Darmowy fragment publikacji:
Tytuł oryginału: Business Data Communications and Networking, 13th Edition
Tłumaczenie: Andrzej Grażyński
ISBN: 978-83-283-5767-9
Copyright © 2017, 2015, 2012, 2009, 2007 John Wiley Sons, Inc.
All rights reserved.
All Rights Reserved. This translation published under license with the original publisher John Wiley
Sons, Inc.
Translation copyright © 2020 by Helion SA.
No part of this publication may be reproduced, stored in a retrieval system, or transmitted in any form or
by any means, electronic, mechanical, photocopying, recording, scanning, or otherwise without either the
prior written permission of the Publisher.
Wszelkie prawa zastrzeżone. Nieautoryzowane rozpowszechnianie całości lub fragmentu niniejszej
publikacji w jakiejkolwiek postaci jest zabronione. Wykonywanie kopii metodą kserograficzną,
fotograficzną, a także kopiowanie książki na nośniku filmowym, magnetycznym lub innym powoduje
naruszenie praw autorskich niniejszej publikacji.
Wszystkie znaki występujące w tekście są zastrzeżonymi znakami firmowymi bądź towarowymi ich
właścicieli.
Autor oraz Helion SA dołożyli wszelkich starań, by zawarte w tej książce informacje były kompletne
i rzetelne. Nie biorą jednak żadnej odpowiedzialności ani za ich wykorzystanie, ani za związane z tym
ewentualne naruszenie praw patentowych lub autorskich. Autor oraz Helion SA nie ponoszą również
żadnej odpowiedzialności za ewentualne szkody wynikłe z wykorzystania informacji zawartych w książce.
Helion SA
ul. Kościuszki 1c, 44-100 Gliwice
tel. 32 231 22 19, 32 230 98 63
e-mail: helion@helion.pl
WWW: http://helion.pl (księgarnia internetowa, katalog książek)
Drogi Czytelniku!
Jeżeli chcesz ocenić tę książkę, zajrzyj pod adres
http://helion.pl/user/opinie/przd13
Możesz tam wpisać swoje uwagi, spostrzeżenia, recenzję.
Printed in Poland.
• Kup książkę
• Poleć książkę
• Oceń książkę
• Księgarnia internetowa
• Lubię to! » Nasza społeczność
SPIS TRE(cid:165)CI
O autorach ...................................................................................................................................................................13
Przedmowa ..................................................................................................................................................................15
(cid:81) CZ(cid:125)(cid:165)(cid:109) PIERWSZA: WPROWADZENIE
ROZDZIA(cid:146) 1
Wprowadzenie do komunikacji danych
19
1.1. Wstęp .....................................................................................................................................................................20
1.2. Sieci komunikacji danych ...................................................................................................................................22
1.2.1. Komponenty sieci .....................................................................................................................................25
1.2.2. Typy sieci ...................................................................................................................................................26
1.3. Modele sieci ..........................................................................................................................................................28
1.3.1. Model referencyjny OSI ...........................................................................................................................28
1.3.2. Model internetowy ...................................................................................................................................31
1.3.3. Transmisja komunikatu przez warstwy ................................................................................................32
1.3.4. Zalety i wady modelu warstwowego ......................................................................................................35
1.4. Standardy sieciowe ..............................................................................................................................................36
1.4.1. Znaczenie standardów .............................................................................................................................36
1.4.2. Proces standaryzacyjny ............................................................................................................................36
1.4.3. Powszechne standardy .............................................................................................................................39
1.5. Trendy przyszłościowe .......................................................................................................................................40
1.5.1. Bezprzewodowe sieci LAN i BYOD .......................................................................................................40
1.5.2. Internet rzeczy ...........................................................................................................................................41
1.5.3. Masywność online ....................................................................................................................................43
1.6. Implikacje dla cyberbezpieczeństwa .................................................................................................................44
Poleć książkęKup książkę6 Spis tre(cid:258)ci
(cid:81) CZ(cid:125)(cid:165)(cid:109) DRUGA: FUNDAMENTALNE KONCEPCJE
ROZDZIA(cid:146) 2
Warstwa aplikacyjna
55
2.1. Wstęp .....................................................................................................................................................................56
2.2. Typy architektur aplikacji ..................................................................................................................................56
2.2.1. Architektura z centralnym hostem ........................................................................................................58
2.2.2. Architektura kliencka ...............................................................................................................................59
2.2.3. Odmiany architektury klient-serwer .....................................................................................................60
2.2.4. Architektury chmurowe ..........................................................................................................................64
2.2.5. Architektura peer-to-peer .......................................................................................................................67
2.2.6. Wybór właściwej architektury ................................................................................................................68
2.3. Sieć Web ................................................................................................................................................................69
2.3.1. Tak działa sieć Web ..................................................................................................................................69
2.3.2. Wewnątrz żądania HTTP ........................................................................................................................71
2.3.3. Wewnątrz odpowiedzi HTTP .................................................................................................................72
2.4. Poczta elektroniczna ...........................................................................................................................................74
2.4.1. Tak działa poczta elektroniczna .............................................................................................................74
2.4.2. Wewnątrz pakietu SMTP ........................................................................................................................79
2.4.3. Załączniki i MIME ....................................................................................................................................79
2.5. Inne aplikacje .......................................................................................................................................................80
2.5.1. Telnet ..........................................................................................................................................................80
2.5.2. Komunikatory internetowe .....................................................................................................................80
2.5.3. Wideokonferencje .....................................................................................................................................82
2.6. Implikacje dla cyberbezpieczeństwa .................................................................................................................85
ROZDZIA(cid:146) 3
Warstwa fizyczna
97
3.1. Wstęp .....................................................................................................................................................................98
3.2. Obwody .............................................................................................................................................................. 100
3.2.1. Konfigurowanie obwodu ...................................................................................................................... 100
3.2.2. Przepływ danych .................................................................................................................................... 101
3.2.3. Multipleksowanie ................................................................................................................................... 102
3.3. Nośniki transmisyjne ....................................................................................................................................... 106
3.3.1. Skrętka ..................................................................................................................................................... 106
3.3.2. Kabel koncentryczny ............................................................................................................................. 107
3.3.3. Światłowód .............................................................................................................................................. 107
3.3.4. Radio ........................................................................................................................................................ 109
3.3.5. Mikrofale ................................................................................................................................................. 110
3.3.6. Satelity ..................................................................................................................................................... 111
3.3.7. Wybór nośnika ....................................................................................................................................... 112
Poleć książkęKup książkę
Spis tre(cid:258)ci 7
3.4. Cyfrowa transmisja danych cyfrowych ......................................................................................................... 113
3.4.1. Kodowanie .............................................................................................................................................. 114
3.4.2. Tryby transmisji ..................................................................................................................................... 115
3.4.3. Transmisja cyfrowa ............................................................................................................................... 116
3.4.4. Transmisja danych przez ethernet ...................................................................................................... 118
3.5. Analogowa transmisja danych cyfrowych .................................................................................................... 119
3.5.1. Modulacja ............................................................................................................................................... 120
3.5.2. Przepustowość obwodu ........................................................................................................................ 122
3.5.3. Transmisja modemowa ......................................................................................................................... 123
3.6. Cyfrowa transmisja danych analogowych .................................................................................................... 124
3.6.1. Digitalizacja sygnału .............................................................................................................................. 124
3.6.2. Rozmowy telefoniczne .......................................................................................................................... 126
3.6.3. Komunikatory internetowe .................................................................................................................. 127
3.6.4. VoIP ......................................................................................................................................................... 127
3.7. Implikacje dla cyberbezpieczeństwa .............................................................................................................. 128
ROZDZIA(cid:146) 4
Warstwa (cid:239)(cid:200)cza danych
141
4.1. Wstęp .................................................................................................................................................................. 142
4.2. Sterowanie dostępem do nośnika ................................................................................................................... 143
4.2.1. Rywalizacja .............................................................................................................................................. 143
4.2.2. Nadzorowany dostęp ............................................................................................................................. 143
4.2.3. Porównanie metod ................................................................................................................................ 144
4.3. Kontrola błędów ............................................................................................................................................... 145
4.3.1. Źródła błędów ........................................................................................................................................ 146
4.3.2. Zapobieganie błędom ............................................................................................................................ 148
4.3.3. Wykrywanie błędów .............................................................................................................................. 149
4.3.4. Retransmisja pakietu ............................................................................................................................. 151
4.3.5. Progresywna korekcja błędów ............................................................................................................. 151
4.3.6. Kontrola błędów w praktyce ................................................................................................................ 153
4.4. Protokoły warstwy łącza danych .................................................................................................................... 154
4.4.1. Transmisja asynchroniczna .................................................................................................................. 154
4.4.2. Transmisja synchroniczna .................................................................................................................... 155
4.5. Efektywność transmisji .................................................................................................................................... 159
4.6. Implikacje dla cyberbezpieczeństwa .............................................................................................................. 162
ROZDZIA(cid:146) 5
Warstwy sieciowa i transportowa
173
5.1. Wstęp .................................................................................................................................................................. 174
5.2. Protokoły warstw transportowej i sieciowej ................................................................................................. 176
5.2.1. TCP — protokół sterowania transmisją ............................................................................................. 177
5.2.2. IP — protokół internetowy .................................................................................................................. 177
Poleć książkęKup książkę8 Spis tre(cid:258)ci
5.3. Funkcje warstwy transportowej ..................................................................................................................... 180
5.3.1. Łączność z warstwą aplikacyjną ........................................................................................................... 180
5.3.2. Segmentacja ............................................................................................................................................ 181
5.3.3. Zarządzanie sesjami ............................................................................................................................... 182
5.4. Adresowanie ...................................................................................................................................................... 187
5.4.1. Przydzielanie adresów ........................................................................................................................... 188
5.4.2. Rozwiązywanie adresów ....................................................................................................................... 195
5.5. Trasowanie ........................................................................................................................................................ 198
5.5.1. Typy trasowania ..................................................................................................................................... 200
5.5.2. Protokoły trasowania ............................................................................................................................ 202
5.5.3. Multicast .................................................................................................................................................. 206
5.5.4. Anatomia routera .................................................................................................................................. 207
5.6. Przykładowa sieć TCP/IP ................................................................................................................................ 209
5.6.1. Przypadek nr 1 — znane adresy .......................................................................................................... 211
5.6.2. Przypadek nr 2 — nieznane adresy ..................................................................................................... 213
5.6.3. Połączenia TCP ...................................................................................................................................... 214
5.6.4. TCP/IP a warstwy modelu sieciowego ............................................................................................... 215
5.7. Implikacje dla cyberbezpieczeństwa .............................................................................................................. 217
(cid:81) CZ(cid:125)(cid:165)(cid:109) TRZECIA: TECHNOLOGIE SIECIOWE
ROZDZIA(cid:146) 6
Projektowanie sieci
241
6.1. Wstęp .................................................................................................................................................................. 242
6.1.1. Komponenty architektoniczne sieci .................................................................................................... 242
6.1.2. Tradycyjny styl projektowania ............................................................................................................. 244
6.1.3. Projektowanie modułowe ..................................................................................................................... 246
6.2. Analiza wymagań .............................................................................................................................................. 248
6.2.1. Podział sieci na komponenty architektoniczne ................................................................................. 249
6.2.2. Aplikacje w sieci ..................................................................................................................................... 251
6.2.3. Użytkownicy sieci .................................................................................................................................. 251
6.2.4. Kategoryzacja wymagań ....................................................................................................................... 252
6.2.5. Dokumenty ............................................................................................................................................. 252
6.3. Projektowanie technologiczne ........................................................................................................................ 254
6.3.1. Projektowanie klientów i serwerów .................................................................................................... 254
6.3.2. Projektowanie obwodów ...................................................................................................................... 254
6.3.3. Narzędzia wspomagające projektowanie sieci ................................................................................... 257
6.3.4. Dokumenty ............................................................................................................................................. 258
6.4. Szacowanie kosztów ......................................................................................................................................... 258
6.4.1. RFP — prośba o złożenie oferty .......................................................................................................... 258
6.4.2. Prezentacja na forum zarządu .............................................................................................................. 260
6.4.3. Dokumenty ............................................................................................................................................. 260
6.5. Implikacje dla cyberbezpieczeństwa .............................................................................................................. 260
Poleć książkęKup książkę
ROZDZIA(cid:146) 7
Sieci lokalne — przewodowe i bezprzewodowe
Spis tre(cid:258)ci 9
267
7.1. Wstęp .................................................................................................................................................................. 268
7.2. Komponenty sieci LAN ................................................................................................................................... 269
7.2.1. Karty sieciowe ........................................................................................................................................ 270
7.2.2. Obwody sieciowe ................................................................................................................................... 270
7.2.3. Koncentratory, przełączniki i punkty dostępowe ............................................................................. 272
7.2.4. Sieciowe systemy operacyjne ............................................................................................................... 276
7.3. Ethernet przewodowy ...................................................................................................................................... 277
7.3.1. Topologia ................................................................................................................................................ 278
7.3.2. Sterowanie dostępem do nośnika ........................................................................................................ 281
7.3.3. Typy ethernetu ....................................................................................................................................... 282
7.4. Ethernet bezprzewodowy ................................................................................................................................ 283
7.4.1. Topologia ................................................................................................................................................ 284
7.4.2. Sterowanie dostępem do nośnika ........................................................................................................ 284
7.4.3. Format ramki bezprzewodowej ........................................................................................................... 286
7.4.4. Typy bezprzewodowego ethernetu ..................................................................................................... 286
7.4.5. Bezpieczeństwo ...................................................................................................................................... 288
7.5. Zalecane praktyki w projektowaniu sieci LAN ............................................................................................ 290
7.5.1. Przewidywania dotyczące użytkowników przewodowego ethernetu ............................................ 291
7.5.2. Przewidywania dotyczące użytkowników Wi-Fi .............................................................................. 292
7.5.3. Projektowanie centrów danych ........................................................................................................... 295
7.5.4. Projektowanie krawędzi e-handlu ....................................................................................................... 298
7.5.5. Projektowanie środowiska SOHO ....................................................................................................... 299
7.6. Polepszanie wydajności sieci LAN ................................................................................................................. 301
7.6.1. Zwiększanie wydajności serwerów ...................................................................................................... 302
7.6.2. Zwiększanie przepustowości obwodów .............................................................................................. 304
7.6.3. Redukowanie wymagań ........................................................................................................................ 304
7.7. Implikacje dla cyberbezpieczeństwa .............................................................................................................. 305
ROZDZIA(cid:146) 8
Sieci szkieletowe
317
8.1. Wstęp .................................................................................................................................................................. 318
8.2. Przełączane sieci szkieletowe .......................................................................................................................... 319
8.3. Trasowane sieci szkieletowe ............................................................................................................................ 322
8.4. Wirtualne sieci LAN ........................................................................................................................................ 325
8.4.1. Zalety sieci VLAN .................................................................................................................................. 327
8.4.2. Jak działają sieci VLAN? ....................................................................................................................... 328
8.5. Zalecane praktyki w projektowaniu sieci szkieletowych ............................................................................ 332
8.6. Polepszanie wydajności sieci szkieletowych ................................................................................................. 333
8.6.1. Zwiększanie wydajności urządzeń ...................................................................................................... 334
8.6.2. Zwiększanie przepustowości obwodów .............................................................................................. 334
8.6.3. Redukowanie wymagań ........................................................................................................................ 334
8.7. Implikacje dla cyberbezpieczeństwa .............................................................................................................. 335
Poleć książkęKup książkę10 Spis tre(cid:258)ci
ROZDZIA(cid:146) 9
Sieci rozleg(cid:239)e
345
9.1. Wstęp .................................................................................................................................................................. 346
9.2. Sieci obwodów dedykowanych ....................................................................................................................... 347
9.2.1. Podstawowa architektura ..................................................................................................................... 347
9.2.2. Usługi T-carrier ...................................................................................................................................... 352
9.2.3. Usługi SONET ........................................................................................................................................ 353
9.3. Sieci komutacji pakietów ................................................................................................................................. 354
9.3.1. Podstawowa architektura ..................................................................................................................... 354
9.3.2. Usługi Frame Relay ................................................................................................................................ 356
9.3.3. Usługi IP .................................................................................................................................................. 357
9.3.4. Usługi ethernetowe ................................................................................................................................ 357
9.4. Wirtualne sieci prywatne ................................................................................................................................. 358
9.4.1. Podstawowa architektura ..................................................................................................................... 358
9.4.2. Typy VPN ............................................................................................................................................... 360
9.4.3. Jak działa VPN? ...................................................................................................................................... 360
9.5. Zalecane praktyki w projektowaniu sieci WAN .......................................................................................... 363
9.6. Polepszanie wydajności sieci WAN ............................................................................................................... 365
9.6.1. Zwiększanie wydajności urządzeń ...................................................................................................... 366
9.6.2. Zwiększanie przepustowości obwodów .............................................................................................. 366
9.6.3. Redukowanie wymagań ........................................................................................................................ 367
9.7. Implikacje dla cyberbezpieczeństwa .............................................................................................................. 367
ROZDZIA(cid:146) 10
Internet
381
10.1. Wstęp ............................................................................................................................................................... 382
10.2. Jak działa internet? ......................................................................................................................................... 383
10.2.1. Podstawowa architektura ................................................................................................................... 383
10.2.2. Połączenie z dostawcą internetu ........................................................................................................ 385
10.2.3. Dzisiejszy internet ............................................................................................................................... 387
10.3. Technologie dostępu do internetu ............................................................................................................... 388
10.3.1. Cyfrowa linia abonencka (DSL) ........................................................................................................ 388
10.3.2. Modem kablowy .................................................................................................................................. 390
10.3.3. Światłowód do domu (FTTH) ........................................................................................................... 393
10.3.4. WiMax ................................................................................................................................................... 393
10.3.5. Coraz szybciej i coraz lepiej, czyli LTE ............................................................................................. 395
10.3.6. Jeszcze szybciej i jeszcze lepiej, czyli 5G ........................................................................................... 396
10.4. Przyszłość internetu ....................................................................................................................................... 399
10.4.1. Zarządzanie internetem ...................................................................................................................... 399
10.4.2. Kreowanie przyszłości ......................................................................................................................... 401
10.5. Implikacje dla cyberbezpieczeństwa ............................................................................................................ 402
Poleć książkęKup książkę
Spis tre(cid:258)ci 11
(cid:81) CZ(cid:125)(cid:165)(cid:109) CZWARTA: ZARZ(cid:107)DZANIE SIECI(cid:107)
ROZDZIA(cid:146) 11
Bezpiecze(cid:241)stwo sieci
413
11.1. Wstęp ............................................................................................................................................................... 414
11.1.1. Dlaczego w sieciach konieczne są zabezpieczenia? ......................................................................... 416
11.1.2. Typy zagrożeń dla bezpieczeństwa ................................................................................................... 417
11.1.3. Kontrole sieciowe ................................................................................................................................ 419
11.2. Ocena ryzyka ................................................................................................................................................... 420
11.2.1. Definiowanie kryteriów pomiaru ryzyka ......................................................................................... 420
11.2.2. Inwentaryzacja zasobów IT ................................................................................................................ 421
11.2.3. Identyfikacja zagrożeń ........................................................................................................................ 425
11.2.4. Dokumentowanie istniejących kontroli ........................................................................................... 429
11.2.5. Poszukiwanie możliwości usprawnień ............................................................................................. 430
11.3. Zapewnienie ciągłości funkcjonowania ...................................................................................................... 430
11.3.1. Ochrona przed złośliwym oprogramowaniem ................................................................................ 430
11.3.2. Ochrona przed atakami DoS .............................................................................................................. 432
11.3.3. Ochrona przed kradzieżą .................................................................................................................... 436
11.3.4. Niwelowanie skutków awarii urządzeń ............................................................................................ 437
11.3.5. Ochrona przed skutkami katastrof ................................................................................................... 439
11.4. Zapobieganie włamaniom ............................................................................................................................. 443
11.4.1. Polityka bezpieczeństwa ..................................................................................................................... 444
11.4.2. Ochrona na granicy sieci i firewalle .................................................................................................. 444
11.4.3. Ochrona serwerów i klientów ............................................................................................................ 452
11.4.4. Szyfrowanie ........................................................................................................................................... 457
11.4.5. Uwierzytelnianie użytkowników ....................................................................................................... 466
11.4.6. Obrona przed socjotechniką .............................................................................................................. 471
11.4.7. Systemy zapobiegania włamaniom ................................................................................................... 474
11.4.8. Odtwarzanie po włamaniu ................................................................................................................. 477
11.5. Zalecenia praktyczne ...................................................................................................................................... 478
11.6. Implikacje dla Twojego cyberbezpieczeństwa ............................................................................................ 480
ROZDZIA(cid:146) 12
Zarz(cid:200)dzanie sieci(cid:200)
497
12.1. Wstęp ............................................................................................................................................................... 498
12.2. Projektowanie sieci pod kątem wydajności ................................................................................................ 498
12.2.1. Sieci zarządzane ................................................................................................................................... 499
12.2.2. Zarządzanie ruchem sieciowym ........................................................................................................ 503
12.2.3. Redukowanie ruchu sieciowego ........................................................................................................ 505
12.3. Zarządzanie konfiguracją .............................................................................................................................. 509
12.3.1. Konfigurowanie sieci i komputerów klienckich ............................................................................. 509
12.3.2. Dokumentowanie konfiguracji .......................................................................................................... 510
Poleć książkęKup książkę12 Spis tre(cid:258)ci
12.4. Zarządzanie wydajnością i awariami ........................................................................................................... 512
12.4.1. Monitorowanie sieci ............................................................................................................................ 514
12.4.2. Kontrolowanie awarii .......................................................................................................................... 515
12.4.3. Statystyki wydajności i statystyki awarii ........................................................................................... 518
12.4.4. Polepszanie wydajności ...................................................................................................................... 522
12.5. Wsparcie dla użytkowników ......................................................................................................................... 522
12.5.1. Rozwiązywanie problemów ................................................................................................................ 522
12.5.2. Szkolenia dla użytkowników .............................................................................................................. 524
12.6. Zarządzanie kosztami .................................................................................................................................... 525
12.6.1. Źródła kosztów ..................................................................................................................................... 525
12.6.2. Redukowanie kosztów ........................................................................................................................ 528
12.7. Implikacje dla cyberbezpieczeństwa ............................................................................................................ 530
Skorowidz
543
Poleć książkęKup książkęCZ(cid:125)(cid:165)(cid:109) CZWARTA: ZARZ(cid:107)DZANIE SIECI(cid:107)
ROZDZIA(cid:146) 11
BEZPIECZE(cid:148)STWO SIECI
W
tym rozdziale wyjaśniamy, dlaczego bezpieczeństwo jest nieodłącznym aspektem projekto-
wania i użytkowania sieci komputerowych, przedstawiamy także różne sposoby jego zapewnie-
nia. Pierwszym krokiem w planowaniu zabezpieczeń sieci jest ocena ryzyka: zidentyfikowanie
kluczowych zasobów, które wymagają ochrony, i określenie zagrożeń wynikających z braku takiej
ochrony w odniesieniu do każdego z nich. Istnieje wiele sposobów unikania, wykrywania i ni-
welowania problemów z bezpieczeństwem, wynikających z ingerowania w działanie sieci, jej pa-
raliżowania, niszczenia jej zasobów lub nieautoryzowanego dostępu do nich.
CZYTAJ(cid:107)C TEN ROZDZIA(cid:146):
(cid:31) poznasz podstawowe źródła zagrożeń dla bezpieczeństwa sieci,
(cid:31) zapoznasz się z metodami oceny ryzyka dla bezpieczeństwa,
(cid:31) zrozumiesz, jak zapewnić ciągłość funkcjonowania,
(cid:31) nauczysz się, jak zapobiegać włamaniom do sieci.
STRUKTURA ROZDZIA(cid:146)U
11.1. Wstęp
11.1.1. Dlaczego w sieciach konieczne są zabezpieczenia?
11.1.2. Typy zagrożeń dla bezpieczeństwa
11.1.3. Kontrole sieciowe
11.2. Ocena ryzyka
11.2.1. Definiowanie kryteriów pomiaru ryzyka
11.2.2. Inwentaryzacja zasobów IT
11.2.3. Identyfikacja zagrożeń
Poleć książkęKup książkę414 Rozdzia(cid:239) 11. Bezpiecze(cid:241)stwo sieci
11.2.4. Dokumentowanie istniejących kontroli
11.2.5. Poszukiwanie możliwości usprawnień
11.3. Zapewnienie ciągłości funkcjonowania
11.3.1. Ochrona przed złośliwym oprogramowaniem
11.3.2. Ochrona przed atakami DoS
11.3.3. Ochrona przed kradzieżą
11.3.4. Niwelowanie skutków awarii urządzeń
11.3.5. Ochrona przed skutkami katastrof
11.4. Zapobieganie włamaniom
11.4.1. Polityka bezpieczeństwa
11.4.2. Ochrona na granicy sieci i firewalle
11.4.3. Ochrona serwerów i klientów
11.4.4. Szyfrowanie
11.4.5. Uwierzytelnianie użytkowników
11.4.6. Obrona przed socjotechniką
11.4.7. Systemy zapobiegania włamaniom
11.4.8. Odtwarzanie po włamaniu
11.5. Zalecenia praktyczne
11.6. Implikacje dla Twojego cyberbezpieczeństwa
Podsumowanie
11.1. WST(cid:125)P
Przedsiębiorstwa i agencje rządowe zawsze stosowały rozmaite zabezpieczenia, zarówno infra-
struktury fizycznej, jak i poufnych informacji, realizowane za pomocą różnych zamków, barier,
strażników czy nawet wojska — tak było od zawsze, od kiedy rodzaj ludzki zaczął organizować
się w społeczności. Wymyślne sposoby utajniania sekretów datują się od co najmniej 3 500 lat,
ostatnie 50 nadało im jednak zupełnie nowego wymiaru, a to za sprawą pojawienia się najpierw
komputerów, a potem internetu.
Pojawienie się internetu oznaczało kompletną redefinicję koncepcji bezpieczeństwa infor-
macji. Zręczni włamywacze i kasiarze, którym nie był w stanie oprzeć się żaden sejf ani system
alarmowy, ustąpili miejsca specjalistom innej profesji, posługującym się bardziej wyrafinowa-
nymi metodami. Skoro to, co najcenniejsze, zmieniło zasadniczo formę swego istnienia — z pa-
pierowych zapisków, opasłych segregatorów i szeleszczących banknotów na bity-bajty, rezydu-
jące na firmowych serwerach, to miejsce precyzyjnych pilników zajęły przyborniki ze złośliwym
oprogramowaniem: wirusami, robakami, oprogramowaniem ransomware itp. Bardziej wysu-
blimowane stały się także cenne zasoby: dziś rzadziej kradnie się cenne dokumenty i sztaby zło-
ta, bo znacznie bardziej opłacalne stały się kradzieże tożsamości i numerów kart kredytowych.
I to przede wszystkim one zdolne są zniszczyć reputację firm, którym zaufały tysiące klientów
i które zaufanie to zawiodły, nie będąc w stanie należycie chronić swoich zasobów. Prawo nie
nadąża — niestety — za rosnącą skalą cyberprzestępczości, mimo iż w większości krajów sam
Poleć książkęKup książkę11.1. Wst(cid:218)p 415
fakt nielegalnego uzyskania informacji przez przełamywanie zabezpieczeń, nawet bez uszkadza-
nia tejże informacji, penalizowany jest grzywną czy nawet więzieniem. Niespójność tego prawa
powoduje, że cyberprzestępstwa przybierają skalę transgraniczną, a ich ściganie staje się utrud-
nione. Trudno jest uzyskać ekstradycję cyberprzestępcy, a gdy już stanie on przed sądem, trak-
towany jest łagodniej niż (powiedzmy) rabuś napadający na bank.
Zagadnienie bezpieczeństwa komputerów zyskało na znaczeniu dzięki różnym aktom praw-
nym wysokiej rangi, między innymi ustawie HIPAA (ang. Health Insurance Portability and
Accountability Act — „Ustawa dotycząca przenośności i odpowiedzialności za ubezpieczenie
zdrowotne”) oraz tzw. Ustawie Sarbanesa-Oxleya, obu uchwalonym przez Kongres USA, w latach
(odpowiednio) 1996 i 2002. Mimo to liczba incydentów związanych z włamaniami do sieci wciąż
rośnie, w tempie ok. 30 rocznie. W roku 2016 odnotowano ok 50 milionów udanych kradzieży
haseł; z anonimowej ankiety, przeprowadzonej w tymże roku na reprezentatywnej próbie 1500
dorosłych obywateli USA, wynika, że 51 z nich padło ofiarami cyberprzestępstwa w jakiejś formie
— nie tylko zainfekowania komputera, ale także szpiegostwa przemysłowego, oszustwa, żądania
okupu (ang. ransomware) i kradzieży tożsamości. W epoce przedinternetowej i we wczesnych
latach internetu tworzenie wirusów było raczej odmianą sportu amatorskiego, uprawianego przez
młodocianych hakerów z niedosytem poziomu adrenaliny, dziś stało się jednym ze sposobów
pozyskiwania (często bardzo dużych) pieniędzy.
Do światowej opinii publicznej co rusz docierają sensacyjne wiadomości o kradzieży tysięcy
czy nawet milionów numerów kart kredytowych, których ofiarami padli klienci dużych firm, jak
Zappos czy Target, ale tak naprawdę każda firma może stać się celem cyberataku. Zgodnie z ra-
portem firmy Symantec, ponad połowa poszkodowanych w ten sposób firm to firmy średniej
wielkości, zatrudniające mniej niż 2500 pracowników. Wytłumaczenie jest proste: nie mają one
tak solidnych zabezpieczeń jak duże korporacje.
Akcja wywołuje reakcję — istnieje wiele organizacji, zarówno prywatnych, jak i publicznych
— których zadaniem jest pomoc przedsiębiorstwom, organizacjom i użytkownikom indywidu-
alnym w ich (samo)obronie przed cyberzagrożeniami, czyhającymi w internecie. Wśród tych
organizacji należy wymienić przede wszystkim CERT (ang. Computer Emergency Response Team
— zespół reagowania na zagrożenia komputerowe), działającą1 na Uniwersytecie Carnegie Mellon,
APWG (ang. Anti-Phishing Working Group — grupa robocza ds. przeciwdziałania podszywaniu
się) oraz laboratoria udostępniające narzędzia do walki z zagrożeniami i ochrony przed nimi:
Kaspersky Lab., McAfee i Symantec.
Istnieją trzy powody, dla których zwiększanie bezpieczeństwa komputerów nabrało szcze-
gólnego znaczenia w ciągu kilku ostatnich lat. Pierwszym jest jakościowe przeobrażenie ataków
hakerskich. Włamywanie się do cudzych komputerów, niegdyś stanowiące rodzaj hobby, dziś
stało się wyspecjalizowaną gałęzią przemysłu. Profesjonalne organizacje szkolą i zatrudniają
specjalistów, których zadaniem jest włamywanie się do wskazanych sieci w celu wykradania
cennych informacji. I nie mówimy tu o tzw. etycznym hackingu, czyli testowaniu przez przed-
siębiorstwa własnych zabezpieczeń przez wynajętych hakerów, lecz o przestępcach, którzy za
opłatą wykradają numery kart kredytowych, dane osobowe lub własność intelektualną. Powo-
dzenie takiego ataku spowodowane jest nie tylko lukami w zabezpieczeniu technicznym, lecz
także czynnikiem ludzkim. Stosując zabiegi socjotechniczne lub phishingowe e-maile, hakerzy
1 Zobacz stronę polskiego oddziału https://www.cert.pl/ — przyp. tłum.
Poleć książkęKup książkę416 Rozdzia(cid:239) 11. Bezpiecze(cid:241)stwo sieci
wpływają na zachowanie nieświadomych podstępu członków personelu, podchwytliwie wyłu-
dzając sekretne informacje. Cele takich ataków — zarówno komputery, jak i ludzie — są precy-
zyjnie określone, więc ataki takie nazywamy ukierunkowanymi (ang. targetted).
Drugą przyczyną doniosłej roli bezpieczeństwa komputerów jest nowy fenomen socjologiczny,
zwany haktywizmem (ang. hacktivism, połączenie słów hacking i activism), a polegający na wy-
korzystywaniu sieci komputerowych do promowania określonych celów społecznych i politycz-
nych2. Jest to więc mariaż nielegalnych technik hakerskich i określonych intencji, wymierzony
zwykle w duże organizacje i agencje rządowe, zmierzający do skompromitowania ich witryn,
w celu zwrócenia uwagi na określoną ideę społeczną lub polityczną. W roku 2011 grupa Ano-
nymous przypuściła atak na witryny serwisów Visa i MasterCard, w proteście przeciwko odmo-
wie obsługi płatności na rzecz WikiLeaks. Co prawda skutki haktywizmu nie bywają tak dotkli-
we jak w przypadku wykradania czy niszczenia informacji, jednak z biegiem czasu stają się coraz
częstsze i stąd zasługują na szczególna uwagę.
Po trzecie wreszcie, gwałtownie zwiększająca się liczba urządzeń mobilnych połączonych
z internetem stanowi niezwykle wdzięczny obszar eksploatacji wszelkich braków w zabezpiecze-
niach tychże urządzeń. Przecież są one powszechnie wykorzystywane do transakcji bankowych,
zakupów internetowych, operacji związanych z prowadzeniem firmy itd.; ich użytkownicy,
w większości nieedukowani technicznie i skupiający się raczej na utylitarnych aspektach internetu,
nie podejrzewają nawet, że oto właśnie przestali być wyłącznymi właścicielami swych sekretnych
informacji. Typowy smartfon jest z reguły zabezpieczony słabiej niż przeciętny komputer — a przy
tym bardziej narażony, bo podłączający się do wielu różnych sieci, często o nieznanej reputacji.
Z jednej więc strony nasze osobiste informacje stają się coraz cenniejsze, z drugiej natomiast
zwiększa się potencjalne zagrożenie dla ich bezpieczeństwa, czyli prywatności naszej i naszych
biznesów. Ważne jest zatem uświadomienie sobie jednego i drugiego oraz zapoznanie się ze
sposobami należytej ochrony cennych wartości i unikania czyhających na nie zagrożeń. Temu
właśnie poświęcona jest dalsza część tego rozdziału.
11.1.1. Dlaczego w sieciach konieczne s(cid:200) zabezpieczenia?
W ostatnich latach organizacje i firmy stają się coraz bardziej zależne od sieci komunikacji da-
nych, ich rozproszonego przetwarzania, przechowywania w bazach danych i przesyłania ich
między połączonymi sieciami LAN. Rozwój internetu, który stworzył niebywałe możliwości łą-
czenia ze sobą urządzeń znajdujących się gdziekolwiek na świecie, stał się jednocześnie przyczy-
ną zwiększonego zagrożenia pod adresem zasobów firmy. A skoro tak, zwiększył się nacisk na
bezpieczeństwo przechowywania i przetwarzania tych zasobów, co wyraża się przez bieżące pu-
blikowanie informacji o rozpoznanych zagrożeniach oraz ustanawianie oficjalnych wytycznych
dotyczących bezpieczeństwa w firmach i agencjach rządowych.
Straty związane z naruszeniem bezpieczeństwa mogą być ogromne. Średni koszt takiego in-
cydentu to 3,5 miliona dolarów — niemało, ale to i tak wierzchołek góry lodowej, bo utrata za-
ufania klientów, do których trafi informacja o zaistniałym incydencie, może oznaczać dla firmy
ostateczną katastrofę.
Firma może ponieść znaczne straty nawet w sytuacji, gdy włamanie do jej sieci nie spowo-
duje uszkodzenia danych. Jeżeli jednym z elementów świadczonej usługi jest jej permanentna
2 Patrz https://pl.wikipedia.org/wiki/Haktywizm — przyp. tłum.
Poleć książkęKup książkę11.1. Wst(cid:218)p 417
dostępność, przerwa w jej świadczeniu może okazać się dla firmy bardzo dotkliwa. Bank of
America — jeden z największych banków w USA — ocenia, że 24-godzinna przerwa w funkcjo-
nowaniu jego sieci kosztowałaby 50 milionów dolarów. Wiele innych dużych organizacji poczy-
niło podobne szacunki.
Ochrona prywatności klientów i ochrona przed kradzieżą ich tożsamości to równie istotne
przesłanki na rzecz zwiększonej ochrony sieci. W roku 1998 Unia Europejska uchwaliła szereg
aktów prawnych, zgodnie z którymi firmy dopuszczające do ujawnienia chronionych danych
swoich klientów, będą obciążane dotkliwymi karami finansowymi. W USA organizacje ochrony
zdrowia podporządkowane są ustawie HIPAA w zakresie ochrony danych osobowych, a prawo
stanu Kalifornia przewiduje grzywnę do 250 000 dolarów za każdy egzemplarz danych udostęp-
niony w sposób nieautoryzowany — jeżeli więc intruzowi uda się wykraść dane 100 klientów,
grzywna może sięgnąć 25 milionów.
Jak można się domyślać, wartość danych przechowywanych w systemach informatycznych
firmy oraz wartość samych systemów znacznie przekraczają koszt samej sieci. Z tej racji pod-
stawowym założeniem bezpieczeństwa jest ochrona danych przetwarzanych w sieci kompute-
rowej, a nie ochrona sieci jako takiej.
11.1.2. Typy zagro(cid:285)e(cid:241) dla bezpiecze(cid:241)stwa
Bezpieczeństwo komputera zwyczajowo rozumiane jest jako zapobieganie włamaniom, czyli
uniemożliwianie hakerowi penetracji danych zapisanych w tym komputerze. Jest to jednak zbytnie
uproszczenie, bowiem na właściwie pojęte bezpieczeństwo składają się trzy czynniki: poufność,
integralność i dostępność (ang. confidentiality, integrity, availability — określane łącznie akro-
nimem CIA).
Poufność oznacza ochronę tajnych danych organizacji i danych na temat ich klientów przed
nieautoryzowanym ujawnieniem. Integralność to zapewnienie, że wspomniane dane nie zostaną
zmodyfikowane albo zniszczone. Pod pojęciem dostępności rozumiemy natomiast zapewnienie
nieprzerwanego działania sprzętu i oprogramowania, dzięki czemu personel firmy, jej klienci
i dostawcy mogą być pewni, że nie wystąpią przerwy w świadczeniu usług przez tę firmę. Na te
trzy elementy czyhają rozmaite zagrożenia, którym przeciwdziałać można za pomocą metod
dających się zaklasyfikować w dwóch szerokich kategoriach: zapewnienia ciągłości funkcjonowa-
nia i zapobiegania nieautoryzowanemu dostępowi.
Zapewnienie ciągłości funkcjonowania odnosi się przede wszystkim do dostępności i częściowo
do integralności danych, z czego wynikają trzy podstawowe kategorie zagrożeń. Dezorganizacja
usługi lub poważne ograniczenie jej świadczenia, w sposób trwały albo tymczasowy, na przykład
awaria przełącznika lub obwodu, oznacza trwałe odcięcie segmentu sieci aż do naprawienia uszko-
dzenia — z uszczerbkiem dla części użytkowników, bez szkody dla pozostałych. Przerwanie ciągłości
funkcjonowania może być także konsekwencją zniszczenia danych, na przykład za sprawą wirusa
lub fizycznej awarii dysku. Trzecim zagrożeniem dla ciągłości funkcjonowania są katastrofy — te
powodowane przez naturalne kataklizmy (huragany, tornada, trzęsienia ziemi, pożary, powodzie,
lawiny błotne) oraz te będące skutkiem celowych działań człowieka (na przykład ataków terrory-
stycznych) lub jego działań bezmyślnych3, zdolne niszczyć całe budynki czy nawet kampusy.
3 W 2011 roku pewna 75-letnia pani odcięła od internetu 3 kraje: Gruzję, Azerbejdżan i Armenię; w po-
szukiwaniu złomu wykopała z ziemi jakiś kabel i przecięła go łopatą — przyp. tłum.
Poleć książkęKup książkę418 Rozdzia(cid:239) 11. Bezpiecze(cid:241)stwo sieci
Przeciwdziałanie nieautoryzowanemu dostępowi, zwanemu także intruzją, ma związek za-
równo z poufnością danych, jak i ich integralnością. Intruzje kojarzy się często z atakami z in-
ternetu, tymczasem — co niespodziewane — ponad połowa z nich ma związek z pracownikami
firmy. Intruz może działać z czystej ciekawości, wykradając dane niestanowiące dla niego więk-
szej wartości, lecz równie dobrze taka kradzież może być inspirowana przez szpiegostwo prze-
mysłowe lub działania konkurencji, wykradającej dane na temat opracowywanych technologii
i negocjowanych kontraktów, czy też danych osobowych i numerów kart kredytowych. Co gorsza,
intruz może zmodyfikować pliki tak, by wykraść firmowe pieniądze na swoje konto lub uszko-
dzić wrażliwe dane firmy w sposób uniemożliwiający jej funkcjonowanie.
DLA
11.1. Ci(cid:200)gle to samo…
MENED(cid:191)ERA
Ka(cid:285)da firma, niezale(cid:285)nie od bran(cid:285)y, powinna si(cid:218) liczy(cid:202) z mo(cid:285)liwo(cid:258)ci(cid:200) potencjalnego
ataku hakerskiego. Bole(cid:258)nie przekona(cid:239)a si(cid:218) o tym firma Target w grudniu 2013 roku.
Rosyjscy hakerzy zainstalowali z(cid:239)o(cid:258)liwe oprogramowanie w kasach fiskalnych w punk-
tach sprzeda(cid:285)y, dzi(cid:218)ki czemu uda(cid:239)o si(cid:218) wykra(cid:258)(cid:202) dane kart kredytowych ponad 40 mi-
lionów klientów.
Hakerzy prawdopodobnie uzyskali dost(cid:218)p do sieci firmy Target, u(cid:285)ywaj(cid:200)c danych
uwierzytelniaj(cid:200)cych dostawcy klimatyzatorów. Przeprowadzone (cid:258)ledztwo wykaza(cid:239)o, (cid:285)e
zainstalowane z(cid:239)o(cid:258)liwe oprogramowanie nie by(cid:239)o ani specjalnie wykoncypowane, ani
te(cid:285) nowatorskie, co wi(cid:218)cej — by(cid:239)o wykrywane przez dwa systemy, które firma Target
zainstalowa(cid:239)a wcze(cid:258)niej w swojej sieci. Dlaczego wi(cid:218)c specjali(cid:258)ci od zabezpiecze(cid:241) zwy-
czajnie ignorowali ostrze(cid:285)enia wy(cid:258)wietlane przez owe systemy?
Có(cid:285), Target — jak wiele innych firm — ka(cid:285)dego dnia bombardowana by(cid:239)a wr(cid:218)cz
tysi(cid:200)cami komunikatów o próbach ataku; prawdopodobie(cid:241)stwo dostrze(cid:285)enia tego jed-
nego, nowego, wyj(cid:200)tkowego, który pojawi(cid:239) si(cid:218) pewnego dnia, by(cid:239)o wi(cid:218)c znikome. Mimo
i(cid:285) ataki sieciowe bywaj(cid:200) wyrafinowane, wi(cid:218)kszo(cid:258)(cid:202) nale(cid:285)y do tych powszednich, „dobrze
znanych” (ang. well known), kwitowanych przez obs(cid:239)ug(cid:218) zwyczajowym „ci(cid:200)gle to samo…”.
Mo(cid:285)na gra(cid:202) ró(cid:285)nymi kartami: w bryd(cid:285)a, w pokera, w oko — hakerzy graj(cid:200) w prawo
wielkich liczb: im bardziej s(cid:200) nieust(cid:218)pliwi i wyrafinowani w swych dzia(cid:239)aniach, tym wi(cid:218)ksza
szansa, (cid:285)e dopn(cid:200) swego, docieraj(cid:200)c w ko(cid:241)cu do sieci i wykradaj(cid:200)c (na przyk(cid:239)ad) numery
kart kredytowych.
Ta historyjka przypomina nam, (cid:285)e cyberbezpiecze(cid:241)stwo jest problemem globalnym
i ka(cid:285)dy, kto u(cid:285)ywa internetu, mo(cid:285)e by(cid:202) (a by(cid:202) mo(cid:285)e w(cid:239)a(cid:258)nie jest) celem ataku. Eduka-
cja na temat bezpiecze(cid:241)stwa i nale(cid:285)yte inwestowanie w bezpiecze(cid:241)stwo to warunek
sine qua non prze(cid:285)ycia w zmaganiach si(cid:218) z pu(cid:239)apkami ery internetu.
Na podstawie: Michael Riley, Ben Elgin, Dune Lawrence, Carol Matlack Missed Alarms and
40 Million Stolen Credit Card Numbers: How Target Blew It, „Bloomberg Businessweek”
(www.businessweek.com) oraz Krebs on Security (krebsonsecuirty.com).
Poleć książkęKup książkę11.1. Wst(cid:218)p 419
11.1.3. Kontrole sieciowe
Bezpieczna sieć to sieć kontrolowana. Elementami kontroli są: sprzęt, oprogramowanie, reguły
i procedury, ograniczające lub eliminujące zagrożenia dla bezpieczeństwa. Przedmiotem kontroli
jest wykrywanie i ewentualne korygowanie wszelkich zdarzeń (a także próby zapobiegania im),
które w jakikolwiek sposób mogą być powiązane z bezpieczeństwem systemów komputerowych.
Kontrole prewencyjne zmierzają do osłabiania lub wręcz powstrzymywania przyczyn poten-
cjalnych zagrożeń. System haseł chroni sieć przed nieuprawnionym dostępem użytkowników
do systemu, a system zapasowych obwodów pozwala sieci nadal funkcjonować w obliczu awarii.
Kontrola prewencyjna to także odstraszanie, zniechęcanie i powstrzymywanie potencjalnych
sprawców przez wzbudzenie w nich obaw lub wątpliwości. Solidny system zamków drzwiowych
to właśnie przykład kontroli prewencyjnej, powstrzymującej nieproszonych gości przed wej-
ściem do mieszkania.
Kontrole detekcyjne to zespół środków mających na celu wykrywanie i ujawnianie wszelkich
niepożądanych zdarzeń. Przykładem takiego środka jest oprogramowanie ewidencjonujące pró-
by (udane i nieudane) wtargnięcia do sieci. Wszelkie zarejestrowane zdarzenia i sytuacje muszą
być dokumentowane, by można było wyciągać konsekwencje w stosunku do osób i firm naru-
szających reguły lub łamiących prawo, a także podejmować działania korekcyjne, zapobiegające
powtórzeniu się podobnych zdarzeń w przyszłości.
Zadaniem kontroli korekcyjnych jest naprawianie skutków niepożądanych zdarzeń, wykony-
wane przez ludzi lub komputery, a polegające na wykrywaniu i korygowaniu błędów. Kontrole
korekcyjne to także przywracanie funkcjonowania sieci, unieruchomionej przez zaistniałe błędy
lub katastrofy, na przykład oprogramowanie może automatycznie podejmować próby ponow-
nego uruchomienia obwodu, który przestał funkcjonować w wyniku awarii.
Dalszą część rozdziału poświęcamy dyskusji na temat wszystkich trzech rodzajów kontroli.
Zaprezentujemy także framework do ogólnej oceny ryzyka, dokonywanej poprzez identyfikowanie
zagrożeń i związanych z nimi kontrolami. Framework ten dostarcza menedżerowi sieci ogólnego
poglądu bieżących zagrożeń i dostępnych kontroli, zmierzających do ich neutralizowania.
Należy jednak pamiętać, że ustanowienie serii różnych kontroli nie jest bynajmniej wy-
starczającym działaniem w kierunku zapewnienia bezpieczeństwa, należy bowiem jeszcze
wyznaczyć osobę, grupę lub wydział, które będą odpowiedzialne za to bezpieczeństwo — opra-
cowywanie kontroli, monitorowanie ich aktywności oraz decydowanie o ich aktualizacjach
i wymianie.
Zestaw funkcjonujących kontroli musi podlegać okresowym przeglądom, we
Pobierz darmowy fragment (pdf)