- •Системы аутентификации и идентификации, построенные по технологии единого входа: реализации, преимущества и недостатки.
- •Межсетевые экраны: назначение, виды, принцип работы, обработка правил.
- •Шифрование с открытыми ключами.
- •Виды вредоносного по, требующие внедрения на компьютере-жертве.
- •Виды вредоносного по, не требующие внедрения на компьютере-жертве.
- •Источники угроз информационной безопасности рф.
- •Первоочередные мероприятия по реализации государственной политики обеспечения информационной безопасности.
- •Оранжевая книга: произвольное управление доступом, требования к аутентификации и идентификации.
- •Атаки с использованием методов социальной инженерии и защита от них.
- •Виртуальные частные сети как средство обеспечения информационной безопасности.
-
Межсетевые экраны: назначение, виды, принцип работы, обработка правил.
Межсетевой экран располагается между защищаемой (внутренней) сетью и внешней средой (внешними сетями или другими сегментами корпоративной сети).
Межсетевой экран - идеальное место для встраивания средств активного аудита.
На межсетевой экран целесообразно возложить идентификацию/аутентификацию внешних пользователей, нуждающихся в доступе к корпоративным ресурсам (с поддержкой концепции единого входа в сеть).
Теоретически межсетевой экран (особенно внутренний) должен быть многопротокольным (доминирует TCP/IP), но поддержка других протоколов представляется излишеством, вредным для безопасности.
Классификация межсетевых экранов:
При рассмотрении любого вопроса, касающегося сетевых технологий, основой служит семиуровневая эталонная модель ISO/OSI. Межсетевые экраны также целесообразно классифицировать по уровню фильтрации:
-
Концентраторы (мостах, коммутаторах) (уровень 2- канальный)- Экранирующие концентраторы служат для оптимизации работы локальной сети за счет организации виртуальных локальных сетей, которые можно считать важным результатом применения внутреннего межсетевого экранирования.
-
маршрутизаторах (уровень 3-сетевой)- имеют дело с отдельными пакетами данных. Решения принимаются для каждого пакета независимо, на основании анализа адресов и других полей заголовков сетевого уровня. Еще один важный компонент анализируемой информации - порт, через который поступил пакет.
-
транспортное экранирование (уровень 4-транспортный)- Транспортное экранирование позволяет контролировать процесс установления виртуальных соединений и передачу информации по ним.
-
прикладное экранирование (уровень 7-прикладной)- Как правило, подобный МЭ представляет собой универсальный компьютер, на котором функционируют экранирующие агенты, интерпретирующие протоколы прикладного уровня (HTTP, FTP, SMTP, telnet и т.д.) в той степени, которая необходима для обеспечения безопасности помимо фильтрации, реализуется еще один важнейший аспект экранирования. Субъекты из внешней сети видят только шлюзовой компьютер; соответственно, им доступна только та информация о внутренней сети, которую он считает нужным экспортировать. Недостаток прикладных МЭ - отсутствие полной прозрачности, требующее специальных действий для поддержки каждого прикладного протокола.
Дополнительные возможности межсетевых экранов:
-
контроль информационного наполнения (антивирусный контроль "на лету", верификация Java-апплетов, выявление ключевых слов в электронных сообщениях и т.п.);
-
выполнение функций ПО промежуточного слоя.
-
Шифрование с закрытыми ключами.
В прошлом, организации, желающие работать в безопасной вычислительной среде, использовали симметричные криптографические алгоритмы, также известные под именем шифрования с закрытым ключом, в которых один и тот же закрытый ключ использовался и для шифрования и для расшифровки сообщений.
В этом случае отправитель шифровал сообщение, используя закрытый ключ, затем посылал зашифрованное сообщение вместе с закрытым ключом получателю. Такая система имела недостатки. Во-первых, секретность и целостность сообщения могли быть скомпрометированы, если ключ перехватывался, поскольку он передавался от отправителя к получателю вместе с сообщением по незащищенным каналам. Кроме того, так как оба участника транзакции используют один и тот же ключ для шифрования и дешифрования сообщения, вы не можете определить, какая из сторон создала сообщение. В заключение нужно сказать, что для каждого получателя сообщений требуется отдельный ключ, а это значит, что организации должны иметь огромное число закрытых ключей, чтобы поддерживать обмен данными со всеми своими корреспондентами.
При этом должны выполняться определенные требования:
-
Знание использованного алгоритма не должно снижать надежность шифрования.
-
Длина зашифрованного текста должна быть равна длине исходного открытого текста (это требование относится к числу желательных и выполняется не всегда).
-
Зашифрованный текст не может быть прочтен без знания ключа.
-
Каждый ключ из многообразия ключей должен обеспечивать достаточную надежность.
-
Изменение длины ключа не должно приводить к изменению алгоритма шифрования.
-
Если известен зашифрованный и открытый текст сообщения, то число операций, необходимых для определения ключа, не должно быть меньше полного числа возможных ключей.
-
Дешифрование путем перебора всех возможных ключей должно выходить далеко за пределы возможностей современных ЭВМ.
-
Если при шифровании в текст вводятся дополнительные биты, то алгоритм их внесения должен быть надежно скрыт.
-
Не должно быть легко устанавливаемой зависимости между последовательно используемыми ключами.
-
Алгоритм может быть реализован аппаратно.