Ağlar Grafiklere Dönüşür
Ağ Topolojileri Geometrik Grafiklerdir
Her bilgisayar ağının bir topolojisi vardır: düğümlerin (cihazların) ve kenarların (bağlantıların) geometrik düzenlemesi. Topoloji hata toleransını, bant genişliğini ve güvenlik özelliklerini belirler.
Beş temel topoloji:
- Star: Bir merkezi hub, tüm düğümler buna bağlanır. Basit, ucuz. Tek hata noktası: hub ölürse, her şey ölür. N düğüm için N-1 kenar.
- Ring: Düğümler bir daire oluşturur, her biri iki komşuya bağlanır. Tek bir kopuş ağı böler. N düğüm için N kenar.
- Bus: Tüm düğümler tek bir omurga kablosunu paylaşır. Ucuz ama çarpışmaya yatkın. Bir omurga hatası her şeyi kapatır.
- Mesh: Her düğüm diğer her düğüme bağlanır. Maksimum fazlalık. N düğümlü tam mesh N(N-1)/2 kenara sahiptir: bu O(N²) bağlantıdır. Pahalı ama yüksek hata toleranslı.
- Tree: Hiyerarşik dallanma. N-1 kenar (minimum bağlı grafik). Kök hatası alt ağaçları böler.
Gerçek ağlar hibriddir: merkezi ağında mesh, erişim katmanlarında yıldız topolojisi ve kritik kavşaklarda halka topolojisi ile.
Topoloji ve Hata Toleransı
Bir veri merkezinde 20 sunucu vardır. Operasyon ekibi dahili ağ için tam mesh ile yıldız topolojisi arasında tartışıyor.
Maruziyetin Geometrisi
Saldırı Yüzeyi = Geometrik Sınır
Siber güvenlikte, saldırı yüzeyi, bir saldırganın bir sistemle etkileşim kurabileceği toplam noktalar kümesidir. Bunu geometrik olarak düşünün: sisteminiz bir şekildir ve sınırındaki her nokta olası bir giriş noktasıdır.
Saldırı yüzeyinin bileşenleri:
- Ağ yüzeyi: Her genel IP adresinde her açık port. 5 açık porta sahip bir sunucunun sınırında 5 noktası vardır.
- Uygulama yüzeyi: Her API uç noktası, her URL yolu, her form girişi. 200 rotası olan bir web uygulamasının uygulama katmanında 200 sınır noktası vardır.
- İnsan yüzeyi: Kimlik bilgilerine sahip her çalışan, her kimlik avı hedefi. Sosyal mühendislik saldırıları insan çevresini hedefler.
- Fiziksel yüzey: Her sunucu odası kapısı, her USB portu, her ağ soketi.
Geometrik ilke: Güvenlik güvenilir ve güvensiz bölgeler arasındaki sınırı küçülterek iyileşir. Bir güvenlik duvarı geometrik bir sınır tanımlar: içerideki trafik güvenilir, dışarıdaki değil. Sınırda ne kadar az delik varsa, saldırı yüzeyi o kadar küçüktür.
Bu en az ayrıcalık ilkesinin neden geometrik olduğunu açıklar: her bileşene işlev görmek için gereken minimum sınır maruziyetini verin.
Saldırı Yüzeyini Azaltmak
Bir şirket aşağıdaki maruziyetle bir web uygulaması çalıştırır: 12 genel API uç noktası, tüm 50 sunucuda SSH açık (port 22), genel IP'si olan bir veritabanı ve internetten erişilebilen bir yönetim paneli.
Saldırı Grafikleri ve Tehdit Ağaçları
Tehdit Modellemesi Grafik Teorisini Kullanır
Güvenlik uzmanları tehditleri yönlü grafikler olarak modeller. Bu grafiklerin yapısı saldırı yollarını, yüksek değerli hedefleri & savunma önceliklerini ortaya çıkarır.
Saldırı grafikleri: Düğümler sistem durumlarını (veya bireysel sistemleri) temsil eder. Yönlü kenarlar olası geçişleri temsil eder: açık zafiyetler, yanal hareketler, ayrıcalık yükselmeler. Bir saldırı yolu, bu grafikte bir dış düğümden hedef düğüme yapılan bir yolculuktur.
Tehdit ağaçları: Özel bir grafik yapısı. Kök düğüm, saldırganın hedefidir (örn. 'veritabanını çal'). Alt düğümler, ana hedefi başarmanın yöntemleridir. Yapraklar somut saldırı eylemleridir. VE-düğümleri tüm çocuklarının başarılı olmasını gerektirir; VEYA-düğümleri sadece birinin başarılı olmasını gerektirir.
Grafik merkeziyeti yüksek değerli hedefleri tanımlar:
- Aracılık merkeziyeti: Birçok en kısa yolun geçtiği bir düğüm. Bir ağda, bu boğaz noktasıdır: onu ele geçir, trafik akışını kontrol edersin. Bir güvenlik duvarı veya etki alanı denetleyicisi genellikle yüksek aracılık merkeziyetine sahiptir.
- Derece merkeziyeti: Birçok bağlantısı olan bir düğüm. Bir saldırı grafiğinde, birçok diğer düğümden ulaşılabilen bir düğüm, yüksek değerli yanal hareket hedefidir.
En kısa yol = en muhtemel saldırı vektörü: Saldırganlar en az adım için optimize eder. Bir saldırı grafiğinde internetten veritabanına giden en kısa yol, en muhtemel saldırı yoludur. Savunma, o en kısa yolu daha uzun yapmak anlamına gelir: saldırganın geçmesi gereken güvenlik kontrolleri (düğümler) ekleyerek.
Saldırı Grafik Analizi
Bu yapıya sahip bir ağ düşünün: Internet → Web Sunucusu → Uygulama Sunucusu → Veritabanı. Web Sunucusu ayrıca bir Dosya Sunucusuna bağlanır. Uygulama Sunucusu bir Yedek Sunucusuna bağlanır. Bir saldırganın hedefi Veritabanıdır.
Eliptik Eğri Kriptografisi Geometriyi Kullanır
Eliptik Eğriler: Geometrinin Şifreleme Haline Geldiği Yer
Eliptik eğri kriptografisi (ECC), güvenliğin tam anlamıyla geometrik işlemlerin üzerine inşa edildiği nadir yerlerden biridir.
Bir eliptik eğri şu denklemi sağlayan noktaların (x, y) kümesidir: y² = x³ + ax + b (artı özel bir 'sonsuzluktaki nokta'). Gerçek sayılar üzerinde, bu düzgün, simetrik bir eğri gibi görünür.
Nokta ekleme: kriptografiyi çalıştıran geometrik işlem:
1. Eğri üzerinde iki nokta P & Q alın.
2. P & Q'dan geçen düz bir çizgi çizin.
3. Bu çizgi eğrisi tam olarak bir başka R' noktasında keser.
4. R'yi x-ekseni üzerinde yansıtarak R = P + Q'yu elde edin.
Bu 'toplama' işlemi matematiksel bir grup oluşturur: ilişkilidir, bir kimlik öğesine sahiptir (sonsuzluktaki nokta) ve her noktanın bir tersi vardır.
Skaler çarpma: P noktasını k kez kendinize ekleme kP'yi verir. İleri gitme (k ve P verilen kP'yi hesaplama) hızlıdır: çift ve-ekle kullanarak O(log k) işlemleri. Geriye gitme (P ve kP verilen k'yi bulma) eliptik eğri ayrık logaritma problemidir (ECDLP): büyük eğriler için hesaplama açısından imkansız olduğu düşünülmektedir.
Bu asimetri, modern TLS'nin güvenlik temelini oluşturur. Tarayıcınızın HTTPS bağlantısı muhtemelen ECDHE (Eliptik Eğri Diffie-Hellman Ephemeral) kullanır: her iki taraf bir eliptik eğride noktaları değiş tokuş ederek paylaşılan bir sır üzerinde anlaşır ve hiçbir gözlemci, ECDLP'yi çözmeden sırrı kurtaramaz.
Geometri Neden İyi Kriptografi Yapar
ECC, RSA'dan çok daha küçük anahtar boyutlarıyla aynı güvenliği sağlar. 256 bitlik bir ECC anahtarı, 3072 bitlik bir RSA anahtarı ile kabaca aynı güvenliği sağlar.