خريطة الشبكات تترجم إلى جرافين
التركيب الجيومتري للشبكات هو جرافين
كل شبكة حاسوبية لديها تركيب: ترتيب الجيومتري لعناصر النقطة (الأجهزة) وخطوط الربط (الاتصال). التركيب يحدد قابلية الشبكة للتعرض للخطأ والربط بالباند وخصائص الأمن.
خمسة تراكيب أساسية:
- النجوم: مركز واحد، كل الأعضاء متصلون به. بسيط وكosten. نقطة واحدة من الفشل: إذا مات المركز، جميع الأشياء تموت. N-1 خطوط للنقاط N.
- الدائري: الأعضاء يتشكلون دائرة، كل منها متصل بثلاثة جيران. انقسام شبكة واحدة يسبب انقسام الشبكة. N خطوط للنقاط N.
- الباص: جميع الأعضاء متصلون بشبكة كابل واحدة. رخيص ولكن عرضة للتصادم. فشل كابل واحد يهزم كل شيء.
- الشبكة: كل جهاز متصل بكل جهاز آخر. إعادة تدوير مفرط. شبكة كاملة مع N الأعضاء لديها N(N-1)/2 خطوط: أي O(N²) اتصالات. مكلف ولكن مقاوم للتعرض للخطأ.
- النبات: تركيب هرمي. N-1 خطوط (الحد الأدنى للشبكة المتصلة). فشل الجذر يفرق بين الأشجار الفرعية.
شبكات الحقيقة هي هجينة: نواة الشبكة المشتركة مع طبقات الوصول النجمية، هرمات التوجيه المترسقة وثنية الدائرة في نقاط الحرجة.
التركيب والثبات ضد التعرض للخطأ
لدى مركز البيانات 20 جهازًا. الفريق المسؤول يخالف بين شبكة مشتركة كاملة وتركيب النجم لشبكة المركز الداخلي.
جبر الإشتراكات الأمنية
Attack Surface = Geometric Boundary
في مجال الأمن السيبراني، نطاق الهجوم هو مجموع النقاط التي يمكن أن يتفاعل بهجوم مع نظام. فكريًا هندسيًا: نظامك هو شكل، وكل نقطة على حدوده هي نقطة محتملة دخول.
أجزاء نطاق الهجوم:
- نطاق الشبكة: كل منفذ مفتوح على كل عنوان IP عام. يحتوي سرver مع 5 منافذ مفتوحة على 5 نقاط على حدود طبقة الشبكة.
- نطاق التطبيق: كل نقطة الوصول إلى API، كل مسار URL، كل مدخل نموذج. تطبيق ويب مع 200 مسارًا لديه 200 نقطة حدودية طبقة التطبيق.
- نطاق البشر: كل موظف لديه أسماء المستخدمين، كل هدف للهجمات الاجتماعية. الهجمات الاجتماعية تهدف إلى الحدود البشرية.
- نطاق الجسدي: كل باب غرفة الخادم، كل منفذ USB، كل منفذ شبكة.
المبدأ الجيومتري: تحسين الأمان من خلال تقليل الحدود بين المناطق الموثوقة وغير الموثوقة. جهاز الحفاظ على النار يحدد حدودًا جيومترية: المرور داخلها موثوق به، والمرور خارجها ليس كذلك. عدد أقل من الثقوب في تلك الحدود يقلل من نطاق الهجوم.
هذا يشرح لماذا مبدأ الأقل تحكم هو جيو متري: منح كل مكون الحدود الأقل تعريض للمخاطر التي تحتاج إلى تشغيلها.
تقليل نطاق الهجوم
تتخذ شركة تدير تطبيق ويب مع التعرّض التالي: 12 نقطة وصول API عامة، SSH مفتوح على جميع 50 خادم (منفذ 22)، قاعدة بيانات مع عنوان IP عام، ومكتب إدارة متاح من الإنترنت.
الرسوم البيانية والشجيرات الخاطفة
التهييد يستخدم نظرية الرسم البياني
تستخدم المختصين بالأمن يرسمون التهديدات كرسوم بيانية موجهة. تركيب هذه الرسم البياني يكشف عن مسارات الهجوم، الأهداف ذات القيمة العالية، وأولويات الدفاع.
نماذج الهجوم: تمثيل الدولعات النظامية (أو الأنظمة الفردية). الضلوع الموجهة تمثيل انتقال المحتمل: الاستغلال، والتنقل الجانبي، وتحسين الحقوق. مسار الهجوم هو مشي عبر هذا الرسم البياني من عقدة خارجية إلى هدف عقدة.
شجرة الهجوم: نموذج رسومي مخصص. عقدة الجذر هي هدف المهاجم (على سبيل المثال 'سرقة قاعدة البيانات'). العقدة التابعة هي وسائل لتحقيق الهدف الأب. الأوراق هي أعمال الهجوم المادية. عقدة AND تتطلب نجاح جميع الأطفال؛ عقدة OR تتطلب فقط واحدة.
مؤشرات الرسوم البيانية تحدد الأهداف ذات القيمة العالية:
- مؤشر الوسطانية بيني: عقدة تمر عبر العديد من أسرع الطرق. في شبكة، هذا هو نقطة الانزلاق: استغلالها يتيح لك التحكم في تدفق المرور. جهاز الحماية من الفيروسات أو محرك الأقراص قد يكون له تأثير وسطاني بيني مرتفع.
- مؤشر درجة الوسطانية: عقدة بها العديد من العلاقات. في نماذج الهجوم، هي هدف التنقل الجانبي ذو القيمة العالية.
الطريق الأقصر = أكثر محتملي محاولة الهجوم: المهاجمون يتناسبون بأقل عدد من الخطوات. الطريق الأقصر في نموذج الهجوم من الإنترنت إلى قاعدة البيانات هو أكثر محتملي مسار الهجوم. الدفاع يعني جعل هذا الطريق الأقصر أطول: إضافة العقد (تحكمات الأمان) التي يجب على المهاجم عبورها.
تحليل نموذج الهجوم
خذ شبكة لهذا التركيب: الإنترنت → خادم الويب → خادم التطبيق → قاعدة البيانات. خادم الويب يتواصل أيضًا مع خادم الملف. خادم التطبيق يتواصل مع خادم النسخ الاحتياطي. هدف المهاجم هو قاعدة البيانات.
تستخدم نظرية الأشكال المخروطية
الأشكال المخروطية: حيث تصبح الجيوم تشفير
الترتيب الهندسي للمكلفات المخاطرة (ECC) هو أحد الأماكن النادرة التي يتم فيها بناء الأمان على العمليات الهندسية.
المحور الإليبتيكي هو مجموعة النقاط (x, y) التي تفي بالمعادلة: y² = x³ + ax + b ( плюس نقطة خاصة 'نقطة الأinfinity'). على الأعداد الحقيقية، يبدو ذلك مثل محور سلسلة ومستقيم.
إضافة النقاط: العملية الهندسية التي تجعل التشفير يعمل:
1. اختر نقطتين P & Q على المحور.
2. اختر خط مستقيمًا من خلال P & Q.
3. يلتقي هذا الخط مع المحور في نقطة أخرى R'.
4. انعكاس R' فوق المحور x للحصول على R = P + Q.
هذه 'عملية الإضافة' تشكل مجموعة رياضية: هي مرتكزة، لديها عنصر هو (نقطة الأinfinity)، وله كل نقطة معكوس.
ضرب النقطة بالمعامل: إضافة النقطة P لنفسها k مرات تعطي kP. التقدّم (حساب kP مع معرفة k و P) سريع: O(log k) عمليات باستخدام الضرب والإضافة. العكس (عثور على k مع معرفة P و kP) هو مشكلة الوراثة المحددة على المحور الإليبتيكي (ECDLP): يعتقد أنه من الصعب الحصول عليها بشكل حسابي للنماذج الكبيرة.
هذه عدم التناسب هي أساس أمان التشفير الحديث. إحالة متصفحك HTTPS probablemente يستخدم ECDHE (Elliptic Curve Diffie-Hellman Ephemeral): يتفق الطرفان على سر مشترك من خلال تبادل النقاط على محور إليبتيكي، و لا يمكن للخاطف استرداد السر بدون حل ECDLP.
لماذا يجعل الجيومتري cryptography جيدة
ECC يوفر نفس مستوى الأمان الذي يوفره RSA ولكن بحجم أقل للключات. مفاتيح 256 بت من ECC توفر نفس مستوى الأمان الذي يوفره مفاتيح 3072 بت من RSA.