ИКСС - Конспект лекций по теме 2. ИКСС - Конспект лекций по теме 2.4.1. Защита информации в локальных сетях
Скачать 25.56 Kb.
|
Защита информации в локальных сетяхЗащитой информации[1] называют комплекс мероприятий, проводимых для предотвращения утечки, хищения, утраты, несанкционированного уничтожения, искажения, модификации (подделки), несанкционированного копирования и блокирования информации. Так как утрата информации может происходить по техническим, объективным и неумышленным причинам, под это определение попадают меры, связанные с повышением надежности аппаратного обеспечения сервера из-за отказов или сбоев в работе винчестеров, недостатков в используемом программном обеспечении, сбоев питания и др. Переход от работы на персональных компьютерах к работе в сети существенно усложняет защиту информации по следующим причинам: - наличие большого числа пользователей в сети и их переменный состав; - значительная протяженность и наличие многих потенциальных каналов проникновения в сеть; - недостатки в аппаратном и программном обеспечении, которые зачастую обнаруживаются только в процессе функционирования. В сети имеется много физических мест и каналов несанкционированного доступа к данным. Каждое устройство в сети является источником электромагнитного излучения из-за того, что эти поля, особенно на высоких частотах невозможно полностью экранировать. Система заземления вместе с кабельной системой и сетью электропитания может служить каналом доступа к информации в сети, в том числе на участках, находящихся вне зоны контролируемого доступа и потому особенно уязвимых. Возможна утечка информации по каналам, находящимся вне сети: - хранилище носителей информации; - элементы строительных конструкций и окна помещений; - телефонные, радио-, а также иные проводные и беспроводные каналы. Любые дополнительные соединения с другими сегментами или подключение к Internet порождают новые проблемы. Атаки на локальную сеть через подключение к Internet для того, чтобы получить доступ к конфиденциальной информации, в последнее время получили широкое распространение, что связано с недостатками встроенной системы защиты информации в протоколах TCP/IP. Сетевые атаки через Интернет классифицируют следующим образом: - сниффер пакетов (sniffer – в данном случае в смысле фильтрация) – прикладная программа, которая использует сетевую карту; - IP-спуфинг (spoof – обман, мистификация) – происходит, когда хакер, находящийся внутри корпорации или вне ее, выдает себя за санкционированного пользователя; - отказ в обслуживании (Denial of Service – DoS). Атака DoS делает сеть недоступной для обычного использования за счет превышения допустимых пределов функционирования сети, операционной системы или приложения; - парольные атаки – попытка подбора пароля легального пользователя для входа в сеть; - атаки типа Man-in-the-Middle – непосредственный доступ к пакетам, передаваемым по сети; - атаки на уровне приложений; - сетевая разведка – сбор информации о сети с помощью общедоступных данных и приложений; - злоупотребление доверием внутри сети; - вирусы и приложения типа «троянский конь». [1] Кондратенко С., Новиков Ю. Основы локальных сетей [Электронный ресурс] Классические алгоритмы шифрования данныхПрименяются следующие основные методы шифрования: - подстановка (простая – одноалфавитная, многоалфавитная однопетлевая, многоалфавитная многопетлевая); - гаммирование (смешивание с короткой, длинной или другой маской); - перестановка (простая, усложненная). Устойчивость каждого из перечисленных методов к дешифрованию без знания ключа характеризуется количественно с помощью показателя, представляющего собой минимальный объем зашифрованного текста, который может быть дешифрован посредством статистического анализа. Стандартные методы шифрования (национальные или международные) для повышения степени устойчивости к дешифрованию реализуют несколько этапов (шагов) шифрования, на каждом из которых используются различные «классические» методы шифрования в соответствии с выбранным ключом (ключами). Существуют две принципиально различные группы стандартных методов шифрования: - шифрование с применением одних и тех же ключей (шифров) при шифровании и дешифровании (симметричное шифрование или системы с закрытыми ключами – private-key systems); - шифрование с использованием открытых ключей для шифрования и закрытых ключей для дешифрования (несимметричное шифрованиеили системы с открытыми ключами – public-key systems). Строгое математическое описание алгоритмов стандартных методов шифрования слишком сложно. Для пользователей важны в первую очередь «потребительские» свойства различных методов (степень устойчивости к дешифрованию, скорость шифрования и дешифрования, порядок и удобство распространения ключей). Стандартные методы шифрования и криптографические системы Стандарт шифрования США DES (Data Encryption Standard) действует с 1976 г., его относят к группе методов симметричного шифрования. Использует 16 шагов. Длина ключа – 64 бита, 8 из которых - проверочные разряды четности/нечетности. Степень устойчивости к дешифрованию этого метода долгое время считалась достаточной, однако в настоящее время он устарел. Вместо DES применяется «тройной DES» – 3DES, в котором алгоритм DES используется 3 раза в последовательности «шифрование – дешифрование – шифрование» с различными ключами на каждом из этапов. Достаточно надежным считается алгоритм IDEA (International Data Encryption Algorithm), имеет длину ключа 128 бит (разработан в Швейцарии). Отечественный ГОСТ28147-89 - аналог DES, имеет длину ключа 256 бит, поэтому его степень устойчивости к дешифрованию значительно выше. Достоинством симметричных методов шифрования считается высокая скорость шифрования и дешифрования, недостатком – низкая степень защиты в случае, если ключ стал доступен третьему лицу. При использовании электронной почты в Интернет довольно популярны, несимметричные методы шифрования или системы с открытыми ключами – public-key systems. К таким методам относится, например, PGP (Pretty Good Privacy - достаточно хорошая секретность). Каждый из пользователей имеет пару ключей (открытый и закрытый). Открытые ключи предназначены для шифрования информации и свободно рассылаются по сети, но не позволяют произвести ее дешифрование. Для этого нужны специальные, секретные (закрытые) ключи. Принцип шифрования в данном случае основывается на применении так называемых односторонних функций. Преимущества и недостатки несимметричных методов шифрования обратные тем, которыми обладают симметричные методы. Например, в несимметричных методах с помощью посылки и анализа специальных служебных сообщений может быть выполнена процедура целостности (отсутствия подмены) и аутентификации (проверки легальности источника) данных. При этом выполняются операции шифрования и дешифрования с применением открытых ключей и секретного ключа конкретного абонента. Проблема рассылки ключей в несимметричных методах, в отличие от симметричных методов шифрования, решается проще - пары ключей (открытый и закрытый) генерируются пользователем при помощи специальных программ. Достаточно широко распространен способ, реализуемый с участием сторонней организации, которой доверяют все участники обмена информацией. Это так называемые цифровые сертификаты - посылаемые по сети сообщений с цифровой подписью, удостоверяющей подлинность открытых ключей. Программные средства защиты информации Интегрированные средства защиты информации в сетевых ОС не всегда могут полностью решить возникающие на практике проблемы связанные с защитой информации. Специализированное программное обеспечение для защиты информации от несанкционированного доступа обладают существенно лучшими возможностями и характеристиками, чем интегрированные средства сетевых ОС. Кроме криптографических систем и программ шифрования, существует много других доступных внешних средств защиты данных. Наиболее часто упоминаются следующие системы, позволяющие контролировать и ограничивать информационные потоки: -Firewalls – брандмауэры (firewall - огненная стена). Между локальной и глобальной сетями размещаются специальные промежуточные серверы, которые фильтруют и инспектируют весь проходящий через них трафик. -Proxy-servers (proxy - доверенное лицо). Весь трафик сетевого и транспортного уровней между локальной и глобальной сетями полностью запрещается, а обращения из локальной сети в глобальную происходят через специальные серверы-посредники. Очевидно, что при такой схеме взаимодействия обращения из глобальной сети в локальную становятся невозможными в принципе. Этот метод, достаточно надежный метод, не дает защиты против сетевых атак на более высоких уровнях (вирусы, код Java и JavaScript). |