Розділ: Комп'ютерні науки ipsecurity

Вид материала

Реферат

Подобный материал:

• 1. Задачі та комп’ютерні ресурси, 576.6kb.
• 1. Комп’ютерні мережі Тема Комп’ютерні мережі, 56.68kb.
• Розділ: Комп'ютерні науки SuperCalc, 39.96kb.
• Робоча навчальна програма предмет Комп’ютери у фізичних дослідженнях, 98.31kb.
• Ютерні системи та мережі” Спеціалізація: Комп’ютерні засоби інформатики, 203.69kb.
• Навчальна програма дисципліни Комп’ютерні мережі в системах управління Напрям підготовки, 70.88kb.
• Робоча програма з дисципліни " Комп’ютерні мережі" (за вимогами кмсонп) Освітньо-кваліфікаційний, 251.7kb.
• Робоча навчальна програма з дисципліни «комп’ютерні та інформаційні технології» для, 204.08kb.
• Анотації дисциплін напряму підготовки «комп’ютерні науки» навчальний план, 1575.65kb.
• Тср-ір розділ: Комп'ютерні науки Дослідження протоколів тср-ір, 301.23kb.

У засоби|кошти| «прозорого» шифрування входять різні додаткові утиліти, корисні досвідченим|дослідним| користувачам. Вони здійснюють наступні|слідуючі| функції: гарантоване очищення вільного простору диска. Адже при видаленні|віддаленні| об'єктів засобами|коштами| Windows зникає тільки|лише| запис про файл, але|та| сама інформація не стирається і доступна для відновлення, що абсолютно|цілком| неприпустимо|недопустимо| з погляду безпеки; очищення файлу підкачки (swap-файлу). У ньому Windows зберігає різні динамічні дані, в які легко може потрапити|попасти| документ з секретного диска. Грамотному зловмиснику не складе труднощів його звідти витягнути, що також недозволенно; автоматичну охорону контейнера. Це захищає його від випадкового видалення|віддалення| і відповідно від втрати важливої|поважної| інформації. екстрене відключення всіх контейнерів. Весь їх вміст стане недоступним, достатньо|досить| тільки|лише| натиснути|натискувати| на спеціальну кнопку (при появі у вашому кабінеті небажаних осіб|облич,лиць|). Що цікаво — деякі системи дозволяють замаскувати контейнер: його можна абияк|як-небудь| незвично назвати|накликати|, скажімо, erotica.bmp, і при прогляданні такого файлу в графічному редакторі ви дійсно побачите цікаву картинку. Отже, у|в,біля| зловмисника навряд чи виникне підозра|підозріння|, що там міститься|утримується| щось важливе|поважне|. А останній писк моди — системи з|із| функцією «вхід під примусом». Уявіть, що у|в,біля| вас є надсекретні документи, що зберігаються в контейнері. Сюди ж, але|та| з|із| іншим паролем, ви записуєте|занотовуєте| нібито секретну інформацію, для захисту якої ніби то і призначений цей контейнер. І якщо раптом з'являється|появляється| ваш нерозлучний ворог (упевнений, що від нього ховають багато цікавого) з|із| праскою|утюгом| наизготовку| L, ви просто вводите|запроваджуєте| інший пароль. Всі задоволено. * * * В даний час|нині| пропонується велика кількість різноманітних|всіляких| систем захисту інформації. Їх основне призначення — закрити|зачинити| всі можливі шляхи|колії,дороги| для зловмисника. Головне — не забувати про те, що одна залишена лазівка зробить даремним|некорисним| всі засоби|кошти| захисту, які ви встановили. 17. Переваги IPSec Переваги IPSec можна встановити у області IPSec Прохід на вкладці Установки Безпеки (Security Settings) в розділі Настройки/Продвинутые опції (Configuration / Advanced Options). Докладніша інформація по IPSec приведена у розділі Конфігурація IPSec WinRoute. Активування (Enable) Ця опція активує прохід IPSec. Необхідно встановити порожній|пустий| тайм-аут для з'єднання|сполучення,сполуки| IPSec (час за умовчанням складає 3600 секунд, що рівно 1 годині). Якщо за цей час не буде передано ніякої|жодної| інформації, і з'єднання|сполучення,сполуку| не буде закрито|зачинено| належним чином|належно|, то WinRoute вважатиме|лічитиме|, що з'єднання|сполучення,сполука| закрите|зачинене|, і при цьому буде доступний прохід до іншого комп'ютера (інша IP адреса). Активувати проходи тільки|лише| для вузлів (Enable pass-through only for hosts). Можна обмежити кількість вузлів, що використовують IPSec прохід, визначивши певну область IP адрес (звичайне|звичне| це вузли, на яких працюють IPSec клієнти). Використовуйте кнопку Правка|виправлення| (Edit), щоб редагувати виділені групи IP, або щоб додати|добавити| нову групу. 17.1 Конфігурація WinRoute's IPSec Взагалі, комунікації через IPSec повинні бути дозволені політикою брандмауера . IPSec протокол використовує два канали трафіку: IKE (Internet Key Exchange (Інтернет обмін ключами|джерелами|) — обмін кодовими ключами|джерелами| і іншою інформацією). кодовані дані (використовується IP протокол номер 50) Відкрийте|відчиніть| розділ Настройки/Політика трафіку (Configuration / Traffic Policy), щоб встановити правила, що визначають комунікацію між клієнтами IPSec (адресна група VPN описана в прикладі|зразку|) і сервером (у прикладі|зразку| описаний сервер ipsec.server.cz). Примітка|тлумачення|: WinRoute забезпечує роботу встановлених|установлених| сервісів IPSec і IKE. 17.2 IPSec клієнт в локальній мережі|сіті| Цей розділ керівництва описує настройку WinRoute для тих випадків, коли IPSec клієнт або сервер розташовані|схильні| в локальній мережі|сіті|, і WinRoute забезпечує переклад|переведення,переказ| IP адреси. IPSec клієнт на вузлі WinRoute В цьому випадку NAT не робить впливу на трафік IPSec (IPSec клієнт повинен використовувати загальну|спільну| IP адресу вузла WinRoute). Необхідно тільки|лише| визначити правила трафіку, що вирішують IPSec комунікацію між брандмауером і сервером IPSec. Колонка Переклад|переведення,переказ| (Translation) повинна бути порожньою|пустою| - переклад|переведення,переказ| IP не виконується. Установки проходу в даному випадку не важливі|поважні| (вони не можуть застосовуватися). Один IPSec клієнт в локальній мережі|сіті| (один тунель) Якщо в кожен момент створюється тільки|лише| один IPSec тунель від локальної мережі|сіті| в Інтернет, то це залежить від типу IPSec клієнта: Якщо IPSec клієнт і IPSec сервер підтримують функцію NAT Передачі (NAT Traversal) (клієнт і сервер можуть виявити, що IP адреса по дорозі між ними була трансльована), то IPSec повинен бути відключений (інакше може виникнути конфлікт). NAT Передача підтримується, наприклад, програмним забезпеченням Nortel Networks' VPN (lnetworks.com/). Якщо IPSec клієнт не підтримує NAT Передачу, необхідно активізувати IPSec прохід в WinRoute. У обох випадках, комунікації IPSec між клієнтом і IPSec сервером повинні бути дозволені правилами трафіку. У колонці Передачі (Translation) повинен бути вказаний NAT (так само як для комунікацій між локальною мережею|сіттю| і Інтернет). Декілька IPSec клієнтів в локальній мережі|сіті| (декілька тунелів) Якщо передбачається|припускається| створювати декілька IPSec тунелів від локальної мережі|сіті| в Інетренет, всіх IPSec клієнтах і відповідних серверах повинні підтримувати NAT Передачу (див. вище). Підтримка IPSec в WinRoute повинна бути відключена, щоб не виникало конфліктів. Знову, трафік між локальною мережею|сіттю| і відповідними IPSec серверами повинен бути дозволений правилами трафіку. 17.3 IPSec сервер в локальній мережі|сіті| Сервер IPSec на вузлі локальної мережі|сіті| або на вузлі WinRoute повинен бути картивован| з|із| Інтернет. В цьому випадку трафік між Інтернет клієнтами і вузлом WinRoute повинен бути дозволений правилами трафіку, і повинне бути встановлене|установлене| картивування| до відповідного вузла локальної мережі|сіті|. Попередження|попереджувати,запобігання|: із загальної|спільної| IP адреси брандмауера може бути картивован| тільки|лише| один IPSec сервер. Щоб картировать декілька IPSec серверів, брандмауер повинен використовувати декілька загальних|спільних| IP адрес. Приклад|зразок|: ми хочемо встановити, щоб два сервери IPSec були доступні Інтернет — один на вузлі WinRoute, і інший на вузлі з|із| IP адресом| 192.168.100.100. Пов'язаний Інтернет інтерфейс брандмауера використовує адреси 60.80.100.120 і 60.80.100.121. 18. Оцінка протоколу Протокол IPSec одержав|отримав| неоднозначну оцінку з боку фахівців|спеціалістів|. З одного боку, наголошується, що протокол IPSec є|з'являється,являється| кращим серед всіх інших протоколів захисту передаваних по мережі|сіті| даних, розроблених раніше (включаючи розроблений Microsoft PPTP). На думку іншої сторони, присутня надмірна складність і надмірність протоколу. Так, Niels Ferguson і Bruce Schneier в своїй роботі "A Cryptographic Evaluation of IPsec"відзначають, що вони виявили серйозні проблеми безпеки практично у всіх головних компонентах IPsec. Ці автори також відзначають, що набір протоколів вимагає серйозного доопрацювання|доробки| для того, щоб він забезпечував хороший|добрий| рівень безпеки. У роботі приведений опис ряду|лави,низки| атак, що використовують як слабкості загальної|спільної| схеми обробки даних, так і слабкості криптографічних алгоритмів. Висновок|укладення,ув'язнення| У цій курсовій я розглянула|розгледіли| деякі основні моменти, що стосуються протоколу мережевої|мережної| безпеки IPsec. Не зайвим буде відзначити, що протокол IPsec домінує в більшості реалізацій віртуальних приватних мереж|сітей|. В даний час|нині| на ринку представлені|уявлені| як програмні реалізації (наприклад, протокол реалізований в операційній системі Windows2000 компанії Microsoft), так і програмно-апаратні реалізації IPsec - це Nokia. Не дивлячись на|незважаючи на| велике число різних рішень|розв'язань,вирішень,розв'язувань|, всі вони досить добре сумісні один з одним. На закінчення статті приводиться|призводиться,наводиться| таблиця, в якій проводиться|виробляється,справляється| порівняння IPSec і широко поширеного зараз SSL. Робоча група інтернету (IETF) визначає IPSec як набір специфікацій для встановлення достовірності|справжності|, цілісності і забезпечення конфіденційності засобами|коштами| криптографії для протоколу IP. IPSec призначався і фактично став стандартом для захисту інтернет-комунікацій. Розробки групи IPSec дозволяють організувати захищені тунелі між хостами|, тунелі інкапсульованих даних і віртуальні приватні мережі|сіті| (VPN), забезпечуючи таким чином захист протоколів, розташованих|схильних| вище за рівень IP. Формати протоколу для заголовка аутентифікації IPSec (Authentication Header, АH) і захищеного інкапсулювання IP (Encapsulating Security Payload, ESP) не залежать від криптографічного алгоритму, хоча деякі набори алгоритмів вказані як обов'язкові на користь забезпечення взаємодії. Так само в структурі IKE IPSec підтримуються багато алгоритмів управління ключами|джерелами| (визначальні ключ|джерело| сесії для захисту трафіку). Особливості IPSec SSL Апаратна незалежність Так|та| Так Код Не вимагається змін для додатків|застосувань|. Може зажадати доступ до початкового|вихідного| коду стека TCP/IP. Потрібні зміни в додатках|застосуваннях|. Можуть потрібно нові DLL або доступ до початкового|вихідного| коду додатків|застосувань|. Захист IP пакет цілком. Включає захист для протоколів вищих рівнів. Тільки|лише| рівень додатків|застосувань|. Фільтрація пакетів Заснована на аутентифицированных| заголовках, адресах відправника і одержувача, і т.п. Проста і дешева. Підходить|пасує,личить| для роутеров|. Заснована на вмісті і семантиці високого рівня. Більш інтелектуальна і складніша. Продуктивність Меньшее число переключений контекста и перемещения данных. Большее число переключений контекста и перемещения данных. Большие блоки данных могут ускорить криптографические операции и обеспечить лучшее сжатие. Платформи Любые системы, включая роутеры В основном, конечные системы (клиенты/серверы), также firewalls. Firewall/VPN Весь трафік захищений. Захищений тільки|лише| трафік рівня додатків|застосувань|. ICMP, RSVP, QoS і т.п. можуть бути незахищені. Прозорість Для користувачів і додатків|застосувань|. Тільки|лише| для користувачів. Поточний статус Стандарт, що з'являється|появляється|. Широко використовується WWW браузерами|, також використовується деякими іншими продуктами. Література: www.infotect.ru/technology vpn www.yandex.ru www.osp.ru/pcworld www.ref.nnov.ru