kefalaio2

2.1 Υπηρεσίες Ασφάλειας

Στο σημερινό κόσμο της διαδικτύωσης και του ηλεκτρονικού εμπορίου κάθε υπολογιστικό σύστημα είναι ένας πιθανός στόχος. Σπάνια περνάει ένας μήνας χωρίς ειδήσεις που να αφορούν την "κατάληψη" και το "τρύπημα" των υπολογιστικών συστημάτων μεγάλων εταιριών και οργανισμών. Αν και λέγεται, από ορισμένους hackers, ότι τέτοιες επιθέσεις αποτελούν παιχνίδια κάποιων εφήβων το φαινόμενο έχει γίνει πιο μεθοδικό και απειλητικό τα τελευταία χρόνια.

Ακόμα και αν τίποτα δεν αλλάξει ή τίποτα δεν αφαιρεθεί οι διαχειριστές των συστημάτων πρέπει να ξοδεύουν ώρες ατελείωτες για την επανεγκατάσταση και επαναρύθμιση ενός τρυπημένου συστήματος για να είναι φτάσουν πάλι σε ένα ικανοποιητικό επίπεδο εμπιστοσύνης προς αυτό. Δεν υπάρχει κανένας τρόπος να γνωρίζουμε τα κίνητρα του εισβολέα και έτσι πρέπει να υποθέτουμε το χειρότερο.

Πολλοί διαφορετικοί τύποι ανθρώπων μπαίνουν σε υπολογιστικά συστήματα τρυπώντας την ασφάλειά τους. Άλλοι το κάνουν για πλάκα και άλλοι αποσκοπώντας σε κάποιο κέρδος. Υπάρχουν επίσης στοιχεία οργανωμένου εγκλήματος και κατασκοπευτικής δράσης οδηγούμενα από κυβερνήσεις, οργανισμούς, εταιρίες ή και τρομοκρατικές ομάδες. Οι πιο επικίνδυνοι από όλους, για κάποιο δίκτυο, είναι οι νυν και πρώην χρήστες του ίδιου του δικτύου διότι αυτοί γνωρίζουν τα συστήματα ασφάλειας και το που πρέπει να χτυπήσουν ώστε να προκαλέσουν ζημιά.

Παρά την ύπαρξη όλων αυτών των κινδύνων το ενδιαφέρον για τη δικτύωση των υπολογιστικών συστημάτων και για το Internet δεν υπήρξε ποτέ μεγαλύτερο. Ο αριθμός των υπολογιστών στο Internet διπλασιάζεται κάθε χρόνο για μια δεκαετία τώρα.

Όροι όπως ασφάλεια, προστασία και διασφάλιση του απορρήτου έχουν αποκτήσει παραπάνω από μία έννοιες. Ακόμα και οι επαγγελματίες του είδους δεν μπορούν να συμφωνήσουν στην ουσία αυτών των όρων. Μπορούμε, ωστόσο, να χρησιμοποιήσουμε μια πρακτική προσέγγιση και να πούμε ότι:

"ασφάλεια υπολογιστικού συστήματος έχουμε όταν μπορούμε να βασιστούμε σε αυτό και στο λογισμικό του να συμπεριφερθεί όπως περιμένουμε από αυτό".

Μέσα σε αυτόν τον πλατύ ορισμό υπάρχουν διαφορετικές μορφές ασφάλειας, οι οποίες πρέπει να απασχολούν τόσο τους διαχειριστές όσο και τους απλούς χρήστες των δικτύων και των συστημάτων τους όπως:

2.1.1 Εμπιστευσιμότητα (Confidentiality)

Είναι η διασφάλιση της πληροφορίας από οποιονδήποτε δεν έχει το δικαίωμα να την δει ή να κρατήσει αντίγραφό της. Αυτός ο τύπος ασφάλειας περιλαμβάνει τόσο την προστασία του συνόλου της πληροφορίας όσο και μέρους της το οποίο από μόνο του μπορεί να δείχνει άκακο αλλά που μπορεί να οδηγήσει στην αποκάλυψη άλλων σημαντικών πληροφοριών.

2.1.2 Ακεραιότητα δεδομένων (Data Integrity)

Είναι η προστασία της πληροφορίας, συμπεριλαμβανομένων των προγραμμάτων, από το σβήσιμό της ή την με οποιονδήποτε τρόπο αλλοίωσή της χωρίς την άδεια του ιδιοκτήτη της. Η υπό προστασία πληροφορία περιλαμβάνει επίσης αντικείμενα όπως backup ταινίες και αρχεία λογαριασμών.

2.1.3 Καταγραφή (Audit)

Ο διαχειριστής ενός δικτύου δεν πρέπει να ανησυχεί μόνο για τους χρήστες χωρίς άδεια πρόσβασης αλλά και για εκείνους που αν και νόμιμοι κάνουν λάθη ή προκαλούν σκόπιμα κάποιο πρόβλημα. Σε τέτοιες περιπτώσεις πρέπει να καθορισθεί τι έχει γίνει, από ποιόν και τι επηρεάστηκε. Ο μόνος τρόπος να επιτύχουμε όλα τα παραπάνω είναι να κάνουμε χρήση κάποιων αρχείων καταγραφής της δραστηριότητας στο σύστημα το οποίο να είναι ικανό να μας δώσει πληροφορίες για το ποιος και τι έκανε.

2.1.4 Διαθεσιμότητα (Availability)

Αφορά την προστασία των υπηρεσιών έτσι ώστε να μην υποβαθμιστεί η δυνατότητα παροχής τους. Εάν κάποια στιγμή ζητηθεί μια συγκεκριμένη υπηρεσία από νόμιμο χρήστη και δεν του δοθεί, αυτό ισοδυναμεί με την απώλεια της πληροφορίας που βρίσκεται στο σύστημα.

2.1.5 Συνέπεια (Consistency)

Η διασφάλιση ότι το σύστημα συμπεριφέρεται όπως αναμένεται από τους εξουσιοδοτημένους χρήστες του. Εάν το λογισμικό ή το υλικό μέρος του συστήματος αρχίσει να συμπεριφέρεται παράξενα, ειδικά μετά από κάποια αναβάθμιση ή μετατροπή τότε επίκειται καταστροφή. Τελικά η συνέπεια είναι η διασφάλιση της ορθότητας των δεδομένων και των προγραμμάτων που χρησιμοποιούμε.

2.1.6 Έλεγχος (Control)

O έλεγχος πρόσβασης στο σύστημα - παράνομοι χρήστες και λογισμικό μπορεί να δημιουργήσουν μεγάλα προβλήματα.

Αν και όλες οι παραπάνω μορφές / υπηρεσίες ασφάλειας είναι εξίσου σημαντικές, διαφορετικοί οργανισμοί δίνουν διαφορετική προτεραιότητα στη καθεμία διότι αντιμετωπίζουν διαφορετικού είδους απειλές. Για παράδειγμα:

Σε ένα τραπεζικό περιβάλλον τα πιο σημαντικά είναι η ακεραιότητα της πληροφορίας και η καταγραφή των πράξεων των χρηστών και κατόπιν έρχονται εμπιστευσιμότητα και η διαθεσιμότητα της.

Σε ένα περιβάλλον σχετιζόμενο με την εθνική ασφάλεια το οποίο επεξεργάζεται απόρρητες πληροφορίες, η εμπιστευσιμότητα έρχεται πρώτη και η διαθεσιμότητα τελευταία.

Σε ένα πανεπιστημιακό περιβάλλον πιο σημαντικά θεωρούνται η ακεραιότητα και η διαθεσιμότητα της πληροφορίας .

2.2 Βήματα Διασφάλισης ενός Συστήματος

2.2.1 Αξιολόγηση Απαιτήσεων και Κινδύνων

Το πρώτο βήμα στην εγκατάσταση ενός ασφαλούς συστήματος ή στην βελτίωση της ασφάλειας κάποιου είδη υπάρχοντος είναι η απάντηση των παρακάτω ερωτημάτων και η υλοποίηση των απαντήσεών τους:

Τι προσπαθούμε να προστατεύσουμε – Καθορισμός του αντικειμένου της ασφάλειας

Από ποιόν προσπαθούμε να το προστατέψουμε – Αναγνώριση των απειλών

Πόσο χρόνο, προσπάθεια και τι κόστος προτιθέμεθα να αφιερώσουμε για να λύσουμε το πρόβλημα ασφάλειας που μας απασχολεί – Υπολογισμός του κόστους

2.2.2 Ανάλυση Κόστους – Απολαβής

Αφού ολοκληρώσουμε την αξιολόγηση των απαιτήσεών μας για ασφάλεια πρέπει να αντιστοιχίσουμε σε κάθε αντικείμενο που χρήζει της προστασίας μας και κάποιο κόστος που πρέπει να καταβάλουμε για να το προστατέψουμε αλλά και το κόστος με το οποίο θα επιβαρυνθούμε σε περίπτωση που το αφήσουμε απροστάτευτο και πάθουμε κάποια ζημιά εξαιτίας αυτής μας της επιλογής. Η επεξεργασία των στοιχείων που προκύπτουν από το σύνολο αυτών των διεργασιών μας δίνει κάποιο αποτέλεσμα που καθορίζει το βαθμό εφαρμογής λύσεων για την προστασία των δεδομένων μας.

2.2.3 Πολιτική Ασφάλειας

Στο τελευταίο βήμα ανήκει η αποδοχή μιας κοινής πολιτική ασφάλειας. Η πολιτική ασφαλείας ενός δικτύου είναι αυτή που καθορίζει, εν τέλει, το γενικό πλαίσιο του τι προσπαθούμε να προστατέψουμε και γιατί. Δίνει γενικές γραμμές και κατευθύνσεις που θα πρέπει να ακολουθηθούν και υπαγορεύει το σκεπτικό λειτουργίας του δικτύου και τη θέση όλων των χρηστών αλλά και υπηρεσιών του.

Για την υλοποίηση λύσεων ασφάλειας στα δίκτυα έχουμε πολλά πρωτόκολλα, τεχνικές και εργαλεία, αντιπροσωπευτικά δείγματα των οποίων θα δούμε αναλυτικά στο κύριο μέρος αυτής της εργασίας.