21.4 Tarmoq hujumiga qarshi mudofaa 665
Siz mahalliy va global miqyosda hujumni aniqlashni amalga oshirishingiz kerak bo'lishi mumkin. Ishlarning antivirus tomoni mahalliy mashinalarda bajarilishi kerak bo'lishi mumkin, ayniqsa zararli dastur shifrlangan veb-sessiyalarga kirsa; boshqa tomondan, ba'zi hujumlar yashirincha bo'ladi - raqib 100 000 ta xostning
har biriga kuniga 1-2 paket yuboradi. Bunday hujumlar mahalliy monitoring tomonidan topilmaydi; sizga manba va maqsad manzili va port bo'yicha paketlarning gistogrammalarini saqlaydigan markaziy monitor kerak.
Shunday qilib, bitta mahsulot echimi hiyla-nayrangni amalga oshirishi dargumon.
Kelajakda bosqinlarni aniqlash tizimlari tarmoqda (magistral, LAN, individual mashina) va protokollar stekida (paket, sessiya va dastur) turli darajalarda bir qator monitoring mexanizmlarini muvofiqlashtirishni o'z ichiga olishi mumkin.
Shifrlash Tarmoq
hujumlarining oldini olish kontekstida ko'pchilik shifrlash haqida o'ylashga majbur bo'lgan. Ushbu bobning boshida Butler Lempson va Rojer Nidxemdan iqtibos keltirganidek, shifrlash odatda siz kutganingizdan ancha kam ishlaydi. Ammo ba'zida bu foydali bo'lishi mumkin.
Bu erda men to'rtta eng mos tarmoq shifrlash stsenariylarini qisqacha tasvirlab beraman: SSH; WiFi, Bluetooth va HomePlug tomonidan taqdim etilgan mahalliy havolani himoya qilish; IPSec; va TLS. Va nihoyat, men oxirgi ikkitasini qo'llab-quvvatlash uchun ishlatiladigan ochiq kalit infratuzilmalarini (PKI) qisqacha muhokama qilaman.
SSH
Noutbukdan ish stoli kompyuterimda elektron pochta xabarlarini o'qish yoki laboratoriyamizdagi boshqa mashinalar bilan biror narsa qilish uchun foydalansam, men Unix va Windows xostlari o'rtasida shifrlangan havolalarni ta'minlaydigan xavfsiz qobiq (SSH) deb nomlangan protokoldan foydalanaman [1369, 1] , 988]. Shunday qilib, men uydan tarmoq orqali kirganimda, mening trafikim himoyalangan va ish stolimdagi
kompyuterdan laboratoriyadagi boshqa mashinaga kirga¨nimda, men foydalanadigan parol LAN orqali aniq o'tmaydi.
SSH dastlab 1995-yilda Finlyandiyadagi Xelsinki Texnologiya Universiteti tadqiqotchisi
Tatu Ylonen tomonidan parolni o'chirish hujumidan so'ng yozilgan. U nafaqat mashinalar o'rtasida shifrlangan ulanishlarni o'rnatadi, shuning uchun tizimga kirish parollari tarmoq bo'ylab aniq harakatlanmaydi; u boshqa foydali xususiyatlarni ham qo'llab-quvvatlaydi, masalan, X sessiyalarini yo'naltirish, bu uning tez qabul qilinishiga olib keldi. (Aslida bu xavfsizlik mahsulotini bozorda qanday qabul qilish boÿyicha klassik misol; tahlil uchun
[1083] ga qarang. Odatda odamlar shifrlash mahsulotlaridan koÿp odamlar foydalanmaguncha foydalanishni xohlamaydilar, chunki tarmoq effektlari; shuning uchun hiyla mahsulot bilan boshqa haqiqiy imtiyozlarni birlashtirishdir.)
¨
Ylonen kompaniyasining xususiy SSH mahsuloti va OpenSSH va Putty kabi bir qator ochiq ilovalar mavjud; Bundan tashqari, tegishli SCP ("xavfsiz nusxa") fayl uzatish protokoli mavjud. Turli xil konfiguratsiya opsiyalari mavjud, ammo eng oddiy variantda har bir mashinada umumiy shaxsiy klaviatura mavjud. Shaxsiy kalit foydalanuvchi klaviaturada kiritadigan parol bilan himoyalangan. Laptopimdan laboratoriyadagi serverga ulanish uchun (aytaylik) men ochiq kalitim serverga yuklanganligini va server tomonidan ishonchli ekanligiga ishonch hosil qilaman.
Kalitlarni qo'lda o'rnatish bir vaqtning o'zida kuchli va zaifdir; boshqaruv intuitivligi bilan kuchli va zaif, chunki u unchalik yaxshi miqyosda emas. Har qanday holatda ham, men serverga kirmoqchi bo'lganimda, o'z parolimni so'rayman; keyin kalit o'rnatiladi; va trafik shifrlangan va autentifikatsiya qilingan. Yangi kalitlar bir soatdan keyin yoki Gigabayt trafik almashtirilgandan so'ng o'rnatiladi.
SSH dan foydalanish bilan bog'liq mumkin bo'lgan muammolar qatoriga SSH 1.0 ning dastlabki versiyasi kalit almashish protokoli noto'g'ri bo'lganligi sababli o'rta shaxslar hujumlariga nisbatan zaif ekanligi kiradi; va agar siz klaviaturada bir vaqtning o'zida bitta belgi terayotgan bo'lsangiz, har bir belgi o'z paketida yuboriladi. Paketlar orasidagi kelish vaqtlari siz yozayotgan narsa
haqida hayratlanarli miqdorda ma'lumotni sizdirishi mumkin [1203]. Biroq, eng yomoni, SSH kalitlarining aksariyati parol bilan himoyalanmagan holda aniq saqlanadi. Natijada, agar mashina buzilgan bo'lsa, unda o'rnatilgan SSH kalitiga ishonadigan har bir boshqa mashina bilan ham xuddi shunday bo'lishi mumkin.
WiFi
Wi-Fi simsiz mahalliy tarmoqlar uchun ishlatiladigan texnologiya bo'lib, juda keng qo'llaniladi: odamlar undan shaxsiy kompyuterlarni uy routerga ulash uchun uyda foydalanadilar va korxonalar ham undan kassa va to'lov terminallari, shuningdek shaxsiy kompyuterlar kabi qurilmalarni ulashda
foydalanadilar. O'yin pristavkalari va hatto mobil telefonlar simsiz LANlardan tobora ko'proq foydalanmoqda.
Wi-Fi 1997 yilda ishga tushirilgandan beri bir qator shifrlash protokollari bilan birga keldi.
Birinchi keng qo'llaniladigan WEP ( simli ekvivalent maxfiylik uchun), hatto to'g'ri sozlangan bo'lsa ham, juda oson buzilganligi ko'rsatilgan. 1999-yilda IEEE 802.11 standarti bilan standartlashtirilgan WEP maÿlumotlarni shifrlash uchun RC4 oqim shifridan foydalanadi, faqat yaxlitlikni davriy ortiqcha tekshirish bilan. Nikita Borisov, Yan Goldberg va Devid Vagner bu chuqur hujumlarga
olib kelganligini ko'rsatdi [210]. Ma'lum bo'lgan ochiq matn kalit oqimini olib tashlash va qayta ishlatish imkonini beradi; bundan tashqari, shifrlashda ishlatiladigan dastlabki qiymatlar atigi 24 bit edi, bu esa keyingi chuqurlik hujumlariga olib keladigan IV to'qnashuvlarni topishga imkon berdi. Noto'g'ri xabarlar shifrlanishi va simsiz LANga kiritilishi, uni boshqa hujumlar uchun ochishi mumkin. Qolaversa, AQSH eksport qoidalariga koÿra, dastlabki amaliyotlarda kalit atigi 40 bit uzunlikda edi; shuning uchun kalitlarni qo'pol majburlash mumkin.
Bu shunchaki kriptoanalitiklarning ishtahasini oshirdi. Ko'p o'tmay, Scott Fluhrer, Itzhak Mantin va Adi Shamir haqiqatan ham halokatli hujumni topdilar.
|
