Savienojam attālinātus tīklus?
Savienojam attālinātus tīklus
Lēmumi, kas saistīti ar drošību,
parasti tiek balstīti uz kādiem fundamentāliem
pieņēmumiem. Lēmumu efektivitāte savukārt ir
atkarīga no šiem pieņēmumiem. Ja pieņēmumi ir
kļūdaini, tas var tieši tikpat fundamentāli apdraudēt
pašu drošības būtību. Viens no šādiem
pieņēmumiem ciparu nomātā līnija (CNL) pēc
savas būtības un uzbūves ir droša!
Uzņēmumam vai iestādei, kurai vienotā
datortīklā jāsavieno galvenā mītne ar filiāli vai
pārstāvniecību, par piemērotāko risinājumu
mēdz izvēlēties tieši ciparu nomātās
līnijas. To nosaka ciparu kanālu plašā pieejamība,
stabilitāte un drošība. Lēmums datu
pārraidīšanai izvēlēties CNL bieži vien ir
balstīts uz pieņēmumu, ka komunikācijas būs
drošas un konfidenciālas un ka līnija nebūs sasniedzama no ļaunā
interneta. Tātad, iespējams, šis aspekts vien jau liecina par
izvēlētā datu kanāla konfidencialitāti. Bet vai
šo pieņēmumu varam uzskatīt par drošu faktu?
Privātais nomātais kanāls
Nomātā līnija ir sakaru kanāls ar
noteiktu datu caurlaides plūsmu (vienā gabalā līdz 2
Mbit/s), kuru pakalpojuma sniedzējs rezervē iznomātājam.
Tātad it kā varētu šķist, ka kanāls no viena
punkta līdz otram ir viens vesels vada gabals, kurš ekskluzīvi
ir iznomātāja rīcībā no punkta A līdz
punktam B.
Vislabākais privātas sarunas vai kanāla
piemērs ir divu cilvēku saruna aci pret aci. Protams, iespēja,
ka kāds šo sarunu noklausīsies, pastāv, taču
tādā gadījumā sarunai var izvēlēties
privātāku vietu. Ja sarunas partneru distance palielinās,
samazinās arī sarunas konfidencialitāte. Tieši šo
situāciju izdevās daļēji atrisināt, pateicoties
Aleksandra Bella (Alexander Bell) veiktajai pirmajai telefona sarunai
tālajā 1876. gadā. Šo pirmo sarunu varam droši
uzskatīt par pirmo point-to-point sakaru līniju, kura
pilnīgi noteikti bija tikai abu sarunas partneru rīcībā.
Līdz laikam, kad pieprasījums pēc
privātiem datu tīkliem sāka veidoties, telekomunikāciju
tīkli jau bija izveidoti, pilnveidoti un nobrieduši. Lai
apmierinātu pieprasījumu pēc datu pārraides pakalpojumiem,
telekomunikāciju sistēmas tika pielāgotas un apaudzētas ar
jaunām un modernākām tehnoloģijām, kas sniedza
multipleksēšanas, slodzes dalīšanas un citas iespējas.
Taču arī datu pakalpojumu pamatā ir un
paliek esošā telekomunikāciju struktūra. Pateicoties tehnoloģiju
sniegtajām iespējām, pakalpojumu sniedzēji var klientiem
piedāvāt dažādus modernus un pieprasītus datu
pārraides pakalpojumus. Taču, kad izvēlamies droši savienot
divus punktus, nedrīkst aizmirst par drošību.
CNL izvēle
CNL pamatā var tikt apdraudēts divos
nozīmīgākajos veidos: līnijā Pakalpojuma atteikums
(Denial of Service jeb DOS) un pārraidītās
informācijas pārtveršana (nozagšana). Sakaru līnija
var tikt nejauši sabojāta, piemēram, celtniecības vai
remonta laikā. To var arī pārgriezt ar īpašu nolūku.
Ja plūsmas pārrāvuma dēļ kāda noliktavas
datubāze novēloti saņem datubāzes atjauninājumu no
kādas filiāles, zaudējumi uzņēmumam diez vai
radīsies, taču, ja pārrāvuma rezultātā
neieslēgsies kāda svarīga apziņošanas vai trauksmes
reakcija, zaudējumi var būt ievērojami.
Pakalpojuma atteikuma situācijas ir pārskatāmas un
pamanāmas, bet informācijas nozagšana var arī palikt
nepamanīta. Ja kāds ļaundaris ir spējis pārtvert un
nozagt pārraidīto informāciju, nepārtraucot sistēmas
darbību, iespējams, ka par to neuzzināsit nemaz vai arī
uzzināsit novēloti. Kad kāds noslēpums ir kļuvis
zināms, padarīt to atkal par noslēpumu vairs nav iespējams!
Riska apzināšana
Kad pārraidāmās informācijas saturs ir
patiesi konfidenciāls, akla uzticēšanās ciparu
nomātajām līnijām (CNL) tomēr nebūtu ieteicama.
Ja pieņemam, ka zaudējumi, kas rastos uzbrukuma (kanāla
pārrāvuma) gadījumā ir aprēķināmi, tad riska
cenu varētu noteikt, pareizinot šo zaudējumu summu ar
iespējamo uzbrukumu skaitu. Taču konfidenciālas
informācijas nozagšanas vai komunikāciju
noklausīšanās gadījumā noteikt zaudējumu
apmēru, kā arī šādu gadījumu biežumu var
būt apgrūtinoši. Riska cenu noteikt var būt ļoti
grūti, jo zaudējumi noklausīšanās
gadījumā var būt milzīgi, bet iespēja, ka tas
notiks vienu vai vairākas reizes, ir neliela.
Konfidencialitātes riska cenas noteikšanu
apgrūtina dažādi apstākļi, kas neļauj
pienācīgi apzināt un izvērtēt sekošo:
komunikācijā iesaistīto iekārtu
uzticamību,
komunikāciju komponentus, kas ir trešo pušu
pārraudzībā,
motivāciju attiecīgā sakaru kanāla
kompromitēšanai,
reālu statistiku par līdzīgiem
atgadījumiem,
uzbrukumus, kas palikuši nepamanīti.
Riska samazināšana
Kad esam apzinājuši riska cenu vai
iespējamo zaudējumu apmēru, varam to salīdzināt ar
tā samazināšanas izmaksām. Taču šāda riska
analīze var būt ļoti darbietilpīga un dārga. Situācijās,
kad iespējamie zaudējumu apmēri būtu ievērojami un
šīs pašas iespējamības samazināšanas
izmaksas ir zemas, uzņēmums varētu pieņemt lēmumu
ieviest riska samazināšanas pasākumus bez formālas un
padziļinātas riska faktoru izpētes.
Divpunktu šifrēšana (Pooint-to-Point
Encryption)
Viens no populārākajiem lēmumiem riska
samazināšanā ir sakaru kanālu šifrēšana.
Ja uzņēmuma specifika ir pārraidīt konfidenciālu
informācijas plūsmu no punkta A uz punktu B,
ieviešot pastāvīgu šī savienojuma
šifrēšanu, uzņēmums panāktu visaugstāko
drošības līmeni. Šādi, neatkarīgi no
iesaistīto pušu daudzuma (telekomunikāciju pakalpojuma
sniedzēja, līnijas iznomātāja lokāli un starptautiski),
uzņēmums nodrošinātu privātu šifrēšanas
kanālu, piemēram, ar savu filiāli, pārstāvniecību
vai sadarbības partneri, kas būtu tikpat drošs kā saruna ar
to vienā telpā, turklāt drošā telpā.
Komunikācija nebūtu pārtverama,
noklausāma vai sagrozāma. Arī sakaru pārtraukšanas
gadījumā par to tiktu nekavējoties veikti ieraksti
žurnālā, un sakari tiktu atjaunoti tikai pēc abu sakaru
punktu A un B integritātes pārbaudes.
Informāciju, kas pārraidāma starp
divām pusēm caur CNL, šifrēšanas iekārta ar
sarežģītu kriptogrāfijas algoritmu palīdzību
aizšifrē, izmantojot 128, 256 vai līdz pat 1024 bitu garas kripto
atslēgas. Ļoti svarīgs drošības faktors
šādā situācijā ir tas, ka pati atslēga
komunikācijas straumē netiek pārsūtīta
salīdzināšanai. Pretējā gadījumā,
pārtverot šifrēto datu plūsmu, tas dotu lielas
priekšrocības tās atkodēšanai.
Kriptogrāfijas iekārtas
Kriptogrāfijas iekārtas plašos
privātajos tīklos ir bieži sastopamas kā parasta tīkla
uzbūves sastāvdaļa, tiesa gan, Latvijā uzmanību
privāto tīklu drošībai velta samērā maz.
Biežāk privāto tīklu uzbūvē lieto programmatūras
līmeņa aizsardzību, kas parasti ir kādas
operētājsistēmas sastāvdaļa vai arī
atsevišķi iegādāta programma. Taču ir nenopietni to
uzskatīt par pietiekamu privātā tīkla aizsardzību. Programma
tomēr ir pārāk netverama un necaurredzama, lai tai uzticētu
svarīgas informācijas pārvadi. Nopietnas datu drošības
labad ieteicams iegādāties kriptogrāfijas aparatūru, kura
nodrošinātu datu drošību no punkta A uz punktu B.
Ģirts LIEPIŅŠ, speciāli SP
Lēmumi, kas saistīti ar drošību, parasti tiek balstīti uz kādiem fundamentāliem pieņēmumiem. Lēmumu efektivitāte savukārt ir atkarīga no šiem pieņēmumiem. Ja pieņēmumi ir kļūdaini, tas var tieši tikpat fundamentāli apdraudēt pašu drošības būtību. Viens no šādiem pieņēmumiem ciparu nomātā līnija (CNL) pēc savas būtības un uzbūves ir droša!
Uzņēmumam vai iestādei, kurai vienotā datortīklā jāsavieno galvenā mītne ar filiāli vai pārstāvniecību, par piemērotāko risinājumu mēdz izvēlēties tieši ciparu nomātās līnijas. To nosaka ciparu kanālu plašā pieejamība, stabilitāte un drošība. Lēmums datu pārraidīšanai izvēlēties CNL bieži vien ir balstīts uz pieņēmumu, ka komunikācijas būs drošas un konfidenciālas un ka līnija nebūs sasniedzama no ļaunā interneta. Tātad, iespējams, šis aspekts vien jau liecina par izvēlētā datu kanāla konfidencialitāti. Bet vai šo pieņēmumu varam uzskatīt par drošu faktu?
Privātais nomātais kanāls
Nomātā līnija ir sakaru kanāls ar noteiktu datu caurlaides plūsmu (vienā gabalā līdz 2 Mbit/s), kuru pakalpojuma sniedzējs rezervē iznomātājam. Tātad it kā varētu šķist, ka kanāls no viena punkta līdz otram ir viens vesels vada gabals, kurš ekskluzīvi ir iznomātāja rīcībā no punkta A līdz punktam B.
Vislabākais privātas sarunas vai kanāla piemērs ir divu cilvēku saruna aci pret aci. Protams, iespēja, ka kāds šo sarunu noklausīsies, pastāv, taču tādā gadījumā sarunai var izvēlēties privātāku vietu. Ja sarunas partneru distance palielinās, samazinās arī sarunas konfidencialitāte. Tieši šo situāciju izdevās daļēji atrisināt, pateicoties Aleksandra Bella (Alexander Bell) veiktajai pirmajai telefona sarunai tālajā 1876. gadā. Šo pirmo sarunu varam droši uzskatīt par pirmo point-to-point sakaru līniju, kura pilnīgi noteikti bija tikai abu sarunas partneru rīcībā.
Līdz laikam, kad pieprasījums pēc privātiem datu tīkliem sāka veidoties, telekomunikāciju tīkli jau bija izveidoti, pilnveidoti un nobrieduši. Lai apmierinātu pieprasījumu pēc datu pārraides pakalpojumiem, telekomunikāciju sistēmas tika pielāgotas un apaudzētas ar jaunām un modernākām tehnoloģijām, kas sniedza multipleksēšanas, slodzes dalīšanas un citas iespējas.
Taču arī datu pakalpojumu pamatā ir un paliek esošā telekomunikāciju struktūra. Pateicoties tehnoloģiju sniegtajām iespējām, pakalpojumu sniedzēji var klientiem piedāvāt dažādus modernus un pieprasītus datu pārraides pakalpojumus. Taču, kad izvēlamies droši savienot divus punktus, nedrīkst aizmirst par drošību.
CNL izvēle
CNL pamatā var tikt apdraudēts divos nozīmīgākajos veidos: līnijā Pakalpojuma atteikums (Denial of Service jeb DOS) un pārraidītās informācijas pārtveršana (nozagšana). Sakaru līnija var tikt nejauši sabojāta, piemēram, celtniecības vai remonta laikā. To var arī pārgriezt ar īpašu nolūku. Ja plūsmas pārrāvuma dēļ kāda noliktavas datubāze novēloti saņem datubāzes atjauninājumu no kādas filiāles, zaudējumi uzņēmumam diez vai radīsies, taču, ja pārrāvuma rezultātā neieslēgsies kāda svarīga apziņošanas vai trauksmes reakcija, zaudējumi var būt ievērojami.
Pakalpojuma atteikuma situācijas ir pārskatāmas un pamanāmas, bet informācijas nozagšana var arī palikt nepamanīta. Ja kāds ļaundaris ir spējis pārtvert un nozagt pārraidīto informāciju, nepārtraucot sistēmas darbību, iespējams, ka par to neuzzināsit nemaz vai arī uzzināsit novēloti. Kad kāds noslēpums ir kļuvis zināms, padarīt to atkal par noslēpumu vairs nav iespējams!
Riska apzināšana
Kad pārraidāmās informācijas saturs ir patiesi konfidenciāls, akla uzticēšanās ciparu nomātajām līnijām (CNL) tomēr nebūtu ieteicama. Ja pieņemam, ka zaudējumi, kas rastos uzbrukuma (kanāla pārrāvuma) gadījumā ir aprēķināmi, tad riska cenu varētu noteikt, pareizinot šo zaudējumu summu ar iespējamo uzbrukumu skaitu. Taču konfidenciālas informācijas nozagšanas vai komunikāciju noklausīšanās gadījumā noteikt zaudējumu apmēru, kā arī šādu gadījumu biežumu var būt apgrūtinoši. Riska cenu noteikt var būt ļoti grūti, jo zaudējumi noklausīšanās gadījumā var būt milzīgi, bet iespēja, ka tas notiks vienu vai vairākas reizes, ir neliela.
Konfidencialitātes riska cenas noteikšanu apgrūtina dažādi apstākļi, kas neļauj pienācīgi apzināt un izvērtēt sekošo:
komunikācijā iesaistīto iekārtu uzticamību,
komunikāciju komponentus, kas ir trešo pušu pārraudzībā,
motivāciju attiecīgā sakaru kanāla kompromitēšanai,
reālu statistiku par līdzīgiem atgadījumiem,
uzbrukumus, kas palikuši nepamanīti.
Riska samazināšana
Kad esam apzinājuši riska cenu vai iespējamo zaudējumu apmēru, varam to salīdzināt ar tā samazināšanas izmaksām. Taču šāda riska analīze var būt ļoti darbietilpīga un dārga. Situācijās, kad iespējamie zaudējumu apmēri būtu ievērojami un šīs pašas iespējamības samazināšanas izmaksas ir zemas, uzņēmums varētu pieņemt lēmumu ieviest riska samazināšanas pasākumus bez formālas un padziļinātas riska faktoru izpētes.
Divpunktu šifrēšana (Pooint-to-Point Encryption)
Viens no populārākajiem lēmumiem riska samazināšanā ir sakaru kanālu šifrēšana. Ja uzņēmuma specifika ir pārraidīt konfidenciālu informācijas plūsmu no punkta A uz punktu B, ieviešot pastāvīgu šī savienojuma šifrēšanu, uzņēmums panāktu visaugstāko drošības līmeni. Šādi, neatkarīgi no iesaistīto pušu daudzuma (telekomunikāciju pakalpojuma sniedzēja, līnijas iznomātāja lokāli un starptautiski), uzņēmums nodrošinātu privātu šifrēšanas kanālu, piemēram, ar savu filiāli, pārstāvniecību vai sadarbības partneri, kas būtu tikpat drošs kā saruna ar to vienā telpā, turklāt drošā telpā.
Komunikācija nebūtu pārtverama, noklausāma vai sagrozāma. Arī sakaru pārtraukšanas gadījumā par to tiktu nekavējoties veikti ieraksti žurnālā, un sakari tiktu atjaunoti tikai pēc abu sakaru punktu A un B integritātes pārbaudes.
Informāciju, kas pārraidāma starp divām pusēm caur CNL, šifrēšanas iekārta ar sarežģītu kriptogrāfijas algoritmu palīdzību aizšifrē, izmantojot 128, 256 vai līdz pat 1024 bitu garas kripto atslēgas. Ļoti svarīgs drošības faktors šādā situācijā ir tas, ka pati atslēga komunikācijas straumē netiek pārsūtīta salīdzināšanai. Pretējā gadījumā, pārtverot šifrēto datu plūsmu, tas dotu lielas priekšrocības tās atkodēšanai.
Kriptogrāfijas iekārtas
Kriptogrāfijas iekārtas plašos privātajos tīklos ir bieži sastopamas kā parasta tīkla uzbūves sastāvdaļa, tiesa gan, Latvijā uzmanību privāto tīklu drošībai velta samērā maz. Biežāk privāto tīklu uzbūvē lieto programmatūras līmeņa aizsardzību, kas parasti ir kādas operētājsistēmas sastāvdaļa vai arī atsevišķi iegādāta programma. Taču ir nenopietni to uzskatīt par pietiekamu privātā tīkla aizsardzību. Programma tomēr ir pārāk netverama un necaurredzama, lai tai uzticētu svarīgas informācijas pārvadi. Nopietnas datu drošības labad ieteicams iegādāties kriptogrāfijas aparatūru, kura nodrošinātu datu drošību no punkta A uz punktu B.
Ģirts LIEPIŅŠ, speciāli SP