Ақпараттық қауіпсіздік

 

 

Дәріс № 12

12.1 Криптографиялық протоколдар

Мысалға сіздің алдыңызда электрондық құпия дауыс беру есебі тұрсын. Алдымен сіз сайлауға катысатындар жоне ұйымдастырушылар үшін жапы ереже ойлап табуыңыз керек. Немсе төмендегідей ережені алуға болады:

1. Сайлауға тек дауыс  беруге құқығы бар адамдар  қатысады.

2. Әр сайлаушы бір рет қана дауыс береді.

3.  Сайлаушының калай  дауыс бергенін ешкім анықтай  алмайды.

4. Сайлаушының бюллетенінің  көшірмесін ешкім жасай алмайды.

5.  Сайлаушының дауыс  бергендегі нәтижесін ешкім өзгерте  алмайды.

6. Әр сайлаушы берген  дауысының есептелгеніне көз  жеткізе алады.

 

Енді сайлаудың орындалуының ережелерін анықтайық:

1.Сайлаушы бюллетенін  Орталық Сайлау Комиссияның (ОСК)  ашық кілтімен шифрлайды.

2.Сайлаушы бюллетенін  ОСК-ға жібереді.

3.ОСК бюллетендерді  дешифрлап, сайлау нәтижесін жариялайды.

Алдынғы үш қадам протокол болып табылады. Яғни протокол - бірнеше жакпен орындалатын іс-әрекет тізбегі. Протокол орындаушылар ашық каналмен қатынасып отырған абоненттер. Жалпы жағдайда протокол орындаушылар бір біріне сенбейді деп үйғарылады. Протоколда криптография қолданылса, онда ол криптографиялық протокол ден аталады.

Жоғарыдағы мысалға  қайта оралсак, оның әбден пайдасыз екенін аңғарған боларсыз. ОСК кімнің бюллетень жібергенін, ол дауыс беруге қүқығы барма білмейді. Тағы да бір протокол келтірейік:

1) Сайлаушы бюллетеніне  өзінің жабық кілтімен қол  кояды.

2) Сайлаушы бюллетенін  ОСК-ныц ашық кілтімен шифрлайды

3) Сайлаушы бюллетенін  ОСК-ға жібереді

4) ОСК бюллетендерді  дешифрлап, кол қою шынайылығын  тексереді. Нәтижені жариялайды.

Енді дауысты тек  қүқығы бар адамдар бере алады. Бюллетенге қойылған қол арқылы ОСК иесінің  құқығын тексере алады. Сонымен  қатар ол берілген дауыстарды бақылап, дауыс беру рәсімін қайталауға жол  бермейді. Бұл протоколдың кемшілігі  бар: ОСК кімнің калай дауыс бергенін анықтай алады. Кемшілікті жою үшін сайлауға екі комиссия қатыстыруға болады. Мысалы, Орталық тіркелу комиссиясы (ОТК) және ОСК.

1) Сайлаушы тіркеу  нөмірін сұрап, ОТК-ға хат жібереді.

2) ОСК сайлаушыға кездейсок  тіркеу нөмірін жіберіп. оны өзінің мәліметтер базасында сақтайды.

3) ОТК тіркеу нөмірлерін  ОСК-ға жібереді.

4) Сайлаушы кездейсоқ  идентификациялық нөмір таңдайды. Ол нөмір, тіркеу нөмірі және  бюллетеннен тұратын хабарды  ОСК-ға жібереді.

5) ОСК   тіркеу   нөмірін   ОТК   жіберген   құжаттағы   мәліметпен салыстырады. Егер тіркеу нөмірі тізбекте бар болса оны сызып тастайды. Содан кейін идентификациалық нөмірін сайлаушылар тізбегіне енгізіп, дауысын ескереді.

6) ОСК   сайлау   нәтижесін   идентификациалық   нөмірмен   коса жариялайды.

Протокол орындалу кезінде  барлық хабарлар шифрланған және қол  қойылған деп манаймыз. Барлық шараларға  қарамастан ОТК сенімді ұйым болуы  тиіс, өйткені ол дауыс беруге құқығы жоқ адамдарды тіркеуі мүмкін. бірақ, егер ОТК тіркелген сайлаушылар  тізімен жарияласа (тіркеу нөмірінсіз), онда тіркелген адамдардың саны саналған дауыс санынан кем болған жағдайда оны сенімсіз деп жариялауға болады.

Протоколдың кемшілігі  ОТК және ОСК бірігіп алуы мүмкін.

 

 

 

Дәріс №13

13 Желілік жүйелердің  қауіпсіздігі 

13.1 Желілердің қауіпсіздік проблемасы

13.2 Желілердегі қауіп  көздері және оларға қарсы  әрекеттер.

13.3 Желілік жүйелерге  қарсы шабуылдар түрлері.    

 

13.1 Желілердің  қауіпсіздік проблемасы

Хабарлар тасымалданатын байланыс арналары көбінесе қорғалмаған  болып келеді және осы арнаға қатынас құру құқығы бар кез келген адам хабарларды қолға түсіре алады, өзінің хабарларын жібере алады.Сондықтан тораптарда ақпаратқа біраз шабуылдар жасау мүмкіндігі бар.

Жергілікті тораптың бір сегментіне қосылған кез келген компьютер сегменттің басқа түйіндеріне бағытталған деректерді қабылдай алады. Ендеше, егер қаскүнемнің компьютері жергілікті тораптың қандай да бір сегміентіне қосылған болса, онда ол осы сегменттегі ақпарат ағынына толығымен қатынас құра алады.

Торапқа арнайы түрдегі хабарды жіберу арқылы, хакер өзінің компьютерінің бағдарлауыш (router) болуына қол жеткізеді, сосын ол осы бағдарлауыш арқылы өтетін барлық хаьарларды (оның ішінде, мәселен, пайдаланушылардың құпия сөздері мен электрондық поштасы бар ақпаратты) қолға түсіре алады.

Торапқа жалғанған кері мекенжай туралы хаьар жіберу арқылы қакүнем бұрыннан бар тораптық байланыстарды  өз компьютеріне қарай ауыстырады. Сөйтіп, осылайша алданған пайдаланушылардың  құқықтарына ие болады. Немесе торапқа  арнайы түрдегі хабар жібереді, осының нәтижесінде торапқа қосылған бір немесе бірнеше компьютерлік  жүйе толығымен немесе жартылай істен шығады.

    Тораптағы  ақпаратты қорғау үшін арнайы  шаралар қолдану керек. Осындай  қорғаныштың кейбір әдістері  мен әмбебап ережелерін атап  кетуге болады. Мәселен, тораптық хабарларды шифрлау арқылы құпия ақпаратты қолға түсіру қауіпін жоюға болады. Бірақ осының нәтижесінде тораптық программалық қамтаманың өімділі төмендеп, қосымша шығын шығады.

Егер торап арқылы тасымалданатын барлық хабарлар электрондық цифрлық қолтаңбамен қамтылса және қолтанбасы жоқ хабарлар еленбесе, онда қауіптердің біразының алдын алуға болады.

Егер қорғалған компьютерлік  тораптың қорғанылмаған тораппен байланысы  болса, онда осы торапқа жөнелтілетін немесе осы тораптан алынатын барлық хабарлар торапаралық экран(firewall, брандмауэр) арқылы өтіп, сондай-ақ шифрланып, цифрлық қолтаңбамен қамтамасыз етілуі керек.

Қауіпсіздік саясатындағы барлық өзгерістерді қарапайым журналға тіркеп отыру, қорғанылған операциялық  жүйелерін пайдалану, компьютерліқ жүйенің хакерлік шабуылдардан қорғанылу деңгейін тексеруге арналған арнайы программалардың көмегімен жиі-жиі тестілеу керек деген сияқты шаралар да орынды болады.

13.2 Желілердегі  қауіп көздері және оларға  қарсы әрекеттер.

Тораптық шабуылдардың ең көп тараған түрлерін және оларға қарсы қолданылатын шараларды қарастырып өтейік.

Хаттамалар  талдауышы

Қазіргі уақыттағы бейімдеуіштердің көбі «тыңдыу»(promiscuous mode) деп аталатын ерекше режімді жұмыс істеуге  мүмкіндік береді. Хаттамалар талдауышы (protocol analyzer) немесе дестелердің сниффері (sniffer) - тыңдау режімінде жұмыс істейтін тораптық бейімдеуішті пайдаланатын қолданбалы программа. Бұл режімде, бейімдеуіш торап арқылы тасымалданатын деректер дестілерінің бәрін қолданбаға жібереді (компьютердің жергілікті жадысына көшіріп отырады). Сонымен қатар, белгілі бір домен арқылы тасымалданатынбарлық тораптық дестелерді сниффер жолдан ұстап та қалады. Сондықтан олар тораптың кез келген түйінінде орналасып, осы торапқа қосылған әр компьютерлерге келіп түсетін тораптық графикті қолға түсіре алады.

Қазіргі уақытты снифферлер тораптарда әбден заңды негізде  жұмыс істейді. Тораптық әкімшінің  қолында олар өте пайдалы құрал  болып табылады. Снифферлер тораптың жұмысына бақылау жүргізіп, торапқа  компьютерлік бұзушылар кіруін анықтауға көмектеседі, ақауларды айқындау және графикті талдау үшін қолданылады. Өкінішке орай, оны зиянкес адамдар да қолданады.   Кейбір (Telnet, FTP, SMTP, POPS және т.б. сияқты) тораптық қолданбалар днректерін мәтіндік пішімде жіберетін болғандықтан сниффердің арқасында пайдалы, ал кейде жасырын ақпаратты (мәселен, пайдаланушылардың аттарын және құпия сөздерін )біліп алуға болады.

Кейбір пайдаланушылар жиі құпия сөзді бірнеше қолданбалар  мен жүйелерде қолданады. Сондықтан  аттарды және құпия сөздерді  жолдан ұстап алу үлкен қауіп қатер  тудырады. Хакер ең болмаған жүйелік деңгейде пайдаланушылық пайда қылады да оны кез келген уақытта торапқа және оның қорларына қатынас құру үшін қолдана алады.

 Мына келесі әрекеттер  мен құралдар арқылы дестелер снифферінің қауіпін кемітуге болады:

• Тыңдау режімінде мүлдем жұмыс істемейтін тораптық бейімдеуішті қолдануға болады. Осындай бейімдеуіштер бар.
• Аутентификация. Айналып өтуі қиын ьолатын аутентификация әдісінің мысалы ретінде бір реттік  құпия сөздерді (OTP- One-Time Passwords) айтуға болады. OTP- сіздегі барды сіздің білетіңізбен қабыстырытынекі факторлық аутентификациялау технологиясы. OTP жүйесінде аутентификациялау үшін пайдаланушының жеке кодасы және сіздің жеке кәртішкеңіз керек. «Кәртішке»(token) деп бірегей бірсәттік бірреттік құпия сөз (кездейсоқ ұстаным бойынша) генерацияланатын аппараттық немесе программалық құрылды айтады. Егер сниффердің көмегімен хакер осы құпия сөзді біліп алса да, бәрібір, мұндай ақпарат пайдаға жарамсыз болып келеді, себебі бұл кезге дейін құпия сөз қолданылып бітіледі және пайдаланудан аластатылады. Сниффермен күрестің бұл тәсілі тек құпия сөздерді жолдан ұстап қалуға қарсы күрес үшін қана тиімді.
• Анти-снифферлер. Сіздің торабыңызда жұмыс істейтін снифферді ажырата білетін ақпараттық немесе программалық құралдарды орнату. Бұл құралдар қауіптерді толық жоя алмайжы. «Анти-снифферлер» хосттың сезіну (керісінше жауап қайтара бастау) уақытын өлшейді және хосттар “артық” трафик өңдеп жатқан жоқ па екендігін анықтайды. LOpht Heavy Industries компаниясы шығаратын осындай құралдардың бірі AntiSniff деп аталады.
• Криптография. Егер байланыс арнасы криптографиялық тәсілмен қорғалған болса, онда хакер хабарды емес, шифрланған мәтінді жолдан ұстап қалады. Бұл мәтінді кәдеге жарату үшін оны алдымен кері шифрлау қажет.

13.3 Желілік  жүйелерге қарсы шабуылдар түрлері  

Осы топқа жататын Dos- шабуылдарының мысалы ретінде  Ping of  Death, TearDrop, Land  және  Nuke  шабуылдарын  атап кетуге болады. Олар TCP\IP  стек хаттамаларының кемшіліктерімен  байланысты емес, тек қана олардың программалық жүзеге асырылуының қателерін пайдаланады.

«Ping of  Death»  шабуылы  шабуылданатын  түйінге өлшемі 65535 байттан көп болатын дейтаграмманы  жіберуге негізделген.

«TearDrop»(үзінділенген десте)  шабуылы дейтаграмманы жинақтау кезінде үзінде ұзындығын  есептеу барысында  туындайтын қатені пайдаланады. ЭЕМ-де теріс сандардың көрсетілуін ескерсек, мысалы, -8 саны 65528 санына сәйкес келеді. Программа жинақтау арашығына 65528 байтты жазып, арашықты аса толтырады. Сөйтіп, жадының көрші  аймақтарындағы деректерді бұзады.

«Land» шабуылы шабуылданатын  түйінге  IР-мекенжайы  мен порт нөмірі қабылдаушының (шабуылданатын  түйіннің) IР-мекеніне және порт нөміріне сәйкес келетін SYN-сегментін жіберуге негізделген.

Dos  шабуылдарынан тораптарды  қорғау аса күрделі мәселе, өйткені  бұл шабуылдардың көпшілігі   тораптарда қолданылып жүрген  хаттамалардың түбегейлі қауіпсіздік  кемшіліктеріне негізделген. Торап  арқылы құпия деректерге рұқсатсыз  қол жеткізу сұлбаларының көпшілігі өзінің құрамдас  бөлігі ретінде Dos  шабуылдарын қолданады.

Dos шабуылдарынан қорғау  үшін  торапаралық ақпарат ағынын  сүзгілеу (мәселен, мекенннің торабы  мен ауқымды тораптың арасындағы  қөабылдауыштың мекенжайы ретінде  кеңтаралымды мекенжайлар көрсетілген дейтаграммаларды өткізбеу,  NCp Intercept  технологиясын қолдану,  Echo  немесе  Chargen  порттарына  бағытталған  UDP-дейтаграммаларды өткізбеу, тораптық  трафикке аналализ жасау, түйіндер мен бағдарғылауыштарды қорғау және т.б. ) шаралар қолданады.

Сонымен, Dos   шабуылдар  шартын кеміту үшін  мынадай негізгі  үш тәсілді  атап кетуге болады.

• Анти-спуфинг функциялары. Бағдарғылауыштар мен торапаралық экрандарда анти-спуфинг  функцияларының  дұрыс пішінүйлесімінін  құрылуы Dos  шабуылының қауіпін  кемітуге мүмкіндік береді. Бұл функциялардың құрамына ең кемінде RFC 2827 сүзбелеуі  болуы керек.  Егер хакер өзінің шын тұлғасын  қалқалай (жасыра) алмаса, онда ол еш уақытта шабуыл жасау  жайында шешім қабылдамайды.
• Анти- Dos  функциялары. Бағдарғылауыштарда және торапаралық экрандарда  анти- Dos  функцияларының дұрыс пішінүйлесімінін  құрылуы шабуылдардың тиімділігін шектеуге мүмкіндік береді.
• Трафик көлемін шектеу (traffic rate limiting). Мекеме трафик  көлемін шектеу жайында провайдерге (ISP) өтініш айта алады. Сүзгілеудің бұл түрі  сіздің торап арқылы  өтетін қауіпсіз тарфик көлемін шектеуге мүмкіндік  береді. Мұның қарапайым мысалы ретінде тек қана  айқындау мақсаты үшін қолданатын ICMP  трафигінің  көлемдеріне  шек қоюды келтіруге болады. DDos шабуылдары ICMP  трафигін жиі қолданады.
•   Жоғарыда  көрсетілген шараларды торапаралық экрандау технологиясы көмегімен жүзеге асыруға болады.  Мәселен, Cisco Systems  компаниясы  торапаралық экрандауды жүзеге асырудың бірнеше техникалық әдісін ұсынады.

 

Ақпараттық желісі:

Пайдаланушылар ҚБЕАО ұсынатын бизнес қосымшаларының қызметтерін (төлем  жүйесі, SWIFT, FASTI) пайдалану үшін бүгінгі  таңдағы желісін және коммуникациялық  жабдықты қолдана отырып, кіру мүмкіндігін  ала алады. Атап айтқанда, ҚБЕАО Қазақстан  нарығындағы мейлінше үлкен провайдерлер арқылы ұйымдастырылған, жалпы өткізу мүмкіндігі 6 Мбит/с-ға жететін Frame Relay арналары бойынша кіру мүмкіндігін ұсынады. Бұдан басқа кіру үшін пайдаланушылармен бөлінген арналар ұйымдастырылуы мүмкін және коммутацияланған арналар арқылы кіру қызметі тұрақты жұмыс жасайды. Модульдік құрылыс пен пайдаланылатын модульдердің кең диапазоны желінің даму талаптарына сәйкес желісін және коммуникациялық жабдықтың мүкіндіктерін кеңейтуге жағдай жасайды.