אבטחת מידע , כל מה שרציתה לדעת ולא העזת לשאול...
TCP/IP - זוהי ממשפחת הפרוטוקולים הנפוצה ביותר כיום , הן ברשת האינטרנט והן ברשתות מקומיות.
בפרוטוקל זה שני גרסאות שונות : גרסא 4 IPV הנמצאת בשימוש רחב מאוד
גרסא IPV6 החדשה יותר הנמצאת כיו בשימוש מועט
מודל client/server - במודל זה המושגים שרת ולקוח מתייחסים ליישומים.לקוח הינו יישום היוזם את הפניה אל השרת ומבקש ממנו שרות כלשהו.
השרת אינו יוזם אלא ממתין כל הזמן לפניות.
Originating Host - זהו המחשב (בדרך כלל מאופיין על ידי כתובת IP) שבוא נמצאת אפלקציית הלקוח היוזמת תקשורת כלשהי.
Packet Inspection - "בדיקת החבילה" - זהו תהליך שבו התקן מסויים בדרך כלל חומת אש , בוחן את התעבורה שעוברת דרכו.
ישנם שני סוגים של בדיקה :
Stateless inspection - "חסר מצב" בשיטה זו כל חבילה נבדקת בפני עצמה , ללא התחשבות ביוזם החיבור ובמצב החיבור
Stateful inspection - בשיטה זו , חוץ מבדיקה של כל חבילה , החומת אש עוקב אחר מצב החיבורים ומתעד זאת כל הזמן.כך שעבור כל חבילה שנבחנת , חומת האש יודע האם הוא שייך לחיבור מסויים ואם כן לאיזה חיבור הוא שייך.
Packet filtering - סינון של תעבורת רשת , על ידי השוואה בין מאפיינים של החבילה (כתובת IP מקור ויעד , PORT מקור ויעד , סוג הפרוטוקול וכו..)
לטבלת כללים שאותה הגדיר מנהל החומת אש.
Routing - ניתוב , העברת חבילה מרשת אחת לרשת אחרת . יש לזכור שכתובות האייפי של המקור והיעד אינן משתנות לעולם בתהליך זה,אפילו אם עברנו מספר נתבים בדרך
NAT - סוג מיוחד של ניתוב שהוא ניתן לשנות את כתובת המקור או היעד תוך כדי העברה.
ישנם שני סוגים בולטים של NAT
Dynamic - בסוג זה משתמשים כדי לחסוך בכתובות אייפי חיצוניות.יוזם הפנייה יכול להמצא באחת מהרשתות בלבד , בדרך כלל הפנימית. סוג זה נקרא לעיתים גם השם HIDE מאחר והוא מחביא את הלקוחות ברשת הפנימית.
רוב חומות האש הארגוניים , מבצעים NAT מסוג זה כדי לשפר את רמת האבטחה של הרשת הפנימית.
Static - מיפוי קבוע בן כתובת IP פנימית לכתובת IP חיצונית.
VPN - זוהי שיטה לחיבור מרוחק של מחשב לרשת פרטית , או רשת פרטית אחת לאחרת.
החיבור בפועל מתבצע על גבי רשת ציבורית קיימת בדרך כלל אינטרנט.
Personal Firewall
(Network)Firewall המחבר בין הרשתות ובא להגן עליהן או על חלקם באמצעות בחינה וסינון של כל תעבורת הרשת העוברת דרכו.
בדרך כלל מחשב או התקן זה משמש גם כראוטר ואו NAT.
Proxy - אפליקציית המגשרת בין שרת ובין לקוח.
השימוש הנפוץ ביותר הוא ב WEB PROXY המאפשר שיפור של חווית הגלישה באמצעות Caching
Firewall Policy - (מדיניות) אוסף של כללים ( (rulesאותן הגדיר מנהל המערכת . כל כלל מטפל בסוג מסויים של תעבורה.
ישנן שני גישות לפיהם ניתן לבנות מדיניות זאת :
א.Blacklisting - "רשימה שחורה" בגישה זו כל התעבורה מותרת פרט לזו שנכתב במפורש שהיא אסורה.
שיטה זו מתרנית יותר ופחות מאובטחת מאחר ולא ניתן לחזות מראש את כל הסיכונים האפשריים.
ב.whitelistings - "רשימה לבנה" בגישה זו כל התעבורה אסורה פרט לזו שנכתב מפורש שהיא מותרת.
אם הרשימה ריקה משמה הדבר שאין נכנס ואין יוצא.לכן גישה זו מאובטחת יותר.
הצפנה - היא שינוי מתמטי של תוכן כך שלא כל אחד יוכל לפענח אותו אלא רק מי שמחזיק במפתח ההצפנה.
סוגיית החלפת מפתחות key exchange :
כאשר אנו עובדים ברשת ציבורית קיים תמיד הסיכון שמידע שאותו אנו שולחים יגיע בנוסף ליעד , גם לידיים הלא נכונות.
מפתח הצפנה אשר נשלח ברשת הציבורית דינו כדין מפתח ציבורי ,לכן יש צורך בשיטה מיוחדת לקביעת מפתח ההצפנה.נוכל לנסות ולהשתמש בהצפנה אחרת כדי להצפין את המפתח עצמו , אך אנו חוזרים לאותה בעיה כי כדי להצפין את המפתח יש צורך במפתח אחר שהוסכם.
ישנם מספר שיטות לפתרון :
א.אליס ממציאה מפתח הצפנה יחודי ושולחת מפתח אחר הנקרא session key ואת המפתח המוצפן היא שולחת לבוב.
ב.בוב מקבל את ההודעה וממציא לעצמו מפתח אחר , ומצפין באמצעותו את ההודעה אשר קיבל מאליס , ושולח אליה בחזרה.
ג.אליס מקבלת את ההודעה ומשתמשת במפתח שלה , כדי להסיר את ההצפנה של עצמה. ושולחת לבוב את ההצפנה נעולה על ידי המפתח שלו
ד.בוב מקבל את ההודעה , ומשתמש במפתח שלו כדי להסיר את ההצפנה , כעת בוב יכול לקרוא את תוכן ההודעה שהוא בעצם session key
ה.מרגע זה ואילך אליס ובוב יוכלו להעביר בניהם הודעות מוצפנות באמצעות session Key אשר ידוע לאליס ובוב בלבד.
Public key infrastructure
לשיטה זו דרישות קדם מורכבות יותר מבחינה מערכתית אך ברגע שיצרנו את התשתית ניתן להשתמש בה להצפנות וחתימות בצורה פשוטה ויעילה
PKI - מתבססת על שיטות הצפה אסימטריות
TCP/IP - זוהי ממשפחת הפרוטוקולים הנפוצה ביותר כיום , הן ברשת האינטרנט והן ברשתות מקומיות.
בפרוטוקל זה שני גרסאות שונות : גרסא 4 IPV הנמצאת בשימוש רחב מאוד
גרסא IPV6 החדשה יותר הנמצאת כיו בשימוש מועט
מודל client/server - במודל זה המושגים שרת ולקוח מתייחסים ליישומים.לקוח הינו יישום היוזם את הפניה אל השרת ומבקש ממנו שרות כלשהו.
השרת אינו יוזם אלא ממתין כל הזמן לפניות.
Originating Host - זהו המחשב (בדרך כלל מאופיין על ידי כתובת IP) שבוא נמצאת אפלקציית הלקוח היוזמת תקשורת כלשהי.
Packet Inspection - "בדיקת החבילה" - זהו תהליך שבו התקן מסויים בדרך כלל חומת אש , בוחן את התעבורה שעוברת דרכו.
ישנם שני סוגים של בדיקה :
Stateless inspection - "חסר מצב" בשיטה זו כל חבילה נבדקת בפני עצמה , ללא התחשבות ביוזם החיבור ובמצב החיבור
Stateful inspection - בשיטה זו , חוץ מבדיקה של כל חבילה , החומת אש עוקב אחר מצב החיבורים ומתעד זאת כל הזמן.כך שעבור כל חבילה שנבחנת , חומת האש יודע האם הוא שייך לחיבור מסויים ואם כן לאיזה חיבור הוא שייך.
Packet filtering - סינון של תעבורת רשת , על ידי השוואה בין מאפיינים של החבילה (כתובת IP מקור ויעד , PORT מקור ויעד , סוג הפרוטוקול וכו..)
לטבלת כללים שאותה הגדיר מנהל החומת אש.
Routing - ניתוב , העברת חבילה מרשת אחת לרשת אחרת . יש לזכור שכתובות האייפי של המקור והיעד אינן משתנות לעולם בתהליך זה,אפילו אם עברנו מספר נתבים בדרך
NAT - סוג מיוחד של ניתוב שהוא ניתן לשנות את כתובת המקור או היעד תוך כדי העברה.
ישנם שני סוגים בולטים של NAT
Dynamic - בסוג זה משתמשים כדי לחסוך בכתובות אייפי חיצוניות.יוזם הפנייה יכול להמצא באחת מהרשתות בלבד , בדרך כלל הפנימית. סוג זה נקרא לעיתים גם השם HIDE מאחר והוא מחביא את הלקוחות ברשת הפנימית.
רוב חומות האש הארגוניים , מבצעים NAT מסוג זה כדי לשפר את רמת האבטחה של הרשת הפנימית.
Static - מיפוי קבוע בן כתובת IP פנימית לכתובת IP חיצונית.
VPN - זוהי שיטה לחיבור מרוחק של מחשב לרשת פרטית , או רשת פרטית אחת לאחרת.
החיבור בפועל מתבצע על גבי רשת ציבורית קיימת בדרך כלל אינטרנט.
Personal Firewall
(Network)Firewall המחבר בין הרשתות ובא להגן עליהן או על חלקם באמצעות בחינה וסינון של כל תעבורת הרשת העוברת דרכו.
בדרך כלל מחשב או התקן זה משמש גם כראוטר ואו NAT.
Proxy - אפליקציית המגשרת בין שרת ובין לקוח.
השימוש הנפוץ ביותר הוא ב WEB PROXY המאפשר שיפור של חווית הגלישה באמצעות Caching
Firewall Policy - (מדיניות) אוסף של כללים ( (rulesאותן הגדיר מנהל המערכת . כל כלל מטפל בסוג מסויים של תעבורה.
ישנן שני גישות לפיהם ניתן לבנות מדיניות זאת :
א.Blacklisting - "רשימה שחורה" בגישה זו כל התעבורה מותרת פרט לזו שנכתב במפורש שהיא אסורה.
שיטה זו מתרנית יותר ופחות מאובטחת מאחר ולא ניתן לחזות מראש את כל הסיכונים האפשריים.
ב.whitelistings - "רשימה לבנה" בגישה זו כל התעבורה אסורה פרט לזו שנכתב מפורש שהיא מותרת.
אם הרשימה ריקה משמה הדבר שאין נכנס ואין יוצא.לכן גישה זו מאובטחת יותר.
הצפנה - היא שינוי מתמטי של תוכן כך שלא כל אחד יוכל לפענח אותו אלא רק מי שמחזיק במפתח ההצפנה.
סוגיית החלפת מפתחות key exchange :
כאשר אנו עובדים ברשת ציבורית קיים תמיד הסיכון שמידע שאותו אנו שולחים יגיע בנוסף ליעד , גם לידיים הלא נכונות.
מפתח הצפנה אשר נשלח ברשת הציבורית דינו כדין מפתח ציבורי ,לכן יש צורך בשיטה מיוחדת לקביעת מפתח ההצפנה.נוכל לנסות ולהשתמש בהצפנה אחרת כדי להצפין את המפתח עצמו , אך אנו חוזרים לאותה בעיה כי כדי להצפין את המפתח יש צורך במפתח אחר שהוסכם.
ישנם מספר שיטות לפתרון :
א.אליס ממציאה מפתח הצפנה יחודי ושולחת מפתח אחר הנקרא session key ואת המפתח המוצפן היא שולחת לבוב.
ב.בוב מקבל את ההודעה וממציא לעצמו מפתח אחר , ומצפין באמצעותו את ההודעה אשר קיבל מאליס , ושולח אליה בחזרה.
ג.אליס מקבלת את ההודעה ומשתמשת במפתח שלה , כדי להסיר את ההצפנה של עצמה. ושולחת לבוב את ההצפנה נעולה על ידי המפתח שלו
ד.בוב מקבל את ההודעה , ומשתמש במפתח שלו כדי להסיר את ההצפנה , כעת בוב יכול לקרוא את תוכן ההודעה שהוא בעצם session key
ה.מרגע זה ואילך אליס ובוב יוכלו להעביר בניהם הודעות מוצפנות באמצעות session Key אשר ידוע לאליס ובוב בלבד.
Public key infrastructure
לשיטה זו דרישות קדם מורכבות יותר מבחינה מערכתית אך ברגע שיצרנו את התשתית ניתן להשתמש בה להצפנות וחתימות בצורה פשוטה ויעילה
PKI - מתבססת על שיטות הצפה אסימטריות
