Особенности безопасности в компьютерных сетях

Особенности безопасности в компьютерных сетях 1. Безопасность компьютера – защита данных, хранящихся и обрабатывающихся внутри компьютер. 2. Сетевая безопасность: - защита данных в момент их передачи по линиям связи – защита трафика; - защита от несанкционированного удаленного доступа в сеть – контроль доступа. При обработке любого запроса существует опасность нарушения защиты данных. 1. Пассивное нарушение безопасности данных. 2. Искажение данных. 3. Присвоение имени. Общие принципы защиты • Законодательные средства • Организационные (или процедурные) меры • Административные меры • Морально-этические средства • Психологическая подготовка • Технические средства защиты Рассмотрим технические средства защиты в компьютерных сетях Технические средства безопасности в IP-сетях 1. Протоколы защищенного канала. 2. Межсетевые экраны. 3. Антивирусная защита. Протоколы защищенного канала Протоколы SSL и TLS (см. рис. 1) Secure Sockets Layer  (SSL) был разработан для обеспечения аутентификации, целостности и секретности трафика на сеансовой уровне модели OSI в стеке TCP/IP – на прикладном уровне. Протокол предусматривает два этапа взаимодействия клиента и сервера: 1. Установление SSL- сеcсии (процедура handshake - рукопожатия): - аутентификация сторон соединения; - распределения ключей сессия; - определяются настраиваемые параметры соединения 2. Защищенное взаимодействие SSL использует криптографические алгоритмы: • асимметричные алгоритмы RSA и Диффи-Хеллмана • алгоритмы вычисления хэш-функций MD5 и  SHA1 • алгоритмы симметричного шифрования RC2, RC4, DES, TripleDES, IDEA Transport Layer Security (TLS) разработан на смену SSL. SSL/TLS обеспечивают защищенное соединение, которое могут использовать протоколы более высокого уровня – HTTP, FTP, SMTP и др. Широко используются для защиты данных по HTTP (режим HTTPS). Для этого должны использоваться SSL-совместимые Web-сервер и Web-браузер.  Особенности применения SSL/TLS Протокол SSL / TLS позволяет двум незнакомым между собой участникам установить защищенное соединение через незащищенный канал. Приложения должны включать в себя дополнительные модули, чтобы использовать услуги SSL/TLS протокола. Рис. 1. Структура протокола SSL/TLS Протоколы IPSec (IP Security) (см. рис. 2) Набор протоколов для обеспечения безопасности на уровне IP. Организует аутентификацию, шифрование и автоматическое снабжение конечных точек канала секретными ключами.  Возможности: • контроль доступа • контроль целостности данных • аутентификация данных обеспечение конфиденциальности Основная задача – создание между двумя компьютерами, связанными через составную (небезопасную) IP-сеть, безопасного туннеля, по которому передаются конфиденциальные данные. Прозрачен для приложений (на работу приложений не влияет). Архитектура IPSec открытая – позволяет использовать новые криптографические алгоритмы – национальные стандарты. Поддерживает два режима: • транспортный (защита данных а пакете) • туннельный (защита всего пакета, включая заголовок) Каждый из участников соединения должен иметь специальное программное обеспечение и сконфигурировать параметры туннеля. Являются дополнение к IPv4 и частью IPv6. Основополагающие понятия IPSec: • аутентификационный заголовок (АН) • безопасное сокрытие данных (ESP) • контексты (ассоциации) безопасности (SA) • управление ключами (IKE) IPSec выполняется на хосте или шлюзе безопасности, обеспечивая защиту IP- трафика. Термин шлюз безопасности используется для обозначения промежуточной системы, которая реализует IPSec-протоколы. Защита основана на требованиях, определенных в Базе Данных Политики Безопасности (Security Policy Database- SPD), определяемой и поддерживаемой системным администратором. Рис. 2. Структура протоколов IPSec Межсетевой экран (firewall), сетевой фильтр, брандмауэр Это устройство контроля доступом, защищающее внутренние сети от внешних атак. Оно устанавливается на границе между внешней и внутренней сетью. Аппаратно функции межсетевого экрана могут выполнять компьютер, маршрутизатор или специализированное устройство - сервер доступа, на которых установлено специальное программное обеспечение. Схема межсетевого подключения изображения на рис.3. Рис. 3. Межсетевое подключение брандмауэра Эффективность работы межсетевого экрана обусловлена возможностью изменить реализуемый стек протоколов TCP/IP, и, следовательно, нарушить работу межсетевого экрана с помощью команд из внешней сети (что часто делается хакерами) невозможно. Брандмауэр может контролировать все информационные потоки. Основная функция - контроль трафика. Контроль трафика состоит в его фильтрации: •  это выборочное пропускание данных; • создание специальных извещений отправителю, если его данным отказано в пропуске. Фильтрация осуществляется на основании набора условий (правил), предварительно загруженных в брандмауэр и отражающих концепцию информационной безопасности корпорации. Реализация контроля трафика 1. Физическое отделение рабочих станций и серверов внутреннего сегмента сети (внутренней подсети) от внешних каналов связи. 2. Многоэтапная идентификация запросов, поступающих в сеть (идентификация серверов, узлов связи и прочих компонентов внешней сети). 3. Проверка полномочий и прав доступа пользователей к внутренним ресурсам сети. 4. Регистрация всех запросов к компонентам внутренней подсети извне. 5. Контроль целостности программного обеспечения и данных. 6. Экономия адресного пространства сети (во внутренней подсети может использоваться локальная система адресации серверов и узлов). 7. Сокрытие IP-адресов внутренних серверов с целью защиты от хакеров. Брандмауэры могут работать на разных уровнях стека TCP/IP • на сетевом уровне выполняется фильтрация поступающих пакетов, основанная на IP-адреса;н • на транспортном уровне фильтрация по номерам портов TCP; • на прикладном уровне может выполняться анализ прикладных протоколов (FTP, HTTP, SMTP) и контроль за содержанием потоков данных. Основные компоненты брандмауэра • политика сетевого доступа; • механизмы усиленной аутентификации; • фильтрация пакетов; • прикладные шлюзы.