Диплом: Обеспечение информационной безопасности в сетях IP

вирусов и, в общем случае, от атак. Как правило, эта возможность реализуется

путем присоединения к МСЭ дополнительных модулей или программ третьих

разработчиков (например, система антивирусной защиты ViruSafe для МСЭ

CyberGuard Firewall или система обнаружения атак RealSecure для МСЭ

CheckPoint Firewall-1). Использование нестандартных архиваторов или форматов

передаваемых данных, а также шифрование трафика, сводит всю антивирусную

защиту "на нет". Как можно защититься от вирусов или атак, если они проходят

через межсетевой экран в зашифрованном виде и расшифровываются только на

оконечных устройствах клиентов?

Решение:

В таком случае лучше перестраховаться и запретить прохождение через

межсетевой экран данных в неизвестном формате.

Снижение производительности

Проблема:

Несмотря на то, что подсоединение к сетям общего пользования или выход из

корпоративной сети осуществляется по низкоскоростным каналам (как правило, при

помощи dialup-доступа на скорости до 56 Кбит или использование выделенных линий

до 256 Кбит), встречаются варианты подключения по каналам с пропускной

способностью в несколько сотен мегабит и выше (ATM

[36], T1, E3 и т.п.). В таких случаях межсетевые экраны являются самым узким

местом сети, снижая ее пропускную способность. В некоторых случаях приходится

анализировать не только заголовок (как это делают пакетные фильтры), но и

содержание каждого пакета ("proxy"), а это существенно снижает

производительность межсетевого экрана. Для сетей с напряженным трафиком

использование межсетевых экранов становится нецелесообразным.

Решение:

В таких случаях на первое место надо ставить обнаружение атак и реагирование

на них, а блокировать трафик необходимо только в случае возникновения

непосредственной угрозы.

Отсутствие контроля своей конфигурации

Проблема:

Даже если все описанные выше проблемы решены, остается опасность, что

межсетевой экран неправильно сконфигурирован.

Решение:

В этом случае помогут средства анализа защищенности. Средства анализа

защищенности могут тестировать межсетевой экран как на сетевом уровне

(например, подверженность атакам типа "отказ в обслуживании"), так и на

уровне операционной системы (например, права доступа к конфигурационным

файлам межсетевого экрана). Кроме того, при сканировании возможна реализация

атак типа "подбор пароля", позволяющие обнаружить "слабые" пароли или пароли,

установленные производителем по умолчанию. К средствам, проводящим такие

проверки, можно отнести, например, систему Internet Scanner американской

компании Internet Security Systems (ISS).

Ознакомившись с описанными проблемами, многие могут сделать вывод, что

межсетевые экраны не могут обеспечить защиту корпоративной сети от

несанкционированного вмешательства. Это не так. Межсетевые экраны являются

необходимым, но явно недостаточным средством обеспечения информационной

безопасности. Они обеспечивают лишь первую линию обороны. Не стоит покупать

межсетевой экран только потому, что он признан лучшим по результатам

независимых испытаний. При выборе и приобретении межсетевых экранов

необходимо тщательно все продумать и проанализировать. В некоторых случаях

достаточно установить простейший пакетный фильтр, свободно распространяемый в

сети Internet или поставляемый вместе с операционной системой, например

squid. В других случаях межсетевой экран необходим, но применять его надо

совместно с другими средствами обеспечения

8. Решения на аппаратном уровне

Большинство сетевых бизнес-коммуникаций происходит между сервером и рабочими

станциями клиентов, и между рабочими станциями в группе. Здесь же находится

самая большая внутренняя угроза безопасности данных. Идентификация,

целостность и шифрование данных, реализованные в сетевых адаптерах могли бы

гарантировать защиту передаваемых данных в локальных сетях

Традиционно большинство компаний и предприятий строят свои межсетевые экраны

и парольную защиту своей сети от несанкционированного доступа извне. Однако

исследования показывают, что большинство нарушений защит было произведено

внутри самих компаний, а не извне (71% против 25%), и их число продолжает

увеличиваться. Вследствие интеллектуального воровства предприятия несут

огромные убытки, и помимо внешней защиты появляется необходимость создавать

защиту локальных сетей. Для эффективной безопасности передачи данных внутри

локальных сетей может быть использован Internet Protocol Security (IPSec),

который доступен уже сейчас, как протокол защиты локальных сетей.

IPSec решения

Корпорация Intel предлагает первое семейство сетевых адаптеров с встроенной

защитой данных - Intel® PRO/100 S Desktop, Server и Mobile Adapters. Эти

адаптеры оптимизированы для аппаратной обработки IPSec в Windows* 2000, и для

расширения возможностей Windows NT* 4.0 и Windows 98 используя Intel® Packet

Protect software. Реализованная в адаптерах технология переносит операции

кодирования/декодирования на контроллер Intel® 82550 адаптера, который имеет

интегрированный сопроцессор кодирования. Это решение позволяет освободить

центральный процессор сервера или ПК для выполнения других задач и, таким

образом не влияет на пропускную способность сетевого соединения.

IPSec обеспечивает превосходную защиту локальной сети, однако процесс

кодирования/декодирования требует от ЦП интенсивных вычислений. Если

обработка этих процессов производится на сервере, то это требует настолько

много вычислительной мощности ЦП, что эффективная пропускная способность

сервера может снизиться с 100 Мбит/с до 20 Мбит/с. При этом эффективность

работы сервера и ПК пользователя может снижаться, в то время как утилизация

ЦП возрастает, потому что процессоры сосредоточены на кодировании, вместо

других функций, требуемых пользователям.

Разгрузка ЦП особенно важна для работы сервера, потому что серверы получают

зашифрованные пакеты от многих рабочих станций и должны тратить больше

времени на обработку, чем рабочая станция. Для этого IPSec адаптер

устанавливается на каждый сервер и пользовательские рабочие станции, которые

будут частью защищенной локальной сети.

IPSec выполняется на 3 уровне протокольного стека, в результате этого он

прозрачен для приложений, в отличии от технологий защиты, которые выполняются

на других уровнях. Это означает, что применение протокола IPSec относительно

недорого и не требует изменения приложений и повторного обучения

пользователей.

Три уровня развертывания защиты

На первом этапе развертывания защиты локальной сети адаптеры Intel® PRO/100 S

должны быть устанавлены на ПК пользователей, которым нужна защищенная связь и

на серверы, которые используются этими пользователями. После того, как

адаптеры установлены согласно правилам IPSec, при установлении связи

компьютер предложит использовать протокол IPSec и если оба компьютера

допускают использование протокола IPSec, то передаваемые ими данные будут

зашифрованы. Если сервер или клиентская рабочая станция не поддерживает

протокол IPSec, то последует открытая передача данных. Благодаря этому все

передаваемые данные между выбранными клиентами и серверами будут зашифрованы,

и информация не может быть перехвачена другими пользователями внутри

локальной сети предприятия. Для идентификации пользователя используются

предварительно распределенные ключи.

На следующем этапе должны определяться различные уровни кодирования и

идентификации для каждого пользователя в зависимости от роли ПК и исходя из

трафика проходящего через него. Для усиления защиты локальной сети создаются

две рабочие группы. Одна рабочая группа - эксклюзивная, она использует

индивидуальную политику защиты, кроме того, эта рабочая группа входит и в

общую политику защиты. Это позволяет надежно дифференцировать сообщения между

эксклюзивной рабочей группой и основной сетью. При этом выделенная рабочая

группа может посылать кодированные сообщения доступные для всех пользователей

или только для определенных клиентов внутри самой группы.

Третий этап – авторские полномочия. Как только политика защиты для выделенной

рабочей группы построена и хорошо работает, они могут быть сгруппированы

вместе, и развертывание IPSec может быть расширенно на других членов группы.

Таким образом, модель выделенной рабочей группы может быть расширена на часть

или на всю компанию. На определенном этапе этого процесса предприятие может

решить, что ему необходима более строгая защита. Хотя предварительно

распределенные ключи обеспечивают превосходную идентификацию для начального

этапа защиты локальной сети, но это не самый строгий уровень, который

возможен. Строгий уровень идентификации можно обеспечить, используя стандарт

X.509 дл цифровых удостоверений, которые проверяются авторскими полномочиями.

В решениях Intel используется Entrust* - один из наиболее уважаемых видов

авторских полномочий. В рассмотренном примере, при выдачи цифровых

удостоверений, возможно, уникально идентифицировать каждого пользователя

выделенной группы. Это позволяет системному администратору дифференцировать

запросы сделанные разными по приоритету пользователями.

Ключи защиты

Процесс аутентификации IPSec требует уникального идентификатора или ключа для

каждого привлеченного компьютера. Распределение и обслуживание этих ключей

может быть произведено одним из двух способов:

§ Предварительно распределенные ключи

В этом случае сетевой администратор сам распределяет ключи. Преимущества

предварительно распределенных ключей в том, что они просты в конфигурировании

и не требуют специального программного обеспечения. Предварительно

распределенные ключи подходят для рабочей группы среднего размера, с

умеренными потребностями защиты.

§ Авторские полномочия

В этом случае третье лицо выпускает цифровые удостоверения. Авторские

полномочия гарантируют, что пользователь предоставляя уникальный сертификат,

будет определен, кто он есть и каковы его полномочия. Наиболее широко

применяется промышленный стандарт для определения цифровых удостоверений –

Х.509. Обычно, метод авторских полномочий применяется в финансовых

учреждениях или других организациях, где необходимо подтверждение своих

полномочий.

IPSec в сетевых адаптерах Intel

Сетевая безопасность является одной из основных проблем, связанных с

развитием сетей и Internet. В локальных сетях защита данных особенно важна

при быстром росте деловой среды, где безопасность – основное беспокойство

пользователя. Сетевые адаптеры Intel, использующие IPSec, разгружают ЦП и

обеспечивают безопасную соединение клиент – сервер. Применение адаптеров,

реализующих IPSec, является экономичным, легко устанавливаемым и

масштабируемым решением для защиты данных в локальных сетях. Сетевые адаптеры

Intel, реализующие IPSec:

§ Intel PRO/100 S Desktop Adapter

§ Intel PRO/100 S Server Adapter

§ Intel PRO/100+ Dual Port S Server Adapter

§ Intel PRO/100 SR CardBus II Mobile Adapter

§ Intel PRO/100 SR LAN+Modem56 CardBus II Mobile Adapter

§ Intel PRO/100 SR Mobile Adapter (RealPort Type III)

§ Intel PRO/100 SR LAN+Modem56 Mobile Adapter (RealPort Type III)

9. Заключение

Как уже было отмечено в одной из первых глав, главной целью создания сети

Интернет было обеспечение функциональности при выходе из строя одного или

нескольких ее узлов, цель совсем состояла в обеспечение безопасности, исходно

сеть создавалась как незащищенная открытая система, предназначенная для

информационного общения все возрастающего числа пользователей. При этом

подключение новых пользователей должно было быть максимально простым, а

доступ к информации - наиболее удобным. Все это явно противоречит принципам

создания защищенной системы, безопасность которой должна быть описана на всех

стадиях ее создания и эксплуатации, а пользователи - наделены четкими

полномочиями.

Internet создавался как незащищенная система, не предназначенная для хранения

и обработки конфиденциальной информации. Следовательно, протоколы

используемые в этой сети также не обеспечивают должного контроля безопасности

и целосности информационных ресурсов.

На мой взгляд, в Сети не должна находиться информация, раскрытие которой

приведет к серьезным последствиям.. Наоборот, в Сети необходимо размещать

информацию, распространение которой желательно ее владельцу. При этом всегда

необходимо учитывать тот факт, что в любой момент эта информация может быть

перехвачена, искажена или может стать недоступной. Следовательно, речь должна

идти не о защищенности Internet, а об обеспечении разумной достаточности

информационной безопасности Сети.

Конечно, это не отменяет необходимости ознакомления пользователя с богатым и

все время возрастающим арсеналом программных и аппаратных средств обеспечения

информационной безопасности сети. Тем не менее стоит отметить, что они не в

состоянии превратить сеть в защищенную среду, что означило бы изменение ее

природы.

10. Список использованных источников

1. Прикладная криптография. /Б. Шнайер. - М.: Издательство ТРИУМФ,2002.

2. Основы криптографии: Учебное пособие. /Алферов А.П., Зубов А.Ю., Кузьмин

А.С. Черемушкин А.В. - М.: Гелиос, 2001.

3. Атака через INTERNET / Медведовский И.Д., Семьянов П.В., Платонов В.В.;

Под ред. проф. Зегжды П.Д. - СПб: Мир и семья-95, 1998. - 296с.: ил.

1. Защита информации в компьютерных системах и сетях / Романец Ю.В.,

   Тимофеев П.А., Шаньгин В.Ф.; Под ред. В.Ф.Шаньгина. - М.: Радио и связь,

   1999. - 328с.

2. http://www.knurr.ru/chkpf/archive/wp_v3_0/

3. http://www.lnt.ru/solutions.asp?r=20

4. http://sky.net.ua/review/index.php?review_id=109

5. http://www.microsoft.com/rus/windows2000/library/security/w2k_IPSecurity.asp

1. http://developer.netscape.com/docs/manuals/security/sslin/contents.htm

2. http://nsa.by.ru/docs/security/s23.html

3. http://book.itep.ru

4. http://oradb1.jinr.dubna.su/Netscape/MISC/SSL.htm

5. http://www.unixoid.spb.ru/Security/ssl2.html

6. http://www.nestor.minsk.by/sr/sr0006/sr00607.html

7. http://www.citforum.ru/internet/securities/tcpip.shtml

8. http://www.ixbt.com/comm/ipsecure.shtml

[1] HTTP [Hypertext Transfer

Protocol] протокол передачи гипертекстовых файлов (протокол уровня приложений

для распределенных информационных систем гипермедиа, позволяющий общаться

системам с различной архитектурой; используется при передаче HTML-файлов по

сети страниц WWW)

2 SSL [Secure Socket Layer] протокол защищенных сокетов ( протокол,

гарантирующий безопасную передачу данных по сети; комбинирует

криптографическую систему с открытым ключом и блочное шифрование данных )

[2] ОС Novell NetWare - семейство

сетевых операционных систем, созданных фирмой Novell

[3] SAP - [Service Advertising

Protocol] протокол извещения об услугах; протокол рекламы сервиса (в сетях IPX

используется файловыми серверами для передачи информации о своей доступности и

имени клиентам)

[4] DNS - [Domain Name System]

служба имен доменов (механизм, используемый в сети Internet и устанавливающий

соответствие между числовыми IP-адресами и текстовыми именами)

[5] ARP[Address Resolution Protocol]

протокол разрешения адресов (протокол из семейства TCP/IP, обеспечивающий

преобразование IP-адреса в MAC-адрес (MAC address) для пакетов IP)

[6]SMTP [Simple Mail Transfer

Protocol] простой протокол электронной почты, протокол SMTP (основной протокол

электронной почты в сети Internet)

[7] POP3 [Post Office Protocol v. 3]

почтовый протокол Internet, позволяющий осуществлять динамический доступ к

почтовому ящику с рабочей станции

[8] IMAP [Interactive Mail Access

Protocol] протокол интерактивного доступа к электронной почте

[9] NNTP [Network News Transfer Protocol] сетевой протокол передачи новостей

[10] RIP [Routing Information

Protocol] протокол маршрутной информации, стандарт IGP (в сетях IP протокол

является внутренним протоколом маршрутизации, используемым также и для обмена

информацией между сетями; в сетях IPX является динамическим протоколом,

используемым для сбора информации о сети и управления ею),

[11] OSPF[Open Shortest Path First

- первоочередное открытие кратчайших маршрутов] алгоритм маршрутизации, при

котором путь выбирается на основании информации о состоянии канала (link

state); является стандартом IGP для Internet

[12] [12]SNMP[Simple Network

Management Protocol] простой протокол сетевого управления (протокол сетевого

aдминистрирования, широко используемый в настоящее время, входит в стек

протоколов TCP/IP)

[14] Cеть Ethernet (созданана

фирмой Xerox в 1976 году, имеет шинную топологию, использует CSMA для

управления трафиком в главной линии связи)

[15] Token Ring маркерное кольцо

(спецификация локальной сети кольцевой топологии, в которой кадр управления

(supervisory frame) называемый также маркером (token) последовательно

передается от станции к соседней; станция, которая хочет получить доступ к

среде передачи, должна ждать получения кадра, и только после этого может начать

передачу данных)

[16] Крэкер – (Cracker) взломщик -

человек или программа, взламывающие фирменную защиту от копирования

[17] PPP [point-to-point protocol]

протокол передачи от точки к точке, протокол двухточечного соединения (набор

протоколов фреймирования и аутентификации, являющихся частью сервиса RAS

системы Windows NT; связывает конфигурационные параметры многочисленных уровней

модели OSI)

[18] UNIX многопользовательская

многозадачная операционная система, первоначально разработанная Кеном Томпсоном

(Ken Thompson) и Денисом Ритчи (Dennis Ritchie) в компании AT&T Bell

Laboratory в 1969 г. для использования в мини-компьютерах; в настоящее время

существует в различных формах и реализациях; считается

мощной операционной системой, которая менее машинозависима, чем остальные

операционные системы; написана на языке С.

[19] IP-spoofing получение доступа

путем обмана (ситуация, когда пользователь пытается соединиться с сервером

Internet, proxy-сервером или брандмауэром, используя ложный IP-адрес)

[20] rlogin A - Вход в систему А

[21] SLIP [Serial Line Internet

Protocol] межсетевой протокол для последовательного канала (протокол Internet,

обеспечивающий возможность реализации сетевых протоколов при соединении двух

систем последовательными (телефонными) линиями; в настоящее время вместо SLIP в

основном используется протокол PPP)

[22] UDP [User Datagram Protocol]

протокол передачи дейтаграмм пользователя (быстрый сетевой протокол

транспортного уровня Internet, на котором базируются сетевая файловая система,

служба имен и ряд других служб, однако, в отличие от TCP, UDP обеспечивает

обмен дейтаграммами без подтверждения доставки)

[23] RFC [Requests for Comments]

серия документов IETF, начатая в 1969 году и содержащая описания набора

протоколов Internet и связанную с ними информацию

[24] BSD [Berkeley Software

Distribution] программное изделие Калифорнийского университета (адаптированная

для Internet реализация операционной системы ЮНИКС с комплектом ее утилит,

разрабатываемых и распространяемых университетом)

[25] IAB [Internet Activities

Board] – Координационный совет сети Internet ( технический орган, отвечающий

за развитие набора протоколов Internet ( TCP ); включает технические группы

IRTF и IETF , каждая из которых занимается решением своих задач )

[26] SKIP команда подготовки следующей команды

[27] DES [Data Encription

Standard] стандарт шифрования данных, шифровальный стандарт (широко

используемый высоконадежный алгоритм для шифрования и дешифрования данных,

разработанный U.S. National Bureau of Standards)

[28] AH [Authentication Header] – Аутентифицирующий заголовок

[29] SPI [Secutity Parameter Index] Индекс параметра безопасности

[31] PPTP сетевая технология,

которая поддерживает многопротокольные виртуальные частные сети (VPN), позволяя

удаленным пользователям безопасно обращаться к корпоративным сетям с помощью

коммутируемого соединения, предоставляемого поставщиком услуг Internet (ISP)

или с помощью прямого соединения к Internet

[32] Proxy - модуль доступа

(напр., к сети Internet); программа-посредник, агент (механизм, посредством

которого одна система представляет другую в ответ на запросы протокола;

proxy-системы используются в сетевом управлении, чтобы избавиться от

необходимости реализации полного стека протоколов для таких простых устройств,

как модемы)

2 RPC [Remote Procedure Call] удаленный вызов процедуры ( средство

передачи сообщений, которое позволяет распределенному приложению вызывать

сервис различных компьютеров в сети; обеспечивает процедурно-ориентированный

подход в работе с сетью; применяется в распределенных объектных технологиях,

таких как, DCOM, CORBA, Java RMI )

[33] URL [uniform resource

locator] унифицированный указатель информационного ресурса (cтандартизованная

строка символов, указывающая местонахождение документа в сети Internet)

[34] NFS [Network File System]

сетевая файловая система.( набор протоколов на основе транспортного протокола

UDP , позволяющий Unix-машинам, PC и ПК Macintosh совместно использовать файлы

в локальной сети )

[35] ActiveX название группы

технологий, разработанных Microsoft, для программирования компонентных

объектных приложений на основе модели COM

[36] АТМ asynchronous transfer

mode асинхронный режим передачи (стандартизованная ITU технология коммутации

пакетов фиксированной длины; является асинхронной в том смысле что пакеты от

отдельных пользователей передаются апериодически; обеспечивает эффективную

передачу различных типов данных (голос, видео, multimedia, трафик ЛВС) на

значительные расстояния)

Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13