Программно-аппаратные методы защиты информации

Виртуальные частные  сети часто используются в сочетании  с межсетевыми экранами. Ведь VPN обеспечивает защиту корпоративных данных только во время их движения по Internet и не может защитить внутреннюю сеть от проникновения злоумышленников.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

1.4 Аутентификация

Аутентификация (установление подлинности) — проверка принадлежности субъекту доступа предъявленного им идентификатора и подтверждение его подлинности. Другими словами, аутентификация заключается в проверке: является ли подключающийся субъект тем, за кого он себя выдает.

При построении систем идентификации и аутентификации возникает проблема выбора идентификатора, на основе которого осуществляются процедуры идентификации и аутентификации пользователя. В качестве идентификаторов обычно используют:

• набор символов (пароль, секретный ключ, персональный идентификатор и т. п.), который пользователь запоминает или для их запоминания использует специальные средства хранения (электронные ключи);
• физиологические параметры человека (отпечатки пальцев, рисунок радужной оболочки глаза и т. п.) или особенности поведения (особенности работы на клавиатуре и т. п.).

Наиболее распространенными  простыми и привычными являются методы аутентификации, основанные на паролях  — конфиденциальных идентификаторах  субъектов. В этом случае при вводе  субъектом своего пароля подсистема аутентификации сравнивает его с паролем, хранящимся в базе эталонных данных в зашифрованном виде. В случае совпадения паролей подсистема аутентификации разрешает доступ к ресурсам системы.

 

 

 

 

 

 

 

 

 

1.5 Цифровые сертификаты

 

Цифровой сертификат — выпущенный удостоверяющим центром электронный или печатный документ, подтверждающий принадлежность владельцу открытого ключа или каких-либо атрибутов.

Центр сертификации — это компонент глобальной службы каталогов, отвечающий за управление криптографическими ключами (ключами шифрования) пользователей. Открытые ключи и другая информация о пользователях хранится центрами сертификации в виде цифровых сертификатов, имеющих следующую структуру: серийный номер сертификата; объектный идентификатор алгоритма электронной подписи; имя удостоверяющего центра; срок годности; имя владельца сертификата (имя пользователя, которому принадлежит сертификат); открытые ключи владельца сертификата (ключей может быть несколько); алгоритмы, ассоциированные с открытыми ключами владельца сертификата; электронная подпись, сгенерированная с использованием секретного ключа удостоверяющего центра (подписывается результат преобразования всей информации, хранящейся в сертификате).      Отличием аккредитованного центра является то, что он находится в договорных отношениях с вышестоящим удостоверяющим центром и не является первым владельцем самоподписанного сертификата в списке удостоверенных корневых сертификатов. Таким образом корневой сертификат аккредитованного центра удостоверен вышестоящим удостоверяющим центром в иерархии системы удостоверения. Таким образом аккредитованный центр получает «техническое право» работы и наследует «доверие» от организации выполнившей аккредитацию.  Центр сертификации ключей имеет право: предоставлять услуги по удостоверению сертификатов электронной цифровой подписи и обслуживать сертификаты открытых ключей, получать и проверять информацию, необходимую для создания соответствия информации указанной в сертификате ключа и предъявленными документами.  Криптографическая система с открытым ключом (или Асимметричное шифрование, Асимметричный шифр) — система шифрования и/или электронной цифровой подписи (ЭЦП), при которой открытый ключ передаётся по открытому (то есть незащищённому, доступному для наблюдения) каналу, и используется для проверки ЭЦП и для шифрования сообщения. Для генерации ЭЦП и для расшифрования сообщения используется секретный ключ.         В частности, пакет приложений Microsoft Office XP использует технологию Microsoft Authenticode, позволяющую снабжать проекты макросов и файлы цифровой подписью с использованием цифрового сертификата.            Сертификат, используемый для создания подписи, подтверждает, что макрос или документ получен от владельца подписи, а подпись подтверждает, что макрос или документ не был изменен. Установив уровень безопасности, можно разрешить или запретить выполнение макроса в зависимости от того, входит ли подписавший его разработчик в список надежных источников.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

1.6  Настройка безопасности браузера (Internet Explorer)

Обозреватель Internet Ехр1огег нельзя полностью обезопасить с помощью его программных настроек. Чтобы чувствовать себя в более менее безопасном состоянии, надо совместно с ним на компьютере использовать хороший брандмауэр (межсетевой экран).     Элементы управления, связанные с настройкой правил безопасности, сосредоточены на вкладках Дополнительно и Безопасность диалогового окна Свойства обозревателя (см. рис. 1).

 

Рис. 1. Свойства обозревателя Internet Explorer

Откройте диалоговое окно Свойства обозревателя (Internet Ехр1огег > Сервис > Свойства обозревателя). Открой вкладку Дополнительно. В разделе Безопасность сбрось галочку Задействовать профиль. Если флажок оставить, браузер будет поставлять удаленным серверам по их запросу личные данные о пользователе (см. рис. 1).         В этом же разделе установите все галочки у строк, начинающихся словами Не сохранять..., Предупреждать..., Проверять... и Удалять.  В разделе Обзор необходимо сбросить следующие галочки:

Автоматически проверять обновление Internet Ехр1огег;          Включить установку по запросу;                      Использовать встроенное автозаполнение в проводнике;                        Использовать встроенное автозаполнение Web-адресов,

Разрешить счетчик  попаданий на страницы.              Выполнив указанные настройки, щёлкни по кнопке Применить.

Откройте вкладку  Безопасность диалогового окна Свойства обозревателя. На панели зон безопасности выбери зону Интернет (см. рис. 2).

 

Рис. 2. Вкладка безопасность в свойствах Internet Explorer

Откройте диалоговое окно настройки правил безопасности щелчком по кнопке Другой. Для всех операций, которым сопоставлено три  метода взаимодействия с сервером: Отключить, Предлагать, Разрешить -включи переключатель Предлагать. В этом случае при потенциально опасных операциях будет открываться диалоговое окно с предложением подтвердить или отвергнуть действие.

 

 

 

 

 

 

 

1.7 Кодирование

Кодирование информации - это представление сообщений  в конкретном виде при помощи некоторой последовательности знаков.   Одну и ту же информацию, например, сведения об опасности мы можем выразить разными способами: просто крикнуть; оставить предупреждающий знак (рисунок); с помощью мимики и жестов; передать сигнал «SOS» с помощью азбуки Морзе или используя семафорную и флажковую сигнализацию. В каждом из этих способов мы должны знать правила, по которым можно отобразить информацию. Такое правило назовем кодом.            Код — это набор условных обозначений (или сигналов) для записи (или передачи) некоторых заранее определенных понятий.   Кодирование информации – это процесс формирования определенного представления информации. В более узком смысле под термином «кодирование» часто понимают переход от одной формы представления информации к другой, более удобной для хранения, передачи или обработки. Обычно каждый образ при кодировании (иногда говорят — шифровке) представлении отдельным знаком.        Знак - это элемент конечного множества отличных друг от друга элементов. Знак вместе с его смыслом называют символом. Набор знаков, в котором определен их порядок, называется алфавитом.   Существует множество алфавитов:

• алфавит кириллических  букв {А, Б, В, Г, Д, Е, ...}

• алфавит латинских  букв {А, В, С, D, Е, F,...}

• алфавит десятичных цифр{0, 1, 2, 3, 4, 5, 6, 7, 8, 9}

• алфавит знаков зодиака {картинки знаков зодиака} и  др.

Особенно большое  значение имеют наборы, состоящие  всего из двух знаков:

• пара знаков {+, -}

• пара цифр {0, 1}

• пара ответов {да, нет}

Алфавит, состоящий  из двух знаков, называется двоичным алфавитом. Двоичный знак (англ. binary digit) получил название «бит».

Шифрование - кодирование  сообщения отправителя, но такое  чтобы оно было не понятно несанкционированному пользователю.  Длиной кода называется такое количество знаков, которое используется при кодировании.       Количество символов в алфавите кодирования и длина кода - совершенно разные вещи. Например, в русском алфавите 33 буквы, а слова могут быть длиной в 1, 2, 3 и т.д. буквы.       Код может быть постоянной и непостоянной длины. Коды различной (непостоянной) длины в технике используются довольно редко. Исключением является лишь троичный код Морзе. В вычислительной технике в настоящее время широко используется двоичное кодирование с алфавитом (0, 1). Наиболее распространенными кодами являются ASCII (American standart code for information interchange - американский стандартный код для обмена информацией) и КОИ-8 (код обмена информации длиной 8 бит).         Одно и то же сообщение можно закодировать разными способами, т. е. выразить на разных языках. В процессе развития человеческого общества люди выработали большое число языков кодирования. К ним относятся:

• разговорные  языки (русский, английский, хинди и  др. — всего более 2000);

• язык мимики и жестов;

• язык рисунков и чертежей;• язык науки (математические, химические, биологические и другие символы);

• язык искусства (музыки, живописи, скульптуры и т. д.);

• специальные  языки (эсперанто, морской семафор, азбука Морзе, азбука Брайля для слепых и др.).

 

2 Программно-аппаратные методы защиты от удаленных атак в сети Internet

  К программно-аппаратным средствам обеспечения информационной безопасности средств связи в вычислительных сетях относятся:

• аппаратные шифраторы сетевого трафика;
• методика Firewall, реализуемая на базе программно-аппаратных средств;
• защищенные сетевые криптопротоколы;
• программно-аппаратные анализаторы сетевого трафика;
• защищенные сетевые ОС.

  Существует огромное количество литературы, посвященной этим средствам защиты, предназначенным для использования в сети Internet (за последние два года практически в каждом номере любого компьютерного журнала можно найти статьи на эту тему).

  Далее мы, по возможности кратко, чтобы не повторять всем хорошо известную информацию, опишем данные средства защиты, применяемые в Internet. При этом мы преследуем следующие цели: во-первых, еще раз вернемся к мифу об "абсолютной защите" , которую якобы обеспечивают системы Firewall, очевидно, благодаря стараниям их продавцов; во-вторых, сравним существующие версии криптопротоколов, применяемых в Internet, и дадим оценку, по сути, критическому положению в этой области; и, в-третьих, ознакомим читателей с возможностью защиты с помощью сетевого монитора безопасности, предназначенного для осуществления динамического контроля за возникающими в защищаемом сегменте IP-сети ситуациями, свидетельствующими об осуществлении на данный сегмент одной из описанных в 4 главе удаленных атак.

 

 

 

 

 

2.1 Методика Firewall как основное программно-аппаратное средство осуществления сетевой политики безопасности в выделенном сегменте IP-сети

В общем случае методика Firewall реализует следующие  основные три функции:

1. Многоуровневая  фильтрация сетевого трафика.          Фильтрация обычно осуществляется на трех уровнях OSI: сетевом (IP);транспортном (TCP, UDP); прикладном (FTP, TELNET, HTTP, SMTP и т. д.).           Фильтрация сетевого трафика является основной функцией систем Firewall и позволяет администратору безопасности сети централизованно осуществлять необходимую сетевую политику безопасности в выделенном сегменте IP-сети, то есть, настроив соответствующим образом Firewall, можно разрешить или запретить пользователям как доступ из внешней сети к соответствующим службам хостов или к хостам, находящихся в защищаемом сегменте, так и доступ пользователей из внутренней сети к соответствующим ресурсам внешней сети. Можно провести аналогию с администратором локальной ОС, который для осуществления политики безопасности в системе назначает необходимым образом соответствующие отношения между субъектами (пользователями) и объектами системы (файлами, например), что позволяет разграничить доступ субъектов системы к ее объектам в соответствии с заданными администратором правами доступа. Те же рассуждения применимы к Firewall-фильтрации: в качестве субъектов взаимодействия будут выступать IP-адреса хостов пользователей, а в качестве объектов, доступ к которым необходимо разграничить, - IP-адреса хостов, используемые транспортные протоколы и службы предоставления удаленного доступа.

2. Proxy-схема с  дополнительной идентификацией и аутентификацией пользователей на Firewall-хосте.             Proxy-схема позволяет, во-первых, при доступе к защищенному Firewall сегменту сети осуществить на нем дополнительную идентификацию и аутентификацию удаленного пользователя и, во-вторых, является основой для создания приватных сетей с виртуальными IP-адресами. Смысл proxy-схемы состоит в создании соединения с конечным адресатом через промежуточный proxy-сервер (proxy от англ. полномочный) на хосте Firewall. На этом proxy-сервере и может осуществляться дополнительная идентификация абонента.

3. Создание приватных  сетей (Private Virtual Network - PVN) с "виртуальными" IP-адресами (NAT - Network Address Translation).           В том случае, если администратор безопасности сети считает целесообразным скрыть истинную топологию своей внутренней IP-сети, то ему можно порекомендовать использовать системы Firewall для создания приватной сети (PVN-сеть). Хостам в PVN-сети назначаются любые "виртуальные" IP-адреса. Для адресации во внешнюю сеть (через Firewall) необходимо либо использование на хосте Firewall описанных выше proxy-серверов, либо применение специальных систем роутинга (маршрутизации), только через которые и возможна внешняя адресация. Это происходит из-за того, что используемый во внутренней PVN-сети виртуальный IP-адрес, очевидно, не пригоден для внешней адресации (внешняя адресация - это адресация к абонентам, находящимся за пределами PVN-сети). Поэтому proxy-сервер или средство роутинга должно осуществлять связь с абонентами из внешней сети со своего настоящего IP-адреса. Кстати, эта схема удобна в том случае, если вам для создания IP-сети выделили недостаточное количество IP-адресов (в стандарте IPv4 это случается сплошь и рядом, поэтому для создания полноценной IP-сети с использованием proxy-схемы достаточно только одного выделенного IP-адреса для proxy-сервера).  Итак, любое устройство, реализующее хотя бы одну из этих функций Firewall-методики, и является Firewall-устройством. Например, ничто не мешает вам использовать в качестве Firewall-хоста компьютер с обычной ОС FreeBSD или Linux, у которой соответствующим образом необходимо скомпилировать ядро ОС. Firewall такого типа будет обеспечивать только многоуровневую фильтрацию IP-трафика. Другое дело, предлагаемые на рынке мощные Firewall-комплексы, сделанные на базе ЭВМ или мини-ЭВМ, обычно реализуют все функции Firewall-мето-дики и являются полнофункциональными системами Firewall. На следующем рисунке изображен сегмент сети, отделенный от внешней сети полнофункциональным Firewall-хостом.

Рис. 2.1. Обобщенная схема полнофункционального хоста Firewall.

Однако администраторам IP-сетей, поддавшись на рекламу систем Firewall, не стоит заблуждаться на тот  счет, что Firewall это гарантия абсолютной защиты от удаленных атак в сети Internet. Firewall - не столько средство обеспечения безопасности, сколько возможность централизованно осуществлять сетевую политику разграничения удаленного доступа к доступным ресурсам вашей сети. Да, в том случае, если, например, к данному хосту запрещен удаленный TELNET-доступ, то Firewall однозначно предотвратит возможность данного доступа. Но дело в том, что большинство удаленных атак имеют совершенно другие цели (бессмысленно пытаться получить определенный вид доступа, если он запрещен системой Firewall). Атакующему для того, чтобы вывести из строя (отрезать от внешнего мира) все хосты внутри защищенного Firewall-системой сегмента, достаточно атаковать только один Firewall, а не несколько хостов (это легко объясняется тем, что связь внутренних хостов с внешним миром возможна только через Firewall).            Из всего вышесказанного отнюдь не следует, что использование систем Firewall абсолютно бессмысленно. Нет, на данный момент этой методике (именно как методике!) нет альтернативы. Однако надо четко понимать и помнить ее основное назначение. Нам представляется, что применение методики Firewall для обеспечения сетевой безопасности является необходимым, но отнюдь не достаточным условием, и не нужно считать, что, поставив Firewall, вы разом решите все проблемы с сетевой безопасностью и избавитесь от всех возможных удаленных атак из сети Internet. Прогнившую с точки зрения безопасности сеть Internet никаким отдельно взятым Firewall'ом не защитишь!