नेटवर्क ग्राफ़ से मैप करते हैं
नेटवर्क टोपोलॉजी ज्यामितीय ग्राफ़ हैं
प्रत्येक कंप्यूटर नेटवर्क का एक टोपोलॉजी है: नोड्स (डिवाइस) और किनारों (कनेक्शन) की ज्यामितीय व्यवस्था। टोपोलॉजी दोष सहनशीलता, बैंडविड्थ और सुरक्षा गुणों को निर्धारित करती है।
पाँच मौलिक टोपोलॉजी:
- स्टार: एक केंद्रीय हब, सभी नोड्स इससे जुड़ते हैं। सरल, सस्ता। विफलता का एकल बिंदु: यदि हब विफल हो जाता है, तो सब कुछ विफल हो जाता है। N नोड्स के लिए N-1 किनारे।
- रिंग: नोड्स एक वृत्त बनाते हैं, प्रत्येक दो पड़ोसियों से जुड़ा होता है। एक एकल ब्रेक नेटवर्क को विभाजित करता है। N नोड्स के लिए N किनारे।
- बस: सभी नोड्स एक एकल बैकबोन केबल साझा करते हैं। सस्ता लेकिन टकराव के लिए प्रवण। एक बैकबोन विफलता सब कुछ बंद कर देती है।
- मेश: हर नोड हर दूसरे नोड से जुड़ता है। अधिकतम अनावश्यकता। N नोड्स के साथ एक पूर्ण मेश में N(N-1)/2 किनारे हैं: यह O(N²) कनेक्शन हैं। महंगा लेकिन अत्यधिक दोष सहनशील।
- ट्री: पदानुक्रमित शाखाकरण। N-1 किनारे (न्यूनतम कनेक्ट किया गया ग्राफ़)। रूट विफलता उप-पेड़ों को विभाजित करती है।
वास्तविक नेटवर्क हाइब्रिड हैं: स्टार-टोपोलॉजी एक्सेस परतों के साथ एक मेश कोर, ट्री-संरचित राउटिंग पदानुक्रम, और महत्वपूर्ण जंक्शन पर रिंग-टोपोलॉजी अनावश्यकता।
टोपोलॉजी और दोष सहनशीलता
एक डेटा सेंटर में 20 सर्वर हैं। संचालन टीम आंतरिक नेटवर्क के लिए पूर्ण मेश और स्टार टोपोलॉजी के बीच बहस कर रही है।
एक्सपोजर की ज्यामिति
हमले की सतह = ज्यामितीय सीमा
साइबर सुरक्षा में, हमले की सतह कुल बिंदुओं का सेट है जहां एक हमलावर एक सिस्टम के साथ इंटरैक्ट कर सकता है। इसे ज्यामितीय रूप से सोचें: आपका सिस्टम एक आकार है, & इसकी सीमा पर हर बिंदु एक संभावित प्रवेश बिंदु है।
हमले की सतह के घटक:
- नेटवर्क सतह: हर सार्वजनिक IP पते पर हर खुला पोर्ट। 5 खुले पोर्ट वाले एक सर्वर की सीमा पर 5 बिंदु होते हैं।
- एप्लिकेशन सतह: हर API एंडपॉइंट, हर URL रूट, हर फॉर्म इनपुट। 200 रूट वाली वेब ऐप में 200 एप्लिकेशन-लेयर सीमा बिंदु होते हैं।
- मानव सतह: हर कर्मचारी साख के साथ, हर फिशिंग लक्ष्य। सामाजिक इंजीनियरिंग हमले मानव परिधि को लक्षित करते हैं।
- शारीरिक सतह: हर सर्वर कक्ष दरवाजा, हर USB पोर्ट, हर नेटवर्क जैक।
ज्यामितीय सिद्धांत: विश्वस्त और अविश्वस्त क्षेत्रों के बीच सीमा को कम करके सुरक्षा में सुधार होता है। एक फायरवॉल एक ज्यामितीय सीमा को परिभाषित करता है: आंतरिक ट्रैफिक विश्वस्त है, बाहरी ट्रैफिक नहीं है। उस सीमा में जितने कम छेद होंगे, हमले की सतह उतनी छोटी होगी।
यह समझाता है कि क्यों न्यूनतम विशेषाधिकार का सिद्धांत ज्यामितीय है: प्रत्येक घटक को कार्य करने के लिए आवश्यक न्यूनतम सीमा एक्सपोजर दें।
हमले की सतह को कम करना
एक कंपनी निम्नलिखित एक्सपोजर के साथ एक वेब एप्लिकेशन चलाती है: 12 सार्वजनिक API एंडपॉइंट, सभी 50 सर्वर पर SSH खुला (पोर्ट 22), एक सार्वजनिक IP के साथ एक डेटाबेस, & इंटरनेट से सुलभ एक प्रशासन पैनल।
हमले के ग्राफ़ और खतरे के पेड़
खतरे के मॉडलिंग ग्राफ सिद्धांत का उपयोग करते हैं
सुरक्षा पेशेवर खतरों को निर्देशित ग्राफ़ के रूप में मॉडल करते हैं। इन ग्राफ़ की संरचना हमले के मार्ग, उच्च-मूल्य लक्ष्य, & रक्षात्मक प्राथमिकताएं प्रकट करती है।
हमले के ग्राफ़: नोड्स सिस्टम राज्यों (या अलग-अलग सिस्टम) का प्रतिनिधित्व करते हैं। निर्देशित किनारे संभावित परिवर्तनों का प्रतिनिधित्व करते हैं: शोषण, पार्श्व आंदोलन, विशेषाधिकार उन्नयन। एक हमले का मार्ग एक बाहरी नोड से एक लक्ष्य नोड तक इस ग्राफ़ के माध्यम से एक चलना है।
हमले के पेड़: एक विशेष ग्राफ़ संरचना। रूट नोड हमलावर का लक्ष्य है (उदाहरण के लिए, 'डेटाबेस चोरी करें')। चाइल्ड नोड्स पेरेंट लक्ष्य को प्राप्त करने के तरीके हैं। पत्तियां ठोस हमले की कार्रवाई हैं। AND-नोड्स के लिए सभी चाइल्ड्रन को सफल होने की आवश्यकता है; OR-नोड्स के लिए केवल एक की आवश्यकता है।
ग्राफ़ केंद्रीयता उच्च-मूल्य लक्ष्यों की पहचान करती है:
- बीच की केंद्रीयता: एक नोड जिसके माध्यम से कई सबसे छोटे मार्ग गुजरते हैं। एक नेटवर्क में, यह गला है: इसे समझौता करें, और आप ट्रैफिक प्रवाह को नियंत्रित करते हैं। एक फायरवॉल या डोमेन कंट्रोलर में अक्सर उच्च बीच की केंद्रीयता होती है।
- डिग्री केंद्रीयता: कई कनेक्शन वाला नोड। एक हमले के ग्राफ़ में, कई अन्य नोड्स से पहुंचने योग्य नोड एक उच्च-मूल्य पार्श्व आंदोलन लक्ष्य है।
सबसे छोटा मार्ग = सबसे संभावित हमले का वेक्टर: हमलावर सबसे कम कदमों के लिए अनुकूलित करते हैं। एक हमले के ग्राफ़ में इंटरनेट से डेटाबेस तक सबसे छोटा मार्ग सबसे संभावित हमले मार्ग है। रक्षा का मतलब है उस सबसे छोटे मार्ग को लंबा करना: नोड्स (सुरक्षा नियंत्रण) जोड़ना कि हमलावर को पार करना चाहिए।
हमले के ग्राफ़ विश्लेषण
इस संरचना के साथ एक नेटवर्क पर विचार करें: इंटरनेट → वेब सर्वर → ऐप सर्वर → डेटाबेस। वेब सर्वर एक फाइल सर्वर से भी जुड़ता है। ऐप सर्वर एक बैकअप सर्वर से जुड़ता है। एक हमलावर का लक्ष्य डेटाबेस है।
अण्डाकार वक्र क्रिप्टोग्राफी ज्यामिति का उपयोग करती है
अण्डाकार वक्र: जहां ज्यामिति एन्क्रिप्शन बन जाती है
अण्डाकार वक्र क्रिप्टोग्राफी (ECC) दुर्लभ स्थानों में से एक है जहां सुरक्षा शाब्दिक रूप से ज्यामितीय संचालन पर बनी होती है।
एक अण्डाकार वक्र बिंदुओं (x, y) का सेट है जो संतुष्ट करता है: y² = x³ + ax + b (प्लस एक विशेष 'अनंत पर बिंदु')। वास्तविक संख्याओं पर, यह एक चिकनी, सममित वक्र जैसा दिखता है।
बिंदु जोड़: ज्यामितीय संचालन जो क्रिप्टोग्राफी को काम करता है:
1. वक्र पर दो बिंदु P & Q लें।
2. P & Q के माध्यम से एक सीधी रेखा खींचें।
3. वह रेखा वक्र को बिल्कुल एक अन्य बिंदु R' पर काटती है।
4. R' को x-अक्ष के पार R = P + Q प्राप्त करने के लिए प्रतिबिंबित करें।
यह 'जोड़' संचालन एक गणितीय समूह बनाता है: यह साहचर्य है, एक पहचान तत्व (अनंत पर बिंदु) है, और हर बिंदु का एक विपरीत है।
स्केलर गुणन: बिंदु P को अपने से k गुना जोड़ना kP देता है। आगे की ओर जाना (k और P दिए गए kP की गणना करना) तेज़ है: डबल-और-जोड़ का उपयोग करके O(log k) संचालन। पिछड़ी ओर जाना (P और kP दिए गए k को खोजना) अण्डाकार वक्र असतत लॉगरिदम समस्या (ECDLP) है: बड़े वक्रों के लिए कम्प्यूटेशनल रूप से अक्षम माना जाता है।
यह असमानता आधुनिक TLS की सुरक्षा नींव है। आपके ब्राउज़र का HTTPS कनेक्शन संभवतः ECDHE (अण्डाकार वक्र डिफी-हेलमैन एफेमेरल) का उपयोग करता है: दोनों पक्ष एक अण्डाकार वक्र पर बिंदुओं को विनिमय करके साझा गुप्त पर सहमत होते हैं, और कोई भी eavesdropper ECDLP को हल किए बिना गुप्त को पुनः प्राप्त नहीं कर सकता।
क्यों ज्यामिति अच्छी क्रिप्टोग्राफी बनाती है
ECC RSA के समान सुरक्षा बहुत छोटी कुंजी आकारों के साथ प्रदान करता है। एक 256-बिट ECC कुंजी मोटे तौर पर 3072-बिट RSA कुंजी के समान सुरक्षा प्रदान करती है।