Компьютерные системы и сети Олизарович Евгений Владимирович ГрГУ им. Я.Купалы. 2012/2013 Безопасность передачи данных. - презентация

1 Компьютерные системы и сети Олизарович Евгений Владимирович ГрГУ им. Я.Купалы. 2012/2013 Безопасность передачи данных

2 ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Задачи: Обеспечение доступности (availability) - авторизованные пользователи всегда должны иметь доступ к необходимой информации. Обеспечение конфиденциальности (confidentiality) - система должна обеспечивать доступ к данным только тем пользователям, которым этот доступ разрешен (такие пользователи называются авторизованными). Обеспечение целостности (integrity) - подразумевает, что неавторизованные пользователи не могут каким-либо образом модифицировать данные. Безопасность

3 ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Шифрование – процесс преобразования сообщения из открытого текста (plaintext) в шифротекст (ciphertext) В алгоритмах шифрования предусматривается наличие ключа (key) - параметра, не зависящего от текста. Результат применения алгоритма шифрования зависит от используемого ключа. Стойкость шифра должна определяться только секретностью ключа (т.е.алгоритмы шифрования считаются известными). Безопасность

4 ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Использование шифрования: защита содержания данных: шифрование потока (SSL, TLS) шифрование канала (VPN); контроль целостности: хэш-функции; электронные цифровые подписи. Безопасность

5 ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Хэш-функция – это необратимое преобразование данных (односторонняя функция) произвольной длины в выходную строку фиксированной длины (хеш-код, дайджест). Шифрование MD5 (Message Digest 5) битный алгоритм хеширования. SHA-1 (Secure Hash Algorithm 1) - алгоритм генерирующий 160- битное хеш-значение. SHA-2 (Secure Hash Algorithm Version 2) - алгоритмы, использующие хеш-функции SHA-224, SHA-256, SHA-384 и SHA-512. Безопасность

6 ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Cимметричный метод шифрования - один и тот же секретный ключ используется как для шифрования, так и для дешифрования данных. Пример: DES Шифрование Безопасность

7 ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Data Encryption Standard (DES) - использует 56-битный ключ для шифрования 64- битных блоков данных. Обеспечивает хорошую производительность при обеспечении конфиденциальности, приемлемой для ряда некритичных задач. Triple DES (3DES) - создан для замены алгоритма DES, использует три различных 56- битных ключа для тройного шифрования данных 64-битного блока данных, что эквивалентно применению 168-битного ключа (2168 возможных ключей). Основной недостаток - медленная работа. Advanced Encryption Standard (AES) - быстрый и эффективный алгоритм симметричного шифрования, позволяющий использовать ключи различной длины 128, 192 и 256 бит для шифрования 128-битных блоков данных. Принят в США в качестве стандартного. ГОСТ российский стандартом для алгоритмов шифрования. Использует 256- битный ключ и оперирует 64-битными блоками данных. Алгоритм RC4 потоковый алгоритм симметричного шифрования с длиной ключа от 40 до 256 бит. Алгоритмы симметричного шифрования: Безопасность

8 ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Асимметричный метод шифрования (шифрование с открытым ключом) - используются два ключа. Один открытый ( несекретный), другой - закрытый (секретный). Пример: RSA Шифрование Безопасность

9 ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Алгоритмы симметричного шифрования: RSA - блочный криптографический алгоритм с открытым ключом. Используется и для шифрования, и для цифровой подписи. DSA (Digital Signature Algorithm) - алгоритм с использованием открытого ключа для создания электронной подписи (не для шифрования). ГОСТ Р – «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи» - российский стандарт, описывающий алгоритмы формирования и проверки электронной цифровой подписи. Безопасность

10 ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети сочетание симметричного и асимметричного методов Шифрование Безопасность

11 ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Длина симметричного ключа, бит Длина несимметричного ключа, бит Стойкость алгоритмов шифрования: Безопасность

12 ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Электронная цифровая подпись создание проверка DSS (Digital Signature Standard) - стандарт цифровой подписи Безопасность

13 ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Цифровой сертификат структура: порядковый номер сертификата; идентификатор алгоритма электронной подписи; имя удостоверяющего центра; срок годности; имя владельца сертификата; открытые ключи владельца сертификата; ….. электронная подпись, сгенерированная с использованием секретного ключа удостоверяющего центра. свойства: любой пользователь, знающий открытый ключ удостоверяющего центра, может узнать открытые ключи других клиентов центра и проверить целостность сертификата; никто, кроме удостоверяющего центра, не может модифицировать информацию о пользователе без нарушения целостности сертификата. Безопасность

14 ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети SSL (Secure Sockets Layer) TLS (Transport Layer Security) устанавливают алгоритмы шифрования и ключи на обоих сторонах и создают шифрованный туннель, по которому могут передаваться другие протоколы (например HTTP) Шифрование потока (уровень представления и прикладной) Безопасность

15 ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети VPN виртуальные частные сети Виртуальные частные сети

16 ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Virtual Private Net (VPN) Virtual Private Net (VPN) – технология подключения клиента к VPN-серверу при помощи специального программного обеспечения поверх общедоступной сети. Виртуальные частные сети

17 ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети В установленном соединении организуется зашифрованный канал, обеспечивающий высокую защиту передаваемой по этому каналу информации за счёт применения специальных алгоритмов кодирования. Технология позволяет нескольким пользователям организовать в одной сетевой инфраструктуре множество изолированных частных сетей, с выполнением требований владельца по пропускной способности, безопасности, адресации и т.д.). Применяется для решения проблемы создания множества изолированных ведомственных сетей на базе одной технической инфраструктуры. Виртуальные частные сети

18 ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Виртуальные частные сети

19 ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Туннель Туннель - логический путь данных, через который пересылаются пакеты. Для источника и объекта назначения туннель является прозрачным и выглядит как обычное соединение между хостами. Оконечные точки (в туннеле) не имеют информации о маршрутах, прокси-серверах и иных шлюзах, через которые проходят пакеты, образующие туннель. Generic Routing Encapsulation (GRE) Виртуальные частные сети

20 ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети

21 ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Customer Provided VPN - Организация VPN силами потребителя Provider Provisioned VPN - Организация VPN силами оператора связи Виртуальные частные сети

22 ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Способы организации туннелей PPTP (Point-to-Point Tunneling Protocol) L2TP (Layer 2 Tunneling Protocol) IPsec (IP Security Protocol) Виртуальные частные сети

23 ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети PPTP (Point-to-Point Tunneling Protocol) – расширение протокола PPP (Point-to-Point Protocol) для создания защищенных виртуальных каналов. Создание защищенного туннеля на канальном уровне модели OSI. Для передачи используются IP-пакеты, с инкапсулированными PPP-пакетами. PPP-пакеты содержат зашифрованные исходные пакеты (IP, IPX, NetBEUI). Способы организации туннелей VPN

24 ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети L2TP (Layer 2 Tunneling Protocol) – туннельный протокол, который обеспечивает инкапсуляцию и пересылку кадров протокола PPP. шифрует IP-трафик и пересылает через среду. использует IPSec шифрование для защиты потоков данных обеспечивают более высокую степень защиты данных, чем PPTP используется аутентификация, основанная на сертификатах. Способы организации туннелей VPN

25 ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Способы организации туннелей VPN

26 ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети IPsec (IP Security Protocol) – это служба (протокол), обеспечивающая аутентификацию, доступ и контроль за надежностью работает на сетевом уровне позволяет создавать кодированные туннели VPN или кодировать трафик между двумя узлами. В состав службы входят протоколы: AH (Autentication Header) – заголовок аутентификации, ESP (Encapsulating Security Payload – инкапсуляция зашифрованных данных), IKE (Internet Key Exchange – обмен ключами). для шифрования данных может применяться любой симметричный алгоритм шифрования Способы организации туннелей VPN

27 ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети MPLS (Multiprotocol Label Switching) - аппаратные сети MPLS VPN могут строиться как на канальном (L2VPN), так и на сетевом (L3VPN) уровнях модели взаимодействия OSI хорошая масштабируемость автоматическое конфигурирование управление трафиком обеспечение качества (QoS) RFC2547bis Способы организации туннелей VPN

28 ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Альтернатива обособленным корпоративным сетям отсутствие значительных капитальных вложений при создании сети; развитая топология сети (широкий географический охват); высокая надежность; легкость масштабирования (подключения новых сетей или пользователей); оперативность в изменении конфигурации; возможность интеграции дополнительных сервисных возможностей. Преимущества VPN

29 ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Удаленный доступ к корпоративной сети Коммутируемые каналы Выделенные линии VPN

30 ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Удаленный доступ к корпоративной сети

31 ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Удаленный доступ к корпоративной сети

32 ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Сетевая безопасность Угрозы сетевой безопасности

33 ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Spoofing – подмена адреса (MAC, IP, DNS) DoS (Denial of Service), DDoS - посылка многочисленных запросов к серверам и сервисам, приводящих к отказу в обслуживании Flood (ping, SYN) - «затопление» каналов передачи посылкой большого количества бесполезных сообщений (IP-сети, электронная почта, форум и т. д.) Nuker - фатальные сетевые атаки. Утилиты, отправляющие специально оформленные запросы на атакуемые компьютеры в сети, в результате чего атакуемая система прекращает работу. Угрозы сетевой безопасности

34 ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Использование протокола ARP Сканирование зоны DNS Сканирование сети методом ping Сканирование TCP портов Сканирование UDP портов Угрозы сетевой безопасности

35 ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Фильтрация трафика. Локализация трафика (VLAN, VPN). Организация маршрутов через надёжные узлы. Использование средств шифрования трафика (криптографии). IPSec, SSL, SSH. Методы противодействия сетевым угрозам

36 ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети демилитаризованные зоны – предназначенные для размещения серверов сегменты ЛВС, частично изолированные как от Интернет, так и от внутренней сети; парольная защита – средство ограничения доступа к сетевому оборудованию, серверам и персональным компьютерам; ограничение доступа к оборудованию – система мер по ограничению физического доступа в серверные комнаты и телекоммуникационные шкафы; резервирование – система организационно-технических мер по созданию и хранению резервных копий файлов, баз данных, конфигураций. Методы противодействия сетевым угрозам

37 ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети 1. Межсетевые экраны – средства, организующие фильтрацию пакетов на основе их заголовков и/или других критериев. 2. Снифферы – программы, осуществляющие перехват всего проходящего трафика в сегменте для дальнейшего его анализа вручную или автоматическими средствами. 3. Средства обнаружения атак/вторжений – так же, как и снифферы, перехватывают весь или часть траффика и осуществляют поиск в нём подозрительных событий. Используются различные методы поиска, чаще всего сигнатурный метод. Иногда средства обнаружения вторжений дополнительно имеют свойства из других категорий. 4. Ловушки – осуществляющие имитацию работы той или иной службы/хоста/сети. Контролирующие и протоколирующие все обращения к ним. Перспективны с точки зрения сбора доказательств злого умысла нападающего, не подвергая при этом реальные системы какой-либо опасности. 5. Антивирусные программы, осуществляющие поиск вирусов и подозрений на вирусы в файлах или информационных потоках. Средства противодействия сетевым угрозам

38 ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Безопасность

39 Компьютерные системы и сети Олизарович Евгений Владимирович ГрГУ им. Я.Купалы. 2012/2013 Безопасность передачи данных