Kierunki rozwoju zabezpieczeń w sieciach TCP/IP Evolution of ...
Click here to load reader
Transcript of Kierunki rozwoju zabezpieczeń w sieciach TCP/IP Evolution of ...
Piotr Kijewski, Krzysztof SzczypiorskiInstytut TelekomunikacjiPolitechnika Warszawska, WarszawaE-mail: {P.Kijewski,K.Szczypiorski}@tele.pw.edu.pl
.LHUXQNL�UR]ZRMX�]DEH]SLHF]H�w sieciach TCP/IP
STRESZCZENIE:� DUW\NXOH� SU]HGVWDZLRQR� HZROXFM� ]DEH]SLHF]H�� Z� VLHFLDFK� 7&3�,3�� XZ]JOGQLDM�F� GZLHUyZQROHJOH�UR]ZLMDM�FH�VL�NODV\�PHWRG��V\VWHP\�RFKURQ\�LQIRUPDFML�RUD]�SURWRNRá\�]DEH]SLHF]H��LUR]V]HU]HQLD�DSOLNDFML��2PyZLRQR�VWDQ�REHFQ\�L�SU]\V]áR�ü��FLDQ�SU]HFLZRJQLRZ\FK��firewalls) orazsystemów wykrywania intruzów. Zaprezentowano metody ochrony informacji stosowane wposzczególnych warstwach sieci TCP/IP (w tym IPv6/IPsec, TLS/SSL, rozszerzenia aplikacji).
Piotr Kijewski, Krzysztof SzczypiorskiInstitute of TelecommunicationsWarsaw University of Technology, WarsawE-mail: {P.Kijewski,K.Szczypiorski}@tele.pw.edu.pl
Evolution of Information Securityin TCP/IP Networks
ABSTRACTThe paper describes the evolution of information security in TCP/IP networks, taking into accounttwo parallel lines of development: information security systems and security protocols, as well assecurity extensions to existing protocols and applications. The current state and future of firewallsand intrusion detection systems is outlined. Security mechanisms adopted in the different layers ofthe TCP/IP protocol stack are also presented (including IPv6/IPsec, TLS/SSL, applicationextensions).
Piotr Kijewski, Krzysztof SzczypiorskiInstytut TelekomunikacjiPolitechnika Warszawska, WarszawaE-mail: {P.Kijewski,K.Szczypiorski}@tele.pw.edu.pl
.LHUXQNL�UR]ZRMX�]DEH]SLHF]H�w sieciach TCP/IP
: DUW\NXOH SU]HGVWDZLRQR HZROXFM ]DEH]SLHF]H� Z VLHFLDFK 7&3�,3� XZ]JOGQLDM�F GZLH
UyZQROHJOH UR]ZLMDM�FH VL NODV\ PHWRG� V\VWHP\ RFKURQ\ LQIRUPDFML RUD] SURWRNRá\
]DEH]SLHF]H� L UR]V]HU]HQLD DSOLNDFML� 2PyZLRQR VWDQ REHFQ\ L SU]\V]áR�ü �FLDQ
przeciwogniowych (firewalls) oraz systemów wykrywania intruzów. Zaprezentowanometody ochrony informacji stosowane w poszczególnych warstwach sieci TCP/IP (w tymIPv6/IPsec, TLS/SSL, rozszerzenia aplikacji).
1. Wprowadzenie.ODV\F]QH�SURWRNRá\�URG]LQ\�7&3�,3���WZRU]RQH�SRGREQR�]�P\�O��R�RGSRUQR�FL�QD�DWDN�QXNOHDUQ\��QLH� ]DSHZQLDM�� SRGVWDZRZ\FK� XVáXJ� RFKURQ\� LQIRUPDFML� WDNLFK� MDN� NRQWUROD� GRVWSX�� SRXIQR�ü�LQWHJUDOQR�ü�� F]\� XZLHU]\WHOQLHQLH�� 3RGF]DV� SUDF� QDG� XGRVNRQDODQLHP� LFK� SRZVWDá\� GZLH� JUXS\
]DEH]SLHF]H��• systemy ochrony informacji ±� VSHFMDOLVW\F]QH�PHFKDQL]P\� DQDOL]XM�FH� G]LDáDQLH� SURWRNRáyZ
Z\PLDQ\�GDQ\FK��QS��V\VWHP\�Z\NU\ZDQLD�ZáDPD���• nowe SURWRNRá\�]DEH]SLHF]H��L�UR]V]HU]HQLD�DSOLNDFML�(np. Transport Layer Security).
&HOHP�DUW\NXáX�MHVW�SU]HGVWDZLHQLH�ORJLF]QHM�HZROXFML�SRV]F]HJyOQ\FK�NODV�PHWRG�]DEH]SLHF]H���]Hszczególnym zaznaczeniem kierunków ich rozwoju.
:� NROHMQ\FK� GZyFK� F]�FLDFK� DUW\NXáX� SU]HGVWDZLRQR� ZVSRPQLDQH� Z\*HM� GZLH� JUXS\� PHWRG
]DEH]SLHF]H�� �V\VWHP\�RFKURQ\� LQIRUPDFML�±� UR]G]��2�±�RUD]�SURWRNRá\� ]DEH]SLHF]H�� UR]V]HU]HQLDaplikacji - rozdz. 3���1DVWSQLH�SU]HGVWDZLRQR�LQQH�LVWRWQH�]GDQLHP�DXWRUyZ�]DJDGQLHQLD�]ZL�]DQH�]NV]WDáWRZDQLHP� VL� PHWRG� RFKURQ\� LQIRUPDFML� Z� VLHFLDFK� 7&3�,3� �UR]G]�� 4). W podsumowaniuSU]HGVWDZLRQR�QDMZD*QLHMV]H�ZQLRVNL�Sá\Q�FH�]�RSUDFRZDQLD��UR]G]��5).
W niniejszej pracy przez model sieci EG]LH� UR]XPLDQ\�czterowarstwowy model sieci TCP/IP.3RVWDQRZLRQR� WDN*H� SR]RVWDü� SU]\� DQJLHOVNLFK� RGSRZLHGQLNDFK� QLHNWyU\FK� PHFKDQL]PyZ
]DEH]SLHF]H���QS��circuit level JDWHZD\���JG\*�SROVNLH�Z�ZLNV]R�FL�SU]\SDGNyZ�QLH�LVWQLHM���D�MH�OLLVWQLHM��V��QLHF]\WHOQH�
2. Ewolucja systemów ochrony informacji:� QLQLHMV]\P� UR]G]LDOH� ]RVWDQ�� RPyZLRQH� GZD� FKDUDNWHU\VW\F]QH� GOD� VLHFL� 7&3�,3� V\VWHP\
ochrony informacji: �FLDQ\�SU]HFLZRJQLRZH��firewalls) i V\VWHP\�Z\NU\ZDQLD�ZáDPD�.
'OD� ND*GHJR� ]� V\VWHPyZ� SU]HGVWDZLRQR� NODV\ILNDFM�� HZROXFM� RUD]� ]DOHW\� L� ZDG\� REHFQLHVSRW\NDQ\FK�UR]ZL�]D��
=DVWRVRZDQLH� RE\GZX� NODV� MHVW� NRPSOHPHQWDUQH�� =DGDQLHP� �FLDQ� SU]HFLZRJQLRZ\FK� MHVW
NRQWURORZDQLH� GRVWSX� GR� SRGVLHFL� OXE� SRMHG\QF]HM� VWDFML�� -HVW� WR� ]DWHP� UROD� XNLHUXQNRZDQD� QD
]HZQ�WU]�� 6\VWHP\� Z\NU\ZDQLD� LQWUX]yZ� DQDOL]XM�� UXFK� ZHZQ�WU]� SRGVLHFL� L� SUDF� V\VWHPyZ
RSHUDF\MQ\FK� XPLHV]F]RQ\FK�Z�QLHM�� RSHUXM�� QD� LQIRUPDFMDFK�� NWyUH�PDM�� GRVWS� GR� WHM� SRGVLHFL�-HVW�WR�ZLF�UROD��LQWURZHUW\F]QD��
2.1 ��FLDQ\�SU]HFLZRJQLRZH��firewalls)
2.1.1 Zadania. Klasyfikacja�FLDQ\�SU]HFLZRJQLRZH��ILUHZDOOV��QDOH*��GR�SLHUZV]HM�JHQHUDFML�V\VWHPyZ�]DEH]SLHF]H��GOD�VLHFL7&3�,3��3RMDZLHQLH�VL�ILUHZDOOL�MHVW�RGSRZLHG]L��QD�]DJUR*HQLD�Z\QLNDM�FH�]�IDNWX��*H�Z�VLHFLDFK7&3�,3� ND*G\� Z]Há� PR*H� VNRPXQLNRZDü� VL� ]� GRZROQ\P� LQQ\P
1. )LUHZDOO� UHDOL]XMH� XVáXJNRQWUROL� GRVWSX� GR� Z\EUDQHM� ZDUVWZ\� VLHFL� SRSU]H]� ILOWURZDQLH� OXE� SR�UHGQLF]HQLH� Z
przekazywaniu jednostek danych2.
Rysunek 1�(ZROXFMD�L�SRG]LDá�V\VWHPyZ�W\SX�firewall
=H� Z]JOGX� QD� XPLHMVFRZLHQLH� Z� ZDUVWZDFK� VLHFL� �D� FR� ]D� W\P� LG]LH� QD� WHFKQLN� G]LDáDQLD�Z\Uy*QLD�VL�WU]\�NDWHJRUL�firewalli (Rysunek 1):• filtry pakietów �ZDUVWZ\��á�F]D�GDQ\FK��VLHFLRZD��WUDQVSRUWRZD��• circuit level gateway �QD�JUDQLF\�ZDUVWZ\�WUDQVSRUWRZHM�L�XVáXJRZHM����RGSRZLHGQLN��ZDUVWZ\
sesji w OSI RM),• application level gateway �ZDUVWZD�XVáXJRZD��
:�NROHMQ\FK�WU]HFK�SRGSXQNWDFK�RPyZLRQR�SRV]F]HJyOQH�W\S\��FLDQ�SU]HFLZRJQLRZ\FK�
2.1.2 Filtry pakietówPierwsze prymitywne filtry pakietów RSLHUDM��VZRMH�G]LDáDQLH�QD�DGUHVDFK�(UyGáD�L�SU]H]QDF]HQLDQD�SR]LRPLH�SURWRNRáX�,3�RUD]�QD�SR]LRPLH�ZDUVWZ\�QL*V]HM��QS��0HGLXP�Access Control - MAC wVLHFLDFK� /$1��� 1D� SRGVWDZLH� RNUH�ORQ\FK� GOD� DGUHVyZ� UHJXá�� ILOWU� GHF\GXMH� R� W\P�� F]\
�SU]HJO�GDQ\��SDNLHW�PD�E\ü�SU]HND]DQ\�GR�RGSRZLHGQLHJR�Z]áD�F]\�WH*�XVXQLW\��Pasywne filtrypakietów (static ILOWHUV�� GRGDWNRZR� DQDOL]XM�� QDJáyZHN� SURWRNRáX� ZDUVWZ\� WUDQVSRUWRZHM� �UR]Uy*QLDM��W\S�SURWRNRáX��7&3��8'3��RUD]�SRV]F]HJyOQH�IODJL��W\ONR�7&3���:�SU]\SDGNX�SURWRNRáX
EH]SRá�F]HQLRZHJR� MDNLP� MHVW�8'3�� ILOWU� SDNLHWX� QLH�PD�PR*OLZR�FL� Z\ZQLRVNRZDQLD� NRQWHNVWXZ\VáDQLD� GDWDJUDPX�� Z� 7&3� �SURWRNROH� SRá�F]HQLRZ\P�� LQIRUPDFMH� R� VWDQLH� SRá�F]HQLD� V�UHSUH]HQWRZDQH� QD� V]H�FLX� IODJDFK3
�� 3RZ\*V]HJR� RJUDQLF]HQLD� QLH� SRVLDGDM�� aktywne filtrypakietów (stateful, active lub dynamic ILOWHUV�� ]DFKRZXM�FH� NRQWHNVW� VHVML� SRPLG]\� DSOLNDFMDPL
SRSU]H]�XWZRU]HQLH��ZLUWXDOQHJR�SRá�F]HQLD��WDN*H�GOD�8'3�
1 podobnie jak dowolni abonenci sieci telefonicznej PSTN2NRQW\QXXM�F DQDORJL � �FLDQ SU]HFLZRJQLRZ� PR*QD SRUyZQDü GR SR�UHGQLF]�FHJR Z SRá�F]HQLDFK VHNUHWDULDWX
3QLHNWyU\FK XVáXJ ED]XM�F\FK QD 7&3 QLH PR*QD Z WHQ VSRVyE EH]SLHF]QLH ILOWURZDü �QS� DNW\ZQHJR ftp)
:DUVWZD XVáXJRZD3U\PLW\ZQ\
JDWHZD\
3U\PLW\ZQ\
ILOWU SDNLHWyZ
3UR[\
QLHSU]H]URF]\VWH
3UR[\SU]H]URF]\VWH
3DV\ZQ\ILOWU SDNLHWyZ
$NW\ZQ\ILOWU SDNLHWyZ
$GDSWDF\MQ\ILUHZDOO
&LUFXLW OHYHOJDWHZD\
:DUVWZD WUDQVSRUWRZD
$SSOLFDWLRQ OHYHO�JDWHZD\
)LOWU\ SDNLHWyZ
2.1.3 Application level gateways3LHUZV]��RGPLDQ�� firewalla typu application level gateway jest prymitywny gateway, który jakoGHG\NRZDQD�PDV]\QD�Z�VLHFL�ORNDOQHM�SR�UHGQLF]\�Z�NRPXQLNDFML�]�VLHFL��]HZQWU]Q���=Z\F]DMRZRtej klasy bramka jest nazywana bastion hostem.
%H]�SR�UHGQLFWZD�EDVWLRQ�KRVWD�QLH�MHVW�PR*OLZD�Z\PLDQD�GDQ\FK�SRPLG]\�DSOLNDFM��XUXFKRPLRQ�Z�VLHFL� ORNDOQHM�� D� DSOLNDFM�� UH]\GXM�F��Z� VLHFL� ]HZQWU]QHM��3UDFD� ]�SLHUZV]\PL�EDVWLRQ�hostamiSROHJDáD�QD�XUXFKRPLHQLX�QD�QLFK�]GDOQHM�VHVML��D�QDVWSQLH�QD�SRá�F]HQLX�VL�]�GRFHORZ��PDV]\Q��3RGVWDZRZ��ZDG� WHJR� UR]ZL�]DQLD� ��EH]SR�UHGQL�GRVWS�GR�NRQW�QD�JDWHZD\X� �� XVXZDM��proxy4
nieprzezroczyste. 3UR[\� QLHSU]H]URF]\VWH� V�� ]ZL�]DQH� ]� NRQNUHWQ\P� SURWRNRáHP� DSOLNDF\MQ\P� ±
]DWHP� ND*G\� ]� QLFK� Z\PDJD� ]DLPSOHPHQWRZDQLD� LQQHM� ZHUVML� PHFKDQL]PX�� $SOLNDFMH� RUD]
X*\WNRZQLF\�PXV]�� E\ü� SRLQIRUPRZDQL� R� REHFQR�FL� SUR[\� �EUDN� SU]H]URF]\VWR�FL�� ±� XWUXGQLD� WR]DUyZQR�]DU]�G]DQLH�VLHFL��MDN�L�SUDF�Z�QLHM��1DMQRZV]D�JHQHUDFMD�firewalli typu application levelJDWHZD\� MHVW� SR]EDZLRQD� WHM� XFL�*OLZHM� FHFK\� L� QRVL� QD]Z� proxy przezroczyste (transparentSUR[\��� :� W\P� SU]\SDGNX� �FLDQD� SU]HFLZRJQLRZD� �SU]HFKZ\WXMH�� SRá�F]HQLH� L� DXWRPDW\F]QLH
kieruje je na proxy.
2.1.4 Circuit-level gatewaysFirewalle typu circuit level JDWHZD\V� SHáQL�� URO� XRJyOQLRQ\FK� �DOH� QLH� GR� NR�FD� LQWHOLJHQWQ\FK�SUR[\���QLH�V��]ZL�]DQH�]�NRQNUHWQ\P�SURWRNRáHP�DSOLNDFML���']LNL�WHPX�WUDQVSRUW�GDQ\FK�SRSU]H]
bastion KRVWD�VWDMH�VL�]�SXQNWX�ZLG]HQLD�DGPLQLVWURZDQLD�VLHFL��R�ZLHOH�SURVWV]\��3R�RGSRZLHGQLPGRVWRVRZDQLX�RSURJUDPRZDQLD��QS��SR�ZáD�FLZHM�NRPSLODFML�NOLHQWD��circuit level gateways zawszeV��SU]H]URF]\VWH�GOD�X*\WNRZQLND5.
2.1.5 Adaptacyjny firewallAdaptacyjny firewall (adaptive lub cut-through firewall) MHVW�K\EU\G��WU]HFK�SRSU]HGQLFK�RGPLDQ�±
MHJR� G]LDáDQLH� SROHJD� QD� UyZQROHJá\P� ]DVWRVRZDQLX� ZV]\VWNLFK� PR*OLZ\FK� PHWRG� GR� REVáXJL
GDQHJR�UXFKX��RGSRZLHGQLH�SR�UHGQLF]HQLH�E�G(�ILOWURZDQLH���1S��SRF]�WNRZH�SRá�F]HQLH�NOLHQWD�]serwerem zostaje przeanalizowane na poziomie aplikacji przez SUR[\�SU]H]URF]\VWH��D�QDVWSQLH�SRSRGMFLX�GHF\]ML�QD�WHPDW�MHJR�FKDUDNWHUX�NROHMQH�SRUFMH�GDQ\FK�V��SU]HWZDU]DQH�SU]H]�DNW\ZQ\�ILOWUpakietów.
2.1.6 Zalety i wadyTabela 1 zawiera zestawienie zalet i wad obecnie spotykanych systemów typu firewall.
Tabela 1�=DOHW\�L�ZDG\�REHFQLH�GRVWSQ\FK�V\VWHPyZ�W\SX�firewall
Filtr pakietów Application level gateway Circuit level gateway Adaptacyjny firewall
zalety • V]\ENR�ü Z G]LDáDQLX ±
]QLNRP\ ZSá\Z QD REFL�*HQLH
Z]áD L VSDGHN SU]HSá\ZQR�FL
• HODVW\F]QR�ü
• EUDN EH]SR�UHGQLFK SRá�F]H�
• SU]H]URF]\VWR�ü
• PR*OLZR�ü XZLHU]\WHOQLHQLD
• DQDOL]D ]DZDUWR�FL LQIRUPDF\MQHM
± Z\GDQ\FK SROHFH� LWS��
• UR]EXGRZDQH PR*OLZR�FL
logowania
• EUDN EH]SR�UHGQLFK
SRá�F]H�
• SU]H]URF]\VWR�ü
• PR*OLZR�ü
uwierzytelnienia• szybszy od application
level gateway
• ]DOHW\ SR]RVWDá\FK
trzech klas
wady • EUDN PR*OLZR�FL
uwierzytelnienia• QLH UR]XPLH SURWRNRáX ZDUVWZ\
aplikacji• EH]SR�UHGQLD NRPXQLNDFMD ]
VLHFL� FKURQLRQ�
• HODVW\F]QR�ü
• trudna konfiguracja
• wolniejszy od filtrów pakietów iod circuit level gateway
• brak wsparcia dla nowszychSURWRNRáyZ �GR F]DVX QDSLVDQLD
RGSRZLHGQLFK PRGXáyZ�
• wolniejszy od filtrówpakietów
• QLH UR]XPLH SURWRNRáX
warstwy aplikacji
• QDGPLDU HODVW\F]QR�FL
�PR*OLZH XVWDZLHQLH
VáDEV]HJR WU\EX
zabezpieczenia)
4 V\VWHP SR�UHGQLF]�F\5REHFQLH ZLNV]R�ü RSURJUDPRZDQLD QLH Z\PDJD LQJHUHQFML
2.1.7 �3U]\V]áR�ü�firewalliEwolucja systemów ILUHZDOO� Z\GDMH� VL� E\ü� ]DNR�F]RQD�� =DXZD*DOQH� QD� U\QNX� WUHQG\� GRW\F]�SU]HGH� ZV]\VWNLP� XGRVNRQDOHQLD� LPSOHPHQWDFML� �VSHFMDOL]RZDQH� XNáDG\� F\IURZH��� GHG\NRZDQLD
�FLDQ\� SU]HFLZRJQLRZHM� MHGQHM� PDV]\QLH�� D� QLH� FDáHM� SRGVLHFL� �QD� FR� SR]ZDODM�� ZVSyáF]HVQHVZLWFKH���]ZLNV]HQLD�IXQNFMRQDOQR�FL��QS��RFKURQD�DQW\ZLUXVRZD�±�VirusWall).
&RUD]�F]�FLHM��FLDQ\�SU]HFLZRJQLRZH�]H]ZDODM��QD�NRQILJXURZDQLH�ZLUWXDOQ\FK�VLHFL�SU\ZDWQ\FK(VPN – Virtual Private 1HWZRUN��SRSU]H]�WZRU]HQLH�V]\IURZDQ\FK�NDQDáyZ�QS��QD�ED]LH�IPsec alboLQG\ZLGXDOQ\FK�UR]ZL�]D��SURGXFHQWyZ��2SUyF]�WHJR�F]VWR�ILUHZDOOH�V��Z\SRVD*RQH�Z�X*\WHF]Q�m.in. w zastosowaniach LQWUDQHWRZ\FK� IXQNFM� WUDQVODFML� DGUHVyZ�]�ZHZQWU]Q\FK�QD� internetowe(NAT – Network Address Translation).
2.2 �6\VWHP\�Z\NU\ZDQLD�ZáDPD�
2.2.1 Zadania. Klasyfikacja6\VWHP\� Z\NU\ZDQLD� ZáDPD�� (intrusion detection systems - IDS��� PLPR� *H� SRMDZLá\� VL� ZV]F]�WNRZHM�IRUPLH�SU]HG�ILUHZDOODPL��QDOH*��GR�GUXJLHM�JHQHUDFML�V\VWHPyZ�]DEH]SLHF]H��GOD�VLHFLTCP/IP. Poprzez ZáDPDQLH�UR]XPLDQD�MHVW�VHNZHQFMD�]GDU]H��]DJUD*DM�F\FK�EH]SLHF]H�VWZX�VLHFL�=DGDQLHP�,'6�MHVW�RGQRWRZDQLH�IDNWX�ZáDPDQLD��D�WDN*H�RGSRZLHGQLD�QD�QLH�UHDNFMD6.
Rysunek 2 Architektura Common Intrusion Detection Framework (por. [Ptacek98])
Przedstawiona w tej pracy klasyfikacja IDS oparta jest na architekturze CIDF (Common IntrusionDetection Framework - [Porras97]�� L� XZ]JOGQLD� IXQNFMRQDOQR�ü� V\VWHPyZ�� :HGáXJ� &,')� Z
V\VWHPDFK�Z\NU\ZDQLD�ZáDPD��PR*QD�Z\Uy*QLü�F]WHU\�NRPSRQHQW\��Rysunek 2):
6UHDNFMD PR*H SROHJDü QS� QD SRZLDGRPLHQLX DGPLQLVWUDWRUD SRSU]H] Z\VáDQLH NUyWNLHM LQIRUPDFML WHNVWRZHM �606� QD
WHOHIRQ NRPyUNRZ\ DOER QD RGFLFLX SRGHMU]DQHJR SRá�F]HQLD� Z WHM SUDF\ WUDNWXMHP\� *H UHDNFMD QDOH*\ GR IXQNFML ,'6
�LQDF]HM QL* Z >%DODVX����@�
*HQHUDWRU\
]GDU]H�V\VWHPRZ\FK
�(�ER[HV�
$QDOL]DWRU\
]GDU]H��$�ER[HV�
-HGQRVWNL
UHDJXM�FH�5�ER[HV�
%D]\ GDQ\FK
�'�ER[HV�
'UyGáR ]GDU]H� ]HZQWU]Q\FK
:\QLN� 5HDNFMD QD ]GDU]HQLD V\VWHPRZH
:\QLN� VNáDGRZDQLH ]GDU]H�
:\QLN� ]GDU]HQLD V\VWHPRZH
QD QLVNLP SR]LRPLH
:\QLN� ]GDU]HQLD
V\VWHPRZH QD
Z\VRNLP SR]LRPLH
• E-boxes (event generators)�� JHQHUDWRU\� ]GDU]H�� V\VWHPRZ\FK� �� DQDOL]XM�FH� ]HZQWU]QHzdarzenia,
• A-boxes (event analyzers) - aQDOL]DWRU\�]GDU]H��V\VWHPRZ\FK�
• D-boxes (event databases) - bazy danych,• R-boxes (response units)��MHGQRVWNL�UHDJXM�FH�
Rysunek 3�(ZROXFMD�L�SRG]LDá�V\VWHPyZ�,'6�]H�Z]JOGX�QD�(UyGáR�]GDU]HQLD�]HZQWU]QHJR
=H� Z]JOGX� QD� (UyGáR� ]GDU]HQLD� ]HZQWU]QHJR� �D� ]DWHP� L� XPLHMVFRZLHQLD� E-box) systemyZ\NU\ZDQLD�ZáDPD��G]LHOL�VL�QD�GZLH�JUXS\��Rysunek 3):• ED]XM�FH� QD� V\VWHPLH� RSHUDF\MQ\P� hosta (host EDVHG��� NWyUH� DQDOL]XM� LQIRUPDFMH� Z
SR]RVWDá\FK� ZDUVWZDFK� ]DLPSOHPHQWRZDQ\FK� Z� Z(OH� �� G]LDáDM�� QD� SR]LRPLH� V\VWHPX
operacyjnego (system based) lub uruchamianych w nim aplikacji (application based),• ED]XM�FH�QD�VLHFL�(network EDVHG���NWyUH�SRELHUDM��LQIRUPDFMH�]�ZDUVWZ\�á�F]D�GDQ\FK�SRSU]H]
SRGVáXFK�NDQDáX�WUDQVPLV\MQHJR��Z�W\P�Z\SDGNX�DQDOL]RZDQH�V���QDJáyZNL�SURWRNRáyZ��trafficEDVHG��OXE�]DZDUWR�ü�SROD�GDQ\FK��content based).
:� RGUy*QLHQLX� RG� �FLDQ� SU]HFLZRJQLRZ\FK�� NWyUH� RG� SRF]�WNX� VZRMHJR� LVWQLHQLD� RSHURZDá\� QDVWUXPLHQLDFK�GDQ\FK�Z�F]DVLH�U]HF]\ZLVW\P��SLHUZV]H�,'6�E\á\�V\VWHPDPL�off-line.
=H� Z]JOGX� QD� VSRVyE� DQDOL]\� GDQ\FK� �$�ER[HV�� Z\Uy*QLD� VL� V\VWHP\� Z\NU\ZDM�FH� anomalie(anomaly detection) i QDGX*\FLD�(misuse GHWHFWLRQ���:�V\VWHPLH�,'6�SU]\MPXMH�VL�SHZLHQ�PRGHO
VWDQGDUGRZHJR� ]DFKRZDQLD� X*\WNRZQLNyZ� VLHFL�� :V]HONLH� ]DFKRZDQLD� QLH]JRGQH� ]� SU]\MW\PL
]DVDGDPL� V�� X]QDZDQH� ]D� DQRPDOLH7�� 1DWRPLDVW� QDGX*\FLH� MHVW� URG]DMHP� ]DFKRZDQLD�� NWyUH� ,'6
rozpoznaje jako konkretny atak na system.
-HGQRVWNL� UHDJXM�FH� �5�ER[HV�� Z� QDMQRZV]\FK� V\VWHPDFK� ,'6� SRVLDGDM�� ]GROQR�ü� SRGHMPRZDQLD
GHF\]ML�PDM�F\FK�QD� FHOX� ]áDJRG]HQLH� VNXWNyZ�ZáDPDQLD��PRJ�� WH*� �SU]HNLHURZ\ZDü�� LQWUX]D� QDVSHFMDOQ��PDV]\Q�SXáDSN��6WDUH�V\VWHP\�MHG\QLH�ORJRZDá\�UR]SR]QDQH�]GDU]HQLD�L�LQIRUPRZDá\�R
tym administratora (por. przypis 6).
%D]\� GDQ\FK� �'�ER[HV�� ]DZLHUDM��� ]QDQH� Z]RUFH� DWDNyZ� �]ZDQH� QLHNLHG\� V\JQDWXUDPL��� SURILOH
]DFKRZD�� X*\WNRZQLNyZ� L� V\VWHPX�� �FLH*NL� �ODGyZ� �ORJL� Z\JHQHURZDQH� SU]H]� SR]RVWDáH
komponenty systemu).
2.2.2 Zalety i wady IDSTabela 2 zawiera zestawienie zalet i wad obecnie spotykanych systemów IDS.
7QS� ZLNV]H Z\NRU]\VWDQLH PRF\ REOLF]HQLRZHM� X*\FLH SU]H] X*\WNRZQLND QLHVWDQGDUGRZHJR VHNZHQFML NRPHQG
:DUVWZD XVáXJRZD
1HWZRUN EDVHGED]XM�FH QD VLHFL
+RVW EDVHGED]XM�FH QD V\VWHPLH RSHUDF\MQ\P KRVWD
3UR[\SU]H]URF]\VWH
:DUVWZD WUDQVSRUWRZD
:$1 EDVHG�,'0(3�
7UDIILF EDVHG &RQWHQW EDVHG
6\VWHP EDVHG $SSOLFDWLRQ EDVHG
'UyGáR ]GDU]H� ]HZQWU]Q\FK
Tabela 2 Zalety i wady systemów IDS
,'6 ED]XM�F\ QD
systemieoperacyjnym hosta8
,'6 ED]XM�F\ QD VLHFL ,'6 Z\NU\ZDM�F\
anomalieIDS
Z\NU\ZDM�F\
QDGX*\FLD
• áDWZR PRQLWRUXMH FDáH SRGVLHFL
• REVHUZXMH L LQWHUSUHWXMH ]GDU]HQLD QD QDMQL*V]HM ZDUVWZLH
sieci
Traffic based Content based
zalety • obserwuje iinterpretuje zdarzeniaZ NRQWHN�FLH ]QDQHJR
systemu operacyjnegoalbo aplikacji • JHQHUXMH PDá� LOR�ü ORJyZ
• QLH LQJHUXMH Z SU\ZDWQR�ü
sesji
• Z\NU\ZD ZLFHM DWDNyZ
QL* traffic based�DQDOL]XMH ]DZDUWR�ü�
• PR*H Z\NU\ZDü
nieznane ataki• PR*H
Z\NU\ZDü
znane ataki iich warianty
• WUXGQR RNUH�OLü FR VL G]LHMH QD GRFHORZHM VWDFML
• SRGDWQH QD WDNLH DWDNL W\SX RGPRZD XVáXJL� PRG\ILNDFMD
• VWUDWD SDNLHWyZ SU]\ ZLNV]\P REFL�*HQLX VLHFL
Traffic based Content based
wady • nie obserwuje warstwQL*V]\FK
• WUXGQR PRQLWRUXMH FDáH
podsieci• (potencjalnie) generuje
GX*R ORJyZ• Z\NU\ZD PQLHM DWDNyZ QL*
content based• QLH SRWUDIL DQDOL]RZDü
zaszyfrowanych danych• (potencjalnie) generuje
GX*R ORJyZ
• SRWHQFMDOQLH GX*D
LOR�ü IDáV]\Z\FK
ataków - trudnydobór odpowiednichparametrów pracy
• PR*OLZR�ü
"szkolenia" systemuSU]H] DWDNXM�FHJR
• PR*H
Z\NU\ZDü
tylko znaneataki
2.2.3 �3U]\V]áR�ü�V\VWHPyZ�,'6
:�SU]\V]áR�FL�SODQRZDQH�MHVW�UR]V]HU]HQLH�SROD�]DVWRVRZDQLD�,'6�GR�VLHFL�UR]OHJá\FK��QS��Internet)RUD]� Z\HOLPLQRZDQLH� REHFQ\FK� RJUDQLF]H�� �SRU��Tabela 2���:� W\P� FHOX� UR]ZLMDQ\� MHVW� SURWRNyá
IDMEP - Intrusion Detection Message Exchange 3URWRFRO���VWDQGDU\]XM�F\�Z\PLDQ�LQIRUPDFML�QD
WHPDW�Z\NU\W\FK�SU]\SDGNyZ�ZáDPD��SRPLG]\�Uy*Q\PL�V\VWHPDPL�RUD]�NRPSRQHQWDPL�,'69.
:DG\� ]ZL�]DQH� ]� QLHZ\VWDUF]DM�F�� LOR�FL�� LQIRUPDFML� SRFKRG]�F\FK� ]� SHUVSHNW\Z\� G]LDáDQLDZ\EUDQHJR� W\SX� ,'6� �QS�� ED]XM�FHJR� QD� V\VWHPLH� RSHUDF\MQ\P� KRVWD��PR*QD� UR]ZL�]Dü� SRSU]H]UR]SURV]HQLH� IXQNFMRQDOQR�FL� V\VWHPX� ,'6� QS�� SRSU]H]� ]DVWRVRZDQLH� DXWRQRPLF]Q\FK� DJHQWyZ
UH]\GXM�F\FK�Z�Z(OH�VLHFLRZ\FK��1DVW�SL�ZWHG\�NRUHODFMD�ZLDGRPR�FL�RGELHUDQ\FK�]H�ZV]\VWNLFKwarstw sieci.
'R�ü� VNRPSOLNRZDQD�Z\GDMH� VL� DQDOL]RZDQLH� SU]H]� ,'6� ]DV]\IURZDQHJR� VWUXPLHQLD� GDQ\FK��:
WDNLP� SU]\SDGNX� GOD� ZV]\VWNLFK� UHODFML� ]DXIDQLD� Z� VLHFL�� ,'6� PXVLDáE\� VWDü� VL� ]DXIDQ�� WU]HFL�VWURQ���E�G(�WH*�ZV]\VWNLH�V\VWHP\�RFKURQ\�LQIRUPDFML��QS��7/6���SRU��3.2��SRZLQQ\�PLHü�ZVSDUFLH
GOD�,'6���SU]HND]\ZDü�QLH]EGQH�GR�MHJR�SUDF\�GDQH�SR�XSU]HGQLP�RGV]\IURZDQLX�
2.3 �:VSyáSUDFD�V\VWHPyZ�Z\NU\ZDQLD�ZáDPD��]H��FLDQDPL�SU]HFLZRJQLRZ\PL
:HGáXJ� DXWRUyZ� WU]HFLD� JHQHUDFMD� SURGXNWyZ� ]DEH]SLHF]H�� EG]LH� á�F]\ü� Z� VRELH� IXQNFMHV\VWHPyZ� Z\NU\ZDQLD� ZáDPD�� L� �FLDQ� SU]HFLZRJQLRZ\FK�� ,QWHJUDFMD� ZSá\QLH� QD� ZLNV]�HODVW\F]QR�ü� SU]\� UHDJRZDQLX� QD� DQRPDOLH� F]\� WH*� QDGX*\FLD�� D� WDN*H� ]PQLHMV]\� UHGXQGDQFMH
informacji przechowywanych w bazach danych.
3. �(ZROXFMD�SURWRNRáyZ�]DEH]SLHF]H��L�UR]V]HU]H��DSOLNDFML(ZROXFM� SURWRNRáyZ� ]DEH]SLHF]H�� L� UR]V]HU]H�� DSOLNDFML� ZLGDü� QD� SU]\NáDG]LH� ]PLDQ\� ZDUVWZ
modelu sieci (Rysunek 4��� 'OD� SRV]F]HJyOQ\FK� SURWRNRáyZ� L� DSOLNDFML� V�� ]DXZD*DOQH� GZDpodstawowe kierunki:• rozbudowanie (wzbogacenie) WHJR�FR�MHVW�±�SRWUDNWRZDQLD�EH]SLHF]H�VWZD�MDNR�RSFML�• zmiana WHJR�FR�MHVW�±�SRWUDNWRZDQLD�]DEH]SLHF]H��MDNR�QLH]EGQHM�VNáDGRZHM�
8 system based i application based9 por. Rysunek 3 - WAN EDVHG � ,'6 ED]XM�F\ QD VLHFL UR]OHJáHM
Rysunek 4 Ewolucja poszczególnych warstw sieci TCP/IP
=D� SLHUZV]\P� WUHQGHP� SU]HPDZLD� SU]HGH� ZV]\VWNLP� HODVW\F]QR�ü�� EUDN� NRQIOLNWyZ� QDWXU\prawnej10, cena11
��=D�GUXJLP�±�SHáQD�L�EH]ZDUXQNRZD�UHDOL]DFMD�XVáXJ�RFKURQ\�LQIRUPDFML�
:DUWR� GRGDü�� *H� ]DEH]SLHF]HQLD� Z� SRV]F]HJyOQ\FK� ZDUVWZDFK� SRZLQQ\� E\ü� UHDOL]RZDQH
QLH]DOH*QLH�
:� G]LHG]LQLH� X*\ZDQ\FK� DOJRU\WPyZ� NU\SWRJUDILF]Q\FK� ]DXZD*DOQ\� MHVW� Z]URVW� ]DLQWHUHVRZDQLDsystemem uzgodnienia klucza Diffie-Hellman (DH – [Diffie77]) rozszerzonym o uwierzytelnienie]D�SRPRF�� �SRGSLVyZ�F\IURZ\FK�'66� �Digital Signature Standard – [FIPS186]), kosztem spadkuSRSXODUQR�FL� V\VWHPX� 56$� �Rivest Shamir Adleman – [Rivest78]). Wynika to z problemów]ZL�]DQ\FK�]�SDWHQWDPL
12��&RUD]�ZLNV]��URO�]DF]\QDM��RGJU\ZDü�V\VWHP\�NU\SWRJUDILF]QH�RSDUWH
na krzywych eliptycznych [Menezes96].
:� NROHMQ\FK� WU]HFK� SRGUR]G]LDáDFK� SU]HGVWDZLRQR� HZROXFM� SRV]F]HJyOQ\FK� ZDUVWZ� VLHFL�� ]Z\á�F]HQLHP�ZDUVWZ\�á�F]D�GDQ\FK��NWyUD�Z\FKRG]L�SR]D�]DNUHV�WHJR�RSUDFRZDQLD�
3.1 Warstwa sieciowa3URWRNyá� ,3� ZHUVMD� �� ±� VHUFH� NRPXQLNDF\MQH� VLHFL� 7&3�,3� ±� QLH� ]DZLHUD� Z� VRELH� *DGQ\FK� XVáXJochrony informacji13
�� $WDNL� W\SX� RGPRZD� XVáXJL�� SRGVáXFK� LQIRUPDFML�� QLHDXWRU\]RZDQD
PRG\ILNDFMD�LQIRUPDFML��SRGV]\FLH�VL�V��GR�ü�UR]SRZV]HFKQLRQH�
1DVWSQD�ZHUVMD�SURWRNRáX�,3Y���,3�ZHUVMD�V]yVWD�>5)&����@��]DZLHUD�ZVSDUFLH�GOD�XVáXJ�RFKURQ\LQIRUPDFML��3URSRQRZDQH�GZD�PHFKDQL]P\�EH]SLHF]H�VWZD�WR��IP Authentication Header (AH) -QDJáyZHN� XZLHU]\WHOQLDM�F\� �� ]DSHZQLDM�F\� LQWHJUDOQR�ü� L� XZLHU]\WHOQLHQLH� >5)&����@�� IPEncapsulating Security Payload� �(63�� �� EH]SLHF]QD� NRSHUWD� �� ]DSHZQLDM�FD� ]DZV]H� SRXIQR�ü� L]DOH*QLH� RG� X*\WHJR� DOJRU\WPX� L� WU\EX� WDN*H� LQWHJUDOQR�ü� L� XZLHU]\WHOQLHQLH� >5)&����@�
:VSRPQLDQH�PHFKDQL]P\� ]RVWDá\� WDN*H� ]DDGDSWRZDQH� GOD� ,3Y�� ±� WDN� UR]V]HU]RQ\� SURWRNyá� QRVLQD]Z�IPsec.
'\VWU\EXFMD� NOXF]D� SRá�F]RQD� ]� XZLHU]\WHOQLHQLHP� MHVW� UHDOL]RZDQD� ]D� SRPRF�� SURWRNRáX� ,.(� ±Internet Key Exchange [RFC2409].
10 RJUDQLF]HQLD Z X*\ZDQLX NU\SWRJUDILL Z QLHNWyU\FK SD�VWZDFK �QS� )UDQFMD� 5RVMD�11QLH WU]HED ]PLHQLDü RG UD]X FDáHJR RSURJUDPRZDQLD L VSU]WX
12QD '+ SDWHQW MX* Z\JDVá
13E\á SURMHNWRZDQ\ Z ODWDFK ���
:DUVWZD�XVáXJRZD
:DUVWZD�WUDQVSRUWRZD
:DUVWZD�XVáXJRZD]PLDQD�Z]ERJDFHQLH SURWRNRáyZ
:DUVWZD�WUDQVSRUWRZD
3RGZDUVWZD SR�UHGQLF]�FD
,3
7&3�8'3
QS� +773� )73� 6073
,3Y�� ,3VHF
66/�7/6
QS� 6�+773
3.2 Warstwa transportowa:�ZDUVWZLH� WUDQVSRUWRZHM� ]ZLNV]D� VL� EH]SLHF]H�VWZR� SRSU]H]�dodanie podwarstwy – TLS -Transport Layer Security >5)&����@� �� SR�UHGQLF]�FHM� Z� Z\PLDQLH� GDQ\FK� ]� DSOLNDFMDPL
(Rysunek 5��� =DSHZQLD� WR� EH]SLHF]Q�� ZDUVWZ� JQLD]G� WUDQVSRUWRZ\FK� �FR� NRUHVSRQGXMH� ]SRSU]HGQL��QD]Z��V\VWHPX��66/���Secure Socket /D\HU���7/6�VNáDGD�VL�]�GZyFK�ZDUVWZ��ZDUVWZ\]DU]�G]DQLD� EH]SLHF]H�VWZHP� SRá�F]HQLD� �7/6� Handshake Protocol14
�� RUD]� ZDUVWZ\� WZRU]�FHMMHGQRVWNL� SURWRNRáX� 7/6� �7/6� Record Protocol) zgodnie z wynegocjowanym kontekstem�DOJRU\WP\� V]\IUXM�FH�� NRPSUHVMD� GDQ\FK��� 3U]\� QDZL�]\ZDQLX� SRá�F]HQLD� ]D� SRPRF�� 7/6X]JDGQLDQ\� MHVW�SU]\�X*\FLX�DOJRU\WPyZ�NOXF]D�SXEOLF]QHJR�NOXF]� VHV\MQ\��'DQH�V]\IURZDQH� W\P
NOXF]HP� FKURQL�� LQIRUPDFMH� SU]HG� SRGVáXFKHP�� 'RGDWNRZR� LVWQLHMH� PR*OLZR�ü� XZLHU]\WHOQLHQLDNOLHQWD� E�G(� VHUZHUD�� 7/6� Z� REHFQHM� IRUPLH� �ZHUVMD� ����� SRVLDGD� NLOND� RJUDQLF]H��� Z\PDJD
QLH]DZRGQHJR�SURWRNRáX�WUDQVSRUWRZHJR��7&3���QLH�PD�ZVSDUFLD�GOD�proxy, wymaga zastosowaniaNRV]WRZQ\FK�REOLF]HQLRZR�DOJRU\WPyZ�NOXF]D�SXEOLF]QHJR��7UZDM��SUDF�QDG�]LQWHJURZDQLHP�7/6
z innymi (”starymi”) systemami kryptograficznymi takimi jak np. Kerberos.
1DOH*\�VL�VSRG]LHZDü��*H�FRUD]�ZLFHM�XVáXJ�Z�VLHFLDFK�7&3�,3�EG]LH�PLDáR�ZVSDUFLH�GOD�7/615.
:SURZDG]HQLH� 7/6� �D� SU]HGWHP� 66/�� SRáR*\áR� NUHV� QLHXGDQ\P� SRG� Z]JOGHP� HODVW\F]QR�FLSUyERP�EH]SR�UHGQLHM�LQJHUHQFML�Z�SURWRNRá\�ZDUVWZ\�WUDQVSRUWRZHM�±�7&3�L�8'3��]DSRPQLDQH�MX*koncepcje typu Secure TCP).
Rysunek 5�3URWRNyá�7/6��VFKHPDW��XPLHMVFRZLHQLH�Z�PRGHOX�VLHFL�7&3�,3
3.3 �:DUVWZD�XVáXJRZD
=DEH]SLHF]HQLH� ZDUVWZ\� XVáXJRZHM� MHVW� UyZQLH� ERJDWH� MDN� LOR�ü� Z\VWSXM�F\FK� Z� QLHM� DSOLNDFML�1DMVLOQLHM�GDM��VL�]DREVHUZRZDü�ZVSRPQLDQH�ZF]H�QLHM�GZD�UyZQROHJáH�WUHQG\�• Z]ERJDFHQLH�VWDUHJR�SURWRNRáX�
• ]DSURSRQRZDQLH�QRZHJR�SURWRNRáX�]�]DEH]SLHF]HQLDPL�
7DN*H�FRUD]�F]�FLHM�Z\NRU]\VWXMH�VL�ZVSDUFLH�QD�SR]LRPLH�ZDUVWZ\�WUDQVSRUWRZHM��7/6�66/��
(OHPHQWHP� ZVSyOQ\P� GOD� EH]SLHF]H�VWZD� ZLNV]R�FL� XVáXJ� MHVW� LFK� SRZL�]DQLH� ]� V\VWHPHP
nazywania domen DNS - Domain 1DPH�6\VWHP��6\VWHP�WHQ�GHILQLXMH� UHODFMH�SRPLG]\�DGUHVDPL
warstwy IP (w IPv4 32-bitowe) a hierarchicznymi nazwami sieci, podsieci i maszyn. DNS jestSRGDWQ\� QD� DWDN� SRGV]\FLD� VL� �� VW�G� WH*� ]DSURSRQRZDQH� UR]V]HU]HQLH� >5)&����@� ±� QD]\ZDQHczasem DNSSEC16
� �� X]XSHáQLD� V\VWHP� R� XVáXJ� XZLHU]\WHOQLHQLD� SRSU]H]� ]DVWRVRZDQLH
14 Z SRGZDUVWZLH Z\VWSXM� WU]\ SURWRNRá\� Handshake protocol (uzgodnienie), Alert SURWRFRO �REVáXJD EáHGyZ��
Change ciper spec protocol (zmiana kryptosystemów)15 REHFQLH V� WR P�LQ�� +773� 6073� 1173� )73� 7(/1(7� ,0$3�� ,5&� 323�16 od nazwy grupy IETF
7&3
:DUVWZD XVáXJRZD
7UDQVSRUW /D\HU 6HFXULW\
7/6 5HFRUG 3URWRFRO
7/6 +DQGVKDNH 3URWRFRO&KDQJHFLSKHUVSHF
SURWRFRO
$OHUWSURWRFRO
+DQGVKDNHSURWRFRO
6073+773 1173 )73 ���
GRGDWNRZHJR� SROD� ]� SRGSLVHP� F\IURZ\P� SRWZLHUG]DM�F\P�ZLDGRPR�ü�� 'RGDWNRZR� QD� SR]LRPLH
'16�PR*H�E\ü�UHDOL]RZDQD�G\VWU\EXFMD�NOXF]D�±�WDN*H�QD�SRWU]HE\�LQQ\FK�XVáXJ�
Rysunek 6�=DOH*QR�ü�SRPLG]\�Z\EUDQ\PL�PHFKDQL]PDPL�]DEH]SLHF]H��D�XVáXJDPL�Z
sieciach TCP/IP
Rysunek 6� LOXVWUXMH�]DOH*QR�FL� SRPLG]\�wybranymi PHFKDQL]PDPL� ]DEH]SLHF]H�� D� XVáXJDPL�Z
sieciach TCP/IP:• PGP (Pretty Good Privacy) i PEM (Privacy Enhancement for Internet Electronic Mail) –
V\VWHP\� RFKURQ\� ZLDGRPR�FL� Z\PLHQLDQ\FK� ]D� SRPRF�� SRF]W\� HOHNWURQLF]QHM�� D� WDN*H� JUXSdyskusyjnych News,
• S/MIME (Secure/Multipurpose Internet Mail ([WHQVLRQV�� ±� UR]V]HU]HQLH� R� XVáXJL� RFKURQ\informacji systemu przekazywania obiektów PXOWLPHGLDOQ\FK� SRSU]H]� SRF]W� HOHNWURQLF]Q��JUXS\�G\VNXV\MQH�L�SURWRNyá�+773�
• S-HTTP (6HFXUH�+773��±�]PLDQD�SURWRNRáX�+773�
• OTP (One Time 3DVVZRUG��±�V\VWHP�KDVHá�MHGQRUD]RZ\FK��G\QDPLF]Q\FK��
• SSH (Secure 6KHOO�� ±� V\VWHP� ]DEH]SLHF]H�� DSOLNDFML� �NOLHQW�VHUZHU�� G]LDáDM�F\� SRGREQLH� GRTLS.
:� RGUy*QLHQLX� GR� LQQ\FK� ZDUVWZ� EH]SLHF]H�VWZR� ZDUVWZ\� XVáXJRZHM� MHVW� QLHMHGQROLWH�
3U]\SXV]F]DP\��*H�RNUH�OHQLH�ZVSyOQHM�SODWIRUP\�]DU]�G]DQLD� �Z� W\P�V\VWHPX�FHUW\ILNDFML�NOXF]\
SXEOLF]Q\FK�� GOD� ]DEH]SLHF]H�� SR]ZROL� QD� XSRU]�GNRZDQLH� SURWRNRáyZ� UR]V]HU]DM�F\FKEH]SLHF]H�VWZR�DSOLNDFML�
4. Inne istotne zagadnienia2SUyF]� ZVSRPQLDQ\FK� Z� SRSU]HGQLFK� UR]G]LDáDFK� WUHQGyZ� Z\GDMH� VL� QDP�� *H� WU]\� SRQL*V]H]DJDGQLHQLD�V��LVWRWQH�]�SXQNWX�ZLG]HQLD�UR]ZRMX�]DEH]SLHF]H��• rozwój komunikacji grupowej (multicast) – jako zmiana unicastowej optyki postrzegania
ochrony informacji,• QRZD�JHQHUDFMD�SURWRNRáyZ�]DEH]SLHF]H��(SNMPv3 – Simple Network Management Protocol
version 3) – która zezwoli17 na bezpieczne sterowania zasobami sieci TCP/IP,• ujednolicenie systemów certyfikacji klucza publicznego (na razie proponowane jest X.509)
ewentualnie wprowadzenie procedur PHWDFHUW\ILNDFML� �MHGHQ� Z]Há� SRWZLHUG]D� FHUW\ILNDW\Z\GDQH�Z�Uy*Q\FK�V\VWHPDFK��
Stworzenie infrastruktury klucza publicznego (PKI – Public Key ,QIUDVWUXFWXUH�� XáDWZLáRE\
]DU]�G]DQLH�RFKURQ��LQIRUPDFML�Z�VLHFLDFK�7&3�,3�SU]H]�REVáXJ�MHGQROLWHM�SODWIRUP\�GR�UHDOL]DFML
XVáXJ�EH]SLHF]H�VWZD��:�GDOV]HM�SHUVSHNW\ZLH�QD�ED]LH�3.,�EG��WZRU]RQH�QRZH�XVáXJL�WDNLH�MDN�F\IURZL�QRWDULXV]H��DQRQLPRZH�JáRVRZDQLH��V\VWHP\�SRWZLHUG]RQHM�GRVWDZ\�
176103Y� RUD] MHJR PXWDFMH QLH ]\VNDá\ SRSXODUQR�FL
6073 +7731173 )733URWRNRá\]GDOQHMSUDF\
3(0� 3*3 6�0,0( 6�+773 273 66+
:DUVWZD XVáXJRZD
'16
'166(&
���
5. Podsumowanie3U]HGVWDZLRQH�Z�SUDF\�NLHUXQNL�UR]ZRMX�]DEH]SLHF]H��SU]HELHJDM��GZLHPD�UyZQROHJá\PL�GURJDPL�
7ZRU]RQH� V�� VSHFMDOLVW\F]QH� V\VWHP\� RFKURQ\� LQIRUPDFML� RUD]� QRZH� SURWRNRá\� ]DEH]SLHF]H�� LUR]V]HU]H��DSOLNDFML��5R]ZyM� MHGQHM�JUXS\�PHWRG�QLH�]DKDPXMH�HZROXFML�GUXJLHM� �QS��firewalle nie]RVWDQ��Z\SDUWH�SU]H]�,3Y���
6WDWXV� �FLDQ� SU]HFLZRJQLRZ\FK�Z\GDMH� VL� E\ü� VWDELOQ\�� QDWRPLDVW� V\VWHP\�Z\NU\ZDQLD� LQWUX]yZ
F]HND�PLJUDFMD�Z�VWURQ� VLHFL�:$1��]ZLNV]HQLH� IXQNFMRQDOQR�FL�SRSU]H]� VNRRUG\QRZDQLH�SUDF\QD�SR]LRPLH�VLHFL� L� DSOLNDFML�RUD]�DQDOL]RZDQH�GDQ\FK�]� Uy*Q\FK�(UyGHá��:VSRPQLDQH� V\VWHP\�V��FL�OH�]ZL�]DQH�]�DSOLNDFMDPL�±�Z�V]F]HJyOQR�FL�]DVWRVRZDQLH�NU\SWRJUDILL�Z�ZDUVWZLH�XVáXJ�PR*HNRPSOLNRZDü�LFK�G]LDáDQLH�
:�SU]\SDGNX�HZROXFML�VWRVX�SURWRNRáyZ�QDMZLNV]H�QDG]LHMH�SRNáDGD�VL�Z�7/6��7UDQVSRUW�Layer6HFXULW\���]GHF\GRZDQLH�PQLHMV]H�Z�,3Y��,3VHF��=DEH]SLHF]HQLH�NRPXQLNDFML�SRPLG]\�DSOLNDFMDPL
MX*� WHUD]� RSLHUD� VL� JáyZQLH� QD� 7/6�� WUH�ü� QD� SR]LRPLH� XVáXJ� MHVW� FKURQLRQD� ZáD�FLZLH� W\ONR� Zpoczcie elektronicznej.
Ujednolicenie systemów certyfikacji klucza publicznego – stworzenie infrastruktury kluczaSXEOLF]QHJR�±�SRZLQQR�XáDWZLü�]DU]�G]DQLH�EH]SLHF]H�VWZHP�Z�VLHFLDFK�7&3�,3�
:DUWR� ]DXZD*\ü��*H� WZRU]HQLH� ]DEH]SLHF]H��Z� VLHFLDFK�7&3�,3� MHVW� SLHUZRWQH�Z]JOGHP� LQQ\FK
�URGRZLVN� VLHFLRZ\FK�� 3U]\NáDGHP� WHJR� PRJ�� E\ü� V\VWHP\� Z\NU\ZDQLD� LQWUX]yZ�� NWyUH� Z
]PRG\ILNRZDQHM� IRUPLH� PRJ�� WZRU]\ü� �FRUD]� SRSXODUQLHMV]H� Z�UyG� RSHUDWRUyZ� VLHFL
WHOHNRPXQLNDF\MQ\FK��V\VWHP\�]DU]�G]DQLD�QDGX*\FLDPL��fraud management systems).
Literatura[Balasu1998] J. Balasubraminiyan, J. Garcia-Fernandez, D. Isacoff, E. Spafford, D. Zamboni - An
Architecture for Intrusion Detection using Autonomous Agents - COAST TechnicalReport 98/05 - June 1998
[Diffie77] W. Diffie, M. E. Hellman - New Directions in Cryptography - IEEE Transactions onInformation Theory, V. IT-22, n. 6, June 1977
[FIPS186] NIST FIPS PUB 186 - Digital Signature Standard - National Institute of Standardsand Technology, U.S. Department of Commerce, May 18, 1994.
[Menezes96] A.Menezes, P. van Oorschot, S.Vanstone - Handbook of Applied Cryptography -CRC Press, October 1996
[Porras97] P. Porras, D. Schnackenberg, S. Staniford-Chen i in. - The Common IntrusionDetection Framework Architecture - 1997
[Ptacek98] T. Ptacek, T. Newsham - Insertion, Evasion and Denial of Service: Eluding NetworkIntrusion Detection - Secure Networks Inc., January 1998
[RFC2246] T. Dierks, C. Allen - The TLS - Protocol Version 1.0 - RFC 2246, January 1999[RFC2401] S. Kent, R. Atkinson - Security Architecture for the Internet Protocol, RFC 2401,
November 1998[RFC2402] S. Kent, R. Atkinson - IP Authentication Header, RFC 2402, November 1998[RFC2406] S. Kent, R. Atkinson - IP Encapsulating Security Payload, RFC 2406, November
1998[RFC2409] D. Harkins, D. Carrel - The Internet Key Exchange (IKE), RFC 2409, November
1998[RFC2535] D. Eastlake - Domain Name System Security Extensions - Eastlake - RFC 2535,
March 1999[Rivest78] R. Rivest, A. Shamir, L. M. Adleman - A Method for Obtaining Digital Signatures
and Public-Key Cryptosystems - Communications of the ACM, v. 21, n. 2, February1978