DAS_3_Bezpečnost
Níže je uveden pouze náhled materiálu. Kliknutím na tlačítko 'Stáhnout soubor' stáhnete kompletní formátovaný materiál ve formátu DOC.
Bezpečnost-základní pojmy – DAS 4. ročník – PSS
• Utajení (confidentality) – posluchač na kanále datům nerozumí
• Autentizace (authentication) – jistota, že odesílatel je tím, za koho se vydává
• Integrita (integrity) – jistota, že data nebyla na cestě zmodifikována
• Nepopiratelnost (non-repudiation) – zdroj dat nemůže popřít jejich odeslání
Bezestavová inspekce paketů:
Implementačně nejjednodušší metodou zabezpečení je inspekce jednotlivých procházejících
paketů samostatně, tedy bez ohledu na ostatní předchozí a následné pakety, s nimiž společně
tvoří jeden datový tok. Výsledkem inspekce je buďto propuštění nebo zahození (vyfiltrování)
paketu. Proto také někdy hovoříme o paketových filterech.
Výhodou je, že není třeba procházející pakety rozřazovat do datových toků a udržovat
informaci o každém z nich, nevýhodou zase skutečnost, že můžeme kontrolovat pouze
korektnost dat zcela obsažených v jednom paketu, nikoli tedy nebezpečná data rozložená do
více samostatných paketů.
Nebezpečí pro úspěšné použití bezestavové inspekce plyne i z fragmentace.V hlavičce
fragmentů s výjimkou prvního totiž není záhlaví 4. vrstvy, takže podle něj nelze filtrovat. Lze
to řešit např. timeoutem na propouštění fragmentů podle IP Identification spuštěným prvním
fragmentem, ale to již nese potřebu ukládat stavovou informaci. Častá implementace
kontroluje 4. vrstvu jen, je-li v IP hlavičce Fragment Offset=0 (tedy u prvního fragmentu),
ostatní fragmenty propouští. To přináší nebezpečí, pokud první fragment úmyslně nepřenáší
celou hlavičku 4. vrstvy.
Paketové filtry se nejčastěji aplikují na rozhraních směrovačů.
Access Control Lists (ACL):
Nejčastější forma implementace bezestavové inspekce paketů jsou tzv. Access Control Lists
(ACL). ACL je v podstatě filtr umístěný na některé rozhraní aktivního prvku. Zpravidla se
jedná o směrovač nebo L3 switch, i když i některé přepínače dovolují vložit na port nebo
VLAN ACL filtrující podle zdrojové nebo cílové MAC adresy, popřípadě typu protokolu 3.
vrstvy. Dále se budeme zabývat jen ACL na směrovačích, které budou kontrolovat informace
ze 3., popřípadě 4. vrstvy OSI RM.
ACL je obvykle tvořen sekvencí položek zakazující nebo povolující průchod paketů
vyhovující kritériím definovaným danou položkou. Při průchodu paketu rozhraním, na němž
je ACL aplikován, se postupně odshora procházejí jednotlivé položky ACL, až se narazí na
první položku, jejímž kritériím zkoumaný paket vyhovuje. Podle toho, zda je položka
definována jako příkaz k propuštění paketu nebo k jeho zahození se pak paket propustní nebo
zlikviduje. Další položky ACL se pak už dále nezkoumají. Na konci ACL typicky bývá
implicitní položka přikazující „zahodit vše“, vlivem čehož ACL respektují filosofii „co není