Чому в Інтернеті говорять про ненадійну мережу?

З Вікіпедії

У комп'ютерній безпеці DMZ (іноді його називають мережею по периметру) - це фізична або логічна підмережа, яка містить і відкриває зовнішні служби організації в більшій ненадійній мережі, зазвичай Інтернет.

Чому це сказано ...

більша ненадійна мережа, як правило, Інтернет.

Я часто бачу, що в Інтернеті говорять про ненадійну мережу. Чи є на це причини?

Мені подобаються аналогії. Ви також повинні.

Не довіряйте Інтернету. Це страшно.

Уявіть, що Інтернет - це океан. Це досить великі, імпозантні та сповнені дивних і чудових істот, які можуть або не хочуть з'їсти вас живими. На щастя для вас, ви з малих років вчили, що куди б ви не поїхали, там буде кілька істот, які не можуть дочекатися гризти ваші нутрощі, але що вони, як 30 футів у довжину, і такі рідкісні Зрозуміло, ви, ймовірно, виграєте в лотерею 3 рази поспіль, перш ніж потрапите по одній, і вам не варто надто турбуватися про них. Те, чого вони не навчали вас у школі, - це те, що вони бувають буквально скрізь і є різними розмірами.

Ваші нутрощі дуже важливі, і ви не хочете, щоб щось їх гризло. Будучи наполегливою людиною, рішучою плавати, ви прагнете знайти спосіб поплавати без догляду у світі, знаючи, що це не ви, чия удача настільки коротка, щоб заграти.

На щастя для вас, ваші батьки - ветерани Війни Нібблера 70-х, і частково вирішили проблему, оточивши себе у клітках Фарадея. Отже, вони поміщають вас у клітку (незважаючи на ваші протести) і скидають вас в океан з деякими снарядами для підводного плавання. У своїй клітці ви в безпеці від морських істот, що харчуються внутрішніми водами, і ви можете плавати плавно в межах її меж, не боячись морських істот. Можливо, клітка не настільки щільна, як думали ваші батьки, і вам вдасться висунути відростки (які рибки, що вживають в їжу, будуть спалахувати, якщо вони пахнуть вами); але це ваші батьки винні в тому, що не поклали достатню кількість барів у клітку.

Гаразд, це досить жахлива аналогія, але справа в цьому; великі компанії не хочуть, щоб їхні дані були порушені, тому вони розміщують речі в приватних мережах, де вони знають, що хакери не зможуть доторкнутися до них, не спершу доклавши великих зусиль (або якоїсь дивовижної соціальної інженерії). Але оскільки ви все ще можете отримати доступ до Інтернету, є ймовірність, що ваш власний комп’ютер буде порушений, що може розкрити більшу мережу.

Оскільки компанія контролює, через яку інформацію може пройти інформація, вони можуть зменшити шкоду загальнодоступних сайтів, і радійте, що жоден їхній внутрішній мережевий матеріал не виявився

Щоб відповісти «чому Інтернет незахищений?», Нам насправді потрібно зрозуміти «Як Інтернет працює?». І зробивши це на крок далі, давайте запитаємо "Що таке Інтернет?".

Що таке Інтернет?

Навчальний посібник для молодших класів визначатиме Інтернет як мережу мереж, і це залишається вірним рівню CTO. На практиці почніть думати з того, як ви читаєте цей текст. Ви читаєте це з вашого персонального комп’ютера / ноутбука або з офісного робочого столу. Якщо це персональний комп’ютер, ви підключаєтесь до набору провайдера або якщо ви перебуваєте в локальній мережі, хтось інший зробив цей крок для вас. Сама мережа - це мережа, хоча і менша. У локальній мережі будуть комп'ютери та маршрутизатори (можливо, це сервери).

Коли LAN підключається до провайдера, до якого підключено більше ПК, серверів, маршрутизаторів та локальних мереж, він стає частиною розширеної мережі. Коли ці більші мережі ще більше підключаються, ми закінчуємо створення величезної мережі під назвою Internet.

Як працює Інтернет?

Знову повернемося до основ. Як можуть спілкуватися будь-які два комп’ютери? Вони посилають один одному пакети інформації, які надаються у чітко визначеному протоколі, який обидві системи розуміють. Подумайте про це як про одну людину, яка надсилає лист іншій, лист - це пакет, а протокол - це кілька простих правил, які забезпечать правильність передачі інформації.

Наприклад, я пишу англійською, і ви розумієте, що це означає. Тепер, якщо друга людина далеко така, що людина сама не може доставити листа, йому доведеться довіряти посередникам. Ви можете скористатися поштовим відділенням або кур'єрською службою. Тепер, якщо місце далеко, одне поштове відділення надішле лист другому, яке передасть його далі, поки не дістанеться до місця призначення.

Ця ж аналогія працює і для Інтернету. Коли ви надсилаєте або отримуєте інформацію в Інтернеті, вона має пройти через безліч маршрутизаторів і серверів.

Чому Інтернет небезпечний?

Чи безпечна інформація у вашому листі, коли ви його публікуєте? Так, але лише до моменту, коли працівник поштового відділення чи хтось у дорозі відкриє його. Те саме стосується Інтернету.

Оскільки інформація проходить через стільки маршрутизаторів і серверів, або дані фактично перебувають на якомусь сервері, кожен, хто може отримати доступ, може отримати цю інформацію. Звичайно, існують заходи безпеки, зазвичай використовуються протоколи (SSH / https) та шифрування. Але будь-який алгоритм, який може захистити інформацію, також матиме контр-алгоритм, який дозволить отримати доступ.

Так просто кажучи, ваші дані на сто відсотків безпечні, поки ви не перебуваєте в ізольованій системі, коли ви підключитесь до мережі, хтось може отримати доступ до даних (перебільшено? Так). Це зводиться до розумності до людини, яка намагається зберегти інформацію проти людини, яка намагається отримати доступ до інформації

Інформація, яку ви отримуєте з Інтернету, надходить із певного комп’ютера, який ... ну ... це десь там . Ви не знаєте, хто є власником та керує цим комп’ютером. Ви також не знаєте, хто вклав цю інформацію.

Щоб дістатися з цього комп'ютера до вашого, інформація повинна проходити через кілька маршрутизаторів по дорозі. Кожен маршрутизатор має можливість змінювати дані, що проходять через нього, і ви не знаєте, хто є власником або керує маршрутизаторами.

Ось чому ви не можете довіряти Інтернету, принаймні, не в сенсі "довіри", який використовується в дискусіях про безпеку. Ви можете отримувати дані від шкідливого творця, або дані можуть надсилатися зловмисним сервером, або дані могли бути змінені в дорозі шкідливим маршрутизатором.

Якщо ви не вжили певних заходів, щоб перевірити як особу джерела (наприклад, джерело надає підписаний цифровий сертифікат), так і цілісність каналу зв'язку (наприклад, використовуючи зашифрований протокол), ви дійсно не можете зробити набагато більше ніж схрестіть пальці і сподіваєтесь, що отримане вами буде те саме, що ви просили.

Ненадійний означає, що дані, які пересуваються через нього шарами, не захищені. Ви ніколи не знаєте, що відбувається з вами даними. Маніпулювати ним може будь-хто. Дані можуть бути втрачені або зіпсовані під час передачі. Це може втратити свою цілісність і конфіденційність. Людина, що має багато навичок, може зламати ваші дані. Зазвичай існує багато техніки, завдяки якій можна убезпечити себе, але все-таки це схильні хакери.

Інтернет також називають незахищеним, оскільки він використовує протокол IPv4, який є ненадійним та безпровідним протоколом дейтаграми. Він не забезпечує контролю помилок та контролю потоку. Для надійності він поєднується з надійним протоколом TCP для передачі даних на транспортному рівні.

Тому що ти не можеш довіряти всім

Інтернет - це "всі у світі з мережевим підключенням".

Ви довіряєте всім у світі мережевим зв’язком? Ви хочете, щоб усі вони змогли підключитися до бази заробітної плати вашої компанії?

Якщо ні, то тому Інтернет є "недовірливим".

Якщо так, будь ласка, повідомте нам IP-адресу, щоб ми могли почати отримувати зарплати. ;)

Уявіть себе вдома, там ваша мама, тато, ваша сестра. Якби хтось із них попросив би позичити вам 100 доларів, що б ви зробили? Тепер зображення, що знаходиться на стадіоні, сповненому людей, яких ви не знаєте, і хтось запитував у вас 100 доларів, чи реагували б ви інакше?

В Інтернеті є люди, які мають можливість виграти від вашої особи. Вони можуть взяти під контроль ваш комп’ютер та очистити ваш банківський рахунок. Вони можуть використовувати ваш комп’ютер для атаки на інші комп’ютери. Є люди, які використовують соціальну інженерію, щоб шахраїти вас. Є люди, які використовують трояни та віруси, щоб поширювати свою охоплення.

Через хвилину ви підключились до Інтернету, ви робите себе вразливим до цих людей.

Поведінка користувачів, які користуються розумом в Інтернеті, є недовірою до всіх і до всього. Ось чому це вважається ненадійною мережею, тому що ви ніколи не знаєте, хто на іншому кінці лінії і що він хоче від вас.

Якщо коротко, "довіра" до комп'ютерної безпеки - це не зовсім те саме, що "довіра" у звичайному розумінні. Його слід розширити, щоб включити поняття ідентичності.

Почнемо зі звичайного визначення цього слова. УЗД визначає "довіру" як "Впевненість у собі або залежність від якоїсь якості чи ознаки людини чи речі, або правдивості твердження". У епоху до Інтернету ви, можливо, захочете надіслати конфіденційне повідомлення своєму другові Саллі. Ви можете передати його третій стороні, Боб, якби ви були впевнені, що він доставить повідомлення Саллі та нікому іншому. У такому випадку ви покладаєтесь на певну якість Боба - його здатність доставляти ваше повідомлення дискретно. Іншими словами, ви довіряєте Бобу.

В Інтернеті можна підробити особу. Отже, "довіру" слід поширювати за межі опори на якості третьої сторони. Він повинен включати довіру до ідентичності третьої сторони . Припустимо, ваша довірена сторона є дошкою оголошень за адресою bob.com. У такому випадку ви покладаєтесь не лише на розсуд певної інтернет-системи, а на припущення, що адреса bob.comнасправді вказує на ту систему, яку ви вважаєте, що це робить. Але це останнє припущення є поганим - існує багато способів і викрасти доменне ім’я. Якщо конфіденційність вашого повідомлення Sally справді, дуже важлива, вам доведеться bob.comдовести її особистість. І це одна з функцій SSL.

Отже, ми говоримо, що Інтернет взагалі недовірливий не тому, що ми думаємо, що всі хочуть нас отримати, а тому, що "довіра" в Інтернеті означає доказ того, що суб'єкти є такими, якими вони кажуть. Механізми довіри не вбудовані в Інтернет, оскільки його джерела є неформальною мережею на основі досліджень, заснованої на взаємній довірі - у простому англійському розумінні цього слова. Довіра - у сенсі безпеки комп'ютера - має бути багатошаровою.

Зауважте, що в основному слід турбуватися про три речі:

1. Чи можна довіряти хлопцеві з іншого кінця
2. Чи можете ви довіряти зв’язку між вами та іншим кінцем
3. Незалежно від того, хтось, кого ви навіть не знаєте, може підключитися до вашої системи без вашого дозволу

У цілком надійній мережі (наприклад, мережі, що складається лише з комп'ютерів у вашому власному домогосподарстві) у вас немає жодного з цих проблем. Але виходьте за межі такого обмеженого оточення і вам потрібно потурбуватися.

З комп'ютером, який не захищений пером, підключений до ненадійної мережі, ви потрапляєте в усі три положення. Хлопець на іншому кінці може використовувати дані, які ви йому надсилаєте, неналежним чином, або він може надсилати шкідливі дані у вашу систему. Навіть якщо хлопець з іншого кінця заслуговує на довіру, хтось із доступом до "труби" міг би читати / маніпулювати бітами та байтами, щоб витягнути ваші приватні дані або надіслати зловмисний вміст вам або іншим кінцем. І якщо хтось може підключитися до вашого комп'ютера без вашої згоди і маніпулювати його внутрішніми місцями, все піддається.

Довіряти іншому кінці, звичайно, є предметом судження з вашого боку. Ви (сподіваємось) використовуєте певний догляд і не здійснюєте операцій з бізнесом на сайтах, у яких не маєте вагомих причин довіряти (і ніколи не використовуєте дебетову карту для здійснення покупок в Інтернеті). І ви використовуєте антивірусні / брандмауери, які не дозволять зловмисному (або просто зламаному) сайту не встановлювати напасти на вашу скриньку.

Забезпечення хорошого, безкомпромісного з'єднання з іншим кінцем головним чином полягає у використанні зашифрованого протоколу. Для HTTP це, як правило, HTTPS - версія протоколу HTTP, яка додає рівень шифрування SSL "Secure Socket Layer". Усі авторитетні сайти, які займаються приватними / фінансовими питаннями, повинні використовувати протокол HTTPS (який ви знатимете, оскільки префікс URL-адреси "https:" і тому, що у вашому браузері відображається значок "замок" або формулювання типу "Перевірено: VeriSign, Inc ", якщо навести курсор миші на піктограму перед URL-адресою в адресному рядку). Є й інші підходи, такі як використання VPN (віртуальної приватної мережі), але вони більше для бізнесу / комерційних речей.

Що стосується того, щоб не допустити підключення поганих хлопців безпосередньо до вашої скриньки, це зводиться до наявності хорошого брандмауера. Це може бути програмне забезпечення для брандмауера на вашому комп’ютері (як частина антивірусного пакету, як правило) або як окремий апаратний блок. (Ця функція часто включається в бездротові маршрутизатори.)

Навіщо довіряти будь-якій мережі, великій чи маленькій? Довіра невловима, і, можливо, це найгірше слово, яке слід використати в цьому контексті. Під час проходження будь-якого мережевого кордону вам потрібно врахувати ризик та застосувати необхідне пом’якшення.

Недовірлива мережа - це будь-яка мережа, де мережею не керує група або відділ, який управляє приватною мережею.

Загальнодоступна мережа - це будь-яка мережа, яка управляється групою або відділом, яка управляє приватною мережею, але може отримати доступ до пристроїв у ненадійній мережі.

Приватна мережа - це будь-яка мережа, якою керує група або відділ, який має доступ лише до публічної мережі.