Säkerhet, kryptering

Innehåll

  1. 1 Brandväggar
  2. 2 Kryptering
    1. 2.1 Transposition:
    2. 2.2 Substitution:

Utöver hotet från hackers, script kiddies och liknande finns det en hel del annat som kan sabotera nätverket. Saker såsom överspänning, åskväder, strömavbrott och klåfingriga användare/medarbetare är vanliga orsaker till att nätverket går ner.

 

Alla centrala enheter såsom switchar, routrar, hubbar och brandväggar skall förvaras inlåsta och endast administratörer bör ha tillgång till dem.

Det är även viktigt att tänka på hur miljön är där enheterna placeras;

  • Luftfuktighet max 50%
  • Sval temperatur
  • Brandskyddsutrustning

 

Detta hindrar andra från att förstöra sakerna genom okunskap och skapar en bra miljö för maskinvaran men det förhindrar inte naturens krafter från att påverka nätverket.

 

En utav de vanligaste anledningarna till att ett nätverk upphör fungera tillfälligtvis är strömavbrott. För att förhindra att detta sker kan man använda sig av en UPS.

UPS står för Uninterrupted Power Supply och är en form av batteri/generator som förser en enhet med ström trots att den ordinarie strömkällan tillfälligtvis försvunnit.

Dessutom har UPS’en som uppgift att jämna ut strömtillförseln vilket även skyddar mot tillfälliga strömspikar (för hög spänning under kort tid).

 

Hur länge enheten kan förses med ström beror på hur stort batteriet är, mindre företag använder sig ofta av en UPS som kan hålla igång nätet i allt mellan 1 och 30 minuter. Vill man säkerställa att tillgången till ström existerar under en längre period kan man i sin tur koppla UPS’en till ett dieselaggregat.

 

Den UPS som bara förser enheten med ström under en minut är i första hand naturligtvis inte tänkt som skydd mot strömavbrott utan finns där för att jämna ut strömtillförseln.


Brandväggar

Kommunikationen som sker på Internet sker via TCP/IP-stacken och Internet är utan tvekan det största nätverk som finns och därmed också den största möjligheten som finns för att göra intrång i datanät.

 

Vad som krävs för att någon skall kunna ta sig in i ett system är en ingång, en enhet har en ip-adress men kan ändå ta emot information genom många olika kanaler. Dessa kanaler kallas för portar och det finns två olika sorter, tcp-portar och udp-portar. Det finns 65536 av vardera sort och samtliga portar är vägar in och ut i systemet.

 

Skillnaden mellan tcp och udp handlar om hur trafiken flödar. Tcp är ett anslutningsbaserat protokoll, det innebär att det kräver bekräftelse på att informationen kommer fram dit den skall, upd är ett anslutningslöst protokoll som inte kräver bekräftelse på att informationen kommer fram.

Detta innebär inte att det är lättare att göra intrång via en udp-port utan det handlar bara om hur informationen flödar.

Portar mellan 0 och 1024 är reserverade för olika tjänster såsom ftp, http, telnet osv.

På samma sätt som en öppen dörr till ett hus kan verka inbjudande för en inbrottstjuv kan en öppen port till en dator verka inbjudande för en ”hacker”.

När man talar om öppna och stängda portar är det naturligtvis inte så att man rent fysiskt öppnar och stänger portarna utan det styrs mjukvarumässigt.

 

Antingen sker den styrningen via den lokala datorn eller så är det en separat enhet som har som uppgift att agera som en brandvägg. Den separata enheten är antingen en enhet som har som ända uppgift att kontrollera trafik eller så är det en enhet som har flera uppgifter, till exempel en router.

 

Den grundläggande funktionen för en brandvägg är alltså att konfigureras så att vissa portar är stängda och andra öppna. Skulle man stänga samtliga portar kan ingen kommunikation ske varken till eller från den lokala datorn.

Detta är naturligtvis ingen bra lösning om man är kopplad till ett nätverk.

Så när man nyttjar brandväggen använder man den för att kontrollera vilka portar som skall vara öppna och vilka som skall vara stängda. Har man en webbserver igång har man generellt port tcp:80 öppen så att andra skall kunna se webbsidan. 

 

En lösning för att inte släppa in extern trafik (Internet-trafik) i det lokala nätverket är att använda sig av DMZ.

 

DMZ står för Demilitarized zone och är ett uttryck för Ingenmansland. I krigsfilmer används ofta detta för utbyte av krigsfångar men i datorsammanhang är det utbyte av information som sker där.

 

Genom att sätta upp ett tredje nät som Ingenmansland dit man riktar extern trafik skyddar man det lokala nätverket än mer.


Portnamn

Portnummer

Protokoll

Kommentar

ftp-data

20

TCP

Svår att filtrera då det är servern som skickar data från en slumpmässig port

ftp

21

TCP

Bör endast tillåtas av en ftp-server

telnet

23

TCP

Bör filtreras bort om ingen måste loggas in från Internet

smtp

25

TCP

e-post, bör tillåtas endast till e-postgatewayen

domain

53

TCP, UDP

Används av DNS

tftp

69

UDP

Bör tas bort, då säkerheten är låg

gopher

70

TCP

Tillåt bara noggrant konfigurerad server

finger

79

TCP

Avslöjar för mycket om dina datorer. Bör tas bort, då säkerheten är låg

http

80

TCP

World Wide Web, tillåt bara välkonfigurerad server

sunrpc

111

TCP, UDP

Bör verkligen tas bort då säkerheten är låg

nntp

119

TCP

News, tillåt bara en newsserver

login

513

TCP

Bör tas bort, då säkerheten är låg

shell

514

TCP

Bör tas bort, då säkerheten är låg

nfs

2049

TCP, UDP

Bör verkligen tas bort då säkerheten är låg

 


Kryptering

Kryptering är definitivt inget nytt påfund utan har funnits i över tusen år. Så länge det har funnits behov av att kunna kommunicera under sekretess har det funnits olika lösningar för hur det skall gå till.

Kryptering i sig kan enklast delas in i två olika genrer; transposition och substitution.

 

Transposition:

Bokstäverna placeras helt enkelt om till något som i praktiken utgör ett anagram. Detta är relativt osäkert för meddelanden som endast innehåller enstaka ord eftersom det ger ett begränsat antal möjligheter. Ett ord som innehåller tre bokstäver kan endast varieras på sex olika sätt. HEJ HJE EHJ EJH JHE JEH

Om man dock ökar antalet bokstäver blir det alltmer säkert, till exempel kan orden Spräng skolan istället skrivas som prosans kläng.


Substitution:

Istället för att placera om bokstäver och skapa anagram byter man ut bokstäver mot varandra. Ett enkelt exempel är:

ABCDEFGHIJKLMNOPQRSTUVWXYZÅÄÖ

ÅÄÖABCDEFGHIJKLMNOPQRSTUVWXYZ

 

Ordet ”HEJ” skulle då skrivas ”EBF”

 

Detta är ett mycket enkelt exempel och naturligtvis är det fullt möjligt att istället låta teckenkombinationen 8UJKJ motsvara bokstaven A.

Oavsett om man använder sig av disposition eller substitution finns det två delar som krävs för krypteringen/chiffret – dels krypteringen i sig som blir en algoritm och dels lösningen som kallas för nyckel.

”Nyckeln” är det som gör det möjligt för mottagaren att läsa själva chiffret. I det fall det handlar om ett enkelt substitutionskrypto skulle det räcka med A=Å som nyckel.

Det finns två sorters nycklar, de som gäller för ”rak” kryptering och de som gäller för ”asymmetrisk kryptering”. En rak nyckel innebär att det räcker att mottagaren har en nyckel som talar om hur kryptot skall tolkas, en asymmetrisk nyckel är i två delar och båda nycklarna samarbetar tätt. Det vill säga, en nyckel räcker inte för att nå lösningen utan det krävs två.

Kryptering har alltid varit populärt framförallt i krigstider men nu under Internets frammarsch är det mer aktuellt än tidigare. För att säkerställa att informationen som färdas över Internet inte är möjlig för andra att tolka har det utvecklats en mängd olika krypteringsprogram som endast gör det möjligt för den som har nyckeln att läsa informationen som sänts.

Om du vill läsa mer om kryptering kan du besöka http://www.aliceochbob.se
Comments