Особенности безопасности в компьютерных сетях
Выбери формат для чтения
Загружаем конспект в формате docx
Это займет всего пару минут! А пока ты можешь прочитать работу в формате Word 👇
Особенности безопасности в компьютерных сетях
1. Безопасность компьютера – защита данных, хранящихся и обрабатывающихся внутри компьютер.
2. Сетевая безопасность:
- защита данных в момент их передачи по линиям связи – защита трафика;
- защита от несанкционированного удаленного доступа в сеть – контроль доступа.
При обработке любого запроса существует опасность нарушения защиты данных.
1. Пассивное нарушение безопасности данных.
2. Искажение данных.
3. Присвоение имени.
Общие принципы защиты
• Законодательные средства
• Организационные (или процедурные) меры
• Административные меры
• Морально-этические средства
• Психологическая подготовка
• Технические средства защиты
Рассмотрим технические средства защиты в компьютерных сетях
Технические средства безопасности в IP-сетях
1. Протоколы защищенного канала.
2. Межсетевые экраны.
3. Антивирусная защита.
Протоколы защищенного канала
Протоколы SSL и TLS (см. рис. 1)
Secure Sockets Layer (SSL) был разработан для обеспечения аутентификации, целостности и секретности трафика на сеансовой уровне модели OSI в стеке TCP/IP – на прикладном уровне.
Протокол предусматривает два этапа взаимодействия клиента и сервера:
1. Установление SSL- сеcсии (процедура handshake - рукопожатия):
- аутентификация сторон соединения;
- распределения ключей сессия;
- определяются настраиваемые параметры соединения
2. Защищенное взаимодействие
SSL использует криптографические алгоритмы:
• асимметричные алгоритмы RSA и Диффи-Хеллмана
• алгоритмы вычисления хэш-функций MD5 и SHA1
• алгоритмы симметричного шифрования RC2, RC4, DES, TripleDES, IDEA
Transport Layer Security (TLS) разработан на смену SSL.
SSL/TLS обеспечивают защищенное соединение, которое могут использовать протоколы более высокого уровня – HTTP, FTP, SMTP и др. Широко используются для защиты данных по HTTP (режим HTTPS). Для этого должны использоваться SSL-совместимые Web-сервер и Web-браузер.
Особенности применения SSL/TLS
Протокол SSL / TLS позволяет двум незнакомым между собой участникам установить защищенное соединение через незащищенный канал. Приложения должны включать в себя дополнительные модули, чтобы использовать услуги SSL/TLS протокола.
Рис. 1. Структура протокола SSL/TLS
Протоколы IPSec (IP Security) (см. рис. 2)
Набор протоколов для обеспечения безопасности на уровне IP. Организует аутентификацию, шифрование и автоматическое снабжение конечных точек канала секретными ключами.
Возможности:
• контроль доступа
• контроль целостности данных
• аутентификация данных обеспечение конфиденциальности
Основная задача – создание между двумя компьютерами, связанными через составную (небезопасную) IP-сеть, безопасного туннеля, по которому передаются конфиденциальные данные. Прозрачен для приложений (на работу приложений не влияет). Архитектура IPSec открытая – позволяет использовать новые криптографические алгоритмы – национальные стандарты.
Поддерживает два режима:
• транспортный (защита данных а пакете)
• туннельный (защита всего пакета, включая заголовок)
Каждый из участников соединения должен иметь специальное программное обеспечение и сконфигурировать параметры туннеля. Являются дополнение к IPv4 и частью IPv6.
Основополагающие понятия IPSec:
• аутентификационный заголовок (АН)
• безопасное сокрытие данных (ESP)
• контексты (ассоциации) безопасности (SA)
• управление ключами (IKE)
IPSec выполняется на хосте или шлюзе безопасности, обеспечивая защиту IP- трафика. Термин шлюз безопасности используется для обозначения промежуточной системы, которая реализует IPSec-протоколы. Защита основана на требованиях, определенных в Базе Данных Политики Безопасности (Security Policy Database- SPD), определяемой и поддерживаемой системным администратором.
Рис. 2. Структура протоколов IPSec
Межсетевой экран (firewall), сетевой фильтр, брандмауэр
Это устройство контроля доступом, защищающее внутренние сети от внешних атак. Оно устанавливается на границе между внешней и внутренней сетью.
Аппаратно функции межсетевого экрана могут выполнять компьютер, маршрутизатор или специализированное устройство - сервер доступа,
на которых установлено специальное программное обеспечение.
Схема межсетевого подключения изображения на рис.3.
Рис. 3. Межсетевое подключение брандмауэра
Эффективность работы межсетевого экрана обусловлена возможностью изменить реализуемый стек протоколов TCP/IP, и, следовательно, нарушить работу межсетевого экрана с помощью команд из внешней сети (что часто делается хакерами) невозможно. Брандмауэр может контролировать все информационные потоки.
Основная функция - контроль трафика. Контроль трафика состоит в его фильтрации:
• это выборочное пропускание данных;
• создание специальных извещений отправителю, если его данным отказано в пропуске.
Фильтрация осуществляется на основании набора условий (правил), предварительно загруженных в брандмауэр и отражающих концепцию информационной безопасности корпорации.
Реализация контроля трафика
1. Физическое отделение рабочих станций и серверов внутреннего сегмента сети (внутренней подсети) от внешних каналов связи.
2. Многоэтапная идентификация запросов, поступающих в сеть (идентификация серверов, узлов связи и прочих компонентов внешней сети).
3. Проверка полномочий и прав доступа пользователей к внутренним ресурсам сети.
4. Регистрация всех запросов к компонентам внутренней подсети извне.
5. Контроль целостности программного обеспечения и данных.
6. Экономия адресного пространства сети (во внутренней подсети может использоваться локальная система адресации серверов и узлов).
7. Сокрытие IP-адресов внутренних серверов с целью защиты от хакеров.
Брандмауэры могут работать на разных уровнях стека TCP/IP
• на сетевом уровне выполняется фильтрация поступающих пакетов, основанная на IP-адреса;н
• на транспортном уровне фильтрация по номерам портов TCP;
• на прикладном уровне может выполняться анализ прикладных протоколов (FTP, HTTP, SMTP) и контроль за содержанием потоков данных.
Основные компоненты брандмауэра
• политика сетевого доступа;
• механизмы усиленной аутентификации;
• фильтрация пакетов;
• прикладные шлюзы.