Главная страница
Медицина
Финансы
Экономика
Биология
Ветеринария
Сельское хозяйство
Юриспруденция
Право
Языкознание
Языки
Логика
Философия
Религия
Этика
Политология
Социология
История
Информатика
Вычислительная техника
Физика
Математика
Промышленность
Энергетика
Искусство
Культура
Химия
Электротехника
Связь
Автоматика
Геология
Экология
Начальные классы
Строительство
образование
Механика
Воспитательная работа
Русский язык и литература
Дошкольное образование
Реферат
Урок
Отчет
Программа
Закон
Курсовая
Задача
Занятие
Решение
Лекция
Протокол

ИКСС - Конспект лекций по теме 2. ИКСС - Конспект лекций по теме 2.4. Защита информации в локальных сетях


Скачать 25.45 Kb.
НазваниеЗащита информации в локальных сетях
АнкорИКСС - Конспект лекций по теме 2.4
Дата06.06.2022
Размер25.45 Kb.
Формат файлаdocx
Имя файлаИКСС - Конспект лекций по теме 2.4.docx
ТипДокументы
#571654

Защита информации в локальных сетях


Защитой информации[1] называют комплекс мероприятий, проводимых для предотвращения утечки, хищения, утраты, несанкционированного уничтожения, искажения, модификации (подделки), несанкционированного копирования и блокирования информации. Так как утрата информации может происходить по техническим, объективным и неумышленным причинам, под это определение попадают меры, связанные с повышением надежности аппаратного обеспечения сервера из-за отказов или сбоев в работе винчестеров, недостатков в используемом программном обеспечении, сбоев питания и др.

Переход от работы на персональных компьютерах к работе в сети существенно усложняет защиту информации по следующим причинам:

- наличие большого числа пользователей в сети и их переменный состав;

- значительная протяженность и наличие многих потенциальных каналов проникновения в сеть;

- недостатки в аппаратном и программном обеспечении, которые зачастую обнаруживаются только в процессе функционирования.

В сети имеется много физических мест и каналов несанкционированного доступа к данным. Каждое устройство в сети является источником электромагнитного излучения из-за того, что эти поля, особенно на высоких частотах невозможно полностью экранировать. Система заземления вместе с кабельной системой и сетью электропитания может служить каналом доступа к информации в сети, в том числе на участках, находящихся вне зоны контролируемого доступа и потому особенно уязвимых. Возможна утечка информации по каналам, находящимся вне сети:

- хранилище носителей информации;

- элементы строительных конструкций и окна помещений;

- телефонные, радио-, а также иные проводные и беспроводные каналы.

Любые дополнительные соединения с другими сегментами или подключение к Internet порождают новые проблемы. Атаки на локальную сеть через подключение к Internet для того, чтобы получить доступ к конфиденциальной информации, в последнее время получили широкое распространение, что связано с недостатками встроенной системы защиты информации в протоколах TCP/IP.

Сетевые атаки через Интернет классифицируют следующим образом:

- сниффер пакетов (sniffer – в данном случае в смысле фильтрация) – прикладная программа, которая использует сетевую карту;

- IP-спуфинг (spoof – обман, мистификация) – происходит, когда хакер, находящийся внутри корпорации или вне ее, выдает себя за санкционированного пользователя;

- отказ в обслуживании (Denial of Service – DoS). Атака DoS делает сеть недоступной для обычного использования за счет превышения допустимых пределов функционирования сети, операционной системы или приложения;

- парольные атаки – попытка подбора пароля легального пользователя для входа в сеть;

- атаки типа Man-in-the-Middle – непосредственный доступ к пакетам, передаваемым по сети;

- атаки на уровне приложений;

- сетевая разведка – сбор информации о сети с помощью общедоступных данных и приложений;

- злоупотребление доверием внутри сети;

- вирусы и приложения типа «троянский конь».

[1] Кондратенко С., Новиков Ю. Основы локальных сетей [Электронный ресурс]

Классические алгоритмы шифрования данных


Применяются следующие основные методы шифрования:

- подстановка (простая – одноалфавитная, многоалфавитная однопетлевая, многоалфавитная многопетлевая);

- гаммирование (смешивание с короткой, длинной или другой маской);

- перестановка (простая, усложненная).

Устойчивость каждого из перечисленных методов к дешифрованию без знания ключа характеризуется количественно с помощью показателя, представляющего собой минимальный объем зашифрованного текста, который может быть дешифрован посредством статистического анализа.

Стандартные методы шифрования (национальные или международные) для повышения степени устойчивости к дешифрованию реализуют несколько этапов (шагов) шифрования, на каждом из которых используются различные «классические» методы шифрования в соответствии с выбранным ключом (ключами). Существуют две принципиально различные группы стандартных методов шифрования:

- шифрование с применением одних и тех же ключей (шифров) при шифровании и дешифровании (симметричное шифрование или системы с закрытыми ключами – private-key systems);

- шифрование с использованием открытых ключей для шифрования и закрытых ключей для дешифрования (несимметричное шифрованиеили системы с открытыми ключами – public-key systems).

Строгое математическое описание алгоритмов стандартных методов шифрования слишком сложно. Для пользователей важны в первую очередь «потребительские» свойства различных методов (степень устойчивости к дешифрованию, скорость шифрования и дешифрования, порядок и удобство распространения ключей).

Стандартные методы шифрования и криптографические системы

Стандарт шифрования США DES (Data Encryption Standard) действует с 1976 г., его относят к группе методов симметричного шифрования. Использует 16 шагов. Длина ключа – 64 бита, 8 из которых - проверочные разряды четности/нечетности. Степень устойчивости к дешифрованию этого метода долгое время считалась достаточной, однако в настоящее время он устарел. Вместо DES применяется «тройной DES» – 3DES, в котором алгоритм DES используется 3 раза в последовательности «шифрование – дешифрование – шифрование» с различными ключами на каждом из этапов.

Достаточно надежным считается алгоритм IDEA (International Data Encryption Algorithm), имеет длину ключа 128 бит (разработан в Швейцарии).

Отечественный ГОСТ28147-89 - аналог DES, имеет длину ключа 256 бит, поэтому его степень устойчивости к дешифрованию значительно выше.

Достоинством симметричных методов шифрования считается высокая скорость шифрования и дешифрования, недостатком – низкая степень защиты в случае, если ключ стал доступен третьему лицу.

При использовании электронной почты в Интернет довольно популярны, несимметричные методы шифрования или системы с открытыми ключами – public-key systems. К таким методам относится, например, PGP (Pretty Good Privacy - достаточно хорошая секретность).

Каждый из пользователей имеет пару ключей (открытый и закрытый). Открытые ключи предназначены для шифрования информации и свободно рассылаются по сети, но не позволяют произвести ее дешифрование. Для этого нужны специальные, секретные (закрытые) ключи. Принцип шифрования в данном случае основывается на применении так называемых односторонних функций.

Преимущества и недостатки несимметричных методов шифрования обратные тем, которыми обладают симметричные методы. Например, в несимметричных методах с помощью посылки и анализа специальных служебных сообщений может быть выполнена процедура целостности (отсутствия подмены) и аутентификации (проверки легальности источника) данных. При этом выполняются операции шифрования и дешифрования с применением открытых ключей и секретного ключа конкретного абонента. Проблема рассылки ключей в несимметричных методах, в отличие от симметричных методов шифрования, решается проще - пары ключей (открытый и закрытый) генерируются пользователем при помощи специальных программ.

Достаточно широко распространен способ, реализуемый с участием сторонней организации, которой доверяют все участники обмена информацией. Это так называемые цифровые сертификаты - посылаемые по сети сообщений с цифровой подписью, удостоверяющей подлинность открытых ключей.

Программные средства защиты информации

Интегрированные средства защиты информации в сетевых ОС не всегда могут полностью решить возникающие на практике проблемы связанные с защитой информации.

Специализированное программное обеспечение для защиты информации от несанкционированного доступа обладают существенно лучшими возможностями и характеристиками, чем интегрированные средства сетевых ОС. Кроме криптографических систем и программ шифрования, существует много других доступных внешних средств защиты данных. Наиболее часто упоминаются следующие системы, позволяющие контролировать и ограничивать информационные потоки:

-Firewalls – брандмауэры (firewall - огненная стена). Между локальной и глобальной сетями размещаются специальные промежуточные серверы, которые фильтруют и инспектируют весь проходящий через них трафик.

-Proxy-servers (proxy - доверенное лицо). Весь трафик сетевого и транспортного уровней между локальной и глобальной сетями полностью запрещается, а обращения из локальной сети в глобальную происходят через специальные серверы-посредники. Очевидно, что при такой схеме взаимодействия обращения из глобальной сети в локальную становятся невозможными в принципе. Этот метод, достаточно надежный метод, не дает защиты против сетевых атак на более высоких уровнях (вирусы, код Java и JavaScript).

написать администратору сайта