מודל השכבות> IP > אבטחת מידע באינטרנט עמוד השער מושגים
אבטחת מידע באינטרנט

הקדמה

סכנות לרשת המקומית

 פגיעה בפרטיות

כיצד מתמודדים עם סיכוני האבטחה ברשת?

VPN - רשת פרטית וירטואלית


הקדמה
רשת ה-TCP/IP הגדולה בעולם, האינטרנט, מאפשרת כיום לחבר אינספור רשתות מחשב מקומיות זו לזו. בכך נוצרת קישוריות גלובלית בין מחשבים. ואולם, לקישוריות זו יש מחיר: חיבורה של הרשת המקומית אל האינטרנט חושף אותה גם לסכנה של פגיעה מצד גורמים עוינים ברשת. את הסכנות האורבות למידע באינטרנט ניתן לחלק לשתי קבוצות עיקריות: - תקיפה של הרשת המקומית - פגיעה בפרטיות.

סכנות לרשת המקומית
סכנות לרשת המקומית הארכיטקטורה הפתוחה שבסיס פרוטוקול ה-TCP/IP עלולה לאפשר גם לגורמים לא רצויים להתחבר אל הרשת המקומית ולגרום נזק לא מבוטל. הדוגמה הנפוצה מכולן למידע לא רצוי המוצא את דרכו למחשבינו הוא וירוס המחשב, העשוי לגרום לנזקים ניכרים, הן למידע המאוחסן על מחשבי הרשת, והן לשרתים השונים בהם משתמשים המחשבים. ואולם, מלבד הוירוסים, המתפקדים למעשה בשכבת האפליקציה, קיימות סכנות נוספות לרשת המקומית: - חדירה לא מורשית לרשת (Hacking). ההאקרים, גיבורי התרבות של המאה ה- 21, רכשו את תהילתם על ידי חדירה לרשתות מחשבים או לשרתים. ברגע שהאקר מצליח להתחבר אל הרשת, הוא יכול לגרום נזק רב למידע המאוחסן במחשביה, בין אם על ידי מחיקת מידע המצוי על מחשבי הרשת או על ידי הכנסת מידע שגוי. כיצד מצליחים גורם לא מורשה להתחבר אל הרשת? דרך אחת היא על ידי ביצוע האזנה לתעבורה של משתמשים ברשת, ושימוש בסיסמאות שהתגלו בדרך זו – כלומר, על ידי התחזות לאחד האנשים המשתמשים ברשת. טכנולוגיה אחרת מכונה IP spoofing. בשיטה זו, מצליח ההאקר לגלות את אחת מכתובות ה-IP בהן נעשה שימוש ברשת, ועל ידי שימוש בכתובת מתחזה לאחד ממחשבי הרשת (הנתב יזהה את ההאקר כאחד מהמחשבים הרשת, ויאפשר לו גישה אליה). - התקפות מניעת שירות DoS – denial of dervice. התקפות מניעת שירות הן בין ההתקפות הפרימטיביות ביותר ברשת, אך מצד שני – אלה גם התקפות יעילות ביותר. ההתקפה תבוצע על ידי "הפצצה" של הנתב, או של שרת ה-WWW במיליוני חבילות. המטרה בהתקפה כזאת היא יצירת עומס רב על הנתב או השרת, ועל ידי כך למנוע ממשתמשים אחרים להתחבר אליו או אף לגרום לקריסתו המוחלטת. - REPLAY ATTACKS – התקפה פשוטה זו מורכבת למעשה משכפול של הודעה שנשלחה ממשתמש לגיטימי, ושידורה בשנית. בכמה מקרים, לפעולה זו יכולות להיות תוצאות לא רצויות. כך למשל במקרה בו משודרת שוב ושוב הוראת רכישת מניות ברשת – מקרה היכול לגרום לנזק כלכלי ניכר.

פגיעה בפרטיות
כפועל יוצא מאופיין המבוזר של רשתות TCP/IP ובמיוחד לאור מבנה רשת האינטרנט, חבילות הנשלחות ממחשב אל מחשב עשויות לעבר דרך מספר גדול של תחנות ביניים עד שיגיעו ליעדן. לצד הגמישות הגדולה שמקנה מבנה רשת זה, מצב זה גם טומן בחובו סכנה: המידע אותו שולחת המשתמשת עשוי ליפול בדרכו אל הידיים הלא נכונות, בדרכים שונות. - האזנה. הדרך הפשוטה לחשוף מידע אותו שלח משמש ברשת הוא על ידי האזנה פאסיבית למידע זה. פעולה כזאת דורשת גישה לאחד ממקטעי הרשת דרכו עוברות החבילות ששלח אותו משתמש. כך למשל, מי שיש לו גישה לנתב, יכול תיאורטית לקרוא את כל התעבורה העוברת דרכו. - האדם שבתווך (Man in the middle). שיטה יותר מתוחכמת להאזנה למידע היא על ידי התחזות: מחשב הנמצא בין שני נתבים מתחזה בפני כל אחד מהם כנתב השני. באופן זה שולחים שני הנתבים את כל תעבורתם דרך המחשב המתחזה, והוא יכול להאזין לה או אף לשנותה.

כיצד מתמודדים עם סיכוני האבטחה ברשת?

  • הצפנה – על ידי הצפנה של התעבורה אותה הוא שולח, יכול המשתמש למנוע מגורמים לא רצויים לקרוא את ההתקשרויות שלו. מובן כי הצפנה כזו דורשת תיאום מראש – בכדי שגם הצד אליו ממוענת התקשורת יוכל לקרוא אותה. 
  • וידוא זהות (authentication) - על מנת להתמודד עם איומים כמו חדירה לרשת או קבלת מידע שגוי מגורמים מתחזים, יש לוודא את זהותם של הגורמים איתם מתקשרים. את זהות גורמים אלה ניתן לוודא בכמה רמות: 
    1) זיהוי המשתמש – הדרך הקלאסית לזיהוי המשתמש היא על ידי שימוש בססמאות. דרכים מתקדמות יותר הן על ידי שילוב אמצעי זיהוי פיזיים יותר: למשל כרטיס המכיל את הסיסמא.
    2) זיהוי המחשב - גישה אחרת היא וידוא כי המחשב השולח את התקשורת אינו מתחזה. הדרך המתקדמת ביותר לביצוע זיהוי כזה (והניתנת ליישום גם על מנת לזהות משתמשים) היא על ידי שימוש בחתימה דיגיטאלית. חתימה דיגיטאלית היא למעשה רצף ספרות מוצפן, המזהה חד חד ערכית את המחשב. חתימה זו מאושרת גם על ידי גורם שלישי, המספק ערבות לכך שהמשתמש הוא אכן מי שהוא טוען להיות. גורם זה מכונה CA (סמכות אישור, certification authority). דוגמה לשימוש בחתימה דיגיטאלית היא שידור החתימה בתחילת כל SESSION, או צירוף החתימה לכל דואל.
  • בקרת גישה לרשת - על מנת להבטיח שגורמים לא רצויים אינם מצליחים לחדור לרשת ניתן לעשות שימוש ב-FIREWALL – אחד ממוצרי האבטחה הפופולאריים ביותר כיום. העיקרון לפיו פועל הפיירוול הוא חציצה בין הרשת לבין העולם החיצון. הפיירוול יהיה שרת או התקן פיזי שדרכו תעבור כל התקשורת בין הרשת המקומית אל העולם החיצון וממנו. הפיירוול יסנן תקשורת זו על פי קריטריונים שונים (כתובות IP, סוגי אפליקציות, גודל חבילות), ובכך ימנע חדירת מידע לא רצוי, ומשתמשים לא רצויים, אל הרשת המקומית.

VPN - רשת פרטית וירטואלית
בעיות האבטחה שהוזכרו כאן חוברות יחד ליצירת דימוי של רשת האינטרנט כתווך לא בטוח להעברת תקשורת. הדברים נכונים במיוחד עבור משתמשים עסקיים, העלולים להפסיד הרבה כסף במקרה בו ייפגעו רשתות המחשב שלהם, או שמידע שלהן ייחשף לעיני גורמים מתחרים. אחת הדרכים שפותחו על מנת לענות על בעיות האבטחה היא שימוש ב"רשתות וירטאוליות פרטיות". בטכנולוגיה זו משמשת האינטרנט כתווך בלבד, כאשר כל התעבורה עוברת דרכה באופן מוצפן ומאובטח היטב. בבסיסן של רשתות כאלה עומדים מכשירי "שער", דרכם מנותבת כל התקשורת של הרשת המקומית, והמצפינים את כל המידע העובר דרכם. הפרוטוקול הנפוץ כיום להקמת VPN מכונה IPsec (קיצור של IP security). פרוטוקול זה כולל בתוכו טיפול בהיבטי אבטחה שונים, ויוצר חסינות גבוהה ביותר בפני התקפות.

מה כולל IPSEC?

וידוא זהות – כל SESSION יכלול העברת חתימה דיגיטאלית בתקן C509v3, שתוכיח כי המידע אכן בא מ"שער ה-VPN" הנכון.
הצפנה - שימוש בתקנים חזקים כמו DES, RSA ו-Diffie-helman
אנקפסולציה - שער ה-VPN מצפין את כתובת ה-IP של המחשב המסתתר מאחוריו, ומדביק לחבילה כתובת IP חדשה. באופן זה לא ניתן לדעת מי שלח בפועל את החבילה. שיטה זו גם מונעת התקפות התחזות.