- •Содержание
- •Раздел 1. Коммерческие информационные системы
- •Раздел 2 защита коммерческих информационных систем
- •Раздел 3. Введение в криптографию. Симметричные криптосистемы
- •Введение
- •Раздел 2 защита коммерческих информационных систем
- •Раздел 3. Введение в криптографию. Симметричные криптосистемы
- •1. Пояснительная записка
- •2 Содержание учебного материала
- •Введение.
- •Раздел 1. Коммерческие информационные сиcтемы
- •Раздел 2. Защита коммерческих информационных систем
- •Предмет и объект защиты. Определение кис
- •.2. Методы обеспечения информационной безопасности кис
- •1.3. Политика информационной безопасности кис
- •Глава 31 «Преступления против информационной безопасности:
- •Раздел 2 защита коммерческих информационных систем
- •2.1. Сети электронной коммерции
- •2.2. Атаки на сети электронной коммерции
- •2.2.1.Снифферы пакетов .
- •2.2.3. Отказ в обслуживании.
- •2.2.4. Парольные атаки
- •2.2.5. Атаки типа «Man-in-the-Middle»
- •2.2.6. Атаки на уровне приложений
- •2.2.7. Сетевая разведка
- •2.2.8. Злоупотребление доверием
- •2.2.9. Переадресация портов
- •2.2.10. Несанкционированный доступ
- •2.2.11. Борьба с вирусами
- •2.3. Протоколы безопасности
- •2.3.1. Протокол ppp chap
- •2.3.2. Протокол ssl
- •2.3.3. Протокол ssh
- •2.3.4. Протокол https
- •2.3.5. Протокол iPsec
- •2.4. Программно-аппаратные средства обеспечения безопасности
- •Раздел 3. Введение в криптографию. Симметричные криптосистемы
- •3.1. Введение в криптографию
- •3.1.1. История криптографии.
- •3.1.2.Современный период развития криптографии
- •3.1.3. Правило Киркхгофа. Понятие криптоанализа.
- •3.1.4. Современные стандарты криптосистем
- •3.2. Симметричные алгоритмы
- •Принцип симметричного шифрования с секретным ключом
- •Шифры перестановок
- •3.2.3. Шифры замены
- •Шифры сложной замены
- •Поточное шифрование
- •3.3.1. Каналы перехвата информации
- •3.3.4. Скремблеры.
- •Раздел 4. Сети фейстеля
- •Блочные шрифты
- •4.2.Сеть фейстеля. Функция f
- •4.3 Сети фейстеля с 4-мя ветвями
- •Шифр rc6
- •Раздел 5 симметричный алгоритм шифрования des
- •5.1. Начальная перестановка
- •5.2 16 Циклов шифрования в сети фейстеля
- •5.3 Режимы применения des.
- •5.4.Достоинства и недостатки des
- •Криптостойкость алгоритма des
- •Раздел 6 стандарт симметричного шифрования гост 28147-89
- •6.1 Общие характеристики
- •6.2 Режим простой замены
- •6.3 Гаммирование
- •6.4 Гаммирование с обратной связью
- •6.5.Режим выработки имитовставки
- •6.6 Достоинства гост
- •Раздел 7 асимметричные криптосистемы
- •7.1 Базовые определения
- •8.2. Алгоритм rsa
- •Технологии цифровых подписей
- •Национальный алгоритм выработки и проверки эцп
- •3.Лабораторный практикум
- •3.2Лабораторная работа шифр цезаря.
- •Класс Alphabet
- •Класс Ceasar
- •Тестовый запуск
- •Введение
- •Раздел 1. Коммерческие информационные системы (кис).
- •Раздел 2. Защита коммерческих информационных систем
- •Раздел 3. Введение в криптографию. Симметричные криптосистемы
- •1. Пояснительная записка
- •2 Содержание учебного материала Введение.
- •Раздел 1. Коммерческие информационные сиcтемы
- •Раздел 2
- •Раздел 3
- •Раздел 4
- •Раздел 5
- •Раздел 6
- •Раздел 7
2.2.9. Переадресация портов
Переадресация портов представляет собой разновидность злоупотребле-ния доверием, когда взломанный хост используется для передачи через межсе-тевой экран трафика, который в противном случае был бы обязательно отбра-кован. Представим себе межсетевой экран с тремя интерфейсами, к каждому из которых подключен определенный хост. Внешний хост может подключаться к хосту общего доступа (DMZ), но не к хосту, установленному с внутренней сто-роны межсетевого экрана. Хост общего доступа может подключаться и к внут-реннему и к внешнему хосту. Если хакер захватит хост общего доступа, он сможет установить на нем программное средство, перенаправляющее трафик с внешнего хоста прямо на внутренний хост. Хотя при этом не нарушается ни одно правило, действующее на экране, внешний хост в результате переадреса-ции получает прямой доступ к защищенному хосту.
Основным способом борьбы с переадресацией портов является использо-вание надежных моделей доверия (см. предыдущий раздел). Кроме того, поме-шать хакеру установить на хосте свои программные средства может хост-система IDS (HIDS).
2.2.10. Несанкционированный доступ
Несанкционированный доступ не может считаться отдельным типом ата-ки. Большинство сетевых атак проводятся ради получения несанкциониро-ванного доступа.
Чтобы подобрать логин Тelnet, хакер должен сначала получить подсказку Тelnet на своей системе. После подключения к порту Тelnet на экране появляет-ся сообщение «authorization required to use this resource» (для пользования этим ресурсом нужна авторизация
2.2.11. Борьба с вирусами
Борьба с вирусами и «троянскими конями» ведется с помощью специального антивирусного программного обеспечения, работающего на пользова-тельском уровне и, возможно, на уровне сети. Антивирусные средства обнару-живают большинство вирусов и «троянских коней» и пресекают их распро-странение. Получение самой свежей информации о вирусах поможет эффек-тивнее бороться с ними. По мере появления новых вирусов и «троянских ко-ней» предприятие должно устанавливать новые версии антивирусных средств и приложений.
2.3. Протоколы безопасности
Помимо специальных программ, направленных на устранение угроз коммерческим информационным системам (будут рассмотрены ниже), разработан комплекс протоколов, ориентированных на использование в рамках семиуровневой модели взаимодействия IP - систем, обеспечивающих функции защиты электронных коммуникаций.
В спецификациях Интернет-протокола (IP) отсутствовали требования безопасности. Именно поэтому многие реализации IP являются изначально уязвимыми. Поэтому они стали дополняться разнообразными сетевыми процедурами, услугами и продуктами, снижающими риски, присущие этому протоколу.
Протокол PPP CHAP;
Протокол SSL;
Протокол SSH;
Протокол HTTPS;
Протокол IPsec
2.3.1. Протокол ppp chap
Протокол PPP CHAP направлен на решение задач аутентификации и используется для периодической аутентификации пользователя путем согласования по трем параметрам. Аутентификация происходит в момент установления связи, но может повторяться и после ее установления. Маршрутизатор сети в проводит аутентификацию сервера сетевого доступа (NAS) или «аутентификатора» CHAP требуя от операторов обмена «текстовым секретом». Этот секрет никогда не передается по каналу связи. По завершении этапа установления связи аутентификатор передает вызывающей машине запрос, который состоит из аутентификатора (ID), случайного числа и имени центрального компьютера (для местного устройства) или имени пользователя (для удаленного устройства).
Вызывающая машина проводит вычисления с помощью односторонней хэш-функции. Аутентификатор, случайное число и общий «текстовый секрет» один за другим подаются на вход хэш-функции. После этого вызывающая машина отправляет серверу ответ, который состоит из хэша и имени центрального компьютера или имени пользователя удаленного устройства. По получении ответа аутентификатор проверяет проставленное в ответе имя и выполняет те же вычисления. Затем результат этих вычислений сравнивается с величиной, проставленной в ответе. Если эти величины совпадают, результат аутентификации считается положительным, система выдает соответствующее уведомление и устанавливается связь.
Секретные пароли на местном и удаленном устройстве должны быть идентичны. Поскольку «текстовый секрет» никогда не передается по каналам связи, никто не может подслушать его с помощью каких-либо устройств и ис-пользовать для нелегального входа в систему. Пока сервер не получит адекват-ный ответ, удаленное устройство не сможет подключиться к местному устрой-ству.
CHAP обеспечивает защиту от использования чужих паролей за счет по-шаговых изменений аутентификатора и применения переменной величины за-проса. Повторяющиеся запросы предназначены для ограничения времени, в те-чение которого система теоретически остается подверженной любой отдельной хакерской атаке. Частоту и количество неудачных попыток входа в систему контролирует аутентификатор.
Обычно в качестве односторонней хэш-функции CHAP используется криптографической защитой MD5, а общий секрет хранится в текстовой форме. У компании Microsoft есть свой вариант протокола CHAP (MS-CHAP), где пароль (на вызывающей машине и на аутентификаторе) хранится в зашифрованном виде. Это дает протоколу MS-CHAP некоторое преимущество: в отличие от стандартного протокола CHAP, он может пользоваться широкодоступными базами данных постоянно зашифрованных паролей.