
- •«Комплексные системы информационной безопасности»
- •Содержание
- •Аннотация
- •Введение
- •1. Основные понятия и определения предмета защиты информации
- •1.1. Санкционированный и несанкционированный доступ
- •1.2. Базовые свойства безопасности информации. Угрозы безопасности и каналы реализации угроз
- •1.3. Основные принципы обеспечения информационной безопасности
- •1.4. Ценность информации
- •1.5. Меры обеспечения безопасности компьютерных систем
- •1.6. Характеристика способов защиты компьютерной информации с помощью аппаратно-программных мер
- •1.7. Вопросы для самоконтроля
- •2. Разграничение доступа к ресурсам
- •Политики безопасности. Классификация политик безопасности
- •Политики избирательного разграничения доступа
- •Мандатные политики безопасности
- •Контроль доступа, базирующийся на ролях
- •2.6. Вопросы для самоконтроля
- •3. Идентификация и аутентификация субъектов
- •3.1. Классификация подсистем идентификации и аутентификации субъектов
- •3.2. Парольные системы идентификации и аутентификации пользователей
- •3.3. Вопросы для самоконтроля
- •Методы и средства криптографической защиты
- •4.1. Принципы криптографической защиты информации
- •4.2. Традиционные симметричные криптосистемы
- •4.2.3. Шифрование методом гаммирования
- •4.3. Элементы криптоанализа
- •4.4. Современные симметричные системы шифрования
- •4.4.1. Стандарт шифрования des (сша)
- •4.4.2. Отечественный стандарт симметричного шифрования
- •4.5. Асимметричные криптосистемы
- •4.5.1. Недостатки симметричных криптосистем и принципы асимметричного шифрования
- •4.5.2. Однонаправленные функции
- •4.5.3. Алгоритм шифрования rsa
- •5.6. Вопросы для самоконтроля
- •Контроль целостности информации. Электронно-цифровая подпись
- •5.1. Проблема обеспечения целостности информации
- •5.2. Функции хэширования и электронно-цифровая подпись
- •5.3. Инфраструктура открытых ключей pki
- •5.4. Вопросы для самоконтроля
- •Хранение и распределение ключевой информации. Протоколы безопасной аутентификации пользователей
- •6.1. Типовые схемы хранения ключевой информации
- •6.2. Защита баз данных аутентификации в ос Windows nt и unix
- •6.3. Иерархия ключевой информации
- •6.4. Распределение ключей
- •6.5. Протоколы безопасной удаленной аутентификации пользователей
- •6.6. Вопросы для самоконтроля
- •7. Защита информации в компьютерных сетях
- •7.1. Основные угрозы и причины уязвимости сети internet
- •7.2. Классификация типовых удаленных атак на интрасети. Подходы к защите от типовых удаленных атак
- •7.3. Ограничение доступа в сеть. Межсетевые экраны
- •7.4. Виртуальные частные сети (vpn)
- •7.7. Вопросы для самоконтроля
- •8. Защита программного обеспечения с помощью электронных ключей hasp
- •8.1 Электронные ключи серии hasp 4
- •8.2 Электронные ключи серии hasp hl
- •Защита и лицензирование с помощью hasp hl
- •Построение защиты с помощью hasp hl
- •8.3. Вопросы для самоконтроля
- •9. Руководящие документы России
- •Вопросы для самоконтроля
- •10. Инженерно-техническая защита информации
- •Устройства перехвата телефонных сообщений:
- •10.1. Радиомикрофоны
- •10.2. Устройства перехвата телефонных сообщений
- •10.3. Специализированные устройства
- •10.4. Обнаружение, локализация и подавление закладных подслушивающих устройств
- •10.5. Противодействие перехвату речевой информации
- •10.6. Предотвращение утечки информации через побочные электромагнитные излучения и наводки
- •10.7. Вопросы для самоконтроля
- •11. Правовое обеспечение информационной безопасности
- •11.1. Статья 272 ук рф
- •11.2. Статья 273 ук рф
- •11.3. Статья 274 ук рф
- •11.4. Статья 146. Нарушение авторских и смежных прав
- •11.5. Статья 147. Нарушение изобретательских и патентных прав
- •11.6. Вопросы для самоконтроля
- •Литература
7.4. Виртуальные частные сети (vpn)
В настоящее время значительное число организаций имеют множество отделений, офисов, распределенных по различным городам внутри одной страны и даже по разным странам мира. Поэтому для организаций возникает насущная необходимость интеграции локальных сетей данных отделений в единую корпоративную сеть компании, в рамках которой сотрудники могли бы использовать все привычные для себя функции локальных сетей, не чувствовать себя отдаленными от сотрудников другого офиса, расположенного, быть может, на другом конце земного шара. Мобильные сотрудники данных организаций, перемещающиеся из страны в страну, должны иметь возможность доступа из любой точки земного шара к внутренней сети организации с помощью переносимых ПК.
Естественный вариант реализации такого объединения локальных сетей, мобильных пользователей в единую корпоративную сеть, видится с привлечением каналов открытой сети INTERNET. Основными задачами, которые должны быть решены при этом, являются [36]:
Аутентификация взаимодействующих сторон.
Криптографическая защита передаваемой информации.
Подтверждение подлинности и целостности доставленной информации.
Защита от повтора, задержки и удаления сообщений.
Защита от отрицания фактов отправления и приема сообщений.
Данные проблемы позволяют эффективно решить виртуальные частные сети (Virtual Private Network), к использованию которых все больше склоняются многие крупные компании.
Виртуальной частной сетью (VPN) называют объединение локальных сетей и отдельных компьютеров через открытую внешнюю среду передачи информации в единую виртуальную сеть, обеспечивающую безопасность циркулирующих данных.
Защита информации при ее передаче по открытому каналу основана на построении криптозащищенных туннелей (туннелей VPN). Каждый из таких туннелей представляет собой виртуальное соединение, созданное в открытой сети, по которому передаются криптографически защищенные сообщения виртуальной сети. Пример возможной организации виртуальной частной сети представлен на рис. 11.4
Рис. 10.4. Пример организации виртуальной частной сети
Известно несколько наиболее часто используемых способов образования защищенных виртуальных каналов [36].
Конечные точки защищенного туннеля совпадают с конечными точками защищаемого потока сообщений. Данный вариант является наилучшим с точки зрения безопасности. В этом случае обеспечивается полная защищенность канала вдоль всего пути следования пакетов сообщений. Однако, такой вариант ведет к децентрализации управления и избыточности ресурсных затрат.
Конечные точки защищенного туннеля совпадают с МЭ или пограничным маршрутизатором локальной сети. В данном случае поток сообщений внутри локальной сети оказывается незащищенным, а все сообщения, выходящие из локальной сети, передаются по криптозащищенному туннелю.
Конечные точки – провайдеры INTERNET. В этом случае не защищаются каналы локальной сети и выделенные каналы связи, защищаются только каналы INTERNET.
Протоколы поддержки виртуальных частных сетей создаются на одном из трех уровней модели OSI – канальном, сетевом или сеансовом.
Канальному уровню соответствуют такие протоколы реализации VPN, как PPTP, L2F, L2TP. Сетевому уровню соответствуют протоколы IPSec, SKIP. Сеансовому уровню – SSL, SOCKS. Чем ниже уровень эталонной модели OSI, на котором реализуется защита, тем она прозрачнее для приложений и незаметнее для пользователей. Однако при снижении этого уровня уменьшается набор реализуемых услуг безопасности и становится труднее организация управления. Оптимальное соотношение между прозрачностью и качеством защиты достигается при формировании защищенных виртуальных каналов на сетевом уровне модели OSI.
Протокол SKIP
Протокол SKIP (Simple Key management for Internet Protocol) управляет ключами шифрования и обеспечивает прозрачную для приложения криптозащиту IP-пакетов на сетевом уровне модели OSI.
SKIP предусматривает самостоятельное формирование противоположными сторонами общего секретного ключа на основе ранее распределенных или переданных друг другу открытых ключей сторон. Выработка общего секретного ключа KAB осуществляется в рамках протокола Диффи-Хеллмана.
Общий секретный ключ KAB не используется непосредственно для шифрования трафика между узлами A и B. Вместо этого, для шифрования конкретного пакета или их небольшой группы передающая сторона вырабатывает случайный временный пакетный ключ Kp. Далее выполняются следующие действия:
Исходный IP пакет шифруется на пакетном ключе Kp и инкапсулируется в защищенный SKIP пакет.
Пакетный ключ Kp шифруется на общем секретном ключе KAB и помещается в SKIP заголовок.
Полученный SKIP-пакет инкапсулируется в результирующий IP-пакет.
Для результирующего IP-пакета с помощью некой криптографической функции хэширования рассчитывается на пакетном ключе Kp имитовставка (для контроля целостности сообщения) и вставляется в зарезервированное поле SKIP-заголовка.
Применение для криптозащиты трафика не общего секретного ключа KAB, а случайного пакетного ключа Kp, повышает безопасность защищенного туннеля. Это связано с тем, что долговременный секретный ключ KAB не сможет быть скомпрометирован на основании анализа трафика, так как вероятный противник не будет иметь достаточного материала для проведения быстрого криптоанализа с целью раскрытия этого ключа. Защищенность обмена повышает также частая смена ключей шифрования, так как если пакетный ключ и будет скомпрометирован, то ущерб затронет лишь небольшую группу пакетов, зашифрованных по этому временному ключу.
Организация виртуальных частных сетей, основанных на протоколе SKIP, реализована в семействе продуктов VPN «ЗАСТАВА» компании ЭЛВИС+. Кроме этого, широко используемыми продуктами построения VPN являются «ТРОПА» компании Застава-JET, F-Secure VPN+ компании F-Secure Corporation, Check Point VPN-1/Firewall-1 и др.