English· Español· Deutsch· Nederlands· Français· 日本語· ქართული· 繁體中文· 简体中文· Português· Русский· العربية· हिन्दी· Italiano· 한국어· Polski· Svenska· Türkçe· Українська· Tiếng Việt· Bahasa Indonesia

un

gość
1 / ?
powrót do lekcji

Sieci mapują się do grafów

Topologie sieciowe to grafy geometryczne

Każda sieć komputerowa ma topologię: geometryczne ułożenie węzłów (urządzeń) i krawędzi (połączeń). Topologia określa tolerancję na uszkodzenia, przepustowość i właściwości bezpieczeństwa.

Network Topologies

Pięć fundamentalnych topologii:

- Gwiazda: Jeden centralny hub, wszystkie węzły się z nim łączą. Proste, tanie. Pojedynczy punkt awarii: jeśli hub upadnie, wszystko upada. N-1 krawędzi dla N węzłów.

- Pierścień: Węzły tworzą okrąg, każdy połączony z dwoma sąsiadami. Pojedyncze przerwanie dzieli sieć. N krawędzi dla N węzłów.

- Magistrala: Wszystkie węzły dzielą jeden kabel szkieletowy. Tanie, ale podatne na kolizje. Pojedyncza awaria magistrali wyłącza wszystko.

- Sieć pełna: Każdy węzeł łączy się z każdym innym węzłem. Maksymalna redundancja. Pełna sieć z N węzłami ma N(N-1)/2 krawędzi: czyli O(N²) połączeń. Droga, ale o wysokiej tolerancji na uszkodzenia.

- Drzewo: Hierarchiczne rozgałęzienie. N-1 krawędzi (minimalny graf połączony). Awaria korzenia dzieli poddrzewa.

Rzeczywiste sieci to hybrydy: jądro pełne z warstwami dostępu w topologii gwiazdy, hierarchiami routingu strukturalizowanymi jako drzewo i redundancją w topologii pierścienia na krytycznych połączeniach.

Topologia i tolerancja na uszkodzenia

Centrum danych ma 20 serwerów. Zespół operacyjny debatuje między pełną siecią a topologią gwiazdy dla sieci wewnętrznej.

Oblicz liczbę połączeń wymaganych dla pełnej sieci 20 węzłów w porównaniu z topologią gwiazdy. Następnie wyjaśnij, dlaczego większość rzeczywistych centrów danych nie używa czystej topologii: jakie podejście hybrydowe zazwyczaj stosują i dlaczego?

Geometria ekspozycji

Powierzchnia ataku = Geometryczna granica

W bezpieczeństwie cybernetycznym powierzchnia ataku to całkowity zbiór punktów, w których napastnik może wchodzić w interakcję z systemem. Myśl o tym geometrycznie: twój system to kształt, a każdy punkt na jego granicy to potencjalny punkt wejścia.

Komponenty powierzchni ataku:

- Powierzchnia sieciowa: Każdy otwarty port na każdym publicznym adresie IP. Serwer z 5 otwartymi portami ma 5 punktów na swojej granicy sieciowej.

- Powierzchnia aplikacji: Każdy punkt końcowy API, każda trasa URL, każde wejście formularza. Aplikacja internetowa z 200 trasami ma 200 punktów granicy warstwy aplikacji.

- Powierzchnia człowieka: Każdy pracownik z poświadczeniami, każdy cel phishingu. Ataki inżynierii społecznej atakują obwód człowieka.

- Powierzchnia fizyczna: Każde drzwi sali serwerów, każdy port USB, każde gniazdo sieciowe.

Zasada geometryczna: Bezpieczeństwo poprawia się poprzez minimalizowanie granicy między strefami zaufanymi a niezaufanymi. Zapora definiuje granicę geometryczną: ruch wewnętrzny jest zaufany, ruch zewnętrzny nie. Im mniej otworów w tej granicy, tym mniejsza powierzchnia ataku.

Wyjaśnia to, dlaczego zasada najmniejszych uprawnień jest geometryczna: daj każdemu komponentowi minimalną ekspozycję granicy, jakiej potrzebuje do funkcjonowania.

Zmniejszanie powierzchni ataku

Firma uruchamia aplikację internetową z następującą ekspozycją: 12 publicznych punktów końcowych API, SSH otwarty na wszystkich 50 serwerach (port 22), baza danych z publicznym IP i panel administracyjny dostępny z internetu.

Opisz co najmniej cztery specyficzne zmiany geometryczne, aby zmniejszyć tę powierzchnię ataku. Dla każdej wyjaśnij, jaką granicę zmniejszasz i dlaczego.

Grafy ataków i drzewa zagrożeń

Modelowanie zagrożeń używa teorii grafów

Specjaliści bezpieczeństwa modelują zagrożenia jako grafy skierowane. Struktura tych grafów ujawnia ścieżki ataku, cele wysokiej wartości i priorytety obrony.

Grafy ataków: Węzły reprezentują stany systemów (lub poszczególne systemy). Krawędzie skierowane reprezentują możliwe przejścia: exploity, ruchy boczne, eskalacje uprawnień. Ścieżka ataku to przejście przez ten graf od węzła zewnętrznego do węzła docelowego.

Drzewa ataków: Wyspecjalizowana struktura grafu. Węzeł root to cel napastnika (np. 'kradzież bazy danych'). Węzły podrzędne to metody osiągnięcia celu nadrzędnego. Liście to konkretne akcje ataku. Węzły AND wymagają powodzenia wszystkich dzieci; węzły OR wymagają tylko jednego.

Centralność grafu identyfikuje cele wysokiej wartości:

- Centralność między: Węzeł, przez który przechodzą wiele najkrótszych ścieżek. W sieci to jest wąskie gardło: skompromituj to i kontrolujesz przepływ ruchu. Zapora lub kontroler domeny często ma wysoką centralność między.

- Centralność stopnia: Węzeł z wieloma połączeniami. W grafie ataku węzeł osiągalny z wielu innych węzłów to cel bocznego ruchu o wysokiej wartości.

Najkrótsza ścieżka = najprawdopodobniejszy wektor ataku: Napastnicy optymalizują dla najmniej kroków. Najkrótsza ścieżka w grafie ataku z internetu do bazy danych to najprawdopodobniejsza trasa ataku. Obrona oznacza wydłużenie tej najkrótszej ścieżki: dodanie węzłów (kontroli bezpieczeństwa), którymi napastnik musi przejść.

Analiza grafów ataków

Rozważ sieć o tej strukturze: Internet → Serwer WWW → Serwer aplikacji → Baza danych. Serwer WWW również łączy się z serwerem plików. Serwer aplikacji łączy się z serwerem kopii zapasowej. Celem napastnika jest baza danych.

Narysuj graf ataku mentalnie. Jaka jest najkrótsza ścieżka z internetu do bazy danych? Który węzeł ma najwyższą centralność między i dlaczego to czyni go celem hartowania o najwyższym priorytecie? Jeśli dodam zaporę między serwerem WWW a serwerem aplikacji, jak zmienia się długość najkrótszej ścieżki?

Kryptografia krywych eliptycznych używa geometrii

Krzywe eliptyczne: Gdzie geometria staje się szyfrowaniem

Kryptografia krywych eliptycznych (ECC) to jedno z rzadkich miejsc, gdzie bezpieczeństwo jest dosłownie zbudowane na operacjach geometrycznych.

Krzywa eliptyczna to zbiór punktów (x, y) spełniających: y² = x³ + ax + b (plus specjalny 'punkt w nieskończoności'). Na liczbach rzeczywistych wygląda to jak gładka, symetryczna krzywa.

Dodawanie punktów: operacja geometryczna, która sprawia, że kryptografia działa:

1. Weź dwa punkty P & Q na krzywej.

2. Narysuj linię prostą przez P & Q.

3. Ta linia przecina krzywą w dokładnie jednym innym punkcie R'.

4. Odbij R' względem osi x, aby uzyskać R = P + Q.

Ta operacja 'dodawania' tworzy matematyczną grupę: jest asocjacyjna, ma element tożsamości (punkt w nieskończoności) i każdy punkt ma odwrotność.

Mnożenie skalarne: Dodanie punktu P do siebie k razy daje kP. Idąc do przodu (obliczenie kP mając k i P) jest szybkie: O(log k) operacji przy użyciu double-and-add. Idąc do tyłu (znalezienie k mając P i kP) to problem dyskretnego logarytmu krzywej eliptycznej (ECDLP): uważany za obliczeniowo niemożliwy dla dużych krzywych.

Ta asymetria to fundament bezpieczeństwa nowoczesnego TLS. Twoje połączenie HTTPS w przeglądarce prawdopodobnie używa ECDHE (Ephemeral Diffie-Hellman z krzywą eliptyczną): obie strony zgadzają się na wspólną tajemnicę poprzez wymianę punktów na krzywej eliptycznej, a żaden podsłuchujący nie może odzyskać tajemnicy bez rozwiązania ECDLP.

Dlaczego geometria jest dobrą kryptografią

ECC zapewnia takie samo bezpieczeństwo co RSA przy znacznie mniejszych rozmiarach klucza. Klucz ECC 256-bitowy zapewnia mniej więcej takie samo bezpieczeństwo co klucz RSA 3072-bitowy.

Wyjaśnij, dlaczego problem dyskretnego logarytmu krzywej eliptycznej jest trudny: co sprawia, że geometrycznie trudno jest odwrócić mnożenie skalarne kP z powrotem na k? I dlaczego ta geometryczna trudność przełoża się na mniejsze rozmiary klucza w porównaniu z podejściem faktoryzacji liczb całkowitych RSA?