Диплом: Обеспечение информационной безопасности в сетях IP
Диплом: Обеспечение информационной безопасности в сетях IP
Грузинский Технический Университет
Ф А К У Л Ь Т Е Т С В Я З И
Завершающая работа (проект) образовательной программы телекоммуникаций
Обеспечение информационной безопасности в сетях IP
Работа выполнена на кафедре систем комутации и телекоммуникационных сетей с
целью получения степени бакалавра техники и телекоммуникации в направлении
Инфотелекоммуникации.
Студент: Хавтаси Нино
Руководитель: Цквитинидзе Ия
Тема закончена и
допущена для защиты
кафедра №92 д.т.н
Заведующий кафедрой
Проф. Д.Л. Беридзе ________________ (Дж. Беридзе)
“ “ июня 2004 г.
Тбилиси
2004 г.
Введение
Угрозы информационной безопасности и необходимость защиты информации
В наше время главной ценностью на планете считается информация, следовательно
её, как и всякую другую ценность, человек старается сохранить от посторонних
рук и глаз. А так как сейчас уже 21 век, и понятие информации неразрывно
связано с компьютерными технологиями, системами и сетями связи, то становится
очевидной важность вопроса защиты информации в них. Изобретение компьютера и
дальнейшее бурное развитие информационных технологий во второй половине 20
века сделали проблему защиты информации настолько актуальной и острой,
насколько актуальна сегодня информатизация для всего общества. Особенно
актуально стоит этот вопрос в области секретной информации государства и
частной коммерческой информации.
В бизнесе добросовестная конкуренция предполагает соперничество, основанное
на соблюдении законодательства и общепризнанных норм морали. Однако нередко
предприниматели, конкурируя между собой, стремятся с помощью противоправных
действий получить информацию в ущерб интересам другой стороны и использовать
ее для достижения преимущества на рынке. Криминализация общества и
недостаточная эффективность государственной системы охраны правопорядка
заставляет представителей бизнеса самим принимать меры для адекватного
противостояния имеющим место негативным процессам, наносящим ущерб
конфиденциальной информации фирмы.
Причин активизации компьютерных преступлений и связанных с ними финансовых
потерь достаточно много, существенными из них являются:
- переход от традиционной "бумажной" технологии хранения и передачи
сведений на электронную и недостаточное при этом развитие технологии
защиты информации в таких технологиях; - объединение
вычислительных систем, создание глобальных сетей и расширение доступа к
информационным ресурсам; - увеличение сложности программных
cредств.
Следовательно главная тенденция, характеризующая развитие современных
информационных технологий - рост числа компьютерных преступлений и связанных
с ними хищений конфиденциальной и иной информации, а также материальных
потерь.
Мы все чаще слышим в СМИ слова "информационная безопасность", "произведена
новая атака на компьютеры", "создан новый вирус", "ущерб от атаки составил
... " и далее приводятся все более ошеломляющие цифры.... Все эти проблемы
связаны с низким и недостаточным уровнем обеспечения безопасности в
информационных системах. Значит, необходимо обеспечивать безопасность тех
данных, которые хранятся в наших компьютерах и передаются в сетях.
Содержание
1. Краткая историческая справка появления всемирной
сети...........................ст 4.
2. IP телефония – краткое
описание....................................................ст5.
3 Удаленные атаки на распределенные вычислительные системы
.....................ст9.
3.1 Классификация удаленных атак на РВС
.......................ст9.
3.2 Характеристика и механизмы реализации типовых удаленных
атак .....ст15.
4 Причины успеха удаленных атак на РВС
..............................ст26.
5 Принципы создания защищенных систем связи в распределенных
вычислительных
системах ....................................ст33.
5.1 Выделенный канал связи между объектами распределенной ВС
............ст34.
5.2 Виртуальный канал как средство обеспечения дополнительной
идентификации/аутентификации объектов в распределенной ВС ..............ст36.
5.3 Контроль за маршрутом сообщения в распределенной ВС
................ст38.
5.4 Контроль за виртуальными соединениями в распределенной ВС
..............ст39.
5.5 Проектирование распределенной ВС с полностью определенной
информацией о ее объектах с целью исключения алгоритмов
удаленного поиска ..................................................ст41.
6 Конкретные примеры атак на TCP/IP ...............................ст43.
6.1 Пассивные атаки на уровне TCP .....................ст44.
6.1.1 Подслушивание .......................................................ст44.
6.2 Активные атаки на уровне TCP ...................................ст44.
6.2.1 Предсказание порядкового номера TCP
..........................................ст45.
6.2.2 IP Hijacking - Нападение на IP .............................ст48.
6.2.3 Пассивное сканирование ......................ст 51.
6.2.4 Затопление ICMP-пакетами .....................ст51.
6.2.5 Локальная буря ..........................ст52.
6.2.6 Затопление SYN-пакетами .......................ст53.
7 Решения на программном уровне .........................ст54.
7.1 SSL – Secure Sockets Layer - протокол защищенных сокетов .........ст54.
7.2 IPSec - протокол защиты сетевого трафика на IP-уровне ............ст58.
7.3 FireWall-1 Интернет-технологии FireWall (Межсетевые экраны .........ст67
7.4 Check Point FireWall-1 технология проверки с учетом состояния протокола
(Stateful Inspection Technology) .........................ст70.
7.5 Недостатки МСЭ ...........................ст77.
8 Решения на аппаратном уровне .........................ст81.
9 Заключение...................................ст84.
10 Список использованных источников ......................ст85.
1. Краткая историческая справка появления всемирной сети
Сеть управления перспективных исследовательских программ ARPANet (Advanced
Research Project Agency network) была создана в конце шестидесятых годов
американским агентством перспективных исследований в обороне DARPA.
Первоначально сеть была экспериментальной и целью ее создания была
организация системы, состоящей из нескольких узлов, при повреждении одного из
которых сеть продолжала бы функционировать. В семидесятых годах ARPANet стала
считаться действующей сетью США, и через эту сеть можно было получить доступ
к ведущим университетским и научным центрам США. В начале восьмидесятых годов
началась стандартизация языков программирования, а затем и протоколов
взаимодействия сетей. Результатом этой работы стала разработка семиуровневой
модели сетевого взаимодействия ISO/OSI и семейства протоколов TCP/IP, которое
стало основой для построения как локальных, так и глобальных сетей.
Базовые механизмы информационного обмена в сетях TCP/IP были в целом
сформированы в начале восьмидесятых годов, и были направлены прежде всего на
обеспечение доставки пакетов данных между различными операционными системами
с использованием разнородных каналов связи. Несмотря на то, что идея создания
сети ARPANet (впоследствии превратившейся в современный Интернет)
принадлежала правительственной оборонной организации, фактически сеть
зародилась в исследовательском мире, и наследовала традиции открытости
академического сообщества. Ещё до коммерциализации Интернета (которая
произошла в середине девяностых годов) многие авторитетные исследователи
отмечали проблемы, связанные с безопасностью стека протоколов TCP/IP.
Основные концепции протоколов TCP/IP не полностью удовлетворяют (а в ряде
случаев и противоречат) современным представлениям о компьютерной
безопасности.
До недавнего времени сеть Интернет использовалась в основном для обработки
информации по относительно простым протоколам: электронная почта, передача
файлов, удалённый доступ. Сегодня, благодаря широкому распространению
технологий WWW (World Wide Web), всё активнее применяются средства
распределённой обработки мультимедийной информации. Одновременно с этим растёт
объём данных, обрабатываемых в средах клиент/сервер и предназначенных для
одновременного коллективного доступа большого числа абонентов. Разработано
несколько протоколов прикладного уровня, обеспечивающих информационную
безопасность таких приложений, как электронная почта (PEM - Privacy Enhanced
Mail, почта повышенной секретности; PGP - Pretty Good Privacy, набор алгоритмов
и программ для высоконадежного шифрования сообщений с использованием открытых
ключей, и т.п.), WWW (Secure HTTP[1]
, SSL2 и т.п.), сетевое управление (SNMPv2 и т.п.). Однако наличие
средств обеспечения безопасности в базовых протоколах семейства TCP/IP позволит
осуществлять информационный обмен между широким спектром различных приложений и
сервисных служб.
2. IP телефония – краткое описание
До недавнего времени сети с коммутацией каналов (телефонные сети) и сети с
коммутацией пакетов (IP-сети) существовали практически независимо друг от
друга и использовались для различных целей. Телефонные сети использовались
только для передачи голосовой информации, а IP-сети - для передачи данных.
IP-телефония - это технология, которая связывает два абсолютно разных мира -
мир телефонии и мир интернет посредством устройства, называемого шлюз или
gateway. Шлюз представляет собой устройство, в которое с одной стороны
включаются телефонные линии, а с другой стороны - IP-сеть (например,
Интернет).
Что такое IP протокол?
Протокол IP осуществляет передачу информации от узла к узлу сети в виде
дискретных блоков - пакетов. При этом IP не несет ответственности за
надежность доставки информации, целостность или сохранение порядка потока
пакетов и, таким образом, не решает с необходимым для приложений качеством
задачу передачи информации. Эту задачу решают два других протокола – TCP
(Transfer Control Protocol, протокол управления передачей данных) и UDP (User
Datagram Protocol, дейтаграммный протокол передачи данных) - которые, как
говорят, "лежат" над IP (т. е. используют процедуры протокола IP для передачи
информации, добавляя к ним свою дополнительную функциональность)..
Варианты построения IP-телефонных систем.
Известны и практически реализуются две базовые схемы IP-телефонии.
- Для пользователей персональных компьютеров: данная схема связана с
организацией телефонных переговоров между пользователями персональных
компьютеров, оснащенных мультимедийным оборудованием и (или) специальными
программными (программно-аппаратными) средствами, обеспечивающим ведение
дуплексных телефонных переговоров, необходимый сервис и контроль.
Пользовательские компьютеры могут входить в состав локальной сети, иметь
персональный IP-адрес или подключаться к сети Интернет при помощи модема. -
Для пользователей телефонной сети: Данная схема предусматривает
использование специальных многофункциональных устройств - шлюзов. Шлюз
предназначен для преобразования аналоговых речевых и служебных сигналов в
цифровую последовательность, организации из этой последовательности
пакетов глобальной сети Интернет и передачи их в сеть, прием пакетов и
восстановление цифровой последовательности - цифровых речевых и служебных
сигналов и их преобразование в аналоговую форму, а так же решение большого
перечня задач ,связанных с организацией интерфейсов, генерированием и
детектированием сигналов абонентской сигнализации, управлением режимами
телефонных переговоров и многое другое. Однако главные задачи шлюза -
обеспечение качественного дуплексного телефонного общения абонентов в
режиме пакетной передачи и коммутации цифровых сигналов.
Рис. 1. Структурная схема организации телефонной связи через сеть Интернет с
использованием шлюзов.
Протокол IP
Краеугольный камень сети Интернет - Internet Protocol (IP). Как уже
отмечалось протокол Internet создан для использования в объединенных системах
компьютерных коммуникационных сетей с коммутацией пакетов. Это протокол
сетевого уровня, который обеспечивает маршрутизацию пакетов в сети. Однако он
не гарантирует надежную доставку пакетов. Таким образом, пакеты могут
искажаться, задерживаться, передаваться по различным маршрутам (а значит
иметь различное время передачи) и т. д. На основе IP работают протоколы
транспортного уровня Transport Control Protocol (TCP) и User Datagram
Protocol (UDP).
Протокол Internet выполняет две главные функции: адресацию и фрагментацию.
Адресация: Выбор пути передачи называется маршрутизацией. Модули Internet
используют адреса, помещенные в заголовок Internet, для передачи Internet
датаграмм их получателям.
Фрагментация: Модули Internet используют поля в заголовке Internet для
фрагментации и восстановления датаграмм Internet, когда это необходимо для их
передачи через сети с малым размером пакетов.
Связь с другими протоколами
Следующая диаграмма иллюстрирует место протокола Internet в иерархии протоколов.
Рис. 2 Взаимодействие протоколов
Telnet - сетевой теледоступ (протокол виртуального терминала в наборе
протоколов Internet; позволяет пользователям одного хоста подключаться к
другому удаленному хосту и работать с ним как через обычный терминал ).
FTP - File Transfer Protocol протокол передачи файлов (используемый в
Internet протокол передачи файлов между хост-компьютерами ).
TFTP - Trivial File Transfer Protocol простейший протокол передачи данных,
являющийся упрощенным вариантом протокола FTP; поддерживает простую передачу
данных между двумя системами без аутентификации.
ICMP- Internet Control Message Protocol - протокол управляющих сообщений в
сети Internet (один из четырех протоколов межсетевого уровня семейства
TCP/IP, обеспечивающий восстановление связи при сбойных ситуациях в передаче
пользовательских пакетов).
Протокол Internet взаимодействует с одной стороны с протоколами передачи
информации между хост-компьютерами, а с другой - с протоколами локальной
компьютерной сети. При этом локальная сеть может являться малой компьютерной
сетью, участвующей в создании большой сети, такой как ARPANET - Advanced
Research Project Agency network сеть Управления перспективных
исследовательских программ ( сеть с коммутацией пакетов, организованная в
Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13
|