92

Технологии защиты информации в сети

Курс лекций

Ш.Т.Ишмухаметов

Введение. В данном курсе изложены теоретические основы криптографии и вопросы сетевой безопасности. Предназначено для чтения курса «Технологии защиты информации в сети».

Содержание:

1. Основные принципы организации и задачи сетевой безопасности................................. 3 с.

2. Описание модели OSI межсетевых взаимодействий. ....................................................... 5 с.

3. Обзор стека протоколов TCP/IP ......................................................................................... 11с.

3.1. Общая характеристика TCP/IP

3.2. Протоколы IPv4 и IPv6

4. Математические основы криптографии. ...........................................................................21 с.

4.1. Криптографические примитивы

4.2. Потоковые шифры на основе сдвиговых регистров.

4.3. Абелевы группы и конечные поля.

4.4. Эллиптические кривые.

4.5. Односторонние функции.

5. Криптографические средства защиты. .............................................................................. 32 с.

5.1. Классификация криптографических методов.

5.2. Метод RC4.

5.3. Метод DES.

5.4. Метод RSA.

5.5. Алгоритм Эль-Гамаля.

5.6. Метод Диффи-Хелмана.

6. Электронно-цифровая подпись. ........................................................................................ 37 с.

6.1. Свойства и правовые основы ЭЦП.

6.2. Алгоритм создание ЭЦП.

6.3. Использование эллиптических кривых в стандарте цифровой подписи.

7. Сетевая аутентификация .................................................................................................... 43 с.

7.1. Хеш-функции

7.2. Парадокс «дня рождения»

7.3. Защищенная функция хеширования SHA1

7.4. Алгоритм HMAC

7.5. Простая аутентификация на основе хеш-значений.

7.6. Сетевая аутентификация на основе слова- вызова

8. Протокол расширенной аутентификации Kerberos ..........................................................52 с.

9. Стандарт сертификации X.509 ......................................................................................... 55 с.

9.1. Аутентификация на основе сертификатов

9.2. Состав сертификата

10. Защита информации, передаваемой по сети ................................................................... 60 с.

10.1. Организация защиты данных в сетях

10.2. Протокол IPsec

10.3. Спецификации IPsec

10.4. Режим AH протокола IPSec

10.5. Режим ESP протокола IPSec

10.6. Управление ключами IPSec

11. Защита Web ........................................................................................................................ 72 с.

11.1. Угрозы нарушений защиты Web

11.2. Архитектура SSL

11.3. Протокол квитирования SSL

11.4. Протокол SET

11.5. Сравнительные характеристики протоколов SSL и SET

12. Организания сетей GSM ............................................................................................... 81 с.

13. Защита сетей GSM

14. Литература ...................................................................................................................... 89 с.

§1. Основные принципы организации и задачи сетевой безопасности.

Сетевая безопасность является частью информационной безопасности. Имея те же задачи, что и информационная безопасность, сетевая безопасность приобретает свою специфику, связанную с тем, что нападающий, оставаясь в тени своей географической удаленности или скрываясь за анонимными прокси- серверами, может действовать безнаказанно (или почти безнаказанно), нападая на различные службы и ресурсы сети путем целенаправленной атаки на отдельные компьютеры или проводя массированную бомбардировку своими пакетами диапазонов сети с целью выявления слабых бастионов. При работе с удаленными пользователями также изменяются стандартные процедуры аутентификации для локальных компьютеров, поскольку передача паролей в открытом виде становится опасной. Кроме того, пользователям инофрмационных сетей предлагаются все новые и новые услуги через сети GSM, беспроводные сети Wi-Fi, кабельный и спутниковый Интернет. Новые сервисы, представляя современному пользователю широкий спектр услуг, одновременно уменьшают его общую безопасность, расширяя базу незаконного внедрения извне для кражи паролей, конфиденциальной информации из компьютера пользователя, заражения его вирусами, троянскими конями, шпионскими модулями SpyWare, причиняющим индивидуальным пользователям и локальным сетям офисов и учреждений немалый экономический ущерб. Поэтому проблема надежной защиты от внешнего вторжения не является надуманной или малозначащей. В нашем курсе мы постараемся дать характеристику основным сетевым угрозам и соответствующим методам защиты. Перечислим сначало основные задачи информационной безопасности и дадим им краткую характеристику.

Под информационной безопасностью понимается защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации и поддерживающей инфраструктуры. Защита информации - это комплекс мероприятий, направленных на обеспечение информационной безопасности.

К основными задачами информационной безопасности относят следующие задачи:

1. Обеспечение доступности информационных ресурсов,

2. Обеспечение целостности информационных ресурсов и поддерживающей инфраструктуры,

3. Обеспечение конфиденциальности информационных ресурсов.

Поясним понятия доступности, целостности и конфиденциальности.

Доступность - это возможность за приемлемое время получить требуемую информационную услугу. Доступность информационных сервисов одновременно предполагает ограничение несанкционированногодоступа, защиту сервисов от незаконного вторжения и захвата этих услуг.

Под целостностью подразумевается актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения. Наконец, конфиденциальность - это защита от несанкционированного доступа к информации, чтения ее лицами, не имеющими соответвующих прав.

Информационные системы создаются для получения определенных информационных услуг. Если по тем или иным причинам предоставить эти услуги пользователям становится невозможно, это, очевидно, наносит ущерб всем субъектам информационных отношений. Поэтому, не противопоставляя доступность остальным аспектам, мы выделяем ее как важнейший элемент информационной безопасности.

Для обеспечения информационной безопасности используется целый комплекс мер защиты, включая сюда защиту от пожаров, наводнений и других природных катаклизмов, обучение персонала правильной работе с информацией (неумелый пользователь страшнее врага!), физическое ограничение доступа к серверам и других критически важным элементам информационной инфраструктуры, законодательные меры защиты, воспитательная работа со служащими компаний, кадровая работа с персоналом и много другое. Методы защиты принято делить на три основные категории.

Физические методы защиты образуют внешний уровень защиты. Сюда можно отнести, например, службу охраны учреждения, проверяющей документы на входе в (первичная авторизация, разделяющая толпу на людей, имеющих право на доступ к ресурсам, и на граждан, не имеющих таких прав). В эту группу методов защиты также относятся меры защиты от пожаров, скачков напряжения электропитания, наводнений и других техногенных опасностей. Всевозможные датчики, видеокамеры, электронные замки, установленные на охраняемых помещениях, ограничивают перемещение персонала в защищаемых местах и уменьшают вероятность проникновения потенциального нарушителя.

Организационно- правовые методы предназначены для формирования общей политики безопасности учреждения, подбора кадрового состава и включают воспитательные меры защиты, специальные процедуры принятия и увольнения сотрудников (именно обиженные сотрудники представляют особую угрозу для безопасности предприятия в силу знания специфики работы и структуры защиты). Воспитательные меры призваны также воспитывать у сотрудников чувство ответственности за свою работу, работу коллектива и предприятия, в целом, а также информировать служащих о мерах наказания, предусмотренных за те или иные нарушения.

К техническим методам защиты отнесем программно- аппаратные средства, осуществляющие процедуры аутентификации пользователей, защиту данных от несанкционированного доступа и чтения (криптографические средства), а также средства безопасной передачи данных по сетям, защиту от вирусов и т.п.

Отметим, что вышеупомянутые методы защиты принято делить также дополнительно на предупреждающие, выявляющие и восстанавливающие методы защиты. Первые подобно законам и постановлениям предупреждают взломщика о потенциальных мерах наказания, предусмотренных за те или иные нарушения. Вторые подобно датчикам и сигнализаторам выявляют наличие нарушений в сфере информационной безопасности и предупреждают владельца информации или службу безопасности о вторжении в защищаемую структуру. Третьи служат для восстановления ущерба, нанесенного при атаке на информационные ресурсы или службы защиты. Эти три дополнительные три группы можно найти как среди физических, так и среди организационных и технических средств и методов защиты (попробуйте найти примеры).

Не умаляя значимости физических и организационно- правовых методов защиты, мы основное внимание уделим техническим методам защиты, в группу которых включается и криптография. Сначало напомним общие сведения о технических аспектах взаимодействия компьютеров в сети в рамках 7-уровневой модели OSI, которая является стандартом в области межсетевых взаимодействий.

§2. Описание модели OSI межсетевых взаимодействий.

Взаимодействие между устройствами в сети представляет собой сложную процедуру, включающую различные аспекты, начиная от согласования уровней сигналов для различных физических сред и кончая вопросами формирования сообщений и организацию защиты передаваемой информации. Эта комплексная задача разбивается на более простые задачи и распределяется по различным уровням взаимодействия, образующим иерархию. В начале 80-х годов прошлого столетия Международная организация по стандартизации (International Standardization Organization - ISO) предложило модель для этой иерархии, получившей название модели открытых взаимодействий (Open System Interconnections, OSI).

Эта эталонная модель, иногда называемая стеком OSI представляет собой 7-уровневую сетевую иерархию (рис. 1). Модель содержит в себе по сути 2 различных модели:

• горизонтальную модель на базе протоколов, обеспечивающую механизм взаимодействия программ и процессов на различных машинах

• вертикальную модель на основе услуг, обеспечиваемых соседними уровнями друг другу на одной машине

В горизонтальной модели двум программам требуется общий протокол для обмена данными. В вертикальной - соседние уровни обмениваются данными с использованием интерфейсов API.

Сообощение формируется на самом верхнем прикладном уровне иерархии, затем подвергается преобразованиям (таким как, например, кодирование, сжатие, шифорование), разбивается на сегменты (пакеты, кадры), снабжается заголовком и т.д. При этом оно спускается вниз, уровень за уровнем, пока не достигнет самого низкого, физического уровня, после чего будет передано в сеть. На компьютере получателя происходит обратная процедура, в результате которого будет восстановлено исходное сообщение. Ниже мы рассмотрим более подробно задачи, решаемые на каждом уровне.

Рисунок 1. Модель OSI