Tại sao Internet được cho là một mạng không tin cậy?

Từ Wikipedia

Trong bảo mật máy tính, DMZ (đôi khi được gọi là mạng vành đai) là một mạng con vật lý hoặc logic có chứa và đưa các dịch vụ bên ngoài của tổ chức đến một mạng không tin cậy lớn hơn, thường là Internet.

Tại sao nó lại nói

mạng không tin cậy lớn hơn, thường là Internet.

Tôi thường thấy rằng Internet được cho là một mạng không tin cậy. Có bất kỳ lý do cho nó?

Tôi thích sự tương tự. Bạn cũng nên.

Đừng tin vào internet. Thật đáng sợ.

Hãy tưởng tượng internet là đại dương. Nó là khá lớn và hùng vĩ và đầy những sinh vật kỳ lạ và tuyệt vời có thể hoặc không muốn ăn sống bạn. May mắn cho bạn, bạn đã được dạy từ khi còn nhỏ rằng bất cứ nơi nào bạn đến sẽ có một vài sinh vật ngoài kia không thể chờ đợi để gặm nhấm bộ phận của bạn, nhưng chúng giống như dài 30 feet và rất hiếm bạn có thể sẽ trúng xổ số 3 lần liên tiếp trước khi bạn kiếm được từng chút một và bạn không nên lo lắng quá nhiều về chúng. Điều họ không dạy bạn ở trường là những người nibblers này có nghĩa đen ở khắp mọi nơi và có nhiều kích cỡ khác nhau.

Bộ phận bên trong của bạn khá quan trọng và bạn không muốn bất cứ thứ gì ăn vào chúng. Là người kiên trì đi bơi, bạn cố gắng tìm cách bơi mà không cần quan tâm đến thế giới, biết rằng đó không phải là bạn mà may mắn quá ngắn để có thể ăn được.

May mắn cho bạn, cha mẹ bạn là cựu chiến binh của Cuộc chiến Nibbler những năm 70, và đã giải quyết một phần vấn đề bằng cách vây quanh họ trong những chiếc lồng Faraday. Vì vậy, họ đặt bạn vào một cái lồng (bất chấp sự phản đối của bạn) và thả bạn xuống biển với một số thiết bị lặn. Trong chuồng của bạn, bạn an toàn trước những sinh vật biển ăn thịt và bạn có thể bơi vui vẻ trong giới hạn của nó mà không sợ các sinh vật biển. Có thể cái lồng không chặt như bố mẹ bạn nghĩ, và bạn có thể chọc vào phần phụ của mình (mà những con cá ăn trong nhà sẽ nhảy lên trong nháy mắt nếu chúng ngửi thấy bạn); nhưng đó là lỗi của cha mẹ bạn vì đã không đặt đủ thanh trong lồng.

Ok đó là một sự tương tự khá khủng khiếp, nhưng vấn đề là đây; các công ty lớn không muốn dữ liệu của họ bị xâm phạm nên họ đưa mọi thứ vào mạng riêng nơi họ biết rằng tin tặc sẽ không thể chạm vào chúng mà không phải trải qua nhiều nỗ lực trước tiên (hoặc một số kỹ thuật xã hội tuyệt vời). Nhưng vì bạn vẫn có thể truy cập internet, có khả năng máy tính của bạn sẽ bị xâm nhập, điều này sẽ làm lộ ra mạng lớn hơn.

Vì công ty kiểm soát những thông tin có thể đi qua, họ có thể giảm thiểu thiệt hại của các trang web công khai và vui mừng vì không có nội dung mạng nội bộ nào của họ bị lộ

Để trả lời "tại sao Internet không an toàn?", Chúng ta thực sự cần phải hiểu "Internet hoạt động như thế nào?". Và tiến thêm một bước nữa, hãy hỏi "Internet là gì?".

Internet là gì?

Một cuốn sách văn bản cấp cơ sở sẽ định nghĩa Internet là mạng của các mạng và điều đó vẫn đúng với cấp độ CTO. Trong điều kiện thực tế, bắt đầu suy nghĩ từ thực tế bạn đang đọc văn bản này như thế nào. Bạn đang đọc cái này từ máy tính cá nhân / máy tính xách tay của bạn hoặc từ máy tính để bàn văn phòng. Nếu đó là máy tính cá nhân, bạn được kết nối bằng cách quay số với ISP hoặc nếu bạn đang ở trên mạng LAN, người khác đã thực hiện bước đó cho bạn. Bản thân mạng LAN là một mạng, mặc dù nhỏ hơn. Một mạng LAN sẽ có máy tính và bộ định tuyến (có thể là máy chủ).

Khi LAN được kết nối với ISP, có nhiều PC, Máy chủ, bộ định tuyến và mạng LAN được kết nối, nó sẽ trở thành một phần của mạng lớn hơn. Khi các mạng lớn hơn này được kết nối xa hơn, chúng ta sẽ có một mạng lớn, được gọi là Internet.

Internet hoạt động như thế nào?

Một lần nữa chúng ta hãy quay trở lại vấn đề cơ bản. Làm thế nào bất kỳ hai máy tính có thể nói chuyện? Họ gửi các gói thông tin cho nhau, được cung cấp trong một giao thức được xác định rõ, cả hai hệ thống đều hiểu. Hãy nghĩ về nó như một người gửi thư cho người khác, thư là gói và giao thức là một số quy tắc đơn giản sẽ đảm bảo thông tin đó được truyền đạt đúng.

Ví dụ, tôi đang viết bằng tiếng Anh và bạn hiểu ý nghĩa của nó. Bây giờ nếu người thứ hai ở xa đến mức người đó không thể tự mình gửi thư, anh ta sẽ cần phải tin tưởng vào các hòa giải viên. Bạn có thể sử dụng bưu điện hoặc dịch vụ chuyển phát nhanh. Bây giờ nếu địa điểm ở xa, một bưu điện sẽ gửi thư đến thứ hai, sẽ chuyển nó đi xa hơn cho đến khi đến đích.

Sự tương tự tương tự hoạt động cho Internet. Khi bạn đang gửi hoặc tìm nạp thông tin trên Internet, nó phải đi qua nhiều bộ định tuyến và máy chủ.

Tại sao Internet không an toàn?

Thông tin trong thư của bạn có an toàn khi bạn đăng không? Có, nhưng chỉ đến một thời điểm khi một nhân viên bưu điện, hoặc một người nào đó trên đường mở nó. Điều này cũng đúng với Internet.

Vì thông tin được truyền qua rất nhiều bộ định tuyến và máy chủ hoặc dữ liệu thực sự nằm trên một số máy chủ, bất kỳ ai có thể truy cập đều có thể lấy thông tin đó. Tất nhiên, có các biện pháp an toàn, giao thức (SSH / https) và mã hóa thường được sử dụng. Nhưng bất kỳ thuật toán nào có thể bảo mật thông tin, cũng sẽ có thuật toán đối lập, sẽ cho phép truy cập.

Vì vậy, chỉ cần đặt nó, dữ liệu của bạn an toàn hàng trăm phần trăm cho đến khi bạn ở trên một hệ thống bị cô lập, thời điểm bạn kết nối với mạng, ai đó có thể truy cập dữ liệu (phóng đại? Có). Nó sẽ đi đến sự thông minh cho người đang cố gắng lưu thông tin so với người đang cố gắng truy cập thông tin

Thông tin mà bạn nhận được từ internet đến từ một máy tính cụ thể ... ờ ... nó ở đâu đó . Bạn không biết ai sở hữu hoặc vận hành máy tính đó. Bạn cũng không biết ai đã đưa thông tin vào đó.

Để chuyển từ máy tính đó sang máy tính của bạn, thông tin phải truyền qua một số bộ định tuyến trên đường đi. Mỗi bộ định tuyến có cơ hội sửa đổi dữ liệu đi qua nó và bạn không biết ai sở hữu hoặc vận hành bộ định tuyến.

Đây là lý do tại sao bạn không thể tin tưởng vào internet, ít nhất là không phải theo nghĩa "tin cậy" như được sử dụng trong các cuộc thảo luận về bảo mật: Bạn có thể nhận dữ liệu từ một người tạo độc hại hoặc dữ liệu có thể được gửi bởi một máy chủ độc hại, hoặc dữ liệu có thể đã được sửa đổi trong quá trình bởi một bộ định tuyến độc hại.

Trừ khi bạn đã thực hiện một số biện pháp để xác minh cả danh tính của người khởi tạo (ví dụ: nguồn có cung cấp chứng chỉ kỹ thuật số đã ký) và tính toàn vẹn của kênh liên lạc (ví dụ: sử dụng giao thức được mã hóa), bạn thực sự không thể làm gì hơn hơn là bắt chéo ngón tay của bạn và hy vọng rằng những gì bạn nhận được sẽ giống như những gì bạn yêu cầu.

Không tin cậy có nghĩa là dữ liệu đi qua các lớp không được bảo mật. Bạn không bao giờ biết những gì đang xảy ra với dữ liệu của bạn. Bất cứ ai cũng có thể thao túng nó .ata có thể bị mất hoặc bị hỏng trong quá trình truyền. Nó có thể mất tính toàn vẹn và bảo mật của nó. Một người đàn ông có nhiều kỹ năng có thể hack vào dữ liệu của bạn. Thông thường có rất nhiều kỹ thuật thông qua bạn có thể tự bảo mật nhưng vẫn dễ bị tin tặc tấn công.

Internet cũng được gọi là không bảo mật vì nó sử dụng giao thức IPv4, giao thức datagram không đáng tin cậy và không kết nối. Nó không cung cấp kiểm soát lỗi và kiểm soát dòng chảy. Đối với độ tin cậy, nó được ghép nối với giao thức TCP đáng tin cậy để truyền dữ liệu trong lớp vận chuyển.

Bởi vì bạn không thể tin tưởng tất cả mọi người

Internet là "tất cả mọi người trên thế giới có kết nối mạng".

Bạn có tin tưởng tất cả mọi người trên thế giới với một kết nối mạng? Bạn có muốn tất cả trong số họ có thể kết nối với cơ sở dữ liệu bảng lương của công ty bạn không?

Nếu không, đó là lý do tại sao internet là "không đáng tin cậy."

Nếu vậy, xin vui lòng cho chúng tôi biết địa chỉ IP để chúng tôi có thể bắt đầu nhận tiền lương. ;)

Hãy tưởng tượng mình ở nhà, có mẹ của bạn là bố của bạn. Nếu một trong số họ yêu cầu bạn vay 100 đô la từ bạn, bạn sẽ làm gì? Bây giờ hình ảnh đang ở trong một sân vận động đầy những người bạn không biết, và ai đó hỏi bạn 100 đô la bạn có phản ứng khác không?

Trên internet có những người có sự phân bổ để nhận được từ danh tính của bạn. Họ có thể kiểm soát máy tính của bạn và làm sạch tài khoản ngân hàng của bạn. Họ có thể sử dụng máy tính của bạn để tấn công các máy tính khác. Có những người sử dụng kỹ thuật xã hội để lừa đảo bạn. Có những người sử dụng trojan và virus để truyền bá phạm vi của họ.

Phút giây bạn được kết nối với internet, bạn đang khiến bản thân dễ bị tổn thương bởi những người này.

Hành vi mặc định của người dùng thông thạo internet là không tin tưởng vào mọi người và mọi thứ. Đó là lý do tại sao nó được coi là một mạng không tin cậy, vì bạn không bao giờ biết ai ở đầu dây bên kia và anh ta muốn gì ở bạn.

Tóm lại, "niềm tin" trong bảo mật máy tính không hoàn toàn giống với "niềm tin" theo nghĩa thông thường. Nó phải được mở rộng để bao gồm các khái niệm về bản sắc.

Hãy bắt đầu với định nghĩa thông thường của từ này. OED định nghĩa "niềm tin" là "Tự tin hoặc phụ thuộc vào một số phẩm chất hoặc thuộc tính của một người hoặc vật, hoặc sự thật của một tuyên bố". Trong thời đại tiền Internet, bạn có thể muốn gửi một tin nhắn bí mật cho bạn bè Sally. Bạn có thể đưa nó cho bên thứ ba, Bob, nếu bạn tin tưởng rằng anh ấy sẽ gửi tin nhắn cho Sally và cho bất kỳ ai khác. Trong trường hợp đó, bạn đang dựa vào một phẩm chất đặc biệt của Bob - khả năng của anh ấy để truyền tải thông điệp của bạn một cách riêng biệt. Nói cách khác, bạn tin tưởng Bob.

Trực tuyến, có thể giả mạo danh tính. Vì vậy, "niềm tin" phải được mở rộng ra ngoài sự phụ thuộc vào phẩm chất của bên thứ ba. Nó phải bao gồm sự phụ thuộc vào danh tính của bên thứ ba . Giả sử bên thứ ba đáng tin cậy của bạn là bảng tin tại bob.com. Trong trường hợp đó, bạn không chỉ dựa vào quyết định của một hệ thống trực tuyến cụ thể, mà là giả định rằng địa chỉ bob.comthực sự trỏ đến hệ thống mà bạn nghĩ nó làm. Nhưng giả định cuối cùng đó là một điều xấu - có nhiều cách để chiếm đoạt một tên miền. Nếu sự riêng tư của tin nhắn của bạn với Sally thực sự, thực sự quan trọng, bạn phải bob.comchứng minh danh tính của nó. Và đó là một trong những chức năng của SSL.

Vì vậy, chúng tôi nói rằng internet nói chung là không đáng tin cậy không phải vì chúng tôi nghĩ rằng mọi người đều ra ngoài để lấy chúng tôi, mà bởi vì "niềm tin" trực tuyến có nghĩa là chứng minh rằng các thực thể là những gì họ nói. Các cơ chế tin cậy không được tích hợp vào internet, vì nguồn gốc của nó là một mạng dựa trên nghiên cứu không chính thống dựa trên sự tin tưởng lẫn nhau - theo nghĩa tiếng Anh đơn giản của từ này. Niềm tin - theo nghĩa bảo mật máy tính - phải được xếp lớp.

Lưu ý rằng về cơ bản có ba điều cần quan tâm:

1. Liệu anh chàng ở đầu kia có thể được tin tưởng
2. Liệu bạn có thể tin tưởng vào kết nối giữa bạn và đầu kia không
3. Liệu ai đó mà bạn thậm chí không biết có thể kết nối với hệ thống của bạn mà không cần sự cho phép của bạn

Trong một mạng được tin cậy hoàn toàn (ví dụ: mạng chỉ bao gồm các máy tính trong gia đình của bạn), bạn không có bất kỳ lo ngại nào trong số này. Nhưng hãy ra khỏi một môi trường hạn chế như vậy và bạn cần phải quan tâm.

Với một máy tính không được tường lửa kết nối với mạng không tin cậy, bạn sẽ tiếp xúc với cả ba tổng số. Anh chàng ở đầu bên kia có thể sử dụng dữ liệu bạn gửi cho anh ta không phù hợp hoặc anh ta có thể gửi dữ liệu độc hại đến hệ thống của bạn. Ngay cả khi anh chàng ở đầu kia đáng tin cậy, một người nào đó có quyền truy cập vào "ống" có thể đọc / thao tác các bit và byte để trích xuất dữ liệu riêng tư của bạn hoặc gửi nội dung độc hại cho bạn hoặc đầu kia. Và nếu ai đó có thể kết nối với máy tính của bạn mà không có sự đồng ý của bạn và thao túng nó, thì mọi thứ đều bị phơi bày.

Tin tưởng vào đầu bên kia tất nhiên là vấn đề phán xét từ phía bạn. Bạn (hy vọng) sử dụng một số dịch vụ chăm sóc và không giao dịch kinh doanh trên các trang web mà bạn không có lý do chính đáng để tin tưởng (và không bao giờ sử dụng thẻ ghi nợ để mua hàng qua internet). Và bạn sử dụng một thiết lập chống vi-rút / tường lửa sẽ ngăn chặn một trang web độc hại (hoặc đơn giản là bị tấn công) cài đặt các phần mềm độc hại trên hộp của bạn.

Đảm bảo kết nối tốt, không thỏa hiệp với đầu bên kia chủ yếu là vấn đề sử dụng giao thức được mã hóa. Đối với HTTP, đây thường là HTTPS - một phiên bản của giao thức HTTP có thêm lớp mã hóa "Lớp cổng bảo mật" SSL. Tất cả các trang web có uy tín liên quan đến các vấn đề riêng tư / tài chính nên sử dụng giao thức HTTPS (bạn sẽ biết vì tiền tố URL là "https:" và vì trình duyệt của bạn hiển thị biểu tượng "khóa móc" hoặc từ ngữ như "Được xác minh bởi: VeriSign, Inc . "Nếu bạn di con trỏ chuột lên biểu tượng phía trước URL trong dòng địa chỉ). Có nhiều cách tiếp cận khác, chẳng hạn như sử dụng VPN (Mạng riêng ảo), nhưng chúng nhiều hơn cho các mục đích kinh doanh / thương mại.

Về mặt ngăn chặn kẻ xấu kết nối trực tiếp hộp của bạn, điều này dẫn đến việc có một tường lửa tốt. Đây có thể là phần mềm tường lửa trong máy tính của bạn (nói chung là một phần của gói chống vi-rút) hoặc là một hộp phần cứng riêng biệt. (Chẳng hạn, chức năng này thường được bao gồm trong các bộ định tuyến không dây.)

Tại sao tin tưởng bất kỳ mạng, lớn hay nhỏ? Niềm tin là khó nắm bắt, và có lẽ đó là từ tồi tệ nhất để sử dụng trong bối cảnh này. Khi bạn đi qua bất kỳ ranh giới mạng nào , bạn cần xem xét rủi ro và gọi giảm thiểu cần thiết.

Mạng không tin cậy là bất kỳ mạng nào mà mạng không được quản lý bởi nhóm hoặc bộ phận quản lý mạng riêng.

Mạng công cộng là bất kỳ mạng nào được quản lý bởi nhóm hoặc bộ phận quản lý mạng riêng nhưng có thể truy cập các thiết bị trong mạng không tin cậy.

Mạng riêng là bất kỳ mạng nào được quản lý bởi một nhóm hoặc bộ phận chỉ có quyền truy cập vào mạng công cộng.