galiojančios, tai pertransliuoja į tikslą. Išoriniai kompiuteriai nežino kas yra už DMZ zonos.

Virtualūs tinklai (VLAN)

VLAN yra geras sprendimas tvarkant skirtingo saugumo zonų tinklus. Tai tas pats LAN, išskyrus tai, kad naudojant šakotuvų technologijas, skirtingų grupių kompiuteriai tame pačiame tinkle gali būti atvaizduojami skirtinguose tinkluose. Kiekvienas VLAN gali būti suprastas kaip skirtingo saugumo zona. Šios zonos paprastai padeda apsaugoti informacijos vientisumą bei konfidencialumą tarp skirtingų įmonės skyrių (pvz. buhalterija). Šiuo atveju net pasinaudojus tuo pačiu fiziniu kabeliavimu neįmanoma slapta gaudyti tinklo paketų.

Nenaudojamų portų uždarymas

Labai svarbų uždaryti nenaudojamus portus. Tai galima realizuoti atjungiant juos nuo tinklo arba sukuriant VLAN, kuris nesuteikia teisingo adreso. Taip apsisaugosime nuo fizinio priėjimo.

Network Address Translation (NAT)

• Tinklo adresų transliavimas buvo sukurtas kaip būdas atlaisvinti IP adresus, kurių reikia prisijungimui prie interneto. Be to NAT užtikrina saugesnį adresavimo metodą tinklams prijungtiems prie interneto.
• Statinis NAT – šiuo būdu vyksta 1:1 prikabinimas tarp privataus tinklo adreso ir viešo. Ugniasienė atlieka 1:1 adresų persiuntimą į WEB serverio IP. Tai reiškia, kad išoriniai vartotojai nežinodami tikrojo WEB serverio IP adreso gali sėkmingai komunikuoti.
• Dinaminis NAT – Statinis NAT palaiko tik vieną hostą, kurio dažnai nepakanka. Dinaminiu NAT rėžimu yra pateikiama visa eilė adresų į viešą tinklą. Kad palaikytų įeinančius ir išeinančius paketus, NAT yra sukuriama privačių adresų lentelė.
• Vietiniame tinkle paprastai naudojama privati adresų skirstymo schema:
  • 10.0.0.0 – 10.255.255.255 (A klasė)
  • 172.16.0.0 – 172.31.255.255 (B klasė)
  • 192.168.0.0 – 192.168.255.255 (C klasė)
• NAT turi būti paleistas besiribojančiame įrenginyje (maršrutizatorius, proksi serveris ar ugniasienė)

Tinklo realizavimas

Daugelis tinklų yra sukurti, panaudojus vielinį kabeliavimą. Kabeliai ištampyti tarp aukštų, po lubomis, tarp sienų, sujungti šakotuvais. Įrenginėjant kompiuterinius tinklus reikia atkreipti dėmesį į:

• Kainą
• Perdavimo greitį
• Iškraipymus
• Pasipriešinimą elektromagnetinei interferencijai
• Pasipriešinimą pasiklausymui, įsiterpimui

Perdavimo būdai:

• Koaksalinis kabelis – Storas (thicknet) kabelis yra apie 10 – 13 mm skersmens ir gana atsparus mechaniškai (RG-8). Jo centrinė gysla pagaminta iš storo varinio laido, todėl signalas tokiu kabeliu gali būti perduotas didesniu nuotoliu (iki 500 m.) su nedideliais nuostoliais.
• Plonas (thinnet) kabelis yra apie 5 – 7 mm storio. Tai lankstus, patogus montuoti, tinkantis beveik visiems tinklams kabelis (RG-58). Jungiamas tiesiai prie tinklo plokštės, naudojant BNC (British Naval Connector) T–jungtį. Signalas be didesnių iškraipymų perduodamas iki 185 m.
• Vytos poros kabelis – dažniausiai kompiuteriniuose tinkluose yra naudojamas vytos poros kabelis, dažniausiai neapsaugoti. Veikimo nuotolis iki 100 m.
• Optinis kabelis –  optinio pluošto kabeliai, naudojami saugiam didelių duomenų srautų perdavimui dideliu greičiu. Duomenys perduodami moduliuotais šviesos bangų impulsais, kurie sklinda praktiškai nesilpnėdami specialaus stiklo gysla. Šie kabeliai atsparūs elektromagnetiniam laukui ir jų neįmanoma slapta prisijungti. Galimas kabelio ilgis iki 2 km.
• Bevielė perdavimo terpė – sąvoką bevielė terpė nereikia suprasti pažodžiui. Bevieliai tokios terpės komponentai – tai nešiojami kompiuteriai, darbo stotys ar jų valdymo įtaisai, sujungti bevielėmis technologijomis su didesniais kabeliniais tinklais.

Šakotuvai, komutatoriai

• Hub yra kelių portų kartotuvas. Gautą signalą jis perduoda į visus portus, jis dirba fiziniame lygyje
• Switch dirba duomenų lygmenyje analizuodamas kadrų antraštes, sudarinėdamas adresų lentelę, ir naudodamasis ja perduoda kadrą į vieną iš prievadų arba jį filtruoja.
• Maršrutizatoriai – (router), t.y. įrenginys, kuris ne tik žino kiekvieno segmento adresą, bet ir nustato patogiausią maršrutą duomenų perdavimui. Maršrutizatoriai veikia OSI modelio tinklo sluoksnio lygmenyje. Tai reiškia, kad jie gali peradresuoti ir maršrutizuoti paketus per keletą tinklų, veikiančių pagal skirtingus duomenų perdavimo linijos sluoksnio protokolus, pavyzdžiui, Ethernet ir Token Ring (tačiau vienodus tinklo sluoksnio protokolus, pavyzdžiui, IP). Pagal tinklo kelio žemėlapį, vadinamą “maršrutizavimo lentele”, maršrutizatoriai užtikrina, kad paketai keliautų efektyviausiais keliais link paskirties vietų. Maršrutizavimo lentelėje rankiniu būdu arba automatiškai įrašomi tinklų adresai ir kita informacija. Gautus paketus prieš siųsdamas maršrutizatorius lygina su turima informacija. Praleisdamas tik adresinius tinklo paketus, maršrutizatorius nepraleidžia į tinklą netinkamų paketų. Tokiu būdu, netinkamų duomenų ir transliatorinių paketų filtracijos dėka, maršrutizatoriai sumažina tinklo apkrovą
  • Statiniai, dinaminiai maršrutizatoriai
    • Statiniuose įrenginiuose administratorius rankiniu būdu padaro įrašus ir nustato ryšius tarp tinklų. Toks variantas galimas tik turint kelis maršrutizatorius, be to mes prarandame lankstumą ir dinamiškumą. Privalumas, kad valdymą atlieka tinklo administratorius
    • Dinaminiai maršrutizatoriai automatiškai atranda kelius, bendraudami vieni su kitais. Jie reikalauja minimalios priežiūros, kadangi patys koreguoja savo įrašus, ir reaguoja į pasikeitusias sąlygas tinkle. Naudojami protokolai:
      • Open Shortest Path First (OSPF)
      • NetWare Link State Protocol (NLSP)
      • Routing Information Protocol (RIP)
      • Border Gateway Protocol (BGP)

Ugniasienės

Interneto ugniasienė neleidžia visoms Interneto grėsmėms plisti, įsiskverbti į jūsų vidinį tinklą. Privatų tinklą sujungus su Internetu be ugniasienės, visas tinklas yra atakos subjektu. Reikia užtikrinti saugą kiekvieno kompiuterio, esančio tinkle. Ugniasienės tai priemonės, kurios sumažina rizikos zoną iki vieno taško. Kiekvienas tinkle siunčiamas paketas (packet) turi identifikacijos numerį bei adresą. Pagal tai ugniasienė ir riboja paketų judėjimą. Ugniasienės yra dviejų – tipų techninės bei programinės. Jos tikslai:

• Apriboti žmonių patekimą į kruopščiai saugomus taškus.
• Drausti atakuotojams prieiti arti jūsų ginamų objektų
• Apriboti žmonių išėjimo galimybes griežtai kontroliuojamam taške

Paketų filtravimas

Naudojant ugniasienes galima įdiegti NAT. Galima filtruoto TCP/IP paketus, t.y. galima kurti taisykles pagal paketų antraštes (uždrausti, praleisti). Filtravimas vyksta OSI modelio tinklo lygyje.

OSI modelis

Fizinis – I lygis (angl. Physical layer) – aprašo fizinius perduodamo signalo ir terpės, kuria jis perduodamas, parametrus (dažnius, moduliacijas, reikalavimus kabeliams, jungtims, duomenų vertimą į/iš fizinio signalo, etc.). Pagrindinė jo funkcija – atskirti 0 ir 1. Pvz.: UTP kabeliai ir kita fizinė tinklo įranga.

Ryšio (kanalinis)II lygis (angl. Data link layer) – aprašo ryšį, tarp gretimų (tiesiogiai bendraujančių) tinklo komponentų, pavyzdžiui, kadrų struktūrą. Pagrindinė funkcija – atskirti bitų sekas, jų pradžią, pabaigą. Pvz.: Ethernet.

Tinklo III lygis (angl. Network layer) – aprašo, kaip duomenų sekos turi būti perduodamos visame tinkle. Pvz.: IP.

Transporto IV lygis (angl. Transport layer) – tiekia skaidrų duomenų perdavimą tarp tinklo vartotojų su norimomis patikimumo garantijomis. Pvz.: TCP, UDP.

Sesijos V lygis (angl. Session layer) – aprašo duomenų apsikeitimo tarp galinių sistemų taisykles vienos jungties ribose. Pvz.: FTP protokolo komandų srautas arba duomenų srautas.

Prezentacijos VI lygis (angl. Presentation layer) – nusako duomenų kodavimo sesijos metu taisykles. Pvz.: MIME.

Taikymo VII lygis (angl. Application layer) – Aukščiausias lygis, apibrėžia tinklo teikiamas paslaugas vartotojo programoms. Pvz.: Telnet, FTP, IRC.

TAIKYMO APPLICATION	Interneto naršyklė		Interneto naršyklė prisijungia prie serverio ir atsisiunčia failus, kurie kartu sudaro interneto svetainę. Naršyklė yra programa, kuri leidžia vartotojui pasirinkti serverį, prie jo prisijungti ir atsisiųsti svetainę bei ją parodyti.
PREZENTACIJOS PRESENTATION	HTTP		Interneto naršyklės palaiko įvairius failų tipus, garsus ir HTML. Ji atsakinga už failų saugomų serveryje pakeitimą į sistemai suprantamą formatą ir teisinga failų interpretavimą bei paleidimą (panaudojant ir kitas programas).
SESIJOS SESSION			Atsisiuntus svetainę iš serverio nutraukiamas TCP ryšys ir naršyklė tuomet nagrinėja HTML  kodą. Jame įrašyta kur ieškoti papildomų failų reikalingų teisingai parodyti puslapį. Naršyklė automatiškai sukuria papildomus TCP prisijungimus (sesijas).
TRANSPORTO TRANSPORT	TCP		Su serveriu kompiuteris susisiekia per TCP jungtį, kuri suskaido svetainę į gabalus, sunumeruoja juos ir perduoda (transportuoja) tinkamos sesijos metu.
TINKLO NETWORK	IP ARP		IP yra tinklo protokolas, kuris tiek serveriui tiek kompiuteriui suteikia unikalų adresą. Jungiantis prie kito kompiuterio jis suranda, kaip jį pasiekti per tinklų sietuva (gateway). Sukuriama žinutė su serverio adresu ir kompiuterio IP adresu. ARP nustato fizinius MAC adresus ir perduoda informaciją tinklo lygmeniui.
RYŠIO DATA LINK	E T H E R N E T	LLC MAC	Naršyklės sukurta užklausa siunčiama į tinklo kortą. Čia ji turi būti paversta į pavidalą, tinkamą perduoti tinklų sietuvui, kuris ir perduoda ją toliau į internetą. Ryšio sluoksnyje puslapio užklausos įdedamos į tinklo užklausą.
FIZINIS PHYSICAL		CSMA/CD	Fizinis sluoksnis suteikia galimybę perduoti tinklo užklausą į tinklų sietuvą ir nustato, kaip tai padaryti.

Bevieliai tinklai

Bevielėse sistemose oru persiunčiami duomenis tarp skirtingų įrenginių. Paskutiniais metais bevielių technologijų atpigimas lėmė perkamumą ir išpopuliarėjimą. Šios sistemos dažnai naudojamos hibridinėje aplinkoje apjungiant laidines ir bevieles technologijas.

Dažnio šokinėjimas – Frequency-hopping spread spectrum (FHSS) – tai greitas perjungimas tarp nustatytų dažnių. Siuntėjas ir gavėjas turi susisinchronizuoti, kad duomenys būtų teisingai perduoti. Tokios sistemos yra nebrangios, užtikrina iki 5 Mbps greitį, bet turi atstumo apribojimų.

Išplėstinis spektras – Direct-sequence spread spectrum (DSSS) tai daugiau bendra technologija. Ji sudalina duomenis į dalis ir kiekvienas iš jų yra siunčiamas skirtingu dažniu. Imtuvas turi žinoti dažnių pasikeitimo ciklą, kad teisingai priimtų duomenis. Tokį perdavimo būdą sunkiau pasiklausyti, jis teikia 11 Mbps greitį. Naudoja GPS, Galileo, belaidžiuose telefonuose ir Wi-Fi

Infraraudonieji spinduliai – IrDA (Infrared Data Association) – belaidžio ryšio standartas, aprašantis duomenų keitimąsi nedideliu atstumu infraraudonaisiais spinduliais. IrDA naudojamas sujungiant tarpusavyje įvairius įrenginius: asmeninius ar delninius kompiuterius, mobiliuosius telefonus, periferinę įranga. Veikimo nuotolis – iki 7 m.

Bluetooth – leidžia keistis informacija tarp tokių įrenginių kaip delniniai ir asmeniniai kompiuteriai, mobilieji telefonai, nešiojami kompiuteriai, spausdintuvai ir skaitmeniniai fotoaparatai ir pan. Jis sukurtas taip, kad nereikalautų daug energijos ir veiktų mažuose įrenginiuose. Jo tikslas pakeisti kabelius. Protokolas naudoja patikimą, visuotinai prieinamą artimo ryšio trumpųjų radijo bangų diapazoną (nelicencijuotos 2,45 GHz dažnio). Jis pasiekia 1 Mbps duomenų persiuntimo greitį, todėl nėra skirtas perduoti dideliems duomenų kiekiams. Bluetooth leidžia įrenginiams bendrauti iki 10 metrų atstumu vienas nuo kito, net jei jie yra skirtingose patalpose.

Wi-Fi

802.11 bevielio tinklo standartai – 802.11 (Wi-Fi) – tai populiariausias bevielių tinklų standartas. Jis naudoja radijo signalus duomenų persiuntimui. Norint saugiai prisijungti ir siųsti duomenis bevieliais tinklais, reikia kruopščios konfigūracijos. Saugių protokolų įjungimas. Pagrindinis žingsnis prie saugaus bevielio tinklo, tai įjungti šifravimą: Wired Equivalent Privacy (WEP) – yra palaikomas senų ir naujų įrenginių. Wi-Fi Protectred Access (WPA) – ištaiso daugelį WEP problemų ir prideda galimybę patvirtinti autentiškumą naudojant saugų 802.1X modelį. WPA2 yra pilnai suderinamas su 802.11i WLAN saugumu. Nuo AP bevieliai įrenginiai gali būti iki 30 m. atstumu. Kuo toliau nutolę įrenginiai turės silpnesnį signalą ir mažesnį duomenų perdavimo greitį. Signalai gali eiti per sienas, bet bangų nepraleidžia storos sienos, perdangos, metalinės konstrukcijos. Esant galimybei AP reikia sumontuoti kaip galima aukščiau ir nustatyti taip, kad nesikirstų su kitas esančiais AP.

Autentiškumas – kad apsaugoti tinklą, jums reikia patvirtinimo iš esamų vartotojų. WLAN autentiškumo patvirtinimo būdai: Pre-shared key – tai raktas, kuriuo šifruojamas komunikavimas. Šis raktas tarsi grupės patvirtinimas. 802.1X – Prisijungimo taškas siunčia autentikavimosi duomenis (prisijungimo vardas ir slaptažodis ir pan.) į RADIUS serverį, kuri patvirtiname laidiniame tinkle. Bevielių prisijungimų ugniasienė – filtruodami MAC galime prileisti prie tinklo tik specifinius įrenginius (MAC adresas turėtų būti unikalus). DHCP – galima pasiekti paprastą saugumą uždraudus DHCP adresų skirstymą. Bet TCP/IP nustatymai turi būti padaryti rankinių būdu, o tai reikalauja administratoriaus pastangų.

Bevielio ryšio paskirstymo sistema

Wireless Distribution System (WDS ) pagalba galima apsijungti, išplėsti bevielį IEEE 802.11 ryšį. Ji leidžia bevieliam tinklui plėstis naudojant kelias prieigos stoteles atsisakant vielinio kabeliavimo. Prieigos stotelė gali būti pagrindinė, perdavimo. Visos WDS stotys turi būti nustatytos, kad naudotų tą patį radijo kanalą, vienodą šifravimo algoritmą (WEP, WPA) ir raktą. WDS gali būti nesuderinamas tarp skirtingų gaminių (netgi kartais to pačio gamintojo), kadangi tai nėra sertifikuota Wi-Fi aljanso.

Audito žurnalai

Jei jūs esate atakuojami, o jūsų sistema neveda prisijungimų registracijos – log failų, tai bus labai maţai šansų, kad jūs pastebėsite ką atakuotojas veikė sistemoje. Neturint tokių ţinių neliks nieko kito kaip tik perkrauti sistemą iš originalios media ir tikintis, kad backup’ai yra padaryti gerai, atstatyti duomenis, arba priešingu atveju rizikuojate, kad įsilauţėlis vis dar gali kontroliuoti jūsų sistemą. Ţurnalai (Logs) tai pats vertingiausias saugumo informacijos šaltinis. Logose gali būti uţfiksuoti tiek teisėti, tiek neteisėti priėjimai prie resursų ar pasinaudojimas privilegijomis. Logai gali veikti kaip audito įrankis arba (jeigu reguliariai perţiūrimi) kaip pranešimo apie neteisėtą įsibrovimą į tinklą įrankis.

Tinklo monitorius – Tinklo monitorius tai tokia programa kuri pastoviai seka tinklo aktyvumą ir pateikia bendrą tinklo vaizdą, kurį galima palyginti su istoriniais duomenimis. Šie monitoriai skirti sukurti baseline, kad nustatyti normalias tinklo ribas. Pradinio taško duomenis galima naudoti įtariant padidėjusį tinklo aktyvumą arba planuojant tinklo plėtimą.

Protokolų analizavimas – Tai programa, kuri gali iššifruoti pagautus paketus į perskaitomą formatą. Jūs galit pasirinkti perţiūrėti paketo duomenis, ar ieškoti detalesnės informacijos OSI, protokolo ar kituose lygiuose.

Įsilaužimų aptikimo sistema – Intrusion Detection System (IDS) tai programinė įranga, kuri atlieka realaus laiko tinklo analizę. IDS yra panašios į antivirusines programas, bet saugo nuo platesnių grėsmių. IDS stebi duomenų srautą ir aptikusi įsilauţimo poţymį, generuoja pranešimus. Ugniasienės saugo tinklą nuo įsilauţimų, o IDS parodo, ar tinklas atakuojamas.

IDS komponentai. Sensorius surenka tinklo informaciją. Jie gali būti:

• Network-based IDS (NDIS) – tinklinės IDS analizuoja duomenis, perduodamus kompiuterių tinklu. Kiekvienas paketas yra palyginamas su duomenų bazėje esančia informacija. Tinklines IDS yra lengviau paskirstyti ir administruoti. Tačiau yra ribotas maksimalus duomenų srautas, kurį gali apdoroti IDS.
• Host-based (HDIS) – lokalus IDS, esantis serveryje arba vartotojo darbo vietoje, renka lokalios sistemos generuojamą informaciją. Šio tipo IDS sudėtinga administruoti didelės įmonės tinkluose. Jos pasiţymi galimybe analizuoti log failus, portus, tinklo sąsajas ir apdoroti specialių programų srautus
• Protocol-based IDS (PIDS)
• Application protocol-based IDS (APIDS)

Analizės variklis atlieka surinktos informacijos analizę ir nustato įtartiną srautą:

• Signature-based detection – variklis uţkraunamas/prijungiamas atakų šablonų duomenų baze. Jeigu srautas sutampa su šablonu, tai variklis generuoja incidentą.
• Anomaly-based detection – variklis apmokamas atpaţinti normalų srautą ir įvykius, visa kita kas skiriasi nuo pradinio taško yra fiksuojami kaip incidentai.

Snort – tai viena iš gerai ţinomų ir plačiai naudojamų atviro kodo IDS sistema. Ji yra tinkama eilei platformų ir operacinių sistemų, įskaitant Linux ir Windows.

Honey Pots – “Medaus puodynė” tai kompiuterinė sistema, skirta privilioti įsilauţėlius. Taip siekiame analizuoti įsibrovėlio strategiją ir įrankius arba kaip galimybę nukreipti dėmesį nuo tikrų sistemų. Taip pat naudojamas kaip vidinių neteisėtų veiksmų, sukčiavimo nustatymo priemonė.

Programinė įranga – OS sustiprinimas

Pradinis taškas (baseline) – tai tipinis jūsų tinklo ar kompiuterio apkrautumas. Pradinis taškas naudingas stebint apkrautumą ar saugumą.

1. Pašalinti, uždrausti įrenginius kurių nenaudosite
2. Pagal sudarytą palaikymo planą instaliuokite atnaujinimus.
3. Palikti tik būtinus tinklo protokolus
4. Išinstaliuoti ar uždaryti paslaugas, kuriomis nesinaudosite
5. Įgalinkite ACL resursams (katalogams, spausdintuvams), panaikinkite nenaudojamus share arba pasirūpinkite tinkama apsauga
6. Apribokite vartotojų teises taip, kad jie turėtų mažiausiai privilegijų kompiuteryje
7. Apsaugokite vietinio administratoriaus ar šakninių sisteminių vartotojų sąskaitas pervadindami ir naudodami sudėtingus slaptažodžius
8. Uždrauskite nustatytas vietinius vartotojus ar grupes ir panaikinkite ACL Everyone.
9. Instaliuokite antivirusines programas ir nustatykite, kad reguliariai gautų atnaujinimus.
10. Panašią sistemą taikykite ir serveriams tik dar labiau ją sugriežtinkite

Nuotolinis priėjimas

Tai priėjimas prie įmonės tinklų, serverių ir kitų resursų nesant įmonės tinkle. Susijungimas vyksta iš bendrų tinklų per telefonines linijas, bevielį ryšį, namuose ir pan. Toks susijungimas versle tampa standartu. Keli nuotolinio priėjimo atvejai:

• Sujungimas dviejų skirtingų ofisų, padalinių
• Mobilus įmonės duomenų pasiekimas (paštas, kalendorius, duomenų bazės)
• Tinklo vartotojų prijungimas prie interneto
• Online konferencijos
• Duomenų dalinimasis su klientais ir tiekėjais (ekstranetas)
• Nutolęs serverių ir kompiuterių valdymas

Saugūs tuneliavimo protokolai

Įsigyti saugias skirtąsias linijas yra pakankamai sudėtinga ir brangu. Daug praktiškesnis sprendimas, tai esamos infrastruktūros panaudojimas (interneto) ir sukuriant saugius tunelius privačiam bendravimui (Virtual Private Network – VPN). Daugelis namų ar verslo vartotojų turi internetą, todėl šį sprendimą paprasta ir nebrangu įgyvendinti.

Galimos dvi VPN topologijos:

• Site-to-Site VPN – šiuo būdu galima sujungti du ar daugiau nutolusių tinklų, panaudojant skirtąsias linijas arba MPLS (Multi-Protocol Label Switching)
• Remote Access VPN – šiuo atveju vartotojai jungiasi prie VPN gateway. Nutolę vartotojai gali prisijungti prie įmonės tinklo, panaudodami interneto ryšį.