Розділ: Комп'ютерні науки ipsecurity
Вид материала | Реферат |
- 1. Задачі та комп’ютерні ресурси, 576.6kb.
- 1. Комп’ютерні мережі Тема Комп’ютерні мережі, 56.68kb.
- Розділ: Комп'ютерні науки SuperCalc, 39.96kb.
- Робоча навчальна програма предмет Комп’ютери у фізичних дослідженнях, 98.31kb.
- Ютерні системи та мережі” Спеціалізація: Комп’ютерні засоби інформатики, 203.69kb.
- Навчальна програма дисципліни Комп’ютерні мережі в системах управління Напрям підготовки, 70.88kb.
- Робоча програма з дисципліни " Комп’ютерні мережі" (за вимогами кмсонп) Освітньо-кваліфікаційний, 251.7kb.
- Робоча навчальна програма з дисципліни «комп’ютерні та інформаційні технології» для, 204.08kb.
- Анотації дисциплін напряму підготовки «комп’ютерні науки» навчальний план, 1575.65kb.
- Тср-ір розділ: Комп'ютерні науки Дослідження протоколів тср-ір, 301.23kb.
Ви вибираєте в звичайному|звичному| і донезмоги знайомому вікні файл, тиснете праву кнопку миші і підписуєте його за допомогою нової команди. Здається|по-моєму|, дуже зручно: все під рукою і не потрібно викликати|спричиняти| якісь зайві програми. А ще краще — вбудовані прямо в офісні додатки|застосування| засоби|кошти| захисту: встановлюєте програму електронного підпису, і в Word з'являється|появляється| додаткова панель з|із| кнопками «Підписати», «Перевірити підпис» і т.д.
Для того, щоб позбавити користувачів від необхідності щоденного шифрування і розшифровки файлів, розробники стали ці операції автоматизувати. Але|та| особисто я віддаю перевагу саме «ручним» системам, головне достоїнство яких — гнучкість: вони виконують тільки|лише| задані вами дії.
15.2 «Прозорі» системи захисту
Проте|однак| використання «ручних» засобів|коштів| влаштовує|владнує,улаштовує| далеко не всіх. Крім того, багато разів повторювані| операції істотно|суттєво| підвищують ризик помилки, і результатом може з'явитися, наприклад, поява важливого|поважного| документа у відкритому|відчиненому| вигляді|виді|. Набагато безпечніше за систему автоматичного («прозорого») шифрування інформації, які ефективно захищають її відповідно до первинних настройок без вашого подальшої|наступної| участі. Для того-то і придуманий|вигаданий| комп'ютер, щоб перекладати на нього рутинну роботу, — лінь як і раніше служить двигуном прогресу. Не вірте тому, хто стверджує, що ПК створили для складних математичних розрахунків, — це тільки|лише| корисний побічний ефект .
Існуючі автоматичні системи захисту можна умовно розділити на ті, які захищають мережевий|мережний| обмін даними, і системи «прозорого» шифрування даних на комп'ютері користувача.
16. Віртуальні приватні мережі VPN|сіті|
Технологія VPN (Virtual Private Network — віртуальна приватна мережа|сіть|) — не єдиний спосіб захисту мереж|сітей| і передаваних ним даних. Але|та| я вважаю|лічу|, що вона достатньо|досить| ефективна, і її повсюдне впровадження — це не тільки|не лише| дань|данина| моді, вельми|дуже| прихильній до VPN в останні пару років.
|
Схема VPN |
Суть VPN полягає в наступному|слідуючому|:
На всі комп'ютери, що мають вихід в Інтернет, встановлюється засіб|кошт|, що реалізовує VPN (VPN-агент). Не повинно залишитися жодного незахищеного!
VPN-агенти автоматично шифрують всю витікаючу інформацію (і відповідно розшифровують ту, що всю входить). Вони також стежать за її цілісністю за допомогою ЕЦП| (криптографічна контрольна сума, розрахована з використанням ключа|джерела| шифрування).
Оскільки інформація, циркулююча в Інтернеті, є безліччю пакетів протоколу IP, VPN-агенти працюють саме з|із| ними.
Перед відправкою IP-пакету VPN-агент діє таким чином:
З|із| декількох підтримуваних їм алгоритмів шифрування і ЕЦП| по IP-адресі одержувача вибирає потрібний для захисту даного пакету, а також ключі|джерела|. Якщо ж в його настройках такого одержувача немає, то інформація не відправляється|вирушає|.
Визначає і додає|добавляє| в пакет ЕЦП| відправника |.
Шифрує пакет (цілком, включаючи заголовок).
Проводить інкапсуляцію, тобто формує новий заголовок, де указується|вказується| адреса зовсім не одержувача, а його VPN-агента. Ця корисна додаткова функція дозволяє представити|уявити| обмін між двома мережами|сітями| як обмін всього лише між двома комп'ютерами, на яких встановлені|установлені| VPN-агенти. Всяка|усяка| корисна для темних цілей зловмисника інформація, наприклад внутрішні IP-адреси, йому вже недоступна.
При отриманні|здобутті| IP-пакету виконуються зворотні дії:
Заголовок містить|утримує| відомості про VPN-агента відправника. Якщо такий не входить в список дозволених в настройках, то інформація просто відкидається. Те ж саме відбувається|походить| при прийомі пакету з|із| навмисно або випадково пошкодженим заголовком.
Згідно настройкам вибираються алгоритми шифрування і ЕЦП|, а також необхідні криптографічні ключі|джерела|.
Пакет розшифровується, потім перевіряється його цілісність. Якщо ЕЦП| невірна, то він викидається.
І нарешті|урешті|, пакет в його початковому|вихідному| вигляді|виді| відправляється|вирушає| справжньому|теперішньому,даному| адресату по внутрішній мережі|сіті|.
Всі операції виконуються автоматично. Складною в технології VPN є|з'являється,являється| тільки|лише| настройка VPN-агентів, яка, втім, цілком|сповна| під силу досвідченому|дослідному| користувачу.
VPN-агент може знаходитися|перебувати| безпосередньо на ПК, що захищається, що корисне для мобільних користувачів, що підключаються до Інтернету де потрапило|попало|. В цьому випадку він забезпечить обмін даними тільки|лише| того комп'ютера, на якому встановлений|установлений|.
Можливо поєднання|сполучення| VPN-агента з|із| маршрутизатором (в цьому випадку його називають криптографічним) IP-пакетів. До речі, провідні світові виробники останнім часом випускають маршрутизатори з|із| вбудованою підтримкою VPN, наприклад Express VPN від Intel, який шифрує всі пакети, що проходять|минають,спливають|, по алгоритму Triple DES.
Як видно|показно| з|із| опису, VPN-агенти створюють канали між мережами|сітями|, що захищаються, які звичайно називають «тунелями». І дійсно, вони «прориті» через Інтернет від однієї мережі|сіті| до іншої; циркулююча всередині|усередині| інформація захована від чужих очей.
|
Тунелювання| і фільтрація |
Крім того, всі пакети «фільтруються» відповідно до настройок. Таким чином, всі дії VPN-агентів можна звести до двох механізмів: створенню|створінню| тунелів і фільтрації пакетів, що проходять|минають,спливають|.Сукупність правил створення|створіння| тунелів, яка називається «політикою безпеки», записується|занотовується| в настройках VPN-агентів. IP-пакети прямують в той або інший тунель або відкидаються після того, як будуть перевірені:
IP-адреса джерела (для витікаючого пакету - адреса конкретного комп'ютера мережі|сіті|, що захищається);
IP-адреса призначення;
протокол вищого рівня, якому належить даний пакет (наприклад, TCP або UDP);
номер порту, з якого або на який відправлена інформація (наприклад, 1080).
16.1 VPN, що використовує протокол IPSec
IPSec (IP Security Protocol (Протокол Безпеки IP)) - це розширений IP протокол. Він пропонує службу кодування. Ця служба забезпечує аутентифікацію, а також доступ і контроль за надійністю. IPSec забезпечує сервіс, схожий з|із| SSL, але|та| працює на рівні мережі|сіті|. Через IPSec ви можете створювати кодовані тунелі (VPN) або кодувати трафік між двома вузлами.
WinRoute має так званий IPSec прохід. Це означає|значить|, що WinRoute не має інструментів для установки з'єднання|сполучення,сполуки| IPSec (тунеля), але|та| він може виявити IPSec протокол і активізувати трафік між локальною мережею|сіттю| і Інтернет.
Примітка|тлумачення|: Функція IPSec проходу гарантує повну|цілковиту| функціональність існуючих IPSec клієнтів і працює після|потім| запуску WinRoute і Інтернет шлюзу. Якщо ви збираєтеся розробляти і упроваджувати|запроваджувати,впроваджувати| нові віртуальні приватні мережі|сіті|, ми рекомендуємо використовувати власне VPN рішення|розв'язання,вирішення,розв'язування| WinRoute .
16.2 Коли VPN безсилий
На жаль, але|та| при практичному застосуванні|вживанні| засоби|кошти| VPN не всемогутні. Серйозна проблема — атаки зсередини (тобто коли зловмисник завівся в одній з мереж|сітей|, що захищаються). За статистикою близько 75% фінансових втрат наноситься|завдається| в результаті|унаслідок,внаслідок| подібних агресій.Відмова в обслуговуванні (DoS- або DDoS-атаки) також є|з'являється,являється| істотною|суттєвою| перешкодою для VPN-агентів.
16.3 Системи для дуже|занадто| зайнятих|позичених,посісти|
Щоб встановити і набудувати|настроїти| систему автоматичного захисту даних на комп'ютері, доведеться|припаде| один раз витратити якийсь час (до речі, звичайно це досить просто — не порівняти з|із| вельми|дуже| складною настройкою VPN-агентів). Зате потім ви і не відмітите|помітите|, що ваші об'єкти шифруються «на льоту» (правда, необхідно один раз — при вході в Windows — пред'явити системі ключі|джерела|).
Це відбувається|походить| таким чином.
зберігання всієї зашифрованої інформації створюється спеціальний файл-контейнер. Системою захисту генерується ключ|джерело|, який користувач повинен зберігати при собі.
Якщо при вході потрібний ключ|джерело| не пред'явлений, то контейнер залишається просто файлом, нічим що не виділяється серед інших.
Якщо ж пред'явлений ключ|джерело| і введений|запроваджений| правильний пароль, контейнер підключається до системи і виглядає як новий логічний диск (припустимо|передбачимо|, диск F), до цього відсутній. Все, що потім з нього прочитується (наприклад, документ, який слід відредагувати), автоматично розшифровується; все, що записується|занотовується|, - автоматично шифрується. Єдина умова - зберігання важливих|поважних| документів саме на диску F. Це є|з'являється,являється| гарантією безпеки.
Такі засоби|кошти| дуже зручні, а для малодосвідчених користувачів (серед них можуть бути і що працюють з|із| важливою|поважною| інформацією, наприклад бухгалтери| або керівники) – це просто ідеальний вихід. Системний адміністратор проведе|виробить,справить| установку, настройку і вручить ключі|джерела| – а далі все легше за легеню. Ці системи нагадують NTFS, яку також слід один раз набудувати|настроїти| для автоматичного розділення|поділу| доступу до файлів. відмінність|відзнака| в тому, що NTFS їх не шифрує.
До речі, контейнерів може бути декілька, причому кожний з них буде захищений власним ключем|джерелом|. Це важливо|поважний| при роботі з|із| інформацією різного рівня секретності або при експлуатації одного комп'ютера декількома користувачами (якщо це ще актуально).
Шифрування відбувається|походить| на випадковому ключі|джерелі| (його називають «дисковим»), який, у свою чергу|своєю чергою|, шифрується на ключі|джерелі|, що пред'являється для відкриття|відчинення| контейнера, і паролі.Використання проміжного ключа|джерела| дозволяє мобільно реагувати на ситуацію. Для того, щоб швидко перешифрувати| весь контейнер у випадку, наприклад, компрометації пароля, достатньо|досить| перешифрувати| тільки|лише| дисковий ключ|джерело|.
|
Використання дискового ключа|джерела| для шифрування в контейнері |