Κεφάλαιο 4/2. “Χειρισμοί Ασφαλείας στα Δίκτυα Υπολογιστών”


4.2.3.2.1: Παρεχόμενη Ασφάλεια

Καθώς τα τοπικά δίκτυα συνδέονται στο Internet, αποτελεί ζήτημα μεγάλης σημασίας η διασφάλιση της κανονικής λειτουργίας τους από τους νόμιμους και παράνομους χρήστες τους. Η τοποθέτηση ενός firewall συστήματος ανάμεσα στο τοπικό δίκτυο μιας επιχείρησης και το διαδίκτυο, παρέχει δυνατότητες ελέγχου στη ροή των πληροφοριών και διασφαλίζει τη σύνδεσή του με το διαδίκτυο, προστατεύοντας εκ μέρους της επιχείρησης τους πόρους της από φθορά, κατάχρηση, ή κλοπή, την υπόληψή της από τη δημοσιοποίηση αδυναμιών στην ασφάλεια του δικτύου της καθώς και την επικρατούσα πολιτική ορθής χρήσης των υπηρεσιών του διαδικτύου από τους εργαζομένους της.

Ο πιο συνηθισμένος πάντως λόγος ύπαρξης ενός συστήματος firewall σε έναν οργανισμό ή μια επιχείρηση, είναι η παροχή ενός μηχανισμού ελέγχου προσπέλασης πρώτου επιπέδου, για τον Web Serνer. Ένα firewall πρέπει να ελέγχει και να καταγράφει την ροή των επικοινωνιών που διέρχονται μέσα από τον διακομιστή Web. Δηλαδή πρέπει να παρεμβάλλεται και να αποκόπτει όλη την κίνηση των δεδομένων ανάμεσα στον Web Serνer και το Internet. Έτσι είναι σε θέση να προστατεύει τα δεδομένα που δημοσιεύονται από ανεπιθύμητες αλλαγές και να ελέγχει τη πρόσβαση στον διακομιστή Web, αποκλείοντας τους μη-εξουσιοδοτημένους χρήστες από ευαίσθητους πόρους του δικτύου.

Ακόμη, μια επιχείρηση μπορεί να χρησιμοποιήσει ένα firewall για να απομονώσει τις επικοινωνίες ανάμεσα στα δίκτυα των επιμέρους τμημάτων της. Για παράδειγμα ένα νοσοκομείο ενδεχομένως να θελήσει να διαχωρίσει το δίκτυο διακίνησης των δεδομένων των ασθενών από το δίκτυο των οικονομικών στοιχείων του. Ένα ή περισσότερα firewalls μπορούν να χρησιμοποιηθούν για να παρέχουν απομόνωση και ελεγχόμενη προσπέλαση ανάμεσα στα διάφορα μέρη ενός οργανισμού ή μιας επιχείρησης.

Ως ένα σύστημα firewall μπορεί να θεωρηθεί μια διάταξη δρομολόγησης, ένας προσωπικός υπολογιστής, ένας διακομιστής, ή ένα σύνολο από διακομιστές, διαμορφωμένοι με τέτοιο τρόπο ώστε να οχυρώνουν μια δικτυακή τοποθεσία ή ένα υποδίκτυο από πρωτόκολλα και υπηρεσίες, όπως οι υπηρεσίες FTP, ΗΤΤΡ, e-mail, οι οποίες μπορούν να προσβληθούν από διακομιστές εκτός του υποδικτύου. Η συνηθισμένη θέση του είναι ως πύλη υψηλού επιπέδου ακριβώς στο σημείο σύνδεσης της επιχείρησης με το Internet.

Η εγκατάσταση επιπλέον συστημάτων firewall ως διαχωριστικά των επιμέρους τμημάτων μιας επιχείρησης, προσφέρει δυνατότητες διαχωρισμού των εξουσιοδοτήσεων που προσφέρονται στους εσωτερικούς χρήστες, λεπτομερέστερη επίβλεψή τους και γενικότερα υποστήριξη υπευθυνότητας με περισσότερη διακριτότητα. Με άλλα λόγια, παρέχει μέτρα προστασίας από τους νόμιμους και εσωτερικούς χρήστες του δικτύου, που σύμφωνα και με τις περισσότερες έρευνες αποτελούν τον σημαντικότερο κίνδυνο για την ασφάλεια μιας επιχείρησης.

4.2.3.2.2: Τεχνικές Ασφαλείας με Firewalls

Υπάρχουν τέσσερις βασικές τεχνικές προστασίας:

* Πύλες φιλτραρίσματος πακέτων (packet filtering gateways) ή δρομολογητές φιλτραρίσματος (screening routers),
* Πύλες κυκλωμάτων (circuit gαtewαys),
* Πύλες εφαρμογών (αpplicαtion gαtewαys),
* Πύλες μετάφρασης διευθύνσεων Δικτύου

Μια ολοκληρωμένη υπηρεσία firewall συνήθως παρέχεται με συνδυασμό των παραπάνω βασικών τεχνικών φιλτραρίσματος.

Πύλες Φιλτραρίσματος Πακέτων :

Οι πύλες φιλτραρίσματος πακέτων παρέχουν έναν εύκολο και φθηνό τρόπο υλοποίησης ενός βασικού επιπέδου φιλτραρίσματος με πραγματοποίηση ελέγχων των ΙΡ πακέτων ενός δικτύου. Ένα πακέτο είναι μια μικρή μονάδα επικοινωνίας, συνήθως μερικές εκατοντάδες bytes. Ένας δρομολογητής μπορεί να διοχετεύσει χιλιάδες πακέτα μέσα σε ένα δευτερόλεπτο.

Αυτή η τεχνική φιλτραρίσματος είναι η πρώτη που εμφανίστηκε ως συνοδευτικό εργαλείο λογισμικού για τη υποστήριξη επιπλέον ρυθμίσεων στον αρχικά απλό εξοπλισμό των διατάξεων ή συσκευών δρομολόγησης που δεν είχαν δυνατότητες φιλτραρίσματος των πακέτων.

Σχήμα 4.13: Φιλτράρισμα Πακέτων


Το φίλτρο πακέτων όπως φαίνεται και στο Σχήμα 4.13 διενεργεί τον έλεγχο εφαρμόζοντας ένα σύνολο κανόνων οι οποίοι έχουν οριστεί από το διαχειριστή του firewall κατά τη διαμόρφωσή του και οι οποίοι υλοποιούν μια προαποφασισμένη πολιτική ασφάλειας. Κάθε κανόνας έχει δυο βασικά τμήματα το πεδίο της ενέργειας και το πεδίο των κριτηρίων επιλογής. Οι δυνατές ενέργειες είναι δύο, επιτρέπω ή σταματώ. Τα κριτήρια επιλογής των πακέτων για τα οποία θα ισχύσει η αντίστοιχη ενέργεια, βασίζονται στην διεύθυνση προέλευσης και προορισμού των πακέτων, στον αριθμό θυρίδας προέλευσης και προορισμού, στο πρωτόκολλο, αν είναι για παράδειγμα TCP (Transmission Control Protocol), ICMP (Internet Control Message Protocol) ή UDP (User Datagram Protocol) καθώς και στην κατεύθυνση, δηλαδή στο αν εισέρχεται το πακέτο στο ιδιωτικό δίκτυο ή αν εξέρχεται από αυτό.

Η τεχνολογία φιλτραρίσματος πακέτων παρουσιάζει όμως και αρκετούς περιορισμούς:

* Ο έλεγχος που πραγματοποιείται, αφορά κυρίως το είδος της κυκλοφορίας του δικτύου, αφού εξετάζονται μόνο οι ΙΡ-επικεφαλίδες κάθε πακέτου. Εκεί υπάρχουν οι πληροφορίες δρομολόγησης όπως η προέλευση και ο προορισμός του κάθε πακέτου. Το περιεχόμενο του κάθε πακέτου δεν εξετάζεται, γι' αυτό και η τεχνολογία αυτή είναι κατάλληλη για απλές σχετικά πολιτικές ασφαλείας.
* Δεν προσφέρει επαρκείς μηχανισμούς επίβλεψης (auditing) και ειδοποίησης κινδύνου (alerting).
* Δεν υποστηρίζει εύκολη διαχείριση γιατί υπάρχει περιορισμένος αριθμός κανόνων οι οποίοι μάλιστα απαιτούν κατανόηση των ιδιαιτεροτήτων των πρωτοκόλλων επικοινωνίας. Έτσι είναι αρκετά σύνθετο και δύσκολο έργο η ορθή διαμόρφωσή τους για την εφαρμογή μιας πολιτικής ασφάλειας.
* Δεν διαθέτουν συνήθως μηχανισμούς αυθεντικοποίησης σε επίπεδο χρήστη (user level authentication).
* Δεν προστατεύουν από επιθέσεις πλαστογραφίας σε ΙΡ και DNS διευθύνσεις (ΙΡ & DNS address spoofing). Η βασική αδυναμία των μηχανισμών φιλτραρίσματος πακέτων είναι ότι στηρίζονται στις ΙΡ διευθύνσεις, οι οποίες όμως δεν είναι απόλυτα ασφαλείς γιατί συνήθως δεν προστατεύονται.

Σε γενικές γραμμές το επίπεδο ασφάλειας που προσφέρουν είναι χαμηλού επιπέδου. Από την άλλη μεριά πάλι, είναι απλοί, ταχύτατοι, ευέλικτοι και χαμηλού κόστους. Έτσι θεωρούνται ιδανικοί για περιβάλλοντα χαμηλής επικινδυνότητας. Βεβαίως οι υπηρεσίες που προσφέρουν είναι σημαντικότατες για αυτό και θεωρούνται αναπόσπαστο τμήμα ενός ολοκληρωμένου συστήματος firewall.

Πύλες Κυκλωμάτων :

Η χρήση των πυλών κυκλωμάτων σε διατάξεις firewalls αναβαθμίζει σημαντικά την ασφάλεια των δικτύων. Επιτρέπουν τη χρήση εφαρμογών που βασίζονται στα πρωτόκολλα επικοινωνίας TCP και UDP, όπως για παράδειγμα WWW και Telnet χωρίς να αφήνουν να γίνονται όλα σε επίπεδο πρωτοκόλλου επικοινωνίας.

Οι πύλες κυκλωμάτων λειτουργούν ως εκπρόσωποι των πρωτοκόλλων επικοινωνίας, μεταβιβάζοντας την δικτυακή κίνηση μεταξύ δυο υπολογιστών που είναι συνδεδεμένοι μεταξύ τους μέσω ενός ιδεατού κυκλώματος του δικτύου. Ένας εσωτερικός χρήστης, για παράδειγμα, μπορεί να συνδέεται σε μια θύρα της πύλης η οποία στη συνέχεια μπορεί να συνδέεται σε μια άλλη θύρα ενός υπολογιστή που βρίσκεται σε ένα εξωτερικό δίκτυο. Η πύλη απλά αντιγράφει bytes από την μια θύρα στην άλλη. Κανονικά η πύλη μεταβιβάζει τα δεδομένα χωρίς να τα εξετάζει, αλλά συνήθως διατηρεί μια καταγραφή της ποσότητας των μεταβιβαζόμενων δεδομένων και του προορισμού τους. Σε μερικές περιπτώσεις η σύνδεση μεταβίβασης, η οποία με αυτό τον τρόπο διαμορφώνει τελικά ένα 'κύκλωμα', λειτουργεί αυτόματα. Άλλες φορές πάλι, χρειάζεται να καθορισθεί στην πύλη η επιθυμητή θύρα προορισμού.

Ένα από τα μειονεκτήματα αυτών των συστημάτων είναι ότι οι εφαρμογές των πελατών πρέπει να μετατραπούν πριν να καταστούν έτοιμες για να λειτουργήσουν με μια συγκεκριμένη πύλη κυκλωμάτων.

Πύλες Εφαρμογών :

Οι πύλες κυκλωμάτων και οι πύλες εφαρμογών αναφέρονται και ως proxy servers, καθώς και οι δυο συμπεριφέροντε ως εκπρόσωποι του υποτιθέμενου πελάτη. Όμως οι πύλες εφαρμογών προχωρούν ακόμη παραπέρα, σε ότι αφορά την ασφάλεια των δικτύων. Λειτουργούν στο υψηλότερο στρώμα επικοινωνίας, γνωστό ως το επίπεδο εφαρμογής. Έτσι έχουν πρόσβαση σε περισσότερες πληροφορίες από ότι τα συστήματα με απλό φιλτράρισμα πακέτων και μπορούν να προγραμματιστούν πιο έξυπνα κάνοντάς τα ικανά να υποστηρίξουν σύνθετες πολιτικές ασφάλειας.

Όλα τα ΙΡ-πακέτα που φτάνουν ή που πρέπει να φύγουν, εξετάζονται πρώτα ως προς το περιεχόμενό τους και ανάλογα προωθούνται ή απορρίπτονται. Για το σκοπό αυτό χρησιμοποιούνται προγράμματα που εκτελούνται ως εφαρμογές, οι οποίες ονομάζονται proxies. Κάθε TCP/IP υπηρεσία που θέλουμε να ελέγχεται από το firewall, έχει το δικό της proxy, δηλαδή μια υπηρεσία διαμεσολαβητή. Για παράδειγμα, ένας χρήστης προερχόμενος από το Internet, για να αποκτήσει πρόσβαση στην υπηρεσία FTP ενός μηχανήματος του προστατευμένου δικτύου, θα πρέπει πρώτα να συνδεθεί με τη αντίστοιχη proxy εφαρμογή, να ακολουθήσει η αναγνώριση - πιστοποίησή του και στη συνέχεια, αν η πολιτική ασφάλειας του firewall περιέχει για το συγκεκριμένο και αναγνωρισμένο χρήστη τις κατάλληλες εξουσιοδοτήσεις, θα προωθηθεί η σύνδεση με την υπηρεσία FTP που ζήτησε.

Κάθε υπηρεσία proxy, είναι ένα λογισμικό δυο κατευθύνσεων που δρα ταυτόχρονα και σαν εξυπηρετητής και σαν πελάτης. Στους εσωτερικούς χρήστες απαντάει σαν να είναι η εξωτερική σύνδεση που ζήτησαν, ενώ στους εξωτερικούς χρήστες αποκρίνεται σαν να είναι η εσωτερική υπηρεσία που θα χρειαστούν.

Πρόκειται δηλαδή για Υπηρεσίες Πληρεξουσίου Οι πληρεξούσιοι επιπέδου εφαρμογής επιτρέπουν την πλήρη αποσύνδεση της ροής πρωτοκόλλων επιπέδου Δικτύου μέσω του firewall και τον περιορισμό της κίνησης μόνο σε πρωτόκολλα υψηλότερου επιπέδου, όπως τα ΗΤΤΡ για υπηρεσίες Web, FTP για αποστολή αρχείων και SMTP για e-mail. Όταν γίνεται μια σύνδεση μέσω ενός πληρεξουσίου διακομιστή, ο πληρεξούσιος διακομιστής δέχεται τη σύνδεση, εξάγει το πρωτόκολλο υψηλού επιπέδου, όπως το ΗΤΤΡ, τα εξετάζει και παίρνει αποφάσεις για το περιεχόμενό του με βάση την πολιτική ασφαλείας που έχει καθορίσει. Ο πληρεξούσιος διακομιστής δημιουργεί κατόπιν μια νέα σύνδεση TCP στη δημόσια διασύνδεση προς τον τελικό πρooρισμό και στέλνει το πρωτόκολλο υψηλού επιπέδου μέσω της νέας σύνδεσης. Επειδή τα πρωτόκολλα επιπέδου Εφαρμογής και επιπέδου Δικτύου αναπαράγονται πλήρως, επιθέσεις που βασίζονται σε λάθος διαμορφωμένα πακέτα TCP/ΙP σε λάθος διαμορφωμένα μηνύματα Web ή e-mail εξαλείφονται.

Οι πληρεξούσιοι συνδέουν δύο δίκτυα, τα οποία δεν συνδέονται μέσω δρομολογητών. Όταν ένας πελάτης στο προστατευμένο δίκτυο κάνει μια σύνδεση προς ένα διακομιστή στη δημόσια πλευρά, ο πληρεξούσιος δέχεται την αίτηση σύνδεσης και μετά κάνει τη σύνδεση για λογαριασμό του προστατευμένου πελάτη. Κατόπιν, ο πληρεξούσιος προωθεί την απάντηση από το δημόσιο διακομιστή προς το εσωτερικό δίκτυο. Το παρακάτω. γραφικό παρουσιάζει τη διαδικασία αυτή με λεπτομέρειες.

Σχήμα 4.14: Πληρεξούσιοι Επιπέδου Εφαρμογής

Οι πληρεξούσιοι είναι καλά παραδείγματα του πώς ένα ενδιάμεσο σύστημα ανάμεσα στο δίκτυο μιας επιχείρησης και όχι μόνο, και σε ένα άλλο τελικό σύστημα μπορεί να κάνει κάθε είδος επεξεργασίας - με ή χωρίς την άδειά των διαχειριστών του δικτύου. Ένας κακόβουλος πληρεξούσιος κρυμμένος ανάμεσα σε έναν πελάτη και ένα διακομιστή μπορεί να κάνει μια επίθεση ενδιάμεσου.

Στην πραγματικότητα, δηλαδή, ένα τέτοιου τύπου firewall ή συστατικό ενός firewall, εκτελώντας ψευδοεφαρμογές, παρεμβάλλεται μεταξύ των πρωτοκόλλων επικοινωνίας προκειμένου να ελέγχει τη νομιμότητα των επικοινωνιών. Καμιά άλλη υπηρεσία δεν μπορεί απευθείας να στείλει ή να λάβει δεδομένα. Αυτός είναι άλλωστε και ο ρόλος του συστήματος firewall, να λειτουργεί δηλαδή ως ένα ισχυρό τείχος ασφαλείας αλλά και ικανό να προσαρμόζεται εύκολα στις ανάγκες επικοινωνίας ενός δικτύου. Η τεχνολογία αυτή προσφέρει ολοκληρωμένη ασφάλεια με τους ισχυρούς μηχανισμούς αυθεντικοποίησης χρηστών και συστημάτων, καταγραφής και υποστήριξης υπευθυνότητας που διαθέτει.

Πύλες μετάφρασης διευθύνσεων Δικτύου (Network Address Translation-NAT) :

Η Μετάφραση Διευθύνσεων Δικτύου επιτρέπει την πολύπλεξη μιας δημόσιας διεύθυνσης ΙΡ επάνω σε ένα ολόκληρο δίκτυο. Πολλές μικρές εταιρείες βασίζονται στις υπηρεσίες ενός παρόχου υπηρεσιών Internet, ο οποίος μπορεί να είναι απρόθυμος να παρέχει μεγάλα μπλοκ διευθύνσεων, επειδή και ο δικός του χώρος διευθύνσεων είναι περιορισμένος. Ίσως να υπάρχει όμως η ανάγκη κάποιος χρήστης να μοιραστεί μια μόνο διεύθυνση μέσω τηλεφωνικής κλήσης ή διεύθυνσης μέσω καλωδιακού μόντεμ, χωρίς να ενημερώσει για αυτό τον πάροχο υπηρεσιών. Αυτές οι επιλογές είναι δυνατές με τη χρήση Μετάφρασης Διευθύνσεων Δικτύου.

Η διαφορά ανάμεσα στο ΝΑΤ και στη μεταγωγή επιπέδου κυκλώματος είναι κάπως εσωτερική και οι δύο επιτυγχάνουν σχεδόν το ίδιο αποτέλεσμα. Η διαφορά είναι ότι το ΝΑΤ απλώς επανεγγράφει τις διευθύνσεις των πακέτων, τα οποία ρέουν μέσω της συσκευής, χωρίς να αλλάζει το υπόλοιπο της επικεφαλίδας, ενώ οι μεταγωγείς επιπέδου κυκλώματος τερματίζουν την εξωτερική σύνδεση TCP και παράγουν μια τελείως νέα σύνδεση TCP (ή UDP) στην ιδιωτική πλευρά, περνώντας τα δεδομένα μέσα στα πακέτα TCP/IP από την εξωτερική στην εσωτερική διασύνδεση. Η διαφορά είναι ότι γίνεται πλήρης αναπαραγωγή των πακέτων TCP/IP. Ωστόσο, επειδή οι μεταγωγείς επιπέδου κυκλώματος καταλαμβάνουν σαφώς περισσότερους πόρους για να κάνουν περίπου την ίδια λειτουργία, οι συσκευές ΝΑ Τ έχουν γίνει πιο δημοφιλείς. Οι μεταγωγείς επιπέδου κυκλώματος παραμένουν όμως πιο ασφαλείς, επειδή φράσσουν τις επιθέσεις λάθος διαμορφωμένων πακέτων, που μπορούν να ρέουν μέσω ενός ΝΑΤ και δεν προσβάλλονται από επιθέσεις δρομολόγησης προέλευσης, οι οποίες μπορούν να ρέουν μέσω ΝΑΤ, που δεν ελέγχουν για την ύπαρξή τους.

Το ΝΑΤ αρχικά αναπτύχθηκε επειδή ήταν δύσκολο να πάρει ένας χρήστης και ακόμα περισσότερο μια επιχείρηση με κάποιο δίκτυο υπολογιστών, μεγάλα μπλοκ δημόσιων διευθύνσεων ΙΡ και τα δίκτυα συχνά εξαντλούσαν την εκχωρημένη τους δεξαμενή πριν να μπορέσουν να ζητήσουν περισσότερες διευθύνσεις από το InterNIC. Το InterNIC άρχισε να εξοικονομεί διευθύνσεις, όταν άρχισε η επανάσταση του Internet, επειδή η δεξαμενή των διαθέσιμων διευθύνσεων εξαντλήθηκε γρήγορα. Πολυπλέκοντας μια μόνο δημόσια διεύθυνση με αρκετούς εσωτερικούς ξενιστές μέσα σε μια ιδιωτική περιοχή ΙΡ, μια εταιρεία μπορούσε να έχει μόνο μια δημόσια διεύθυνση ΙΡ.

Ευτυχώς, η Μετάφραση Διευθύνσεων Δικτύου λύνει επίσης το πρόβλημα της απόκρυψης εσωτερικών ξενιστών. Το ΝΑΤ είναι στην πραγματικότητα ένας πληρεξούσιος επιπέδου Δικτύου: Στο Internet, φαίνεται ως ένας μόνο ξενιστής να κάνει αιτήσεις εκ μέρους όλων των εσωτερικών ξενιστών, και έτσι κρύβεται η ταυτότητα από το δημόσιο δίκτυο.

Το ΝΑΤ κρύβει τις εσωτερικές διευθύνσεις ΙΡ, μετατρέποντας όλες τις εσωτερικές διευθύνσεις ξενιστών στη δημόσια διεύθυνση του firewall. Το fιrewall κατόπιν μεταφράζει τη διεύθυνση του εσωτερικού ξενιστή από την δική του διεύθυνση, χρησιμοποιώντας τον αριθμό θύρας TCP για να παρακολουθεί ποιες συνδέσεις στη δημόσια πλευρά αντιστοιχούν με ποιους ξενιστές στην ιδιωτική πλευρά. Για το Internet, όλη η κίνηση στο δίκτυο φαίνεται να προέρχεται από έναν εξαιρετικά απασχολημένο υπολογιστή.

Σχήμα 4.15: Μετάφραση Διευθύνσεων Δικτύου


Το ΝΑΤ στην ουσία κρύβει όλες τις πληροφορίες επιπέδου ΤCP/IP που αφορούν εσωτερικούς ξενιστές από αδιάκριτους μέσα στο Internet. Η μετάφραση διευθύνσεων επιτρέπει επίσης την χρησιμοποίηση οποιασδήποτε περιοχής διευθύνσεων ΙΡ θέλει ο διαχειριστής ενός εσωτερικού δίκτυο, ακόμη και αν αυτές οι διευθύνσεις χρησιμοποιούνται και κάπου αλλού μέσα στο Internet. Αυτό σημαίνει ότι μια επιχείρηση δεν χρειάζεται να πάρει ένα μεγάλο μπλοκ διευθύνσεων από το InterNIC ή να εκχωρήσει εκ νέου αριθμούς δικτύου που χρησιμοποιούσε πριν να συνδεθεί το δίκτυό της στο Internet.

Το μειονέκτημα είναι ότι το ΝΑΤ υλοποιείται μόνο σε επίπεδο TCP/IP. Αυτό σημαίνει ότι πληροφορίες κρυμμένες μέσα στο ωφέλιμο φορτίο δεδομένων της κίνησης TCP/IP μπορούν να μεταδοθούν σε μια υπηρεσία υψηλότερου επιπέδου και να χρησιμοποιηθούν για να γίνει εκμετάλλευση αδυναμιών σε κίνηση υψηλότερου επιπέδου ή για επικοινωνία με ένα Δούρειο ίππο.

Τέλος, πολλά πρωτόκολλα περιλαμβάνουν επίσης τη διεύθυνση ΙΡ μέσα στο ωφέλιμο φορτίο δεδομένων, οπότε όταν ξαναγράφεται μια διεύθυνση, ενώ περνά μέσω του ΝΑΤ, η διεύθυνση μέσα στο ωφέλιμο φορτίο δεν είναι πλέον έγκυρη. Αυτό συμβαίνει με FTP ενεργού τρόπου λειτουργίας και με σχεδόν κάθε άλλο πρωτόκολλο, που βασίζεται στον καθορισμό ενός δευτερεύοντος ρεύματος επικοινωνίας ανάμεσα στον πελάτη και στο διακομιστή. Επίσης δεν είναι δυνατό να γίνει σύνδεση με έναν ξενιστή μέσα στο ιδιωτικό δίκτυο, επειδή δεν υπάρχει τρόπος να απευθυνθεί κάποιος σε ξενιστές απευθείας από το Internet. Οι περισσότερες υλοποιήσεις ΝΑΤ επιλύουν αυτό το πρόβλημα για τα συγκεκριμένα πρωτόκολλα “κρατώντας ανοικτή την πόρτα” για τη διαδρομή επιστροφής των πρωτοκόλλων, για τα οποία γνωρίζουν ότι πρόκειται να επιστρέψουν, όπως συμβαίνει με το FTP. Επειδή η σύνδεση ξενιστή εξήλθε μέσω του μεταφραστή, γνωρίζει ότι πρέπει να περιμένει μια προσπάθεια επιστροφής σύνδεσης από αυτά τα πρωτόκολλα και γνωρίζει για ποιο εσωτερικό υπολογιστή θα μεταφράσει το κανάλι επιστροφής. Οπότε εφόσον μια συσκευή ΝΑΤ γνωρίζει αυτά τα προβληματικά πρωτόκολλα, μπορεί να τα χειριστεί. Νέα πρωτόκολλα ή εφαρμογές μπορούν να έχουν προβλήματα υλοποίησης μέσω ΝΑΤ γι' αυτόν το λόγο.

Xρησιμoπoιώντας ένα απαρχαιωμένο χαρακτηριστικό αντιμετώπισης προβλημάτων του TCP/IP, που καλείται "δρομολόγηση προέλευσης", όπου μια λίστα διευθύνσεων ΙΡ που καθορίζουν το δρόμο που πρέπει να πάρει ένα πακέτο, παρέχονται μαζί με το πακέτο, είναι δυνατό να συνδεθεί κανείς απευθείας μέσω πολλών αρχικών υλοποιήσεων ΝΑΤ.

Το ΝΑΤ αποτελεί επίσης πρόβλημα για διαχειριστές δικτύων, οι οποίοι θέλουν να συνδεθούν σε πελάτες πίσω από το διακομιστή ΝΑΤ για διαχειριστικούς λόγους. Επειδή ο διακομιστής ΝΑΤ έχει μόνο μια διεύθυνση ΙΡ, δεν υπάρχει τρόπος να καθοριστεί ποιον εσωτερικό πελάτη θέλει κάθε φορά να προσεγγίσει. Αυτό απαγορεύει σε εισβολείς να συνδεθούν σε εσωτερικούς πελάτες, αλλά επίσης απαγορεύει τη σύνδεση και των νόμιμων χρηστών. Ευτυχώς, οι περισσότερες σύγχρονες υλοποιήσεις ΝΑΤ επιτρέπουν την δημιουργία κανόνων προώθησης θύρας, οι οποίοι επιτρέπουν την προσέγγιση εσωτερικών ξενιστών.

Τα Windows 2000, ΧΡ κκαι μεταγενεστερα καθώς και το Unix και πολλά σύγχρονα λειτουργικά συστήματα παρέχουν αυτήν τη λειτουργία ως τμήμα της διανομής του λειτουργικού συστήματος. Τα Windows ΝΤ δεν την παρέχουν.

4.2.3.2.3: Σύγχρονες Τεχνολογίες Firewalls - Υβριδικές Πύλες

Είναι γενική αίσθηση των διαχειριστών firewalls, ότι για ολοκληρωμένη προστασία απαιτείται η συνδυασμένη δράση των τεχνολογιών επιπέδου πακέτων και επιπέδου εφαρμογής. Έτσι, παρατηρείται μια τάση υιοθέτησης της σύγκλισης αυτών των τεχνολογιών ως ο ιδανικός τρόπος υλοποίησης συστημάτων firewall για περιβάλλοντα μεσαίας έως υψηλής επικινδυνότητας.

Ο όρος υβριδικές ή σύνθετες πύλες χρησιμοποιείται για να περιγράψει τα σύγχρονα συστήματα firewall που συνδυάζοντας τα πλεονεκτήματα των προηγούμενων τεχνολογιών τύπων, προχωρούν ακόμη ένα βήμα παραπέρα. Δύο είναι οι σύγχρονες εναλλακτικές υλοποιήσεις, ο συνδυασμός φιλτραρίσματος πακέτων με πύλες εφαρμογών και η τεχνολογία Stateful Inspection.

Συνδυασμός φιλτραρίσματος πακέτων με πύλες εφαρμογών:

Έχει ήδη τονιστεί ότι ο σχετικά πρωτόγονος έλεγχος αποκλειστικά των ΙΡ επικεφαλίδων, είναι μια λειτουργία που κάθε firewall χρειάζεται, γιατί σε αρκετές περιπτώσεις αυτός είναι ο πιο κατάλληλος και πιο γρήγορος τρόπος ελέγχου. Έτσι ακόμη και τα καθαρά proxy firewalls διαθέτουν λογισμικό που προσομοιώνει έναν δρομολογητή φιλτραρίσματος. Επειδή όμως αυξάνει κατά πολύ η ασφάλεια ενός συστήματος όταν δεν είναι συγκεντρωμένη η άμυνά του σε ένα μοναδικό σημείο, πολλές φορές ένα proxy-based σύστημα firewall συνδυάζεται με μια επιπλέον διάταξη φίλτρου πακέτων. Το υβριδικό αυτό σύστημα αποκτά παράλληλα ακόμη πιο γρήγορο και πιο αξιόπιστο φιλτράρισμα πακέτων, αφού είναι επιπέδου hardware. Η σύνδεσή τους πρέπει φυσικά να γίνει εν σειρά έτσι ώστε οι επικοινωνίες να διέρχονται και από τα δύο αυτά συστατικά μέρη του firewall.


Τεχνολογία Stαteful Inspection:

Πρόκειται για μια νέα τεχνολογία, κατηγορίας packet filtering. Όμως εδώ επεκτείνεται το απλό ΙΡ φιλτράρισμα δίνοντας δυνατότητα να εξετάζεται το κάθε πακέτο στο εσωτερικό του και μάλιστα όχι το κάθε ένα ξεχωριστά και απομονωμένα αλλά ο έλεγχος να γίνεται σε σχέση με προηγούμενες επικοινωνίες. Δημιουργείται δηλαδή μια εσωτερική βάση δεδομένων με πληροφορίες προηγούμενων πακέτων που συνεχώς ενημερώνεται. Με αυτό τον τρόπο είναι δυνατόν να καταγράφονται πληροφορίες κατάστασης και συναφείς πληροφορίες για κάθε επικοινωνία, οπότε, από τον έλεγχό τους και με συνεχή τροφοδοσία από την εξελισσόμενη βάση δεδομένων, επιτρέπεται ή απαγορεύεται μια επικοινωνία με δυναμικό τρόπο.

Ο χώρος δράσης ενός τέτοιου «έξυπνου» fιrewall εκτείνεται και στα χαμηλά επίπεδα δικτυακής επικοινωνίας, όπου φιλτράρονται τα πακέτα, αλλά και στο επίπεδο εφαρμογής. Σε αυτό το επίπεδο γίνεται η διαχείριση και ο καθορισμός της πολιτικής ασφαλείας μέσω πάλι υπηρεσιών proxy, διαφορετικής όμως κατασκευής από τα fιrewalls τύπου application gateway. Αυτός ο συνδυασμός δράσης υπερέχει σημαντικά έναντι των υπολοίπων, αφού συγκεντρώνει όλα τα πλεονεκτήματα των δυο βασικών τεχνολογιών. Όπως και στα προηγούμενου τύπου fιrewalls, η εγκατάσταση μιας ξεχωριστής διάταξης δρομολόγησης έχει νόημα μόνο ως κίνηση διασποράς των σημείων αμύνης.



4.2.3.2.4: Αρχιτεκτονικές Συστημάτων Firewalls

Ένα ολοκληρωμένο σύστημα fιrewall μπορεί να αποτελείται από αρκετά συστατικά, χωρίς να είναι και όλα απαραίτητα. Πέντε διαφορετικά μέρη μπορεί κανείς να διακρίνει στη σχεδίαση ενός τέτοιου συστήματος:

* Μηχανισμό φίλτρου πακέτων για να εμποδίζεται η πορεία των διακινούμενων πακέτων δεδομένων ανάμεσα στο lnternet και το ιδιωτικό δίκτυο και να επιτρέπεται η κίνησή τους μέσω του fιrewall μόνο σε όσα πακέτα ανήκουν σε αποδεκτούς τρόπους επικοινωνίας.
* Λογισμικό υλοποίησης πυλών σε επίπεδο εφαρμογής ικανό να εμποδίζει τη κυκλοφορία των δεδομένων και να αυθεντικοποιεί τους χρήστες σε επίπεδο εφαρμογών TCP/IP όπως οι υπηρεσίες εξυπηρέτησης ΗΤΤΡ, FTP.
* Υπηρεσία ονομασίας επικρατειών (Domain Name Serνice-DNS) ικανή για την απόκρυψη των εσωτερικών ΙΡ διευθύνσεων του ιδιωτικού δικτύου από τους χρήστες του διαδικτύου.
* Μηχανισμό διαχείρισης ηλεκτρονικών γραμμάτων για να διασφαλίζεται ότι η ανταλλαγή ηλεκτρονικών γραμμάτων διεκπεραιώνεται μέσω fιrewall.
* Ασφαλές λειτουργικό σύστημα ως βάση του όλου συστήματος.


Τα συστήματα fιrewalls συναντώνται με διάφορους τρόπους διαμόρφωσης και αρχιτεκτονικής. Παρέχουν έτσι και διαφορετικά επίπεδα ασφάλειας με το ανάλογο κόστος εγκατάστασης και λειτουργίας. Μερικά τέτοια συστήματα αναφέρονται στη συνέχεια.

Multi-Homed Host

Είναι ένας διακομιστής / οικοδεσπότης που διαθέτει περισσότερες από μια κάρτες δικτύου. Κάθε κάρτα είναι συνδεδεμένη σε ένα τμήμα δικτύου που είναι λογικά και φυσικά διαχωρισμένο. Η πιο διαδεδομένη μορφή της είναι με δυο κάρτες δικτύου (dual-homed host).

Σε ένα dual-homed firewall, η μια κάρτα είναι συνδεμένη στο εξωτερικό και μη έμπιστο διαδίκτυο, ενώ η άλλη κάρτα συνδέεται με το εσωτερικό και θεωρούμενο ασφαλές δίκτυο. Σημείο προσοχής σε αυτή την αρχιτεκτονική είναι ότι δεν πρέπει να επιτρέπεται η άμεση δρομολόγηση των πακέτων των δεδομένων ανάμεσα στα δύο δίκτυα. Η επικοινωνία τους πρέπει να γίνεται μόνο μέσω του λογισμικού firewall του διακομιστή.

Screened Host

Αυτή η αρχιτεκτονική χρησιμοποιεί έναν διακομιστή που καλείται οχυρό ή bastion host και έναν δρομολογητή φιλτραρίσματος. Ο δρομολογητής αυτός είναι έτσι διαμορφωμένος ώστε να στέλνει αποκλειστικά στον bastion host όλες τις προερχόμενες από το εξωτερικό δίκτυο αιτήσεις, όποιον προορισμό και αν είχαν αυτές μέσα στο εσωτερικό δίκτυο. Όλοι λοιπόν οι εξωτερικοί διακομιστές, υποχρεωτικά περνούν μέσω του λογισμικού firewall στο διακομιστή-οχυρό.

Screened Subnet

Πρόκειται ουσιαστικά για την προηγούμενη αρχιτεκτονική μορφή, όπου επιπρόσθετα χρησιμοποιείται ένας δεύτερος δρομολογητής φιλτραρίσματος προκειμένου να διαχωρίσει τον bastion host και το δίκτυο που αυτός βρίσκεται, το οποίο καλείται περιμετρικό δίκτυο, από το υπόλοιπο εσωτερικό δίκτυο. Έτσι παρέχεται ακόμη ένα επίπεδο προστασίας.

Η διαβάθμισης της ασφάλειας που παρέχεται από ένα από τα παραπάνω συστήματα firewall εικονίζονται στο Σχήμα 4.16.

Σχήμα 4.16: Διαβάθμιση ασφάλειας παρεχόμενης από firewall


4.2.3.2.5: Γενικές Κατευθύνσεις Πολιτικής Ασφάλειας μέσω Firewalls

Τα κύρια σημεία μιας πολιτικής ασφάλειας μέσω firewalls είναι ότι πρέπει:

* Ένα firewall να διαμορφώνεται έτσι ώστε να αποτελεί τη μόνη ορατή διεύθυνση διακομιστή προς το έξω δίκτυο, ενώ ταυτόχρονα να απαιτεί όλες οι συνδέσεις προς και από το εσωτερικό δίκτυο να διέρχονται μέσα από αυτό.
* Οι ισχυροί μηχανισμοί πιστοποίησης χρηστών να εφαρμόζονται σε επίπεδο εφαρμογής.
* Οι υπηρεσίες διαμεσολάβησης (proxy) να παρέχουν λεπτομερείς πληροφορίες καταγραφής σε επίπεδο εφαρμογής.
* Να μην επιτρέπεται η άμεση προσπέλαση στις δικτυακές υπηρεσίες του εσωτερικού δικτύου. Όλες οι αιτήσεις που φτάνουν για υπηρεσίες, όπως ΤΕLΝΕΤ, FTP, ΗTTΡ, e-mail κλπ, να διέρχονται μέσω της κατάλληλης υπηρεσίας proxy στο fιrewall, ανεξάρτητα από το ποιος εσωτερικός διακομιστής είναι ο τελικός προορισμός τους.
* Όλες οι νεοεισερχόμενες υπηρεσίες οφείλουν να διεκπεραιώνονται από υπηρεσίες proxy του fιrewall. Αν μια νέα υπηρεσία ζητηθεί, αυτή δεν θα είναι διαθέσιμη μέχρι να διατεθεί το αντίστοιχο λογισμικό proxy και να γίνουν οι έλεγχοι από το διαχειριστή ασφάλειας.
* Όλη η διαχείριση του συστήματος fιrewall να διενεργείται από ένα τοπικό τερματικό. Δεν επιτρέπεται προσπέλαση στο λογισμικό λειτουργίας του fιrewall, από απομακρυσμένη τοποθεσία. Η φυσική προσπέλαση προς το τερματικό του fιrewall να επιτρέπεται μόνο στο διαχειριστή του και στον εφεδρικό διαχειριστή.
* Ένας διαχειριστής συστημάτων fιrewall οφείλει να έχει πολύ καλή εμπειρία στα δικτυακά ζητήματα ασφάλειας, καθώς και στη σχεδίαση και υλοποίηση fιrewalls. Έτσι μπορεί να επιτύχει τη σωστή ρύθμιση και εγκατάστασή του, ενώ ακόμη μπορεί να το διαχειρίζεται με ασφαλή τρόπο. Επιπλέον, οι διαχειριστές οφείλουν σε περιοδική βάση, να επιμορφώνονται και να ενημερώνονται πάνω σε πρακτικές ασφάλειας δικτύων και λειτουργίας συγχρόνων διατάξεων fιrewalls.
* Να δημιουργούνται σε καθημερινή, εβδομαδιαία και μηνιαία βάση ασφαλή εφεδρικά αντίγραφα του λογισμικού και των δεδομένων του συστήματος fιrewall, δηλαδή του λογισμικού συστήματος, των αρχείων ρυθμίσεων, των αρχείων της βάσης δεδομένων, των αρχείων καταγραφής, κ.ά., έτσι ώστε σε περίπτωση αποτυχίας του συστήματος να υπάρχει η δυνατότητα αποκατάστασης της λειτουργίας του χωρίς σημαντικές απώλειες. Τα εφεδρικά αρχεία να φυλάσσονται με ασφάλεια σε αξιόπιστα μέσα που κατόπιν μπορούν να χρησιμοποιηθούν μόνο για ανάγνωση, για να αποφευχθεί η ακούσια διαγραφή / καταστροφή τους. Μόνο το κατάλληλο προσωπικό να έχει φυσική πρόσβαση σε αυτά.
* Τουλάχιστον ένα ακόμη σύστημα fιrewall, έτοιμο προς χρήση και με τις σωστές ρυθμίσεις να κρατείται εκτός λειτουργίας ως εφεδρεία.

4.2.4: Αναγνώριση και Αυθεντικοποίηση

Βασική προϋπόθεση για τη σωστή εφαρμογή και λειτουργία των μηχανισμών ασφαλείας σε ένα δίκτυο υπολογιστών μιας επιχείρησης ή ενός οργανισμού, αποτελεί η ύπαρξη αξιόπιστου συστήματος αναγνώρισης και αυθεντικοποίησης των χρηστών. Τα αποτελέσματα της αναγνώρισης και της αυθεντικοποίησης αποτελούν τη βάση για την εξουσιοδότηση των χρηστών προκειμένου κατόπιν να χρησιμοποιήσουν τους πόρους του δικτύου.

Αναγνώριση:

Ένα ασφαλές σύστημα πρέπει με κάποιον τρόπο να αναγνωρίζει τις ταυτότητες των χρηστών καθώς αυτοί ζητούν να χρησιμοποιήσουν τις υπηρεσίες του.

Η ανάγκη για αναγνώριση (user identification) των χρηστών ενός συστήματος είναι ξεκάθαρη και καλύπτει πολλές διαφορετικές περιοχές εφαρμογών. Για παράδειγμα, η αναγνώριση χρηστών απαιτείται για έλεγχο πρόσβασης σε υπολογιστές, περιορισμό πρόσβασης σε κτίρια και προστατευόμενες περιοχές μέσα σε κτίρια, ελεγχόμενη χρήση των τραπεζικών τερματικών, όπως τα ΑΤΜs (Automatic Teller Machines) και σε πληθώρα άλλων εφαρμογών.

Αυθεντικοποίηση (authentication) ονομάζεται η διαδικασία επιβεβαίωσης της ταυτότητας ενός χρήστη. Αυτό γίνεται για δυο λόγους:

1. H ταυτότητα του χρήστη αποτελεί μια παράμετρο για την μετέπειτα λήψη αποφάσεων ελέγχου προσπέλασης

2. H ταυτότητα του χρήστη καταγράφεται μαζί με πράξεις σχετικές με την ασφάλεια του συστήματος σε ένα ειδικό χώρο καταγραφής (audit trail).

Είναι σημαντικό να καταλάβουμε τη διαφορά μεταξύ της πληροφορίας που χρειάζεται για την αναγνώριση (identification) ενός προσώπου και της πληροφορίας που απαιτείται για να επιβεβαιωθεί (authentication) ότι κανείς πράγματι είναι το πρόσωπο που ισχυρίζεται ότι είναι.

Το σύστημα αυθεντικοποίησης χρηστών αποτελεί την πρώτη γραμμή άμυνας ενός υπολογιστικού συστήματος ενάντια σε επίδοξους εισβολείς και αποσκοπεί στο να αποτρέψει μη εξουσιοδοτημένους χρήστες από το να επιτύχουν πρόσβαση στο υπολογιστικό σύστημα απαιτώντας κάθε φορά από τους χρήστες να επικυρώνουν την εξουσιοδότησή τους να χρησιμοποιήσουν το σύστημα.

4.2.4.1: Τεχνικές Αυθεντικοποίησης

Οι κυριότερες τεχνικές αυθεντικοποίησης χρήστη μπορούν να ταξινομηθούν στις παρακάτω βασικές κατηγορίες:

Αυθεντικοποίηση από στοιχεία που έχει ο χρήστης

* αυθεντικοποίηση από κάτι που γνωρίζει,
* αυθεντικοποίηση από κάτι που κατέχει,
* Αυθεντικοποίηση από στοιχεία (χαρακτηριστικά) του ίδιου του χρήστη.

αυθεντικοποίηση από προσωπικά χαρακτηριστικά του με χρήση βιομετρικών (biometrics)

* τεχνικών αναγνώρισης,
* αυθεντικοποίηση από μια πράξη.

Αυθεντικοποίηση από κάτι που κατέχει ο χρήστης

* Οι τεχνικές που χρησιμοποιούνται για την αυθεντικοποίηση των χρηστών από κάτι που κατέχουν, διακρίνονται σε:

Τεχνικές με βάση κάτι που γνωρίζει ο χρήστης, όπως:

* συνθηματικά για λογαριασμούς σε υπολογιστικά συστήματα
* συνθηματικά μιας χρήσης
* διαδικασίες πρόκλησης-απόκρισης (challenge-response)
* προσωπικοί αριθμοί αναγνώρισης (PINs) για τραπεζικές συναλλαγές

Τεχνικές με βάση κάτι που κατέχει ο χρήστης:

* κουπόνια (tokens)
* μαγνητικές κάρτες (magnetic cards)
* έξυπνες κάρτες (smart cards)

4.2.4.1.1: Συνθηματικά

Η χρήση των συνθηματικών (passwords) είναι ο πλέον διαδεδομένος τρόπος αυθεντικοποίησης χρηστών. Μαζί με το όνομα χρήστη (user name) πρέπει να εισάγεται ένα συνθηματικό (password), οπότε το σύστημα αυθεντικοποίησης του επιτρέπει την πρόσβαση στο σύστημα εφόσον το συνθηματικό που εισήγαγε ταιριάζει με το αντίστοιχο που ήδη βρίσκεται αποθηκεμένο στο σύστημα.

Καθώς πολλά υπολογιστικά συστήματα επιτρέπουν στους χρήστες να ορίζουν εκείνοι το συνθηματικό τους, προκύπτουν σοβαρά προβλήματα ασφάλειας από τον αυξημένο κίνδυνο να μαντέψουν αυτά τα συνθηματικά οι πιθανοί εισβολείς είτε γνωρίζοντας προσωπικές πληροφορίες του κάθε χρήστη είτε χρησιμοποιώντας κάποιο λεξιλόγιο με συνηθισμένα συνθηματικά. Η εμπειρία έχει δείξει ότι οι περισσότεροι χρήστες διαλέγουν ‘κακά’ συνθηματικά, παρόλες τις σχετικές προειδοποιήσεις των διαχειριστών συστημάτων.

Αλλά ακόμη και αν γίνει σωστή επιλογή ενός συνθηματικού, απομένουν μια σειρά από σωστές ενέργειες που αποσκοπούν στην προφύλαξή του ώστε να μην αποκαλυφθεί σε τρίτα πρόσωπα. Οι διαδικασίες ασφάλειας που θα πρέπει να ακολουθούνται για να εξασφαλίζεται η σωστή χρήση των συνθηματικών περιλαμβάνουν:

* ορισμό ξεχωριστού συνθηματικού για κάθε πρόσωπο και όχι για ομάδες χρηστών,
* ορισμό συνθηματικών με χρήση μεγάλων σειρών χαρακτήρων προκειμένου να μην είναι εύκολο να τα μαντέψει κάποιος τρίτος,
* αποφυγή του να σημειώνονται τα συνθηματικά σε ντοσιέ ή χαρτιά που βρίσκονται εκτεθειμένα πάνω σε γραφεία ή σε απροστάτευτα μέρη (π.χ. εκτός μιας φυσικά προστατευμένης περιοχής),
* τακτική ανανέωση και χρησιμοποίηση των συνθηματικών με ιδιαίτερη προσοχή.

Μια εναλλακτική λύση αποτελεί η χρήση ‘συνθηματικών μιας χρήσης’. Για το σκοπό χρησιμοποιείται μια λίστα από συνθηματικά (ξεχωριστή για κάθε χρήστη) και κάθε φορά χρησιμοποιείται ένα από αυτά (για μια και μοναδική φορά) μέχρι να εξαντληθούν τα συνθηματικά της λίστας.

Για την υλοποίηση ενός συστήματος συνθηματικών μιας χρήσης πρέπει να δοθεί ιδιαίτερη προσοχή ώστε:

* να είναι ορθός και απόρρητος ο τρόπος διανομής των λιστών συνθηματικών
* να είναι εξασφαλισμένη η προστασία αυτών των λιστών από κλοπή.

Η πληροφορία των συνθηματικών αποθηκεύεται στον υπολογιστή προκειμένου να ελέγχονται επιτόπου οι χρήστες που τα χρησιμοποιούν. Όμως, η αποθήκευση των συνθηματικών παρουσιάζει και αυτή σημαντικά προβλήματα ασφάλειας, καθώς όταν αποθηκεύονται σε μια μορφή χωρίς προστασία τότε τουλάχιστον οι διαχειριστές του συστήματος μπορούν να τα διαβάσουν. Αλλά κάτι τέτοιο αποτελεί σημαντική παραβίαση της ασφάλειας του συστήματος, καθώς τα συνθηματικά αποτελούν αυστηρά προσωπική πληροφορία. Η γνώση του συνθηματικού μας από άλλον χρήστη μπορεί να του επιτρέψει να χρησιμοποιήσει τις υπηρεσίες του συστήματος προσποιούμενος ότι είμαστε εμείς, οπότε για όλες τις ενέργειες που καταγράφονται από το σύστημα θεωρούμαστε εμείς υπεύθυνοι και υπόλογοι.

Η συνηθισμένη λύση σε αυτό το πρόβλημα είναι η χρήση ενός μονόδρομου αλγόριθμου (one-way function) κρυπτογράφησης, που να είναι εύκολο να υπολογίζεται και αδύνατο να αναστραφεί το αποτέλεσμά του. Οπότε, αντί να αποθηκεύονται τα συνθηματικά αυτά καθαυτά, αποθηκεύεται το αποτέλεσμα της εφαρμογής του μονόδρομου αλγόριθμου σε κάθε ένα συνθηματικό ξεχωριστά.

Κατόπιν, για την επιβεβαίωση του συνθηματικού που εισάγει ο χρήστης εφαρμόζεται σε αυτό ο ίδιος μονόδρομος αλγόριθμος και η τιμή που προκύπτει συγκρίνεται με την αποθηκευμένη τιμή στο σύστημα.

Εντούτοις, υπάρχουν διάφορα διαθέσιμα πακέτα λογισμικού τα οποία έχουν σχεδιασθεί για να εντοπίζουν κακώς επιλεγμένα συνθηματικά χρηστών, απλά ψάχνοντας στο αρχείο συνθηματικών. Τα πακέτα αυτά τυπικά υποστηρίζονται από τεράστια λεξιλόγια με συνηθισμένα συνθηματικά και η εμπειρία έχει δείξει ότι πάνω από το 50% των συνθηματικών χρήστη μπορούν να βρεθούν περίπου μέσα σε μια μέρα. Ως εκ τούτου, αν το αρχείο συνθηματικών είναι εκτεθειμένο σε δημόσια χρήση, τότε δεν πρέπει να χρησιμοποιούνται συνθηματικά που μπορεί κανείς να τα μαντέψει εύκολα. Φυσικά, μια καλή τακτική για τους διαχειριστές δικτύων υπολογιστών είναι να χρησιμοποιούν περιοδικά τέτοια προγράμματα για να εντοπίζουν τα ‘κακά’ συνθηματικά των χρηστών.

4.2.4.1.2: Συστήματα Πρόκλησης και Απόκρισης

Στην περίπτωση που τα συνθηματικά χρειάζεται να μεταφέρονται στα πλαίσια ενός ανασφαλούς δικτύου, όπως πολλές φορές είναι ένα επιχειρησιακό LAN, τότε είναι ιδιαίτερα ευπαθή για υποκλοπή. Μια απλή κρυπτογράφηση των συνθηματικών δεν μπορεί να είναι χρήσιμη καθώς ένα υποκλεμμένο κρυπτογραφημένο συνθηματικό μπορεί να ξαναχρησιμοποιηθεί ακριβώς όπως και το αρχικό συνθηματικό. Μια λύση σε αυτό το πρόβλημα είναι η αξιοποίηση των διαδικασιών ‘πρόκλησης-απόκρισης’ (challenge-response) για την αυθεντικοποίηση των χρηστών.

Ένα σύστημα πρόκλησης-απόκρισης (challenge-response) απαιτεί από τον χρήστη να κατέχει ένα μυστικό συνθηματικό P και τα μέσα για να υπολογίζει μια μονόδρομη συνάρτηση f.

Όταν ο χρήστης ζητάει προσπέλαση από ένα σύστημα, αρχικά παρέχει το όνομα του (user name).O υπολογιστής (host) αποκρίνεται με μια τυχαία πρόκληση (challenge) R. Tότε ο χρήστης αποκρίνεται με το αποτέλεσμα από την εφαρμογή της συνάρτησης f στον συνδυασμό των τιμών R και P. Το σύστημα εκτελεί και εκείνο τον ίδιο υπολογισμό και έτσι μπορεί να αποδεχθεί ή να απορρίψει τον χρήστη.

Τυπικά, τα συνθηματικά των χρηστών αποθηκεύονται σε ένα φυσικά ασφαλές υποσύστημα για να αποτρέπεται μη εξουσιοδοτημένη προσπέλαση στο αρχείο συνθηματικών. Η μονόδρομη συνάρτηση f πρέπει να υποστηρίζει την ιδιότητα ότι πιθανή γνώση των f(R,P),R και του f αυτού καθαυτού δεν διακυβεύει την τιμή του P, τουλάχιστον σε ένα εύλογο χρονικό διάστημα. Αυτό πρέπει να ισχύει ακόμη και αν ο υποκλοπέας γνωρίζει μια σειρά από τέτοιες τιμές. Το σύστημα είναι πραγματικά ανασφαλές εφόσον το σύνολο των πιθανών συνθηματικών P δεν είναι αρκετά μεγάλο. Αλλά ακόμη και αν υπάρχουν πολύ μικρές πιθανότητες για το P, τότε ο υποκλοπέας μπορεί να δοκιμάσει όλα τα πιθανά συνθηματικά μέχρι να βρεθεί κάποιο που να δίνει το σωστό αποτέλεσμα όταν ως είσοδος στην f δίνεται μια υποκλεμμένη πρόκληση και το συνθηματικό που μάντεψε.

Σχήμα 4.17


Αξίζει να σημειωθεί ότι ένα τέτοιο σύστημα αυθεντικοποίησης απαιτεί από τον χρήστη να διαθέτει τα μέσα για τον υπολογισμό της f γρήγορα και εύκολα. Πρόκειται για ένα κατεξοχήν παράδειγμα τύπου ‘αυθεντικοποίησης από κάτι που κατέχει ο χρήστης’.

4.2.4.2: Πιστοποίηση Kerberos

Λόγω της αυξημένης και βαρύνουσας σημασίας της αυθεντικοποίησης στα δίκτυα υπολογιστών, έχουν αναπτυχθεί πληθώρα συστημάτων που κάνουν ακριβώς αυτή την εργασία. Πρόκειται δηλαδή στην ουσία για συστήματα που στηρίζονται σε διαφορετικές συναρτήσεις που εκτελούν την διαδικασία της αυθεντικοποίησης. Μερικά γνωστά τέτοια συστήματα είναι το σύστημα Kerberos, το Χ.509, το NetSP, το SPX, το TESS, το SESAME, το OSF και το DCEΗ. Λόγω της εκτεταμένης χρήσης του στη συνέχεια επιλέξαμε να περιγράψουμε το σύστημα αυθεντικοποίησης Kerberos.

Η πιστοποίηση Kerberos αναπτύχθηκε στο Massachusetts Instίtute of Technology (MIT) για να παρέχει ένα σύστημα εμπιστοσύνης ανάμεσα σε υπολογιστές, το οποίο να είναι σε θέση να επαληθεύσει την ταυτότητα των αρχών ασφαλείας όπως ένα χρήστη ή έναν υπολογιστή, επάνω σε ένα ανοικτό, ανασφαλές δίκτυο. Το Kerberos δεν βασίζεται στην πιστοποίηση από τους εμπλεκόμενους υπολογιστές ή την ιδιωτικότητα επικοινωνιών δικτύου. Γι' αυτόν το λόγο, είναι ιδανικό για πιστοποίηση επάνω στο Internet και σε μεγάλα δίκτυα.

Το Kerberos λειτουργεί όπως μια έμπιστη υπηρεσία πιστοποίησης χρησιμοποιώντας μυστικά κλειδιά κοινής χρήσης. Στην ουσία, ένας υπολογιστής εμπιστεύεται άρρητα το Κέντρο Διανομής Κλειδιών(Key Distribution Center-KDC) του Kerberos, επειδή γνωρίζει το ίδιο μυστικό κλειδί που γνωρίζει ο υπολογιστής, ένα μυστικό που πρέπει να τεθεί ως τμήμα της έμπιστης διαχειριστικής διεργασίας. Στα Windows, το κοινό μυστικό παράγεται όταν ο υπολογιστής συνδέεται στον τομέα. Εφόσον και τα δύο μέρη μιας συνόδου Kerberos εμπιστεύονται το ΚDC, μπορεί να θεωρηθεί ότι εμπιστεύονται το ένα το άλλο. Πρακτικά, αυτή η εμπιστοσύνη υλοποιείται ως μια ασφαλής ανταλλαγή κλειδιών κρυπτογράφησης, που αποδεικνύει τις ταυτότητες των εμπλεκομένων μερών.

Η πιστοποίηση Kerberos εργάζεται όπως εικονίζεται στο Σχήμα 4.18 και περιγράφεται στη συνέχεια.

Σχήμα 4.18: Το σύστημα Kerberos

Ένας χρήστης ζητά ένα έγκυρο σύνολο διαπιστευτηρίων για ένα δεδομένο διακομιστή από το ΚDC στέλνοντας μια αίτηση χωρίς κρυπτογράφηση του κειμένου, που περιέχει το όνομα, δηλαδή την ταυτότητα του πελάτη.

Το ΚDC αποκρίνεται ψάχνοντας τα μυστικά κλειδιά του χρήστη και του διακομιστή μέσα στη βάση δεδομένων του (στον Ενεργό Κατάλογο) και δημιουργώντας ένα εισιτήριο που περιέχει ένα τυχαίο κλειδί συνόδου, την τρέχουσα ώρα στο ΚDC, μια ώρα λήξης, που καθορίζεται από την πολιτική και, προαιρετικά, τυχόν άλλες πληροφορίες που είναι απoθηκευμένες μέσα στη βάση δεδομένων. Το εισιτήριο κρυπτογραφείται κατόπιν χρησιμοποιώντας το μυστικό κλειδί του πελάτη. Κατόπιν δημιουργείται ένα δεύτερο εισιτήριο, που καλείται κλειδί συνόδου. Το κλειδί συνόδου περιλαμβάνει το κλειδί συνόδου και προαιρετικά δεδομένα πιστοποίησης, τα οποία κρυπτογραφούνται χρησιμοποιώντας το μυστικό κλειδί διακομιστή. Τα συνδυασμένα εισιτήρια μεταδίδονται κατόπιν πίσω στον χρήστη. Είναι ενδιαφέρον να σημειωθεί ότι ο διακομιστής πιστοποίησης δεν χρειάζεται να πιστοποιήσει τον χρήστη ρητά, επειδή μόνο ο έγκυρος χρήστης θα μπορέσει να αποκρυπτογραφήσει το εισιτήριο.

Αφού ο χρήστης πάρει ένα έγκυρο εισιτήριο και κλειδί συνόδου για ένα διακομιστή, μπορεί να εκκινήσει την απευθείας επικοινωνία με το διακομιστή. Για να εκκινήσει μια επικοινωνία με ένα διακομιστή, ο πελάτης κατασκευάζει ένα πιστοποιητή, που αποτελείται από την τρέχουσα ώρα, το όνομα του πελάτη, ένα άθροισμα ελέγχου για τη συγκεκριμένη εφαρμογή, και ένα τυχαία παραγόμενο αρχικό αριθμό ακολουθίας και/ή ένα δευτερεύον κλειδί συνόδου, που χρησιμοποιείται για να επαναφέρει μια μοναδική ταυτότητα συνόδου, ειδικό για την υπηρεσία που ενδιαφέρει τον χρήστη. Οι πιστοποιητές είναι έγκυροι μόνο για μια προσπάθεια και δεν μπορούν να επαναχρησιμοποιηθούν ή να τύχουν εκμετάλλευσης μέσω μιας επίθεσης αναπαραγωγής, επειδή εξαρτώνται από την τρέχουσα ώρα. Ο πιστοποιητής κατόπιν κρυπτογραφείται και μεταδίδεται μαζί με το εισιτήριο συνόδου στο διακομιστή, από τον οποίο ζητήθηκε η υπηρεσία.

Όταν ο διακομιστής δεχθεί το εισιτήριο από τον πελάτη, αποκρυπτογραφεί το εισιτήριο συνόδου χρησιμοποιώντας το κοινό μυστικό κλειδί του διακομιστή (το οποίο μυστικό κλειδί, αν υπάρχουν περισσότερα του ενός, δηλώνεται στο τμήμα ακρυπτογράφητου κειμένου του εισιτηρίου). Κατόπιν ανακτά από το κλειδί συνόδου το εισιτήριο και το χρησιμοποιεί για να αποκρυπτογραφήσει τον πιστοποιητή. Η δυνατότητα του διακομιστή να αποκρυπτογραφήσει το εισιτήριο αποδεικνύει ότι κρυπτογραφήθηκε χρησιμοποιώντας το ιδιωτικό κλειδί του διακομιστή, που είναι γνωστό μόνο στο KDC, οπότε υπάρχει εμπιστοσύνη στην ταυτότητα του πελάτη. Ο πιστοποιητής χρησιμοποιείται για να σιγουρέψει ότι η επικοινωνία είναι πρόσφατη και δεν είναι μια επίθεση αναπαραγωγής. Τα εισιτήρια μπορούν να επαναχρησιμοποιηθούν για μια διάρκεια που καθορίζεται από την πολιτική ασφαλείας του τομέα και δεν υπερβαίνει τις 10 ώρες. Αυτό μειώνει το φορτίο του KDC, που δεν χρειάζεται να κάνει περισσότερες από μια αιτήσεις ανά εργάσιμη ημέρα. Οι πελάτες αποθηκεύουν προσωρινά τα εισιτήρια συνόδου σε ένα ασφαλή χώρο που βρίσκεται μέσα στη RAM και τα καταστρέφουν όταν λήγουν.

Το σύστημα αυθεντικοποίησης Kerberos χρησιμοποιεί την ιδιότητα επαναχρησιμοποίησης εισιτηρίων για να συντομεύσει το χρόνο εκχώρησης εισιτηρίων, εκχωρώντας ένα εισιτήριο συνόδου για τον εαυτό του, καθώς και για το διακομιστή στόχου, την πρώτη φορά που έρχεται σε επαφή με έναν χρήστη. Όταν γίνει η πρώτη αίτηση από έναν χρήστη το ΚDC αποκρίνεται πρώτα με ένα εισιτήριο συνόδου για να κάνει περαιτέρω αιτήσεις εισιτηρίων, που καλείται Εισιτήριο Απόδοσης Εισιτηρίων (Ticket Granting Ticket, TGT) και μετά με ένα εισιτήριο συνόδου για το διακομιστή. Το TGT αποφεύγει περαιτέρω αναζητήσεις στον Ενεργό Κατάλογο από τον πελάτη, πιστοποιώντας εκ των προτέρων επόμενες αιτήσεις εισιτηρίων με τον ίδιο ακριβώς τρόπο που το Kerberos πιστοποιεί όλες τις άλλες αιτήσεις. Όπως κάθε εισιτήριο συνόδου, το TGT είναι έγκυρο μέχρι να λήξει, πράγμα που εξαρτάται από την πολιτική ασφάλειας τομέα.

Το Kerberos διαιρείται, από τεχνικής σκοπιάς σε δύο υπηρεσίες, την υπηρεσία TGT που είναι η μόνη υπηρεσία που κάνει την πιστοποίηση ως προς τον Ενεργό Κατάλογο και την υπηρεσία Ticket Granting, η οποία εκδίδει εισιτήρια συνόδου, όταν της παρέχεται ένα έγκυρο TGT.


4.3: Το πρωτόκολλο IPv6

Το Internet πρωτόκολλο (Internet Protocol—IP) μπόρεσε να συνδέσει εκατομμύρια υπολογιστών και να φέρει μία καινούργια πραγματικότητα στην παροχή πρόσβασης στην πληροφορία. Το IP αναπτύχθηκε πριν είκοσι χρόνια σαν το πρωτόκολλο του network επιπέδου της αρχιτεκτονικής του Διαδικτύου (Internet) και μαζί με το πρωτόκολλο του transport επιπέδου TCP (Transmission Control Protocol) δημιούργησαν την οικογένεια πρωτοκόλλων TCP/IP. Στην αρχή το TCP/IP χρησιμοποιήθηκε για την διασύνδεση των διαφορετικών υπολογιστικών συστημάτων που χρησιμοποιούσε η κυβέρνηση των Η.Π.Α αλλά λόγω της εξαιρετικής του δύναμης εξαπλώθηκε παγκοσμίως νικώντας τις άλλες δικτυακές κατευθύνσεις και τεχνολογίες όπως: OSI, SNA, DECnet, NETware, κ.α. Το IP λοιπόν έγινε η βάση της δημιουργίας πάρα πολλών client-server ή peer-to-peer εφαρμογών εκμεταλεύοντας έτσι την δυνατότητα της δικτυακής σύνδεσης.

Η μεγάλη όμως ανάπτυξη του Διαδικτύου (Internet), που καλείται να εξυπηρετήσει δισεκατομμύρια χρηστών, καθώς και οι απαιτήσεις των νέων δικτυακών εφαρμογών δεν μπορούν να αντιμετωπισθούν από το IPv4, το οποίο και αποτελεί το υπάρχον IP.

Αυτό είναι λογικό γιατί δεν ήταν δυνατό στο σχεδιασμό του IPv4 να προέβλεπαν αυτήν την αλματώδη εξέλιξη που θα είχε ο δικτυακός χώρος. Η αδυναμία λοιπόν του IPv4 να ακολουθήσει τις εξελίξεις ώθησε τον οργανισμό IETF(Internet Engineering Task Force), στις 25 Ιουλίου του 1994 σε ένα συνέδριο στο Τορόντο, να προτείνει το IP της επόμενης γενιάς, δηλαδή το Ipng (Next Generation Internet Protocol—RFC1752). Η πρόταση αυτή εγκρίθηκε από το Internet Engineering Steering Group και από τις 17 Νοεμβρίου 1994 αποτελεί προτεινόμενο πρότυπο(Proposed Standard).

Το επίσημο όνομα του είναι IPv6 (Internet Protocol version 6) και έρχεται να δώσει λύση στο εμφανή πρόβλημα της έλλειψης διευθύνσεων που παρουσιάζει το IPv4 και όχι μόνο, γιατί λόγω του βελτιωμένου σχεδιασμού του καθορίζει μία ομάδα από υπηρεσίες όπως ασφάλεια, υψηλή απόδοση, εύκολη διευθέτηση(configuration), δημιουργώντας με αυτό το τρόπο ένα πιο αξιόπιστο δίκτυο με λιγότερο διαχειριστικό βάρος.

Όμως η πραγματική πρόκληση για το IPv6 είναι για το εάν θα επιτύχει να “δέσει” το περιβάλλον του επερχόμενου δικτύου όπου εκτός από τους συμβατικούς υπολογιστές θα αποτελείται από μυριάδες άλλες συσκευές όπως προσωπικοί επεξεργαστές δεδομένων μεγέθους παλάμης (palmtop personal data assistants-PDA), υβριδικά κινητά τηλέφωνα με υπολογιστικές δυνατότητες, έξυπνα κουτιά με ενσωματωμένους Web browsers καθώς και από φωτοτυπικά μηχανήματα ενός γραφείου έως και συσκευές που χρησιμοποιούνται στην κουζίνα ενός σπιτιού.

Η επιτυχία του IPv6 θα βασιστεί επίσης και στη δυνατότητα του να εντάξει το παλιό στο καινούργιο. Είναι γνωστό το μέγεθος που έχει ήδη το Διαδίκτυο και η μετάβαση από το IPv4 στο IPv6 δεν είναι απλή υπόθεση αλλά απαιτεί σωστή στρατηγική έτσι ώστε να παραμείνει αδιάλειπτη και αποδοτική η λειτουργία του Διαδικτύου.

Παρακάτω λοιπόν ακολουθεί μία περιορισμένη παρουσίαση του IPv6 πρωτοκόλλου και μετά ακολουθεί μία πιο λεπτομερής ανάπτυξη στους τομείς της διευθυνσιοδότησης, απόδοσης και ασφάλειας.

4.3.1: Περιγραφή ΙPv6

Με την προοπτική να αντιμετωπισθούν οι απαιτήσεις του νέου δικτύου όπου θα υπάρχει αλλαγή από τις συσκευές που θα το αποτελούν έως και τις εφαρμογές (multimedia περιβάλλον) που θα υποστηρίζει, το IETF έδωσε προσοχή στους εξής τομείς:

* Διευθυνσιοδότηση

Το IPv6 χρησιμοποιεί ένα σχήμα διευθυνσιοδότησης μεγέθους 128-bit. Το μέγεθος των διευθύνσεων που παράγονται είναι τόσο μεγάλο ώστε είναι δυνατό ο κάθε κάτοικος αυτού του πλανήτη να έχει τόσες διευθύνσεις για το δίκτυο του όσες το τωρινό Διαδίκτυο.

Το βασικότερο όμως δεν είναι η δημιουργία ενός σχήματος διευθυνσιοδότησης που θα παράγει πολλές σε αριθμό διευθύνσεις όσο η κατανομή των διευθύνσεων αυτών. Το IPv6 κατανέμει τις διευθύνσεις με ιεραρχικό τρόπο αποφεύγοντας έτσι τα προβλήματα του IPv4 όπου και παραγόταν υπέρογκη πληροφορία για τη δρομολόγηση πάνω στα συστήματα και διευθύνσεις έμεναν αχρησιμοποίητες.

Οι τάξεις των διευθύνσεων στο IPv6 απευθύνονται καλύτερα στους χρήστες απ’ ότι στο IPv4. Υπάρχουν βασικά τρεις κατηγορίες δικτυακών χρηστών: αυτοί που χρησιμοποιούν το δίκτυο ενός οργανισμού και μέσω αυτού και το Διαδίκτυο, αυτοί που χρησιμοποιούν μόνο το δίκτυο του οργανισμού με πιθανότητα να χρησιμοποιήσουν το Διαδίκτυο στο μέλλον και χρήστες που συνδέονται στο Διαδίκτυο διαμέσου τηλεφωνικών γραμμών.

Για την καλύτερη εξυπηρέτηση αυτών των δικτυακών χρηστών το ΙPv6 παρέχει τρεις τύπους διευθύνσεων, τις unicast, τις multicast και τις anycast.

* Απόδοση

Η δικτυακή απόδοση έχει άμεση σχέση με την δρομολόγηση των πακέτων. Το ποσό της πληροφορίας που παράγεται συνεχώς αυξάνει και σε αυτό συντελούν και οι νέου είδους εφαρμογές. Οι ταχύτητες όμως που υποστηρίζουν τα LANs και τα WANs αυξάνουν και αυτές και έτσι οι λειτουργίες επεξεργασίας και προώθησης των IP πακέτων από τους δρομολογητές θα πρέπει να γίνονται ακόμα ταχύτερα.

Με αυτή τη λογική το IPv6 περιέχει λιγότερα πεδία στη κεφαλή (header) του πακέτου απ’ότι το IPv4 και εισάγει την χρήση των επεκτάσεων των κεφαλών οι οποίες βρίσκονται μεταξύ της IPv6 κεφαλής και της κεφαλής του transport επιπέδου. Η ταχύτητα λοιπόν επεξεργασίας και προώθησης του πακέτου από τους δρομολογητές αυξάνει γιατί οι περισσότερες από τις επεκτάσεις των κεφαλών δεν εξετάζονται από τους ενδιάμεσους δρομολογητές, οι οποίοι έχουν να επεξεργασθούν μόνο σταθερού μήκους IPv6 κεφαλές απλοποιώντας κατά πολύ την επεξεργασία και προώθηση.

Επίσης ο φόρτος στους ενδιάμεσους δρομολογητές μειώνεται περισσότερο αφού την διαδικασία τεμαχισμού (fragmentation)και ανασχηματισμού(reassembly) των πακέτων αναλαμβάνουν οι επικοινωνούντες hosts.

Η απόδοση με το IPv6 βελτιώνεται με την χρήση του πεδίου της κεφαλής flow label, όπου κατορθώνεται να ζητηθούν συγκεκριμένες απαιτήσεις από τους δρομολογητές για κάποια διαδρομή. Οι απαιτήσεις σχετίζονται με την προτεραιότητα, τη καθυστέρηση ή το εύρος ζώνης (bandwidth) που ζητούν κάποιες εφαρμογές όπως αυτές που μεταδίδουν video κ.α

* Ασφάλεια

Η ανάπτυξη και η εκτεταμένη χρήση του Διαδικτύου έφερε καινούργιες απαιτήσεις από τους χρήστες οι οποίοι ζητούν οι συναλλαγές τους και η πρόσβαση στις πηγές τους να γίνονται με ασφάλεια. Το IPv4 δεν είχε χαρακτηριστικά που θα μπορούσαν να χρησιμοποιηθούν στην ασφάλεια των δικτύων και έτσι η προσπάθεια είχε κατευθυνθεί στη χρήση μεθόδων που βασίζονται στο network επίπεδο.

Το IPv6 όμως παρέχει εγγενής δυνατότητες για παροχή ασφάλειας οι οποίες βασίζονται στις προσαρμοστικές επεκτάσεις της κεφαλής του IPv6 πακέτου. Η επέκταση της πιστοποίησης (authentication header extension) εξασφαλίζει ότι όντως το πακέτο έρχεται από τον host που δείχνει η διεύθυνση της πηγής. Αυτή η πιστοποίηση είναι σημαντική στη προστασία έναντι των εισβολέων, οι οποίοι ρυθμίζουν ένα host να παράγει πακέτα με πλαστή διεύθυνση πηγής. Αυτή η μεταμφίεση μπορεί να ξεγελάσει (IP spoofing) ένα εξυπηρέτη και να υπάρξει παράτυπη πρόσβαση σε πολύτιμα δεδομένα ή σε κρίσιμες δικτυακές λειτουργίες. Σύμφωνα με στατιστικές έρευνες αυτού του είδους το “ξεγέλασμα” (IP spoofing) ενός εξυπηρέτη είναι από τους πιο συνηθισμένους τρόπους εισβολής και δεν υπάρχει εγγενής τρόπος από το IPv4 να ελέγξει εάν το πακέτο έρχεται από εκεί που το ίδιο αναφέρει. Η σημερινή αντιμετώπιση αυτού του προβλήματος γίνεται με τους “Firewalls” η χρήση των οποίων παρουσιάζει μία σειρά από προβλήματα όπως μείωση στην απόδοση, περιοριστική δικτυακή πολιτική και περιορισμένη διασύνδεση με το Διαδίκτυο.

Μία άλλη διαδεδομένη παγίδα στο Διαδίκτυο είναι οι αναλυτές της κυκλοφορίας της πληροφορίας (sniffers) οι οποίοι λαθραία παρακολουθούν τη πληροφορία που διέρχεται στο δίκτυο. Με αυτό το τρόπο μπορούν να γίνουν γνωστά εμπορικά μυστικά, αριθμοί τραπεζικών λογαριασμών και “πλαστικών” καρτών, συνθηματικά (passwords) καθώς και άλλα πολύτιμα δεδομένα.

Το IPv6 παρέχει και σε αυτό το πρόβλημα εγγενή λύση μέσω της επέκτασης για κρυπτογράφηση της κεφαλής του IPv6 πακέτου όπου διαμέσου κλειδιών κρυπτογράφησης γίνεται κρυπτογράφηση του περιεχομένου (payload) του πακέτου. Η χρήση των επεκτάσεων ασφαλείας μπορεί να γίνει απευθείας μεταξύ δύο hosts ή σε συνδυασμό με μία πύλη ασφαλείας (security gateway) η οποία και προσθέτει ένα βαθμό περισσότερης ασφάλειας.

* Αυτόματη Διευθέτηση (Autoconfiguration)

Οι ρυθμίσεις των IPv4 συστημάτων είναι συνήθως δύσκολες και προβληματικές. Το IPv6 προσφέρει δύο τρόπους αυτόματης διευθέτησης των δικτυακών υπολογιστικών συστημάτων: την stateful και την statelless.

Με την stateful αυτόματη διευθέτηση εξυπηρέτες μπορούν δυναμικά να καθορίζουν διευθύνσεις στα υπολογιστικά συστήματα τις οποίες παίρνουν από μία βάση δεδομένων με καταχωρημένες από πριν διευθύνσεις. Με τον ίδιο τρόπο λειτουργεί και το πρωτόκολλο DHCP στο IPv4 και ουσιαστικά μία πιο εξελιγμένη έκδοση του DHCP έχει αναπτυχθεί στο IPv6 για να προσφέρει stateful αυτόματη διευθέτηση.

Το IPv6 εισάγει όμως και την statelless αυτόματη διευθέτηση κατά την οποία δεν είναι απαραίτητη η παρουσία του εξυπηρέτη. Κατά την statelless αυτόματη διευθέτηση τα συστήματα μπορούν να ρυθμίσουν μόνα τους τις διευθύνσεις με τη βοήθεια του τοπικού IPv6 δρομολογητή. Η διεύθυνση είναι συνδυασμός της 48-bit MAC-διεύθυνσης (πχ. η διεύθυνση του ethernet interface) με πρόθεμα (prefix) της δικτυακής διεύθυνσης που μαθαίνει από το τοπικό δρομολογητή.

Οι δυνατότητες της αυτόματης διευθέτησης διευθύνσεων μειώνει πάρα πολύ το βάρος της εργασίας του διαχειριστή ενός δικτύου και ωφελεί τους δικτυακούς χρήστες. Παράδειγμα όπου βοηθάει αποτελεσματικά η αυτόματη διευθέτηση διευθύνσεων είναι η περίπτωση όπου μία επιχείρηση αλλάζοντας παροχέα-ISP χρειάζεται καινούργιες διευθύνσεις (renumbering) για όλους τους σταθμούς εργασίας. Επίσης η λειτουργία αυτή του IPv6 είναι απαραίτητη και σε μία επιχείρηση όπου υπάρχουν μετακινήσεις και αλλαγές στο πληθυσμό οπότε χρειάζεται και εδώ μια δυναμική παροχή διευθύνσεων. Σημαντική όμως είναι η βοήθεια στο τομέα του mobile computing όπου η αυτόματη διευθέτηση διευθύνσεων παρέχει τη δυνατότητα στους κινητούς υπολογιστές να αποκτήσουν αυτόματα IP διεύθυνση από οπουδήποτε και αν συνδέονται στο δίκτυο.

* Μετάβαση

Σίγουρα η τεχνολογία του IPv6 έχει να προσφέρει πολλά στο χώρο των δικτύων και να εξελίξει το Διαδίκτυο δίνοντας του εφόδια ώστε να αντιμετωπίσει τις μελλοντικές προκλήσεις. Η μεγαλύτερη όμως πρόκληση για την επιτυχή εφαρμογή του IPv6 είναι η μετάβαση του Διαδικτύου από το IPv4 στο νέο πρωτόκολλο. Το μεγάλο μέγεθος του Διαδικτύου όπου περιέχει εκατομμύρια δικτυακών συσκευών καθιστά βέβαιο ότι η μετάβαση δεν πρόκειται να πραγματοποιηθεί μέσα σε μια νύκτα αλλά θα υπάρχει μια μακρά περίοδος συνύπαρξης του IPv4 με το IPv6.

Με αυτή τη λογική ενέργησε το IETF δίνοντας την δυνατότητα στους διαχειριστές δικτύων να πραγματοποιήσουν με ελαστικότητα την αναβάθμιση των δικτύων τους. Η ελαστικότητα έγκειται στο ότι δεν είναι απαραίτητη η άμεση και ολοκληρωμένη αναβάθμιση ολόκληρων πληθυσμών στο νέο πρωτόκολλο γιατί είναι δεδομένη η συνλειτουργία των IPv4 και IPv6 και δεν υπάρχει το πρόβλημα της απομόνωσης ή του μεγάλου χρόνου μη λειτουργίας. Όμως κατά την αναβάθμιση σε πολλούς δρομολογητές ή hosts θα πρέπει να κρατούνται και οι λειτουργίες του IPv4 (downward compatibility) για την επικοινωνία με τους δικτυακούς χώρους όπου δεν έχει πραγματοποιηθεί η μετάβαση.

Για να επιτύχουν λοιπόν οι παραπάνω στόχοι της μετάβασης έχει γίνει σοβαρός σχεδιασμός στο IPv6 το οποίο βασίζεται σε μηχανισμούς όπως Hosts και δρομολογητές που υποστηρίζουν και τα δύο πρωτόκολλα IPv4 και IPv6 (dual-stack) και πραγματοποίηση σήραγγας (tunnelling) του IPv6 διαμέσου IPv4.

4.3.2: Η Αρχιτεκτονική Διευθυνσιοδότησης του IPv6


Οι σχεδιαστές του IPv6 φρόντισαν ώστε να είναι απαλλαγμένο από τα προβλήματα που παρουσίαζε στην διευθυνσιοδότηση το IPv4. Είναι σημαντικό να υπενθυμίσουμε ότι μια διεύθυνση χαρακτηρίζει ένα interface μιας μηχανής και όχι την ίδια την μηχανή

Η αρχιτεκτονική της διευθυνσιοδότησης του IPv6 αποτελείται από τα εξής βασικά σημεία.


- Μεγαλύτερος χώρος διευθυνσιοδότησης

Ενώ το μήκος των διευθύνσεων μόλις τετραπλασιάζεται (από 32 σε 128 bits) η αύξηση του χώρου των διευθύνσεων ακουμπάει τον απίστευτο νούμερο των 296 φορές τον χώρο του IPv4 (232=4.294.967.296 διευθύνσεις).

Ο συνολικός αριθμός των διευθύνσεων που υποστηρίζει το IPv6 είναι:

2128=340.282.366.920.938.463.463.374.607.431.768.211.456 διευθύνσεις.

Εάν θεωρήσουμε ότι το εμβαδόν της γης είναι περίπου Εγης=511.263.971.197.990m2 τότε αντιστοιχούν 665.570.793.348.866.943.898.599 διευθύνσεις/m2 γης. Στα πραγματικά δίκτυα, λόγο της ιεραρχίας που απαιτείται για την απόδοση και δρομολόγηση των διευθύνσεων μειώνεται η αποδοτικότητα της χρήσης και περιορίζεται ο αριθμός των διευθύνσεων που μπορούν να χρησιμοποιηθούν.

Ο Christian Huitema μετά από ανάλυση της αποδοτικότητας των τηλεφωνικών δικτύων της Γαλλίας και της Αμερικής, του σημερινού Intertnet με το IPv4 και άλλων κατέληξε ότι από τις διευθύνσεις των 128-bit μόνο έως διευθύνσεις μπορούν να χρησιμοποιηθούν υποθέτοντας απόδοση στα ίδια επίπεδα με τις άλλες αρχιτεκτονικές διευθυνσιοδότησης. Ακόμα και σε αυτή την περίπτωση έχουμε αναλογία διευθύνσεων/m2 ίση με 1.564 διευθύνσεις στην πρώτη και 3.911.873.538.269.506.102 στην δεύτερη περίπτωση, μεγέθη που φαίνονται για το άμεσο μέλλον να είναι υπεραρκετά.

- Νέος Τρόπος γραφής διευθύνσεων

Ο τετραπλασιασμός του μήκους σε bit των διευθύνσεων κάνει δύσκολη την γραφή τους με δεκαδικούς αριθμούς. Η νέα μορφή γραφής χρησιμοποιεί δεκαεξαδικούς αριθμούς και έχει την ακόλουθη μορφή:

Διεύθυνση IPv6 : x:x:x:x:x:x:x:x όπου x ένας δεκαεξαδικός αριθμός μήκους 16-bit π.χ.

FEDC:BA98:7654:3210:FFDA:1A98:4512:24A2

1080:0:0:0:8:800:200C:417

Για την περίπτωση που υπάρχουν πολλά x=0 είναι δυνατό να παραληφθούν.

Για παράδειγμα οι διευθύνσεις:

1080:0:0:0:8:800:200C:417A

1A34:0:0:0:342D:0:0:13DF

Γράφονται για συντομία:

1080::8:800:200C:417A και 1A34::342D:0:0:13DF

Τέλος υπάρχει μια ειδική γραφή που μπορεί να φανεί χρήσιμη σε μια ειδική κατηγορία διευθύνσεων και δεν είναι άλλη από την διεύθυνση IPv6 με ενσωματωμένη IPv4 διεύθυνση : x:x:x:x:x:x.d.d.d.d όπου x ένας δεκαεξαδικός αριθμός μήκους 16-bit και d.d.d.d μια διεύθυνση IPv4.

Για παράδειγμα : 0:0:0:0:0:0:143.233.241.250

Τύποι διευθύνσεων του IPv6

Στo IPv6 υπάρχουν τρεις βασικές κατηγορίες διευθύνσεων και τρεις ειδικές κατηγορίες. Στον Πίνακα 6.10 φαίνεται ο καταμερισμός του χώρου διευθυνσιοδότησης σε αυτές της κατηγορίες και το μέγεθος τους ως προς το συνολικό χώρο.


Πίνακας 4.1: Καταμερισμός του χώρου διευθυνσιοδότησης ανά κατηγορία.

Ο διαχωρισμός των κατηγοριών γίνεται από το πρόθεμα όπως φαίνεται στον Πίνακα 4.1. Το πρόθεμα αυτό ονομάζεται πρόθεμα μορφής (Format Prefix ή FP). Αξίζει να παρατηρήσουμε ότι μόνο το 15% του συνολικού χώρου έχει αποδοθεί σε κάποιες κατηγορίες ενώ το υπόλοιπο 85% είναι διαθέσιμο για επέκταση κάποιον κατηγοριών όταν χρειαστεί ή για την δημιουργία καινούργιων ανάλογα με τις ανάγκες που θα προκύψουν.

4.3.2.1: Οι βασικές κατηγορίες διευθύνσεων του IPv6

- UnicastΔιευθύνσεις

Είναι ο πιο ευρέως χρησιμοποιούμενος τύπος διευθύνσεων. Μια διεύθυνση τύπου unicast χαρακτηρίζει μονοσήμαντα ένα και μόνο ένα interface κάποιας μηχανής. Δηλαδή εάν ζητήσουμε να επικοινωνήσουμε με αυτή την διεύθυνση θα επικοινωνούμε μόνο με μία μηχανή, αυτήν στην οποία ανήκει το interface που έχει αυτή την διεύθυνση.

Στον Πίνακα 4.1 μπορούμε να δούμε ότι υπάρχουν τρεις περιοχές που χαρακτηρίζονται ως Unicast:

- Αθροίσιμες GlobalUnicast Διευθύνσεις

Είναι Unicast διευθύνσεις οι οποίες μπορούν να χρησιμοποιηθούν για επικοινωνία στο Internet.

- Τοπικής σύνδεσης Unicast διευθύνσεις

Τοπικής εμβέλειας διευθύνσεις, η βασικότερη χρήση τους είναι η επικοινωνία κατά την εκκίνηση μιας μηχανής με τον εξυπηρέτη (server) για την διαδικασία ης αυτόματης ρύθμισης της μηχανής (Auto configuration).

- Τοπικού Δικτύου Unicast διευθύνσεις

Οι διευθύνσεις αυτές έχουν παρακρατηθεί για χρησιμοποίηση από ιδιωτικά δίκτυα που δεν είναι ακόμη συνδεμένα με το Internet και μπορούν να χρησιμοποιηθούν ελεύθερα από κάθε τέτοιο δίκτυο.

- Multicast Διευθύνσεις

Μία διεύθυνση τύπου multicast χαρακτηρίζει ουσιαστικά μια ολόκληρη ομάδα από interfaces. Ένα πακέτο πληροφορίας με προορισμό μια τέτοια διεύθυνση θα παραδοθεί σε όλα τα interfaces. Οι εφαρμογές πολυμέσων χρησιμοποιούν κατά κόρο τέτοιες διευθύνσεις. Π.Χ : εφαρμογές τηλεδιάσκεψης, μετάδοση ραδιοφωνικών και τηλεοπτικών προγραμμάτων μέσω του Internet.

Σε αυτό το σημείο πρέπει να πούμε ότι το IPv6 καταργεί την έννοια των διευθύνσεων broadcast αφού τις θεωρεί υπο-περίπτωση των multicast.

- Anycast Διευθύνσεις

Οι διευθύνσεις τύπου anycast είναι ένας πρωτοεμφανιζόμενος τύπος διευθύνσεων. Και αυτός ο τύπος διευθύνσεων χαρακτηρίζει μια ομάδα από interfaces. Το βασικό όμως χαρακτηριστικό του είναι ότι ένα πακέτο με προορισμό μια τέτοια διεύθυνση δεν θα αποσταλεί σε όλα τα interfaces, αλλά σε αυτό που βρίσκεται κοντινότερα στον αποστολέα. Ο υπολογισμός του κοντινότερου interface βασίζεται στον τρόπο με τον οποίο το πρωτόκολλο δρομολόγησης υπολογίζει τις αποστάσεις. Οι διευθύνσεις τύπου anycast μοιράζονται των ίδιο χώρο διευθυνσιοδότησης με τις unicast. Η δημιουργία τους χρειάζεται ξεχωριστή ρύθμιση των μηχανών στων οποίων τα interface έχουν αποδοθεί καθώς επίσης και ρύθμιση των ανακοινώσεων που κάνουν οι δρομολογητές για αυτές τις διευθύνσεις.

Μια εφαρμογή στην οποία θα μπορούσαν να χρησιμοποιηθούν αυτές οι διευθύνσεις είναι για τα interface των δρομολογητών ενός δικτύου. Με αυτό τον τρόπο μπορούν να λυθούν διάφορα προβλήματα δρομολόγησης όπως η αυτόματη χρησιμοποίηση του κοντινότερου δρομολογητή και η χρησιμοποίηση ενός δευτερεύοντος σε περίπτωση βλάβης του πρώτου.

4.3.2.2: Kατηγορία παρακρατημένων (Reserved) διευθύνσεων του IPv6

Μη Καθορισμένη Διεύθυνση:
Η διεύθυνση 0:0:0:0:0:0:0:0 ονομάζεται μη καθορισμένη και δηλώνει την έλλειψη διεύθυνσης.

Η Διεύθυνση Loopback:
Είναι η διεύθυνση 0:0:0:0:0:0:0:1 και χρησιμοποιείτε από το λειτουργικό όλων των μηχανών για διάφορες λειτουργίες.

IPv6 Addresses with Embedded IPv4 Addresses
Αυτές οι διευθύνσεις επινοήθηκαν για να βοηθήσουν του μετάβαση από το IPv4 στο IPv6 και έχουν την γενική μορφή 0:0:0:0:0:0:IPv4 διεύθυνση.

π.χ. 0:0:0:0:0:0:143.233.241.250

4.3.2.3: Iεραρχία Διευθυνσιοδότησης

Το IPv6 στο θέμα της διευθυνσιοδότησης παρουσιάζει ένα μεγάλο πλεονέκτημα συγκριτικά με το IPv4, έχει σχεδιαστεί για ιεραρχημένη διευθυνσιοδότηση. Οι δύο βασικότερες δομές ιεραρχίας (μέχρι στιγμής) στην απόδοση διευθύνσεων στο IPv6 είναι:

Μορφή διευθύνσεων κατανομής ανά παροχέα Internet (Provider-Based Unicast Address Format)

Είναι ιεραρχία αντίστοιχη με αυτή που χρησιμοποιείται στο IPv4 σήμερα. Στο σχήμα που ακολουθεί φαίνονται τα επίπεδα ιεραρχίας που είναι κωδικοποιημένα στην διεύθυνση (Registry, παροχέας, πελάτης).

Πίνακας 4.2: Μορφή διευθύνσεων κατανομής ανά παροχέα Internet


Η μορφή αυτή έχει αντικατασταθεί από την μορφή που παρουσιάζουμε στην συνέχεια.

Αθροίσιμη Μορφή διευθύνων (Aggregatable Global Unicast Address Format)

Αυτή η μορφή ιεραρχίας εμπεριέχει και την ιεραρχία ανά παροχέα ενώ πάει ένα βήμα παραπέρα θεωρώντας ότι θα υπάρχουν σημεία στα οποία θα συναντώνται ομάδες παροχέων τα οποία και ονομάζει αθροιστές κορυφαίου επιπέδου. Εάν λοιπόν οι παροχείς πάρουν το χώρο διευθύνσεων τους από αυτούς έχουμε ακόμα μεγαλύτερη οικονομία στον αριθμό των διαδρομών που θα πρέπει να ανακοινώνονται.

Πίνακας 4.3: Αθροίσιμη Μορφή διευθύνσεων


4.3.3: Ασφάλεια στο IPv6

Στο IPv6 η ασφάλεια βασίζεται αποκλειστικά στο επίπεδο IP (IP level Security), δηλαδή όλες οι διαδικασίες ασφάλειας έχουν σκοπό την προστασία του IP πακέτου από κάθε είδος επίθεσης κατά την πορεία του μέσα από το δίκτυο. Η ασφάλεια στο επίπεδο IP μπορεί να παρέχει τις εξής δυνατότητες:

- Πιστοποίηση (Authentication)

Πιστοποίηση είναι η ικανότητα να γνωρίσουμε ότι τα δεδομένα που παραλήφθηκαν είναι αυτά που έστειλε ο αποστολέας και ότι ο αποστολέας είναι αυτός που ισχυρίζεται.

- Ακεραιότητα πληροφορίας (Integrity)

Η ακεραιότητα της πληροφορίας είναι η δυνατότητα να ανιχνεύεται οποιαδήποτε αλλαγή της πληροφορίας στην ενδιάμεση διαδρομή από τον αποστολέα στον παραλήπτη.

- Απόρρητο της πληροφορίας (Confidentiallity)

Το απόρρητο της πληροφορίας είναι η δυνατότητα να είναι διαθέσιμη σε κατανοητή μορφή μόνο από τους πραγματικούς παραλήπτες. Με αυτό τον τρόπο είναι σχεδόν αδιάφορο ποιοι μπορούν να υποκλέψουν την πληροφορία κατά την διάρκεια της πορείας της προς τον τελικό προορισμό της.

- Απόδειξη αποστολής δεδομένων από τον αποστολέα (Non-repudiation)

Με αυτή την δυνατότητα είναι αδύνατο να αρνηθεί ένας αποστολέας το γεγονός της αποστολής των δεδομένων. Η δυνατότητα αυτή είναι διαθέσιμη μόνο όταν χρησιμοποιείται ένας ασύμμετρος αλγόριθμος κρυπτογράφησης.

Η ασφάλεια σε επίπεδο IP και σαν συνέπεια η ασφάλεια που παρέχει το IPv6. δεν μπορεί να καλύψει όλες τις περιπτώσεις επιθέσεων. Μια τέτοια περίπτωση είναι η περίπτωση της ανάλυσης της ροής της πληροφορίας (traffic analysis). Η ανάλυση αυτή μπορεί να παρέχει χρήσιμες πληροφορίες για έναν πιθανό εισβολέα, όπως η συχνότητα ανταλλαγής πληροφοριών των μηχανισμών ασφαλείας, το μέγεθος των πακέτων ή ακόμα και ο τύπος της πληροφορίας που κάποιος χρήστης αναζητεί στο Internet.

4.3.3.1: Μηχανισμοί ασφάλειας του IPv6

Το IPv6 χρησιμοποιεί δύο βασικούς μηχανισμούς για να παρέχει τις υπηρεσίες ασφάλειας που αναφέρθηκαν στην προηγούμενη παράγραφο. Οι μηχανισμοί αυτοί είναι:

IP Authentication Header

IP Encapsulating Security Payload

Οι δύο αυτοί μηχανισμοί βασίζονται κυρίως σε εξωτερικούς μηχανισμούς κρυπτογράφησης για να παρέχουν ασφάλεια.

Ο μηχανισμός του IPAuthentication Ηeader μπορεί να παρέχει τις εξής δυνατότητες ασφάλειας:

Πιστοποίηση (Authentication).

Ακεραιότητας την πληροφορίας (Integrity).

Απόδειξη αποστολής δεδομένων από τον αποστολέα (Non-repudiation).

Ο μηχανισμός αυτός στο IPv6 προστίθεται σαν μια επιπλέον επικεφαλίδα όπως φαίνεται και στον Πίνακα 4.4. Η κύρια πληροφορία που υπάρχει στην επικεφαλίδα αυτή είναι ένα νούμερο το οποίο είναι το αποτέλεσμα της εφαρμογής του χρησιμοποιούμενου αλγόριθμου κρυπτογράφησης σε όλο το πακέτο.

Πίνακας 4.4: Μορφή IP πακέτου με Authentication Header

Ο μηχανισμός του IPEncapsulatingsecurityPayload μπορεί να παρέχει τις εξής δυνατότητες ασφάλειας:

Ακεραιότητας την πληροφορίας (Intergrity).

Απόρρητο της πληροφορίας (Confidentiality)

Απόδειξη αποστολής δεδομένων από τον αποστολέα (Non-repudiation).

Η λειτουργία αυτού του μηχανισμού βασίζεται στην κρυπτογράφηση της προς μετάδοσης πληροφορίας. Με αυτό τον τρόπο μόνο ο παραλήπτης που έχει στην κατοχή του το κατάλληλο κλειδί μπορεί να αποκρυπτογραφήσει την πληροφορία. Η γενική μορφή ενός πακέτου IP που χρησιμοποιεί την λειτουργία IP Encapsulating security Payload φαίνεται στον Πίνακα 4.5.

Πίνακας 4.5: Μορφή IP πακέτου με IPEncapsulatingsecurityPayload



Ο μηχανισμός του ESP μπορεί να χρησιμοποιηθεί με δύο τρόπους:

1. Εφαρμογή σε Transport επίπεδο.

Σε αυτή την περίπτωση η κρυπτογραφημένη πληροφορία περιέχει μόνο το πακέτο του επιπέδου μεταφοράς (Transport TCP/UDP). Δηλαδή την επικεφαλίδα του επιπέδου Transport και τα δεδομένα του χρήστη. Σαν αποτέλεσμα δεν έχουμε προστασία των IP Headers.

2. Εφαρμογή σε Tunnel επίπεδο.

Σε αυτή την περίπτωση γίνεται κρυπτογράφηση ολόκληρου του IP πακέτου. Ο τρόπος αυτός χρήσης είναι ιδιαίτερα χρήσιμος για την δημιουργία VPN’s

4.3.3.2: Καθορισμός των παραμέτρων ασφαλείας μιας σύνδεσης

Οι μηχανισμοί ασφαλείας χρησιμοποιούν την έννοια του Security Association. Ένα Security Association αποτελείται από ένα σύνολο επιλογών σχετικές με την εφαρμογή των μηχανισμών ασφαλείας και την διεύθυνση προορισμού των πακέτων της πληροφορίας. Οι βασικές επιλογές που πρέπει να υπάρχουν σε ένα security association παρουσιάζονται περιληπτικά στην συνέχεια :

* Αλγόριθμος Πιστοποίησης (Authentication) που χρησιμοποιεί το IP Authentication Header
* Κλειδιά που χρησιμοποιεί ο αλγόριθμος Πιστοποίησης (Authentication) που χρησιμοποιείται από το IP Authentication Header
* Αλγόριθμος κρυπτογράφησης που χρησιμοποιεί το IP Encapsulating Header (ESP).
* Κλειδιά που χρησιμοποιεί ο αλγόριθμος κρυπτογράφησης που χρησιμοποιείται από το IP Encapsulating Header(ESP).
* Παρουσία/απώλεια και μέγεθος του πεδίου κρυπτογραφικού συγχρονισμού ή πεδίο ανύσματος εκκίνησης για τον αλγόριθμο κρυπτογράφησης (ESP).
* Αλγόριθμος Πιστοποίησης (Authentication) που χρησιμοποιεί το IP Encapsulating Header (ESP).
* Κλειδιά που χρησιμοποιεί ο αλγόριθμος Πιστοποίησης (Authentication) που χρησιμοποιείται από το IP Encapsulating Header (ESP).
* Διάρκεια ζωής των κλειδιών ή ώρα που θα αλλάξουν τα κλειδιά.
* Διάρκεια ζωής του συγκεκριμένου security association.
* Διεύθυνση(-σεις) πηγής (Source) του security association.
* Επίπεδο ευαισθησίας της πληροφορίας (π.χ. Μυστική, μη κατηγοριοποιημένη)

Τα security association είναι μιας κατεύθυνσης και σαν συνέπεια θα πρέπει να δημιουργείται ένα για κάθε κατεύθυνση μια αμφίδρομης σύνδεσης. Η δημιουργία ενός security association ξεκινάει από την μηχανή που παίζει το ρόλο του αποστολέα για την συγκεκριμένη κατεύθυνση της επικοινωνίας, ή οποία και στέλνει τις επιλογές που εκφράζουν τις απαιτήσεις σε ασφάλεια της επικοινωνίας. Η δημιουργία ολοκληρώνεται από την μηχανή παραλήπτη που απαντάει με ένα νούμερο το λεγόμενο Δείκτη Παραμέτρων Ασφαλείας(Security Parameters Index - SPI) για την συγκεκριμένη σύνδεση. Η αναγνώριση του security association γίνεται για τον αποστολέα με το συνδυασμό τoυ SPI και της ταυτότητας του χρήστη (userid), ενώ για τον παραλήπτη από το συνδυασμό του SPI και την διεύθυνση προορισμού του πακέτου. Τέλος πρέπει να σημειώσουμε ότι η μηχανισμοί ασφάλειας μπορούν να χρησιμοποιηθούν και σε διευθύνσεις multicast.

4.3.3.3: Εφαρμογή των Μηχανισμών Ασφαλείας

Οι μηχανισμοί ασφάλειας του IP μπορούν να εφαρμοστούν σε παραλλαγές που επιτρέπουν την συμμετοχή μηχανών που δεν έχουν στη στοίβα τους, υποστήριξη για τους μηχανισμούς αυτούς. Οι τρεις δυνατές περιπτώσεις περιγράφονται στην συνέχεια.

Σταθμός εργασίας με Σταθμό εργασίας

Σε αυτή την περίπτωση έχουμε επικοινωνία μεταξύ δύο υπολογιστών, που έχουν και οι δύο την ικανότητα να χρησιμοποιήσουν τους μηχανισμού ασφαλείας.

Δρομολογητής/ Πύλη Ασφάλειας με Σταθμό εργασίας

Ο ένας από τους δύο host διαθέτει μηχανισμούς ασφαλείας. Ο άλλος host βρίσκεται σε κάποιο δίκτυο στο οποίο όλοι οι host θεωρούνται έμπιστοι μεταξύ τους και ένα gateway αναλαμβάνει να διασφαλίσει την ασφάλεια των επικοινωνιών με τον υπόλοιπο κόσμο εκτός του εσωτερικού δικτύου.

Δρομολογητής/ Πύλη Ασφάλειας με Δρομολογητή/ Πύλη Ασφάλειας

Τέλος έχουμε την περίπτωση δύο δικτύων που εμπιστεύονται όλους τους host που το καθένα περιλαμβάνει και επιθυμούν μιλήσουν μεταξύ τους εξασφαλίζοντας ασφάλεια από το υπόλοιπο δύκτιο. Ουσιαστικά αυτή η περίπτωση απεικονίζει ένα VPN. Εδώ βρίσκει εφαρμογή το Tunnel επίπεδο λειτουργίας της μεθόδου IP Encapsulating security Payload του IPv6.

4.3.4: Η Αυξημένη Ασφάλεια έχει το Κόστος της

Η αύξηση της ασφάλειας αυξάνει τον υπολογιστικό φόρτο για κάθε πακέτο που δημιουργείται. Σαν αποτέλεσμα αυξάνεται η καθυστέρηση μετάδοσης της πληροφορίας. Ειδικά για την περίπτωση IP Encapsulating Security Payload η μείωση της απόδοσης του δικτύου μπορεί να είναι ιδιαίτερα αισθητή. Η μείωση αυτή της απόδοσης περιορίζεται μόνο στις μηχανές που συμμετέχουν στους μηχανισμούς ασφαλείας και δεν επηρεάζει τους ενδιάμεσους δρομολογητές όταν δεν συμμετέχουν στον μηχανισμό.

Όπως γίνεται κατανοητό ένας τρόπος να μειωθούν οι καθυστερήσεις που περιγράφτηκαν παραπάνω είναι η αύξηση της απόδοσης του IPv6 και κάποιες μέθοδοι που βοηθούν στο να συμβεί αυτό είναι και αυτές που περιγράφονται στη συνέχεια.

Η αύξηση της απόδοσης στο IPv6 έχει δύο βασικές κατευθύνσεις:

1. Πρόβλεψη για Εγγυημένη ποιότητα εξυπηρέτησης από το δίκτυο Q.o.S.

Η απαίτηση για Q.o.S. είναι μια απαίτηση που εμφανίζεται κυρίως λόγο των νέων δικτυακών εφαρμογών πολυμέσων. Οι εφαρμογές αυτές στις περισσότερες περιπτώσεις περιλαμβάνουν εικόνα, ήχο, και αλληλεπίδραση ανάμεσα στους συμμετέχοντες, γεγονός που απαιτεί επικοινωνία πραγματικού χρόνου (real time). Η ιδιαιτερότητα αυτή μεταφράζεται σε σχέση με το δίκτυο σε δύο πράγματα:

Ο όγκος των πληροφοριών είναι μεγάλος και στο μεγαλύτερο μέρος τους έχουν ένα σταθερό ρυθμό bit κατά την διάρκεια της μετάδοσης (Constant Bit Rate -CBR).

Η ποιότητα του αποτελέσματος επηρεάζεται σε πολύ μεγάλο βαθμό από την καθυστέρηση που κατά περίπτωση μπορεί να υπάρχει στην μεταφορά την πληροφορίας.

Αυτά τα δύο βασικά σημεία κάνουν πολύ δύσκολη την χρησιμοποίηση των εφαρμογών αυτών στο σημερινό Internet με το IPv4 το οποίο δεν είχε σχεδιαστεί για μεταφορά πληροφορίας πραγματικού χρόνου. Τέτοιου τύπου εφαρμογές είναι επιθυμητό να χρησιμοποιούν κανάλια με μικρή καθυστέρηση και εάν είναι δυνατό μεγάλου bandwidth, αλλά κανάλια που εισάγουν μεγάλη καθυστέρηση είναι άσχημη επιλογή ανεξάρτητος του bandwidth που παρέχουν.

Στο IPv6 αναπτύσσονται ειδικοί μηχανισμοί για να εξυπηρετήσουν την νέα αυτή ανάγκη. Η ανάπτυξη όμως της δυνατότητας Q.o.S. είναι αυτή τη στιγμή η πιο πειραματική από όλες τις άλλες δυνατότητες που παρέχει το IPv6.

Το IPv6 λαμβάνει υπόψη τις νέες απαιτήσεις των σύγχρονων εφαρμογών και περιλαμβάνει ειδικές τεχνικές για την επίτευξη της ποιότητας εξυπηρέτησης που επιθυμεί η εκάστοτε εφαρμογή.

Το θεμέλιο του Q.o.S. μπαίνει στην επικεφαλίδα του IPv6 με τα δύο παιδεία Priority και Flow Label που φαίνονται στον Πίνακα 4.6.

Επίπεδα Προτεραιότητας (PriorityLevel)

Το IPv6 χωρίζει την πληροφορία την οποία προωθεί σε κατηγορίες με αντίστοιχες απαιτήσεις για ποιότητα εξυπηρέτησης - προτεραιότητα (Priority).

Τα επίπεδα προτεραιότητας χωρίζονται σε δύο βασικές κατηγορίες:

Πληροφορίες που έχουν μηχανισμούς αποτροπής κορεσμού του δικτύου (congestion-controlled traffic) και περιγράφονται στον πίνακα που ακολουθεί.


Πίνακας 4.6: Επίπεδα Προτεραιότητας


Πληροφορίες που δεν έχουν μηχανισμούς αποτροπής κορεσμού του δικτύου
(non-congestion-controlled traffic).
Αυτού του είδους η πληροφορία έχει αριθμούς προτεραιότητας από 8-15. Η μικρότερη προτεραιότητα θα πρέπει να χρησιμοποιείτε για πληροφορία που η απώλεια της θα επηρεάσει λιγότερο σε περίπτωση κορεσμού του δικτύου (π.χ. υψηλής ποιότητας εικόνα). Αντίστοιχα η μεγαλύτερη θα πρέπει να χρησιμοποιείτε για πιο απαραίτητη πληροφορία όπως χαμηλής ποιότητας ήχος.

Ροές Πληροφοριών (Flows)

Το IPv6 εισάγει την έννοια της ροής πληροφορίας, θεωρώντας ότι τα πακέτα της πληροφορίας ρέουν μέσα από ένα ιδεατό κανάλι. Οι δρομολογητές που αποτελούν αυτό το ιδεατό κανάλι έχουν φροντίσει με κάποιο μηχανισμό να παρακρατήσουν τους απαραίτητους πόρους για την εξυπηρέτηση της ροής. Επιπλέον οι απαραίτητη υπολογισμοί για την προώθηση κάθε πακέτου που ανήκει σε μια ροή γίνονται μόνο για το πρώτο πακέτο της πληροφορίας και εφαρμόζονται σε κάθε πακέτο της ίδιας ροής , γλυτώνοντας έτσι υπολογιστική ισχύς στον δρομολογητή και μειώνοντας σημαντικά την καθυστέρηση δρομολόγησης του πακέτου. Η αναγνώριση της ροής στην οποία ανήκει το πακέτο επιτυγχάνεται με το πεδίο Flow Label της επικεφαλίδας του IPv6.

2. Βελτιωμένη εσωτερική σχεδίαση του πρωτοκόλλου.

Η επιλογή για σχεδίαση του πρωτοκόλλου IPv6 από την αρχή και όχι απλά εξελίσσοντας τον κώδικα που είδη είναι γραμμένος για το IPv4 παρέχει πλεονεκτήματα και στον τομέα της απόδοσης του IPv6.

Η εμπειρία που έχει αποκτηθεί από την πολύχρονη χρήση και βελτίωση του IPv4 οδήγησαν στην απόρριψη χαρακτηριστικών που αποδείχτηκαν μη αποδοτικά ή δεν χρειάζονταν πλέον. Αυτές οι αλλαγές φαίνονται καθαρά στην καινούργια μορφή της επικεφαλίδας του IPv6 η οποία φαίνεται στον επόμενο πίνακα:

Πίνακας 4.7: Μορφή Επικεφαλίδας IPv6


Πίνακας 4.8: Μορφή Επικεφαλίδας IPv4


Πίνακας 4.9: Πεδία της επικεφαλίδας του IPv6

Συγκρίνοντας την επικεφαλίδα του IPv6 με την επικεφαλίδα του IPv4 στους παραπάνω πίνακες αμέσως παρατηρούμε την απλοποίηση που έχει γίνει στην μορφή της επικεφαλίδας κρατώντας μόνο τις άκρως απαραίτητες πληροφορίες. Σαν αποτέλεσμα έχουμε διπλάσιο μήκος σε bit της επικεφαλίδας του IPv6 σε σχέση με το IPv4 παρόλο που το μέγεθος των διευθύνσεων έχει τετραπλασιαστεί. Η επιλογές πλέον προστίθενται σαν επιπλέον επικεφαλίδες που ακολουθούν την επικεφαλίδα του IPv6 όταν αυτές χρειάζονται.

Οι σχεδιαστές για να μειώσουν τον χρόνο που ένας δρομολογητής χρειάζεται για να επεξεργαστεί ένα πακέτο φρόντισαν ώστε :

Οι δρομολογητές να χρειάζεται να επεξεργαστούν το πολύ μια επιπλέον επιλογή ενώ οι υπόλοιπες να ελέγχονται μόνο από τον παραλήπτη του πακέτου.

Το πακέτο πρέπει να ξεκινάει από τον αποστολέα με κατάλληλο μέγεθος ώστε να είναι δυνατή η μετάδοση του, από όλες της τεχνολογίες δικτύου που πρόκειται να συναντήσει στην πορεία του, χρησιμοποιώντας την τεχνική αναζήτησης της μέγιστης δυνατής μονάδας πληροφορίας (Path MTU Discovery).

Τέλος η δυνατότητα μεγάλων IP πακέτων (Jumbograms) που επιτρέπει το μέγεθος του IP πακέτου να ξεπεράσει το όριο των 65Kb που θέτει το IPv4 επιτρέπει την καλύτερη εκμετάλλευση των νέων τεχνολογιών δικτύων υψηλών ταχυτήτων όπως ATM, GigaBit Ethernet, κ.α.
Διαβάστε περισσότερα...

No comments: