Компьютерные системы и сети Олизарович Евгений Владимирович ГрГУ им. Я.Купалы, 2011/2012 Безопасность передачи данных. VPN
ГрГУ им. Я.Купалы 2011/2012 КОМПЬЮТЕРНЫЕ СИСТЕМЫ И СЕТИ Безопасность передачи данных Задачи: Обеспечение доступности (availability) - авторизованные пользователи всегда должны иметь доступ к необходимой информации. Обеспечение конфиденциальности (confidentiality) - система должна обеспечивать доступ к данным только тем пользователям, которым этот доступ разрешен (такие пользователи называются авторизованными). Обеспечение целостности (integrity) - подразумевает, что неавторизованные пользователи не могут каким-либо образом модифицировать данные.
ГрГУ им. Я.Купалы 2011/2012 КОМПЬЮТЕРНЫЕ СИСТЕМЫ И СЕТИ Безопасность передачи данных Шифрование – процесс преобразования сообщения из открытого текста (plaintext) в шифротекст (ciphertext) В алгоритмах шифрования предусматривается наличие ключа (key) - параметра, не зависящего от текста. Результат применения алгоритма шифрования зависит от используемого ключа. Стойкость шифра должна определяться только секретностью ключа (т.е.алгоритмы шифрования считаются известными).
ГрГУ им. Я.Купалы 2011/2012 КОМПЬЮТЕРНЫЕ СИСТЕМЫ И СЕТИ Безопасность передачи данных Использование шифрования: защита содержания данных: шифрование потока (SSL, TLS) шифрование канала (VPN); контроль целостности: хэш-функции; электронные цифровые подписи.
ГрГУ им. Я.Купалы 2011/2012 КОМПЬЮТЕРНЫЕ СИСТЕМЫ И СЕТИ Безопасность передачи данных Хэш-функция – это необратимое преобразование данных (односторонняя функция) произвольной длины в выходную строку фиксированной длины (хеш-код, дайджест). Шифрование MD5 (Message Digest 5) битный алгоритм хеширования. SHA-1 (Secure Hash Algorithm 1) - алгоритм генерирующий 160-битное хеш-значение. SHA-2 (Secure Hash Algorithm Version 2) - алгоритмы, использующие хеш-функции SHA-224, SHA-256, SHA-384 и SHA-512.
ГрГУ им. Я.Купалы 2011/2012 КОМПЬЮТЕРНЫЕ СИСТЕМЫ И СЕТИ Безопасность передачи данных Cимметричный метод шифрования - один и тот же секретный ключ используется как для шифрования, так и для дешифрования данных. Пример: DES Шифрование
ГрГУ им. Я.Купалы 2011/2012 КОМПЬЮТЕРНЫЕ СИСТЕМЫ И СЕТИ Безопасность передачи данных Data Encryption Standard (DES) - использует 56-битный ключ для шифрования 64-битных блоков данных. Обеспечивает хорошую производительность при обеспечении конфиденциальности, приемлемой для ряда некритичных задач. Triple DES (3DES) - создан для замены алгоритма DES, использует три различных 56-битных ключа для тройного шифрования данных 64-битного блока данных, что эквивалентно применению 168-битного ключа (2168 возможных ключей). Основной недостаток - медленная работа. Advanced Encryption Standard (AES) - быстрый и эффективный алгоритм симметричного шифрования, позволяющий использовать ключи различной длины 128, 192 и 256 бит для шифрования 128-битных блоков данных. Принят в США в качестве стандартного. ГОСТ российский стандартом для алгоритмов шифрования. Использует 256-битный ключ и оперирует 64-битными блоками данных. Алгоритм RC4 потоковый алгоритм симметричного шифрования с длиной ключа от 40 до 256 бит. Алгоритмы симметричного шифрования:
ГрГУ им. Я.Купалы 2011/2012 КОМПЬЮТЕРНЫЕ СИСТЕМЫ И СЕТИ Безопасность передачи данных Асимметричный метод шифрования (шифрование с открытым ключом) - используются два ключа. Один открытый ( несекретный), другой - закрытый (секретный). Пример: RSA Шифрование
ГрГУ им. Я.Купалы 2011/2012 КОМПЬЮТЕРНЫЕ СИСТЕМЫ И СЕТИ Безопасность передачи данных Алгоритмы симметричного шифрования: RSA - блочный криптографический алгоритм с открытым ключом. Используется и для шифрования, и для цифровой подписи. DSA (Digital Signature Algorithm) - алгоритм с использованием открытого ключа для создания электронной подписи (не для шифрования). ГОСТ Р – «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи» - российский стандарт, описывающий алгоритмы формирования и проверки электронной цифровой подписи.
ГрГУ им. Я.Купалы 2011/2012 КОМПЬЮТЕРНЫЕ СИСТЕМЫ И СЕТИ Безопасность передачи данных сочетание симметричного и асимметричного методов Шифрование
ГрГУ им. Я.Купалы 2011/2012 КОМПЬЮТЕРНЫЕ СИСТЕМЫ И СЕТИ Безопасность передачи данных Длина симметричного ключа, битДлина несимметричного ключа, бит Стойкость алгоритмов шифрования:
ГрГУ им. Я.Купалы 2011/2012 КОМПЬЮТЕРНЫЕ СИСТЕМЫ И СЕТИ Безопасность передачи данных Электронная цифровая подпись создание проверка DSS (Digital Signature Standard) - стандарт цифровой подписи
ГрГУ им. Я.Купалы 2011/2012 КОМПЬЮТЕРНЫЕ СИСТЕМЫ И СЕТИ Безопасность передачи данных Цифровой сертификат структура: порядковый номер сертификата; идентификатор алгоритма электронной подписи; имя удостоверяющего центра; срок годности; имя владельца сертификата; открытые ключи владельца сертификата; ….. электронная подпись, сгенерированная с использованием секретного ключа удостоверяющего центра. свойства: любой пользователь, знающий открытый ключ удостоверяющего центра, может узнать открытые ключи других клиентов центра и проверить целостность сертификата; никто, кроме удостоверяющего центра, не может модифицировать информацию о пользователе без нарушения целостности сертификата.
ГрГУ им. Я.Купалы 2011/2012 КОМПЬЮТЕРНЫЕ СИСТЕМЫ И СЕТИ Безопасность передачи данных SSL (Secure Sockets Layer) TLS (Transport Layer Security) устанавливают алгоритмы шифрования и ключи на обоих сторонах и создают шифрованный туннель, по которому могут передаваться другие протоколы (например HTTP) Шифрование потока (уровень представления и прикладной)
ГрГУ им. Я.Купалы 2011/2012 КОМПЬЮТЕРНЫЕ СИСТЕМЫ И СЕТИ Безопасность передачи данных VPN
ГрГУ им. Я.Купалы 2011/2012 КОМПЬЮТЕРНЫЕ СИСТЕМЫ И СЕТИ Безопасность передачи данных Virtual Private Net (VPN) Virtual Private Net (VPN) – технология подключения клиента к VPN-серверу при помощи специального программного обеспечения поверх общедоступной сети.
ГрГУ им. Я.Купалы 2011/2012 КОМПЬЮТЕРНЫЕ СИСТЕМЫ И СЕТИ Безопасность передачи данных
ГрГУ им. Я.Купалы 2011/2012 КОМПЬЮТЕРНЫЕ СИСТЕМЫ И СЕТИ Безопасность передачи данных Virtual Private Net (VPN) В установленном соединении организуется зашифрованный канал, обеспечивающий высокую защиту передаваемой по этому каналу информации за счёт применения специальных алгоритмов кодирования. Технология позволяет нескольким пользователям организовать в одной сетевой инфраструктуре множество изолированных частных сетей, с выполнением требований владельца по пропускной способности, безопасности, адресации и т.д.). Применяется для решения проблемы создания множества изолированных ведомственных сетей на базе одной технической инфраструктуры
ГрГУ им. Я.Купалы 2011/2012 КОМПЬЮТЕРНЫЕ СИСТЕМЫ И СЕТИ Безопасность передачи данных Virtual Private Net (VPN) Туннель Туннель - логический путь данных, через который пересылаются пакеты. Для источника и объекта назначения туннель является прозрачным и выглядит как обычное соединение между хостами. Оконечные точки (в туннеле) не имеют информации о маршрутах, прокси-серверах и иных шлюзах, через которые проходят пакеты, образующие туннель.
ГрГУ им. Я.Купалы 2011/2012 КОМПЬЮТЕРНЫЕ СИСТЕМЫ И СЕТИ Безопасность передачи данных
ГрГУ им. Я.Купалы 2011/2012 КОМПЬЮТЕРНЫЕ СИСТЕМЫ И СЕТИ Безопасность передачи данных Virtual Private Net (VPN) Customer Provided VPN - Организация VPN силами потребителя Provider Provisioned VPN - Организация VPN силами поставщика телекоммуникационных услуг.
ГрГУ им. Я.Купалы 2011/2012 КОМПЬЮТЕРНЫЕ СИСТЕМЫ И СЕТИ Безопасность передачи данных Virtual Private Net (VPN) Способы организации тоннелей PPTP (Point-to-Point Tunneling Protocol) L2TP (Layer 2 Tunneling Protocol) IPsec (IP Security Protocol)
ГрГУ им. Я.Купалы 2011/2012 КОМПЬЮТЕРНЫЕ СИСТЕМЫ И СЕТИ Безопасность передачи данных Virtual Private Net (VPN) Способы организации тоннелей PPTP (Point-to-Point Tunneling Protocol) – туннельный протокол, представляющий собой расширение протокола PPP (Point-to-Point Protocol) для создания защищенных виртуальных каналов. Предусматривает создание криптозащищенного туннеля на канальном уровне модели OSI. Для передачи данных используются IP-пакеты, содержащие инкапсулированные PPP-пакеты. Инкапсулированные PPP-пакеты содержат в свою очередь зашифрованные инкапсулированные исходные пакеты (IP, IPX, NetBEUI).
ГрГУ им. Я.Купалы 2011/2012 КОМПЬЮТЕРНЫЕ СИСТЕМЫ И СЕТИ Безопасность передачи данных Virtual Private Net (VPN) Способы организации тоннелей L2TP (Layer 2 Tunneling Protocol) - индустриальный стандарт Интернет, туннельный протокол, который обеспечивает инкапсуляцию и пересылку кадров протокола PPP. Протокол L2TP шифрует IP-трафик и пересылает через среду. Реализация протокола Microsoft L2TP использует IPSec шифрование для защиты потоков данных на всем пути от VPN клиента до VPN сервера. L2TP и IPSec обеспечивают более высокую степень защиты данных, чем PPTP, так как использует алгоритм шифрования Triple Data Encryption Standard (3DES). Соединения по протоколу L2TP/IPSec требуют аутентификации, основанной на сертификатах.
ГрГУ им. Я.Купалы 2011/2012 КОМПЬЮТЕРНЫЕ СИСТЕМЫ И СЕТИ Безопасность передачи данных
ГрГУ им. Я.Купалы 2011/2012 КОМПЬЮТЕРНЫЕ СИСТЕМЫ И СЕТИ Безопасность передачи данных Virtual Private Net (VPN) Способы организации тоннелей IPsec (IP Security Protocol) - это служба обеспечивающая аутентификацию, доступ и контроль за надежностью. Работает на уровне сети. IPSec позволяет создавать кодированные туннели VPN или кодировать трафик между двумя узлами. В состав службы входят протоколы: AH (Autentication Header) – заголовок аутентификации, ESP (Encapsulating Security Payload – инкапсуляция зашифрованных данных), IKE (Internet Key Exchange – обмен ключами). Для шифрования данных в системе IPsec может быть применен любой симметричный алгоритм шифрования.
ГрГУ им. Я.Купалы 2011/2012 КОМПЬЮТЕРНЫЕ СИСТЕМЫ И СЕТИ Безопасность передачи данных
ГрГУ им. Я.Купалы 2011/2012 КОМПЬЮТЕРНЫЕ СИСТЕМЫ И СЕТИ Безопасность передачи данных MPLS (Multiprotocol Label Switching) - Сети MPLS VPN могут строиться как на канальном (L2VPN), так и на сетевом (L3VPN) уровнях модели взаимодействия OSI. Преимуществами являются хорошая масштабируемость, возможность автоматического конфигурирования, интеграция VPN с другими возможностями MPLS, такими, как управление трафиком и обеспечение качества на основе QoS. Регламентируется рекомендациями RFC2547bis.
ГрГУ им. Я.Купалы 2011/2012 КОМПЬЮТЕРНЫЕ СИСТЕМЫ И СЕТИ Безопасность передачи данных Virtual Private Net (VPN) Альтернатива обособленным корпоративным сетям. Преимущества: отсутствие значительных капитальных вложений при создании сети; развитая топология сети (широкий географический охват); высокая надежность; легкость масштабирования (подключения новых сетей или пользователей); оперативность в изменении конфигурации; возможность интеграции дополнительных сервисных возможностей.
ГрГУ им. Я.Купалы 2011/2012 КОМПЬЮТЕРНЫЕ СИСТЕМЫ И СЕТИ Безопасность передачи данных Удаленный доступ к сети
ГрГУ им. Я.Купалы 2011/2012 КОМПЬЮТЕРНЫЕ СИСТЕМЫ И СЕТИ Безопасность передачи данных Удаленный доступ к сети
ГрГУ им. Я.Купалы 2011/2012 КОМПЬЮТЕРНЫЕ СИСТЕМЫ И СЕТИ Безопасность передачи данных ИНТЕРНЕТ (INTERNET) – открытая сеть ИНТРАНЕТ (INTRANET) – закрытая корпоративная сеть ЭКСТРАНЕТ (EXTRANET) – корпоративная сеть с удаленными пользователями и сетями партнеров
ГрГУ им. Я.Купалы 2011/2012 КОМПЬЮТЕРНЫЕ СИСТЕМЫ И СЕТИ Безопасность передачи данных Сетевая безопасность
ГрГУ им. Я.Купалы 2011/2012 КОМПЬЮТЕРНЫЕ СИСТЕМЫ И СЕТИ Безопасность передачи данных Spoofing – подмена адреса (MAC, IP, DNS). Сетевые угрозы
ГрГУ им. Я.Купалы 2011/2012 КОМПЬЮТЕРНЫЕ СИСТЕМЫ И СЕТИ Безопасность передачи данных DoS, DDoS сетевые атаки, выполняемые посылкой многочисленных запросов к серверам и сервисам, что приводит к отказу в обслуживании, если ресурсы атакуемого сервера недостаточны для обработки всех поступающих запросов (DoS = Denial of Service). DoS-программы реализуют атаку с одного компьютера. DDoS-программы (Distributed DoS) реализуют распределенные атаки с разных компьютеров, обычно без ведома владельца зараженного компьютера. Сетевые угрозы
ГрГУ им. Я.Купалы 2011/2012 КОМПЬЮТЕРНЫЕ СИСТЕМЫ И СЕТИ Безопасность передачи данных Flood (ping, SYN) «затопление» сети. Реализуется посылкой большого количества бесполезных сообщений, загружающих телекоммуникационные и информационные каналы (IP-сети, электронную почту и т. д.) Сетевые угрозы
ГрГУ им. Я.Купалы 2011/2012 КОМПЬЮТЕРНЫЕ СИСТЕМЫ И СЕТИ Безопасность передачи данных Nuker фатальные сетевые атаки. Утилиты, отправляющие специально оформленные запросы на атакуемые компьютеры в сети, в результате чего атакуемая система прекращает работу. Используют уязвимости в программном обеспечении и операционных системах, в результате чего сетевой запрос специального вида вызывает критическую ошибку в атакуемом приложении. Сетевые угрозы
ГрГУ им. Я.Купалы 2011/2012 КОМПЬЮТЕРНЫЕ СИСТЕМЫ И СЕТИ Безопасность передачи данных Использование протокола ARP Сканирование зоны DNS Сканирование сети методом ping Сканирование TCP портов Сканирование UDP портов Сетевые угрозы
ГрГУ им. Я.Купалы 2011/2012 КОМПЬЮТЕРНЫЕ СИСТЕМЫ И СЕТИ Безопасность передачи данных Фильтрация трафика. Локализация трафика (VLAN, VPN). Организация маршрутов через надёжные узлы. Использование средств шифрования трафика (криптографии) - самый действенный способ борьбы со снифферами. IPSec, SSL, SSH. Противодействие сетевым угрозам
ГрГУ им. Я.Купалы 2011/2012 КОМПЬЮТЕРНЫЕ СИСТЕМЫ И СЕТИ Безопасность передачи данных 1. Межсетевые экраны – средства, организующие фильтрацию пакетов на основе их заголовков и/или других критериев. 2. Снифферы – программы, осуществляющие перехват всего проходящего трафика в сегменте для дальнейшего его анализа вручную или автоматическими средствами. 3. Средства обнаружения атак/вторжений – так же, как и снифферы, перехватывают весь или часть траффика и осуществляют поиск в нём подозрительных событий. Используются различные методы поиска, чаще всего сигнатурный метод. Иногда средства обнаружения вторжений дополнительно имеют свойства из других категорий. 4. Ловушки – осуществляющие имитацию работы той или иной службы/хоста/сети. Контролирующие и протоколирующие все обращения к ним. Перспективны с точки зрения сбора доказательств злого умысла нападающего, не подвергая при этом реальные системы какой-либо опасности. 5. Антивирусные программы, осуществляющие поиск вирусов и подозрений на вирусы в файлах или информационных потоках. Противодействие сетевым угрозам
Компьютерные системы и сети Олизарович Евгений Владимирович ГрГУ им. Я.Купалы, 2011/2012 Безопасность передачи данных. VPN