Главная    Почта    Новости    Каталог    Одноклассники    Погода    Работа    Игры     Рефераты     Карты
  
по Казнету new!
по каталогу
в рефератах

Защита компьютера от атак через интернет

одов защиты от удаленных атак относятся
существующие на сегодняшний день программы, основная цель которых  -  анализ
сетевого трафика на предмет наличия одного из известных  активных  удаленных
воздействий.

   а) SKIP-технология и криптопротоколы SSL, S-HTTP как основное средство
           защиты соединения и передаваемых данных в сети Internet

       Одна из основных причин успеха удаленных атак  на  распределенные  ВС
кроется в использовании сетевых протоколов обмена, которые не могут  надежно
идентифицировать удаленные объекты, защитить соединение  и  передаваемые  по
нему   данные.   Поэтому   совершенно   естественно,    что    в    процессе
функционирования  Internet  были  созданы   различные   защищенные   сетевые
протоколы, использующие криптографию  как  с  закрытым,  так  и  с  открытым
ключом.  Классическая   криптография   с   симметричными   криптоалгоритмами
предполагает  наличие  у  передающей  и  принимающей  стороны   симметричных
(одинаковых) ключей для шифрования и  дешифрирования  сообщений.  Эти  ключи
предполагается распределить заранее между конечным числом абонентов,  что  в
криптографии называется  стандартной  проблемой  статического  распределения
ключей. Очевидно, что применение классической криптографии  с  симметричными
ключами возможно лишь на ограниченном множестве объектов.  В  сети  Internet
для  всех  ее  пользователей  решить  проблему  статического   распределения
ключей, очевидно,  не  представляется  возможным.  Однако  одним  из  первых
защищенных протоколов обмена в Internet был  протокол  Kerberos,  основанный
именно на статическом распределении ключей для  конечного  числа  абонентов.
Таким же путем, используя классическую симметричную криптографию,  вынуждены
идти наши спецслужбы, разрабатывающие свои  защищенные  криптопротоколы  для
сети  Internet.  Это  объясняется  тем,  что  почему-то  до  сих   пор   нет
гостированного криптоалгоритма с открытым  ключом.  Везде  в  мире  подобные
стандарты шифрования давно приняты и сертифицированы, а  мы,  видимо,  опять
идем другим путем!
       Итак, понятно, что для того, чтобы дать возможность защититься  всему
множеству пользователей сети Internet, а не ограниченному его  подмножеству,
необходимо  использовать  динамически  вырабатываемые  в  процессе  создания
виртуального соединения ключи  при  использовании  криптографии  с  открытым
ключом.  Далее  мы  рассмотрим  основные  на  сегодняшний  день  подходы   и
протоколы, обеспечивающие защиту соединения.
      SKIP (Secure Key Internet  Protocol)-технологией  называется  стандарт
инкапсуляции  IP-пакетов,  позволяющий  в  существующем  стандарте  IPv4  на
сетевом уровне обеспечить защиту соединения и передаваемых по  нему  данных.
Это достигается следующим образом: SKIP-пакет представляет собой обычный IP-
пакет,  поле   данных   которого   представляет   из   себя   SKIP-заголовок
определенного спецификацией формата и криптограмму  (зашифрованные  данные).
Такая  структура  SKIP-пакета  позволяет  беспрепятственно  направлять   его
любому хосту в сети Internet (межсетевая адресация  происходит  по  обычному
IP-заголовку в SKIP-пакете).  Конечный  получатель  SKIP-пакета  по  заранее
определенному  разработчиками  алгоритму   расшифровывает   криптограмму   и
формирует обычный TCP- или UDP-пакет, который  и  передает  соответствующему
обычному модулю (TCP или UDP) ядра операционной системы. В  принципе,  ничто
не  мешает  разработчику  формировать  по  данной  схеме  свой  оригинальный
заголовок, отличный от SKIP-заголовка.
      S-HTTP  (Secure  HTTP)  -  это  разработанный   компанией   Enterprise
Integration Technologies (EIT) специально для Web защищенный  HTTP-протокол.
Протокол S-HTTP позволяет  обеспечить  надежную  криптозащиту  только  HTTP-
документов Web-севера и функционирует на прикладном уровне модели  OSI.  Эта
особенность  протокола  S-HTTP  делает  его   абсолютно   специализированным
средством защиты соединения, и, как следствие,  невозможное  его  применение
для защиты всех остальных прикладных протоколов (FTP, TELNET, SMTP  и  др.).
Кроме того, ни один  из  существующих  на  сегодняшний  день  основных  Web-
броузеров  (ни  Netscape  Navigator  3.0,  ни  Microsoft  Explorer  3.0)  не
поддерживают данный протокол.
      SSL  (Secure  Socket  Layer)  -   разработка   компании   Netscape   -
универсальный  протокол  защиты  соединения,  функционирующий  на  сеансовом
уровне OSI. Этот протокол, использующий криптографию с открытым  ключом,  на
сегодняшний день, по  нашему  мнению,  является  единственным  универсальным
средством,   позволяющим   динамически   защитить   любое    соединение    с
использованием любого прикладного протокола (DNS, FTP,  TELNET,  SMTP  и  т.
д.). Это связано с тем, что SSL,  в  отличие  от  S-HTTP,  функционирует  на
промежуточном сеансовом уровне OSI (между  транспортным  -  TCP,  UDP,  -  и
прикладным - FTP, TELNET и т. д.). При этом  процесс  создания  виртуального
SSL-соединения происходит по  схеме  Диффи  и  Хеллмана  (п.  6.2),  которая
позволяет  выработать   криптостойкий   сеансовый   ключ,   используемый   в
дальнейшем абонентами SSL-соединения для шифрования передаваемых  сообщений.
Протокол SSL сегодня  уже  практически  оформился  в  качестве  официального
стандарта защиты для HTTP-соединений, то есть для защиты  Web-серверов.  Его
поддерживают,  естественно,  Netscape  Navigator  3.0  и,  как  ни  странно,
Microsoft Explorer 3.0  (вспомним  ту  ожесточенную  войну  броузеров  между
компаниями Netscape и Microsoft). Конечно, для  установления  SSL-соединения
с Web-сервером еще необходимо и наличие  Web-сервера,  поддерживающего  SSL.
Такие  версии  Web-серверов  уже  существуют   (SSL-Apachе,   например).   В
заключении разговора о протоколе SSL  нельзя  не  отметить  следующий  факт:
законами США до  недавнего  времени  был  запрещен  экспорт  криптосистем  с
длиной ключа более 40 бит (недавно он был увеличен до  56  бит).  Поэтому  в
существующих  версиях  броузеров  используются   именно   40-битные   ключи.
Криптоаналитиками путем экспериментов было выяснено, что в имеющейся  версии
протокола SSL шифрование  с  использованием  40-битного  ключа  не  является
надежной защитой для передаваемых по сети сообщений, так как путем  простого
перебора (240  комбинаций)  этот  ключ  подбирается  за  время  от  1,5  (на
суперЭВМ Silicon Graphics) до 7 суток (в процессе вычислений  использовалось
120 рабочих станций и несколько мини ЭВМ).
      Итак, очевидно, что повсеместное применение этих защищенных протоколов
обмена, особенно SSL (конечно,  с  длиной  ключа  более  40  бит),  поставит
надежный барьер на пути всевозможных  удаленных  атак  и  серьезно  усложнит
жизнь кракеров всего  мира.  Однако  весь  трагизм  сегодняшней  ситуации  с
обеспечением безопасности в Internet состоит в том,  что  пока  ни  один  из
существующих криптопротоколов (а их уже  немало)  не  оформился  в  качестве
единого  стандарта  защиты  соединения,  который  поддерживался   бы   всеми
производителями сетевых ОС! Протокол SSL, из имеющихся на сегодня,  подходит
на эту роль наилучшим образом. Если бы его поддерживали все сетевые  ОС,  то
не  потребовалось  бы  создание   специальных   прикладных   SSL-совместимых
серверов (DNS, FTP, TELNET, WWW и др.).  Если  не  договориться  о  принятии
единого  стандарта  на  защищенный  протокол  сеансового  уровня,  то  тогда
потребуется  принятие  многих  стандартов   на   защиту   каждой   отдельной
прикладной службы. Например,  уже  разработан  экспериментальный,  никем  не
поддерживаемый протокол Secure DNS. Также существуют экспериментальные  SSL-
совместимые Secure FTP- и TELNET-серверы. Но все это  без  принятия  единого
поддерживаемого всеми производителями стандарта на  защищенный  протокол  не
имеет  абсолютно  никакого  смысла.  А  на  сегодняшний  день  производители
сетевых ОС не могут договориться о единой позиции на эту тему и, тем  самым,
перекладывают  решение  этих  проблем   непосредственно   на   пользователей
Internet  и  предлагают   им   решать   свои   проблемы   с   информационной
безопасностью так, как тем заблагорассудится!

                 б) Сетевой монитор безопасности IP Alert-1

       Практические  и  теоретические  изыскания  авторов,  по  направлению,
связанному с исследованием безопасности распределенных ВС,  в  том  числе  и
сети  Internet  (два  полярных   направления   исследования:   нарушение   и
обеспечение информационной безопасности), навели на следующую мысль: в  сети
Internet, как и в других  сетях  (например,  Novell  NetWare,  Windows  NT),
ощущается серьезная нехватка программного средства  защиты,  осуществляющего
комплексный контроль  (мониторинг)  на  канальном  уровне  за  всем  потоком
передаваемой по сети информации с целью  обнаружения  всех  типов  удаленных
воздействий,  описанных  в  4   главе.   Исследование   рынка   программного
обеспечения сетевых средств  защиты  для  Internet  выявило  тот  факт,  что
подобных комплексных средств  обнаружения  удаленных  воздействий  по  нашим
сведениям не существует, а те, что имеются,  предназначены  для  обнаружения
воздействий одного конкретного  типа  (например,  ICMP  Redirect  или  ARP).
Поэтому  и  была  начата  разработка  средства  контроля  сегмента  IP-сети,
предназначенного для использования в сети Internet  и  получившее  следующее
название: сетевой монитор безопасности IP  Alert-1.  Основная  задача  этого
средства,  программно  анализирующего  сетевой  трафик  в  канале  передачи,
состоит не в отражении осуществляемых по каналу связи удаленных  атак,  а  в
их обнаружении, протоколировании (ведении файла аудита  с  протоколированием
в  удобной  для  последующего  визуального  анализа  форме   всех   событий,
связанных с удаленными атаками на данный сегмент  сети)  и  незамедлительным
сигнализировании администратору безопасности в случае обнаружения  
Пред.678910
скачать работу

Защита компьютера от атак через интернет

 

Отправка СМС бесплатно

На правах рекламы


ZERO.kz
 
Модератор сайта RESURS.KZ