ΠΕΡΙΕΧΟΜΕΝΑ. Πρόλογος συγγραφέα Πρόλογος µεταφραστή ΚΕΦΑΛΑΙΟ 1 Εισαγωγή... 17

Transcript

1

2

3 ΠΕΡΙΕΧΟΜΕΝΑ Πρόλογος συγγραφέα Πρόλογος µεταφραστή ΚΕΦΑΛΑΙΟ 1 Εισαγωγή Τάσεις στο χώρο της ασφάλειας Η αρχιτεκτονική ασφάλειας OSI Επιθέσεις Υπηρεσίες ασφάλειας Μηχανισµοί ασφάλειας Ένα µοντέλο για την ασφάλεια δικτύων Τα πρότυπα και η κοινότητα του ιαδικτύου ιάρθρωση του βιβλίου Προτεινόµενα συγγράµµατα Πηγές στο ιαδίκτυο Βασικοί όροι, ερωτήσεις ανασκόπησης, και προβλήµατα ΜΕΡΟΣ ΠΡΩΤΟ Συµµετρική κρυπτογραφία ΚΕΦΑΛΑΙΟ 2 Συµµετρική κρυπτογράφηση και απόρρητο µηνυµάτων Αρχές της συµµετρικής κρυπτογράφησης Συµµετρικοί αλγόριθµοι κρυπτογράφησης τµηµάτων Κωδικοποιητές ροής και RC Τρόποι λειτουργίας κωδικοποιητών τµηµάτων Τοποθέτηση συσκευών κρυπτογράφησης ιανοµή κλειδιών Προτεινόµενα συγγράµµατα και ιστοσελίδες Βασικοί όροι, ερωτήσεις ανασκόπησης, και προβλήµατα... 85

4 8 ΠΕΡΙΕΧΟΜΕΝΑ ΚΕΦΑΛΑΙΟ 3 Κρυπτογραφία δηµόσιου κλειδιού και πιστοποίηση αυθεντικότητας µηνυµάτων Προσεγγίσεις πιστοποίησης αυθεντικότητας µηνυµάτων Ασφαλείς συναρτήσεις κατακερµατισµού και HMAC Αρχές κρυπτογραφίας δηµόσιου κλειδιού Αλγόριθµοι κρυπτογραφίας δηµόσιου κλειδιού Ψηφιακές υπογραφές ιαχείριση κλειδιών Προτεινόµενα συγγράµµατα και ιστοσελίδες Βασικοί όροι, ερωτήσεις ανασκόπησης, και προβλήµατα ΜΕΡΟΣ ΕΥΤΕΡΟ Εφαρµογές ασφάλειας δικτύων ΚΕΦΑΛΑΙΟ 4 Εφαρµογές πιστοποίησης αυθεντικότητας Kerberos Υπηρεσία πιστοποίησης Χ Υποδοµή δηµόσιου κλειδιού Προτεινόµενα συγγράµµατα και ιστοσελίδες Βασικοί όροι, ερωτήσεις ανασκόπησης, και προβλήµατα Παράρτηµα 4Α: Τεχνικές κρυπτογράφησης Kerberos ΚΕΦΑΛΑΙΟ 5 Ασφάλεια ηλεκτρονικού ταχυδροµείου Pretty Good Privacy (PGP) S/MIME Βασικοί όροι, ερωτήσεις ανασκόπησης, και προβλήµατα Παράρτηµα 5Α: Συµπίεση δεδοµένων µε χρήση του ZIP Παράρτηµα 5Β: Μετατροπή σε radix Παράρτηµα 5Γ: Παραγωγή τυχαίων αριθµών στο PGP ΚΕΦΑΛΑΙΟ 6 Ασφάλεια IP Επισκόπηση του IPSEC Αρχιτεκτονική IPSEC Κεφαλίδα πιστοποίησης Ενθυλάκωση φορτίου ασφάλειας Συνδυασµός συσχετίσεων ασφάλειας ιαχείριση κλειδιών

5 ΠΕΡΙΕΧΟΜΕΝΑ Προτεινόµενα συγγράµµατα και ιστοσελίδες Βασικοί όροι, ερωτήσεις ανασκόπησης, και προβλήµατα Παράρτηµα 6Α: ιαδικτύωση και πρωτόκολλα ιαδικτύου ΚΕΦΑΛΑΙΟ 7 Ασφάλεια στον Παγκόσµιο Ιστό Θέµατα ασφάλειας Ιστού Ασφάλεια επιπέδου υποδοχών και επιπέδου µεταφοράς Ασφαλής ηλεκτρονική συναλλαγή Προτεινόµενα συγγράµµατα και ιστοσελίδες Βασικοί όροι, ερωτήσεις ανασκόπησης, και προβλήµατα ΚΕΦΑΛΑΙΟ 8 Ασφάλεια διαχείρισης δικτύων Βασικές έννοιες του πρωτοκόλλου SNMP Υπηρεσία κοινότητας του πρωτοκόλλου SNMPv Το πρωτόκολλο SNMPv Προτεινόµενα συγγράµµατα και ιστοσελίδες Βασικοί όροι, ερωτήσεις ανασκόπησης, και προβλήµατα ΜΕΡΟΣ ΤΡΙΤΟ Ασφάλεια συστήµατος ΚΕΦΑΛΑΙΟ 9 Εισβολείς Εισβολείς Ανίχνευση εισβολών ιαχείριση συνθηµατικών Προτεινόµενα συγγράµµατα και ιστοσελίδες Βασικοί όροι, ερωτήσεις ανασκόπησης, και προβλήµατα Παράρτηµα 9Α: Η πλάνη του βασικού ποσοστού ΚΕΦΑΛΑΙΟ 10 Κακόβουλο λογισµικό Ιοί και συναφείς απειλές Μέτρα αντιµετώπισης των ιών Κατανεµηµένες επιθέσεις άρνησης εξυπηρέτησης Προτεινόµενα συγγράµµατα και ιστοσελίδες Βασικοί όροι, ερωτήσεις ανασκόπησης, και προβλήµατα

6 10 ΠΕΡΙΕΧΟΜΕΝΑ ΚΕΦΑΛΑΙΟ 11 Αντιπυρικές ζώνες Αρχές σχεδιασµού αντιπυρικών ζωνών Έµπιστα συστήµατα Συνηθισµένα κριτήρια για αξιολόγηση ασφάλειας στην τεχνολογία της πληροφορικής Προτεινόµενα συγγράµµατα και ιστοσελίδες Βασικοί όροι, ερωτήσεις ανασκόπησης, και προβλήµατα ΠΑΡΑΡΤΗΜΑΤΑ Παράρτηµα A Θέµατα της θεωρίας αριθµών Α.1 Πρώτοι αριθµοί και σχετικά πρώτοι αριθµοί Α.2 Αριθµητική υπολοίπων Παράρτηµα B Εργασίες για τη διδασκαλία ασφάλειας δικτύων Β.1 Ερευνητικές εργασίες Β.2 Προγραµµατιστικές εργασίες Β.3 Εργαστηριακές ασκήσεις Β.4 Γραπτές εργασίες Β.5 Εργασίες ανάγνωσης Γλωσσάρι Αναφορές Ευρετήριο

7 ΠΡΟΛΟΓΟΣ ΣΥΓΓΡΑΦΕΑ Τη γραβάτα, αν µου επιτρέπετε κύριε, µια ιδέα πιο σφιχτά δεµένη. Θα πρέπει κανείς να στοχεύει στο τέλειο εφέ της πεταλούδας. Αν µου επιτρέπετε Τι σηµασία µπορεί να έχει αυτό, Jeeves, σε µια τέτοια στιγµή; εν έχεις καταλάβει ότι κρίνεται η οικογενειακή ευτυχία του κυρίου Little; εν υπάρχει ούτε στιγµή, κύριε, στην οποία να µην έχουν σηµασία οι γραβάτες. Very Good, Jeeves! P. G. Wodehouse Στην εποχή της παγκόσµιας ηλεκτρονικής συνδεσιµότητας, των ιών και των χάκερ, της ηλεκτρονικής παρακολούθησης, και της ηλεκτρονικής απάτης, δεν υπάρχει καµία στιγµή στην οποία η ασφάλεια δεν έχει σηµασία. Η θεµατολογία αυτού του βιβλίου προέκυψε από τον συνδυασµό δύο τάσεων. Πρώτον, η εκρηκτική ανάπτυξη των υπολογιστικών συστηµάτων και η σύνδεσή τους µέσω δικτύων έχει αυξήσει την εξάρτηση τόσο των οργανισµών, όσο και των µεµονωµένων χρηστών από τις πληροφορίες που αποθηκεύονται και ανταλλάσσονται µέσω αυτών των συστηµάτων. Το γεγονός αυτό έχει οδηγήσει σε µια αυξηµένη ανάγκη προστασίας των δεδοµένων και των πόρων από την παράνοµη αποκάλυψη, καθώς και στην ανάγκη διασφάλισης της αυθεντικότητας των δεδοµένων και των µηνυµάτων, αλλά και της προστασίας των συστηµάτων από επιθέσεις µέσω δικτύων. εύτερον, οι αρχές της κρυπτογραφίας και της ασφάλειας δικτύων έχουν ωριµάσει, οδηγώντας στην ανάπτυξη πρακτικών και άµεσα διαθέσιµων εφαρµογών που βελτιώνουν την ασφάλεια των δικτύων. ΣΤΟΧΟΙ Σκοπός του βιβλίου αυτού είναι να προσφέρει µια πρακτική αξιολόγηση των εφαρµογών και των προτύπων που σχετίζονται µε την ασφάλεια των δικτύων. ίνεται έµφαση στις εφαρµογές που χρησιµοποιούνται ευρέως στο ιαδίκτυο (Internet) και σε εταιρικά δίκτυα, καθώς και στα πρότυπα (ιδιαίτερα σε αυτά του ιαδικτύου) τα οποία έχουν αναπτυχθεί ευρέως. ΣΕ ΠΟΙΟΥΣ ΑΠΕΥΘΥΝΕΤΑΙ Το βιβλίο αυτό απευθύνεται τόσο στο ακαδηµαϊκό κοινό, όσο και στους επαγγελµατίες. Ως βιβλίο διδασκαλίας, προορίζεται για ένα προπτυχιακό µάθηµα ενός εξαµήνου πάνω στην α- σφάλεια δικτύων για φοιτητές της Επιστήµης Υπολογιστών, Μηχανικούς Υπολογιστών, και Μηχανικούς Ηλεκτρονικών. Καλύπτει ύλη σχετικά µε τους µηχανισµούς ασφάλειας IAS2 και

8 12 ΠΡΟΛΟΓΟΣ NET4, που είναι βασικά γνωστικά πεδία της Πληροφορικής. Τα πεδία αυτά αποτελούν µέρος του προσχεδίου ACM/IEEE Computer Society Computing Curricula Το βιβλίο µπορεί επίσης να χρησιµοποιηθεί ως εγχειρίδιο αναφοράς και είναι κατάλληλο για προσωπική µελέτη. ΟΜΗ ΤΟΥ ΒΙΒΛΙΟΥ Το βιβλίο χωρίζεται σε τρία µέρη: 1ο Μέρος 2ο Μέρος 3ο Μέρος Κρυπτογραφία: Μια συνοπτική µελέτη των κρυπτογραφικών αλγορίθµων και πρωτοκόλλων όπου βασίζονται οι εφαρµογές ασφάλειας δικτύων. Εδώ συµπεριλαµβάνονται η κρυπτογράφηση, οι συναρτήσεις κατακερµατισµού, οι ψηφιακές υπογραφές, και η ανταλλαγή κλειδιών. Εφαρµογές ασφάλειας δικτύων: Καλύπτει σηµαντικά εργαλεία και εφαρ- µογές ασφάλειας δικτύων, όπως το Kerberos, τα πιστοποιητικά X.509v3, το PGP, το S/MIME, η Ασφάλεια IP, τα πρωτόκολλα SSL/TLS, το SET, και το SNMPv3. Ασφάλεια συστηµάτων: Εξετάζει ζητήµατα ασφάλειας σε επίπεδο συστή- µατος, µεταξύ των οποίων είναι η απειλή των εισβολέων και η λήψη αντιµέτρων τόσο για αυτούς όσο και για τους ιούς, καθώς και η χρησιµοποίηση αντιπυρικών ζωνών και έµπιστων συστηµάτων. Επιπλέον, το βιβλίο περιλαµβάνει ένα εκτενές γλωσσάρι, µια λίστα µε συνηθισµένα αρκτικόλεξα, καθώς και βιβλιογραφία. Κάθε κεφάλαιο περιλαµβάνει προβλήµατα εξάσκησης, ερωτήσεις επανάληψης, µια λίστα µε βασικούς όρους, προτάσεις για πρόσθετη µελέτη, και προτεινόµενες ιστοσελίδες. Στην αρχή κάθε µέρους µπορείτε να βρείτε µία πιο λεπτοµερή σύνοψη της ύλης των κεφαλαίων. ΥΛΙΚΟ ΥΠΟΣΤΗΡΙΞΗΣ Ι ΑΣΚΑΛΙΑΣ Για την υποστήριξη των διδασκόντων παρέχεται το εξής υλικό: Εγχειρίδιο λύσεων: Οι λύσεις για όλα τα προβλήµατα και τις ερωτήσεις που υπάρχουν στο τέλος κάθε κεφαλαίου. ιαφάνειες PowerPoint: ιαφάνειες για όλα τα κεφάλαια, κατάλληλες για διαλέξεις. Αρχεία PDF: Όλες οι εικόνες και οι πίνακες του βιβλίου σε ηλεκτρονική µορφή. Εγχειρίδιο εργασιών: Προτεινόµενες εργασίες για όλες τις κατηγορίες εργασιών που αναφέρονται παρακάτω.

9 ΠΡΟΛΟΓΟΣ 13 Οι διδάσκοντες µπορούν να απευθυνθούν στον αντιπρόσωπο της Pearson Education ή της Prentice Hall για να αποκτήσουν πρόσβαση σε αυτό το υλικό. Επίσης, η ιστοσελίδα του βιβλίου παρέχει στους διδάσκοντες: Συνδέσµους σε ιστοσελίδες άλλων µαθηµάτων που διδάσκονται µε αυτό το βιβλίο. Πληροφορίες εγγραφής σε λίστα ηλεκτρονικού ταχυδροµείου για διδάσκοντες. ΥΠΗΡΕΣΙΕΣ ΜΕΣΩ ΙΑ ΙΚΤΥΟΥ ΓΙΑ Ι ΑΣΚΟΝΤΕΣ ΚΑΙ ΦΟΙΤΗΤΕΣ Για το βιβλίο αυτό υπάρχει µια ιστοσελίδα όπου παρέχεται υποστήριξη προς τους φοιτητές και τους διδάσκοντες. Η σελίδα αυτή περιέχει συνδέσµους για άλλες συναφείς ιστοσελίδες, διαφάνειες µε τις εικόνες και τους πίνακες του βιβλίου σε µορφή PDF, καθώς και δυνατότητα εγγραφής στην ηλεκτρονική λίστα αλληλογραφίας του βιβλίου. Η ιστοσελίδα είναι η WilliamStallings.com/NetSec/NetSec3e.html. Έχει επίσης δηµιουργηθεί µια ηλεκτρονική λίστα αλληλογραφίας έτσι ώστε οι διδάσκοντες που χρησιµοποιούν το βιβλίο να µπορούν να ανταλλάσσουν µεταξύ τους, αλλά και µε το συγγραφέα, πληροφορίες, προτάσεις, και ερωτήσεις. Αν εντοπιστούν τυπογραφικά και άλλου είδους λάθη, µια λίστα παροραµάτων του βιβλίου θα είναι διαθέσιµη στη διεύθυνση WilliamStallings.com. Επιπλέον, η ιστοσελίδα του Computer Science Student Resource, που βρίσκεται στη διεύθυνση WilliamStallings.com/ StudentSupport.html, παρέχει έγγραφα, πληροφορίες, και χρήσιµους συνδέσµους για φοιτητές της Επιστήµης των Υπολογιστών και επαγγελµατίες. ΕΡΓΑΣΙΕΣ ΓΙΑ ΤΗ Ι ΑΣΚΑΛΙΑ ΤΗΣ ΑΣΦΑΛΕΙΑΣ ΙΚΤΥΩΝ Για πολλούς διδάσκοντες, σηµαντικό µέρος ενός µαθήµατος που έχει σχέση µε την κρυπτογραφία και την ασφάλεια είναι µία ή περισσότερες εργασίες µε τις οποίες οι φοιτητές αποκτούν πρακτική πείρα, έτσι ώστε να ενδυναµωθεί η κατανόηση των εννοιών της θεωρίας. Αυτό το βιβλίο παρέχει εξαιρετική υποστήριξη για τη χρήση εργασιών κατά τη διδασκαλία του µαθήµατος. Το εγχειρίδιο του καθηγητή περιλαµβάνει όχι µόνο καθοδήγηση για τον τρόπο ανάθεσης και δόµησης των εργασιών, αλλά και µια οµάδα προτεινόµενων εργασιών που καλύπτουν ένα ευρύ πεδίο θεµάτων της θεωρίας: Ερευνητικές εργασίες: Μια σειρά από ερευνητικές αναθέσεις που καθοδηγούν το φοιτητή στην έρευνα κάποιου συγκεκριµένου θέµατος στο ιαδίκτυο και τη δηµιουργία µιας τελικής αναφοράς. Προγραµµατιστικές εργασίες: Μια σειρά από προγραµµατιστικές εργασίες που καλύπτουν µεγάλο εύρος θεµάτων, και µπορούν να υλοποιηθούν σε οποιαδήποτε γλώσσα προγραµµατισµού και οποιαδήποτε πλατφόρµα.

10 14 ΠΡΟΛΟΓΟΣ Εργαστηριακές ασκήσεις: Ένας αριθµός από εργασίες που περιλαµβάνουν προγραµµατισµό και πειραµατισµό µε τις έννοιες του βιβλίου. Γραπτές εργασίες: Ένα σύνολο από προτεινόµενες γραπτές ασκήσεις ανά κεφάλαιο. Εργασίες ανάγνωσης: Μια λίστα δηµοσιεύσεων από τη σχετική βιβλιογραφία για κάθε κεφάλαιο του βιβλίου, που µπορούν να ανατεθούν στους φοιτητές για µελέτη και εκπόνηση µιας σύντοµης αναφοράς. Για περισσότερες λεπτοµέρειες µπορείτε να ανατρέξετε στο Παράρτηµα Β. ΤΙ ΝΕΟ ΥΠΑΡΧΕΙ ΣΤΗΝ 3η ΕΚ ΟΣΗ Στα τρία χρόνια που πέρασαν από τη 2 η έκδοση του βιβλίου σηµειώθηκαν πολλές βελτιώσεις και καινοτοµίες στο χώρο της ασφάλειας. Σε αυτή τη νέα έκδοση προσπαθώ να καταγράψω αυτές τις αλλαγές, παρέχοντας παράλληλα µια ευρεία κάλυψη ολόκληρου του πεδίου. Η αναθεώρηση ξεκίνησε µε κριτική από πολλούς καθηγητές που διδάσκουν αυτά τα θέµατα. Επιπλέον, τα κεφάλαια εξετάστηκαν από πλήθος επαγγελµατιών που εργάζονται στον τοµέα της ασφάλειας. Το αποτέλεσµα ήταν ότι το κείµενο τροποποιήθηκε και βελτιώθηκε σε αρκετά σηµεία, ενώ επίσης βελτιώθηκαν και οι εικόνες. Προστέθηκαν επίσης πολλά νέα δοκιµασµένα προβλήµατα. Εκτός από αυτές τις βελτιώσεις, έχουν γίνει σηµαντικές αλλαγές σε διάφορα µέρη του βιβλίου για παιδαγωγικούς και χρηστικούς λόγους. Μεταξύ αυτών των αλλαγών είναι και οι: Κωδικοποιητές ροής: Οι κωδικοποιητές ροής χρησιµοποιούνται από πλήθος εφαρµογών και πρωτοκόλλων ασφάλειας δικτύων. Η τρίτη έκδοση καλύπτει αυτό το θέµα και περιγράφει τον πιο διαδεδοµένο αλγόριθµο, τον RC4. Υποδοµή δηµόσιου κλειδιού (PKI): Το νέο αυτό θέµα καλύπτεται στη νέα έκδοση. Κατανεµηµένη επίθεση άρνησης εξυπηρέτησης (DDoS): Οι επιθέσεις DDoS αποκτούν ολοένα και µεγαλύτερη σηµασία τα τελευταία χρόνια. Common Criteria for Information Technology Security Evaluation: Η πρωτοβουλία Συνηθισµένων κριτηρίων για την αξιολόγηση ασφάλειας είναι µια διεθνής προσπάθεια για την έκφραση των αναγκών ασφάλειας και την αξιολόγηση των σχετικών προϊόντων και υλοποιήσεων. Επιπρόσθετα, το µεγαλύτερο µέρος της ύλης του υπόλοιπου βιβλίου έχει αναθεωρηθεί και ενηµερωθεί.

11 ΠΡΟΛΟΓΟΣ 15 ΕΥΧΑΡΙΣΤΙΕΣ Η νέα αυτή έκδοση ολοκληρώθηκε χάρη στη συνδροµή αρκετών ανθρώπων, που έδωσαν το χρόνο και τις γνώσεις τους. Οι παρακάτω εξέτασαν όλο ή µεγάλο µέρος του χειρογράφου: Στα προβλήµατα και τις ασκήσεις της νέας έκδοσης βοήθησαν οι: Joshua Brandon Holden (Rose-Hulman Institute of Technology), Kris Gaj (George Mason University), και James Muir (Univeristy of Waterloo). Οι Sanjay Rao και Ruben Torres του Πανεπιστηµίου Purdue ανέπτυξαν τις εργαστηριακές ασκήσεις που υπάρχουν στο βοήθηµα για το διδάσκοντα. Οι Hemming Schulzrinne (Columbia University), Cetin Kaya Koc (Oregon State University), και David Balenson (Trusted Information Systems και George Washington University) βοήθησαν στα θέµατα εργασιών του βοηθήµατος για το διδάσκοντα. Τέλος, θα ήθελα να ευχαριστήσω για την εξαιρετική τους δουλειά όλους όσους συνέβαλαν στην έκδοση αυτού του βιβλίου. Σε αυτούς συµπεριλαµβάνονται οι άνθρωποι της Prentice Hall, και κυρίως ο διευθυντής παραγωγής Rose Kernan και η υπεύθυνη επιµέλειας Tracy Dunkelberger µε τις βοηθούς της Christianna Lee και Carole Snyder. Επίσης ευχαριστώ την Patricia M. Daly για τον έλεγχο των δοκιµίων. Με τόση βοήθεια, λίγα µένουν για τα οποία µπορώ να πω ότι έγιναν εξολοκλήρου από µένα. Πάντως µπορώ µε περηφάνια να πω ότι διάλεξα χωρίς καµία βοήθεια όλα τα αποσπάσµατα κειµένων στις αρχές των κεφαλαίων.

12 34 ΚΕΦΑΛΑΙΟ 1 / ΕΙΣΑΓΩΓΗ Πίνακας 1.3 Μηχανισµοί ασφάλειας (Χ.800) ΣΥΓΚΕΚΡΙΜΕΝΟΙ ΜΗΧΑΝΙΣΜΟΙ ΑΣΦΑΛΕΙΑΣ Μπορούν να ενσωµατωθούν στο κατάλληλο επίπεδο πρωτοκόλλων, ώστε να παρέχονται κάποιες από τις υπηρεσίες ασφάλειας OSI. Κρυπτογράφηση (Encipherment) Η χρήση µαθηµατικών αλγορίθµων για τη µετατροπή των δεδοµένων σε µορφή που δεν είναι εύκολα κατανοητή. Η µετατροπή, και στη συνέχεια η ανάκτηση των δεδοµένων, εξαρτάται από τον αλγόριθµο και ίσως και από κάποια κλειδιά κρυπτογράφησης. Ψηφιακή υπογραφή (Digital Signature) Κάποια δεδοµένα που έχουν προσαρτηθεί σε µια µονάδα δεδοµένων, ή κάποια κρυπτογραφική µετατροπή της µονάδας δεδοµένων, που επιτρέπουν στον παραλήπτη να αποδείξει την προέλευση και την ακεραιότητα των δεδοµένων και παρέχουν προστασία από απόπειρες πλαστογραφίας (π.χ. από τον παραλήπτη). Έλεγχος πρόσβασης (Access Control) Το σύνολο των µηχανισµών που επιβάλλουν δικαιώ- µατα πρόσβασης ως προς τους πόρους. Ακεραιότητα δεδοµένων (Data Integrity) Το σύνολο των µηχανισµών που χρησιµοποιούνται για να εξασφαλίσουν την ακεραιότητα µιας µονάδας δεδοµένων ή ενός ρεύµατος µονάδων δεδοµένων. Ανταλλαγή πιστοποίησης ταυτότητας (Authentication Exchange) Ένας µηχανισµός που έχει σκοπό τη βεβαίωση της ταυτότητας µιας οντότητας µέσω της ανταλλαγής πληροφοριών. ΓΕΝΙΚΟΙ ΜΗΧΑΝΙΣΜΟΙ ΑΣΦΑΛΕΙΑΣ Μηχανισµοί που δεν αναφέρονται σε κάποια συγκεκριµένη υπηρεσία ασφάλειας ή κάποιο επίπεδο πρωτοκόλλου OSI. Έµπιστη λειτουργικότητα (Trusted Functionality) Αυτό που θεωρείται ότι είναι σωστό σύµφωνα µε κάποια κριτήρια (για παράδειγµα, µε βάση κάποια πολιτική ασφάλειας). Ετικέτα ασφάλειας (Security Label) Μια σηµείωση σε κάποιον πόρο (η οποία µπορεί να είναι µια µονάδα δεδοµένων) που ονοµάζει ή καθορίζει τις ιδιότητες ασφάλειάς του. Ανίχνευση συµβάντων (Event Detection) Ανίχνευση γεγονότων που σχετίζονται µε την ασφάλεια. Αρχείο καταγραφής συµβάντων ασφάλειας (Security Audit Trail) εδοµένα που συλλέγονται και µπορούν να χρησιµοποιηθούν για έλεγχο ασφάλειας, ο οποίος είναι µια ανεξάρτητη επιθεώρηση και εξέταση των εγγράφων και των δραστηριοτήτων του συστήµατος. Ανάκαµψη ασφάλειας (Security Recovery) Αναφέρεται στις αιτήσεις από µηχανισµούς, όπως οι λειτουργίες διαχείρισης συµβάντων, και πραγµατοποιεί ενέργειες ανάκαµψης. Προσαύξηση κίνησης (Traffic Padding) Η εισαγωγή ψηφίων στα κενά µεταξύ των πραγµατικών ρευµάτων δεδοµένων έτσι ώστε να αποτραπούν προσπάθειες ανάλυσης κίνησης. Έλεγχος δροµολόγησης (Routing Control) Ενεργοποιεί την επιλογή µιας συγκεκριµένης ασφαλούς φυσικής διαδροµής για τα δεδοµένα, και επιτρέπει αλλαγές διαδροµής όταν πιθανολογείται κάποιο κενό ασφάλειας. Μηχανισµός επικύρωσης (Notarization) Η χρήση ενός έµπιστου τρίτου µέλους που εξασφαλίζει συγκεκριµένες ιδιότητες για µια ανταλλαγή δεδο- µένων.

13 1.6 ΕΝΑ ΜΟΝΤΕΛΟ ΓΙΑ ΤΗΝ ΑΣΦΑΛΕΙΑ ΙΚΤΥΩΝ 35 Πίνακας 1.4 Σχέση µεταξύ υπηρεσιών και µηχανισµών ασφάλειας. Μηχανισµός Υπηρεσία Κρυπτογράφηση Ψηφιακή υπογραφή Έλεγχος πρόσβασης Ακεραιότητα δεδοµένων Ανταλλαγή Πιστοποίησης Προσαύξηση κίνησης Έλεγχος δροµολόγησης Μηχανισµός επικύρωσης Πιστοποίηση ταυτότητας οµότιµης οντότητας ΝΑΙ ΝΑΙ ΝΑΙ Πιστοποίηση ταυτότητας προέλευσης δεδοµένων Έλεγχος πρόσβασης Εµπιστευτικότητα (Απόρρητο) Εµπιστευτικότητα ροής δεδοµένων Ακεραιότητα δεδοµένων ΝΑΙ ΝΑΙ ΝΑΙ ΝΑΙ ΝΑΙ ΝΑΙ ΝΑΙ ΝΑΙ ΝΑΙ ΝΑΙ ΝΑΙ Μη αποποίηση ΝΑΙ ΝΑΙ ΝΑΙ ιαθεσιµότητα ΝΑΙ ΝΑΙ

14 36 ΚΕΦΑΛΑΙΟ 1 / ΕΙΣΑΓΩΓΗ Μετατροπή, σχετιζόµενη µε την ασφάλεια, των πληροφοριών που θα σταλούν. Παραδείγµατα είναι η κρυπτογράφηση του µηνύµατος η οποία µετασχηµατίζει το µήνυµα ώ- στε να µην µπορεί να το διαβάσει κάποιος αντίπαλος, καθώς και η προσθήκη κάποιου κώδικα που βασίζεται στα περιεχόµενα του µηνύµατος, ο οποίος µπορεί να χρησιµοποιηθεί για επαλήθευση της ταυτότητας του αποστολέα. Κάποια µυστική πληροφορία που γνωρίζουν µόνο οι δύο συµβαλλόµενοι και την οποία ελπίζουν ότι δεν γνωρίζει ο αντίπαλός τους. Ένα παράδειγµα είναι το κλειδί κρυπτογράφησης που χρησιµοποιείται σε συνδυασµό µε το µετασχηµατισµό, ώστε το µήνυµα να µετασχηµατιστεί πριν από την εκποµπή και να επανέλθει στην αρχική του µορφή κατά την παραλαβή. 5 Για την επίτευξη ασφαλούς µετάδοσης µπορεί να απαιτείται κάποιο τρίτο, έµπιστο µέλος. Για παράδειγµα, ένα τρίτο έµπιστο µέλος θα µπορούσε να είναι υπεύθυνο για τη διανοµή της µυστικής πληροφορίας στους δύο συµβαλλόµενους, κρατώντας την παράλληλα µυστική από όλους τους αντιπάλους. Εναλλακτικά, το τρίτο έµπιστο µέλος θα µπορούσε να είναι απαραίτητο για τη ρύθµιση διαφωνιών µεταξύ των δύο συµβαλλόµενων σχετικά µε την αυθεντικότητα της µετάδοσης ενός µηνύµατος. Αυτό το γενικό µοντέλο δείχνει ότι υπάρχουν τέσσερα βασικά ζητήµατα στο σχεδιασµό µιας συγκεκριµένης υπηρεσίας ασφάλειας: 1. Ο σχεδιασµός ενός αλγόριθµου για τις µετατροπές ασφάλειας. Ο αλγόριθµος πρέπει να είναι τέτοιος ώστε οι επιτιθέµενοι να µην µπορούν να υπερνικήσουν το σκοπό του. 2. Η δηµιουργία µιας µυστικής πληροφορίας που θα χρησιµοποιείται µαζί µε τον αλγόριθ- µο. 3. Η ανάπτυξη µεθόδων για τη διανοµή και την κοινοχρησία της µυστικής πληροφορίας. 4. Ο καθορισµός ενός πρωτοκόλλου που θα πρέπει να χρησιµοποιούν οι δύο συµβαλλόµενοι, το οποίο θα χρησιµοποιεί τον αλγόριθµο ασφάλειας και τη µυστική πληροφορία ώ- στε να προσφέρει κάποια συγκεκριµένη υπηρεσία ασφάλειας. Το δεύτερο µέρος αυτού του βιβλίου εστιάζει στους τύπους µηχανισµών και υπηρεσιών ασφάλειας που ταιριάζουν µε το µοντέλο το οποίο φαίνεται στην Εικόνα 1.5. Ωστόσο, υπάρχουν και άλλες ενδιαφέρουσες καταστάσεις που σχετίζονται µε την ασφάλεια, οι οποίες παρουσιάζονται στο βιβλίο χωρίς να ταιριάζουν απολύτως µε αυτό το µοντέλο. Ένα γενικό µοντέλο αυτών των καταστάσεων παρουσιάζεται στην Εικόνα 1.6, η οποία δείχνει το ενδιαφέρον για την προστασία ενός πληροφοριακού συστήµατος από την ανεπιθύµητη πρόσβαση. Οι περισσότεροι αναγνώστες γνωρίζουν τα ζητήµατα που δηµιουργούνται από την ύπαρξη των χάκερ, οι οποίοι προσπαθούν να διεισδύσουν σε συστήµατα µέσω ενός δικτύου. Ο χάκερ µπορεί να είναι κάποιος ο οποίος, χωρίς να έχει κακόβουλες προθέσεις, ικανοποιείται απλώς 5 Στο Κεφάλαιο 3 θα εξετάσουµε µια µορφή κρυπτογράφησης που είναι γνωστή ως "κρυπτογράφηση δηµόσιου κλειδιού, στην οποία µόνο ο ένας από τους δύο συµβαλλόµενους πρέπει να γνωρίζει τη µυστική πληροφορία.

15 1.6 ΕΝΑ ΜΟΝΤΕΛΟ ΓΙΑ ΤΗΝ ΑΣΦΑΛΕΙΑ ΙΚΤΥΩΝ 37 από την παράνοµη είσοδο σε ένα υπολογιστικό σύστηµα. Ή ο εισβολέας µπορεί να είναι κάποιος δυσαρεστηµένος εργαζόµενος που επιθυµεί να προκαλέσει ζηµιά, ή κάποιος εγκληµατίας που προσπαθεί να εκµεταλλευτεί αποθηκευµένες πληροφορίες για να αποκτήσει κάποιο οικονοµικό όφελος (για παράδειγµα, αποκτώντας αριθµούς πιστωτικών καρτών ή πραγµατοποιώντας παράνοµες χρηµατικές µεταφορές). Ένας άλλος τύπος ανεπιθύµητης πρόσβασης είναι η τοποθέτηση µέσα σε ένα υπολογιστικό σύστηµα λογικών υποµονάδων οι οποίες θα εκµεταλλεύονται κάποιες ευπάθειές του, και µπορεί να επηρεάζουν άλλα προγράµµατα και εργαλεία λογισµικού, όπως κειµενογράφους και µεταγλωττιστές. Τέτοια προγράµµατα µπορούν να δηµιουργήσουν δύο είδη απειλών: Απειλές πρόσβασης στις πληροφορίες, που υποκλέπτουν ή τροποποιούν δεδοµένα για λογαριασµό χρηστών οι οποίοι δεν θα έπρεπε να έχουν πρόσβαση σε αυτά. Απειλές υπηρεσιών, που εκµεταλλεύονται ατέλειες των υπηρεσιών σε υπολογιστές ώ- στε να εµποδίζουν τη χρήση τους από τους νόµιµους χρήστες. Οι ιοί (viruses) και τα σκουλήκια (worms) είναι δύο από τα παραδείγµατα επιθέσεων µέσω λογισµικού. Τέτοιες επιθέσεις µπορούν να πραγµατοποιηθούν σε ένα σύστηµα µέσω µιας δισκέτας, η οποία περιέχει την ανεπιθύµητη λογική κρυµµένη µέσα σε κάποιο άλλο χρήσιµο πρόγραµµα. Μπορούν επίσης να εισέλθουν σε ένα σύστηµα µέσω δικτύου. Αυτός ο τελευταίος µηχανισµός αφορά περισσότερο την ασφάλεια δικτύου. Εικόνα 1.5 Μοντέλο ασφάλειας δικτύου.

16 38 ΚΕΦΑΛΑΙΟ 1 / ΕΙΣΑΓΩΓΗ Εικόνα 1.6 Μοντέλο ασφάλειας για την πρόσβαση σε δίκτυο. Οι µηχανισµοί ασφάλειας που απαιτούνται για την αντιµετώπιση της ανεπιθύµητης πρόσβασης χωρίζονται σε δύο γενικές κατηγορίες (Εικόνα 1.6). Η πρώτη κατηγορία θα µπορούσε να ονοµαστεί "λειτουργία φύλαξης πύλης" (gatekeeper). Αυτή περιλαµβάνει διαδικασίες εισόδου που βασίζονται στη χρήση συνθηµατικού, οι οποίες έχουν σχεδιαστεί ώστε να αρνούνται την πρόσβαση σε όλους τους µη εξουσιοδοτηµένους χρήστες, καθώς και λογική παρακολούθησης, η οποία είναι σχεδιασµένη ώστε να ανιχνεύει και να αποβάλλει από το σύστηµα σκουλήκια, ιούς, και άλλες παρόµοιες επιθέσεις. Μόλις ένας ανεπιθύµητος χρήστης ή κάποιο ανεπιθύµητο λογισµικό αποκτήσει πρόσβαση, η δεύτερη γραµµή άµυνας αποτελείται από µια µεγάλη ποικιλία εσωτερικών ελέγχων, οι οποίοι παρακολουθούν τη δραστηριότητα και αναλύουν τις αποθηκευµένες πληροφορίες σε µια προσπάθεια ανίχνευσης της ύπαρξης ανεπιθύ- µητων εισβολέων. Αυτά τα θέµατα αναλύονται στο τρίτο µέρος του βιβλίου. 1.7 ΤΑ ΠΡΟΤΥΠΑ ΚΑΙ Η ΚΟΙΝΟΤΗΤΑ ΤΟΥ ΙΑ ΙΚΤΥΟΥ Πολλά από τα πρωτόκολλα που απαρτίζουν το σύνολο πρωτοκόλλων TCP/IP έχουν ήδη προτυποποιηθεί ή βρίσκονται στη διαδικασία προτυποποίησης. Με καθολική συµφωνία, ένας οργανισµός που είναι γνωστός ως Κοινωνία του ιαδικτύου (Internet Society) είναι υπεύθυνος για την ανάπτυξη και δηµοσίευση αυτών των προτύπων. Η Κοινωνία του ιαδικτύου είναι ένας οργανισµός µε µέλη επαγγελµατίες, ο οποίος επιβλέπει διάφορες επιτροπές και οµάδες εργασίας που ασχολούνται µε την ανάπτυξη και την προτυποποίηση του ιαδικτύου. Αυτή η ενότητα παρέχει µια σύντοµη περιγραφή του τρόπου µε τον οποίο αναπτύσσονται τα πρότυπα για το πρωτόκολλο TCP/IP. Οι οργανισµοί του ιαδικτύου και οι δηµοσιεύσεις RFC Η Κοινωνία του ιαδικτύου (Internet Society) είναι η συντονιστική επιτροπή για το σχεδιασµό, την οργάνωση, και τη διαχείριση του ιαδικτύου. Στους θεµατικούς τοµείς που καλύπτει περιλαµβάνονται η ίδια η λειτουργία του ιαδικτύου, καθώς και η προτυποποίηση πρωτοκόλλων που χρησιµοποιούνται από τερµατικά συστήµατα του ιαδικτύου για διαλειτουργι-

17 1.7 ΤΑ ΠΡΟΤΥΠΑ ΚΑΙ Η ΚΟΙΝΟΤΗΤΑ ΤΟΥ ΙΑ ΙΚΤΥΟΥ 39 κότητα. Τρεις οργανισµοί, οι οποίοι υπάγονται στην Κοινωνία του ιαδικτύου, είναι υπεύθυνοι για την πραγµατική εργασία της ανάπτυξης και δηµοσίευσης προτύπων: Επιτροπή Αρχιτεκτονικής ιαδικτύου (Internet Architecture Board, IAB): Είναι υπεύθυνη για τον καθορισµό της συνολικής αρχιτεκτονικής του ιαδικτύου, παρέχοντας καθοδήγηση και στο IETF. Οµάδα Σχεδιασµού του ιαδικτύου (Internet Engineering Task Force, IETF): Το όργανο για την ανάπτυξη των πρωτοκόλλων του ιαδικτύου. Καθοδηγητική Οµάδα Οργάνωσης του ιαδικτύου (Internet Engineering Steering Group, IESG): Είναι υπεύθυνη για την τεχνική διαχείριση των δραστηριοτήτων του IETF και για τη διαδικασία προτυποποίησης του ιαδικτύου. Οι οµάδες εργασίας που υπάγονται στο IETF πραγµατοποιούν την πραγµατική ανάπτυξη νέων προτύπων και πρωτοκόλλων για το ιαδίκτυο. Η συµµετοχή σε κάποια οµάδα εργασίας είναι εθελοντική. οποιοσδήποτε ενδιαφερόµενος µπορεί να συµµετάσχει. Κατά τη διάρκεια της ανάπτυξης κάποιας προδιαγραφής, η οµάδα εργασίας θα δηµιουργήσει µία πρόχειρη έκδοση του εγγράφου, που είναι διαθέσιµη ως Προσχέδιο ιαδικτύου (Internet Draft), η οποία τοποθετείται στη δικτυακή υπηρεσία καταλόγου του IETF µε το όνοµα Internet Drafts. Το έγγραφο µπορεί να παραµείνει ως προσχέδιο για µέχρι και έξι µήνες, και τα ενδιαφερόµενα µέλη µπορούν να το επανεξετάσουν και να το σχολιάσουν. Στο διάστηµα αυτό το IESG µπορεί να εγκρίνει τη δηµοσίευση του προσχεδίου ως εγγράφου RFC (Request for Comments, Αίτηση για Σχολιασµό). Αν ένα προσχέδιο δεν έχει προχωρήσει στην κατάσταση RFC κατά τη διάρκεια της περιόδου των έξι µηνών αποσύρεται από τον κατάλογο. Η οµάδα εργασίας µπορεί στη συνέχεια να εκδώσει µια αναθεωρηµένη έκδοση του προσχεδίου. Το IETF είναι υπεύθυνο για τη δηµοσίευση των εγγράφων RFC, µε την έγκριση του IESG. Τα έγγραφα RFC είναι οι τρέχουσες εργασίες της ερευνητικής και αναπτυξιακής κοινότητας του ιαδικτύου. Τα έγγραφα αυτής της κατηγορίας µπορεί ουσιαστικά να αφορούν οποιοδήποτε θέµα που έχει σχέση µε τις επικοινωνίες υπολογιστών, και µπορεί να είναι οτιδήποτε: από την αναφορά κάποιας συνάντησης µέχρι τις προδιαγραφές ενός προτύπου. Η εργασία του IETF διαιρείται σε οκτώ θεµατικούς τοµείς, καθένας από τους οποίους διευθύνεται από έναν υπεύθυνο τοµέα (area director) και αποτελείται από πολυάριθµες οµάδες εργασίας. Ο Πίνακας 1.5 δείχνει τους θεµατικούς τοµείς του IETF και τα θέµατα στα οποία εστιάζονται. Η διαδικασία προτυποποίησης Η απόφαση για το ποια έγγραφα RFC θα γίνουν πρότυπα του ιαδικτύου είναι έργο του IESG µετά από εισήγηση του IETF. Για να γίνει µια προδιαγραφή πρότυπο, θα πρέπει να ικανοποιεί τα παρακάτω κριτήρια:

18 40 ΚΕΦΑΛΑΙΟ 1 / ΕΙΣΑΓΩΓΗ Πίνακας 1.5 Τοµείς ενδιαφέροντος του IETF Τοµέας IETF Θέµα Παραδείγµατα οµάδων εργασίας Γενικός Εξέλιξη και διαδικασίες του IETF Πλαίσιο πολιτικής ιαδικασία οργάνωσης των προτύπων του ιαδικτύου Εφαρµογές Εφαρµογές ιαδικτύου Πρωτόκολλα σχετικά µε τον Παγκόσµιο Ιστό (HTTP) Ενοποίηση EDI-Internet LDAP ιαδίκτυο Υποδοµή ιαδικτύου IPv6 επεκτάσεις του PPP Λειτουργίες και διαχείριση ροµολόγηση Ασφάλεια Πρότυπα και ορισµοί δικτυακών λειτουργιών Πρωτόκολλα και διαχείριση των πληροφοριών δροµολόγησης Πρωτόκολλα και τεχνολογίες ασφάλειας SNMPv3 Αποµακρυσµένη παρακολούθηση δικτύου ροµολόγηση πολυδιανοµής OSPF ροµολόγηση QoS Kerberos IPSec X.509 S/MIME TLS Μεταφορά Πρωτόκολλα επιπέδου µεταφοράς ιαφοροποιηµένες υπηρεσίες Τηλεφωνία µέσω IP NFS RSVP Υπηρεσίες χρηστών Μέθοδοι βελτίωσης της ποιότητας πληροφοριών που προσφέρονται στους χρήστες του ιαδικτύου Υπεύθυνη χρήση του ιαδικτύου Υπηρεσίες χρηστών Έγγραφα FYI Να είναι σταθερή και κατανοητή Να είναι τεχνολογικά ανταγωνιστική Να έχει πολλές, ανεξάρτητες, και διαλειτουργικές υλοποιήσεις µε επαρκείς εµπειρίες ως προς τη λειτουργικότητα Να έχει την υποστήριξη του κοινού Να έχει αναγνωριστεί η χρησιµότητά της σε κάποιο ή σε όλα τα τµήµατα του ιαδικτύου Η ειδοποιός διαφορά µεταξύ αυτών των κριτηρίων και εκείνων που χρησιµοποιούνται σε διεθνή πρότυπα από το ITU είναι η έµφαση που δίνεται από τα παραπάνω κριτήρια στις λειτουργικές εµπειρίες.

19 1.7 ΤΑ ΠΡΟΤΥΠΑ ΚΑΙ Η ΚΟΙΝΟΤΗΤΑ ΤΟΥ ΙΑ ΙΚΤΥΟΥ 41 Η αριστερή πλευρά της Εικόνας 1.7 δείχνει τη σειρά των βηµάτων, που ονοµάζεται Πορεία Προτύπων (standards track), από τα οποία περνά µια προδιαγραφή για να γίνει πρότυπο. αυτή η διαδικασία ορίζεται στο RFC Τα βήµατα αυτά περιλαµβάνουν λεπτοµερείς έ- ρευνες και δοκιµές, που είναι σταδιακά αυξανόµενες. Σε κάθε βήµα το IETF κάνει µια πρόταση για µελλοντική εξέλιξη του πρωτοκόλλου, την οποία πρέπει να επικυρώσει το IESG. Η διαδικασία ξεκινά όταν το IESG εγκρίνει τη δηµοσίευση ενός εγγράφου Internet Draft σε µορφή RFC στην κατάσταση "Προτεινόµενου Προτύπου" (Proposed Standard). Τα λευκά πλαίσια στην Εικόνα 1.7 αντιπροσωπεύουν προσωρινές καταστάσεις, στις ο- ποίες πρέπει να βρεθεί το έγγραφο για το πρακτικά ελάχιστο χρονικό διάστηµα. Ωστόσο, ένα έγγραφο πρέπει να παραµείνει ως Προτεινόµενο Πρότυπο για τουλάχιστον έξι µήνες και ως Προσχέδιο Προτύπου (Draft Standard) για τουλάχιστον τέσσερις µήνες, ώστε να δοθεί αρκετός χρόνος για εξέταση και σχολιασµό. Τα γκρίζα κουτιά αντιπροσωπεύουν µακροχρόνιες καταστάσεις, στις οποίες το έγγραφο µπορεί να βρίσκεται για χρόνια. Για να αναβαθµιστεί µια προδιαγραφή σε κατάσταση Draft Standard, θα πρέπει να υπάρξουν τουλάχιστον δύο ανεξάρτητες και διαλειτουργικές υλοποιήσεις από τις οποίες να έχουν προκύψει επαρκείς λειτουργικές εµπειρίες. Αφού αποκτηθούν σηµαντικές εµπειρίες σχετικά µε την υλοποίηση και τη λειτουργία της, η προδιαγραφή µπορεί να αναβαθµιστεί στην κατάσταση "Προτύπου του ιαδικτύου" (Internet Standard). Σε αυτό το σηµείο ανατίθεται στην προδιαγραφή ένας αριθµός STD και ένα έγγραφο RFC. Εικόνα 1.7 ιαδικασία έκδοσης εγγράφου Internet RFC.

20 42 ΚΕΦΑΛΑΙΟ 1 / ΕΙΣΑΓΩΓΗ Τελικά, όταν ένα πρότυπο θεωρείται απαρχαιωµένο, περνά στην Ιστορική Κατάσταση (Historic). Κατηγορίες προτύπων ιαδικτύου Όλα τα πρότυπα του ιαδικτύου ταξινοµούνται σε µία από τις δύο επόµενες κατηγορίες: Τεχνικές προδιαγραφές (Technical Specification, TS): Τα έγγραφα TS ορίζουν ένα πρωτόκολλο, µια υπηρεσία, µια διαδικασία, έναν κανόνα συµπεριφοράς, ή ένα σχήµα µορφοποίησης (format). Τα περισσότερα πρότυπα του ιαδικτύου είναι έγγραφα TS. ηλώσεις καταλληλότητας (Applicability Statement, AS): Τα έγγραφα AS καθορίζουν πώς και κάτω από ποιες συνθήκες ένα ή περισσότερα έγγραφα TS θα πρέπει να ε- φαρµοστούν ώστε να υποστηρίξουν µια συγκεκριµένη δυνατότητα του ιαδικτύου. Το έγγραφο AS καθορίζει ένα ή περισσότερα έγγραφα TS που είναι σχετικά µε αυτή τη δυνατότητα, και µπορεί επίσης να καθορίζει τιµές για συγκεκριµένες παραµέτρους που σχετίζονται µε ένα έγγραφο TS, ή µε κάποια λειτουργικά υποσύνολα ενός εγγράφου TS. Άλλοι τύποι εγγράφων RFC Υπάρχουν πολλά έγγραφα RFC τα οποία δεν προορίζονται να γίνουν Πρότυπα του Internet. Κάποια έγγραφα RFC τυποποιούν τα αποτελέσµατα συζητήσεων της κοινότητας σχετικά µε κανόνες ή συµπεράσµατα ως προς τον καλύτερο τρόπο εκτέλεσης κάποιων λειτουργιών ή διαδικασιών του IETF. Τέτοια έγγραφα RFC χαρακτηρίζονται ως Βέλτιστη Τρέχουσα Πρακτική (Best Current Practice, BCP). Η αποδοχή των εγγράφων BCP ακολουθεί ουσιαστικά την ίδια διαδικασία µε την αποδοχή των Προτεινόµενων Προτύπων. Αντίθετα όµως µε την Πορεία Προτύπων, δεν υπάρχει διαδικασία τριών καταστάσεων για τα έγγραφα BCP. αυτά εξελίσσεται από Προσχέδιο του Internet σε εγκεκριµένο έγγραφο BCP σε ένα µόνο βήµα. Ένα πρωτόκολλο ή κάποια άλλη προδιαγραφή που δεν θεωρείται έτοιµη για προτυποποίηση µπορεί να δηµοσιευτεί ως Πειραµατικό RFC (Experimental RFC). Ύστερα από περαιτέρω εργασία, η προδιαγραφή είναι πιθανό να υποβληθεί εκ νέου. Αν η προδιαγραφή είναι γενικά σταθερή και έχει επιλύσει τα γνωστά σχεδιαστικά ζητήµατα, θεωρείται ότι έχει γίνει καλά αντιληπτή, έχει υποστεί εξονυχιστική έρευνα από την κοινότητα, και φαίνεται να απολαµβάνει το ενδιαφέρον της κοινότητας σχετικά µε τη χρησιµότητά της, τότε το έγγραφο RFC θα οριστεί ως Προτεινόµενο Πρότυπο. Τέλος, οι Πληροφοριακές Προδιαγραφές (Informational Specification) δηµοσιεύονται για τη γενική πληροφόρηση της ικτυακής κοινότητας. 1.8 ΙΑΡΘΡΩΣΗ ΤΟΥ ΒΙΒΛΙΟΥ Αυτό το κεφάλαιο αποτελεί µια εισαγωγή για ολόκληρο το βιβλίο. Το υπόλοιπο κοµµάτι του βιβλίου χωρίζεται σε τρία µέρη: