|
Безопасность в компьютерных сетях
|
|
Цели защиты информации в сетях
сводятся к обеспечению целостности (физической и логической)
информации, а также предупреждение несанкционированной ее
модификации, получения и размножения. Задачи защиты информации в компьютерных
сетях определяются теми угрозами, которые потенциально
возможны в процессе их функционирования, в частности:
- прослушивание каналов, т.е. запись и последующий анализ всего проходящего потока сообщений;
- умышленное уничтожение или искажение (фальсификация) информации;
- присвоение злоумышленником чужого идентификатора своему узлу или ретранслятору;
- преднамеренный разрыв линии связи, что приводит к полному прекращению доставки сообщений;
- внедрение сетевых вирусов.
Т.о. специфические задачи защиты
информации в сети состоят в следующем:
- конфиденциальность (маскировка данных) – предотвращение пассивных атак для передаваемых
или хранимых данных;
- арбитражное обеспечение, т.е. защита от возможных отказов от фактов отправки, приема или содержания
отправленных или принятых данных.
- аутентификация объектов, заключающая в подтверждении подлинности взаимодействующих объектов;
- контроль доступа, т.е. защита от несанкционированного использования ресурсов сети;
- контроль и восстановление целостности находящихся в сети данных;
- доступность - защита от потери или снижения доступности того или иного сервиса.
Для решения этих задач создаются специальные механизмы защиты, т.н. сервисы безопасности,
которые в общем случае могут быть представлены следующим образом:
идентификация/аутентфикация; разграничение доступа;
протоколирование/аудит; экранирование; тунелирование; шифрование;
контроль целостности; контроль защищенности; обнаружение отказов и
оперативное восстановление и управление.
Применительно к различным уровням
семиуровнего протокола передачи данных задачи конкретизируются
следующим образом:
- На физическом уровне –
контроль электромагнитных излучений линий связи и устройств,
поддержка коммутационного оборудования в рабочем состоянии
(экранирующие устройства, генераторы помех, средства физической
защиты передающей среды).
- На канальном уровне – это
шифрование данных.
- Сетевой уровень – наиболее
уязвимый, поскольку сетевые нарушения (чтение, модификация,
уничтожение, дублирование, переориентация, маскировка под другой
узел) осуществляются и использованием его же протоколов. Здесь
основой защиты выступают средства криптографии.
- На транспортном уровне все
активные угрозы становятся видимыми, но, к сожалению, не все угрозы
можно предотвратить криптографическими методами, анализом
регулярности трафика и посылкой параллельных дубликатов сообщений по
другим путям, используемыми на данной уровне.
- Протоколы сеансового и
представительного уровня функций защиты практически не
выполняют.
- В функции защиты протокола прикладного
уровня входит управление доступом к определенным наборам данных,
идентификация и аутентификация определенных пользователей и другие
функции, определенные конкретным протоколом. Более сложными эти
функции являются при реализации полномочной политики безопасности в
сети.
Практически все механизмы сетевой
безопасности могут быть реализованы на третьем уровне эталонной
модели ISO/OSI. Более того, IP-уровень
считается самым оптимальным для размещения защитных средств,
поскольку при этом достигается компромисс между защищенностью,
эффективностью функционирования и прозрачностью для приложений.
Наиболее проработанными являются вопросы
защиты на IP-уровне. Спецификации (протоколы) семейства IPsec
(рабочая группа IP Security) обеспечивают: управление доступом; контроль целостности на
уровне пакетов (вне соединения); аутентификацию источника данных;
защиту от воспроизведения; конфиденциальность (включая частичную
защиту от анализа трафика); администрирование (управление
криптографическими ключами).
К основным механизмам безопасности
относят:
- Алгоритмы симметричного шифрования,
в которых для шифрования и дешифрования используется один и тот
же ключ или ключ дешифрования может быть получен из ключа шифрования.
- Алгоритмы ассиметричного
шифрования, в которых для шифрования и дешифрования используются
два разных ключа, называемые открытым и закрытым ключами, причем,
зная один, другой вычислить невозможно.
- Хэш-функции – функции,
входным значением для которой является сообщение произвольной длины,
а выходным значением – сообщение фиксированной длины, которое
может быть использовано для аутентификации исходных данных.
Сайт управляется системой
uCoz