Скачать презентацию
Идет загрузка презентации. Пожалуйста, подождите
Презентация была опубликована 11 лет назад пользователемНаталия Челпанова
1 Компьютерные системы и сети Олизарович Евгений Владимирович ГрГУ им. Я.Купалы. 2012/2013 Безопасность передачи данных
2 ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Задачи: Обеспечение доступности (availability) - авторизованные пользователи всегда должны иметь доступ к необходимой информации. Обеспечение конфиденциальности (confidentiality) - система должна обеспечивать доступ к данным только тем пользователям, которым этот доступ разрешен (такие пользователи называются авторизованными). Обеспечение целостности (integrity) - подразумевает, что неавторизованные пользователи не могут каким-либо образом модифицировать данные. Безопасность
3 ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Шифрование – процесс преобразования сообщения из открытого текста (plaintext) в шифротекст (ciphertext) В алгоритмах шифрования предусматривается наличие ключа (key) - параметра, не зависящего от текста. Результат применения алгоритма шифрования зависит от используемого ключа. Стойкость шифра должна определяться только секретностью ключа (т.е.алгоритмы шифрования считаются известными). Безопасность
4 ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Использование шифрования: защита содержания данных: шифрование потока (SSL, TLS) шифрование канала (VPN); контроль целостности: хэш-функции; электронные цифровые подписи. Безопасность
5 ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Хэш-функция – это необратимое преобразование данных (односторонняя функция) произвольной длины в выходную строку фиксированной длины (хеш-код, дайджест). Шифрование MD5 (Message Digest 5) битный алгоритм хеширования. SHA-1 (Secure Hash Algorithm 1) - алгоритм генерирующий 160- битное хеш-значение. SHA-2 (Secure Hash Algorithm Version 2) - алгоритмы, использующие хеш-функции SHA-224, SHA-256, SHA-384 и SHA-512. Безопасность
6 ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Cимметричный метод шифрования - один и тот же секретный ключ используется как для шифрования, так и для дешифрования данных. Пример: DES Шифрование Безопасность
7 ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Data Encryption Standard (DES) - использует 56-битный ключ для шифрования 64- битных блоков данных. Обеспечивает хорошую производительность при обеспечении конфиденциальности, приемлемой для ряда некритичных задач. Triple DES (3DES) - создан для замены алгоритма DES, использует три различных 56- битных ключа для тройного шифрования данных 64-битного блока данных, что эквивалентно применению 168-битного ключа (2168 возможных ключей). Основной недостаток - медленная работа. Advanced Encryption Standard (AES) - быстрый и эффективный алгоритм симметричного шифрования, позволяющий использовать ключи различной длины 128, 192 и 256 бит для шифрования 128-битных блоков данных. Принят в США в качестве стандартного. ГОСТ российский стандартом для алгоритмов шифрования. Использует 256- битный ключ и оперирует 64-битными блоками данных. Алгоритм RC4 потоковый алгоритм симметричного шифрования с длиной ключа от 40 до 256 бит. Алгоритмы симметричного шифрования: Безопасность
8 ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Асимметричный метод шифрования (шифрование с открытым ключом) - используются два ключа. Один открытый ( несекретный), другой - закрытый (секретный). Пример: RSA Шифрование Безопасность
9 ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Алгоритмы симметричного шифрования: RSA - блочный криптографический алгоритм с открытым ключом. Используется и для шифрования, и для цифровой подписи. DSA (Digital Signature Algorithm) - алгоритм с использованием открытого ключа для создания электронной подписи (не для шифрования). ГОСТ Р – «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи» - российский стандарт, описывающий алгоритмы формирования и проверки электронной цифровой подписи. Безопасность
10 ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети сочетание симметричного и асимметричного методов Шифрование Безопасность
11 ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Длина симметричного ключа, бит Длина несимметричного ключа, бит Стойкость алгоритмов шифрования: Безопасность
12 ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Электронная цифровая подпись создание проверка DSS (Digital Signature Standard) - стандарт цифровой подписи Безопасность
13 ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Цифровой сертификат структура: порядковый номер сертификата; идентификатор алгоритма электронной подписи; имя удостоверяющего центра; срок годности; имя владельца сертификата; открытые ключи владельца сертификата; ….. электронная подпись, сгенерированная с использованием секретного ключа удостоверяющего центра. свойства: любой пользователь, знающий открытый ключ удостоверяющего центра, может узнать открытые ключи других клиентов центра и проверить целостность сертификата; никто, кроме удостоверяющего центра, не может модифицировать информацию о пользователе без нарушения целостности сертификата. Безопасность
14 ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети SSL (Secure Sockets Layer) TLS (Transport Layer Security) устанавливают алгоритмы шифрования и ключи на обоих сторонах и создают шифрованный туннель, по которому могут передаваться другие протоколы (например HTTP) Шифрование потока (уровень представления и прикладной) Безопасность
15 ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети VPN виртуальные частные сети Виртуальные частные сети
16 ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Virtual Private Net (VPN) Virtual Private Net (VPN) – технология подключения клиента к VPN-серверу при помощи специального программного обеспечения поверх общедоступной сети. Виртуальные частные сети
17 ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети В установленном соединении организуется зашифрованный канал, обеспечивающий высокую защиту передаваемой по этому каналу информации за счёт применения специальных алгоритмов кодирования. Технология позволяет нескольким пользователям организовать в одной сетевой инфраструктуре множество изолированных частных сетей, с выполнением требований владельца по пропускной способности, безопасности, адресации и т.д.). Применяется для решения проблемы создания множества изолированных ведомственных сетей на базе одной технической инфраструктуры. Виртуальные частные сети
18 ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Виртуальные частные сети
19 ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Туннель Туннель - логический путь данных, через который пересылаются пакеты. Для источника и объекта назначения туннель является прозрачным и выглядит как обычное соединение между хостами. Оконечные точки (в туннеле) не имеют информации о маршрутах, прокси-серверах и иных шлюзах, через которые проходят пакеты, образующие туннель. Generic Routing Encapsulation (GRE) Виртуальные частные сети
20 ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети
21 ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Customer Provided VPN - Организация VPN силами потребителя Provider Provisioned VPN - Организация VPN силами оператора связи Виртуальные частные сети
22 ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Способы организации туннелей PPTP (Point-to-Point Tunneling Protocol) L2TP (Layer 2 Tunneling Protocol) IPsec (IP Security Protocol) Виртуальные частные сети
23 ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети PPTP (Point-to-Point Tunneling Protocol) – расширение протокола PPP (Point-to-Point Protocol) для создания защищенных виртуальных каналов. Создание защищенного туннеля на канальном уровне модели OSI. Для передачи используются IP-пакеты, с инкапсулированными PPP-пакетами. PPP-пакеты содержат зашифрованные исходные пакеты (IP, IPX, NetBEUI). Способы организации туннелей VPN
24 ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети L2TP (Layer 2 Tunneling Protocol) – туннельный протокол, который обеспечивает инкапсуляцию и пересылку кадров протокола PPP. шифрует IP-трафик и пересылает через среду. использует IPSec шифрование для защиты потоков данных обеспечивают более высокую степень защиты данных, чем PPTP используется аутентификация, основанная на сертификатах. Способы организации туннелей VPN
25 ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Способы организации туннелей VPN
26 ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети IPsec (IP Security Protocol) – это служба (протокол), обеспечивающая аутентификацию, доступ и контроль за надежностью работает на сетевом уровне позволяет создавать кодированные туннели VPN или кодировать трафик между двумя узлами. В состав службы входят протоколы: AH (Autentication Header) – заголовок аутентификации, ESP (Encapsulating Security Payload – инкапсуляция зашифрованных данных), IKE (Internet Key Exchange – обмен ключами). для шифрования данных может применяться любой симметричный алгоритм шифрования Способы организации туннелей VPN
27 ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети MPLS (Multiprotocol Label Switching) - аппаратные сети MPLS VPN могут строиться как на канальном (L2VPN), так и на сетевом (L3VPN) уровнях модели взаимодействия OSI хорошая масштабируемость автоматическое конфигурирование управление трафиком обеспечение качества (QoS) RFC2547bis Способы организации туннелей VPN
28 ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Альтернатива обособленным корпоративным сетям отсутствие значительных капитальных вложений при создании сети; развитая топология сети (широкий географический охват); высокая надежность; легкость масштабирования (подключения новых сетей или пользователей); оперативность в изменении конфигурации; возможность интеграции дополнительных сервисных возможностей. Преимущества VPN
29 ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети
30 ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Удаленный доступ к корпоративной сети Коммутируемые каналы Выделенные линии VPN
31 ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Применение VPN Удаленный доступ к корпоративной сети
32 ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Удаленный доступ к корпоративной сети
33 ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Цифровой сертификат
34 ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Сетевая безопасность Угрозы сетевой безопасности
35 ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Spoofing – подмена адреса (MAC, IP, DNS) DoS (Denial of Service), DDoS - посылка многочисленных запросов к серверам и сервисам, приводящих к отказу в обслуживании Flood (ping, SYN) - «затопление» каналов передачи посылкой большого количества бесполезных сообщений (IP-сети, электронная почта, форум и т. д.) Nuker - фатальные сетевые атаки. Утилиты, отправляющие специально оформленные запросы на атакуемые компьютеры в сети, в результате чего атакуемая система прекращает работу. Угрозы сетевой безопасности
36 ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Использование протокола ARP Сканирование зоны DNS Сканирование сети методом ping Сканирование TCP портов Сканирование UDP портов Угрозы сетевой безопасности
37 ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Фильтрация трафика Локализация трафика (VLAN, VPN) Организация маршрутов через надёжные узлы Использование средств шифрования трафика (криптографии). IPSec, SSL, SSH Авторизация Методы противодействия сетевым угрозам Безопасность на каждом уровне взаимодействия
38 ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети демилитаризованные зоны – предназначенные для размещения серверов сегменты ЛВС, частично изолированные как от Интернет, так и от внутренней сети; парольная защита – средство ограничения доступа к сетевому оборудованию, серверам и персональным компьютерам; ограничение доступа к оборудованию – система мер по ограничению физического доступа в серверные комнаты и телекоммуникационные шкафы; резервирование – система организационно-технических мер по созданию и хранению резервных копий файлов, баз данных, конфигураций; Аудит – регистрация и анализ всех критических событий. Методы противодействия сетевым угрозам
39 ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Ограничение доступа Угрозы сетевой безопасности
40 ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Списки прав ACL ACL (Access Control List) – список управления правами доступа. Список мер по обеспечению безопасности, применяемый к объекту. (Объектом может быть файл, процесс, событие или какой-либо другой объект). Определяет, кто имеет право доступа к ресурсу и какие именно права (R, W, E, X, …): Файлы:ресурс пользователь права, C:\ USER_2 RW [user]$ ls -l /bin/ls -rwxr-xr-x 1 root root Sep /bin/ls Трафик: permit udp host any eq tftp deny tcp host host gt 100
41 ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Сетевое приложение Доступ к файлам и данным. Права доступа. 1. Приложения (доступ к данным) 2. Сетевая подсистема (доступ к приложениям) 3. Файловая система (доступ к файлам) Права доступа
42 ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Чтение (R). Разрешается просматривать вложенные папки и файлы, а также их свойства, такие как имя владельца, разрешения и атрибуты чтения, такие как Только чтение, Скрытый, Архивный и Системный. Запись (W). Разрешается создавать и размещать внутри папки новые файлы и подпапки, а также изменять параметры папки и просматривать ее свойства, в частности имя владельца и разрешения доступа. Список содержимого папки (L). Разрешается просматривать имена содержащихся в папке файлов и вложенных папок. Чтение и выполнение (X). Разрешается получение доступа к файлам во вложенных папках, даже если нет доступа к самой папке. Кроме того, разрешены те же действия, которые предусмотрены для разрешений Чтение и Список содержимого папки. Изменение (M). Разрешены все действия, предусмотренные для разрешений Чтение и Чтение и выполнение, а также разрешено удаление папки. Полный доступ (A). Разрешается полный доступ к папке. Другими словами, допускаются все действия, предусмотренные всеми перечисленными выше разрешениями. Дополнительно разрешено стать владельцем папки и изменять ее разрешения. Виды прав доступа к ресурсам Права устанавливаются для ресурса или для пользователя Права доступа
43 ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети MS (NW) RЧтение WЗапись XВыполнение D (E)Удаление P (A) Изменение разрешений O Принятие статуса владельца A (S)Все права L (F)Просмотр каталога No AccessНет доступа Сочетание прав. · LR пользователь может просматривать каталоги и имена файлов в каталогах. · RX пользователь может читать файлы из каталога и запускать программы. · WX пользователь может добавлять файлы в каталог, но не читать или просматривать содержимое каталога. · RWX пользователь имеет права на чтение и добавление данных. · RWXD пользователь имеет право читать, добавлять, менять содержимое каталога и удалять файлы. · RWXDPO пользователь обладает всеми правами доступа. Права доступа
44 ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Установка прав файлового доступа Установка прав сетевого доступа Права доступа
45 ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Наследование правРезультирующие права Права доступа
46 ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Учётные записи
47 ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Учётные записи
48 ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети 1. Межсетевые экраны – средства, организующие фильтрацию пакетов на основе их заголовков и/или других критериев. 2. Снифферы – программы, осуществляющие перехват всего проходящего трафика в сегменте для дальнейшего его анализа вручную или автоматическими средствами. 3. Средства обнаружения атак/вторжений – так же, как и снифферы, перехватывают весь или часть траффика и осуществляют поиск в нём подозрительных событий. Используются различные методы поиска, чаще всего сигнатурный метод. Иногда средства обнаружения вторжений дополнительно имеют свойства из других категорий. 4. Ловушки – осуществляющие имитацию работы той или иной службы/хоста/сети. Контролирующие и протоколирующие все обращения к ним. Перспективны с точки зрения сбора доказательств злого умысла нападающего, не подвергая при этом реальные системы какой-либо опасности. 5. Антивирусные программы, осуществляющие поиск вирусов и подозрений на вирусы в файлах или информационных потоках. Средства противодействия сетевым угрозам
49 Компьютерные системы и сети Олизарович Евгений Владимирович ГрГУ им. Я.Купалы. 2012/2013 Безопасность передачи данных
Еще похожие презентации в нашем архиве:
© 2024 MyShared Inc.
All rights reserved.