home *** CD-ROM | disk | FTP | other *** search
/ Hacker Chronicles 1 / HACKER1.ISO / network / ddnet1 < prev    next >
Text File  |  1992-11-01  |  8KB  |  145 lines
  1. Unauthorised Access UK  0636-708063  10pm-7am  12oo/24oo
  2.  
  3.                   DDN - The Defense Data Network
  4.  
  5.     The Department of Defense started the major networking scene in the US in
  6.     the late '70s and early 80s.  Their first baby was ARPANET (Advanced
  7.     Research Projects Agency NETwork).  It was just a development system to see
  8.     how feasible a national computer network would be and to help facillitate
  9.     information transfer between defense researchers (and some university
  10.     projects).  The world of InterNET has grown up around that existing
  11.     foundation to become one of the most (THE most?) used network in the world
  12.     as researchers in other nations found they also needed access to
  13.     counterparts around the nation to exchange knowledge and ideas.  Well to end
  14.     this simple history I will get back to the DDN and its workings (what little
  15.     I do really know of them) and it structure.
  16.  
  17.     The DoD  (Dept of Defense) has been maintaining its own separate networks
  18.     ever since ARPANET became a success and was "gobbled up" by the growing
  19.     InterNET structure.  The DoD wanted to be able to secure its important work
  20.     and research and to do so it needed to be isolated from the existing
  21.     infrastructure.  They decided that a somewhat free flow of information would
  22.     be necessary between constituents and that some kind of framework similar to
  23.     Internet would be beneficial but that access to their systems would have to
  24.     be limited by means more secure than anything available on the public
  25.     Internet system.  They developed MILNET for this specific purpose (to carry
  26.     unclassified data traffic between defense contractors and researchers).
  27.  
  28.     Beyond MILNET there were also been establish three other military nets under
  29.     the auspices of the Defense Secure NETwork (DSNET).  The three were DSNET1
  30.     for Secret data, DSNET2 for Top Secret data, and DSNET3 for special Top
  31.     Secret data (probably weapons systems and plans, and ELINT/SIGINT systems --
  32.     but that is only a guess).  These three each had a separate communications
  33.     hub including local and widearea nets.  The 3 DSNETS have been combined (are
  34.     being combined) in a unified DISNET (Defense Integrated Security NETwork).
  35.  
  36.     The Defense Communication Agency (DCA) was put in charge of maintaining the
  37.     backbones of the defense networks (except ARPANET which is primarily used by
  38.     the R&D community and is maintained by DARPA and is not really associated
  39.     with DDN) as part of the Defense Communication System (DCS).  All DDN Nets
  40.     are not part (officially) of InterNET because of the security risks
  41.     involved.
  42.  
  43.     The restructuring of DDN into DISNET is a continually evolving project
  44.     (especially in the area of Defense Messaging System - which I know little
  45.     about at this time and WOULD LIKE TO SEE MORE INFO about if anyone knows
  46.     about it ), but I will explain its structure as presently laid out...
  47.  
  48.     "(1) Security architecture should include a well-defined set of network
  49.     security services offered to subscribers"
  50.          Services:
  51.     CONFIDENTIALITY:
  52.          1.Mandatory Confidentiality - protects classified data using DDN
  53.                                        rule based security
  54.          2.Discretionary Confid. - identity based (Need-to-Know) security
  55.          3.Traffic Flow Confid. - protects against disclosure by observing
  56.             \                     characteristics of data flow
  57.               \_____See the encrypthion and communities descriptions below for
  58.                     more on this.
  59.  
  60.     DATA INTEGRITY - protects against (OR ATLEAST TRYS TO DETECT) unauthorized
  61.                      changes of data
  62.  
  63.     IDENTIFICATION, AUTHENTICATION, AND ACCESS CONTROL :  *
  64.          1.Identification- standard name for each system entity (just like
  65.                            every net.
  66.          2.Authentication- ensures that a stated identity is correct (HOW???)
  67.          3.Access Control- limits system resources to a correctly identified
  68.                            system
  69.  
  70.     "(2) Subscribers should not pay for or be hampered by unneedded security"
  71.       ^\______ Interesting...who does pay for un-needed security then?!?
  72.  
  73.     ""(4) Subscribers should share responsibility for security where appro-
  74.        priate"  <----<<<< COULD THIS BE A MAJOR DOWNFALL?? Hmm...
  75.          * - As for I,A, and AC(above) These services are subscriber respons-
  76.              ibility except for major communities and subcommunities.
  77.  
  78.                         STRUCTURE OF THE DDN :
  79.     The primary elements are computers called switches which communicate
  80.     via inter-switch trunks.(DCA owns the switches and leases most trunks)
  81.  
  82.     Each subscriber connects to DDN as a HOST or a TERMINAL.  DDN serves hosts
  83.     at the OSI (Open Systems Interconnect) network level; the Host - Switch
  84.     interface is the standard X.25 (CCITT). Many of the hosts are gateways to
  85.     other nets (mainly LANs) and the number of gateways is increasing.
  86.  
  87.     Special Hosts:
  88.          Montitor Centers (MC) : they manage the switches, trunks, and other
  89.                    special hosts.
  90.          Name Server hosts - they translate the addresses of the other hosts
  91.  
  92.          Terminal Access Controllers (TACs) - more limited DDN service. Instead
  93.                    of a direct Host-to-Switch connection you can connect to a
  94.                    TAC (via dial-up) and be addressed as a terminal by DDN
  95.                    through TAC. TAC uses TELNET protocol so terminal can
  96.                    communicate with a second DDN Host as if directly connected.
  97.  
  98.          TAC Access Control Systems (TACACS) - prompt user to login at a TAC
  99.  
  100.     Priority Access:
  101.     All DDN switches can handle data packets according to 4 level hierarchy
  102.     system.  precedence lavels are assigned to hosts and terminals by the Joint
  103.     Chiefs of Staff.  To my knowledge this hasn't been implemented yet.
  104.  
  105.     Host to Host Encryption:
  106.     DISNET uses a end-to-end encryption system (E3) called BLACKER. These are
  107.     installed on each host-to-switch path of all hosts including TACs .  These
  108.     BLACKER front end devices (BFEs) encrypt all data packets but leave the X.25
  109.     header unencrypted for the backbone to use.  The BLACKER system includes a
  110.     Key Distribut-ion Center (KDC) and Access Control Center (ACC) hosts.
  111.     BLACKER is a Class A1 System (under the Trusted Computer System Evaluation
  112.     Criteria / "Orange Book"), and it will be able to prevent a community MC
  113.     from communicating with other MCs in other communities; this will not happen
  114.     for a while and the MC sites will still have a terminal through a TAC
  115.     directly to a switch without going through BFE.
  116.  
  117.     Bridges between Nets:
  118.     The plan calls for limited gateways between MILNET and DISNET to allow
  119.     unclassified data traffic (in the form of store-and-forward electronic mail
  120.     in both directions).  Data entering DISNET from MILNET will be identified as
  121.     such by the bridge.
  122.     The DDN plans forbid a subscriber from connecting to both MILNET and DISNET
  123.     and also forbids DoD system to connect both to a DDN segment and to a
  124.     segment that does not conform to DDN security structure.
  125.  
  126.     Other Stuff:
  127.     To insure that every subscriber system can exercise discretionary access
  128.     control over its resources through DDN, and of DDN resources via the
  129.     subscriber system, DDN requires that all subscribers be TCSEC Class C2
  130.     secure.  By september '92 any non-complying system will need OSD and JCS
  131.     waivers or DCA can remove them from the Net.
  132.  
  133.     DDN plans to segregate subscribers according to whether or not they meet the
  134.     TCSEC C2 requirement.  Conforming systems comprise a Trusted Subcommunity
  135.     within each security level.  Within this subcommunity hosts can freely
  136.     communicate.  NonConforming systems with waivers will form Closed
  137.     Communities within each  level.  Direct net communications between
  138.     subcommunities will be prevented by switching logic in MILNET and by BLACKER
  139.     in DISNET except over trusted bridges.
  140.  
  141.  
  142.  
  143.              Downloaded From P-80 Systems 304-744-2253
  144.  
  145.