Bezpieczeństwo Internetu

Burzliwy rozwój Internetu to również coraz częstsze ataki hakerów, rozpowszechniające się wirusy, spamy poczty elektronicznej, oszustwa, ataki typu odmowy usług itp. Zmienia się forma zagrożeń i natura możliwych ataków, dlatego też w oparciu o już istniejące standardy przystąpiono do opracowania nowych.

Burzliwy rozwój Internetu to również coraz częstsze ataki hakerów, rozpowszechniające się wirusy, spamy poczty elektronicznej, oszustwa, ataki typu odmowy usług itp. Zmienia się forma zagrożeń i natura możliwych ataków, dlatego też w oparciu o już istniejące standardy przystąpiono do opracowania nowych.

W uzupełnieniu tradycyjnych wymagań zabezpieczenia systemów informatycznych przetwarzanie sieciowe wymaga zapewnienia:

  • poufności - zapobiegania nieautoryzowanemu ujawnianiu informacji

  • integralności - zapobiegania nieautoryzowanej modyfikacji informacji

  • dostępności - zapobiegania nieautoryzowanemu zatajaniu informacji i odmawianiu zasobów

  • uwierzytelniania - weryfikacji potwierdzenia tożsamości

  • nieuznawania - żadna jednostka nie może odmówić zaangażowania się w określone zdarzenie, np. nie może odmawiać przyjęcia komunikatu.
Bezpieczeństwo Internetu

Nowa struktura zabezpieczeń

Powstający model odniesienia dla zabezpieczenia pokazano na rysunku powyżej, określa on narzędzia identyfikacji i certyfikacji, tudzież umiejscawia obsługę bezpiecznej komunikacji i współdziałania, przeważnie opartą na protokołach IPsec, TLS i protokołach bezpieczeństwa wyższych warstw dla aplikacji.

Prowadzone obecnie prace standaryzacyjne obejmują bezpieczeństwo zarówno sieci, jak i aplikacji. W obszarze sieci prace skupiają się na bezpieczeństwie warstw sieciowej (IPsec, VPN) i transportowej (TLS) oraz uwierzytelniania end-to-end. W przypadku bezpieczeństwa aplikacji mamy do czynienia z problemem heterogeniczności, ale większość utrwalonych protokołów aplikacyjnych dotyczy handlu elektronicznego.

Kilka nowych inicjatyw standaryzacyjnych jest w trakcie opracowywania, w tym struktura, polityka i kryteria oceny, nowe algorytmy kluczy publicznych, nowe aplikacje i protokoły zabezpieczające, zarządzanie kluczami i infrastruktury kluczy publicznych PKI (Public Key Infrastructures).

Protokół IPsec

IPsec jest otwartym zbiorem standardów opracowanym przez działającą w ramach IETF grupę roboczą IPSEC (IP Security Protocol Working Group). Standardy te mają zapewnić usługi bezpieczeństwa w warstwie sieciowej stosu protokołów IP/TCP.

Zestaw standardów IPsec określa usługi zabezpieczeń kryptograficznych, które w sposób elastyczny wspierają autoryzację, integralność, sterowanie dostępem i poufność. Standardy IPsec są oparte na specyfikacji protokołu IPv6, ale podstawowe funkcje zabezpieczeń mogą być utrzymywane przez obecnie używany protokół IPv4.

W skład ostatnio ratyfikowanego standardu IPsec wchodzą następujące specyfikacje:

  • RFC 2401, definiująca architekturę bezpieczeństwa (SA - Security Architecture);

  • RFC2402, definiująca nagłówek uwierzytelnienia (AH - Authentication Header);

  • RFC 2406, definiująca kapsułkowanie zawartości chronionej (ESP - Encapsulation Security Payload);

  • RFC 2409, definiująca internetową wymianę kluczy (IKE - Internet Key Exchange).
Zbiór usług zabezpieczających IPsec zapewnia kontrolę dostępu, integralność, uwierzytelnianie źródła danych, eliminację powtórzonych pakietów (w ramach integralności) oraz szyfrowanie. Usługi te są zapewniane na poziomie warstwy IP i dlatego mogą być używane przez każdy protokół warstwy wyższej (TCP, UDP, ICMP, BGP).

Połączenia chronione

Bezpieczeństwo Internetu

Tryb tunelowy IPsec (IPv4)

Bezpieczeństwo Internetu

Tryb transportowy IPsec (IPv4)

System bezpieczeństwa IPsec jest oparty na koncepcji tzw. związków bezpieczeństwa SA (Security Associations). SA opisuje sposób, w jaki dwa (lub więcej) punkty sieci będą używać usług zabezpieczających w bezpiecznej komunikacji. SA jest połączeniem jednokierunkowym, zapewniającym bezpieczne usługi transportowe dla transmitowanych nim danych. Komunikacja pomiędzy dwoma punktami sieci musi składać się z co najmniej dwóch takich połączeń. Każde połączenie SA jest jednoznacznie identyfikowane przez losowo ustalany identyfikator SPI (Security Parameter Index) oraz adres docelowy IP - DA (Destination Address).

W zaleceniach IETF zdefiniowano dwa tryby SA:

  • Transportowy, polegający na dodawaniu - przed nagłówkiem warstwy transportowej (TCP, UDP itp.), a za nagłówkiem IPv4 lub za podstawowym nagłówkiem IPv6 - nagłówka protokołu bezpieczeństwa: AH lub ESP.

  • Tunelowy, polegający na dodaniu SA do tunelu IP - pakiet składa się z zewnętrznego nagłówka IP, nagłówka protokołu bezpieczeństwa i wewnętrznego nagłówka IP.
W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200