Компьютерные сети. Информационная безопасность

Решение задач
Лекции и конспекты
Подготовка к экзамену
Тема: Колебания
Переменный ток
Оптика
Решение задач по физике
Техническая механика
Ядерная физика
Математика
Аналитическая геометрия
Дифференциальное исчисление
Интегральное исчисление

Выполнение
графических работ

Черчение
Мастерская по рисунку
Сборочные чертежи
Начертательная геометрия
Курсовая работа по сопромату
Сопротивление материалов
Электротехника
Лабораторные работы по
электротехнике
Производственная практика
Основы полупроводниковой
электроники
Расчет электрических цепей
Теория конструктивных материалов
ТКМ
Проводники
Полупроводниковые материалы
Диэлектрики
Электропроводность
Диэлектрические потери
Информатика
Безопасность в компьютерных
сетях
Защита информации
Одноранговые сети
Клиент-серверная модель
Беспроводные компьютеры
Службы и протоколы
История глобальных сетей
Стандартизация сетей
 

Брандмауэры

Возможность соединять любые компьютеры друг с другом в некоторых случаях является достоинством, а в других, наоборот, недостатком. Возможность бродить по Интернету доставляет много радости домашним пользователям. Менеджерам отдела безопасности корпораций эта возможность кажется кошмаром. Большинство компаний располагает огромными объемами конфиденциальной информации, размещенной на компьютерах, подключенных к сети, — коммерческие тайны, планы развития производства, рыночные стратегии, аналитические отчеты финансового состояния и т. д. Раскрытие этих сведений перед конкурентами может иметь ужасные последствия.

Помимо опасности утечки информации наружу, имеется опасность проникновения вредной информации, такой как вирусы, черви и прочей цифровой заразы, способной взламывать секреты, уничтожать ценные данные, на борьбу с которой уходит масса времени сетевых администраторов. Часто эту инфекцию заносят беззаботные сотрудники, желающие поиграть в новую модную компьютерную игру. Компьютерные сети Технологии клиент-сервер

Таким образом, требуются специальные средства, удерживающие «доброкачественную» информацию внутри, а «вредную» — снаружи. Один из способов состоит в применении IPsec. Этот метод защищает данные при их пересылке. Однако шифрование не спасает от вирусов и хакеров, способных проникнуть в локальную сеть. Помочь защитить сети от нежелательного проникновения снаружи может установка брандмауэров, к рассмотрению которых мы сейчас обратимся.

Брандмауэры представляют собой современную реализацию средневекового принципа обеспечения безопасности. Они напоминают ров, вырытый вокруг замка. Суть конструкции заключается в том, что все входящие и выходящие из замка должны проходить по одному подъемному мосту, где полиция ввода-вывода сможет проверить их личность. Тот же принцип может быть применен и в сетях: у компании может быть несколько локальных сетей, соединенных произвольным образом, но весь внешний трафик должен проходить через электронный подъемный мост (брандмауэр), как показано на рис. 8.25.

HTTP- браузер

FTP-запрос

FTP- сервер

FTP-ответ

а

б

Рис. 8.25. Брандмауэр, состоящий из двух пакетных фильтров и шлюза прикладного уровня

Возможность бродить по Интернету доставляет много радости домашним пользователям. Брандмауэр в данной конфигурации состоит из двух компонентов: двух маршрутизаторов, фильтрующих пакеты, и шлюза прикладного уровня. Существуют также и более простые конструкции, но преимущество такой разработки состоит в том, что каждый пакет, желающий войти или выйти, должен пройти через два фильтра и один шлюз прикладного уровня.

Вторая составляющая механизма брандмауэра представляет собой шлюз прикладного уровня.

Виртуальные частные сети Многие компании владеют множеством подразделений, расположенных в разных городах, иногда даже в разных странах. До появления общедоступных сетей передачи данных обычным делом было арендовать выделенную телефонную линию для организации связи между некоторыми или всеми парами подразделений.

Безопасность в беспроводных сетях Оказывается, удивительно просто создать систему, которая логически полностью надежна, то есть состоит из VPN и брандмауэров, и при этом на практике протекает, как решето. Такая ситуация может возникнуть, если в сети есть беспроводные машины, передающие данные с помощью радиосигнала, проходящего прямо над брандмауэром в обе стороны.

Безопасность в сетях 802.11 Стандарт 802.11 описывает протокол безопасности уровня передачи данных под названием WEP (Wired Equivalent Privacy — секретность, эквивалентная проводным сетям), предназначенный для того, чтобы обезопасить беспроводные ЛВС так же надежно, как и проводные.

Но даже если всем пользователям раздать разные ключи, WEP все равно может быть взломан. Так как ключи не изменяются в течение больших периодов времени, стандарт WEP рекомендует (но не обязывает) изменять вектор инициализации при передаче каждого пакета во избежание атак посредством повторного использования (мы обсуждали это в разделе «Режимы шифрования»)

Вместе с тем, когда один студент-практикант и двое ученых из компании AT&T Labs узнали о работе Флурера, они решили испробовать описанный метод на практике (Stubblefield и др., 2002).

Безопасность в системах Bluetooth Радиус действия систем Bluetooth значительно короче, чем сетей 802.11, поэтому взломщику не удастся произвести атаку, оставив ноутбук в припаркованной рядом со зданием машине, однако вопрос безопасности важен и тут.

Безопасность в WAP 2.0 Надо признать, что форум разработчиков WAP извлек уроки из нестандартного стека протоколов, придуманного для WAP 1.0. В отличие от первой версии, WAP 2.0 характеризуется стандартными протоколами на всех уровнях.

Аутентификация, основанная на общем секретном ключе

Схема зеркальной атаки

Можно ли с уверенностью сказать, что этот протокол не подвержен зеркальным атакам?

Новый протокол аутентификации

Протокол, позволяющий не встречавшимся ранее людям устанавливать общий секретный ключ, называется протоколом обмена ключами Диффи—Хеллмана

Атака типа «пожарная цепочка»

Более сложный метод аутентификации состоит в использовании многостороннего протокола оклик—отзыв. Хорошо известным примером такого протокола является протокол аутентификации Нидхэма—Шрёдера

Протокол аутентификации Нидхэма—Шредера

Во многих реально работающих системах применяется протокол аутентификации Kerberos, основанный на одном из вариантов протокола Нидхэма—Шрёдера.

Поскольку разработчики системы Kerberos не рассчитывали, что весь мир станет доверять одному единственному серверу аутентификации, они обеспечили существование нескольких областей, каждая из которых имеет свой собственный сервер аутентификации и сервер выдачи билетов

Взаимная аутентификация также может выполняться с помощью шифрования с открытым ключом.

Конфиденциальность электронной переписки При пересылке между двумя удаленными пользователями сообщение обычно преодолевает по пути десяток других машин. Любая из них может читать и записывать проходящую через нее почту. Конфиденциальности не существует, что бы ни думали об этом многие пользователи.

Честно говоря, законы, касающиеся экспорта, кажутся несколько диковатыми. Правительство решило, что размещение программы на веб-странице можно приравнять к нелегальному экспорту, и надоедало Циммерману целых 5 лет.

Затем зашифрованный хэш-код и оригинальное сообщение объединяются в единое сообщение Р1, которое сжимается с помощью программы ZIP, использующей алгоритм Зива—Лемпеля (Ziv—Lempel, 1977).

Сообщение состоит из трех частей: области ключа, области подписи и области сообщения. Область ключа, помимо самого ГОЕА-ключа, содержит также идентификатор ключа, так как пользователям разрешено иметь несколько открытых ключей.

Закрытые ключи на диске зашифрованы специальным паролем (произвольной длины), защищающем их от кражи.

С системой РЕМ связана только одна небольшая проблема: никто ею никогда не пользовался. Это связано, прежде всего, с политикой: как решить, кто и при каких условиях должен стать центром управления?

Защита информации во Всемирной паутине Мы только что закончили изучение двух важных областей, в которых требуется защита информации, — соединения и электронная почта. Можно сказать, что это были аперитив и суп. Теперь же мы приступаем к главному блюду: защите информации во Всемирной паутине.

Безопасное именование ресурсов

Во-вторых, для того чтобы DNS-сервер мог понять, какому запросу соответствует ответ, во все запросы добавляются порядковые номера

Концептуально система DNSsec очень проста. Она основана на шифровании с открытыми ключами. Каждая зона DNS обладает парой ключей, а именно, открытым и закрытым. Вся информация, отправляемая DNS-сервером, подписывается с помощью закрытого ключа зоны отправителя, поэтому аутентичность может быть запросто проверена принимающей стороной.

Второй новый тип записей — SIG. В такой записи содержится подписанный хэш, сформированный в соответствии с алгоритмом, указанным в KEY. Подпись охватывает все записи RRSet, включая все записи KEY, однако не включая саму себя.

Самозаверяющиеся имена Защита DNS — это не единственный способ защиты имен. Совершенно другой подход применяется в защищенной файловой системе

Другой путь получения самозаверяющихся URL заключается в установлении соединения с надежной поисковой машиной. Вначале придется набрать длинную строку, но затем можно будет воспользоваться описанным ранее протоколом, приводящим к защищенному, аутентифицированному соединению с надежной поисковой машиной.

Существует несколько версий протокола SSL.

Как уже говорилось, SSL поддерживает разнообразные криптографические алгоритмы

В 1996 году корпорация Netscape Communications направила SSL на стандартизацию в IETF. Результатом стал стандарт TLS (Transport Layer Security — защита транспортного уровня). Он описан в RFC 2246.

Если апплет пытается захватить системный ресурс, вызов передается монитору безопасности, который может разрешить или запретить данное действие. Монитор исследует вызов с точки зрения локальной политики защиты информации и затем принимает нужное решение.

В JavaScript вообще отсутствует какая-либо официальная модель системы защиты информации, зато существует длинная история неудачных попыток ее внедрения.

Каждый производитель пытается придумать что-нибудь свое Тем не менее, использование криптографии в значительной степени меняет дело. Любой желающий может озаботиться загрузкой и установкой PGP, генерированием хорошо защищенного, надежного ключа, и в результате он получит уверенность в том, что никто во Вселенной не сможет прочесть его электронную почту, независимо от наличия у него ордера на обыск.

Анонимные рассылки PGP, SSL и другие технологии позволяют устанавливать между двумя сторонами защищенные, аутентифицированные соединения, не подверженные вмешательству третьих сторон.

На этом история сообщения не заканчивается.

Конфиденциальность связана с проблемой сокрытия от посторонних глаз информации, не подлежащей обнародованию. Вторым ключевым социальным аспектом является, несомненно, свобода слова и ее противоположность

Проще всего организовать одноранговую систему, в которой документы будут размещаться на десятках серверов-участников проекта, каждый из которых будет получать свою долю вознаграждения, что послужит стимулом для их вступления в проект.

Стеганография В странах, где цензура применяется особенно широко, всегда существуют диссиденты, использующие свои методы обхода этой цензуры

Стеганографический канал работает следующим образом. Конфиденциальность и цензура — это те области, в которых сталкиваются технологические аспекты и общественные интересы.

Третьей такой областью является защита авторских прав

Однако есть еще одна проблема, связанная с авторскими правами. Ведется ожесточенная борьба между Голливудом и компьютерной индустрией. Голливуд требует усилить защиту интеллектуальной собственности, а компьютерщики говорят, что они не обязаны сторожить голливудские ценн

Еще одно явление, затмевающее собой по уровню смещения баланса между обладателями авторских прав и потребителями даже DMCA, — это Альянс надежных вычислительных платформ (ТСРА — Trusted Computing Platform Alliance).

Официальные, коммерческие и другие документы необходимо подписывать

Вернуться на Главную