КОМПЮТЪРНА МРЕЖОВА СИГУРНОСТ

                 

 Компютърната и мрежова сигурност е свойство на компютърните системи и мрежи да противодействат на опитите за несанкциониран достъп до обработваната и съхраняваната информация, водещи до деструктивни действия и получаване на лъжлива информация. Мрежовата сигурност е горещ проблем в света на информационните технологии. Често опoвестявани в медиите са прониквания в мрежи на правителствени и големи бизнес организации, широко разпространените атаки на компютърни вируси и квалифицираните криминални случаи с компютърни хакери. От администраторите на многофукционални корпоративни мрежи до потребителите на домашни компютри с достъп до Интернет, почти всеки , който е "онлайн" е заинересован до някаква степен от проследяването на възможността за неоторизиран достъп посредством слабите места на компютърната мрежа. Под слабо или уязвимо място се разбира всяка точка на компютърните и комуникационните системи и на системата за тяхната защита, където те са слабо защитени срещу заплахи и атаки, свързани с тяхната сигурност. Уязвимите места в една система зависят от конкретната й реализация. По- долу, със стрелки са показани най-характерните уязвими места в една информационна система.

 

  

 

Заплаха е човек, обект, събитие, процес или явление, които могат да нанесат вреда на компютърните системи и мрежи.

Криптиране

Интернет и в частност компютърните мрежи, сами по себе си не предлагат никаква гаранция за сигурността и целостта на информацията. В такива случаи за ценна, уязвима или частна информация се използва криптиране. Използването на криптографията е един от най-разпространените методи за защита на информацията при предаването на данни в компютърните мрежи и при обмен на информация в свързочни канали между отдалечени обекти. Криптографските средства за защита са специални методи и средства за преобразуване на информацията, в резултат на които се маскира нейното съдържание. Чрез криптографски преобразувания се изменят съставните части на съобщенията (думи, букви, думи от букви, цифри) в неявен вид чрез специални алгоритми, кодови ключове или апаратни решения. Елементите на защитаваните сведения (отделните букви, цифри, думи и групи думи) и техните условни означения се представят във вид на кодови таблици или книги. За запознаване със съдържанието на шифрованата информация се използва обратният процес дешифриране (декодиране). За криптографска защита се използват три основни метода – шифриране, цифров подпис и имитозащита на съобщението:

Цифровият подпис осигурява удостоверяване на автентичността на източника на съобщението, неговата цялост и юридическа значимост (цифровият подпис е еквивалентен на собственоръчния подпис).

Имитозащитата се състои във формиране на контролна сума, добавяна към съобщението чрез симетричен криптоалгоритъм. Има два основни метода за криптографска защита – кодиране и шифриране.

При кодирането защитаваните данни се разделят на блокове, имащи смислово значение и всеки блок се заменя с цифров, буквен или комбиниран код. За криптографско скриване на информацията в системите за обработка на данните най-голямо разпространение е получило шифрирането.

При шифрирането на самостоятелно преобразуване се подлага всеки символ на началното съобщение. Има няколко метода за шифриране – замяна (субституция), размяна (транспозиция), гамиране и аналитични преобразувания. За шифриране обикновено се използват някакъв алгоритъм или устройство, реализиращо даден алгоритъм, който трябва да бъде известен само на определен кръг лица. Процесът на управление на шифрирането се извършва чрез периодично променящ се код на ключа, осигуряващ всеки път оригинално представяне на информацията. Знанието на ключа позволява просто и надеждно разшифриране на текста. Без да се знае ключът обаче, дешифрирането може да бъде практически невъзможно даже при известен алгоритъм за шифриране. Към криптографските методи се отнасят и методите "разсичане – разнасяне" и "свиване – разширяване". Първият метод се заключава в това, че масивът от защитавани данни се разделя на такива части, всяка от които отделно не може да разкрие съдържанието на защитената информация. Тези части от информацията могат да се предават от няколко източника и предаването се разнася по време или по място на запис в запомнящото устройство. "Свиване – разширяване" на информацията е замяна на често срещащи се еднакви последователности от символи с предварително избрани символи или смесване с допълнителна информация. Криптосистемите биват симетрични и aсиметрични: При симетричните за шифрирането и дешифрирането на съобщенията се използва един и същ секретен ключ, който е известен както на подателя, така и на получателя на съобщението. Има два вида симетрично шифриране – поточно и блоково. При поточното всеки символ от изходния текст се преобразува независимо от другите, което позволява едновременното шифриране и предаване на данните по свързочните канали. При блоковото шифриране изходният текст се преобразува по блокове, при това преобразуването на символите в границите при блока е взаимно зависимо. Най-широко използуваният метод за шифриране с блоков алгоритъм е приетият като национален стандарт американски алгоритъм DES.

DES използва 64-битов ключ, 8 бита са за проверка на грешки при предаването, затова реално дължината на ключа за криптиране е 56 бита. С него се криптират блокове с дължина 64 бита. Всеки блок минава през 16 цикъла, а всеки цикъл ефективно генерира различен ключ. DES за Windows поддържа както единично, така и тройно шифриране. Последното се смята за най-трудно разбиваемо.

Triple DES осигурява надеждно или даже по-добро шифриране, отколкото военното кодиране. Чрез него могат да се шифрират отделни файлове и съобщения на електронната поща.

 Предимства на симетричното криптиране:

• бързо шифриране/дешифриране – в рамките на секунди, докато другите методи изискват минути;

• трудно е да се "разбие" съобщението, ако ключът е дълъг;

• удостоверява, че подателят е един от тези, които имат достъп до ключа.

 

Недостатъци на метода:

• всички потребители трябва да пазят ключа в тайна;

• дестрибуцията на нов ключ е много трудна;

• невъзможно е секретна комуникация с някой, който не притежава ключа.

 

През последните 20 години няма съобщение за нито един случай на разбиване на DES, но може би правителството на САЩ има метод за разбиване на документи за шифроване с помощта на DES. Проблемът тук е, че ключът тайно трябва да се предаде на получателя. Шифрирането с DES е достатъчно надеждно и затова правителството на САЩ все още го използва като стандартен метод за всичко, освен за най-секретните данни. Колкото повече битове съдържа един ключ, толкова е по-трудно да се открие кодът. Счита се, че при слабо криптиране дължината на ключа е до 40 бита, а за силно криптиране – над 40 бита. Примери за дължина на ключове.

• IBM Data Encryption Standart (DES) (112-бита);

• Commercial Data Masking Facility (CDMF) (56-бита);

• International Data Encryption Algorithm (IDEA) (128-бита);

• RC2 and RC4 (56-бита);

• Pretty Good Prvacy (PGP) (1024-бита).

 

При асиметричните системи или системи с публичен ключ всеки потребител има двойка ключове, състояща се от ключ за шифриране (публичен ключ) и ключ за дешифриране, наречен частен ключ. Развръщането на инфраструктура с публични ключове (PKI) има важно значение не само за защита на обмена на информацията, но и за създаване на защитена система за идентификация в мрежата. Публичните и частните ключове представляват математически свързана двойка криптографски ключове (public/private key pair), така че:

• съобщение, криптирано с единия ключ, може да бъде дешифрирано само с другия;

• едно съобщение не може да бъде шифрирано и дешифрирано с един и същ ключ;

• нито един ключ не може да бъде определен, ако се знае другият ключ.

 

Криптографските алгоритми, работещи с публични и частни ключове, се използват за цифрово подписване на документи, проверка на цифров подпис, шифриране и дешифриране на документи. За целите на криптографията с публични ключове се използват такива криптографски алгоритми, че практически не е по силите на съвременната математика и съвременната изчислителна техника да открият частният ключ на лице, за което е известен публичният ключ. Всъщност откриването на частен ключ, който съответства на даден публичен ключ, е теоретически възможно, но

времето и изчислителната мощ, необходими за целта, правят такива действия безсмислени. Най-популярната асиметрична система за криптиране на информацията при работа в Интернет е PGP. В миналото използването на PGP беше проблематично заради използването на шифриране, забранено за експорт от САЩ. Търговската версия на PGP има в себе си plug-in-и за няколко популярни програми за електронна поща, което я прави удобна за включване в писмото на електронен подпис и криптиране. Последните версии на PGP използват лицензирана версия на алгоритъма за шифриране с отворени ключове RSA. Разработени са различни протоколи за обмен, позволяващи защита на мрежовия трафик (SSL и TLS, SKIP, S-HTTP, SET и др.). SSL е проектиран за използване от TCP за осигуряване на надеждна и сигурна услуга "точка – точка", осигурява основни услуги за сигурност на различни протоколи от по-високо ниво, особено за HTTP, например S-HTTP, който осигурява сигурност и шифриране. S-HTTP използва SSL между сървъра и браузъра, за да може клиентът да изпрати засекретена информация за заявката си. SET e протокол, разработен е от VISA и MasterCard, който улеснява удостоверяването на автентичността на транзакциите с кредитни карти. Той дефинира формата на съобщенията, формата на сертификата и процедурата за обмен на съобщение. Има 4 полета – клиент, търговец, сертифицираща организация и шлюз за плащане, който свързва интернет със съответните мрежи на банките. Всяко поле изисква свой собствен сертификат, а клиентът трябва да има цифров портфейл. Разликата между SSL и SET е следната:

• SSL не включва сертификат на клиента, изискващ специален софтуер (цифров портфейл) на клиентската страна, а SET използва цифров портфейл.

• SSL е вграден в браузъра и не се изисква специален софтуер, SET е много по-сложен от него.

 

Всеки включен в интернет компютър предполага наличието на рискове за несанкциониран достъп до неговите ресурси. За защита срещу такъв достъп може да се използват възможностите на защитни стени (Firewalls). Целта на защитната стена е да защити мрежата от външни атаки. Задачата на защитните стени се формулира по следния начин. Ако има две информационни системи или две множества от информационни системи, защитната стена е средство за разграничаване на достъпа на потребители от едното множество системи до информацията, съхраняваща се на сървърите на другото множество. Защитната стена изпълнява своите функции, като контролира целия информационен поток между тези две множества от информационни системи, изпълнявайки ролята на "информационна мембрана".

В този смисъл защитната стена може да се представи като набор от филтри, анализиращи информацията, преминаваща през тях, и на основата на вложени в тях алгоритми, вземащи решение: да пропуснат тази информация или да откажат нейното пренасяне. Освен това тя може да регистрира събития, свързани с процесите на разграничаване на достъпа. В частност може да фиксира всички "незаконни" опити за достъп до информацията и допълнително да сигнализира за ситуации, изискващи незабавна реакция, т.е. да вдига тревога. Обикновено защитните стени се правят несиметрични. За тях се определят понятия "вътре" и "вън" и тяхната задача се състои в защитата на вътрешната мрежа от "потенциално враждебното" обкръжение (пример за потенциална враждебна външна мрежа е интернет). Нормално защитната стена се инсталира на шлюза на мрежата между организацията и външния свят, но може също така да се намира и в точките за достъп до хост. Редица Firewalls притежават и криптиращи възможности. С помощта на Firewalls могат да се забранят сайтовете по името на домейна или IP адреса. Съществуват различни варианти на такава защита, които са следните:

• маршрутизатори с вградени Firewalls – отразяващи рутери. В случая Firewalls осигуряват защита на мрежовото ниво на OSI модела, като филтрират IP пакетите и отхвърлят забранените такива;

• Firewall компютър с две мрежови карти – едната за връзка с подмрежата, а другата за връзка с интернет. Такъв подход е възможен и за защита на достъпа до компютрите на различни отдели във вътрешната мрежа на потребителя;

• когато даден сървър е защитен с Firewall, се инсталира Proxy. Тази програма ще приема заявките отвън и ще ги препраща към съответния сървър. По принцип Proxy сървърите осъществяват връзки от името на потребителите на една мрежа със сървърите в интернет и могат да контролират трафика по потребители и мрежови протоколи. Firewalls с Proxy са защитни стени на приложно ниво.

Разпространено е схващането, че защитната стена е само хардуерно устройство ("магическа черна кутия"), което се включва на входа на мрежата, парирайки евентуалните опити за атаки. В действителност тя е софтуерна програма, която внимателно изследва мрежовия трафик (или пакети), който се предава по мрежовия интерфейс. Тъй като защитната стена е безполезна без хардуерен мрежов интерфейс, който да предпазва, софтуерът на защитната стена често се разпространява пакетиран и предварително инсталиран на специално изградени хардуерни устройства. Софтуерът е този, който прави хардуерното устройство защитна стена. Без софтуера то е просто маршрутизатор, шлюз или устройство за пренасочване на пакети. Софтуерът на защитната стена изследва трафика, преминаващ по интерфейса, и използва правила или критерии, за да реши кой трафик да разреши и кой да отхвърли. Построяването на този набор от правила по такъв начин, че задоволително да предпазва мрежите зад него, е работа на системния администратор. Повечето защитни стени правят с даден пакет едно от следните три неща в зависимост от набора им от правила:

• ще приемат пакета и ще го предадат на получателя му;

• ще отхвърлят пакета, като изпратят Internet Control Message Protocol (ICMP) съобщение или друго потвърждение, информиращо източника, че пакетът е бил отказан;

• напълно ще откажат пакета без никакво потвърждение.

 

Повечето защитни стени имат способността да изследват най-малко следното:

• тип на IP протокол (TCP, UDP, ICMP и т.н.);

• IP адрес и/или порт на източника;

• IP адрес и/или порт на получателя;

• тип и код на ICMP съобщение;

• TCP флагове (SYN, FIN, ACK и т.н.);

• мрежов интерфейс, на който се предават пакетите.

 

В зависимост от това, дали защитните стени могат да филтрират трафика въз основа на характеристиките на цялата сесия или разговор, те се делят на защитни стени със или без състояния. Защитната стена без състояния може да изследва изолирано само по един отделен пакет, независимо от другите пакети, които са идвали преди него. От друга страна, една защитна стена със състояния може да „помни" какви пакети са били получени от интерфейса и може да изследва новите пакети в този контекст. Това позволява на защитните стени със състояния да групират отделните пакети заедно във връзки, сесии или разговори. Защитните стени със състояния позволяват по-динамичен набор от правила. Виртуални частни мрежи

Друг начин за защита на интернет трафика са виртуалните частни мрежи (Virtual Private Network – VPN). Те осигуряват надеждна връзка между отдалечени частни мрежи, използвайки евтината преносна среда на интернет. Това се постига чрез

създаване на защитен канал между комуникиращите мрежи. По този начин трафикът може да премине през двете отдалечени мрежи, все едно са директно свързани с отделна информационна линия. Трафикът все още се предава по интернет, но VPN осигурява много предимства и допълнителни слоеве за сигурност. Преди да бъдат основани VPN връзки, обикновено трябва да се направи някакъв вид автентикация. Отдалечените потребители могат да използват софтуерен VPN клиент и да се включат във VPN сървъра, за да основат своя връзка. Чрез използване на асиметрични алгоритми те договарят секретен ключ, който след това да бъде използван за криптиране на обменяните данни с някой от по-бързите симетрични алгоритми (протокол IPSec). Криптирането на VРN трафика предпазва поверителността на данните, предавани между двете крайни VРN точки. Въпреки че информацията минава през много различни места в интернет, тя е почти толкова защитена, колкото би била, ако се предава по частна наета информационна линия. В зависимост от типа на VРN и устройствата, които я изграждат, съществуват два режима на работа и предаване на информация, касаещи защитата на IP пакетите: транспортен режим и тунелен режим. Транспортен режим означава, че данните се отделят от оригиналния пакет, криптират се и се вкарват обратно в пакета. По този начин се защитават само данните, а IP адресите на изпращача и получателя са в явен вид. Този режим на работа се използва за комуникации между софтуерни клиенти, когато не е необходимо да се крият адресите на комуникиращите работни места. Използва се и при мобилни комуникации, когато IP адресите не могат твърдо да се специфицират. В случаи, когато е необходимо да се запазят в тайна адресите на комуникиращите страни, се използва тунелен режим. Възможен способ за атака е "отказ на услуга", при което сървърът с данни се атакува постоянно с ненужни данни и той не може да предостави своите ресурси на други клиенти. В тунелния режим целият оригинален IP пакет се криптира и се скрива и информацията за комуникиращите страни. Показвам пример за една такава виртуална частна мрежа :

 

 

 

 

About these ads
This entry was posted in Компютри и интернет. Bookmark the permalink.