Безжични компютърни мрежи- wireless, Bluetooth

Моделът на DoD беше разработен в сътрудничество със самия TCP/IP - част от проекта ARPAnet. Той е по-прост модел, състоящ се само от четири слоя, които могат да бъдат приблизително асоциирани със седемте слоя на OSI модела.

В някои източници слоят хост до хост се означава като транспортен слой, дори в четирислойни диаграми на DoD, и съответства на транспор­тния слой от OSI модела. Тук функционират TCP, UDP и DNS.

Пазарът, както разбрахте, е една от причините производителите да спазват стандартите, но има и други предимства. Например стандартите осигуряват указания, които улесняват проектирането и производството на продукти, а от гледна точка на потребителя стандартизацията осигурява надеждност на про­дуктите и услугите.

ISO работи в партньорство с други организации, като International Electrotechni-cal Commission (IEC), World Trade Commission (WTO) и International Telecom­munications Union (ITU).

IEC съществува дълго преди ISO, още от 1906 г., но е по-специализирана. До­като ISO създава стандарти от всички видове, целта на IEC е създаването и ус­тановяването на стандарти в областта на електро и електронния инженеринг. IEC е изградена от 47 национални комитета и през 1967 г. влезе в споразумение за съвместна работа с ISO по разработката на стандарти и спецификации.

ITU е друга международна организация, усилията на която са съсредоточени върху спонсорирането на събития, публикуването на документи и установява­нето на стандарти за продукти и услуги, свързани с телекомуникациите.

Internet Engineering Task Force (IETF) е част от Internet Architecture Board (lAB), който от своя страна е техническа консултативна група, принадлежаща на Internet Society (ISOC). IETF е разделена на две работни групи, всяка от които решава различен проб­лем, свързан с изграждането на Интернет стандарти. Членството в нея е отво­рено; всяка заинтересована страна може да се присъедини към тази организа­ция.

Основната задача на групите на IETF включва разработката и издаването на Интернет проекти (Internet Drafts), прерастващи в официални документи (Request For Comments - IRFC), които от своя страна преминават през устано­вен процес на одобрение, за да се превърнат в Интернет стандарти.

В качеството си на професионалисти по мрежи може да срещнете препратки към „RFC [номер]" за повече информация по характеристиките на определени мрежови услуги и протоколи. Тези услуги и протоколи включват такива еле­менти, като:
• Реализация на услугата Domain Name System (DNS)
• Разширения на TCP/IP
• Спецификации за софтуер от типа Network Address Translation (NAT)
Макар че много RFC документи произлизат от IETF, всяка заинтересована страна може да подава предложения за RFC. Не всички RFC документи описват стандарти, но ако даден документ е предназначен за стандарт, той преминава през три фази:
• Proposed Standard - предложен стандарт
• Draft Standard - пробен (проектен) стандарт
• Internet Standard - Интернет стандарт
Има дори RFC номер 2226 - „Инструкции за автори", който съдържа информа­ция за начина на написване и форматиране на проект. След като бъде изпратен, групата Internet Engineering Steering Group (IESG), която е част от IETF, разг­лежда документа. След обсъждането, ако проектът бъде одобрен, той се редактира и публикува. Редакторът на RFC, назначен от Internet Society, поддържа и публикува главен списък на RFC документите. Той отговаря също за окончателното редактиране на документите. Следва преглед от техническите експерти или така наречената група „task force", по време на който RFC се класифицира в една от следните категории:
• Required Status (изискван статут) - Задължителен
• Recommended Status (препоръчителен статут) - Препоръчителен
• Elective Status (незадължителен статут) - Може да бъде реализиран, но реализацията не е задължителна
•Limited Use Status (статут на ограничено използване) - Не е предназ­начен за масова реализация .
• Not Recommended Status (непрепоръчван статут) - Не се препоръчва реализация
IEEE (наричан на английски „Ай-трипъл И" от членовете на индустрията) оси­гурява обмена на информация и разработва стандарти и спецификации за по-ниско ниво на мрежовите технологии (това на физическия и каналния слой).

От особен интерес за професионалистите по мрежи представляват специфика­циите на проекта IEEE 802. Името е базирано на датата на заседанието на ко­митета. 80 означава годината (1980), а 2 означава месеца (февруари). Протоко­лите от физическия и каналния слой, за които комитетът установява стандарти­те 802, са следните:

• 802.9 - Integrated Voice and Data: Понякога наричан само „integrated

services" (вградени услуги), този стандарт установява правилата за пре­даване на глас и данни по ISDN.
• 802.10 - LAN Security: Тези спецификации имат отношение към изграж­дането на виртуални частни мрежи (VPN) - начин за изграждане на си­гурна връзка към частна мрежа по обществения Интернет.

• 802.11 - Wireless: Дава указания за реализиране на безжични (безкабел-ни) LAN технологии.

Корените на TCP/IP могат дабъдат проследени до изследователски проект, финансиран от Advanced Research Project Agency(DARPA) на американското министерство на отбраната през 1969 г. ARPANET е била експериментална мрежа, която е влязла в употреба през 1975 г. , след като е доказала своята ефективност. През 1983 г., новият комплект от протоколи TCP/IP е бил приет като стандарт и всички хостове от мрежата е трябвало задължително да го използват.

Ethernet мрежите са най-различни: “дебели”, “тънки” и с усукана двойка. По-старите видове Ethernet, които използват тънък и дебел Ethernet кабел, вече се намират рядко и се различават по диаметъра на използваният коаксиален кабел и начина, по които се свързват хостовете по него. “Тънкият” Ethernet използва Т-образен “BNC” конектор, които прекъсва кабела на определени места и се завинтва в накрайник от задната старна на компютъра. При “дебелият” Ethernet трябва да се пробие малка дупка в кабела, където да се закачи към приемно-предавателно устройство посредством “вампирска тапа. След това към приемно-предавателното устройство могат да се закачат един или повече хостове. Тънките и дебелите Ethernet кабели могат да бъдат опъвани съответно до 200 и 500 метра и понякога се наричат 10-base2 и 10-base5. “base” идва от “baseband modulation” и казано на прост език означява, че данните се подават директно към кабела без никакъв модем. Цифрите в началото указват мегабайтите в секунда, а числото в края показва максималната дължина на кабела в стотици метри. Усуканата двойка използва кабел, съставен от две двойки медни проводници, и обикновенно изисква използването на допълнителен хардуер, наречен активен концентратор, или хъб (hub). Усуканата двойка се нарича още 10-base T, като Т означява означява усукана двойка. Стомегабитовата версия е известна като 100-baseT, а 1000 Mbps се нарича 1000-baseT или гигабайтова.

За да добавим хост към инсталацията с тънък Ethernet кабел, работата на мрежата трябва да бъде прекъсната поне за няколко минути, тъй като кабелът трябва да бъде срязън и да се добави конектор. Макар и добавянето на хост към системата с дебел Ethernet кабел да е малко сложно, то обикновенно не води до спиране на мрежата. Ethernet с усукана двойка е още по- прост. Той използва устройство, наречено концентратор или комутатор (още суич) което служи като точка на свързване. Добавянето и премахването на хостове към/от концентратор или суич става без абсолютно никакво прекъсване на работата на потребителите.

Мрежите с дебел или тънък Ethernet вече се срещат по-рядко, тъй като бяха изместени почти изцяло от усуканата двойка. Това решение се превърна в нещо като стандарт благодарение на ниските цени на мрежовите карти и кабелите.

Безжичните локални мрежи също са много популярни. Те са базирани на спецификацията 802.11a/b/g и предоставят Ethernet чрез рaдио вълни. Предлагайки подомна функционалност на кабелите му еквиваленти, безжичният Ethernet беше подложен на атаки по редица въпроси за сигурността, по специално около криптирането. Ethernet работи като шинна система, в която хостовете могат да изпращат пакети с максимална големина от 1 500 на други хостове от същият Ethernet. Хостовете се адресират посредством 6-байтови адреси, записани твърдо във фърмуера на интерфейсната карта за Ethernet мрежа. Тези адреси обикновенно се записват като поредица от двуцифрени шеснадесетични числа, разделени с двоеточие.

Когато една станция изпрати кадър, той се изпраща до всички станции, но само станцията получател приема кадъра и го обработва. Ако две станции се опитат да изпратят в един и същи момент, настъпва колизия. Колизиите в Ethernet се установяват много бързо от електрониката на интерфейсните карти и се разширяват като две станции прекратяват изпращането, изчакват произволен интервал от време и опитват отново да изпратят.

Човек не иска работата му в мрежата да е ограничена до една Ethernet или една връзка за данни от тип точка до точка. В идеялният случай, човек иска да си комуникира с даден хост, независимо от типа мрежа, която физически е свързан. При големи инсталации обикновенно има редица отделни мрежи, които трябва да бъдат свързани по някакъв начин. Примерно една катедра по математика може да работи с две Ethernet мрежи: една с бързи машини за преподавателите и асистентите и друга с бавни машини за студентите.

Тази връзка се осъществява от посветен хост, наречен шлюз (gateway), който обработва входящите и изходящите пакети, като ги копира между двете Ethernet мрежи и оптичния FDDI кабел. Ако например, някой от математическата катедра иска да достигне до quark от локалната мрежа на катедрат по информатика от машина с Linux, мрежовият софтуер няма да изпрати пакети директно към quark, тъй като той не е от същата Ethernet мрежа. Поради това той трябва да разчита на шлюза, който служи за ретранслатор. След това шлюзът (наречен sophus) препраща тези пакети към еквивалентния шлюз niels от факултета по информатика, използвайки опорната мрежа, а niels ги доставя до търсената машина.

Тази схема на насочване на данните към отдалечен хост се нарича маршрутизиране, а в този контекст, пакетите често се наричат дейтаграми. За да се улеснят нещата, обмяната на дейтаграми се управлява от един протокол, кой­то не зависи от използвания хардуер: IP, или Internet Protocol (Интернет про­токол). Основната полза от IP е, че той кара различните физически мрежи да изглеж­дат като една еднородна мрежа. Оттам идва и терминът „интермрежа", а ре­зултатът се нарича интернет (от internetwork). Има разлика между „една интернет мрежа" и „Мрежата Интернет". Второто е официалното име на една определена глобална интернет мрежа.

IP, разбира се, също изисква схема за адресиране, която да не зависи от хар­дуера. Това се постига като на всеки хост се присвои уникален 32-битов но­мер, наречен „IР адрес''. IP адресът обикновено се изписва като четири десе­тични числа, по едно за всяка 8-битова част, разделени с точки. Този формат се нарича още точково десетично представяне, а понякога и четворно точково представяне. Все по-често се използва и името IPv4 (от Internet Protocol, версия 4), тъй като новият стандарт IPv6 предлага много по-гъвкаво адресиране, както и други по-съвременни възможности. Както забелязвате, вече имаме три различни вида адреси: първо е името на хоста, например quark, след това идва IP адресът, и накрая - хардуерният адрес, например 6-байтовия Ethernet адрес.

Въздействието на една атака срещу сигурността зависи от това каква система и каква инфирмация са подложени на риск. Загубата на ключов сървър вляе на много потребители, докато загубата на настолен клиент може да повлияе само на един потребител. Макар че нашите усилия трябва да са насочени към защитата на нещета, които са важни, всяка система изисква някакво ниво на защита. Пробивът в една малка незначителна система може да завърши с излагане на риск на цялата система.

1. 
   Заплахи за сигурноста на данните- Това е неоторизирано разкриване на секретни данни, което може да бъде приченено от задаването на неправилни позволения за файлове, неправилно задаване на root привелегии на някого или допускане на кражба на данни директно по линията.
   
2. 
   Заплахи за целостта на данните – Тук се включва неоторизирано модифициране на данни, което може да бъде приченено от използването на неправилни позволения за файлове или от някой, неправилно получил привелегии на root. Това е често срещана заплаха за Web сървари, при която нарушителите променят данните по очебиен начин и поставят институции в неудобно положение. Но една по-коварна заплаха е възможността за неуловими модификации на данните, които имат за цел да подкопаят репутацията на организацията. След като дадена система е пострадала от неоторизиран достъп, всички файлове на системата стават предмет на съмнение.
   
3. 
   Заплахи за сигурността на данните – Тези атаки нарушават легитимният достъп на данните. Ако файловете са защитени неправилно или нарушител получи root достъп, файловете могат да бъдат изтрити. Вандали могат също да проведат атакa Denial of Service, за да претоварят сървара, блокирайки достъпа до нашите данни , когато са ни необходими.
   

Заплахите от мрежата, които водят до тези проблеми с данни, са следните:

1. 
   Неоторизиран достъп – Това е всеки случай когато някой, които не трябва да има достъп до нашата система, получи възможност да осъществи достъп до нея без позволение.
   
2. 
   Отказ на услуга – Всяка атака, чието предназначение е не някой да придобие достъп до нашата система, а да бъдем възпрепяствани да използваме системата.
   

За да защитите една система трябва да познавате нейните уязвими страни. Повечето нарушители влизат в системата през известни пролуки в системният софтуер. Най-важното нещо което трябва да се направи, за да се подобри сигурността на системата, е да затеорите пролуките, като се инсталираме обновяванията на сигурността веднага след тяхното появяване. Уязвимите страни не са ограничени само до ядрото на Linux. Всъщност повечето от уязвимите страни, които се използват от нарушителите, възникват в мрежовият софтуер, които се изпълнява от нашата Linux система. За да обновим софтуера, трябва да знаем какво трябва да бъде обновено и къде да го намерим. Съветниците по сигурността обикновенно описват проблема и ни указват вярното решение, често те посочват правилната поправка за софтуера. Можем да намил бремето на постоянното следене за обновяване на софтуера, като премахнем целият софтуер, от които не се нуждаем.

1. 
   Забранете демоните от конфикурацията на inetd или xinetd. Повечето мрежови услуги се стартират с помща на inetd или xinetd, които стартират само услуги изброени в техните конфигурационни файлове. Забраняването на конкретна мрежова услуга в конфигурционнияфайл не допуска използването и от външни лица, но не блокира използването и от останалите клиенти по изходящите конекции. Оттук ако ftp е забранено в inetd.conf потребиелят пак може да осъществява ftp до отдличени сайтове, но никой от отдаличения сайт не може да използва ftp, за да влезе в настолната система на птребителя. За да забраним дадена услуга във файла inetd.сonf трябва да поставим знак диез в началото на нейният запис. За да забраним на xinetd да стартира дадена услуга трябва да зададем периметъра disable = yes в конфигурацията на xinetd на тази услуа.
   
2. 
   Премахнете скриптовете , които стартират ненужни демони при начално зареждне – Някой демони за мрежови услуги например sendmail и named, се стартират п време на началното зареждане. Трябва да използваме tksysv или chkconfig, за да премахнем нежеланите демони от началното зареждане. Мрежовите демони не са единственият непотребен софтуер, а клиентите не са единствените мишени. Непотребният софтуер на един сървър може също да отвори дупка за нарушиели.
   
3. 
   
   

Другият начин за ограничаване на софтуера е да го примахнем когато го инсталираме. Например за да премахнем IMAP от системата с rpm, можем да ъведем rpm –e imap-2000c-15.

Освен с инсталиране на най-новият софтуер и премахване на непотребния софтуер, трябва да осигурим досстъп до софтуера и услугите, изълнявани от нашата система, само натези системи, на които реално искаме да служим като сървър. Linux прави това просто като осигурява механизми за контрол на достъпа. Системите, които използват inetd, могат да контролират достъпа чрез софтуера tcpd. Системите, които изолзват xinetd, могат да използват възможностите за контрол на достпа включително в xinetd. А всички системи с ядро Linux 2.4 могат да използват iptables за ограничаване на достъпа.

Софтуера tcpd осигурява обвивката на TCP и се изпълнява от inetd. Той е неделима част от повечето Linux дистрибуции, които използват inetd. Използванто на tcpd на Linux система е по-лесно от това на много други системи, защото записите в файла inetd.сonf вече сочат към програмата tcpd. Програмата tcpd изпълнява две основни функции: запис в дневника за заявки за Интернет услуги и осигурява механизъм за контрол на достъпа до тези услуги. Записване в дневника на заявките за конкретни мрежови услуги е полезна функция за наблюдение, особено ако следим за взможни нарушители. Tcpd използва източника authpriv на syslogd, за да записва в дневник своите съобщения. Ако записа на дневник беше всичко, което прави tcpd щеше да бъде просто един полезен пакет. Но истинскта мощ на този полезен инструмент е неговата способност да контролира достъпа до мрежовите услуги.

1. 
   Файлът hosts.allow съдържа списък на хостове, на които е разрешен достъп до услугите на системата.
   
2. 
   Файлът hosts.deny съдържа списка на хостове, на които услугата е отказана.
   

Ако тези хостове не бъдат намерени, tcpd разрешава достъп на всеки хост и просто записва в дневника заявката за достъп. Когато файловета са налични, tcpd първо чете файла hosts.allow и след това чете файла hosts.deny. програмата спира веднага след като открие съвпаение на хоста и въпросната услуга. Следователно, достъпът даден от hosts.allow, не може да бъде отменен от hosts.deny. по тази причина често hosts.allow, срещано в практиката е да се започне първо с вмъкване на запис в hosts.deny, което отказва всякакъв достъп на всички системи, и след това да се продължава с поставяне на записи в файла hosts.аllow, които позволяват достъп само на тези системи, които реално трябва да получат услуги. Форматът на записите и в двата файла е един и същ:

услуги : клиенти [ : shell-команда]

услуги е разделен със запетаи списък на мрежови услги или ключовата дума ALL. ALL означава всички мрежови услуги. В противен случай всяка мрежова услуга се идентифицира с името на нейният процес, което е името, следващо следващо непсредствено след пътя до tcpd във файла inetd.сonf . например името на процес в следният запис във файла inetd.сonf е imapd:

imap stream tcp nowait root /usr/sbin/tcpd imapd

клиенти представлява разделен със запис списк на имена хостове, имена на домейни, мрежови номера и ключовата дума LOCAL. Като алтернатива, може да се зададе ключовата дума ALL. ALL съответсва на всички имена на хостове и адреси; LOCAL съотвества на всички имена на хостове, които не включват част от името на домейн. Име на хост съответства на отделен хост. Ако дефинираме самостоятелен IP адрес, той съответства на конкретен хост, а ако го дефинираме с адресна маска, то съответства на обхват от адреси. Едно име на домейн започва с точка ( . ) и съответства на всеки хост в тзи домейн. Един мрежов номер завршва с точка и съответства на всеки IP адрес в дресното пространство на мрежата.

shell-команда е незадължителна шел-команда, която tcpd изпълнява при срещане на съответствие. При съответствие с tcpd записа в дневника достъпа, дава или отказва достъп до услугата и след това подава командата на шела за изпълнение. Командата на шела ни позволява да дефинираме доплнителна обработка, която се стартира при съвпадение в списъка за контрол на достъп. Тази възможност се използва във файла hosts.deny за събиране на още информация за нарушителя или за осигуряване на незабавно уведомление на сиситемният администратор за потенциална атака срщу сигурността.

За да контролираме достъпа до услугите, които се стартират от стартови скриптове и които не четат конфигурационния файл на tcpd, трябва да използваме защитна стена на IP в Linux.

Мислим, си че знаем какво е зашитна стена, докато не се задълбочим в детайлите. В общият смисъл защитната стена ( firewall ) е сиситема, която защиава локалната мрежа от голямата лоша глоблна мрежа. Тя е страж, през които трябва да преминава целият мрежов трафик, преди да влезе или излезе през локалната мрежа. В нейото най-просто изплнение защитната е филтриращ маршрутизатор, които оставя нежеланият трафик. А в нейната най-сложна имплементация, тя е цяла мрежа с множество маршрутизатори и множество сървъри.

Linux осигурява инструменти за филтриране на трафика, необходими за създаване на проста защита стена. Комбинирането на възможностите на Linux с възможностите за филтриране на iptables създава филтриращ маршрутизатор. Наред с това, и което е по-често срещано, софтуера iptables може да бъде изолзван за филтриране на трафик, който пристига на мрежовият интерфейс на един Linux сървър преди този трафик да бъде подаден към мржовите приложения, изпълнявани на този сървър. Това дава на Linux възможността да изгради защитна стена в самият сървър, което осигурява контрол на достъпа за всички възможнимрежови услуги.

1. 
   Входящ за защитната стена – входящият трафик се проверява според входите правила на защитната стена, преди да бъде приет.
   
2. 
   Изходящ за защитната стена – изходящият трафик се проверява според правилата на защитната стена, преди да бъде изпраен.
   
3. 
   Трафик за препращане – трафикът препращан през Linux системата, се проверяа според правилата за препращае на защитнта стена.
   

Тадиционните пароли в Unix не са по-дълги от осем знака и се предават по мрежата като прав текст. Освен това тези пароли се съхранват във файла / etc/password, които може да бъде прочетен от всеки. Всички тези неща представляват проблеми за сигурността.

Ограничаването на паролите до осем знака ограничава възможностите избор на потребителя и улеснява организирането на атака за декрептиране по метода на грубата сила. MD5 паролите могат да бъдат дълги до 256 знака. Затова е препоръчителн тя да се инсталира.

Независимо колко е дълга паролат потебителят може да избере лоша такава. Лошата парола е парола, която лесно може да бъде разгадана.

• 
  Изплзвайте смесица от числа, специални знакове и комбинация от главни и малки букви.
  
• 
  Използвайте най-малко осем знака.
  
• 
  Използвайте привидно случайна селекция от букви и числа, която е лесна за запмняне, например първата буква от всяка дума е ред от книга, песен или стихотворение.
  
• 
  Не използвайте името на човек или животно.
  
• 
  Не използвайте дума на англййски или друг чужд език, нито съкращение.
  
• 
  Не използвайте никаква информация, асоциирана с акаунта.
  
• 
  Не използвайте лесни клавищни комбинации.
  
• 
  Не изпозайте парола съставена само от цифри.
  
• 
  Не използвайте примерна парола, която сте взели от книга за компютърна сигурност, независимо колко е добра.
  

Дори когато се използва добро криптиране за паролите, съхранявани във файла passwd, ако паролите са избрани лошо, те са уязвими за речникова атака. Най-обрият начин да избегнем този проблем е да съхраним криптираните пароли във файл, който не може да бъде четен от всеки.

Файлът със скрити пароли може да бъде прочетен само root. Той няма позволения за “групата” или “останалите”. Предназначен е да не допусне обикновенни потребители да четат криптираните пароли и да ги подлага на речникова атака. Освен, че подобрява сигурността на паролите, файлът за скрити пароли осиурява на системният администратор някой възможности за управление на паролите. Освен, че съхранява паролите shadow файлът подържа време на живот за всяка парола и уведомява потребителя да я промени, когато тя приближи края на своят живот. Ако паролата не бъде променена, потребителя бива блокиран и не може да ползва своя акаунт.