A practical approach to manage data
communication security
Av
Peter Ehrling
Samir Kanbar
abstrakt: uppsatsen behandlar ett praktiskt tillvägagångssätt för hantering av
datakommunikations infrastruktur. ”Angreppssättet är baserad på uppdelningen av
nätverket i segment och en beskrivning av relationerna mellan segmenten. Det
resulterar i en klarare syn på säkerheten i alla datakommunikationsvägar(path) i små
som stora nätverk”, skriver författarna P.H Samwel och M.E.Spruit från Holland.
För att illustrera detta så använder författarna sig av exempel som är baserade på en
implementation av angreppssättet hos en holländsk bank, Robobank.
Vi försöker vi komma med ytterligare exempel och förklaringar på begrepp som inte är
självklara för läsarna.
Historia
Klassifikationssystemet är från början designad för att skydda hemligheten av viss
utrikes policy, millitär- och underrättelseinformation i Förenta staterna. Den behandlar
bara en liten del av regeringsinformation som behöver skyddas. Trots den stora
uppmärksamheten så har klassifikationssystemet till stort del inte förändrats sedan
Eisenhowers administration. Men till sist ansåg den amerikanska regeringen att behovet
av en klassifikationssystem för att åstadkomma både klassifikation och säkerhet
krävdes för att säkra informationsflöde i ett nätverk där millioner användare har tillgång
till.
Inledning
Nätverkets infrastruktur är en av viktigaste komponenterna i en datorapplikations
säkerhet. Datakommunikationens väg mellan användarna och applikationen, så som
datakommunikationen mellan applikationskomponenterna, är relevanta för integritet,
konfidentialitet och tillgänglighet av applikationerna. På grund av nätverkets komplexitet,
har inte applikationsägarna en klar bild av säkerheten som är karakteristisk för
datakommunikationsvägar som är relevanta för applikationer.
Datainfrastruktursansvariga har ofta inte koll på informationen som går genom
nätverket, det vill säga att all information har samma värdering och rankning. Men i
verkligheten har varje kategori av information sitt värde och bör mätas och skyddas med
tanke på konfidentialitetsnivå, tillgänglighet och integritet.
I traditionell riskanalys krävs det information om relationen mellan affärsprocessen och
informationssystemet å ena sidan och mellan informationssystemet och underliggande
objekt å andra sidan. Det betyder att varje informationssystem kräver det skyddet som
är kompatibelt med affärsverksamhetens behov eftersom riskanalys drar med sig en hel
del resurser i form av tid och pengar. För komplexa nätverk implementeras ett
säkerhetsmått som är viktigt för att uppfylla ett visst bas krav(t.ex. BS 7799). Detta
säkerhetsmått fungerar om alla parter i ett nätverk uppfyller baslinjer för denna
standard. Vissa applikationer behöver ytterligare säkerhetsmått och andra kan sortera
bort en del av krav som anges beroende på applikationens användningsområde.
Organisationerna kan implementera strukturer med gap eller implementera
säkerhetsmått som är onödiga för just deras organisation. Därför kan
säkerhetsstrukturerna vara otillräckligt säkra och onödigt dyra.
Som lösning till problemen ovan föreslås en utvärdering av det säkerhetsmått som är
implementerade i infrastrukturen och klassificering av olika delar i nätverket. Genom att
relatera säkerhetsklassifikationen av den relevanta delen i nätverket till
säkerhetsklassifikationen av applikationen, kan man fylla i den missade länken mellan
säkerhetsbehovet av applikationer och affärsprocesser å ena sidan och
säkerhetsmåtten i infrastrukturen å andra sidan.
Klassifikationsnivåer
För att identifiera om en viss data kommunikationsväg i en nätverksinfrastruktur lever
upp till säkerhetskrav för en specifik applikation så måste man hitta den delen av
infrastrukturen som används av applikationer. Relationen kan vara säker bara om
relationen är identifierad och då kan man fastställa om säkerhetsmåtten av infrastruktur
täcker alla säkerhetskrav på ett effektivt sätt.
Relationen mellan applikationerna och delarna i infrastrukturen kan generellt ej göras på
en till en basis. Detta på grund av att olika applikationer använder olika delar av
infrastrukturen.
Man hittar likheter mellan nätverkssegmentering och informationssystemen för en militär
säkerhetspolicy där informationen rankas beroende på känslighetsnivån, som
konfidentiellt, hemlig, mycket hemlig osv. I den kommersiella världen är den mindre
rigorös och mindre hierarkisk strukturerad. Men fortfarande hittar vi samma koncept,
t.ex. ett universitet kan delas i divisioner eller departement där dataposter kan ha olika
grad av känslighet som publika, hemliga eller interna. Användarna som använder de
olika dataposterna är klassificerade och har olika privilegier för åtkomst av data.
I nätverksinfrastrukturen kan segmentering användas för att göra relationen mellan
applikationerna och infrastrukturen hanterbara. För att nå detta, delas nätverket i delar
som kan å ena sidan erbjuder en säkerhetsnivå som behåller kvalitet på konfidentialitet,
integritet och tillgänglighet och å andra sidan ligger den inom ansvarsområdet för
endast en organisationsenhet.
I ”ECC91” beskrivs en standard för säkerhetsklassifikation av datorsystem. I denna
standard som mest är avsedd för IT säkerhet rekommenderas fördefinierade klasser.
Sådana fördefinierade klasser som har gemensamma funktioner kan användas som
grunden för individuella system. Rättare sagt kan den användas som en guideline för att
vägleda användarna för att välja ett lämpligt säkerhet fukttonalitet för att möta specifika
säkerhets mål. För att uppnå detta mål så måste fördefinierade funktonalitetsklasser
existera.
På samma sätt kan klassifikationen av segment i nätverksinfrastrukturen göras.
Författarna av rapporten fokuserar på relationen mellan olika segment i
nätverksinfrastrukturen inom en organisation till applikationerna som används inom
samma organisation. Fokus är mest på informationssäkerhetsinfrastrukturen som är
specifik för en organisation.
Informationssäkerhetsklassifikationen kan å ena sidan användas av applikationer och
affärsprocessers innehavare för att beskriva deras behov. Å andra sidan måste
klassifikationen användas med respekt till nätverksinfrastrukturen. Det kan göras genom
att relatera informationssäkerhetsklassifikationen till det generiska
datakommunikationsmålen som unikt korresponderar till säkerhetsmåtten i en annan
och olikt segment av infrastrukturen. Klassifikationen måste alltså vara begripligt av
nätverksinfrastrukturens ägare som ger dem begriplig beskrivning av vilka mått som
skall implementeras för att nå en specifik klassifikationsnivå
För att klargöra använder författarna en enkel säkerhetsklassifikation som består av tre
nivåer av säkerhet som numreras från 1 till 3 för de tre kvalitetsaspekterna
konfidentialitet, tillänglighet, och integritet som kan vara låga, normal, höga. Detta
resulterar i tre siffror(AIC) som definierar säkerhetskraven för IT komponenterna,
inkluderad implementering av säkerhet måtten.
Exempel:
Säkerhetskraven för en applikation med: hög tillgänglighet, medium integritet och låg
konfidentialitet resulterar i : AIC=321
Implementerade säkerhetsmåtten på en viss plattform: låg tillgänglighet, medium
integritet och medium konfidentialitet resulterar i: AIC=322.
På samma sätt kan den nödvändiga säkerhetskaraktären av nätverksinfrastrukturens
segment kan bli definierad.
I rapporten finns en tabell(originalet bifogas) som är ett exempel på
säkerhetsklassifikationen, vilken visar relationen mellan ovan nämnda
informationssäkerhetsnivåerna och nätverksinfrastrukturssäkerhetsmåtten.
Ett nätverksdiagram
För att förklara vad menas med nätverk med segment och länkar emellan ritar
författarna ett graf för att illustrera detta. Varje segment i nätverket bildar en
säkerhetsnivå med respekt till kvalitetsaspekterna som vi nämnde
ovan(confidetiality,integriy och availability) och inom ramen av ansvar för en
organisationsenhet. I diagrammet visas linjen (path) för data som vandrar mellan olika
slutanvändare och centralapplikationen. Säkerhetsmåtten i segmenten av linjen är
relevanta för den interna linjen. Säkerhetsnivån i den interna linjen ska inte överstiga
säkerhetsnivån av varje segment.
QB
QA
HK
RK
Central IP
AB
BK
RL
E
ZL
UHC
ZD
US
B
Exempel på ett nätverksdiagram
Klassificering av segment
För varje nätverksegment måste den specifika säkerhetsbehoven utvärderas. Baserad
på vilken AIC klassifikation är tilldelat segmenten. Dt kan göras genom att matcha de
implementerade måtten till säkerhetsklassifikationsmåtten. För att identifiera måtten, så
måste den karaktäriska säkerheten av de tekniska komponenterna i infrastrukturen
klargöras. Externa informationsresurser som(TELE97) kan vara användbara för att
analysera och jämföra säkerheten i olika typer av datakommunikationsteknologier.
För illustrera klassifikationen av nätverksegmenten, AIC värde för två segment från
diagrammet (central IP and HK) är bestämda.

Central IP segmenten innehåller inte någon slutanvändare. Infrastrukturen består av
switched network(ATM och switched Ethernet) i fysiskt säker plats. Infrastrukturen
innehåller inte kryptering. Så länge tjuvlysningen eller ändring av dataflöde är
omöjligt utan fysiskt våld den resulterar i nivå 2 värde för både integritet och
konfidentialitet.
 Central IP infrastrukturen är implementerad genom användning av duplicerade
infrastruktur som eliminerar varje enskilt fel. Alltså tillgängligheten för nivå 3 är
implementerad.
Central IP segment klassifikation: AIC=322.

Hk segmenten i alla fall innehåller ett enkelt punkt av fel. Icke desto mindre den
kontraktmässigt ordnandet med den extern ansvariga parten garanterar nivå 2
tillgänglighet.
Infrastrukturen innehåller delad Ethernet vilket är känslig för tjuvlysning. Integritet och
kofidentialitet bara tilldelas nivå 1.
HK segmentklassifikationen: AIC=211.
För varje segment klassifikationsnivå borde utföras. Korrektheten av klassifikationen
testas av en granskare(auditor) som utför en regelbunden
datakommunikationsgranskning.
Kom ihåg att klassifikationsnivån för tillgänglighet kan icke ökas genom användning av
applikationsmåtten. Alltså resultatsvärdet motsvarar den maximala uppnåbara utan
ändring i infrastrukturen. Medan klassifikationsnivån för integritet och konfidentialitet kan
ökas genom att implementera kryptering teknik i applikationen.
Konstruktionen av en matris
Det ultimata målet med segmenterinsprocessen är att erbjuda an klar bild av
säkerhetskaraktären av en datakommunikationslinje mellan slut användarna och
applikationssystemen. Bilden kan visualiseras genom en matris.
Säkerhetsklassifikationen för alla segment kan kombineras i en matris baserad på
nätverks diagrammet. Matrisen ger en klar bild av säkerhet karaktärer en viss
datakommunikationslinje. Alltså en matris kan användas för att identifiera lätt
säkerhetskaraktärer av en linje mellan slutanvändare och applikationsserver.
Från matrisen på nästa sida kan vi läsa att applikationen ZL och användaren HK har
maximal nåbara tillgänglighet AIC värde på 211. Ytterligare kan vi se att nätverk
tillänglighet för applikationen ZD med användaren på QB är begränsad till nivå 2 trots
att både ZD och QB har tillgänglighetsnivå av 3.Den orsakas av den mellanliggande
segment AQ som har tillänglighetsnivå av 2.
211
211
222
222
222
222
222
222
211
211
211
211
211
211
211
211
311
211
211
322
322
322
322
322
322
311
322
211
211
322
322
322
322
322
322
311
322
322
211
211
322
322
322
322
322
322
311
322
322
322
211
211
322
322
322
322
322
322
311
322
322
322
322
UHC
211
211
322
322
322
322
322
B
US
211
211
322
322
322
322
E
RL
211
211
322
322
322
QB
211
211
322
322
QA
211
211
322
ZD
RT
211
211
ZL
AB
211
Central IP
BK
HK
BK
AB
RT
Central IP
ZL
ZD
QA
QB
RL
US
E
B
UHC
HK
Speciellt i nätverksinfrastruktur som innehåller många fler än exemplet nedan, sådan
matris kan erbjuda unik klarhet i säkerhet av infrastrukturen.
211
211
311
311
311
311
311
311
311
311
311
311
311
311
Exempel på en matris
exempel på säkerhets domäner(segment)
nedan följer ett antal säkerhets domäner som kräver olika nivåer av skydd.
tänk dig en liten organisation som har några datorsystem. Systemen används för att
genomdriva företagets affärsverksamhet och lagra kundernas kontouppgifter, tillgång till
de senaste aktiekurserna, försörja datorsupport för ett litet utvecklingsteam, och
husa(housing) en publik webbplats för klienternas access. Denna organisation som
finns illustrerad med en bild kan skydda en del av datorsystemen genom placera dem
bakom en kommersiellt installerad brandvägg.

Om webbsystemet är placerade bakom brandväggen, så måste trafiken från den
allmänna nätverket vara tillåtet genom brandväggen till systemet. Det skapar en dörr
för attack från illasinnade.

Om webbsystemet delar hårddiskutrymme med ett annat system (säg
utvecklingssystemet) via NFS, då hamnar de här två maskinerna på samma
säkerhetsnivå.

Om utvecklingsteamet använder NIS för att distribuera lösenord, så har varje system
i NIS domän samma säkerhetsnivå.

Om X Windows system används inom organisationen, då kan systemen grupperas
till en säkerhet domän som förefaller en potentiell väg för obehöriga för att flytta sig
fritt mellan systemen genom användningen av denna tjänst.

Om ett speciellt skydd är implementerad för att skydda ett litet antal system i
organisationen från att få tillgång till den globala nätverket, då har den här gruppen
ett speciell säkerhets krav som avser bara dem.
Analysen kan fortsätta, men vad som borde klargöras här är att olika system har olika
säkerhetskrav. Vissa system har av helt naturlig roll, de tjänster som de utför,
protokollerna de använder, eller restriktioner som begränsar dem har en viss nivå av
säkerhetskrav.
I exemplet ovan, ett problem med att webbdomänen kunde tillåta en obehörig att ha
tillgång till system som används utanför brandväggen. Därifrån kan, NFS, NISM XM
eller andra relationer kan exploateras för få ytterligare access till utvecklingssystemen,
och därifrån access till produktionssystemen.
Vad som krävs av organisation är att testa sina system och operationer för att sedan
bestämma hur den ska gruppera system, tjänster, protokoll, och restriktioner
tillsammans i samma maskin(system) för att en lämplig nivå av säkerhet kan bifogas.
Till exempel
Ett exempel på en lösning
Nedan är ett exempel på en organisation som har utfört en riskanalys och designat ett
nätverk enligt deras behov. I detta exempel har organisationen ett publikt nätverk t ex
en WWW- och en FTP-server tillgänglig för allmänheten, ett mycket skyddat
produktionsnätverk, ett utvecklingsnätverk och ett infrastruktursnätverk(t ex DNS) som
både både produktion och utveckling kan använda.
På detta sätt så behöver inte produktionsnätverket information från utvecklingsnätverket
och tvärtom för att få infrastruktursupport.
Slutsatser
Genom att identifiera datorsystem, applikationer eller nätverkstjänster som har ett antal
krav på säkerhet är det möjligt att applicera lämpligt skydd. Att kombinera två olika
nivåer av säkerhetskrav sänker alla säkerhetsdomäner till den minsta gemensamma
säkerhetsnivån, vilket sänker säkerhetsnivån för många domäner.
Genom att separera olika typer av säkerhetsdomäner till olika delar i nätverket så kan
de bli skyddade till en lämplig nivå vilket ökar skyddet mot inkräktare som då inte kan gå
runt i nätverket hur som helst.