HomePlug
HomePlug - bu elektr tarmog'i orqali aloqa qilish uchun ishlatiladigan protokol.
Dastlabki versiya past bit tezligiga ega edi, ammo HomePlug AV 2007 yildan beri mavjud.
21.4 Tarmoq hujumiga qarshi mudofaa 669
keng polosali ulanishni qo'llab-quvvatlaydi. (Qiziqish deklaratsiyasi: Men protokol dizaynerlaridan biri edim.) Uning maqsadi televizorlar, pristavkalar, shaxsiy videoregistratorlar,
DSL va kabel modemlari va shu kabi boshqa qurilmalar bilan uyda muloqot qilish imkonini beradi.
qo'shimcha kabellarsiz. Biz Bluetooth jamoasi bilan bir xil dizayn cheklovlariga duch keldik: hamma qurilmalarda klaviatura yoki ekranlar mavjud emas va biz xarajatlarni past saqlashimiz kerak edi. Ko‘p o‘ylanib, biz faqat ikkita ish rejimini taklif qilishga qaror qildik: xavfsiz rejim, bunda foydalanuvchi o‘z tarmoq boshqaruvchisiga har bir qurilma yorlig‘ida chop etilgan noyob AES kalitini qo‘lda kiritadi va ishonchli yoki “oddiy ulanish” rejimi. kalitlar autentifikatsiya qilinmasdan almashtiriladi. Aslida, bu rejimda kalitlar hatto shifrlanmagan; uning maqsadi xavfsizlikni ta'minlash emas, balki noto'g'ri birlashmalarning oldini olishdir, masalan, sizning karnaylaringiz qo'shni xonadondan noto'g'ri audio signal olganida.
Biz Bluetooth-da bo'lgani kabi ochiq kalit almashish protokolini taklif qilishni ko'rib chiqdik, ammo u ko'p narsaga erishmadi degan xulosaga keldik. Agar o'rta shaxs hujumi sodir bo'lsa, tajovuzkor pristavkangizni murabbo yordamida urib yuborsa va bir xil turdagi soxta qutini elektr tarmog'ingizga ulab qo'ysa, siz tarmoq kontrolleringizga (ba'zi dasturiy ta'minotlar) kirishingiz mumkin. kompyuteringiz) va “Priyotelli qurilma turi Philips 123 tarmoqqa kirishni talab qilmoqda” xabarini koÿring. Sertifikat xeshi = 12345678. Qabul qilasizmi/rad qilasizmi?' Bunday holatda, ko'pchilik odamlar "tan olish" tugmasini bosadi va tajovuzkorga kirishga ruxsat beradi. Ularni oldini olishning yagona yo'li ularni qurilma yorlig'idan sertifikat xeshini o'qishga va uni kiritishga majbur qilishdir - va agar ular buni qilmoqchi bo'lsalar. ya'ni ular to'g'ridan-to'g'ri kalitni kiritishlari mumkin [967]. Qisqasi, bizning dizaynimiz foydalanish qulayligi bilan bog'liq edi va biz ochiq kalitli kripto bizga hech narsa sotib olganiga amin emas edik.
Qaysi yondashuv eng yaxshi ekanligini vaqt ko'rsatadi. Va agar biz noto'g'ri bo'lib chiqsak,
HomePlug (masalan, Bluetooth va WiFi-ning so'nggi versiyalari) tarmoqdan tashqari mexanizmlar orqali boshqa protokollardan kalitlarni sozlash imkonini beradi. Shunday qilib, ofis yoki uydagi barcha qurilmalar bitta mexanizm yoki qurilma tomonidan boshqariladigan kalitlari bilan yakunlanishi mumkin; va bu kelajakdagi xavfsizlik muhandislari uni qanday qurishiga qarab qulay yoki zaifliklar manbai bo'lishi mumkin.
IPsec
Yana bir yondashuv IPsec deb nomlanuvchi protokollar to'plamidan foydalangan holda IP sathida shifrlash va/yoki autentifikatsiyani amalga oshirishdir. IPsec xavfsizlik assotsiatsiyasini ma'lum bir paket oqimini himoya qilish uchun ishlatiladigan kalitlar, algoritmlar va parametrlarning kombinatsiyasi sifatida belgilaydi . Himoyalangan paketlar shifrlangan yoki autentifikatsiya qilingan (yoki ikkalasi); ikkinchi holatda, HMAC-SHA1 yordamida ma'lumotlar yaxlitligini himoya qiluvchi autentifikatsiya sarlavhasi qo'shiladi, birinchisida paket shifrlangan va boshqa paketlarda inkapsullangan. (Autentifikatsiyasiz shifrlashdan foydalanish tavsiya etilmaydi, chunki u xavfsiz emas [151].) Shuningdek, kalitlarni sozlash va parametrlarni muhokama qilish uchun Internet Key Exchange (IKE) protokoli ham mavjud. IKE bir nechta versiyalardan o'tgan (tuzatilgan ba'zi xatolar [465] da muhokama qilingan).
IPsec o'z mahsulotlari bilan virtual xususiy tarmoq ob'ektini taklif qiluvchi xavfsizlik devori ishlab chiqaruvchilari tomonidan keng qo'llaniladi ; ya'ni mahalliy LAN va marshrutizator o'rtasidagi har bir tarmoqqa ularning qutilaridan birini o'rnatish orqali barcha ichki trafik Internet orqali shifrlangan holda o'tishi mumkin. Ishchilarning noutbuklari va uy kompyuterlari kabi individual shaxsiy kompyuterlar nazariy jihatdan IPsec-ni qo'llab-quvvatlaydigan xavfsizlik devori bilan VPN-ga qo'shilishi mumkin, ammo bu ko'rinadiganidan qiyinroq. Muvofiqlik turli ishlab chiqaruvchilarning takliflari bir-biri bilan ishlamasligi bilan katta muammo bo'lib kelgan; so'nggi paytlarda xavfsizlik devori o'rtasida xavfsizlik devori mosligi yaxshilangan bo'lsa-da, tasodifiy shaxsiy kompyuterlarni berilgan VPN bilan ishlash uchun olish hali ham juda qiyin ishdir.
IPsec ba'zi tarmoq hujumlarini to'xtatish va mustahkam taqsimlangan tizimlarni loyihalashda foydali komponent bo'lish potentsialiga ega. Ammo bu panatseya emas. Darhaqiqat, virtual xususiy tarmoqlar allaqachon muhokama qilingan "deperimetrizatsiya" muammosini yanada kuchaytiradi. Agar sizning xodimingizning uylarida tarmoqqa ulangan (ular VPN orqali ulangani uchun) va Internetga ulangan (ularning brauzeri to'g'ridan-to'g'ri uyning kabel modemi orqali Internetga ulangani uchun) minglab mashinalaringiz bo'lsa, ular potentsialga aylanadi. zaif nuqta. (Haqiqatan ham, AQSh
Adliya departamenti 2007 yilda qaror chiqargan, xodimlar o'zlarining shaxsiy shaxsiy kompyuterlari yoki PDA'larini ish maqsadlarida ishlata olmaydilar; Departament biznesi uchun foydalaniladigan barcha mobil qurilmalar markazdan boshqarilishi kerak [108].)
TLS
Eslatib o'tamiz, ochiq kalitni shifrlash haqida gapirganda, men server ochiq kalit KSni nashr etishi mumkinligini va har qanday veb-brauzer keyinchalik KS yordamida shifrlangan kredit karta raqamini o'z ichiga olgan M xabarini yuborishi mumkinligini ta'kidlagan edim: {M}KS. Bu aslida TLS protokoli (ilgari SSL nomi bilan tanilgan) bajaradigan narsa, garchi amalda bu ancha murakkab. U shifrlash va autentifikatsiyani har ikki yo'nalishda qo'llab-quvvatlash uchun ishlab chiqilgan bo'lib, http so'rovlari ham, javoblari ham tinglash va manipulyatsiyadan himoyalanishi mumkin. Bu brauzer asboblar panelidagi qulfni ko'rganingizda faollashtirilgan protokol.
Bu yerda veb-sahifalarni himoya qilish uchun ishlatiladigan versiyaning soddalashtirilgan tavsifi
kredit karta raqamlarini so'raydigan:
mijoz serverga C nomini o'z ichiga olgan mijozga salom xabarini yuboradi , bir tranzaksiya seriya raqami C #, va tasodifiy nonce NC;
server o'z nomi S, tranzaksiyaning seriya raqami S#, tasodifiy bo'lmagan NS va ochiq kaliti KSni o'z ichiga olgan CS sertifikatini o'z ichiga olgan serverga salom xabari bilan javob beradi .
Mijoz endi CS sertifikatini Verisign kabi kompaniya tomonidan chiqarilgan va brauzerda saqlangan ildiz sertifikatiga qayta tekshiradi;
mijoz oldindan asosiy sirni o'z ichiga olgan kalit almashish xabarini yuboradi
kalit, K0, server ochiq kaliti KS ostida shifrlangan. Shuningdek, u tugallangan xabarni barcha qurilmalarda hisoblangan xabar autentifikatsiya kodi (MAC) bilan yuboradi
|
