Студопедия
Новини освіти і науки:
МАРК РЕГНЕРУС ДОСЛІДЖЕННЯ: Наскільки відрізняються діти, які виросли в одностатевих союзах

РЕЗОЛЮЦІЯ: Громадського обговорення навчальної програми статевого виховання

ЧОМУ ФОНД ОЛЕНИ ПІНЧУК І МОЗ УКРАЇНИ ПРОПАГУЮТЬ "СЕКСУАЛЬНІ УРОКИ"

ЕКЗИСТЕНЦІЙНО-ПСИХОЛОГІЧНІ ОСНОВИ ПОРУШЕННЯ СТАТЕВОЇ ІДЕНТИЧНОСТІ ПІДЛІТКІВ

Батьківський, громадянський рух в Україні закликає МОН зупинити тотальну сексуалізацію дітей і підлітків

Відкрите звернення Міністру освіти й науки України - Гриневич Лілії Михайлівні

Представництво українського жіноцтва в ООН: низький рівень культури спілкування в соціальних мережах

Гендерна антидискримінаційна експертиза може зробити нас моральними рабами

ЛІВИЙ МАРКСИЗМ У НОВИХ ПІДРУЧНИКАХ ДЛЯ ШКОЛЯРІВ

ВІДКРИТА ЗАЯВА на підтримку позиції Ганни Турчинової та права кожної людини на свободу думки, світогляду та вираження поглядів


Контакти
 


Тлумачний словник
Авто
Автоматизація
Архітектура
Астрономія
Аудит
Біологія
Будівництво
Бухгалтерія
Винахідництво
Виробництво
Військова справа
Генетика
Географія
Геологія
Господарство
Держава
Дім
Екологія
Економетрика
Економіка
Електроніка
Журналістика та ЗМІ
Зв'язок
Іноземні мови
Інформатика
Історія
Комп'ютери
Креслення
Кулінарія
Культура
Лексикологія
Література
Логіка
Маркетинг
Математика
Машинобудування
Медицина
Менеджмент
Метали і Зварювання
Механіка
Мистецтво
Музика
Населення
Освіта
Охорона безпеки життя
Охорона Праці
Педагогіка
Політика
Право
Програмування
Промисловість
Психологія
Радіо
Регилия
Соціологія
Спорт
Стандартизація
Технології
Торгівля
Туризм
Фізика
Фізіологія
Філософія
Фінанси
Хімія
Юриспунденкция






Короткі теоретичні відомості

Глобальна мережа створювалась як відкрита інформаційна система для вільного обміну інформацією, тому недостатній рівень інформаційної безпеки є головним недоліком для всіх протоколів та служб цієї мережі. Завдяки цьому порушник може:

1) проникнути до внутрішньої мережі підприємства та отримати доступ до конфіденційної інформації;

2) скопіювати цінну інформацію щодо паролів та адреси серверів локальної мережі;

3) входити до інформаційної системи підприємства як зареєстрований споживач.

Для захисту від спроб проникнення зловмисників із глобальної мережі потрібно обмежити доступ споживачів цієї мережі до внутрішньої мережі та забезпечити безпечний доступ споживачів внутрішньої мережі до інформаційних ресурсів Internet. Це виконує мережевий екран (брандмауер, firewall), який відділяє комп'ютерну мережу підприємства від глобальної мережі та дозволяє доступ на основі певних правил для пакетів, тобто відфільтровує їх. Однак повної безпеки цей екран не забезпечує. Теж саме можна сказати про ряд служб глобальної мережі, а саме:

1. Набір протоколів керування передачею повідомлень TCP/IP має в своєму заголовку інформацію про адресу відправника, якою може заволодіти зловмисник та підмінити чи використати адресу у власних пакетах, що виглядатимуть як авторизовані, тобто перевірені їх реєстраційні номери.

2. Простий протокол передачі електронної пошти (SMTP) не дозволяє перевірити адресу відправника, розміщену в заголовку повідомлення електронної пошти. Тому можливий "шторм" повідомлень від зловмисника, який призводить до перевантаження та блокує роботу поштового сервера.

3. Протокол передачі файлів (FTP) двійкових та текстових є одним з методів віддаленого доступу, який часто використовують для організації спільного доступу до розміщеної інформації FTP-серверах. При використанні опції анонімного FTP-сервера споживач пропонує всю інформацію на ньому для вільного розповсюдження.

4. Служба мережевих імен (DNS) являє собою розподілену базу даних, у якій імена споживачів перетворюють на IP-адреси споживачів та виконується обернене перетворення IP-адреси в імена. Крім IP-адреси, у DNS наведено інформацію про структуру (домену) локальної мережі та IP-адреси локальних комп'ютерів. Усю базу даних важко сховати від зловмисників.

5. Служба емуляції віддаленого термінала (TELNET) здійснює підключення споживачів, виконане на основі введених імен та паролів, до серверів TELNET. Підключення дає змогу вводити команди доступу до файлів та запуск програм цього сервера. Цим способом зловмисник може добитися запису всіх паролів та імен споживачів зареєстрованих на TELNET.

6. Глобальна павутина (WWW) містить гіпертекстові документи, у яких міститься інформація посилання на інші Web-вузли та як здійснюється доступ до відповідного вузла. Використовуючи це, зловмисник може завдати шкоди Web-вузлу.

7. До слабких місць Intеrnet відносять також протокол маршрутизації RIP, графічну систему Windows та інше.

Відповідно до цих незахищених місць можливою політикою мережевої безпеки має бути наступне:

1) політика доступу до мережевих служб (сервісів);

2) політика реалізації мережевих екранів.

До програмних методів захисту відносять захищені мережеві протоколи SKIP (Simple Key management for Internet Protocol) та SSL (Secure Sockets Layer).

Перший протокол використовує керування криптоключами, що базується на методі Диффі-Хеллмана:

1) вузол i має секретний ключ ki та відкритий сертифікований ключ

gi mod N;

2) підпис відкритого ключа (його сертифікація) виконується за допомогою надійного алгоритму (ГОСТ, DSA та ін.), а відкриті ключі вільно розповсюджуються центром розподілу ключів зі спільної бази даних;

3) для кожної пари вузлів i, j обчислюється ключ gij mod N;

4) ключ kij обчислюється із отриманого в пункті 3 кілобітового числового рядка шляхом його зменшення до 64..128 бітів;

5) знайдений у пункті 4 ключ розміщується в захищеній пам'яті.

Розглянемо можливий SKIP-захист IP-пакетів, а саме:

– шифрування блока даних IP-пакета;

– інкапсуляція IP-пакета в SKIP-пакет.

Шифрування блока даних IP-пакета здійснюється методом симетричної криптографії, на основі ключа kp, який міститься в пакеті як зашифрований ключем kij. Сам заголовок із адресами залишається незмінним, тому пакет маршрутизується відповідно до істинних адрес відправника та отримувача. Крім того, весь пакет "підписується" відправником, тому зашифрований пакет має такі частини (згідно з порядком слідування):

– заголовок береться з IP-пакета із двома адресами;

– алгоритм шифрування;

– пакетний ключ kp зашифрований ключем kij за наведеним вище алгоритмом;

– дані, взяті з IP-пакета, зашифровані ключем kp, тим же алгоритмом, що в пакеті;

– електронно-цифровий підпис відправника.

Таким чином виглядає спосіб шифрування IP-пакета.

Інкапсуляція IP-пакета в поле даних SKIP-пакета полягає в розміщенні всього зашифрованого вхідного IP-пакета в поле даних SKIP-пакета, а всі інші поля та їх порядок такі ж як і в пакеті шифрування блока даних IP-пакета:

– заголовок береться зі SKIP-пакета з двома полями – адресами вузлів i та j;

– алгоритм шифрування;

– пакетний ключ kp зашифрований ключем kij ;

– зашифрований ключем kp весь IP-пакет;

– електронно-цифровий підпис відправника.

Кінцевий отримувач SKIP-пакета розшифровує та формує звичайний TCP- або UDP-пакет, який передається відповідному модулю (TCP чи UDP) ядра операційної системи.

Універсальний протокол захисту з'єднання SSL базується на еталонній моделі OSI та здійснює динамічний захист об'єктів за допомогою довільного протоколу (FTP, TELNET, SMTP, DNS, ...). Шифрування за алгоритмом Диффі-Хеллмана здійснюється ключем довжиною більше 40 біт, але більшість мережевих ОС не підтримують протокол SSL.

Мета алгоритму Диффі-Хелмана полягає в тому, щоб два учасники могли безпечно обмінятися ключем, який надалі може використовуватися в якому-небудь алгоритмі симетричного шифрування. Сам алгоритм Диффі-Хеллмана може застосовуватися тільки для обміну ключами. Алгоритм оснований на складності обчислень дискретних логарифмів.

Безпека обміну ключа в алгоритмі Диффі-Хеллмана випливає з того факту, що, хоча відносно легко обчислити експоненти за модулем простого числа, дуже важко обчислити дискретні логарифми. Для великих простих чисел завдання вважається нерозв'язаним.

Припустимо, що двом абонентам необхідно провести конфіденційне листування, а в їх розпорядженні немає спочатку обумовленого секретного ключа. Проте між ними існує канал, захищений від модифікації, тобто дані, які передаються по ньому, можуть прослуховувати, але не змінені (такі умови мають місце досить часто). У цьому випадку дві сторони можуть створити однаковий секретний ключ, жодного разу не передавши його по мережі за наступним алгоритмом.

Рис. 20 – Обмін ключами за схемою Диффі-Хеллмана

 

Алгоритм Диффі-Хеллмана полягає в наступному:

1. Глобальні відкриті елементи:

q – просте число, a – першоподібний корінь q.

2. Обчислення ключа абонентом A:

– вибирається таємне число XA (XA < q);

– обчислюється відкрите значення YA: .

3. Обчислення ключа абонентом B:

– вибирається таємне число XB (XB < q);

– обчислюється відкритого значення YB: .

4. Обчислення таємного ключа абонентом A: .

5. Обчислення таємного ключа абонентом B: .

Необхідно ще раз зазначити, що алгоритм Диффі-Хеллмана працює лише на лініях зв'язку, що надійно захищені від модифікації. Якби він міг застосовуватися на будь-яких відкритих каналах зв'язку, то давно зняв би проблему розповсюдження ключів і, можливо, замінив би собою всю асиметричну криптографію.

Приклад. Нехай q = 97 та a = 5. Абонент A згенерував випадкове число XA = 36. Абонент B згенерував випадкове число XB = 58. Ці елементи вони тримають у таємниці. Далі кожен з них обчислює новий елемент:

, .

Потім вони обмінюються цими елементами через канал зв'язку. Тепер абонент A, отримавши YB та знаючи свій таємний елемент XA, обчислює загальний (спільний) ключ:

.

Аналогічні дії виконує абонент B: .

 



Переглядів: 370

<== попередня сторінка | наступна сторінка ==>
Хід роботи | Хід роботи

Не знайшли потрібну інформацію? Скористайтесь пошуком google:
 

© studopedia.com.ua При використанні або копіюванні матеріалів пряме посилання на сайт обов'язкове.


Генерація сторінки за: 0.006 сек.