Раздел 8. Безопасность в компьютерных сетях

Цели защиты информации в сетях сводятся к обеспечению целостности (физической и логической) информации, а также предупреждение несанкционированной ее модификации, получения и размножения. Задачи защиты информации в компьютерных сетях определяются теми угрозами, которые потенциально возможны в процессе их функционирования, в частности:

· прослушивание каналов, т.е. запись и последующий анализ всего проходящего потока сообщений;

· умышленное уничтожение или искажение (фальсификация) информации;

· присвоение злоумышленником чужого идентификатора своему узлу или ретранслятору;

· преднамеренный разрыв линии связи, что приводит к полному прекращению доставки сообщений;

· внедрение сетевых вирусов.

Т.о. специфические задачи защиты информации в сети состоят в следующем:

· конфиденциальность (маскировка данных) – предотвращение пассивных атак для передаваемых или хранимых данных;

· арбитражное обеспечение, т.е. защита от возможных отказов от фактов отправки, приема или содержания отправленных или принятых данных.

· аутентификация объектов, заключающая в подтверждении подлинности взаимодействующих объектов;

· контроль доступа, т.е. защита от несанкционированного использования ресурсов сети;

· контроль и восстановление целостности находящихся в сети данных;

· доступность - защита от потери или снижения доступности того или иного сервиса.

Для решения этих задач создаются специальные механизмы защиты, т.н. сервисы безопасности, которые в общем случае могут быть представлены следующим образом: идентификация/аутентфикация; разграничение доступа; протоколирование/аудит; экранирование; тунелирование; шифрование; контроль целостности; контроль защищенности; обнаружение отказов и оперативное восстановление и управление.

Применительно к различным уровням семиуровнего протокола передачи данных задачи конкретизируются следующим образом:

· На физическом уровне – контроль электромагнитных излучений линий связи и устройств, поддержка коммутационного оборудования в рабочем состоянии (экранирующие устройства, генераторы помех, средства физической защиты передающей среды).

· На канальном уровне – это шифрование данных.

· Сетевой уровень – наиболее уязвимый, поскольку сетевые нарушения (чтение, модификация, уничтожение, дублирование, переориентация, маскировка под другой узел) осуществляются и использованием его же протоколов. Здесь основой защиты выступают средства криптографии.

· На транспортном уровне все активные угрозы становятся видимыми, но, к сожалению, не все угрозы можно предотвратить криптографическими методами, анализом регулярности трафика и посылкой параллельных дубликатов сообщений по другим путям, используемыми на данной уровне.

· Протоколы сеансового и представительного уровня функций защиты практически не выполняют.

· В функции защиты протокола прикладного уровня входит управление доступом к определенным наборам данных, идентификация и аутентификация определенных пользователей и другие функции, определенные конкретным протоколом. Более сложными эти функции являются при реализации полномочной политики безопасности в сети.

Практически все механизмы сетевой безопасности могут быть реализованы на третьем уровне эталонной модели ISO/OSI. Более того, IP -уровень считается самым оптимальным для размещения защитных средств, поскольку при этом достигается компромисс между защищенностью, эффективностью функционирования и прозрачностью для приложений.

Наиболее проработанными являются вопросы защиты на IP -уровне. Спецификации (протоколы) семейства IPsec (рабочая группа IP Security) обеспечивают: управление доступом; контроль целостности на уровне пакетов (вне соединения); аутентификацию источника данных; защиту от воспроизведения; конфиденциальность (включая частичную защиту от анализа трафика); администрирование (управление криптографическими ключами).

К основным механизмам безопасности относят:

1. Алгоритмы симметричного шифрования, в которых для шифрования и дешифрования используется один и тот же ключ или ключ дешифрования может быть получен из ключа шифрования.

2. Алгоритмы ассиметричного шифрования, в которых для шифрования и дешифрования используются два разных ключа, называемые открытым и закрытым ключами, причем, зная один, другой вычислить невозможно.

3. Хэш-функции – функции, входным значением для которой является сообщение произвольной длины, а выходным значением – сообщение фиксированной длины, которое может быть использовано для аутентификации исходных данных.