Компьютерные системы и сети Олизарович Евгений Владимирович ГрГУ им. Я.Купалы, 2011/2012 Безопасность передачи данных. VPN.

Презентация:



Advertisements
Похожие презентации
Компьютерные системы и сети Олизарович Евгений Владимирович ГрГУ им. Я.Купалы. 2012/2013 Безопасность передачи данных.
Advertisements

Компьютерные системы и сети Олизарович Евгений Владимирович ГрГУ им. Я.Купалы. 2012/2013 Безопасность передачи данных.
Технологии защищенного канала. Физический Канальный Сетевой Транспортный Сеансовый Презентационный Прикладной PPTP Протоколы, формирующие защищенный канал.
Виртуальные частные сети. Организация VPN через общую сеть Центральный офис Филиал 2 Филиал 1 Internet Мобильный сотрудник Сеть другого предприятия.
Основы построения VPN. Виртуальные частные сети - VPN VPN – Virtual Private Network – имитируют возможности частной сети в рамках общедоступной, используя.
Криптографический шлюз К -. Типовая корпоративная сеть Проблемы: Возможность вторжения из открытой сети Возможность вторжения из открытой сети Возможность.
«Методы защиты межсетевого обмена данными» Вопросы темы: 1. Удаленный доступ. Виды коммутируемых линий. 2. Основные понятия и виды виртуальных частных.
Криптографический шлюз К -. Типовая корпоративная сеть Проблемы: Возможность вторжения из открытой сети Возможность вторжения из открытой сети Возможность.
Технология ViPNet Центр Технологий Безопасности ТУСУР, 2010.
Виртуальные частные сети. Истинная частная сеть Центральный офис Филиал Собственный закрытый канал связи.
Прочие вредоносные программы. DoS, DDoS сетевые атаки Программы данного типа реализуют атаки на удаленные сервера, посылая на них многочисленные запросы,
Организация компьютерной безопасности и защита информации автор: Чекашов а Ирин а 10А учитель: Антонова Е.П год.
Безопасность электронной комерции. Задачи при достижении безопасности Доступность Конфиденциальность Целостность Юридическая значимость.
Хакерские утилиты и защита от них. СЕТЕВЫЕ АТАКИ Сетевые атаки - направленные действия на удаленные сервера для создания затруднений в работе или утери.
Криптографический шлюз К -. Основные возможности АПК Континент-К Шифрование и имитозащита данных, передаваемых по открытым каналам связи; Защита внутренних.
Безопасность в Internet и intranet 1. Основы безопасности 2. Шифрование 3. Протоколы и продукты 4. Виртуальные частные сети.
Протокол Secure Sockets Layer. Архитектура SSL Прикладной уровень (HТТР, FTP) Транспортный уровень (TCP) Уровень IP Сетевой интерфейс Прикладной уровень.
ЗАЩИТА ИНФОРМАЦИИ ПОДГОТОВИЛА
1 Организация беспроводных сетей Часть 2 Безопасность беспроводных сетей.
Пакеты передачи данных Виды сетевых протоколов. В локальной сети данные передаются от одной рабочей станции к другой блоками, которые называют пакетами.
Транксрипт:

Компьютерные системы и сети Олизарович Евгений Владимирович ГрГУ им. Я.Купалы, 2011/2012 Безопасность передачи данных. VPN

ГрГУ им. Я.Купалы 2011/2012 КОМПЬЮТЕРНЫЕ СИСТЕМЫ И СЕТИ Безопасность передачи данных Задачи: Обеспечение доступности (availability) - авторизованные пользователи всегда должны иметь доступ к необходимой информации. Обеспечение конфиденциальности (confidentiality) - система должна обеспечивать доступ к данным только тем пользователям, которым этот доступ разрешен (такие пользователи называются авторизованными). Обеспечение целостности (integrity) - подразумевает, что неавторизованные пользователи не могут каким-либо образом модифицировать данные.

ГрГУ им. Я.Купалы 2011/2012 КОМПЬЮТЕРНЫЕ СИСТЕМЫ И СЕТИ Безопасность передачи данных Шифрование – процесс преобразования сообщения из открытого текста (plaintext) в шифротекст (ciphertext) В алгоритмах шифрования предусматривается наличие ключа (key) - параметра, не зависящего от текста. Результат применения алгоритма шифрования зависит от используемого ключа. Стойкость шифра должна определяться только секретностью ключа (т.е.алгоритмы шифрования считаются известными).

ГрГУ им. Я.Купалы 2011/2012 КОМПЬЮТЕРНЫЕ СИСТЕМЫ И СЕТИ Безопасность передачи данных Использование шифрования: защита содержания данных: шифрование потока (SSL, TLS) шифрование канала (VPN); контроль целостности: хэш-функции; электронные цифровые подписи.

ГрГУ им. Я.Купалы 2011/2012 КОМПЬЮТЕРНЫЕ СИСТЕМЫ И СЕТИ Безопасность передачи данных Хэш-функция – это необратимое преобразование данных (односторонняя функция) произвольной длины в выходную строку фиксированной длины (хеш-код, дайджест). Шифрование MD5 (Message Digest 5) битный алгоритм хеширования. SHA-1 (Secure Hash Algorithm 1) - алгоритм генерирующий 160-битное хеш-значение. SHA-2 (Secure Hash Algorithm Version 2) - алгоритмы, использующие хеш-функции SHA-224, SHA-256, SHA-384 и SHA-512.

ГрГУ им. Я.Купалы 2011/2012 КОМПЬЮТЕРНЫЕ СИСТЕМЫ И СЕТИ Безопасность передачи данных Cимметричный метод шифрования - один и тот же секретный ключ используется как для шифрования, так и для дешифрования данных. Пример: DES Шифрование

ГрГУ им. Я.Купалы 2011/2012 КОМПЬЮТЕРНЫЕ СИСТЕМЫ И СЕТИ Безопасность передачи данных Data Encryption Standard (DES) - использует 56-битный ключ для шифрования 64-битных блоков данных. Обеспечивает хорошую производительность при обеспечении конфиденциальности, приемлемой для ряда некритичных задач. Triple DES (3DES) - создан для замены алгоритма DES, использует три различных 56-битных ключа для тройного шифрования данных 64-битного блока данных, что эквивалентно применению 168-битного ключа (2168 возможных ключей). Основной недостаток - медленная работа. Advanced Encryption Standard (AES) - быстрый и эффективный алгоритм симметричного шифрования, позволяющий использовать ключи различной длины 128, 192 и 256 бит для шифрования 128-битных блоков данных. Принят в США в качестве стандартного. ГОСТ российский стандартом для алгоритмов шифрования. Использует 256-битный ключ и оперирует 64-битными блоками данных. Алгоритм RC4 потоковый алгоритм симметричного шифрования с длиной ключа от 40 до 256 бит. Алгоритмы симметричного шифрования:

ГрГУ им. Я.Купалы 2011/2012 КОМПЬЮТЕРНЫЕ СИСТЕМЫ И СЕТИ Безопасность передачи данных Асимметричный метод шифрования (шифрование с открытым ключом) - используются два ключа. Один открытый ( несекретный), другой - закрытый (секретный). Пример: RSA Шифрование

ГрГУ им. Я.Купалы 2011/2012 КОМПЬЮТЕРНЫЕ СИСТЕМЫ И СЕТИ Безопасность передачи данных Алгоритмы симметричного шифрования: RSA - блочный криптографический алгоритм с открытым ключом. Используется и для шифрования, и для цифровой подписи. DSA (Digital Signature Algorithm) - алгоритм с использованием открытого ключа для создания электронной подписи (не для шифрования). ГОСТ Р – «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи» - российский стандарт, описывающий алгоритмы формирования и проверки электронной цифровой подписи.

ГрГУ им. Я.Купалы 2011/2012 КОМПЬЮТЕРНЫЕ СИСТЕМЫ И СЕТИ Безопасность передачи данных сочетание симметричного и асимметричного методов Шифрование

ГрГУ им. Я.Купалы 2011/2012 КОМПЬЮТЕРНЫЕ СИСТЕМЫ И СЕТИ Безопасность передачи данных Длина симметричного ключа, битДлина несимметричного ключа, бит Стойкость алгоритмов шифрования:

ГрГУ им. Я.Купалы 2011/2012 КОМПЬЮТЕРНЫЕ СИСТЕМЫ И СЕТИ Безопасность передачи данных Электронная цифровая подпись создание проверка DSS (Digital Signature Standard) - стандарт цифровой подписи

ГрГУ им. Я.Купалы 2011/2012 КОМПЬЮТЕРНЫЕ СИСТЕМЫ И СЕТИ Безопасность передачи данных Цифровой сертификат структура: порядковый номер сертификата; идентификатор алгоритма электронной подписи; имя удостоверяющего центра; срок годности; имя владельца сертификата; открытые ключи владельца сертификата; ….. электронная подпись, сгенерированная с использованием секретного ключа удостоверяющего центра. свойства: любой пользователь, знающий открытый ключ удостоверяющего центра, может узнать открытые ключи других клиентов центра и проверить целостность сертификата; никто, кроме удостоверяющего центра, не может модифицировать информацию о пользователе без нарушения целостности сертификата.

ГрГУ им. Я.Купалы 2011/2012 КОМПЬЮТЕРНЫЕ СИСТЕМЫ И СЕТИ Безопасность передачи данных SSL (Secure Sockets Layer) TLS (Transport Layer Security) устанавливают алгоритмы шифрования и ключи на обоих сторонах и создают шифрованный туннель, по которому могут передаваться другие протоколы (например HTTP) Шифрование потока (уровень представления и прикладной)

ГрГУ им. Я.Купалы 2011/2012 КОМПЬЮТЕРНЫЕ СИСТЕМЫ И СЕТИ Безопасность передачи данных VPN

ГрГУ им. Я.Купалы 2011/2012 КОМПЬЮТЕРНЫЕ СИСТЕМЫ И СЕТИ Безопасность передачи данных Virtual Private Net (VPN) Virtual Private Net (VPN) – технология подключения клиента к VPN-серверу при помощи специального программного обеспечения поверх общедоступной сети.

ГрГУ им. Я.Купалы 2011/2012 КОМПЬЮТЕРНЫЕ СИСТЕМЫ И СЕТИ Безопасность передачи данных

ГрГУ им. Я.Купалы 2011/2012 КОМПЬЮТЕРНЫЕ СИСТЕМЫ И СЕТИ Безопасность передачи данных Virtual Private Net (VPN) В установленном соединении организуется зашифрованный канал, обеспечивающий высокую защиту передаваемой по этому каналу информации за счёт применения специальных алгоритмов кодирования. Технология позволяет нескольким пользователям организовать в одной сетевой инфраструктуре множество изолированных частных сетей, с выполнением требований владельца по пропускной способности, безопасности, адресации и т.д.). Применяется для решения проблемы создания множества изолированных ведомственных сетей на базе одной технической инфраструктуры

ГрГУ им. Я.Купалы 2011/2012 КОМПЬЮТЕРНЫЕ СИСТЕМЫ И СЕТИ Безопасность передачи данных Virtual Private Net (VPN) Туннель Туннель - логический путь данных, через который пересылаются пакеты. Для источника и объекта назначения туннель является прозрачным и выглядит как обычное соединение между хостами. Оконечные точки (в туннеле) не имеют информации о маршрутах, прокси-серверах и иных шлюзах, через которые проходят пакеты, образующие туннель.

ГрГУ им. Я.Купалы 2011/2012 КОМПЬЮТЕРНЫЕ СИСТЕМЫ И СЕТИ Безопасность передачи данных

ГрГУ им. Я.Купалы 2011/2012 КОМПЬЮТЕРНЫЕ СИСТЕМЫ И СЕТИ Безопасность передачи данных Virtual Private Net (VPN) Customer Provided VPN - Организация VPN силами потребителя Provider Provisioned VPN - Организация VPN силами поставщика телекоммуникационных услуг.

ГрГУ им. Я.Купалы 2011/2012 КОМПЬЮТЕРНЫЕ СИСТЕМЫ И СЕТИ Безопасность передачи данных Virtual Private Net (VPN) Способы организации тоннелей PPTP (Point-to-Point Tunneling Protocol) L2TP (Layer 2 Tunneling Protocol) IPsec (IP Security Protocol)

ГрГУ им. Я.Купалы 2011/2012 КОМПЬЮТЕРНЫЕ СИСТЕМЫ И СЕТИ Безопасность передачи данных Virtual Private Net (VPN) Способы организации тоннелей PPTP (Point-to-Point Tunneling Protocol) – туннельный протокол, представляющий собой расширение протокола PPP (Point-to-Point Protocol) для создания защищенных виртуальных каналов. Предусматривает создание криптозащищенного туннеля на канальном уровне модели OSI. Для передачи данных используются IP-пакеты, содержащие инкапсулированные PPP-пакеты. Инкапсулированные PPP-пакеты содержат в свою очередь зашифрованные инкапсулированные исходные пакеты (IP, IPX, NetBEUI).

ГрГУ им. Я.Купалы 2011/2012 КОМПЬЮТЕРНЫЕ СИСТЕМЫ И СЕТИ Безопасность передачи данных Virtual Private Net (VPN) Способы организации тоннелей L2TP (Layer 2 Tunneling Protocol) - индустриальный стандарт Интернет, туннельный протокол, который обеспечивает инкапсуляцию и пересылку кадров протокола PPP. Протокол L2TP шифрует IP-трафик и пересылает через среду. Реализация протокола Microsoft L2TP использует IPSec шифрование для защиты потоков данных на всем пути от VPN клиента до VPN сервера. L2TP и IPSec обеспечивают более высокую степень защиты данных, чем PPTP, так как использует алгоритм шифрования Triple Data Encryption Standard (3DES). Соединения по протоколу L2TP/IPSec требуют аутентификации, основанной на сертификатах.

ГрГУ им. Я.Купалы 2011/2012 КОМПЬЮТЕРНЫЕ СИСТЕМЫ И СЕТИ Безопасность передачи данных

ГрГУ им. Я.Купалы 2011/2012 КОМПЬЮТЕРНЫЕ СИСТЕМЫ И СЕТИ Безопасность передачи данных Virtual Private Net (VPN) Способы организации тоннелей IPsec (IP Security Protocol) - это служба обеспечивающая аутентификацию, доступ и контроль за надежностью. Работает на уровне сети. IPSec позволяет создавать кодированные туннели VPN или кодировать трафик между двумя узлами. В состав службы входят протоколы: AH (Autentication Header) – заголовок аутентификации, ESP (Encapsulating Security Payload – инкапсуляция зашифрованных данных), IKE (Internet Key Exchange – обмен ключами). Для шифрования данных в системе IPsec может быть применен любой симметричный алгоритм шифрования.

ГрГУ им. Я.Купалы 2011/2012 КОМПЬЮТЕРНЫЕ СИСТЕМЫ И СЕТИ Безопасность передачи данных

ГрГУ им. Я.Купалы 2011/2012 КОМПЬЮТЕРНЫЕ СИСТЕМЫ И СЕТИ Безопасность передачи данных MPLS (Multiprotocol Label Switching) - Сети MPLS VPN могут строиться как на канальном (L2VPN), так и на сетевом (L3VPN) уровнях модели взаимодействия OSI. Преимуществами являются хорошая масштабируемость, возможность автоматического конфигурирования, интеграция VPN с другими возможностями MPLS, такими, как управление трафиком и обеспечение качества на основе QoS. Регламентируется рекомендациями RFC2547bis.

ГрГУ им. Я.Купалы 2011/2012 КОМПЬЮТЕРНЫЕ СИСТЕМЫ И СЕТИ Безопасность передачи данных Virtual Private Net (VPN) Альтернатива обособленным корпоративным сетям. Преимущества: отсутствие значительных капитальных вложений при создании сети; развитая топология сети (широкий географический охват); высокая надежность; легкость масштабирования (подключения новых сетей или пользователей); оперативность в изменении конфигурации; возможность интеграции дополнительных сервисных возможностей.

ГрГУ им. Я.Купалы 2011/2012 КОМПЬЮТЕРНЫЕ СИСТЕМЫ И СЕТИ Безопасность передачи данных Удаленный доступ к сети

ГрГУ им. Я.Купалы 2011/2012 КОМПЬЮТЕРНЫЕ СИСТЕМЫ И СЕТИ Безопасность передачи данных Удаленный доступ к сети

ГрГУ им. Я.Купалы 2011/2012 КОМПЬЮТЕРНЫЕ СИСТЕМЫ И СЕТИ Безопасность передачи данных ИНТЕРНЕТ (INTERNET) – открытая сеть ИНТРАНЕТ (INTRANET) – закрытая корпоративная сеть ЭКСТРАНЕТ (EXTRANET) – корпоративная сеть с удаленными пользователями и сетями партнеров

ГрГУ им. Я.Купалы 2011/2012 КОМПЬЮТЕРНЫЕ СИСТЕМЫ И СЕТИ Безопасность передачи данных Сетевая безопасность

ГрГУ им. Я.Купалы 2011/2012 КОМПЬЮТЕРНЫЕ СИСТЕМЫ И СЕТИ Безопасность передачи данных Spoofing – подмена адреса (MAC, IP, DNS). Сетевые угрозы

ГрГУ им. Я.Купалы 2011/2012 КОМПЬЮТЕРНЫЕ СИСТЕМЫ И СЕТИ Безопасность передачи данных DoS, DDoS сетевые атаки, выполняемые посылкой многочисленных запросов к серверам и сервисам, что приводит к отказу в обслуживании, если ресурсы атакуемого сервера недостаточны для обработки всех поступающих запросов (DoS = Denial of Service). DoS-программы реализуют атаку с одного компьютера. DDoS-программы (Distributed DoS) реализуют распределенные атаки с разных компьютеров, обычно без ведома владельца зараженного компьютера. Сетевые угрозы

ГрГУ им. Я.Купалы 2011/2012 КОМПЬЮТЕРНЫЕ СИСТЕМЫ И СЕТИ Безопасность передачи данных Flood (ping, SYN) «затопление» сети. Реализуется посылкой большого количества бесполезных сообщений, загружающих телекоммуникационные и информационные каналы (IP-сети, электронную почту и т. д.) Сетевые угрозы

ГрГУ им. Я.Купалы 2011/2012 КОМПЬЮТЕРНЫЕ СИСТЕМЫ И СЕТИ Безопасность передачи данных Nuker фатальные сетевые атаки. Утилиты, отправляющие специально оформленные запросы на атакуемые компьютеры в сети, в результате чего атакуемая система прекращает работу. Используют уязвимости в программном обеспечении и операционных системах, в результате чего сетевой запрос специального вида вызывает критическую ошибку в атакуемом приложении. Сетевые угрозы

ГрГУ им. Я.Купалы 2011/2012 КОМПЬЮТЕРНЫЕ СИСТЕМЫ И СЕТИ Безопасность передачи данных Использование протокола ARP Сканирование зоны DNS Сканирование сети методом ping Сканирование TCP портов Сканирование UDP портов Сетевые угрозы

ГрГУ им. Я.Купалы 2011/2012 КОМПЬЮТЕРНЫЕ СИСТЕМЫ И СЕТИ Безопасность передачи данных Фильтрация трафика. Локализация трафика (VLAN, VPN). Организация маршрутов через надёжные узлы. Использование средств шифрования трафика (криптографии) - самый действенный способ борьбы со снифферами. IPSec, SSL, SSH. Противодействие сетевым угрозам

ГрГУ им. Я.Купалы 2011/2012 КОМПЬЮТЕРНЫЕ СИСТЕМЫ И СЕТИ Безопасность передачи данных 1. Межсетевые экраны – средства, организующие фильтрацию пакетов на основе их заголовков и/или других критериев. 2. Снифферы – программы, осуществляющие перехват всего проходящего трафика в сегменте для дальнейшего его анализа вручную или автоматическими средствами. 3. Средства обнаружения атак/вторжений – так же, как и снифферы, перехватывают весь или часть траффика и осуществляют поиск в нём подозрительных событий. Используются различные методы поиска, чаще всего сигнатурный метод. Иногда средства обнаружения вторжений дополнительно имеют свойства из других категорий. 4. Ловушки – осуществляющие имитацию работы той или иной службы/хоста/сети. Контролирующие и протоколирующие все обращения к ним. Перспективны с точки зрения сбора доказательств злого умысла нападающего, не подвергая при этом реальные системы какой-либо опасности. 5. Антивирусные программы, осуществляющие поиск вирусов и подозрений на вирусы в файлах или информационных потоках. Противодействие сетевым угрозам

Компьютерные системы и сети Олизарович Евгений Владимирович ГрГУ им. Я.Купалы, 2011/2012 Безопасность передачи данных. VPN