Ağlar Grafilere Maplanır
Ağ Topolojileri Geometrik Grafilerdir
Her bilgisayar ağı, topoloji adı verilen bir geometrik düzenlemeyle birlikte gelir: düğmeler (cihazlar) ve kenarlar (bağlantılar). Topoloji, hata toleransı, bant genişliği ve güvenlik özelliklerini belirler.
Beş temel topoloji:
- Yıldız: Bir merkez düğüm, tüm düğmeler ona bağlanır. Basit, ucuz. Tek nokta başarımı: merkez düğüm öldiğinde her şey ölür. N-1 kenar için N düğüm.
- Dörtlük: Düğmeler bir daire oluşturur, her biri iki komşuya bağlanır. Tek bir kırılma, ağı böler. N kenar için N düğüm.
- Kablo: Tüm düğmeler ortak bir ana kablo paylaşır. Ucuz ama çarpışmaya yatkın. Ana kablo başarımı, her şeyi devre dışı bırakır.
- Ağ: Her düğme, diğer her düğme ile bağlanır. Maksimum yedeklilik. N düğüm olan tam bir ağ için N(N-1)/2 kenar: O(N²) bağlantı. Pahalı ama yüksek hata toleransı.
- Ağaç: İrişimli dallanma. N-1 kenar (minimum bağlı graf). Kök başarımı, alt ağaçları böler.
Gerçek ağlar, karışımlardır: mesh çekirdekli yıldız-topoloji erişim katmanları, ağaç yapılı yolcuşulları ve kritik düğüm noktalarında dörtlük-topoloji yedekliliği.
Topoloji ve Hata Toleransı
Veri merkezine 20 sunucu var. İşlem ekibi, iç ağı için tam mesh ve yıldız topolojisi arasında tartışıyor.
Açıklık Geometrisi
Saldırı Yüzeyi = Geometrik Sınır
Güvenlik alanında, saldırı yüzeyi bir saldırganın sisteme nasıl etkileşime geçebileceği tüm noktaların toplamıdır. Geometrik olarak düşünün: Sisteminiz bir şekildir ve her noktası potansiyel giriş noktasıdır.
Saldırı Yüzeyinin bileşenleri:
- Ağ yüzeyi: Her açık bağlantı noktası her genel IP adresinde. 5 açık bağlantı noktasına sahip bir sunucu, ağ sınırında 5 nokta sahiptir.
- Uygulama yüzeyi: Her API sonucusu, her URL yolunu, her form girişi. 200 yolaya sahip bir web uygulaması, 200 uygulama katmanı sınır noktası sahiptir.
- İnsan yüzeyi: Her çalışan kimliği ile, her kimlik hırsızlık hedefi. Sosyal mühendislik saldırıları insan perimetresini hedefler.
- Fiziksel yüzey: Her sunucu odası kapısı, her USB girişi, her ağ kablosu.
Geometrik ilke: Güvenliği artırmak için güvenilir ve güvenmeyen bölgeler arasındaki sınırı minimize edin. Bir firewall, geometrik bir sınır tanımlar: trafiğin içinde güvenilir, trafiğin dışında güvenilir değildir. O sınırda daha az delik olduğu ölçüde, saldırı yüzeyi küçülür.
Bu, en az ayrıcalık ilkesinin geometrik olduğunu açıklar: Her bileşime, fonksiyonlarını yerine getirmesi için ihtiyaç duyduğu sınır açıklığını en aza indirir.
Saldırı Yüzeyini Azaltma
Bir şirket, aşağıdaki marjinali gösterir: 12 genel API sonucusu, tüm 50 sunucuda SSH açık (kullanıcı 22), bir veritabanı ile genel IP ve internet üzerinden erişilebilir bir admin paneli.
Saldırı Grafoları ve Tehdit Ağaçları
Tehdit Modellemesi Grafol Teorisi Kullanır
Güvenlik profesyonelleri, tehdetleri yönlendirilmiş graflar olarak modeller. Bu grafiklerin yapısı, saldırı yollarını, değerli hedefleri ve savunma önceliklerini gösterir.
Saldırı grafiği: Düğümler sistem durumlarını (veya bireysel sistemleri) temsil eder. Yönlendirilmiş kenarlar: istilalar, yan hareketler, yetki yükseltmelerini temsil eder. Bir saldırı yolgrağı, dış düğmeden hedef düğme'ye bir geçiş yürüyüşüdür.
Saldırı ağaçları: Bir uzman grafik yapıdır. Kök düğüm saldırganın hedefi (ör. 'veri tabanını çalmak'). Çocuk düğümler ebeveyn hedefini gerçekleştirmek için yöntemlerdir. Yapraklar ise somut saldırı eylemleridir. AND düğmeleri, tüm çocukların başarılı olması gerektiğini; OR düğmeleri, sadece birinin başarılı olması gerektiğini belirtir.
Grafik merkezliği yüksek değerli hedefleri belirler:
- Araştırmada merkezlik: Çok kısa yolların geçtiği bir düğüm. Bir ağda, bu, trafiğini kontrol etmekle ilgili bir kilit noktadır. Bir firewall veya domain controller genellikle yüksek arama merkezliği sahiptir.
- Derece merkezi: Birçok bağlantıya sahip bir düğüm. Bir saldırı grafiğinde, birçok diğer düğumdan erişilebilir olan bir düğüm, yan hareket hedefi olarak yüksek değerlidir.
En kısa yol = en olası saldırı vektörü: Saldırganlar en az adım kullanmaya optimizdir. Internet'ten Database'e giden en kısa yol, en olası saldırı rotasıdır. Savunmak, o kısa yolun daha uzun olması demektir: Saldırı kontrolüne giren ve saldırıcıyı geçirmesi gereken düğmeler eklemek (güvenlik kontrolleri).
Saldırı Grafiği Analizi
Bir şema şu yapıda: Internet → Web Server → App Server → Database. Web Server aynı zamanda File Server'a da bağlanır. App Server, Backup Server'a bağlanır. Bir saldırganın hedefi veri tabanıdır.
Elips Kural Kriptografi, Geometriyi Şifreleme Haline Getirir
Elips Kuralı: Geometri Kriptografiye Dönüşür
Elips eğrileri kriptografisi (ECC), güvenliklerin geometrik operasyonlar üzerinde gerçekten inşa edildiği nadir yerlerden biridir.
Bir elips eğrisi, x ve y koordinatlarından oluşan noktaları (x, y) karşılayan: y² = x³ + ax + b (bir özel 'sınırsız nokta' ile) seti. Gerçek sayılar üzerinde, bu bir düzgün, simetrik eğri görünecektir.
Nokta eklemesi: Kriptografinin çalışmasını sağlayan geometrik operasyon:
1. İki nokta P & Q eğri üzerinde alın.
2. P & Q üzerinden bir doğru çizin.
3. Doğru, eğri üzerinde R' adlı başka bir noktayı keser.
4. R' yi x ekseninin üzerinden yansıtarak R = P + Q elde edilir.
Bu 'ekleme' operasyonu, bir matematik grup oluşturur: birbirine bağlanır, kimliği (sınırsız nokta) vardır ve her noktanın tersi vardır.
Skaler çarpıtma: P'yi kendi kendine k kez ekleyerek kP elde edilir. İlerleme (kP'yi k ve P'yi verilen) hızlıdır: k log operasyonu kullanarak çift ve ekle. Geri (P ve kP'yi verilen k'yi bulma) elips eğri diskret logaritma problemi (ECDLP): büyük eğriler için hesaplamalı olarak imkansız olarak kabul edilir.
Bu asimetri, modern TLS'nin güvenlik temeli. Browserınızın HTTPS bağlantısı muhtemelen ECDHE (Elips Eğri Diffie-Hellman Geçici) kullanır: her iki taraf da elips eğri üzerinde noktalar değiştirerek paylaşılan bir sırra anlaşır ve bir casus olmadan ECDLP çözülmeden gizli kalmaz.
Niçin Geometri İyi Bir Kriptografi Yapar
ECC, RSA ile aynı güvenlik seviyesini çok daha küçük anahtar boyutlarıyla sağlar. 256-bit ECC anahtarı, 3072-bit RSA anahtarıyla aynı güvenlik seviyesini sağlar.