Безопасность в компьютерных сетях

Цели защиты информации в сетях сводятся к обеспечению целостности (физической и логической) информации, а также предупреждение несанкционированной ее модификации, получения и размножения. Задачи защиты информации в компьютерных сетях определяются теми угрозами, которые потенциально возможны в процессе их функционирования, в частности:

• прослушивание каналов, т.е. запись и последующий анализ всего проходящего потока сообщений;
• умышленное уничтожение или искажение (фальсификация) информации;
• присвоение злоумышленником чужого идентификатора своему узлу или ретранслятору;
• преднамеренный разрыв линии связи, что приводит к полному прекращению доставки сообщений;
• внедрение сетевых вирусов.

Т.о. специфические задачи защиты информации  в сети состоят в следующем:

• конфиденциальность (маскировка данных) – предотвращение пассивных атак для передаваемых или хранимых данных;
• арбитражное обеспечение, т.е. защита от возможных отказов от фактов отправки, приема или содержания отправленных или принятых данных.
• аутентификация объектов, заключающая в подтверждении подлинности взаимодействующих объектов;
• контроль доступа, т.е. защита от несанкционированного использования ресурсов сети;
• контроль и восстановление целостности находящихся в сети данных;
• доступность - защита от потери или снижения доступности того или иного сервиса.

Для решения этих задач создаются специальные механизмы защиты, т.н. сервисы безопасности, которые в общем случае могут быть представлены следующим образом: идентификация/аутентфикация; разграничение доступа;  протоколирование/аудит; экранирование; тунелирование; шифрование; контроль целостности; контроль защищенности; обнаружение отказов и оперативное восстановление и управление.

Применительно к различным уровням семиуровнего протокола передачи данных задачи конкретизируются следующим образом:

• На физическом уровне – контроль электромагнитных излучений линий связи и устройств, поддержка коммутационного оборудования в рабочем состоянии (экранирующие устройства, генераторы помех, средства физической защиты передающей среды).
• На канальном уровне – это шифрование данных.

• Сетевой уровень – наиболее уязвимый, поскольку сетевые нарушения (чтение, модификация, уничтожение, дублирование, переориентация, маскировка под другой узел) осуществляются и использованием его же протоколов. Здесь основой защиты выступают средства криптографии.
• На транспортном уровне все активные угрозы становятся видимыми, но, к сожалению, не все угрозы можно предотвратить криптографическими методами, анализом регулярности трафика и посылкой параллельных дубликатов сообщений по другим путям, используемыми на данной уровне.
• Протоколы сеансового и представительного уровня функций защиты практически не выполняют.
• В функции защиты протокола прикладного уровня входит управление доступом к определенным наборам данных, идентификация и аутентификация определенных пользователей и другие функции, определенные конкретным протоколом. Более сложными эти функции являются при реализации полномочной политики безопасности в сети.

Практически все механизмы сетевой безопасности могут быть реализованы на третьем уровне эталонной модели ISO/OSI. Более того, IP-уровень считается самым оптимальным для размещения защитных средств, поскольку при этом достигается компромисс между защищенностью, эффективностью функционирования и прозрачностью для приложений.

Наиболее проработанными являются вопросы защиты на IP-уровне. Спецификации (протоколы) семейства IPsec (рабочая группа IP Security) обеспечивают: управление доступом; контроль целостности на уровне пакетов (вне соединения); аутентификацию источника данных; защиту от воспроизведения; конфиденциальность (включая частичную защиту от анализа трафика); администрирование (управление криптографическими ключами).

К основным механизмам безопасности относят:

1. Алгоритмы симметричного шифрования, в которых для шифрования и дешифрования используется один и тот же ключ или ключ дешифрования может быть получен из ключа шифрования.
2. Алгоритмы ассиметричного шифрования, в которых для шифрования и дешифрования используются два разных ключа, называемые открытым и закрытым ключами, причем, зная один, другой вычислить невозможно.
3. Хэш-функции – функции, входным значением для которой является сообщение произвольной длины, а выходным значением – сообщение фиксированной длины, которое может быть использовано для аутентификации исходных данных.