Защита информации компьютерных сетей

направлениях,  и  ассоциируя  запросы  с  ответами  на  них.   В   результат
получается аналог виртуального соединения для  дейтаграммного  протокола,  а
все попытки нелегального установлении  подобного  соединения,  равно  как  и
дейтаграммы,  следующие  вне  установленных  соединений,   обрабатывают™   в
соответствии с установленной политикой межсетевого взаимодействия.

      RPC-сервисы   сложны   для   фильтрации   из-за   переменных   номеров
используемых портов. Брандмауэры отслеживают RPC-трафик, выявляя  запросы  к
функции PORTMAPPER и извлекая из ответов выделенные номера портов

      Протокол  ICMP   используется   самим   IP-протоколом   для   отправки
контрольных сообщений, информации  об  ошибках,  а  также  для  тестирования
целостности сети. Для ICMP протокола не  используется  концепция  портов.  В
нем используются числа от 0  до  255  для  указания  типа  сервиса,  которые
вместе: адресами и учитываются при контроле межсетевого взаимодействия.

      После  того  как  база  правил  сформирована,   она   проверяется   на
непротиворечивость.  Это  очень  важный  момент,  особенно   для   развитых,
многокомпонентных сетевых  конфигураций  со  сложной  политикой  межсетевого
взаимодействия.  Без  подобной  возможности  администрирование   межсетевого
экрана с неизбежностью  привело  бы  к  многочисленным  ошибкам  и  созданию
слабостей. Проверка сформированных правил на непротиворечивость  выполняется
автоматически. Обнаруженные  неоднозначности  должны  быть  устранены  путем
редактирования  противоречивых  правил.  После  окончательного   определения
правил  и  устранения   ошибок   от   администратора   могут   потребоваться
дополнительные действия по компиляции и установке  фильтров  и  посредников.
Большинство брандмауэров после формирования базы  правил  выполняют  процесс
окончательной настройки автоматически.

      Проверка соответствия параметров настройки  брандмауэра  разработанной
политике межсетевого взаимодействия  может  выполняться  на  основе  анализа
протоколов работы межсетевого  экрана.  Однако  наибольшая  результативность
такой проверки будет достигнута при использовании специализированных  систем
анализа  защищенности  сети.  Наиболее  ярким  представителем  таких  систем
является  пакет  программ  Internet  Scanner  SAFEsuite  компании   Internet
Security Systems.

      Входящая  в  состав  данного  пакета   подсистема   FireWall   Scanner
обеспечивает  поиск  слабых  мест  в  конфигурации  межсетевых   экранов   и
предоставляет   рекомендации   по   их   коррекции.   Поиск   слабых    мест
осуществляется на основе проверки реакции межсетевых  экранов  на  различные
типы попыток нарушения безопасности. При этом выполняется сканирование  всех
сетевых сервисов, доступ к которым осуществляется  через  межсетевой  экран.
Для постоянного  полдержания  высокой  степени  безопасности  сети  FireWall
Scanner рекомендуется сделать частью установки межсетевого экрана.

      При настройке межсетевого экрана следует  помнить,  что  и  как  любое
другое средство, он не может защитить от некомпетентности администраторов  и
пользователей. Несанкционированные проникновения  в  защищенные  сети  могут
произойти,  например,  по  причине   выбора   легко   угадываемого   пароля.
Экранирующая система не защищает также от нападения по не контролируемым  ею
каналам  связи.  Если  между  потенциально  враждебной   внешней   сетью   и
защищаемой внутренней сетью имеется неконтролируемый  канал,  то  брандмауэр
не сможет защитить от атаки через него. Это  же  относится  и  к  телефонным
каналам  передачи  данных.  Если   модем   позволяет   подключиться   внутрь
защищаемой сети в обход  межсетевого  экрана,  то  защита  будет  разрушена.
Здесь  следует  вспомнить  основной  принцип  защиты  —  система   безопасна
настолько,  насколько  безопасно  ее  самое  незащищенное   звено.   Поэтому
необходимо, чтобы экранирующая система контролировала  все  каналы  передачи
информации между внутренней и внешней сетью.


                               2. Криптография

                Проблема  защиты   информации   путем   ее   преобразования,
исключающего ее прочтение посторонним  лицом  волновала  человеческий  ум  с
давних  времен.  История  криптографии  -  ровесница  истории  человеческого
языка.  Более  того,  первоначально   письменность   сама   по   себе   была
криптографической системой, так как в древних обществах  ею  владели  только
избранные. Священные книги Древнего Египта, Древней Индии тому примеры.
      С   широким   распространением   письменности    криптография    стала
формироваться как самостоятельная наука.  Первые  криптосистемы  встречаются
уже в начале нашей эры. Так, Цезарь в своей переписке использовал уже  более
менее систематический шифр, получивший его имя.
      Бурное развитие криптографические системы получили  в  годы  первой  и
второй мировых войн. Начиная с послевоенного  времени  и  по  нынешний  день
появление вычислительных средств  ускорило  разработку  и  совершенствование
криптографических методов.
      Криптографические  методы  защиты  информации   в   автоматизированных
системах могут применяться как для защиты информации, обрабатываемой  в  ЭВМ
или хранящейся  в  различного  типа  ЗУ,  так  и  для  закрытия  информации,
передаваемой  между  различными  элементами   системы   по   линиям   связи.
Криптографическое     преобразование      как      метод      предупреждения
несационированного  доступа  к  информации  имеет  многовековую  историю.  В
настоящее  время   разработано   большое   колличество   различных   методов
шифрования, созданы  теоретические  и  практические  основы  их  применения.
Подавляющие число  этих  методов  может  быть  успешно  использовано  и  для
закрытия информации. Под шифрованием в данном едаваемых сообщений,  хранение
информации (документов, баз данных) на носителях в зашифрованном виде.
      Почему   проблема   использования    криптографических    методов    в
информационных системах (ИС) стала в настоящий момент особо актуальна?
      С одной  стороны,  расширилось  использование  компьютерных  сетей,  в
частности глобальной сети Интернет, по  которым  передаются  большие  объемы
информации государственного, военного, коммерческого и  частного  характера,
не допускающего возможность доступа к ней посторонних лиц.
      С другой стороны,  появление  новых  мощных  компьютеров,   технологий
сетевых   и   нейронных   вычислений   сделало    возможным    дискредитацию
криптографических   систем   еще   недавно   считавшихся    практически   не
раскрываемыми.
      Проблемой  защиты  информации  путем  ее   преобразования   занимается
криптология (kryptos - тайный, logos - наука).  Криптология  разделяется  на
два направления - криптографию и криптоанализ. Цели этих  направлений  прямо
противоположны.
      Криптография занимается поиском и исследованием математических методов
преобразования информации.
      Сфера   интересов   криптоанализа    -     исследование    возможности
расшифровывания информации без знания ключей.
      Современная криптография включает в себя четыре крупных раздела:
    1. Симметричные криптосистемы.
    2. Криптосистемы с открытым ключом.
    3. Системы электронной подписи.
    4. Управление ключами.
      Основные  направления   использования  криптографических   методов   -
передача   конфиденциальной   информации   по   каналам   связи   (например,
электронная  почта),  установление   подлинности   передаваемых    сообщений
,хранение информации (документов,баз данных) на  носителях  в  зашифрованном
виде.
        Криптографические  методы  защиты  информации  в  автоматизированных
системах могут применяться как для защиты информации, обрабатываемой  в  ЭВМ
или хранящейся  в  различного  типа  ЗУ,  так  и  для  закрытия  информации,
передаваемой  между  различными  элементами   системы   по   линиям   связи.
Криптографическое     преобразование      как      метод      предупреждения
несационированного  доступа  к  информации  имеет  многовековую  историю.  В
настоящее  время   разработано   большое   колличество   различных   методов
шифрования, созданы  теоретические  и  практические  основы  их  применения.
Подавляющие число  этих  методов  может  быть  успешно  использовано  и  для
закрытия информации.
      Итак, криптография дает  возможность  преобразовать  информацию  таким
образом, что  ее  прочтение  (восстановление)  возможно  только  при  знании
ключа.
      В качестве информации, подлежащей  шифрованию  и  дешифрованию,  будут
рассматриваться  тексты,  построенные  на  некотором  алфавите.  Под   этими
терминами понимается следующее.
      Алфавит - конечное множество используемых для  кодирования  информации
знаков.
      Текст - упорядоченный набор из элементов алфавита.
      В качестве примеров алфавитов, используемых  в  современных  ИС  можно
привести следующие:
 алфавит Z33 - 32 буквы русского алфавита и пробел;
 алфавит Z256 - символы, входящие в стандартные коды ASCII и КОИ-8;
 бинарный алфавит - Z2 = {0,1};
 восьмеричный алфавит или шестнадцатеричный алфавит;
      Шифрование - преобразовательный процесс: исходный текст, который носит
также название открытого текста, заменяется шифрованным текстом.

      Дешифрование  -  обратный  шифрованию   процесс.   На   основе   ключа
шифрованный текст преобразуется в исходный.



                    Рис. 1. Процедура шифрования файлов.
      Ключ - информация, необходимая  для  беспрепятственного  шифрования  и
дешифрования текстов.
      Криптографическая   система    представляет    собой    семейство    T
преобразований открытого текста. Члены этого  семейства  индексируются,  или
обозначаются символом k; параметр k является ключом. Пространство  ключей  K
- это  набор  возможных  значений  ключа.  Обычно  ключ  представляет  собой
последовательный ряд букв алф

1 2 3 4 5

скачать работу

Отправка СМС бесплатно