конспект. В отсутствии защиты компьютерная сеть подвержена сетевым атакам самого различного типа Прослушивание
 Скачать 45.37 Kb.
|
|
Сетевая безопасность Сетевая безопасность – проблемы, механизмы, сервисы Сетевая безопасность Проблема безопасности В отсутствии защиты компьютерная сеть подвержена сетевым атакам самого различного типа Прослушивание (sniffing) – перехват передаваемой по сети информации Наличие посредника (man-in-the-middle), способного просматривать содержимое трафика и изменять его Подделка источника (spoofing) – передача данных от чужого имени Компрометация пользователя – получение идентификационной информации пользователя, возможность доступа к ресурсам от его имени Отказ в обслуживании (denial of service, DOS) – перегрузка или блокирование сервиса Защита информации – комплекс мероприятий, проводимых с целью недопущения утраты, искажения, утечки, блокирования информации и т.д. Безопасность информации дополнительно включает аутентификацию, аудит, обнаружение проникновения и т.п. Сетевая безопасность Общие термины Компрометация – действия, в результате выполнения которых объект компрометации становится небезопасным Получения имени и пароля учетной записи пользователя сторонним лицом – компрометация учетной записи Изменение передаваемых данных – компрометация данных Атака – действие, направленное на компрометацию какого-либо объекта Уязвимость – (слабое) место в системе (аппаратное или программное), которое может быть атаковано Механизм безопасности – аппаратное или программное средство, защищающее уязвимости от атак Политика безопасности – порядок защиты информации в организации (контролирует порядок хранения, обработки и обмена информацией) Сервис безопасности – комплекс аппаратных и программных средств, реализующих политику безопасности Сетевая безопасность Механизмы безопасности Симметричные алгоритмы шифрования – используют один и тот же ключ для шифрования и дешифрования Асимметричные алгоритмы шифрования – используют различные ключи для шифрования и дешифрования Как правило, используется пара "открытый" (публичный, public) ключ и "закрытый" (секретный, private) ключ, "открытый" ключ может получен из "закрытого", но не наоборот Сервис может сформировать пару ключей и распространить открытый ключ для организации безопасного взаимодействия Хеш-функции вычисляют по сообщению произвольной длины значение фиксированного размера Позволяют с большой вероятностью определять наличие изменений в передаваемом сообщении Используют симметричные ключи (то есть отправитель и получатель должны знать ключ хеширования) Неотрекаемость (non-repudiation) – гарантирует подлинность отправителя сообщения Отправитель может добавлять к сообщению цифровую подпись, сформированную с помощью своего секретного ключа Получатель может проверить подлинность сообщения, используя открытый ключ отправителя  Целостность (integrity) – гарантирует, что информация при передаче не была изменена Для сообщений вычисляется значение хеш-функции, оно записывается в сообщение и проверяется получателем Требуется, чтобы отправитель и получатель имели общий ключ  Конфиденциальность (confidentiality) – гарантирует возможность раскрытия данных только получателем Источник шифрует данные открытым ключом получателя, получатель дешифрует данные, используя свой секретный ключ.  Аутентификация (authentication) – гарантия того, что взаимодействующие стороны действительно являются теми, за кого себя выдают Подлинность может подтверждаться посредством посылки каждой стороной своего удостоверения (сертификата) и проверки его легитимности другой стороной  Сетевая безопасность Сервисы безопасности Защита от повторений (replay prevention) – обеспечивает уникальность каждого сообщения Например, можно для каждого IP-пакета указывать уникальный номер с момента последней смены ключей в установленном соединении Требуется для того, чтобы узел, который мог получить передаваемый пакет, не смог воспользоваться им впоследствии для установления сеанса с получателем Контроль доступа – позволяет ограничить и контролировать доступ к ресурсам Сетевая безопасность Обмен ключами… Обмен открытыми ключами можно проводить без шифрования Достаточно выполнить аутентификацию другой стороны Для передачи секретного ключа можно использовать алгоритмы шифрования, допускающие произвольный порядок дешифрования Пусть M-шифруемое сообщение, S1() и S2() – функции шифрования, D1() и D2() – соответствующие им функции дешифрования Как правило, это одни и те же пары функций, но использующие различные ключи A = D1(S1(M)) = D2(S2(M)) = D2(D1(S1(S2(M)))) – естественные требования к функциям A = D1(D2(S1(S2(M)))) – дополнительное требование Пример: обмен ключами Диффи-Хеллмана Сетевая безопасность IPSec IPSec (IP-Security) – IP-безопасность, основана на защите соединений "точка-точка" и реализует защиту IP-пакетов защиту от сетевых атак Использует протоколы Encapsulated Security Payload (ESP) - защита данных IP-пакета путем шифрования содержимого с помощью симметричных криптографических алгоритмов (Blowfish, 3DES). Authentication Header (AH) – защита заголовка IP-пакета путем вычисления криптографической контрольной суммы и хеширования полей заголовка IP пакета защищенной функцией хеширования Безопасное соединение (Security Association, SA) – базовое понятие IPSec, означающее однонаправленное (симплексное) логическое соединение, создаваемое для обеспечения безопасности Используется для непосредственного шифрования трафика между двумя хостами (транспортный режим) или для построения ''виртуальных туннелей'' между двумя подсетями (туннельный режим) Последний случай обычно называют виртуальной частной сетью (Virtual Private Network, VPN) Рекомендации по защите облачных данных: Уменьшать количество дополнительных векторов атак на VPN-шлюзы; Убедиться, что криптографические алгоритмы соответствуют пункту #15 требований Комитета по политике систем национальной безопасности (Committee on National Security Systems Policy, CNSSP); Избегать использования настроек VPN по умолчанию; Удалять неиспользуемые или несовместимые криптографические пакеты; Применять предоставляемые поставщиком обновления для VPN-шлюзов Исследуйте теневые IT-службы (shadow IT), несанкционированных облачных провайдеров и их безопасность Интегрируйтесь с глобальной технологией единого входа (SSO) Работайте с GRC (Governance, Risc, Compliance), проводите лекции о том, как работникам пользоваться облаком Изучите IaaS (Infrastructure as a Service), убедитесь, что DevOps инженер всё сделал правильно Будьте в курсе новейших технологий — бессерверные платформы, контейнерная виртуализация, облачные сервисы электронной почты и др. Интегрируйте новые технологии безопасности с существующими системами безопасного веб-доступа для предотвращения утечек информации (Data Leak Prevention) — не снижайте безопасность, инвестируя в «облака» Не думайте, что CSP (cloud services provider – облачный провайдер) будет хранить ваши данные вечно Используйте разную политику в зависимости от месторасположения, устройства и т.д. Привлекайте другие отделы и пользователей. |