>>> Ogólne <<<
5. Poufność (confidentiality) - ochrona danych przed odczytem i kopiowaniem przez osobę nieupoważnioną. Jest to ochrona nie tylko całości danych, ale również ich fragmentów.
5.
5. Spójność (integrity) - ochrona informacji (również programów) przed usunięciem lub jakimikolwiek nieuprawnionymi zmianami. Np. zapisy systemu rozliczania, kopie zapasowe, atrybuty plików.
5. Dostępność (availability) - ochrona świadczonych usług przed zniekształceniem i uszkodzeniem.
5. Niezaprzeczalność - zabezpieczenie przed możliwością zaprzeczenia autorstwa dokumentu lub zrealizowania konkretnego działania.
Pomarańczowa Księga (Trusted Computer System Evaluation Criteria - TCSEC) zalecenia wydane w 1983 roku dotyczące zagadnień związanych z ochroną i oceną bezpieczeństwa informacji. Dokument ten powstał z inicjatywy Departamentu Obrony USA oraz Narodowego Biura Standaryzacji.
Czerwona Księga (Trusted Networking Interpretation) - zawiera kryteria oceny bezpieczeństwa sieci komputerowej.
Zielona Księga (Password Management Guideline) - zawiera wytyczne dotyczące stosowania i wykorzystywania haseł.
CC - Common Criteria - jest to dokument standaryzujący zagadnienia związane z ochroną i oceną bezpieczeństwa informacji. Dokument ten określa co należy zrobić, aby osiągnąć zadany cel ale nie określa jak to zrobić. CC odnosi się do produktów programowych i sprzętowych. CC nie zaleca ani nie wspiera żadnej znanej metodyki projektowania i wytwarzania systemów. CC są katalogiem schematów konstrukcji wymagań związanych z ochroną informacji.
ARP (ang. Address Resolution Protocol) - jest protokołem odpowiedzialnym za konwersję adresu IP na adres sprzętowy. Gdy datagram IP jest gotowy do wysłania, host musi dowiedzieć się, jaki jest adres sprzętowy skojarzony z docelowym adresem IP. Dla pakietów wysyłanych wewnątrz sieci lokalnej, będzie to adres interfejsu docelowego. Dla pakietów skierowanych na zewnątrz, będzie to adres jednego z routerów.
Audyt bezpieczeństwa - Rozpoznanie problemu przetwarzania informacji w organizacji (przede wszystkim określenie podstawy prawnej); Rozpoznanie rodzajów informacji przetwarzanych w organizacji; Analiza obiegu poszczególnych grup informacji i rozpoznanie systemów przetwarzania informacji; Analiza zagrożeń i ryzyka przetwarzania informacji; Ocena stosowanych systemów zabezpieczeń;
Kerberos - system ten powstał w czasie realizacji projektu Athena na uniwersytecie MIT. Projekt miał na celu integrację komputerów uniwersyteckich. System weryfikacji autentyczności jest oparty na znajomości haseł zapisanych w serwerze Kerberosa. W procesie uwierzytelniania wykorzystuje się tajny dzielony klucz (shared secret), który pozwala na identyfikację użytkowników bez eksponowania informacji narażających bezpieczeństwo sieci. W systemie uwierzytelniania wyróżnić można cztery komponenty: klient; serwer uwierzytleniający; serwer przepustek lub serwer przyznawania biletów; serwer aplikacji;
Sniffing - czyli węszenie jest zagrożeniem biernym. Polega na odczytywaniu danych przez węzeł, dla którego nie były one przeznaczone. Możliwość taka jest dostępna w wielu urządzeniach (np. analizator sieci). Urządzenia wykorzystujące sniffing są pożyteczne i konieczne. Mogą być jednak wykorzystywane w złych zamiarach. Np. do przechwytywania haseł, odczytywania poczty, odczytywania przesyłanych rekordów baz danych. Często węszenie stanowi etap wstępny przed przystąpieniem do ataku aktywnego.
Wszystkie interfejsy sieciowe w segmencie sieci mają dostęp do wszystkich transmitowanych w nich danych. Każdy interfejs powinien mieć inny adres. Istnieje też przynajmniej jeden adres rozgłoszeniowy (broadcast) odpowiadający wszystkim interfejsom. Normalnie, interfejs reaguje tylko na pakiety, które w polu adresowym mają jego adres, lub adres rozgłoszeniowy.
Sniffer przełącza interfejs w tryb podsłuchu, dzięki czemu interfejs może analizować każdy pakiet w danym segmencie sieci. Jest to bardzo przydatne narzędzie w rękach administratora, służące do ustalania przyczyn nieprawidłowego działania sieci. Można ustalić udział poszczególnych protokołów w ruchu sieciowym, udział poszczególnych hostów w generowaniu i odbieraniu pakietów.
Enumeracja - nazywamy proces wyszukiwania poprawnych kont użytkowników lub źle zabezpieczonych zasobów współdzielonych. Enumercja jest techniką inwazyjną. Wiąże się z aktywnymi połączeniami i ukierunkowanymi zapytaniami. Większość informacji zbieranych w ten sposób wydaje się zwykle błaha. Mogą one być jednak bardzo groźne. Po zdobyciu poprawnej nazwy użytkownika lub zasobu, tylko kwestią czasu pozostaje moment, w którym intruz zdobędzie odpowiednie hasło lub znajdzie lukę związaną z protokołem udostępniania zasobu.
Techniki enumeracji są najczęściej charakterystyczne dla konkretnego systemu operacyjnego. Stosowanie mechanizmów ochronnych pozwalających na ukrywanie informacji o rodzaju zainstalowanego systemu operacyjnego utrudnia również stosowanie odpowiednich technik enumeracji.
Spoofing - czyli atak poprzez podszywanie się w tradycyjnym ujęciu oznacza działanie atakującego, polegające na oszukaniu mechanizmu autentykacji zachodzącego pomiędzy maszynami przekazującymi między sobą pakiety. Proces autoryzacji przeprowadzany jest poprzez sfałszowanie pakietów "zaufanego" hosta - należącego do atakowanej sieci. Obecnie mianem spoofingu określa się dowolną metodę łamania zabezpieczeń opartych na adresie lub nazwie hosta. Istnieje kilka technik podszywania. Spoofing nie jest cechą ściśle określonej warstwy OSI. Można go realizować praktycznie w każdej warstwie.
Ataki tego typu należą do grupy "technik zaawansowanych". Naruszenie bezpieczeństwa następuje w bardzo dyskretny sposób. Techniki spoofingu są bardziej skomplikowane niż inne, przez co rzadko dochodzi do ataków z wykorzystaniem tej metody.
Firewall - Zapora sieciowa jest umieszczana między siecią wewnętrzną organizacji i siecią zewnętrzną. Dostarcza ona prostego mechanizmu kontroli ilości i rodzaju ruchu sieciowego między obydwoma sieciami. Podstawowym jej zadaniem jest ograniczenie przepływu danych między tymi sieciami. Przed postawieniem zapory trzeba określić, jakie rodzaje danych mają być przez nią przepuszczane, a jakie nie. Czyli trzeba zdefiniować politykę zapory. Następnie należy skonstruować mechanizmy, które umożliwią wprowadzenie tej polityki w życie.
IDS - Wykrywaniem intruzów nazywamy proces identyfikowania i reagowania na szkodliwą działalność skierowaną przeciw zasobom informatycznym. Jest to proces przebiegający w czasie. Obejmuje technologię, ludzi i narzędzia. Identyfikację intruza można przeprowadzić przed, podczas lub po wystąpieniu działalności szkodliwej. Wynikają z tego określone skutki. Działalność zapobiegawcza może uratować zasoby. Działalność po fakcie zwykle będzie związana z oszacowaniem szkód i określeniem dlaczego doszło do włamania. Działalność związana z włamaniem jest związana z podjęciem decyzji czy zezwolić na kontynuację włamania i obserwować intruza, czy wszcząć alarm i prawdopodobnie go spłoszyć. Reakcja może nastąpić dopiero po identyfikacji.
Klasyfikacja IDS - według źródeł informacji; według metod analizy; według typów odpowiedzi;
PGP (Pretty Good Privacy) - Program ten został napisany w celu zapewnienia kompleksowej ochrony przesyłek pocztowych, i jest to de facto standard w tej dziedzinie. Zasługuje na szczególną uwagę dzięki swojej ogromnej funkcjonalności i popularności. Jest to program autorstwa Phila Zimmermanna dostępny zarówno na systemy operacyjne serii Windows jak i na systemy typu Unix. Zadaniem jego jest dostarczenie użytkownikowi jak najwięcej użytecznych usług związanych z szyfrowaniem. Część z tych usług jest związana bezpośrednio z ochroną poczty elektronicznej.
Użycie ich zapewnia: poufność przesyłki; spójność wiadomości; uwierzytelnianie źródła pochodzenia wiadomości; miemożność wyparcia się autorstwa wiadomości;
Ponieważ program ten z czasem podlegał komercjalizacji, więc opracowany został program, o nazwie GNU Privacy Guard (GPG), oferujący podstawową ochronę poczty.
>>> Kryptograficzne metody ochrony informacji <<<
____
Kryptografia - jest dziedziną nauki o zapewnieniu zabezpieczeń dla informacji.
Kryptoanaliza - jest dziedziną nauki o odkrywaniu słabych stron lub wad w kryptosystemie i sposobach łamania zabezpieczeń zapewnionych przez te systemy.
Szyfrowanie - proces, w którym wiadomość (tekst jawny) przekształcany jest w inną wiadomość (kryptogram - tekst zaszyfrowany) za pomocą funkcji matematycznej oraz hasła szyfrowania (klucza).
Deszyforwanie - proces, w którym kryptogram jest przekształcany z powrotem na oryginalny tekst jawny za pomocą pewnej funkcji matematycznej i klucz.
Klucz kryptograficzny - ciąg symobli, od którego w sposób istotny zależy wynik przekształcenia kryptograficznego.
Przestrzeń kluczy kryptograficznych - określa ono zbiór wszystkich kluczy kryptograficznych określonej długości. Im dłuższa jest przestrzeń klucza, czyli zakres możliwych wartości klucza, tym trudniej jest złamać klucz przy zastosowaniu ataku siłowego.
Zastosowanie metod kryptograficznych - ochrona przed nieautoryzowanym ujawnieniem informacji przechowywanych na komputerze; ochrona informacji przesyłanych między komputerami; potwierdzanie tożsamości użytkownika; potwierdzanie tożsamości programu żądającego obsługi; uniemożliwienie nieautoryzowanej modyfikacji danych;
Algorytm z kluczem tajnym (z kluczem prywatnym lub symetrycznym, lub algorytmy symetryczne) - używają tego samego klucza do szyfrowania i deszyfrowania informacji. Wadą algorytmów symetrycznych jest konieczność bezpiecznego uzgodnienia klucza szyfrującego przed samą transmisją. Najpopularniejsze algorytmy: skipjack, IDEA, RC2, RC4, RC5, DES, 3DES. Niektóre algorytmy tego typu stosują kolejkowanie (64-bitowe bloki danych) przez co zapewniają dodatkowe zabezpieczenie.
4 sposoby łączenia otwartego tekstu - ECB (Electronic Code Book); CBC (Cipher Block Chaining); CFB (Cypher FeedBack); OFB (Output FeedBack); Poza ECB, pozostałe algorytmy generują dla tych samych danych różne szyfrogramy.
Algorytmy z kluczem publicznym (lub z kluczem jawnym lub kluczem asymetrycznym lub algorytmy asymetryczne) - wykorzystują parę kluczy. Do szyfrowania używa się jednego z nich, a do deszyfrowania drugiego. Jeden z tych kluczy musi być tajny (klucz prywatny). Do podstawowych algorytmów z kluczem publicznym należą: RSA, DSA, El Gamal.
Algorytmy skrótu - skrót wiadmości (kryptograficzna suma kontrolna - hasz) jest specjalną liczbą będącą produktem funkcji, która jest nieodwracalna. Algorytm funkcji skrótu powienien spełniać następujące właściwości: spójność; losowość; unikalność; jednokierunkowość. Przykładowe algorytmy skrótu: MD5, SHA.
Podpis cyfrowy - to (zwykle) skrót wiadomości zaszyfrowany za pomocą osobistego klucza osoby podpisującej się - używany w celu potwierdzenia treści. W tej sytuacji proces szyfrowania nazywamy podpisywaniem. Podpis cyfrowy: wskazuje czy dana wiadomość została zmieniona; umożliwia weryfikację osoby podpisującej się; zapewnienie nie wypierania się podpisującego;
Dystrybucja kluczy kryptograficznych - 1) Dystrybucja kurierska; 2) Dystrybucja elektroniczna (w systemach symetrycznych: KDC lub algorytmy EKE Encrypted Key Exchange, lub Diffie Hellmana; w systemach asymetrycznych: CA).
Algorytm Diffie Hellmana (D-H) - jest to protokół kryptograficzny służący do uzgadniania kluczy, w którym dwie strony mogą wylosować pewną liczbę, taką że obie strony po wykonaniu protokołu będą ją znały, za to nie będzie jej znał nikt z podsłuchujących wymianę wiadomości. Liczba ta może być potem używana jako klucz do szyfrowania komunikacji. Protokół nie zabezpiecza przed ingerencjami w komunikację (atak man in the middle), jedynie przed pasywnym podsłuchem. Dlatego należy uzupełnić go o zabezpieczenia przed atakiem aktywnym. Algorytm Diffie Hellmana wykorzystywany jest jako alternatywa dla serwisu uwierzytelniającego KDC (Key Distribution Center), którego zadaniem jest generowanie kluczy sesyjnych w systemach symetrycznych (przykładowym algorytmem dystrybucji typu KDC jest algorytm Cerbera).
Infrastruktura klucza publicznego - celem infrastruktury kluczy publicznych PKI (Public Key Infrastructure) jest zapewnienie zaufanego i wydajnego zarządzania kluczami oraz certyfikatami. PKI jest zdefiniowanew dokumencie Internet X.509 Public Key Infrastructure.
CA - Certificate Authority - jest punktem zaufania dla wszystkich jednostek w strukturze PKI (Public Key Infrastructure). Jego klucz jest stosowany bezpośrednio lub pośrednio do podpisywania wszystkich certyfikatów w strukturze PKI. Główny CA podpisuje także certyfikaty, wydawane innym strukturom PKI (jest to zazwyczaj nazywane cross-certyfication lub certyfikacją skrośną).
PMA - Policy Management Authority - jest ciałem, które ustala i administruje biorem polityk bezpieczeństwa, stosowanych w infrastrukturze, zatwierdza certfyikację innych głównych CA i zewnętrznych CA oraz nadzoruje działanie głównego CA.
RA - Registration Authority - służą do wymiany niezbędnych informacji pomiędzy użytkownikiem a Organami Certyfikacji.
CRL - Certificate Revocation List - jest to okresowo wydawana przez CA podpisana lista unieważnionych certyfikatów identyfikowanych przez numer seryjny (według standardu X.509).
Certyfikat - Jest stosowany w systemach wykorzystujących kryptografię klucza publicznego, gdzie użytkownicy muszą być pewni, że klucz publiczny jednostki, z którą się komunikują, rzeczywiście należy do tej jednostki. Ta pewność jest właśnie wykorzystywana przez użycie certyfikatów kluczy publicznych. Są to struktury danych łączące klucze publiczne z jednostkami, do których one należą. Powiązanie to jest osiągane dzięki zweryfikowaniu przez zaufany CA (Certificate Authority) tożsamości jednostki i podpisaniu certyfikatu. Certyfikat ma ograniczony czas życia. Struktura certyfikatu musi być jednolita w cały PKI (Public Key Infrastructure). Certyfikat jest podpisany, więc może być rozprowadzany za pomocą niezaufanych systemów komunikacyjnych. Mogą być też buforowane w niezabezpieczonych pamięciach.
Podstawowe elementy certyfikatu: numer wersji; numer seryjny; identyfikator algorytmu; identyfikator wystawcy; okres ważności; użytkownik certyfikatu; informacja o kluczu publicznym; rozszerzenia; podpis cyfrowy;
>>> Testy penetracyjne - techniki skanowania <<<
5. Rekonesans - zbieranie informacji o celu ataku.
5. Skanowanie przestrzeni adresowej sieci prywatnej - wykrywanie dostępnych serwerów, stacji roboczych, drukarek, routerów i innych urządzeń.
5. Skanowanie sieci telefonicznej - wykrywanie aktywnych modemów sieci prywatnej.
5. Skanowanie portów serwerów i urządzeń sieciowych - wykrywanie dostępnych usług.
5. Identyfikacja systemu - ustalanie rodzaju i wersji systemu, oprogramowania użytkowego, kont użytkowników.
5. Symulacja włamania - przejmowanie kont, odczytywanie informacji z baz, odczytywanie katalogów wspó...
Phoob