Содержание.Введение 1. Способы защиты потока данных в Web 2. Защита на уровне приложений 1. Система PGP 2. Система S/MIME 3. Протоколы SSL и TLS 1. Архитектура SSL 2. Протокол записи SSL 3. Протокол изменения параметров шифрования 4. Протокол извещения 12 3. 5. Протокол квитирования 6. Создание главного секретного ключа 7. Генерирование криптографических параметров 15 3. 8. Что такое TLS и его отличие от SSL 4. Защита на уровне IP (сетевой уровень) 1. Архитектура защиты на уровне IP 2. Заголовок аутентификации (AH). 18 4. 2. 1. Структура заголовка 2. Использование AH в транспортном и туннельном режиме 3. Протокол ESP 1. Формат пакета ESP 2. Шифрование и алгоритмы аутентификации 3. Транспортный режим ESP 4. Туннельный режим ESP 4. Комбинация защищённых связей 22 Заключение 24 Источники информации 25 Введение. Большинство проблем, с которыми сталкиваются пользователи электронной почты (спам, вирусы, разнообразные атаки на конфиденциальность писем и т. д.), связано с недостаточной защитой современных почтовых систем.
С этими проблемами приходится иметь дело и пользователям общедоступных публичных систем, и организациям.
Практика показывает, что одномоментное решение проблемы защиты электронной почты невозможно.
Спамеры, создатели и распространители вирусов, хакеры изобретательны, и уровень защиты электронной почты, вполне удовлетворительный вчера, сегодня может оказаться недостаточным. Для того чтобы защита электронной почты была на максимально возможном уровне, а достижение этого уровня не требовало чрезмерных усилий и затрат, необходим систематический и комплексный, с учетом всех угроз, подход к решению данной проблемы.
Предпосылки некоторых проблем, связанных непосредственно с конфиденциальностью почтовых сообщений, закладывались при возникновении электронной почты три десятилетия назад. Во многом они не разрешены до сих пор. • Ни один из стандартных почтовых протоколов (SMTP, POP3, IMAP4) не включает механизмов защиты, которые гарантировали бы конфиденциальность переписки. • Отсутствие надежной защиты протоколов позволяет создавать письма с фальшивыми адресами.
Нельзя быть уверенным на 100% в том, кто является действительным автором письма. • Электронные письма легко изменить. Стандартное письмо не содержит средств проверки собственной целостности и при передаче через множество серверов, может быть прочитано и изменено; электронное письмо похоже сегодня на открытку. • Обычно в работе электронной почты нет гарантий доставки письма. Несмотря на наличие возможности получить сообщение о доставке, часто это означает лишь, что сообщение дошло до почтового сервера получателя (но не обязательно до самого адресата). При выборе необходимых средств защиты электронной почты, обеспечивающих её конфиденциальность, целостность, необходимо для системного администратора или пользователя ответить на вопрос: какие наиболее типичные средства может использовать злоумышленник для атак систем электронной почты? Приведём краткий пример данных средств и методов: 1–ый способ.
Использование снифферов. Сниффер - представляют собой программы, перехватывающие все сетевые пакеты, передающиеся через определенный узел. Снифферы используются в сетях на вполне законном основании для диагностики неисправностей и анализа потока передаваемых данных.
Ввиду того, что некоторые сетевые приложения, в частности почтовые, передают данные в текстовом формате (SMTP, POP3 и др.), с помощью сниффера можно узнать текст письма, имена пользователей и пароли. 2-ой способ. IP-спуфинг (spoofing) - возможен, когда злоумышленник, находящийся внутри организации или вне ее выдает себя за санкционированного пользователя. Атаки IP-спуфинга часто являются отправной точкой для других атак, например, DoS (Denial of Service – «отказ в обслуживании»). Обычно IP-спуфинг ограничивается вставкой ложной информации или вредоносных команд в обычный поток передаваемых по сети данных.
Это происходит в случае, если главная задача состоит в получении важного файла. Однако злоумышленник, поменяв таблицы маршрутизации данных и направив трафик на ложный IP-адрес, может восприниматься системой как санкционированный пользователь и, следовательно, иметь доступ к файлам, приложениям, и в том числе к электронной почте. 3-й способ – получение пароля на почту.
Атаки для получения паролей можно проводить с помощью целого ряда методов, и хотя входное имя и пароль можно получить при помощи IP-спуфинга и перехвата пакетов, их часто пытаются подобрать путем простого перебора с помощью специальной программы. 4-й способ нарушения конфиденциальности - Man-in-the-Middle («человек в середине») - состоит в перехвате всех пакетов, передаваемых по маршруту от провайдера в любую другую часть Сети. Подобные атаки с использованием снифферов пакетов, транспортных протоколов и протоколов маршрутизации проводятся с целью перехвата информации, получения доступа к частным сетевым ресурсам, искажения передаваемых данных.
Они вполне могут использоваться для перехвата сообщений электронной почты и их изменений, а также для перехвата паролей и имен пользователей. 5-й способ.
Атаки на уровне приложений используют хорошо известные слабости серверного программного обеспечения (sendmail, HTTP, FTP). Можно, например, получить доступ к компьютеру от имени пользователя, работающего с приложением той же электронной почты. Для защиты сетевой инфраструктуры необходимо использовать: 1. Прежде всего сильные средства аутентификации, например, технология двухфакторной аутентификации. 2. Эффективное построение и администрирование сети. Речь идет о построении коммутируемой инфраструктуры, мерах контроля доступа и фильтрации исходящего трафика, закрытии «дыр» в программном обеспечении с помощью модулей «заплаток» и регулярном его обновлении, установке антивирусных программ и многом ином. 3. Криптография, которая не предотвращает перехвата информации и не распознает работу программ для этой цели, но делает эту работу бесполезной.
Криптография также помогает от IP-спуфинга, если используется при аутентификации. 1.
Существует несколько подходов к обеспечению защиты данных в Web. Все они похожи с точки зрения предоставляемых возможностей и в некотор... В то же время средства SSL можно встраивать и в прикладные программы. В контексте безопасности Web важным примером реализации такого подхода... 2.
Защита на уровне приложений . 2. 1.
4. Профиль вычисляется для метки даты-времени подписи, связанной конкатен... Система S/MIME (Secure/Multipurpose Internet Mail Extension – защищённ... 3. При подготовке объекта envelopedData MIME должны быть выполнены следую...
Протоколы SSL и TLS . 3.1.
Протокол SSL призван обеспечить возможность надежной защиты сквозной п... Протокол квитирования SSL . Архитектура SSL. Эти средства, в частности, может использовать протокол передачи гиперт... Частью SSL считаются и три протокола более высокого уровня: протокол к...
Протокол изменения параметров шифрования SSL
Протокол записи SSL TCP IP Стек протоколов SSL. Сеанс SSL — это связь между клиентом и сервером. Сеан¬сы создаются про... Се¬анс определяет набор параметров криптографической защиты, которые м... Протокол записи SSL Протокол записи SSL (SSL Record Protocol) обеспечи... Протокол квитирования SSL (SSL Handshake Protocol) определяет общий дл...