Главная | Обратная связь | Поможем написать вашу работу!
МегаЛекции

Технология работы защищенного канала




Технология защищенного канала призвана обеспечивать безопасность передачи данных по открытой транспортной сети, например, по сети Internet. Защищенный канал включает в себя выполнение трех основных функций:

· взаимная аутентификация абонентов;

· защита передаваемых по каналу сообщений от несанкционированного доступа;

· подтверждение целостности поступающих по каналу сообщений.


Взаимная аутентификация обеих сторон при установлении соединения может быть выполнена, например, путем обмена сертификатами.

Секретность может быть обеспечена каким-либо методом шифрации, например, передаваемые сообщения шифруются с использованием симметричных сессионных ключей, которыми стороны обмениваются при установлении соединения. Сессионные ключи передаются также в зашифрованном виде, при этом они шифруются с помощью открытых ключей. Использование для защиты сообщений симметричных ключей связано с тем, что скорость процессов шифрации и дешифрации на основе симметричного ключа существенно выше, чем при использовании несимметричных ключей.

Целостность передаваемых сообщений достигается за счет того, что к сообщению (еще до его шифрации сессионным ключом) добавляется дайджест, полученный в результате применения односторонней функции к тексту сообщения.

Защищенный канал в публичной сети часто называют также виртуальной частной сетью - VirtualPrivateNetwork, VPN. Существует два способа образования VPN:

· с помощью специального программного обеспечения конечных узлов;

· с помощью специального программного обеспечения шлюзов, стоящих на границе между частной и публичной сетями.


В первом случае, программное обеспечение, установленное на компьютере удаленного клиента, устанавливает защищенный канал с сервером корпоративной сети, к ресурсам которого клиент обращается. Преимуществом этого подхода является полная защищенность канала вдоль всего пути следования, а также возможность использования любых протоколов создания защищенных каналов, лишь бы на конечных точках канала поддерживался один и тот же протокол. Недостатки заключаются в избыточности и децентрализованности решения. Избыточность состоит в том, что уязвимыми для злоумышленников обычно являются сети с коммутацией пакетов, а не каналы телефонной сети или выделенные каналы. Поэтому установка специального программного обеспечения на каждый клиентский компьютер и каждый сервер корпоративной сети не является необходимой. Децентрализация процедур создания защищенных каналов не позволяет вести централизованное управление доступом к ресурсам сети. В большой сети необходимость отдельного администрирования каждого сервера и каждого клиентского компьютера с целью конфигурирования в них средств защиты данных - это трудоемкая процедура.

Во втором случае клиенты и серверы не участвуют в создании защищенного канала - он прокладывается только внутри публичной сети с коммутацией пакетов, например внутри Internet. Канал создается между сервером удаленного доступа провайдера услуг публичной сети и пограничным маршрутизатором корпоративной сети. Это хорошо масштабируемое решение, управляемого централизованно как администратором корпоративной сети, так и администратором сети провайдера. Для клиентских компьютеров и серверов корпоративной сети канал прозрачен - программное обеспечение этих конечных узлов остается без изменений. Реализация этого подхода сложнее - нужен стандартный протокол образования защищенного канала, требуется установка программного обеспечения, поддерживающего такой протокол, у всех провайдеров, необходима поддержка протокола производителями серверов удаленного доступа и маршрутизаторов.

 

Безопасность операционных систем, систем передачи данных и баз данных

 

Безопасность ОС Unix, Linux, Windows

Беззащитный Unix

Система Unix давно стала предметом религиозных войн и крестовых походов.

Новый импульс этим войнам дало широкое распространение Internet и превращение

его из кастового секрета хакеров в массовую игрушку и дойную корову для

бизнеса. Исторически Internet и Unix были слишком сильно переплетены. Особенности

программирования и сложившаяся культура в мире Unix наложили отпечаток

на протоколы, используемые в Internet, и на подход к защите. Из-за своей

распространенности (и полной открытости) и слабой защищенности Unix стал

любимой добычей для взломщика. С другой стороны именно Unix используется

в качестве базы для большинства современных систем защиты.

Как справедливо заметил один мой друг, основная проблема Unix состоит

в том, что он делает то, что ему говорят. Это все тот же принцип WYSIWYG

What You Say Is What You Get.

Unix создавался по образу абсолютной монархии с формальными признаками

демократии. Простые подданные системы (юзеры) имеют достаточно мало полномочий

для того, чтобы нанести какой-либо реальный вред. Политические партии (группы)

подданных имеют несколько больше прав и полномочий и у неискушенного туриста

может создаться впечатление, что именно они и руковолят системой. Однако,

на практике, все реальные и серьезные решения принимает абсолютный монарх,

мистер Чарли Рут (Mr. Charlie Root). Только ему доступны все комнаты дворца,

королевская печать, государственные архивы и королевская казна. Все подданные

и вся жиззнь королевства подвластны ему, он волен заходить в любой дом,

читать все документы и может по своему усмотрению убить или помиловать

любого подданного или плод его деятельности - процесс (особенно это неприятно,

когда подданный, решив, что процесс пошел, успокаивается и идет спать).

 

Однако, видимо опасаясь государственного переворота, мистер Рут тщательно

скрывается от своих подданных. Для того, чтобы воспользоваться своими полномочиями

ему требуется предъявить министру внутренних дел господину /etc/passwd

свой паспорт для проверки. В паспорте содержится некое секретное слово

(и в условном месте, известном господину министру, припрятано две крупинки

соли). Если все нормально, предъявитель паспорта получает знак монархической

власти (uid 0). К сожалению, оказалось, что при современном развитии печатного

дела паспорт можно подделать. Взломщики выдумали немало способов подглядывать

за секретной процедурой показа паспорта. В принципе, это похоже на кражу

номеров кредитных телефонных карточек - в американских аэропортах пасутся

специальные прохожие, невзначай подсматривающие за набором номера на телефоне.

Призом для них является право на бесплатный (за счет клиента) звонок любимой

тетушке на Бермуды. Призом же для удачливого вора, подделавшего пароль,

является полный контроль над могущественной империей Unix.

 

Так как его Рутовское Величество часто занят делами и его трудно найти,

для вершения государственных дел у него есть штат доверенных лиц. Исполняющий

обязанности в Unix называюется Сюид (SUID), а исполняющий обязанности Монарха

называется Сюид Рут (SUID root). Обычно Сюид Рут имеет весьма ограниченный

круг обязанностей и не представляет серьезной опасности для безопасности.

Однако некоторые недостойные умудряются использовать выданный им для отправления

обязанностей монархический знак (uid 0) для непредусмотренных действий

и могут, в принципе, воспользоваться им для полного захвата власти в стране.

Особенно опасны Сюид Рут, имеющие доступ к акциям местных нефтяных компании

системы Shell. Сюид, получивший контроль над Shell, по-сути неотличим от

реального монарха. Поэтому господа Сюид являются лакомой добычий для воров

и международных шпионов, под видом гостей проникающих в страну.

 

Для наблюдения за делами в королевстве и исполнения хозяйственных дел

господин Чарли Рут обычно нанимает бригаду демонов, которые от его имени

незаметно вершат свои демонические дела. Именно им мы обязаны периодическим

шуршанием дисковых головок в моменты, когда мы смотрим на экран и не проявляем

никакой видимой активности.

 

Исторически сложилось, что на границе страны и в ее таможенной службе

Интернетовском Таможенном Департаменте ИнеТД (inetd) служат доверенные

лица, имеющие значок (suid 0). Им разрешается пропускать туристов и товары

через один из государственных 1024 портов (в стране Unix есть еще и множество

частных портов, не контролируемых государством. Любой подданный имеет право

открыть свой частный порт, однако все государственные порты строго контролируются).

 

По межгосударственному соглашению, заключенному когда-то в Беркли между

дружественными Unix монархиями, транспорт, пришедший из государственных

портов других стран, пользуется особенным доверием и пропускается без особенного

таможенного контроля. Соглашение было выработано в период существования

нескольких сильных Империй, которые хорошо знали друг друга. Теперь же

всякий, без особого труда может завести себе маленькую персональную империю,

владеть в ней всеми портами и отправлять контрабанду через любой из них.

Более того, такие мелкие империи даже не обязаны иметь конституционное

монархическое устройство Unix. Чаще всего они имеют довольно мягкий режим

управления, позволяющий любому проходимцу прикинуться Рутом на час. Более

того, террористы научились поддерживать дорожные документы и часто даже

невозможно установить, откуда прибыл груз. Таможенные соглашения (r-commands),

заключенные в Беркли оказались совершенно неприемлемыми для современного

мира мелких государств с мягким управлением. Поэтому, мудрые руководители

игнорируют соглашения и весьма тщательно проверяют весь груз, проходящий

через порты.

 

Поделиться:





Воспользуйтесь поиском по сайту:



©2015 - 2024 megalektsii.ru Все авторские права принадлежат авторам лекционных материалов. Обратная связь с нами...