Bezpečnost sítě obecně

Bezpečností sítě se rozumí minimalizace jejích zranitelných míst. Ochranu tedy vyžadují informace a data, služby přenosu a zpracování dat, zařízení a uživatelé z hlediska svého majetku a integrity. Ochrana sítě slouží k zajištění její bezpečnosti před útoky zvenčí, ale i útoky zevnitř. Z nejznámějších ochranných mechanismů se používá kódování a šifrování, mechanismy řízení přístupu a řízení směrování.

Tyto mechanismy poskytují řadu služeb ochrany:

  1. Autentizace – ověření identity druhé komunikující strany
  2. Řízení přístupu – na základě identifikace uživatele umožnění přístupu do systému na základě přidělených práv
  3. Zajištění utajení přenášených dat a soukromí – zajištění dat proti odposlechu a ujištění informací o komunikujících uživatelích a charakteru jejich komunikace
  4. Zabezpečení integrity dat – ochrana proti neautorizované změně dat zabráněním modifikaci, duplikaci nebo zničení posílaných dat
  5. Ochrana proti odmítnutí původu zprávy – zabránění odesilateli nebo příjemci odmítnout potvrzení o vysílání nebo přijetí zprávy pomocí důkazu o původu a / nebo důkazu o doručení.

Hlavní nebezpečí narušení bezpečnosti IP sítí

V sítích s architekturou TCP/IP dochází k řadě možných útoků na síť, její uživatele a aplikace. Útoky lze rozdělit do následujících kategorií:

  • útoky na propustnost sítě – pokusy o spotřebování síťových prostředků (šířky pásma, kapacity zařízení);
  • protokolové útoky – využívají vlastností běžných protokolů vyplývajících z jejich návrhu;
  • logické útoky – využívají známých slabin síťového softwaru (např. webového serveru nebo TCP/IP softwaru.

Bezpečnost podnikové sítě

Protokol IP verze 4 sám příliš nezajišťuje ochranu sítě před nežádoucími útoky zvenčí, nová verze protokolu IPv6 již podporuje autentizaci uživatelů. Základem zabezpečení sítě je dobře specifikovaná podniková bezpečnostní politika, která definuje jaké aplikace a jaká data se zpřístupní a za jakých podmínek.

Fyzická ochrana sítě je nejčastěji zajištěna ochrannou zdí = firewall, která je představována několika složkami:

síť

Firewally spadají do některé z následujících vývojových kategorií:

  1. Filtrace paketů = filtrace paketů na úrovni síťové vrstvy, na základě IP adres zdrojové a cílové stanice, s minimálními nároky na prohlížení záhlaví datagramů.
  2. Zástupný server (proxy) – ověřuje pakety z hlediska platnosti dat na aplikační úrovni před otevřením spojení. Server si udržuje všechny informace o stavu spojení a číslech paketů. Zástupné servery mohou také ověřovat uživatelská hesla a požadavky na služby. Proti paketovým filtrům se bezpečnost s proxy zvýšila, ale zhoršila se výkonnost sítě = zpomalení komunikace.
  1. Aplikační brána – zadržuje všechny pakety pro specifikované aplikace, chová se jako zástupce aplikačního serveru (Telnet, ftp, smtp), provádí stavovou filtraci, zajistí nejprve autentizaci vnějšího uživatele a teprve potom umožní komunikaci se serverem v demilitarizované zóně.

Bezpečnostní architektura IP

IPSec – Bezpečnostní architektura pro IP má poskytovat silné zabezpečení na bázi šifrování pro IPv4 i pro IPv6. Podporuje autentizaci, integritu a důvěryhodnost na úrovni datagramů a skládá se z několika protokolů pro posílání autentizovaných nebo zašifrovaných dat po sítích s architekturou TCP/IP. IPSec se odehrává na síťové vrstvě, takže je transparentní pro aplikační protokoly, které mohou aplikovat vlastní bezpečnostní mechanismy.

Tunelování

Tunely se v sítích používají, kdykoli je potřeba nebo je účelné zapouzdřit pakety (obecněji datové jednotky) jednoho protokolu do paketu stejného nebo odlišného protokolu a přenést je tak sítí. Účelné mohou být tunely při zabezpečení komunikace mezi dvěma body sítě – privátní tunel pak chrání veškerou komunikaci mezi těmito body. Tunelování se proto využívá v IPSec a při budování IP VPN. Tunelováním lze také řešit otázky problematické adresace nebo specifické požadavky na směrování. Potřeba tunelů vzniká např. při přenosu IPv6 datagramů mezi pobočkami podnikové sítě přes tradiční IPv4 síť. I podpora mobilní komunikace prostřednictvím mobilního IP je založena na tunelech.

Architektura paketového filtru

Síť

Autor: Jana Korytářová, korytarova@premocz.eu

Komentáře

Přidat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *