Файловый архив студентов. Файловый архив студентов.
1261 вуз, 4606 предмет.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Национальный университет Львовская политехника
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
Технологія захист інформації в локальних мережах / Технолог_зах_iнформ_КМ.doc
Скачиваний:
672
Добавлен:
12.02.2016
Размер:
12.17 Mб
Скачать
►Содержание►

Способы предотвращения удаленных атак на информационные системы

Удаленные атаки были бы не осуществимы, если бы на каждое сетевое соединение была выделена отдельная линия связи, но инфраструктура сетей общего пользования не предусматривает соединения по принципу выделенного канала для каждого сетевого объекта. Альтернативой выделенному каналу связи стало использование защищенных виртуальных соединений по технологиям VPN (Virtual Private Network – виртуальные частные сети). Данному механизму посвящен отдельный раздел "Виртуальные частные сети (VPN)".

Задача идентификации и аутентификации пользователей в распределенной сети имеет чрезвычайно важное значение. От успеха ее решения зависит безопасность информационной системы в целом. Как выше было рассмотрено, стандартными способами компрометации пользователей злоумышленником являются:

  • выдача себя за легального пользователя с присвоением его прав и полномочий для доступа в систему (например, типовая удалённая атака "MITM");

  • внедрение в систему ложного объекта, выдающего себя за доверенный объект системы (например, типовая удалённая атака "Ложный объект сети").

Исходя из того, что стандартные методы идентификации и аутентификации (имя/ пароль) в информационных системах не достаточны для защиты от удалённых атак на неё, необходимо введение дополнительных средств идентификации объектов в информационной сети и криптозащиты передаваемой в ней информации.

При создании виртуального канала могут использоваться криптоалгоритмы с открытым ключом (например, SSL – Secret Socket Layer). Как упоминалось ранее, основная идея заключается в способе шифрования с двумя ключами, при котором ключ шифрования и ключ для дешифровки отличаются друг от друга, причем последний нельзя определить по первому. Суть криптографии с открытым ключом (или двухключевой криптографии) заключается в том, что ключи, имеющиеся в криптосистеме, входят в нее парами и каждая пара удовлетворяет следующим двум свойствам:

  • информация, зашифрованная на одном ключе, может быть дешифрована на другом;

  • знание одного ключа не позволяет вычислить другой.

Поэтому один из ключей может быть опубликован. При опубликованном (открытом) ключе шифрования и секретном ключе дешифрования получается система шифрования с открытым ключом. Каждый пользователь сети связи может зашифровать сообщение при помощи открытого ключа, а расшифровать его сможет только владелец секретного ключа. При опубликовании ключа дешифрования получается система цифровой подписи. Здесь только владелец секретного ключа создания подписи может правильно зашифровать текст (т.е. подписать его), а проверить подпись (дешифровать текст) может любой на основании опубликованного ключа проверки подписи.

В 1976 г. У. Диффи и М. Хеллман предложили следующий метод открытого распределения ключей. Пусть два объекта A и B условились о выборе в качестве общей начальной информации большого простого числа P и большого простого числа a. Тогда эти пользователи действуют в соответствии с алгоритмом:

  • A вырабатывает случайное число x, вычисляет число ax (mod P) и посылает его B;

  • B вырабатывает случайное число y, вычисляет число ay (mod P) и посылает его A;

  • затем A и B возводят полученное число в степень со своим показателем и получают число axy (mod P).

Рис. 2.10. Алгоритм В.Диффи и М.Хеллмана открытого распределения ключей

Следует отметить, что объекты А и В обменялись не своими секретными кодами, а только результатами mod-функций, что делает достаточно трудным провести обратную операцию для получения секретного ключа.

Это число и является сеансовым ключом для одноключевого алгоритма, например, DES. Для раскрытия этого ключа криптоаналитику необходимо по известным ax (mod P), ay (mod P) найти axy (mod P), т.е. найти x или y. Нахождение числа x по его экспоненте ax (mod P) называется задачей дискретного логарифмирования в простом поле. Эта задача является труднорешаемой, и поэтому полученный ключ, в принципе, может быть стойким.

Особенность данного криптоалгоритма состоит в том, что перехват по каналу связи пересылаемых в процессе создания виртуального канала сообщений ax (mod P) и ay (mod P) не позволит атакующему получить конечный ключ шифрования axy (mod P). Этот ключ далее должен использоваться, во-первых, для цифровой подписи сообщений и, во-вторых, для их криптозащиты. Цифровая подпись сообщений позволяет надежно идентифицировать объект распределенной сети, который запрашивает доступ к ресурсам информационной системы по виртуальному каналу.

Защита от атаки "анализ сетевого трафика"

Анализ сетевого трафика относится к постоянно ожидаемой угрозе, которую невозможно устранить, но можно сделать бессмысленной для атакующего, если применять стойкие криптоалгоритмы в передаваемом потоке данных.

Для предоставления удаленного авторизованного доступа к ресурсам информационных систем не рекомендуется использовать протоколы удаленного доступа TELNET, HTTP и FTP, так как они не предусматривают элементарную криптозащиту передаваемых по сети идентификаторов (имен) и аутентификаторов (паролей). Использование защищенных протоколов обмена (таких как SSL, TLS, SSH, HTTPS) обеспечит защищенный удаленный доступ к ресурсам своих систем.

Для передачи конфиденциальной информации рекомендуется применять виртуальные каналы связи (VPN), подключения в которых обеспечиваются с использованием средств криптографии.

Защита от DoS-атак

Сегодня ряд компаний предлагает как программные средства защиты от DoS-атак, так и программно-аппаратные. Однако стопроцентной защиты от отказа в обслуживании для стандарта IPv4 в распределенной сети не существует. Это связано с тем, что в IPv4 невозможен контроль за маршрутом сообщений. Поэтому нельзя обеспечить надежный контроль за сетевыми соединениями, так как одним пользователем может быть занято неограниченное число каналов связи с удаленным объектом, и при этом сохраняется анонимность пользователя.

Тем не менее, выполняя определенные правила, можно значительно ослабить DoS-атаку и снизить ее воздействие на атакуемую систему. Ниже приведены рекомендации, применение которых позволит в определенной степени защититься от DoS-атак.

  1. Для повышения надежности работы системы использовать как можно более мощные компьютеры. Чем больше число и частота работы процессоров, чем больше объем оперативной памяти, тем более надежной будет работа сетевой ОС, когда на нее обрушится направленный шторм ложных запросов на создание соединения. Кроме того, необходимо использование соответствующих вычислительным мощностям операционных систем с внутренней очередью, способной вместить большое число запросов на подключение.

  2. Применение функций анти-DoS и анти-spoofing на межсетевых экранах и маршрутизаторах защищает систему от перегрузки за счет ограничения полуоткрытых каналов.

  3. Регулярное обновление операционной системы и программного обеспечения.

  4. Использование кластера серверов позволяет увеличить надежность и производительность работы в несколько раз по сравнению с обычным сервером.

  5. При обнаружении атаки маскирование IP-адреса сервера.

Соседние файлы в папке Технологія захист інформації в локальних мережах
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности