Главная страница

ИКСС - Конспект лекций по теме 2. ИКСС - Конспект лекций по теме 2.4. Защита информации в локальных сетях


Скачать 25.45 Kb.
НазваниеЗащита информации в локальных сетях
АнкорИКСС - Конспект лекций по теме 2.4
Дата06.06.2022
Размер25.45 Kb.
Формат файлаdocx
Имя файлаИКСС - Конспект лекций по теме 2.4.docx
ТипДокументы
#571654

Защита информации в локальных сетях


Защитой информации[1] называют комплекс мероприятий, проводимых для предотвращения утечки, хищения, утраты, несанкционированного уничтожения, искажения, модификации (подделки), несанкционированного копирования и блокирования информации. Так как утрата информации может происходить по техническим, объективным и неумышленным причинам, под это определение попадают меры, связанные с повышением надежности аппаратного обеспечения сервера из-за отказов или сбоев в работе винчестеров, недостатков в используемом программном обеспечении, сбоев питания и др.

Переход от работы на персональных компьютерах к работе в сети существенно усложняет защиту информации по следующим причинам:

- наличие большого числа пользователей в сети и их переменный состав;

- значительная протяженность и наличие многих потенциальных каналов проникновения в сеть;

- недостатки в аппаратном и программном обеспечении, которые зачастую обнаруживаются только в процессе функционирования.

В сети имеется много физических мест и каналов несанкционированного доступа к данным. Каждое устройство в сети является источником электромагнитного излучения из-за того, что эти поля, особенно на высоких частотах невозможно полностью экранировать. Система заземления вместе с кабельной системой и сетью электропитания может служить каналом доступа к информации в сети, в том числе на участках, находящихся вне зоны контролируемого доступа и потому особенно уязвимых. Возможна утечка информации по каналам, находящимся вне сети:

- хранилище носителей информации;

- элементы строительных конструкций и окна помещений;

- телефонные, радио-, а также иные проводные и беспроводные каналы.

Любые дополнительные соединения с другими сегментами или подключение к Internet порождают новые проблемы. Атаки на локальную сеть через подключение к Internet для того, чтобы получить доступ к конфиденциальной информации, в последнее время получили широкое распространение, что связано с недостатками встроенной системы защиты информации в протоколах TCP/IP.

Сетевые атаки через Интернет классифицируют следующим образом:

- сниффер пакетов (sniffer – в данном случае в смысле фильтрация) – прикладная программа, которая использует сетевую карту;

- IP-спуфинг (spoof – обман, мистификация) – происходит, когда хакер, находящийся внутри корпорации или вне ее, выдает себя за санкционированного пользователя;

- отказ в обслуживании (Denial of Service – DoS). Атака DoS делает сеть недоступной для обычного использования за счет превышения допустимых пределов функционирования сети, операционной системы или приложения;

- парольные атаки – попытка подбора пароля легального пользователя для входа в сеть;

- атаки типа Man-in-the-Middle – непосредственный доступ к пакетам, передаваемым по сети;

- атаки на уровне приложений;

- сетевая разведка – сбор информации о сети с помощью общедоступных данных и приложений;

- злоупотребление доверием внутри сети;

- вирусы и приложения типа «троянский конь».

[1] Кондратенко С., Новиков Ю. Основы локальных сетей [Электронный ресурс]

Классические алгоритмы шифрования данных


Применяются следующие основные методы шифрования:

- подстановка (простая – одноалфавитная, многоалфавитная однопетлевая, многоалфавитная многопетлевая);

- гаммирование (смешивание с короткой, длинной или другой маской);

- перестановка (простая, усложненная).

Устойчивость каждого из перечисленных методов к дешифрованию без знания ключа характеризуется количественно с помощью показателя, представляющего собой минимальный объем зашифрованного текста, который может быть дешифрован посредством статистического анализа.

Стандартные методы шифрования (национальные или международные) для повышения степени устойчивости к дешифрованию реализуют несколько этапов (шагов) шифрования, на каждом из которых используются различные «классические» методы шифрования в соответствии с выбранным ключом (ключами). Существуют две принципиально различные группы стандартных методов шифрования:

- шифрование с применением одних и тех же ключей (шифров) при шифровании и дешифровании (симметричное шифрование или системы с закрытыми ключами – private-key systems);

- шифрование с использованием открытых ключей для шифрования и закрытых ключей для дешифрования (несимметричное шифрованиеили системы с открытыми ключами – public-key systems).

Строгое математическое описание алгоритмов стандартных методов шифрования слишком сложно. Для пользователей важны в первую очередь «потребительские» свойства различных методов (степень устойчивости к дешифрованию, скорость шифрования и дешифрования, порядок и удобство распространения ключей).

Стандартные методы шифрования и криптографические системы

Стандарт шифрования США DES (Data Encryption Standard) действует с 1976 г., его относят к группе методов симметричного шифрования. Использует 16 шагов. Длина ключа – 64 бита, 8 из которых - проверочные разряды четности/нечетности. Степень устойчивости к дешифрованию этого метода долгое время считалась достаточной, однако в настоящее время он устарел. Вместо DES применяется «тройной DES» – 3DES, в котором алгоритм DES используется 3 раза в последовательности «шифрование – дешифрование – шифрование» с различными ключами на каждом из этапов.

Достаточно надежным считается алгоритм IDEA (International Data Encryption Algorithm), имеет длину ключа 128 бит (разработан в Швейцарии).

Отечественный ГОСТ28147-89 - аналог DES, имеет длину ключа 256 бит, поэтому его степень устойчивости к дешифрованию значительно выше.

Достоинством симметричных методов шифрования считается высокая скорость шифрования и дешифрования, недостатком – низкая степень защиты в случае, если ключ стал доступен третьему лицу.

При использовании электронной почты в Интернет довольно популярны, несимметричные методы шифрования или системы с открытыми ключами – public-key systems. К таким методам относится, например, PGP (Pretty Good Privacy - достаточно хорошая секретность).

Каждый из пользователей имеет пару ключей (открытый и закрытый). Открытые ключи предназначены для шифрования информации и свободно рассылаются по сети, но не позволяют произвести ее дешифрование. Для этого нужны специальные, секретные (закрытые) ключи. Принцип шифрования в данном случае основывается на применении так называемых односторонних функций.

Преимущества и недостатки несимметричных методов шифрования обратные тем, которыми обладают симметричные методы. Например, в несимметричных методах с помощью посылки и анализа специальных служебных сообщений может быть выполнена процедура целостности (отсутствия подмены) и аутентификации (проверки легальности источника) данных. При этом выполняются операции шифрования и дешифрования с применением открытых ключей и секретного ключа конкретного абонента. Проблема рассылки ключей в несимметричных методах, в отличие от симметричных методов шифрования, решается проще - пары ключей (открытый и закрытый) генерируются пользователем при помощи специальных программ.

Достаточно широко распространен способ, реализуемый с участием сторонней организации, которой доверяют все участники обмена информацией. Это так называемые цифровые сертификаты - посылаемые по сети сообщений с цифровой подписью, удостоверяющей подлинность открытых ключей.

Программные средства защиты информации

Интегрированные средства защиты информации в сетевых ОС не всегда могут полностью решить возникающие на практике проблемы связанные с защитой информации.

Специализированное программное обеспечение для защиты информации от несанкционированного доступа обладают существенно лучшими возможностями и характеристиками, чем интегрированные средства сетевых ОС. Кроме криптографических систем и программ шифрования, существует много других доступных внешних средств защиты данных. Наиболее часто упоминаются следующие системы, позволяющие контролировать и ограничивать информационные потоки:

-Firewalls – брандмауэры (firewall - огненная стена). Между локальной и глобальной сетями размещаются специальные промежуточные серверы, которые фильтруют и инспектируют весь проходящий через них трафик.

-Proxy-servers (proxy - доверенное лицо). Весь трафик сетевого и транспортного уровней между локальной и глобальной сетями полностью запрещается, а обращения из локальной сети в глобальную происходят через специальные серверы-посредники. Очевидно, что при такой схеме взаимодействия обращения из глобальной сети в локальную становятся невозможными в принципе. Этот метод, достаточно надежный метод, не дает защиты против сетевых атак на более высоких уровнях (вирусы, код Java и JavaScript).


написать администратору сайта