Управление ключами

Протокол – это набор правил обмена информацией между сетевыми драйверами одного уровня иерархии.

Протокол skip

Промышленный стандарт компании Sun Microsystems.

Лицензия: free (открытый), спецификация (описание) может использоваться всеми разработчками защиты без ограничений

Назначение: для безопасной передачи данных в любой крупномасштабной сети с большим количеством пользователей

Режим работы:

Простая пересылка данных

Аутентификация

Пересылки данных с аутентификацией пользователей

Принцип работы: сочетание алгоритмы Диффи-Хелмана шифрования исходного IP-адреса с инкапсуляцией в пересылаемый IP-пакет.

Инкапсуляция – встраивание одного объекта в другой, причем встроенный объект становится скрытым для среды внешней по отношению объектов, которые не входят в объект владения.

/* тут будет картинка со схемой */

Условные обозначения:

A, B – пользователи

ЦРК – центр распределения ключей

SKIP – SKIP-устройства

N, g – открытые параметры алгоритма Диффи-Хелмана

k_i, k_j – секретные ключи узлов

K_i, K_j –открытые ключи узлов

Защита информации с помощью межсетевых экранов

«Врожденные слабости» служб Internet

К числу служб Internet относятся:

SMTP – простой протокол передачи электронной почты;

Sendmail – программа электронной почты;

DNS – служба сетевых имен (является очень уязвимой);

Telnet – служба эмуляции удаленного терминала;

Эмуляция – процесс создания программным способом функционального эквивалента реального устройства

WWW – всемирная паутина;

FTP – протокол передачи файлов FTP;

X Windows – графическая оконная система.

Идеальный межсетевой экран должен выполнять следующие функции:

Блокировка внешних атак, включая сканирование портов, подмену IP-адресов, DoS и DDoS (атак «отказ в обслуживании»), подбор паролей и т.д.

Блокировка утечки информации даже при проникновении вредоносного кода в компьютер посредством блокирования выхода кода в сеть

Модель OSI (модель открытых систем) претендует на статус всеобъемлющего стандарта. Имеет 7 модулей.

Фильтрация трафика — это дискриминация пакетов на проходящие/не проходящие (допустимые/недопустимые) на основе следующих признаков:

IP адрес отправителя

IP адрес получателя

Порт отправителя

Порт получателя

При своих положительных качествах (малая стоимость, гибкость построения правил фильтрации, минимальная задержка прохождения пакетов) фильтрующие маршрутизаторы имеют ряд недостатков:

Внутренняя сеть видна (маршрутизируется) из сети Интернет;

Правила фильтрации трудны в описании и требуют очень хороших знаний технологий TCP и UDP;

При нарушении работоспособности межсетевого экрана с фильтрацией пакетов все компьютеры за ним становятся полностью незащищенным либо недоступными;

Отсутствует аутентификация на пользовательском уровне;

Не защищают от атак типа подмена IP-адреса и не проверяют содержимое пакетов.

Схема защиты информации на основе межсетевых экранов

Можно предположить следующие принципы защиты информации в корпоративных сетях.