Главная страница

интернет телефония. курсовая интернет-телефония. История позникновения и принцип работы internetтелефонии


Скачать 323.82 Kb.
НазваниеИстория позникновения и принцип работы internetтелефонии
Анкоринтернет телефония
Дата26.10.2019
Размер323.82 Kb.
Формат файлаdocx
Имя файлакурсовая интернет-телефония.docx
ТипДокументы
#91939
страница3 из 6
1   2   3   4   5   6

2 ТИПЫ УГРОЗ В IP-ТЕЛЕФОНИИ И МЕТОДЫ БОРЬБЫ С НИМИ



Конфиденциальность и безопасность являются обязательными требованиями для любой телефонной сети. Со временем удалось обеспечить определенный, хотя и далекий от совершенства, уровень безопасности в традиционных сетях. Распространение IP-телефонии и ее претензии на то, чтобы стать основной технологией передачи голоса в недалеком будущем, порождают ряд проблем, с которыми традиционная телефония либо никогда не сталкивалась, либо давно о них забыла, либо уже научилась справляться.

В корпоративных кругах сегодня существуют как противники, так и сторонники внедрения IP-телефонии (IPT) в качестве альтернативной технологии передачи голоса. И если первые, как говорится, могут не беспокоиться, то вторые должны осознавать, что новые конвергентные сети и голосовые сервисы привносят также новые уязвимости для сетей.

2.1 Типы угроз в сетях IP-телефонии



Вопрос безопасности связи всегда был одним из важных в сетях телекоммуникаций. В настоящее время в связи с бурным развитием глобальных компьютерных сетей, и в том числе сетей Интернет-телефонии, обеспечение безопасности передачи информации становится еще более актуальным. Разработка мероприятий в области безопасности должна проводиться на основе анализа рисков, определения критически важных ресурсов системы и возможных угроз. Существует несколько основных типов угроз, представляющих наибольшую опасность в сетях IP-телефонии:

Подмена данных о пользователе означает, что один пользователь сети выдает себя за другого. При этом возникает вероятность несанкционированного доступа к важным функциям системы. Использование механизмов аутентификации и авторизации в сети повышает уверенность в том, что пользователь, с которым устанавливается связь, не является подставным лицом и что ему можно предоставить санкционированный доступ [15].

Подслушивание. Во время передачи данных о пользователях (пользовательских идентификаторов и паролей) или частных конфиденциальных данных по незащищенным каналам эти данные можно подслушать и впоследствии злоупотреблять ими. Методы шифровки данных снижают вероятность этой угрозы.

Манипулирование данными. Данные, которые передаются по каналам связи, в принципе можно изменить. Во многих методах шифрования используется технология защиты целостности данных, предотвращающая их несанкционированное изменение [14].

Отказ от обслуживания (Denial of Service — DoS) является разновидностью хакерской атаки, в результате которой важные системы становятся недоступными. Это достигается путем переполнения системы ненужным трафиком, на обработку которого уходят все ресурсы системной памяти и процессора. Система связи должна иметь средства для распознавания подобных атак и ограничения их воздействия на сеть.

Наиболее развитой формой мошенничества в Интернет, без сомнения, является фишинг. Типичными инструментами фишинга являются mail (почтовые сообщения, использующие методы социальной инженерии), специально разработанные web-сайты.

Число фишинг-атак выросло вдвое за первые шесть месяцев 2008 года, сообщает Reuters со ссылкой на "Отчет по угрозам интернет-безопасности", подготовленный Symantec.

В первом полугодии 2019 года фишеры отправили 157 тысяч уникальных писем, что на 81 процент больше по сравнению со вторым полугодием 2017 года. По словам авторов исследования, каждое такое письмо может быть отправлено сотням тысяч интернет-пользователей [19].

Базовыми элементами в области безопасности являются аутентификация, целостность и активная проверка. Аутентификация призвана предотвратить угрозу обезличивания и несанкционированного доступа к ресурсам и данным. Хотя авторизация не всегда включает в свой состав аутентификацию, но чаще всего одно обязательно подразумевает другое. Целостность обеспечивает защиту от подслушивания и манипулирования данными, поддерживая конфиденциальность и неизменность передаваемой информации. И, наконец, активная проверка означает проверку правильности реализации элементов технологии безопасности и помогает обнаруживать несанкционированное проникновение в сеть и атаки типа DоS [16].

2.2 Методы криптографической защиты информации



Основой любой защищенной связи является криптография. Криптографией называется технология составления и расшифровки закодированных сообщений. Кроме того, криптография является важной составляющей для механизмов аутентификации, целостности и конфиденциальности. Аутентификация является средством подтверждения личности отправителя или получателя информации. Целостность означает, что данные не были изменены, а конфиденциальность создает ситуацию, при которой данные не может понять никто, кроме их отправителя и получателя. Обычно криптографические механизмы существуют в виде алгоритма(математической функции) и секретной величины (ключа). Алгоритмы широко известны, в секрете необходимо держать только криптографические ключи. Причем чем больше битов в таком ключе, тем менее он уязвим [15].

В системах обеспечения безопасности используются три основных криптографических метода:

  • симметричное шифрование;

  • асимметричное шифрование;

  • односторонние хэш-функции.

Все существующие технологии аутентификации, целостности и конфиденциальности созданы на основе именно этих трех методов. Например, цифровые подписи можно представить в виде сочетания асимметричного шифрования с алгоритмом односторонней хэш-функции для поддержки аутентификации и целостности данных.

Симметричное шифрование, которое часто называют шифрованием с помощью секретных ключей, в основном используется для обеспечения конфиденциальности данных. При этом два пользователя должны совместно выбрать единый математический алгоритм, который будет использоваться для шифрования и расшифровки данных. Кроме того, им нужно выбрать общий ключ (секретный ключ), который будет использоваться с принятым ими алгоритмом шифрования/расшифровки [14].

В настоящее время широко используются алгоритмы секретных ключей типа Data Encryption Standard (DES), 3DES (или «тройной DES») и International Data Encryption Algorithm (IDEA). Эти алгоритмы шифруют сообщения блоками по 64 бита. Если объем сообщения превышает 64 бита (как это обычно и бывает), необходимо разбить его на блоки по 64 бита в каждом, а затем каким-то образом свести их воедино. Такое объединение, как правило, происходит одним из следующих четырех методов: электронной кодовой книги (ЕСВ), цепочки зашифрованных блоков (СВС), х-битовой зашифрованной обратной связи (CFB-x) или выходной обратной связи (OFB).

Шифрование с помощью секретного ключа чаще всего используется для поддержки конфиденциальности данных и очень эффективно реализуется с помощью неизменяемых «вшитых» программ (firmware). Этот метод можно использовать для аутентификации и поддержания целостности данных, но метод цифровой подписи является более эффективным.

Метод секретных ключей имеет следующие недостатки:

  • необходимо часто менять секретные ключи, поскольку всегда существует риск их случайного раскрытия;

  • трудно обеспечить безопасное генерирование и распространение секретных ключей.

Асимметричное шифрование часто называют шифрованием с помощью общего ключа, при котором используются разные, но взаимно дополняющие друг друга ключи и алгоритмы шифрования и расшифровки. Этот механизм полагается на два взаимосвязанных ключа: общего ключа и частного ключа. Наиболее типичные примеры использования алгоритмов общих ключей:

  • обеспечение конфиденциальности данных;

  • аутентификация отправителя;

  • безопасное получение общих ключей для совместного использования.

Важным аспектом асимметричного шифрования является то, что частный ключ должен храниться в тайне. Если частный ключ будет раскрыт, то человек, знающий этот ключ, сможет выступать от имени клиента, получать сообщения данного клиента и отправлять сообщения так, будто это сделал этот клиент [15].

Механизмы генерирования пар общих/частных ключей являются достаточно сложными, но в результате получаются пары очень больших случайных чисел, одно из которых становится общим ключом, а другое — частным. Генерирование таких чисел требует больших процессорных мощностей, поскольку эти числа, а также их произведения должны отвечать строгим математическим критериям. Однако этот процесс генерирования абсолютно необходим для обеспечения уникальности каждой пары общих/частных ключей. Алгоритмы шифрования с помощью общих ключей редко используются для поддержки конфиденциальности данных из-за ограничений производительности. Вместо этого их часто используют в приложениях, где аутентификация проводится с помощью цифровой подписи и управления ключами.

Среди наиболее известных алгоритмов общих ключей можно назвать RSA и ElGamal.

Безопасной хэш-функцией называется функция, которую легко рассчитать, но обратное восстановление которой требует непропорционально больших усилий. Входящее сообщение пропускается через математическую функцию (хэш-функцию), и в результате на выходе получают некую последовательность битов. Эта последовательность называется «хэш» (или «результат обработки сообщения»). Этот процесс невозможно восстановить [13].

Хэш-функция принимает сообщение любой длины и выдает на выходе хэш фиксированной длины.

Обычные хэш-функции включают:

  • алгоритм Message Digest 4 (MD4);

  • алгоритм Message Digest 5 (MD5);

  • алгоритм безопасного хэша (Secure Hash Algorithm — SHA).

Технология шифрования часто используется в приложениях, связанных с управлением ключами и аутентификацией. Например, алгоритм Диффи-Хеллмана позволяет двум сторонам создать общий для них секретный ключ, известный только им двоим, несмотря на то, что связь между ними осуществляется по незащищенному каналу. Затем этот секретный ключ используется для шифрования данных с помощью алгоритма секретного ключа. Важно отметить, что на сегодня пока не создано средств для определения автора такого ключа, поэтому обмен сообщениями, зашифрованными этим способом, может подвергаться хакерским атакам. Алгоритм Диффи-Хеллмана используется для поддержки конфиденциальности данных, но не используется для аутентификации. Аутентификация в данном случае достигается с помощью цифровой подписи [18].

Цифровая подпись представляет собой зашифрованный хэш, который добавляется к документу. Она может использоваться для аутентификации отправителя и целостности документа. Цифровые подписи можно создавать с помощью сочетания хэш-функций и криптографии общих ключей.

Сообщение, которое отправляется по каналу связи, состоит из документа и цифровой подписи. На другом конце канала связи сообщение делится на оригинальный документ и цифровую подпись. Так как цифровая подпись была зашифрована частным ключом, то на приемном конце можно провести ее расшифровку с помощью общего ключа. Таким образом, на приемном конце получается расшифрованный хэш. Далее подается текст документа на вход той же функции, которую использовала передающая сторона. Если на выходе получится тот же хэш, который был получен в сообщении, целостность документа и личность отправителя можно считать доказанными.

Цифровым сертификатом называется сообщение с цифровой подписью, которое в настоящее время обычно используется для подтверждения действительности общего ключа. Цифровой сертификат в стандартном формате X.509 включает следующие элементы:

  • номер версии;

  • серийный номер сертификата;

  • эмитент информации об алгоритме;

  • эмитент сертификата;

  • даты начала и окончания действия сертификата;

  • информация об алгоритме общего ключа субъекта сертификата;

  • подпись эмитирующей организации [19].

На практике часто используют совместно шифрование и цифровые сертификаты. Например, маршрутизатор и межсетевой экран имеют по одной паре общих/частных ключей (рисунок 1). Предположим, что эмитирующей организации (СА) удалось получить сертификаты X.509 для маршрутизатора и межсетевого экрана по защищенным каналам. Далее предположим, что маршрутизатор и межсетевой экран тоже получили копии общего ключа СА по защищенным каналам. Теперь, если на маршрутизаторе имеется трафик, предназначенный для межсетевого экрана, и если маршрутизатор хочет обеспечить аутентификацию и конфиденциальность данных, необходимо предпринять следующие шаги [14].

Маршрутизатор отправляет в эмитирующую организацию СА запрос на получение общего ключа межсетевого экрана.


Рисунок 1. Безопасная связь с использованием шифрования
СА отправляет ему сертификат межсетевого экрана, зашифрованный частным ключом СА.

Маршрутизатор расшифровывает сертификат общим ключом СА и получает общий ключ межсетевого экрана.

Межсетевой экран направляет СА запрос на получение общего ключа маршрутизатора.

СА отправляет ему сертификат маршрутизатора, зашифрованный частным ключом СА.

Межсетевой экран расшифровывает сертификат общим ключом СА и получает общий ключ маршрутизатора.

Маршрутизатор и межсетевой экран используют алгоритм Диффи-Хеллмана и шифрование с помощью общих ключей для аутентификации.

С помощью секретного ключа, полученного в результате использования алгоритма Диффи-Хеллмана, маршрутизатор и межсетевой экран проводят обмен конфиденциальными данными.

Общий вид криптографической системы можно представить следующим образом (рисунок 2).


Рисунок 2. Общий вид криптографической системы
Для использования такой системы для определенного сообщения Mi выбирается некоторый ключ Ki из множества возможных ключей K. После чего при помощи ключа Ki формируется криптограмма Ei. Эта криптограмма, полученная при помощи преобразования ТKi, по каналу передачи передается в точку приема. На приемном конце с помощью отображения TK−i1, обратного выбранному, из криптограммы Ei восстанавливается исходное сообщение Mi.

Если противник перехватит криптограмму, то он не сможет ее расшифровать, если не знает ключа Ki. Поэтому, чем больше мощность множества K, тем меньше вероятность того, что криптограмма будет расшифрована. Эта вероятность называется апостериорной вероятностью. Вычисление апостериорных вероятностей – есть общая задача дешифрования [16].



Рисунок 3. Произведение двух секретных систем
Образование произведения двух секретных систем (рисунок 4) осуществляется следующим образом: S = RT, причем RS = SR, а RS ≠ RS.

То есть сначала применяется система T, а затем система R к результатам первой операции.

Ключ системы S состоит как из ключа системы T, так и из ключа системы R.



Рисунок 4. Классификация современных криптосистем
По характеру использования ключа все криптосистемы можно разделить на симметричные (одноключевые с секретным ключом) и асимметричные (несимметричные, с открытым ключом). В первом случае как для шифрования, так и для дешифрования применяется один и тот же ключ. Он является секретным и передается отправителем получателю по каналу связи, исключающем перехват. В асимметричных системах для шифрования и дешифрования используются разные ключи, связанные между собой некоторой математической зависимостью. Причем зависимость является такой, что из одного ключа вычислить другой ключ очень трудно за приемлемый промежуток времени [15].

Функции шифрования и дешифрования в зависимости от алгоритма могут быть одинаковыми или, что чаще всего, разными, причем процесс дешифрования является инверсией процесса шифрования.

Все многообразие симметричных криптографических систем (рисунок 2.5) основывается на следующих базовых классах:

Блочные шифры. Представляют собой семейство обратимых преобразований блоков (частей фиксированной длины) исходного текста. Фактически блочный шифр – это система подстановки блоков. После разбиения текста на блоки каждый блок шифруется отдельно независимо от его положения и входной последовательности.

Одним из наиболее распространенных способов задания блочных шифров является использование так называемых сетей Фейстела [13]. Сеть Фейстела представляет собой общий метод преобразования произвольной функции в перестановку на множестве блоков.

К алгоритмам блочного шифрования относятся: американский стандарт шифрования DES и его модификации, российский стандарт шифрования ГОСТ 28147–89, Rijndael, RC6, SAFFER+ и многие другие.

Шифры замены (подстановки). Шифры замены (подстановки) – это наиболее простой вид преобразований, заключающийся в замене символов исходного текста на другие (того же алфавита) по более или менее сложному правилу. Подстановки различают моноалфавитные и многоалфавитные. В первом случае каждый символ исходного текста преобразуется в символ шифрованного текста по одному и тому же закону. При многоалфавитной одстановке закон меняется от символа к символу. К этому классу относится так называемая система с одноразовым ключом.

Перестановки – метод криптографического преобразования, заключающийся в перестановке местами символов исходного текста по некоторому правилу. Шифры перестановки в настоящее время не используются в чистом виде, так как их криптостойкость недостаточна.

Гаммирование – представляет собой преобразование, при котором символы исходного текста складываются по модулю, равному мощности алфавита, с символами псевдослучайной последовательности, вырабатываемой по некоторому правилу. В принципе, гаммирование нельзя выделить в отдельный класс криптопреобразований, так как эта псевдослучайная последовательность может вырабатываться, например, при помощи блочного шифра [12].

Потоковые шифры представляют собой разновидность гаммирования и преобразуют открытый текст в шифрованный последовательно, по одному биту. Генератор ключевой последовательности, иногда называемый генератором бегущего ключа, выдает последовательность бит k1,k2,...,ki ,.... Эта ключевая последовательность складывается по модулю 2 с последовательностью бит исходного текста p1, p2,..., pi ,... для получения шифрованного текста сi = pi*ki . На приемной стороне текст складывается по модулю 2 с идентичной ключевой последовательностью для получения исходного текста. Такое преобразование называется гаммированием с помощью операции XOR. Однако при потоковом шифровании для повышения криптостойкости генератор ключевой последовательности «завязывается» на текущее состояние кодируемого символа. То есть значения, выдаваемые генератором, зависят не только от ключа, но и от номера шифруемого бита и входной последовательности.

1   2   3   4   5   6


написать администратору сайта