Сетевая безопасность организации протоколы сетевой безопасности реферат

Обновлено: 07.07.2024

Уже несколько десятилетий люди применяют компьютерные сети для обеспечения связи между персоналом, компьютерами и серверами в компаниях, колледжах и городах. Однако наблюдается тенденция ко все более широкому использованию беспроводных сетей. И действительно, сейчас доступны беспроводные интерфейсы, позволяющие использовать сетевые службы, работать с электронной почтой и просматривать Web-страницы независимо от того, где находится пользователь. Эти беспроводные приложения позволяют людям "расширить" свое рабочее место и получить в результате этого ряд преимуществ.

Содержание

Введение
1.Беспроводные сети
2.Современные беспроводные технологии
3. Вопросы безопасности беспроводных соединений
Заключение

Прикрепленные файлы: 1 файл

Реферат по инф.безопасности.docx

Федеральное государственное образовательное бюджетное

учреждение высшего профессионального образования

Студент группы ФК 1-3

Теванян Артур Армоевич

2.Современные беспроводные технологии

3. Вопросы безопасности беспроводных соединений

Беспроводные сети представляют собой недорогой метод соединения информационных систем, просты в установке и работе. Однако она ведет к возникновению серьезных вопросов безопасности в организациях, использующих данный тип соединений. Для предотвращения прослушивания сетей и обеспечения корректной аутентификации было разработано множество механизмов безопасности, однако, до сих пор в предлагаемых стандартах и в их реализациях остается целый ряд серьезных уязвимостей.

Современные беспроводные технологии

В беспроводных локальных сетях главным образом используется группа стандартов технологии 802.11x (a, b, g и т. д.). Эти стандарты позволяют соединять рабочие станции каналами, с пропускной способностью до 54 Мбит/с, с использованием беспроводной точки доступа, которая подключается к кабельной сети или напрямую к другой рабочей станции.

Для эффективного использования беспроводных локальных сетей (WLAN) на предприятии необходимо обеспечить достаточную зону покрытия в областях, где сотрудники или посетители организации будут размещать свои компьютеры. В помещениях радиус действия обычной беспроводной системы стандарта 802.11x WLAN составляет, как правило, около 50 метров. Вне помещения радиус действия может достигать 500 метров. Следовательно, точки доступа (AP) должны размещаться так, чтобы обеспечивать область покрытия в соответствующих областях.

Реальный радиус действия определяется используемым оборудованием, а также формой и материалами, из которых сделаны окружающие физические объекты.

Безопасность передачи данных.

Беспроводные сети используют воздух и пространство для передачи и приема информации (сигналы являются открытыми для любого лица, находящегося в зоне действия), что требует должной защиты конфиденциальности и целостности информации при ее передаче между рабочими станциями и точками доступа.

Стандарт 802.11x определяет протокол Wired Equivalent Privacy (WEP) для защиты информации при ее передаче через WLAN. WEP предусматривает обеспечение трех основных аспектов:

В дополнение к средствам защиты информации от хакеров станции могут использовать метод криптографии с открытым ключом для аутентификации их другими станциями или точками доступа. Это может оказаться необходимым до того, как точка доступа или контроллер позволит определенной станции начать взаимодействие с защищенной частью сети. Аналогичным образом и клиент может аутентифицировать точку доступа. Станция аутентифицирует сама себя путем шифрования строки текста в пакете с помощью секретного ключа. Приемная станция дешифрует текст с помощью открытого ключа передающей станции. Если дешифрованный текст совпадает с каким-то предопределенным текстом, например, именем станции, приемная станция считает передавшую ей фрейм станцию легитимной. В данном случае шифрование определенной строки текста выполняет роль цифровой подписи.

Служба аутентификации WEP используется для аутентификации рабочих станций на точках доступа. Аутентифицированная рабочая станция тогда, когда она отправляет ответный пакет с MAC-адресом в процессе начального обмена данными с точкой доступа. В реальных условиях данная форма аутентификации не обеспечивает доказательства того, что к точке доступа подключается именно конкретная рабочая станция, а не какой-либо другой компьютер.

WEP также предусматривает возможность использования механизма криптографической аутентификации, который базируется на знании общего секрета, и обрабатывается алгоритмом RC4 для доказательства подлинности рабочей станции при доступе к AP. При обмене аутентификационными данными, используя систему вызов/ответ, рабочая станция сначала посылает запрос аутентификации на точку доступа, которая передает номер вызова, сгенерированный случайным образом.

После этого рабочая станция, зашифровав вызов с использованием общего секрета, возвращает его точке доступа. При расшифровке точкой доступа ответа, с помощью своей копии общего секрета, и получения исходного числа – рабочая станция будет аутентифицирована для доступа к AP. При использовании этого метода рабочая станция остается открытой для подключения других точек доступа. Соответственно, обмен данными также не защищен от атак через посредника или от перехвата данных.

Аутентификация является ключевым компонентом системы безопасности WLAN. Ни одна из опций, доступных пользователям WLAN, сама по себе не предусматривает защиту от рисков, связанных с использованием WLAN.

Механизм обеспечения конфиденциальности базируется на RC4, который является мощным алгоритмом шифрования, поэтому атаковать его достаточно сложно. RC4 используется для генерирования псевдослучайной последовательности ключей, комбинируемой с информацией для формирования шифрованного текста. Этот механизм защищает всю информацию заголовка протокола и данные протокола 802.11x.

WEP поддерживает ключи длиной 40 бит и 128 бит. К сожалению, WEP не определяет механизм управления ключами, т.е. многие инсталляции WEP базируются на использовании статических ключей.

Используемая проверка целостности представляет собой циклическую 32-битную проверку избыточности (CRC), которая вычисляется для каждого пакета перед его шифрованием, после чего данные в комбинации с CRC шифруются и отправляются в пункт назначения.

Несмотря на то, что CRC с криптографической точки зрения небезопасна (Шифрование), она защищается шифрованием. Если алгоритм шифрования обладает достаточной мощностью, то используемая здесь система шифрования может быть достаточно надежной. Однако недостатки WEP представляют угрозу и для целостности пакетов.

Идентификатор набора служб (SSID) .

Это 32-битная строка, используемая в качестве сетевого имени. Чтобы связать рабочую станцию с точкой доступа, обе системы должны иметь один и тот же SSID. К сожалению, SSID распространяется многими точками доступа, т.е. любая рабочая станция, находящаяся в режиме ожидания, может получить SSID и добавить саму себя в соответствующую сеть.

Некоторые точки доступа позволяют использовать MAC-адреса авторизованных рабочих станций для аутентификации (предусмотрено поставщиком). Другими словами, конфигурация AP настроена на разрешение соединения только по тем MAC-адресам, о которых известно этой точке доступа. При этом MAC-адреса должны передаваться в открытом виде; в противном случае сеть функционировать не будет. А злоумышленнику, прослушивает трафик, это на руку. Он может определять авторизованные MAC-адреса и настраивать свою собственную систему на использование одного из этих MAC-адресов для установки соединения с AP.

Использование WEP не предотвращает перехват данных или атаки через посредника.

Протокол 802.1X: контроль доступа в сеть по портам.

Протокол 802.1X – надстройка для всех протоколов контроля доступа 2 уровня, включая Ethernet и WLAN. Он предназначен для обеспечения обобщенного механизма аутентификации при доступе в сеть и предусматривает следующий набор элементов: аутентификатор. Сетевое устройство, осуществляющее поиск других объектов для аутентификации; для WLAN это может быть AP;

соискатель. Объект, которому требуется доступ. В случае с WLAN это может быть рабочая станция;

сервер аутентификации. Источник служб аутентификации. 802.1X разрешает централизацию этой функции, поэтому данный сервер является, например, сервером RADIUS;

сетевая точка доступа. Точка присоединения рабочей станции к сети. По сути, это порт на коммутаторе или концентраторе. В беспроводной технологии является связью между рабочей станции и точкой доступа;

процесс доступа через порт (PAE). PAE – это процесс, выполняющий протоколы аутентификации. PAE есть как у аутентификатора, так и у соискателя;

расширяемый протокол аутентификации (EAP). Протокол EAP (определен в стандарте RFC 2284) представляет собой протокол, используемый при обмене аутентификационными данными. Поверх EAP могут работать и другие протоколы аутентификации более высокого уровня.

Использование протокола 802.1X позволяет применить более надежный механизм аутентификации, нежели возможности, доступные в 802.11x. При использовании совместно с сервером RADIUS становится возможным централизованное управление пользователями.

Взаимная аутентификация является необязательной относительно 802.1X, и, таким образом, множество инсталляций по умолчанию будет открыто для атак перехватом. 802.1X также предусматривает одноразовую аутентификацию (в начале сеанса). Следовательно, если злоумышленник завладеет MAC-адресом легальной рабочей станции, он получит возможность захватить сеанс и работать в сети WLAN под видом одного из легальных пользователей.

Вопросы безопасности беспроводных соединений

Риски, связанные с использованием сетей WLAN, варьируются от прослушивания до направленных внутренних атак и даже атак, нацеленных на внешние сайты.

NetStumber – утилита, которая работает в операционных системах семейства Windows и может использоваться совместно со спутниковым навигатором (ресивером глобальной системы позиционирования, GPS) для обнаружения беспроводных сетей WLAN. Она идентифицирует SSID сети WLAN, а также определяет, используется ли в ней WEP.

Обнаружить сети WLAN не составит особого усилия во время обхода нужного района или поездки по городу, обследование офисного здания с переносным компьютером в руках. Внешняя антенна не является необходимой, однако помогает расширить диапазон обнаружения, которым обладают утилиты.

Беспроводные сети позволяют соединять с физической сетью компьютеры, находящиеся на некотором расстоянии от нее, как если бы эти компьютеры находились непосредственно в сети. Можно подключиться к беспроводной сети организации, располагающейся в здании, человеку, сидящему в машине на стоянке рядом с ним.

Даже при надежной аутентификации, которую должны проходить все пользователи для доступа к секретным файлам и системам, злоумышленник может без труда добыть секретные сведения посредством пассивного прослушивания сети. Атаку посредством пассивного прослушивания практически невозможно обнаружить.

Преодоление периметра сетевой защиты организации, где размещают большую часть средств безопасности (межсетевые экраны, системы обнаружения вторжений и т. д.). Расположенные внутри периметра системы, как правило, защищены в гораздо меньшей степени.

Вместо проведения внутренних атак злоумышленник может использовать сетевое соединение для атаки извне.

Тогда организация становится источником атакующего трафика, нацеленного на другую компьютерную систему.

Злоумышленник может располагаться где угодно в радиусе действия беспроводной сети. Посредством атак изнутри злоумышленник может обходить стороной механизмы защиты большей части организаций, те механизмы, которые использовались бы для отслеживания действий злоумышленников.

Реализация безопасности беспроводных сетей.

Реализация WLAN должна предваряться полной оценкой рисков, связанных с проектом. Необходимо провести изучение потенциальных угроз, выявить любые имеющиеся контрмеры, принять дополнительные меры для снижения рисков.

Безопасность точки доступа.

В самом начале реализации проекта необходимо настроить безопасность точки беспроводного доступа. В идеальном случае точка доступа позволяет указать ключ WEP. Убедитесь, что этот ключ нельзя легко угадать. Хотя такой шаг и не предотвратит взлом ключа, он сделает процесс несанкционированного определения ключа несколько сложнее. Если возможно, используйте MAC-адреса для ограничения набора рабочих станций, которым разрешено подключение. Это усложнит задачу управления проектом, однако данный подход помогает ограничить обнаружение рабочих станций точкой доступа. Убедитесь, если возможно, что точка доступа не осуществляет распространение SSID.

Собрала для вас похожие темы рефератов, посмотрите, почитайте:

Введение

Одной из основных проблем при работе в Интернете является безопасность. Необученный пользователь может перейти по подозрительной ссылке в Интернете, перейти на зараженный веб-сайт, скачать вирусный файл или потерять персональную информацию и другие данные. Текстовые файлы и изображения могут стать носителями вредоносного кода, что значительно повышает риск заражения компьютера.

Для обеспечения безопасности при работе в Интернете существуют определенные правила, соблюдение которых помогает улучшить защиту персональных данных и программного обеспечения на вашем компьютере.

Использование Всемирной паутины

Кроме того, использование Всемирной паутины представляет опасность не только для компьютера, но и для пользователя. Поэтому необходимо быть готовым к возможному контакту с незнакомыми людьми. Не стоит поддаваться уловкам жуликов и сектантов, которые так или иначе могут попытаться повлиять на психику человека. Необходимо учитывать фактор анонимности, который также заставляет интернет-пользователей нарушать моральные и правовые нормы.

В большинстве случаев пользователь сам отвечает за безопасность своей работы в Интернете. Поэтому каждый должен быть в состоянии защитить себя и свой компьютер от потенциальных угроз. Для этого необходимо принять ряд мер безопасности и следовать определенным правилам, которые помогут Вам более успешно и продуктивно работать в интернете. Я расскажу тебе больше об угрозах и о том, как от них защититься.

Как обеспечить безопасность в интернете

Безопасность компьютера при работе в Интернете зависит от многих факторов, в первую очередь от соблюдения пользователем всех правил и мер предосторожности, а также от настроек, как пользовательских, так и стандартных, и многого другого.

Для более безопасного просмотра веб-страниц, Интернет:

Используйте безопасный браузер. (Браузеры Opera 28, Firefox 36 и Microsoft Internet Explorer 11 более безопасны, чем их предшественники).
Установите и активируйте антивирусную программу и при необходимости убедитесь, что антивирусные базы обновлены вовремя. (Качество антивирусных программ часто зависит от их оплаты и частоты обновления).
Включите брандмауэр и настройте его должным образом.
Работать под учетной записью с ограниченными привилегиями, а не под учетной записью с правами системного администратора.
Используйте официальную сборку ОС. (Microsoft Windows 7 более безопасна, чем предыдущие операционные системы рабочих станций Microsoft, включая Microsoft Windows XP, UNIX-подобные операционные системы (включая Linux, BSD), чем другие популярные операционные системы).
Активируйте обновление операционной системы.

Также полезно создавать резервные копии наиболее ценных данных, поскольку вредоносные программы и вирусы могут блокировать доступ к файлам, шифровать или уничтожать их. Таким образом, вы можете хранить все, что вам нужно, и не беспокоиться о восстановлении доступа к заблокированным данным.

В дополнение к техническим средствам защиты компьютера от угроз, пользователь должен руководствоваться здравым смыслом и быть осторожным. Для этого вы должны знать трюки злоумышленника, чтобы не попасться ему или ей на глаза и не подвергнуть систему риску заражения.

Советы по безопасности в Интернете:

Заключение

Итак, рассмотрев некоторые варианты усиления защиты операционной системы и персональных данных при работе в сети, мы можем сделать вывод, что у каждого пользователя есть множество способов защиты. Ведь для большинства пользователей основной целью пользования Интернетом является поиск нужной им информации и развлечений. Мало кто задумывается о безопасности, открывая браузер или играя в онлайн-игру. Поэтому перед началом работы в Интернете необходимо принять меры безопасности, чтобы в будущем не подвергаться опасности заражения вирусами, кражи данных, потери файлов и т.п. Если пользователь внимателен и осмотрителен, то пользование Интернетом принесет ему только пользу. Поэтому для достижения оптимальных результатов и безопасного использования Интернета необходимо сочетать все эти методы в соответствии с психологическими и возрастными особенностями пользователей и их потребностями.

Список литературы

Образовательный сайт для студентов и школьников

Содержание

Протокол прикладного уровня PGP

Протокол сетевого уровня IPSeс

Настоящий раздел посвящен алгоритму протокола IPSec, механизмы реализации которого расположены ниже транспортного уровня эталонной модели TCP/IP на сетевом уровне . Главным достоинством протокола IPSec, позволяющего поддерживать самые разнообразные приложения, является возможность шифрования и аутентификации всего потока данных на уровне IP. Защита может быть обеспечена любому приложению, т.е. протокол IPSec является прозрачным средством защиты для прикладных программ.

Механизмы защиты на уровне IP по протоколу IPSec обеспечивают ИБ не только сетевых приложений, имеющих свои встроенные средства, но и приложений, не обладающих такими возможностями.

Протокол IPSec обеспечивает защиту обмена данными в различных компьютерных сетях: локальных, корпоративных и открытых глобальных сетях типа Internet. Приведем два примера применения IPSec, для которых в настоящем разделе дается описание использования этого протокола безопасности.

Защищенный доступ к филиалу организации или к сети другой организации через Internet

Протокол IPSec позволяет объединить в единую защищенную сеть компьютеры центрального офиса и его филиалов. Такая сеть, связанная с помощью общедоступной сети Internet, является виртуальной частной сетью VPN (Virtual Private Network).

Усиление защиты протоколов ИБ прикладного уровня

Защищенный канал, реализованный на прикладном уровне, защищает только определенную службу (файловую, гипертекстовую, почтовую и др.). При этом для каждого прикладного протокола необходимо разрабатывать собственные средства защиты. Использование IPSec усиливает защиту механизмов обеспечения ИБ, встроенных в протоколы прикладного уровня (такие, как протоколы электронной коммерции и другие).

На рис. 5 показан пример использования IPSec. Здесь приведена корпоративная сеть из двух локальных вычислительных сетей, находящихся в разных местах. Под полезным грузом здесь понимается поле данных, в которое входят заголовки и информация уровней выше сетевого (т.е. транспортного и прикладного). Поле заголовка IPSec предназначено для аутентификации и конфиденциальности информации полезного груза. В рамках локальных сетей трафик IP корпоративной сети не защищается. Локальные вычислительные сети подключены через маршрутизаторы к сети Internet, через которую обмениваются IP-текстами абоненты этих локальных сетей. Протокол IPSec обеспечивает ИБ этих пакетов. Эти протоколы установлены в маршрутизаторы по периметру сети. В маршрутизаторах производится шифрование потока данных, отправляемых в Internet, и расшифрование данных, приходящих из Internet. Все выполняемые при этом операции не заметны для рабочих станций и серверов локальных сетей.

Заголовки IPSec

Протокол AH обеспечивает только аутентификацию. Ес¬тественно, подобная защита данных во многих случаях оказывается недостаточной. Принимающая сторона в этом случае получает лишь возможность проверить, что данные были отправлены именно тем узлом, от которого они ожидаются и дошли в том виде, в котором были отправлены. Однако от несанкционированного просмотра данных на пути их следования по сети протокол AH защитить не может, так как не шифрует их. Для шифрования данных необходим протокол ESP.

Протокол AH

Протокол ESP

Рис. 7. Область действия шифрования и аутентификации ESP:
а) в транспортном режиме,
б) в режиме туннелирования

ESP в транспортном режиме шифрование (и, как опция, аутентификация) осуществляет непосредственно между двумя оконечными компьютерами пользователей (рис.7, а). ESP, как и АН, обеспечивает проверку целостности при помощи НМАС, однако вместо того, чтобы включать хеш в заголовок, его вставляют после поля полезной нагрузки. Это видно на рис. 7, а). Такое расположение полей дает преимущество при аппаратной реализации метода. Оно заключается в том, что НМАС может подсчитываться во время передачи битов полезной нагрузки по сети и добавляться к ним в конец. Именно поэтому в Ethernet и других стандартах локальных сетей циклический код вставляется в концевик, а не в заголовок. При применении заголовка АН пакет приходится буферизовать и вычислять подпись, только после этого его можно отправлять. Это потенциально приводит к уменьшению числа пакетов, которые можно передать за единицу времени.

В транспортном режиме выполняются следующие операции.

В узле источника блок данных, состоящий из концевика ESP и всего сегмента транспортного уровня, шифруется, и открытый текст этого блока заменяется шифрованным текстом, в результате чего формируется пакет IP для пересылки. Если выбрана опция аутентификации, то добавляется поле аутентификации.
Пакет направляется адресату. Каждый промежуточный маршрутизатор должен проверить и обработать заголовок IP. Шифрованный текст при этом остается неизменным.
Узел адресата проверяет и обрабатывает незашифрованный заголовок IP-пакета. Затем на основе информации индекса параметров защиты в заголовке ESP дешифруются остальные части пакета, в результате чего становится доступным сегмент транспортного уровня в виде открытого текста.

Транспортный режим обеспечивает конфиденциальность для любого использующего этот режим приложения, что позволяет избежать необходимости реализации функций защиты в каждом отдельном приложении. Этот режим достаточно эффективен, а объем добавляемых к пакету IP данных при этом невелик. Недостатком этого режима является то, что IP-адреса пользователей являются открытыми и поэтому не исключается возможность анализа трафика пересылаемых пакетов. Например, если во время военного кризиса трафик между Пентагоном и Белым домом резко снижается и при этом так же резко растет трафик между Пентагоном и какой-нибудь военной базой в Колорадо, перехватчик может сделать из этого далеко идущие выводы.

Туннельный режим ESP в отношении возможности анализа трафика имеет преимущество перед транспортным режимом. Туннельный режим ESP предлагает шифрование всего пакета IP (рис. 7, б). В этом режиме заголовок ESP добавляется к пакету как префикс, а затем пакет вместе с концевиком ESP шифруются. Данный метод можно использовать, когда требуется исключить возможность проведения атак, построенных на анализе трафика.

Поскольку заголовок IP содержит адрес пункта назначения, нельзя просто передать шифрованный пакет IP с добавленным к нему в виде префикса заголовком ESP. Промежуточные маршрутизаторы не смогут обработать такой пакет. Таким образом, необходимо включить весь блок (заголовок ESP, шифрованный текст и данные аутентификации, если они есть) во внешний пакет IP с новым заголовком, который будет содержать достаточно информации для маршрутизации, но не для анализа трафика.

Рассмотрим случай, когда внешний узел (граничный маршрутизатор) соединяется с узлом внутренней сети, защищенной шлюзом и ESP, используется внешним узлом и шлюзом защиты. Тогда при пересылке сегмента транспортного уровня от внешнего узла к узлу внутренней сети выполняются следующие действия.

Источник готовит внутренний пакет IP с указанием адреса пункта назначения, являющегося узлом внутренней сети. К этому пакету в виде префикса добавляется заголовок ESP. Затем пакет шифруется и к нему могут быть добавлены данные аутентификации. Полученный блок заключается во внешний пакет IP с новым заголовком IP, в котором адресом пункта назначения является адрес шлюза защиты.
Внешний пакет отправляется шлюзу защиты сети пункта назначения. Каждый промежуточный маршрутизатор должен проверить и обработать внешний заголовок IP и все внешние заголовки расширений IP, оставляя при этом шифрованный текст неизменным.
Шлюз защиты, получив пакет, проверяет и обрабатывает внешний заголовок IP. Затем на основе информации, предоставляемой индексом параметров защиты в заголовке ESP, шлюз защиты расшифровывает остальные части пакета, в результате чего становится доступным внутренний пакет IP в виде открытого текста. Этот пакет потом передается по внутренней сети.
Внутренний пакет передается маршрутизатору внутренней сети или непосредственно узлу-адресату.

Транспортный и туннельный режимы

Заголовки AH и ESP поддерживают два режима использования: транспортный и туннельный. Суть этих двух режимов лучше всего понять в контексте описаний заголовков AH и ESP, о которых пойдет речь позже. Здесь же ограничимся кратким определением этих режимов.

Транспортный режим

Транспортный режим обеспечивает защиту для протоколов верхних уровней. Это значит, что защита транспортного режима распространяется на полезный груз пакета IP. Примерами могут быть сегменты TCP или UDP, размещающиеся в стеке протоколов хоста непосредственно над IP. Транспортный режим обеспечивает сквозную связь двух узлов (например, клиента и сервера).

ESP в транспортном режиме шифрует и, если нужно, аутентифицирует полезный груз IP, но не заголовок IP. AH в транспортном режиме предполагает аутентификацию полезного груза IP и некоторых частей заголовка IP.

Туннельный режим

Рассмотрим пример использования туннельного режима IPSec. Узел А сети генерирует пакет IP с адресом узла назначения В другой сети. Этот пакет направляется от создавшего пакет узла к маршрутизатору на границе сети А. Этот маршрутизатор выясняет, нужно ли пакет защищать с помощью IPSec. Если направляющийся от А в B через IP-сеть пакет требует применения IPSec, маршрутизатор на границе с сетью А выполняет функции IPSec и инкапсулирует этот IP-пакет во внешний пакет IP. Адресом отправителя этого внешнего пакета будет данный граничный маршрутизатор, а адресом получателя – граничный маршрутизатор IP-сети и сети получателя В. Теперь пакет направляется этому граничному маршрутизатору, а промежуточные маршрутизаторы будут иметь дело только с внешним заголовком IP. В граничном маршрутизаторе сети узла B и IP-сети внешний заголовок IP удаляется, а внутренний пакет доставляется узлу B. ESP в туннельном режиме шифрует и, если нужно, аутентифицирует весь внутренний пакет IP, включая внутренний заголовок IP. АН в туннельном режиме аутентифицирует весь внутренний пакет IP и некоторые части внешнего заголовка IP. Таким образом, при туннельном режиме все задачи по обеспечению информационной безопасности ложатся на IP-сеть общего пользования.

Защищенные связи

В механизмах аутентификации и конфиденциальности для передачи данных между двумя компьютерами протокол IPSec предусматривает предварительное выполнение следующих двух шагов (фаз) [2] .

Параметры защищенной связи

Защищенная связь характеризуется следующими основными параметрами.

Счетчик порядкового номера, 32-битовое значение, используемое при генерировании значений поля порядкового номера в заголовках AH или ESP.
Окно защиты от угрозы повтора. Используется для выявления воспроизведенных пакетов среди прибывающих пакетов AH или ESP.
Информация AH. Алгоритм аутентификации, ключи, параметры продолжительности жизни ключей и другие необходимые параметры, используемые в рамках AH.
Продолжительность жизни данной защищенной связи.
Информация ESP. Алгоритм шифрования и аутентификации, ключи, значения инициализации, параметры продолжительности жизни ключей и другие необходимые параметры, используемые в рамках ESP.
Режим протокола IPSec. Туннельный или транспортный. Режимы описаны в этом разделе ниже.
Максимальная единица передачи (Maximum Transmission Unit – MTU). Максимальная единица передачи (максимальный размер пакета, который может быть передан без фрагментации) для всех участков маршрута и переменные времени существования.

В следующей главе, посвященной другому протоколу TLS обеспечения ИБ (на транспортном уровне TCP/IP), приводится описание алгоритма установления защищенной связи.

Виртуальная частная сеть VPN-IPSec

На рис. 8 приведен пример структуры двух виртуальных частных сетей, построенных с помощью протокола ESP в туннельном режиме.

VPN A пользователей локальных сетей А1, А2, и А3;
VPN В пользователей локальных сетей В1, В2, и В3.

В новом незашифрованном заголовке содержится адрес граничного маршрутизатора Интернета, соединенного с локальной сетью. Адрес пользователя расшифровывается в этом граничном маршрутизаторе.

Протокол транспортного уровня TLS

Настоящее приложение посвящено протоколу обеспечения ИБ, который применяется для аутентификации беспроводных пользователей (клиентов) в в беспроводных пользователей (клиентов) в IP-телефонии, беспроводных сетях доступа WiFi, WiMAX. Аутентификацию в этих сетях выполняет RADIUS-сервер. Протокол защиты транспортного уровня TLS (Transport Layer Security), стандартизирован в документе RFC 2246. Этот механизм расположен в виде подуровня между транспортным и прикладным уровнями TCP/IP (см. главу 12). TLS является версией протокола защищенных сокетов SSL (Security Sockets Layer). Под сокетом понимается совокупность номера порта транспортного уровня и IP-адреса. Сокет однозначно идентифицирует прикладной процесс в Internet. Преимуществом использования протоколов ИБ на прикладном уровне является возможность оптимального построения механизма защиты в зависимости от требований конкретного приложения. Преимуществом протоколов SSL/TLS является обеспечение прозрачности средств защиты для прикладных программ.

TLS состоит из двух субпротоколов, один из которых предназначен для передачи данных по установленной защищенной связи, а второй для установления защищенной связи. Эта процедура установления защищённой связи SA (Security Association) является такой же ключевой, как и в IPSec. В отличие от описания установления SA в разделе протокола IPSec здесь приводится описание Интернет-протоколов обмена ключами IKE (Internet Key Exchange).

Передача данных при использовании TLS

Следующим шагом, как видно из рис. 9, является шифрование блока данных вместе с добавленным к нему значением MAC. Шифрование производится с помощью криптографии с симметричным ключом.

Завершающим шагом в работе SSL/TLS является добавление заголовка, включающего:

идентификатор протокола прикладного уровня, блоки данных которого передаются по TCP – соединению;
длина сжатого фрагмента
и др.

Установление защищенной связи

Этап 1. Определение характеристики защиты

Идентификатор сеанса.
Работа TLS описывается в двух важных понятиях – сеанс и соединение. Сеанс определяет набор параметров защиты, которые могут использоваться несколькими соединениями. Идентификатор сеанса говорит о намерении клиента создать новый сеанс или создать новое соединение в рамках того же сеанса.

алгоритм шифрования (RC4, тройной DEA, IDEA и др.);
алгоритм хеш-функции (SHA-1, MD5);
тип шифра (поточный, блочный);
длина хеш-кода;
длина вектора инициализации (IV) режима блочных кодов и др.

Протокол TLS поддерживает следующие методы обмена ключей для шифрования с общим ключом и вычисления значений открытых ключей по протоколу HMAC (приложение Д, раздел Д2).

Этап 2. Аутентификация и обмен ключами сервера

RSA, только для подписи.
RSA для метода Диффи-Хеллмана с одноразовыми параметрами.

Этап 3. Аутентификация и обмен ключами клиента

Этап 4. Завершение

Протоколы ИБ при маршрутизации

Для учеников 1-11 классов и дошкольников
Бесплатные сертификаты учителям и участникам

на тему “Информационная безопасность и интернет”

Расулов Хайрула Рамазанович

Под информационной безопасностью понимается защищенность информации и поддерживающей ее инфраструктуры от любых случайных или злонамеренных воздействий, результатом которых может явиться нанесение ущерба самой информации, ее владельцам или поддерживающей инфраструктуре.

1. Понятие информационной безопасности
2. Информационная безопасность и Интернет
3 Методы обеспечения информационной безопасности
Список использованных источников

1. Понятие информационной безопасности

Информационная безопасность организации – состояние защищенности информационной среды организации, обеспечивающее её формирование, использование и развитие.

В современном социуме информационная сфера имеет две составляющие : информационно-техническую (искусственно созданный человеком мир техники, технологий и т.п.) и информационно-психологическую (естественный мир живой природы, включающий и самого человека).

Соответственно, в общем случае информационную безопасность общества (государства) можно представить двумя составными частями : информационно-технической безопасностью и информационно-психологической (психофизической) безопасностью.

В качестве стандартной модели безопасности часто приводят модель из трёх категорий :

Конфиденциальность – состояние информации, при котором доступ к ней осуществляют только субъекты, имеющие на него право;

Целостность – избежание несанкционированной модификации информации;

Доступность – избежание временного или постоянного сокрытия информации от пользователей, получивших права доступа.

Выделяют и другие не всегда обязательные категории модели безопасности :

неотказуемость или апеллируемость – невозможность отказа от авторства;

подотчётность – обеспечение идентификации субъекта доступа и регистрации его действий;

достоверность – свойство соответствия предусмотренному поведению или результату;

аутентичность или подлинность – свойство, гарантирующее, что субъект или ресурс идентичны заявленным;

Действия, которые могут нанести ущерб информационной безопасности организации, можно разделить на несколько категорий :

1) Действия, осуществляемые авторизованными пользователями. В эту категорию попадают: целенаправленная кража или уничтожение данных на рабочей станции или сервере; повреждение данных пользователей в результате неосторожных действий.

Целью несанкционированного проникновения извне в сеть предприятия может быть нанесение вреда (уничтожения данных), кража конфиденциальной информации и использование ее в незаконных целях, использование сетевой инфраструктуры для организации атак на узлы третьих фирм, кража средств со счетов и т.п.

3) Компьютерные вирусы. Отдельная категория электронных методов воздействия − компьютерные вирусы и другие вредоносные программы. Они представляют собой реальную опасность для современного бизнеса, широко использующего компьютерные сети, интернет и электронную почту. Проникновение вируса на узлы корпоративной сети может привести к нарушению их функционирования, потерям рабочего времени, утрате данных, краже конфиденциальной информации и даже прямым хищениям финансовых средств.

Вирусная программа , проникшая в корпоративную сеть, может предоставить злоумышленникам частичный или полный контроль над деятельностью компании.

Таким образом, в современных условиях наличие развитой системы информационной безопасности становится одним из важнейших условий конкурентоспособности и даже жизнеспособности любой компании.

2. Информационная безопасность и Интернет

Однако опыт работы в области компьютерных технологий полон примеров недобросовестного использования ресурсов Интернет.

Специалисты говорят, что главная причина проникновения в компьютерные сети – беспечность и неподготовленность пользователей. Это характерно не только для рядовых пользователей, но и для специалистов в области компьютерной безопасности. Вместе с тем, причина не только в халатности, но и в сравнительно небольшом опыте специалистов по безопасности в сфере информационных технологий. Связано это со стремительным развитием рынка сетевых технологий и самой сети Интернет.

По данным лаборатории Касперского, около 90% от общего числа проникновений на компьютер вредоносных программ используется посредством Интернет, через электронную почту и просмотр Webстраниц.

Особое место среди таких программ занимает целый класс – Интернет-червь. Само распространяющиеся, не зависимо от механизма работы выполняют свои основные задачи по изменению настроек компьютера-жертвы, воруют адресную книгу или ценную информацию, вводят в заблуждение самого пользователя, создают рассылку с компьютера по адресам, взятым из записной книжки, делают компьютер чьим-то ресурсом или забирают часть ресурсов для своих целей или в худшем случае самоликвидируются, уничтожая все файлы на всех дисках.

Все эти и другие с ними связанные проблемы можно решить с помощью наличия в организации проработанного документа, отражающего политику информационной безопасности компании.

В таком документе должны быть четко прописаны следующие положения :

как ведется работа с информацией предприятия;

кто имеет доступ;

система копирования и хранения данных;

режим работы на ПК;

наличие охранных и регистрационных документов на оборудование и программное обеспечение;

выполнение требований к помещению, где располагается ПК и рабочее место пользователя;

наличие инструкций и технической документации;

наличие рабочих журналов и порядок их ведения.

Кроме того, необходимо постоянно отслеживать развитие технических и информационных систем, публикуемых в периодической печати или следить за событиями, обсуждаемыми на подобных семинарах.

При необходимости подключения указанных информационных систем, информационно-телекоммуникационных сетей и средств вычислительной техники к информационно-телекоммуникационным сетям международного информационного обмена такое подключение производится только с использованием специально предназначенных для этого средств защиты информации, в том числе шифровальных (криптографических) средств, прошедших в установленном законодательством РФ порядке сертификацию в Федеральной службе безопасности РФ и (или) получивших подтверждение соответствия в Федеральной службе по техническому и экспортному контролю.

3. Методы обеспечения информационной безопасности

На сегодняшний день существует большой арсенал методов обеспечения информационной безопасности :

средства идентификации и аутентификации пользователей (так называемый комплекс 3А);

средства шифрования информации, хранящейся на компьютерах и передаваемой по сетям;

виртуальные частные сети;

средства контентной фильтрации;

инструменты проверки целостности содержимого дисков;

средства антивирусной защиты;

системы обнаружения уязвимостей сетей и анализаторы сетевых атак.

Каждое из перечисленных средств может быть использовано как самостоятельно, так и в интеграции с другими. Это делает возможным создание систем информационной защиты для сетей любой сложности и конфигурации, не зависящих от используемых платформ.

Системы шифрования позволяют минимизировать потери в случае несанкционированного доступа к данным, хранящимся на жестком диске или ином носителе, а также перехвата информации при ее пересылке по электронной почте или передаче по сетевым протоколам.

Задача данного средства защиты – обеспечение конфиденциальности.

Основные требования, предъявляемые к системам шифрования – высокий уровень криптостойкости и легальность использования на территории России (или других государств).

Межсетевой экран представляет собой систему или комбинацию систем, образующую между двумя или более сетями защитный барьер, предохраняющий от несанкционированного попадания в сеть или выхода из нее пакетов данных.

Основной принцип действия межсетевых экранов − проверка каждого пакета данных на соответствие входящего и исходящего IPадреса базе разрешенных адресов. Таким образом, межсетевые экраны значительно расширяют возможности сегментирования информационных сетей и контроля за циркулированием данных.

Говоря о криптографии и межсетевых экранах, следует упомянуть о защищенных виртуальных частных сетях (Virtual Private Network – VPN).

Их использование позволяет решить проблемы конфиденциальности и целостности данных при их передаче по открытым коммуникационным каналам.

Использование VPN можно свести к решению трех основных задач :

защита информационных потоков между различными офисами компании (шифрование информации производится только на выходе во внешнюю сеть);

защищенный доступ удаленных пользователей сети к информационным ресурсам компании, как правило, осуществляемый через интернет;

защита информационных потоков между отдельными приложениями внутри корпоративных сетей (этот аспект также очень важен, поскольку большинство атак осуществляется из внутренних сетей).

Эффективное средство защиты от потери конфиденциальной информации − фильтрация содержимого входящей и исходящей электронной почты.

Все изменения на рабочей станции или на сервере могут быть отслежены администратором сети или другим авторизованным пользователем благодаря технологии проверки целостности содержимого жесткого диска (integrity checking). Это позволяет обнаруживать любые действия с файлами (изменение, удаление или же просто открытие) и идентифицировать активность вирусов, несанкционированный доступ или кражу данных авторизованными пользователями. Контроль осуществляется на основе анализа контрольных сумм файлов (CRCсумм).

Современные антивирусные технологии позволяют выявить практически все уже известные вирусные программы через сравнение кода подозрительного файла с образцами, хранящимися в антивирусной базе. Кроме того, разработаны технологии моделирования поведения, позволяющие обнаруживать вновь создаваемые вирусные программы. Обнаруживаемые объекты могут подвергаться лечению, изолироваться (помещаться в карантин) или удаляться. Защита от вирусов может быть установлена на рабочие станции, файловые и почтовые сервера, межсетевые экраны, работающие под практически любой из распространенных операционных систем (Windows, Unix- и Linuxсистемы, Novell) на процессорах различных типов.

Для противодействия естественным угрозам информационной безопасности в компании должен быть разработан и реализован набор процедур по предотвращению чрезвычайных ситуаций (например, по обеспечению физической защиты данных от пожара) и минимизации ущерба в том случае, если такая ситуация всё-таки возникнет. Один из основных методов защиты от потери данных – резервное копирование с четким соблюдением установленных процедур (регулярность, типы носителей, методы хранения копий и т.д.).

Список использованных источников

Читайте также: