Компьютерные сети / Лекции по КС / ЛК_14

6

ЛЕКЦИЯ 14

Тема 5. Администрирование сети.

Защита информации: защита через пароль и защита через права доступа. Дополнительные средства защиты. Предупреждение потери данных. Алгоритмы шифрования. Технологии аутентификации.

В настоящее время существует постоянная опасность злоумышленных несанкционированных действий над циркулирующей в сетях информацией, следствием чего стали все возрастающие расходы и усилия на ее защиту. В рамках комплексного рассмотрения вопросов обеспечения безопасности информации различают: угрозы безопасности, службы безопасности и механизмы безопасности.

Угрозы безопасности принято делить на случайные, или непреднамеренные (их источники – выход из строя аппаратных средств, ошибки в программном обеспечении, неправильные действия пользователя и. т.д.), и умышленные.

К основным умышленным угрозам безопасности относятся:

• Раскрытие конфиденциальной информации (главным образом путем несанкционированного доступа к базам данным или прослушивания каналов связи);

• Компрометация информации (реализуется, как правило, посредством внесения несанкционированных изменений в базы данных, внесения и использования компьютерных вирусов);

• Несанкционированное использование ресурсов сети (является средством раскрытия или компрометации информации, но имеет и самостоятельное значение);

• Несанкционированный обмен информацией между пользователями (может привести к получению одним из них непредназначенных ему сведений);

• Отказ от информации, т.е. непризнание получателем (отправителем) этой информации факта ее получения (отправления), что может привести к различным злоупотреблениям;

• Отказ в обслуживании, который может сопровождаться тяжелыми последствиями для пользователя, обратившегося с запросом на предоставление сетевых ресурсов.

Нейтрализация перечисленных и других угроз безопасности осуществляется службами безопасности сети и механизмами реализации функций этих служб. Документами международной организации стандартизации определены следующие службы безопасности:

• Аутентификация (подтверждение подлинности);

• Обеспечение целостности передаваемых данных;

• Засекречивание данных;

• Контроль доступа;

• Защита от отказов.

Первые три службы характеризуются различиями для виртуальных и дейтаграммных сетей, а последние две службы инвариантны по отношению к этим сетям.

Виртуальной сетью называется группа узлов сети, трафик которой, в том числе и широковещательный, на канальном уровне полностью изолирован от других узлов. Это означает, что передача кадров между разными виртуальными сетями на основании адреса канального уровня невозможна, независимо от типа адреса – уникального, группового или широковещательного. В то же время внутри виртуальной сети кадры передаются по технологии коммутации, т.е. только на тот порт, который связан с адресом назначения кадра.

В виртуальных сетях используются протоколы информационного обмена типа виртуального соединения. Передача информации между абонентами организуется по виртуальному каналу и происходит в три этапа: создание (установление) канала, собственно передача и уничтожение (разъединение) канала. При этом сообщения разбиваются на одинаковые части (пакеты). Пакеты передаются по виртуальному каналу в порядке их следования в сообщении.

В дейтаграммных сетях реализуются дейтаграммные протоколы информационного обмена. Пакеты, принадлежащие одному и тому же сообщению, передаются от отправителя к получателю в составе дейтаграмм независимо друг от друга и, как правило, по различным маршрутам, т.е. в сети являются самостоятельными единицами информации. На приемном пункте из пакетов, поступивших по разным маршрутам и в разное время, составляется первоначальное сообщение.

Службы и механизмы безопасности используются на определенных уровнях эталонной модели ВОС. В таблице 1 представлено распределение служб безопасности по уровням эталонной модели ВОС, а в таблице 2 – механизмы реализации служб безопасности.

Таблица 1.

Распределение служб безопасности по уровням эталонной модели ВОС.

№ п/п	Наименование служб безопасности	Уровни модели ВОС
		1	2	3	4	5	6	7
	Службы безопасности виртуальных сетей
1	Аутентификация одноуровневого объекта			+	+			+
2	Целостность соединения с восстановлением				+			+
3	Целостность соединения без восстановления			+	+			+
4	Целостность выборочных полей соединения							+
5	Засекречивание соединений	+	+	+	+			+
6	Засекречивание выборочных полей соединений							+
	Службы безопасности дейтаграммных сетей
7	Аутентификация источника данных			+	+			+
8	Целостность без соединения			+	+			+
9	Целостность выборочных полей без соединений							+
10	Засекречивание без соединения		+	+	+			+
11	Засекречивание выборочных полей без соединения							+
	Общие службы безопасности
12	Засекречивание потока данных	+		+				+
13	Контроль доступа			+	+			+
14	Защита от отказов с подтверждением источника							+
15	Защита доступа с подтверждением доставки							+

Служба аутентификации, в виртуальных сетях называемая службой аутентификации одноуровневого объекта, обеспечивает подтверждение (опровержение) того, что объект, предлагающий себя в качестве отправителя сообщения по виртуальному каналу, является именно таковым как на этапе установления связи между абонентами, так и на этапе передачи сообщения. В дейтаграммных сетях эта служба называется службой аутентификации источника данных, передаваемых в виде дейтаграмм.

Службы целостности обеспечивают выявление искажений в передаваемых данных, вставок, повторов и уничтожении данных. Они разделяются по виду сетей, в которых применяются (службы безопасности в виртуальных и дейтаграммных сетях), по действиям, выполняемым при обнаружении аномальных ситуаций (с восстановлением данных или без восстановления), по степени охвата передаваемых данных (сообщение или дейтаграмма в целом либо их части, называемые выборочными полями).

Службы засекречивания обеспечивают секретность передаваемых данных: в виртуальных сетях – всего пересылаемого сообщения или только его выборочных полей, в дейтаграммных – каждой дейтаграммы или только отдельных ее элементов.

Служба засекречивания потока данных (трафика), являющаяся общей для виртуальных и дейтаграммных сетей (как и службы 13-я, 14-я, 15-я), предотвращает возможность получения сведений об абонентах сети и характере использования сети.

Служба контроля доступа обеспечивает нейтрализацию попыток несанкционированного использования общесетевых ресурсов.

Службы защиты от отказов нейтрализуют угрозы отказа от информации со стороны ее отправителя и/или получателя.

Таблица 2.

Механизмы реализации служб безопасности (СБ).

№ п/п

Наименование механизма

СБ виртуальных сетей

СБ дейтаграммных сетей

Общие службы безопасности

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

1

Шифрование

+

+

+

+

+

+

+

+

+

+

+

+

2

Цифровая подпись

+

+

+

+

+

+

3

Контроль доступа

+

4

Обеспечение целостности данных

+

+

+

+

+

+

+

5

Обеспечение аутентификации

+

6

Подстановка трафика

+

7

Управление маршрутизацией

+

+

+

8

Арбитраж

+

Механизмы реализации указанных служб безопасности представлены соответствующими, преимущественно программными, средствами. Некоторые из механизмов, перечисленных в таблице 2, используются для реализации не одной, а ряда служб безопасности. Это относится к шифрованию, цифровой подписи, обеспечению целостности данных, управлению маршрутизацией.

В таблице 2 перечислены все восемь механизмов реализации функций служб безопасности и для каждого механизма указано, функции каких именно служб безопасности реализуются (для этого используется знак «+»). Номера служб безопасности приняты те же, что и в таблице 1.

Для использования механизмов шифрования необходима специальная служба генерации ключей и их распределения между абонентами сети.

Механизмы цифровой подписи основываются на алгоритмах асимметричного шифрования. Они включают процедуры формирования подписи отправителем и ее опознавание (верификацию) получателем.

Механизмы контроля доступа, реализующие функции одноименной службы безопасности, отличаются многообразием. Они осуществляют проверку полномочий объектов сети (пользователей и программ) на доступ к ее ресурсам.

Механизмы обеспечения целостности данных, реализуя функции одноименных служб, выполняют взаимосвязанные процедуры шифрования и дешифрования данных отправителем и получателем.

Механизмы обеспечения аутентификации, на практике обычно совмещаемые с шифрованием, цифровой подписью и арбитражем, реализуют одностороннюю или взаимную аутентификацию, когда проверка подписи осуществляется либо одним из взаимодействующих одноуровневых объектов, либо она является взаимной.

Механизмы подстановки трафика, используемые для реализации службы засекречивания потока данных, основываются на генерации объектами сети фиктивных блоков, их шифрования и передаче по каналам связи. Этим затрудняется и даже нейтрализуется возможность получения информации об абонентах сети и характере потоков информации в ней.

Механизмы управления маршрутизацией, используемые для реализации служб засекречивания, обеспечивают выбор безопасных, физически надежных маршрутов для передачи секретных сведений.

Механизмы арбитража обеспечивают подтверждение третьей стороной (арбитром) характеристик данных, передаваемых между абонентами. Для этого вся информация, циркулирующая в сети, проходит и через арбитра, что позволяет ему подтверждать или не подтверждать упомянутые характеристики передаваемых данных.

Защита информации.

Наибольшую угрозу для безопасности сети представляют:

1. Несанкционированный доступ;

2. Электронное подслеживание;

3. Кража;

4. Преднамеренное и неумышленное повреждение.

Для защиты сети следует выполнять следующие правила:

1. Осуществить упреждающую защиту от несанкционированного доступа;

2. Проводить аутентификацию сообщений и пользователей;

3. Проводить обучение пользователей;

4. Осуществит физическую защиту оборудования.

Методы защиты.

Из всех перечисленных, существуют два основных метода защиты. Это:

• Защита через пароль;

• Защита через права доступа.

Защита через пароль позволяет присвоить каждому ресурсу пароль. Пользователь, знающий пароль ресурса, получает доступ к нему. При защите через права доступа каждому пользователю присваиваются определенные права:

• На чтение и копирование файлов;

• На запуск и выполнение программ;

• На запуск новых файлов;

• На удаление файлов;

• На запрещение доступа к файлам.

Дополнительные средства защиты.

Кроме основных методов, используют и дополнительные средства защиты. К ним относятся:

1. Аудит, т.е. запись событий в журнал безопасности сети;

2. Использование бездисковых компьютеров;

3. Шифрование данных;

4. Защита от вирусов.

Предупреждение потери данных.

Существуют несколько способов предупреждения потери данных:

• Резервное копирование на магнитную ленту;

• Использование источника бесперебойного питания;

• Использование отказоустойчивых систем.

Как уже говорилось ранее, технология защищенного канала включает решение задач аутентификации пакетов и пользователей, шифрование данных, гарантирование их целостности.

Шифрование может осуществляться с помощью различных симметричных и асимметричных алгоритмов. Для работы алгоритмов шифрования узлы, выполняющие эту операцию, необходимо снабдить секретными ключами, и эта важная информация поддерживается различными специальными средствами, среди которых есть стандартные протоколы обмена ключами.

Для проверки аутентичности пользователей и пакетов применяются различные способы аутентификации, основанные на многоразовых и одноразовых паролях, различных алгоритмах электронной подписи и цифровых сертификатах.

Криптография – это наука о предоставлении информации в виде понятном лишь посвященным. Для этого применяется криптографический алгоритм или шифр. Исходная информация называется открытым текстом, преобразованная информация называется шифротекстом.

Аутентификация – это проверка абонентом подлинности пользователя или процесса, с которым он обменивается информацией. К методам аутентификации относятся различные схемы паролей и признаков, а также шифрование.

Алгоритмы шифрования.

Современные методы шифрования делятся на два типа: симметричное (классическое) шифрование и асимметричное шифрование.

Симметричная система шифрования выполняет два преобразования: шифрование и дешифрование. Даже при известных алгоритмах шифрования и дешифрования система сохраняет свойство секретности благодаря секретному ключу. В симметричных системах шифрования используется одинаковый секретный ключ для шифрования и дешифрования. В такой системе специальный центр изготавливает и рассылает ключи пользователям. Центр выступает как гарант подлинности передаваемых сообщений.

К методам симметричного шифрования относятся:

• Перестановки – когда входной поток делится на блоки, в каждом из которых выполняется перестановка символов. Перестановки обычно получаются в результате записи исходного текста и чтения шифрованного текста по разным путям геометрической фигуры. Эти пути называются маршрутами Гамильтона;

• Замены (подстановки) – когда символы исходного текста, записанные в одном алфавите, заменяются символами другого алфавита в соответствии с принятым ключом преобразования;

• Аддитивные методы – когда шифрование выполняется путем сложения символов исходного текста и ключа по модулю, равному числу букв в алфавите;

• Комбинированные методы.

Недостаток классической симметричной системы шифрования связан с необходимостью содержать мощную и дорогую службу изготовления секретных ключей и снабжения ими пользователей.

В асимметричной системе шифрования предусмотрено два ключа, каждый из которых невозможно вычислить из другого. Один ключ – открытый ключ – используется отправителем для шифрования информации, другим – закрытым ключом – получатель расшифровывает полученный шифротекст. Закрытый ключ известен только владельцу ключа, открытый ключ доступен всем и используется теми, кто собирается послать сообщение владельцу секретного ключа. Кроме того, асимметричные системы используют необратимые функции, т.е. трудно рассчитать значение обратной функции.

Асимметричное шифрование с открытыми ключами решило проблему изготовления и рассылки секретных ключей, предоставило абонентам открытых систем возможность передавать конфиденциальную информацию без предварительного обмена ключами. Но при этом во главу угла была поставлена проблема подлинности партнера и авторства принимаемых сообщений. Проблема подлинности решается с помощью цифровой подписи. Цифровая подпись проверяется общеизвестной процедурой на основании открытого ключа. Таким образом, идея создания цифровой подписи состоит в том, чтобы в асимметричной системе поменять роли секретного и открытого ключей: ключ подписывания сделать секретным, а ключ проверки – открытым.

Технологии аутентификации.

Перед тем, как устройства сети могут взаимодействовать, каждое из них должно проверить является ли другое устройство тем, за которое себя выдает. Кроме того, аутентификация может проводиться на уровне приложений и даже пользователей. После того как произошла успешная взаимная аутентификация абонентов, приходит очередь аутентификации передаваемых по защищенному каналу данных.

К способам аутентификации относятся:

• Сетевая аутентификация на основе многоразового пароля – это когда пользователь, осуществляя логический вход в сеть, набирает на клавиатуре компьютера свои - идентификатор и пароль. Эти алгоритмы не очень надежны, их можно подсмотреть или просто украсть;

• Аутентификация с использованием одноразового пароля. Это более надежные алгоритмы. Одноразовые пароли намного дешевле и проще в использовании биометрических систем аутентификации типа сканеров сетчатки глаза или отпечатков пальцев. Все это делает системы, основанные на одноразовых паролях, очень перспективными. Следует иметь в виду, что, как правило, системы аутентификации на основе одноразовых паролей рассчитаны на проверку только удаленных, а не локальных пользователей;

• Аутентификация – на основе сертификатов. Аутентификация с применением цифровых сертификатов является альтернативой использованию паролей. При использовании сертификатов сеть, которая дает доступ к своим ресурсам, не хранит никакой информации о своих пользователях – они ее представляют сами в запросах – сертификатах, удостоверяющих личность. Здесь, задача хранения секретной информации возлагается на самих пользователей;

• Аутентификация информации. Под аутентификации информации понимают установление подлинности данных, полученных по сети, исключительно на основе информации, содержащейся в полученном сообщении. Конечная цель аутентификации информации – обеспечение защиты участников информационного обмена от навязывания ложной информации.