рефераты конспекты курсовые дипломные лекции шпоры

Реферат Курсовая Конспект

Безопасность компьютерных сетей

Безопасность компьютерных сетей - раздел Связь, КОНСПЕКТ ЛЕКЦИЙ По дисциплине Компьютерные сети и телекоммуникации Широкое Применение Компьютерных Сетей Во Всех Областях Человеческой Деятельно...

Широкое применение компьютерных сетей во всех областях человеческой деятельности, оказывающее существенное влияние на нашу жизнь, делает весьма актуальной проблему информационной безопасности. Защита информации в компьютерных сетях является одной из наиболее важных задач, которые должны решаться в процессе их разработки и эксплуатации.

Средства защиты информации в компьютерных сетях можно разбить на два класса:

• средства компьютерной безопасности, обеспечивающие защиту информации, находящейся в локальной сети или на отдельном компьютере пользователя;

• средства сетевой безопасности, обеспечивающие защиту информации в процессе её передачи через сеть.

Средства компьютерной безопасности должны обеспечить защиту от несанкционированного доступа всех находящиеся внутри собственной локальной сети ресурсов:

• аппаратных - серверы, дисковые массивы, маршрутизаторы;

• программных - операционные системы, СУБД, почтовые службы и т. п.

Кроме того, необходимо обеспечить защиту данных, хранящихся в файлах и обрабатываемых в компьютерах. Для этого необходимо контролировать трафик, входящий в сеть обычно из Интернета, и стараться перекрыть доступ извне для любой информации, с помощью которой злоумышленник может попытаться использовать внутренние ресурсы сети во вред их владельцу.

Наиболее часто в качестве средства компьютерной безопасности используется брандмауэр, устанавливаемый в местах соединений внутренней локальной сети с Интернетом. Брандмауэр (firewall) представляет собой межсетевой экран, который контролирует трафик между локальной сетью и Интернетом и не пропускает подозрительный трафик в сеть. Кроме того, в качестве средств компьютерной безопасности могут использоваться встроенные средства безопасности операционных систем, баз данных, а также встроенные аппаратные средства компьютера.

Для обеспечения сетевой безопасности необходимо защищать информацию, передаваемую в виде пакетов через сети поставщиков услуг Интернета, чтобы она не была искажена, уничтожена или перехвачена посторонними людьми. Для решения этой задачи сегодня широко используется механизм виртуальных частных сетей (VPN).

Автономно работающий компьютер можно более или менее эффективно защитить от внешних покушений. Гораздо сложнее это сделать, если компьютер работает в сети и общается с другими компьютерами. Обеспечение безопасности в этом случае сводится к тому, чтобы сделать проникновение посторонних к ресурсам компьютера контролируемым. Для этого каждому пользователю сети должны быть четко определены его права на доступ к информации, устройствам и на выполнение системных действий в каждом компьютере сети. Дополнительно необходимо обеспечить защиту от перехвата передаваемых по сети данных и создания «ложного» трафика, на что направлена большая часть средств обеспечения сетевой безопасности.

Вопросы сетевой безопасности приобретают особую значимость в связи с тем, что корпоративные сети всё чаще используют Интернет в качестве транспортного средства.

Безопасная информационная система должна:

• защищать данные от несанкционированного доступа;

• быть всегда готовой предоставить данные своим пользователям;

• надежно хранить информацию и гарантировать неизменность данных.

Для этого система должна обладать следующими свойствами.

• Конфиденциальность (confidentiality) - гарантия того, что секретные данные будут доступны только авторизованным пользователям, которым этот доступ разрешен.

• Доступность (availability) - гарантия того, что авторизованные пользователи всегда получат доступ к данным.

• Целостность (integrity) - гарантия сохранности данных, которая обеспечивается запретом для не авторизованных пользователей каким-либо образом изменять, модифицировать, разрушать или создавать данные.

Требования безопасности могут меняться в зависимости от назначения системы, характера используемых данных и типа возможных угроз.

Если свойства целостности и доступности актуальны для всех систем, то свойство конфиденциальности может быть необязательным, например, если информация предназначена для широкого круга людей. В то же время, для того чтобы злоумышленник не смог изменить эту информацию, необходимо принять меры по обеспечению целостности данных.

Понятия конфиденциальности, доступности и целостности могут быть применены не только по отношению к информации, но и к другим ресурсам вычислительной сети (внешним устройствам, сетевому оборудованию или приложениям). Конфиденциальность, применительно к какому-либо устройству, обеспечивает доступ к нему только авторизованным пользователям, причем они могут выполнять только те операции, которые им разрешены. Свойство доступности устройства состоит в его готовности к использованию в момент возникновения такой необходимости. Благодаря свойству целостности злоумышленник не сможет изменить параметры настройки устройства, что могло бы привести к выходу его из строя.

Для защиты данных используются средства, называемые сервисами сетевой безопасности, которые обеспечивают контроль доступа, включающий процедуры шифрование информации, аутентификации, идентификации и авторизации, аудит, антивирусную защиту, контроль сетевого трафика и т.д. Средства безопасности могут быть либо встроены в программное (операционные системы и приложения) и аппаратное (компьютеры и коммуникационное оборудование) обеспечение сети, либо реализованы в виде отдельных продуктов, созданных специально для решения проблем безопасности.

Рассмотрим основные сервисы сетевой безопасности.

Шифрование - процедура, превращающая информацию из обычного «понятно го» вида в «непонятный» зашифрованный вид. Для расшифровки зашифрованной информации используется процедура дешифрирования. Пара процедур - шифрование и дешифрирование - называется криптосистемоЙ. Шифрование может применяться в системах аутентификации или авторизации пользователей, а также в системах защиты канала связи и хранения данных.

Аутентификация — подтверждение подлинности - предотвращает несанкционированный доступ к сети посторонних лиц и разрешает доступ легальным пользователям.

В качестве объектов, требующих аутентификации, могут выступать не только пользователи, но и различные приложения, устройства, данные.

Примером аутентификации на уровне приложений может служить взаимная аутентификации клиента и сервера, когда клиент, доказавший серверу свою легальность, также должен убедиться, что ведет диалог действительно со своим сервером. При установлении сеанса связи между двумя устройствами также может быть предусмотрена процедура взаимной аутентификации. Аутентификация данных означает доказательство целостности этих данных, а также факт их поступления именно от того человека, который объявил об этом. Для этого используется механизм электронной подписи.

Аутентификацию не следует путать с идентификацией и авторизацией.

Идентификация заключается в сообщении пользователем системе своего идентификатора, в то время как аутентификация - это процедура доказательства пользователем того, что он является тем, за кого себя выдает, в частности доказательство того, что именно ему принадлежит введенный им идентификатор. Идентификаторы пользователей применяются в системе с теми же целями, что и идентификаторы любых других объектов (файлов, процессов, структур данных), и они не всегда связаны непосредственно с обеспечением безопасности.

Авторизация - процедура контроля доступа легальных пользователей к ресурсам системы с предоставлением каждому из них именно тех прав, которые определены ему администратором. Помимо предоставления пользователям прав доступа к каталогам, файлам и принтерам, система авторизации может контролировать возможность выполнения пользователями различных системных функций, таких как локальный доступ к серверу, установка системного времени, создание резервных копий данных, выключение сервера и т. п.

Аудит - фиксация в системном журнале событий, связанных с доступом к защищаемым системным ресурсам. Подсистема аудита современных операционных систем позволяет дифференцированно задавать перечень интересующих администратора событий с помощью удобного графического интерфейса. Средства учета и наблюдения обеспечивают возможность обнаружить и зафиксировать важные события, связанные с безопасностью; любые попытки (в том числе и неудачные) создать, получить доступ или удалить системные ресурсы.

Технология защищенного канала обеспечивает безопасность передачи данных по открытой транспортной сети, например по Интернету, за счет:

• взаимной аутентификации абонентов при установлении соединения;

• защиты передаваемых по каналу сообщений от несанкционированного доступа;

• обеспечения целостности поступающих по каналу сообщений.

Защищенный канал можно построить с помощью протоколов, реализованных на разных уровнях модели OSI (табл.4.6).


Защита данных средствами верхних уровней (прикладного, представления или сеансового ) не зависит от технологий транспортировки данных (IP, Ethernet или АТМ), однако приложения зависят от конкретного протокола защищенного канала, так как в них должны быть встроены явные вызовы функций этого протокола. Протоколы безопасности прикладного уровня защищают только вполне определенную сетевую службу, например протокол S/МIМE защищает сообщения электронной почты. На уровне представления используется протокол SSL (Secure Socket Layer - слой защищенных сокетов) и его открытая реализация TLS (Transport Layer Security - безопасность транспортного уровня).

Средства защищенного канала становятся прозрачными для приложений в тех случаях, когда они защищают кадры протоколов сетевого и канального уровней. Однако при этом сервис защищенного канала становится зависимым от протокола нижнего уровня.

Компромиссным вариантом защищённого канала является работающий на сетевом уровне протокол IPSec. С одной стороны, он прозрачен для приложений, с другой - может работать практически во всех сетях, так как основан на протоколе IP и использует любую технологию канального уровня (РРР, Ethernet, АТМ и т. д.).

IPSec (сокращение от IP Security) - набор протоколов, позволяющих обеспечить защиту данных, передаваемых по межсетевому протоколу IP за счёт подтверждение подлинности и шифрования IР-пакетов. Применение протокола IPSec гарантирует целостность, аутентичность и конфиденциальность данных на протяжении всего пути между двумя узлами сети, который получил название «защищенный канал».

IPSec-протоколы можно разделить на два класса:

• протоколы, отвечающие за защиту потока передаваемых пакетов, к которым относятся два протокола:

- ESP (Encapsulating Security Payload - инкапсуляция зашифрованных данных), обеспечивающий шифрацию, целостность и конфиденциальность передаваемых данных;

- АН (Authentication Header заголовок аутентификации), гарантирующий только целостность и аутентичность дaнных (передаваемые данные не шифруются).

• протокол обмена криптографическими ключами IKE (Internet Кеу Exchange - обмен ключами Интернета), автоматически предоставляя конечным точкам защищенного канала секретные ключи, необходимые для работы протоколов аутентификации и шифрования данных.

Для шифрования данных в протоколе IPSec может быть применен любой симметричньrй алгоритм шифрования. В симметричных схемах шифрования конфиденциальность основана на том, что отправитель и получатель обладают общим, известным только им, параметром функции шифрования. Этот параметр называется секретным ключом. Секретный ключ используется как для шифрования текста, так и для его дешифрирования.

Протоколы АН и ESP могут защищать данные в двух режимах:

• транспортном;

• туннельном.

В транспортном режиме шифруется только содержимое IР-пакета, не затрагивая заголовок, который не изменяется.

В туннельном режиме IР-пакет шифруется целиком, помещается в новый IР-пакет, который передаётся по сети в соответствии с заголовком нового IP -пакета. Таким образом формируется защищённый IР-туннель.

Туннельный режим может использоваться для подключения удалённых компьютеров к виртуальной частной сети или для организации безопасной передачи дaнных через открытые каналы связи (например, Интернет) между шлюзами для объединения разных частей виртуальной частной сети.

Режимы IPSec не являются взаимоисключающими - в одном и том же узле некоторые безопасные соединения могут использовать транспортный режим, а другие - туннельный.

Применение того или иного режима зависит:

• от требований, предъявляемых к защите данных;

• от типа узла, завершающего защищенный канал - хост (конечный узел) или шлюз (промежуточный узел).

Соответственно, имеются три схемы применения протокола IPSec:

• хост-хост;

• шлюз-шлюз;

• хост-шлюз.

В схеме хост-хост, использующей, как правило, транспортный режим защиты, защищенный канал устанавливается между двумя конечными узлами сети, и протокол IPSec, работая на конечных узлах, защищает передаваемые данные.

В схеме шлюз-шлюз, использующей только туннельный режим защиты, защищенный канал устанавливается между двумя промежуточными узлами, называемыми шлюзами безопасности (Security Gateway, SG), на каждом из которых работает протокол IPSec. Защищенный обмен данными может про исходить между любыми двумя конечными узлами, подключенными к сетям, связанным со шлюзами безопасности. Конечные узлы передают трафик в незащищенном виде, направляя его в общедоступную сеть через шлюз безопасности, который и обеспечивает защиту трафика с помощью протокола IPSec.

Схема хост-шлюз применяется при удаленном доступе и позволяет надежно защитить трафик и внутренней сети. Защищенный канал организуется между удаленным хостом, на котором работает протокол IPSec, и шлюзом, защищающим трафик для всех хостов, входящих во внутреннюю сеть.

Протокол АН на приёмной стороне проверяет:

• был ли пакет отправлен тем абонентом, с которым установлено безопасное соединение;

• не искажено ли содержимое пакета;

• не является ли пакет дубликатом уже полученного пакета.

Протокол ESP, кроме перечисленных функций, обеспечивает защиту передаваемых данных от несанкционированного просмотра путем их шифрования.

– Конец работы –

Эта тема принадлежит разделу:

КОНСПЕКТ ЛЕКЦИЙ По дисциплине Компьютерные сети и телекоммуникации

Федеральное государственное бюджетное образовательное учреждение... Высшего профессионального образования... Тульский государственный университет...

Если Вам нужно дополнительный материал на эту тему, или Вы не нашли то, что искали, рекомендуем воспользоваться поиском по нашей базе работ: Безопасность компьютерных сетей

Что будем делать с полученным материалом:

Если этот материал оказался полезным ля Вас, Вы можете сохранить его на свою страничку в социальных сетях:

Все темы данного раздела:

Способы передачи пакетов
Пакеты в сети могут передаваться двумя способами (рис. 7):   При дейтаграммном способе пакеты о

Маршрутизация
Маршрутизация - одна из основных функций компьютерной сети, определяющая эффективность передачи данных. Проблема маршрутизации в компьютерных сетях аналогична проблеме организации автомобильного дв

Управление трафиком
  Управление трафиком в сети необходимо для решения следующих задач: 1) обеспечение надежной передачи данных, предполагающей доставку данных абоненту без потерь и без искажен

Параметры и характеристики компьютерных сетей
Эффективность компьютерной сети может быть охарактеризована совокупностью величин, которые можно разделить на два класса (рис. 3):  

Многоканальные системы связи
Системы связи, в которых по одной линии связи осуществляется одновременная независимая передача сигналов между несколькими парами абонентов, называются многоканальными. Использование общей

Модуляция и кодирование данных
Передача данных осуществляется в виде физических сигналов различной природы (электрические, оптические, радиоволны) в зависимости от среды передачи. Для обеспечения качественной передачи используют

Модуляция непрерывных данных
Аналоговая модуляция - преобразование непрерывного низкочастотного сигнала x(t) (рис.3,а) в непрерывный высокочастотный сигнал y(t), называемый несущей и обладающий более высокими характерис

Модуляция дискретных данных
Процесс представления дискретных (цифровых) данных в виде непрерывного высокочастотного синусоидального сигнала (несущей) по своей сути является аналоговой модуляцией дискретных данных. Однако, для

Цифровое кодирование
Потенциальный код без возврата к нулю – NRZ (Non Return to Zero) - рис.6,а. В этом методе высокий потенциал соответствует значению бита «1», а низкий - значению «0». Кроме потенциальных ко

Электрические кабельные линии связи
В сетях передачи данных применяются следующие типы электрических кабелей (рис.48): 1) витая пара: • неэкранированная; • экранированная; 2) коаксиальный кабель:

Волоконно-оптические линии связи (ВОЛС)
Волоконно-оптические линии связи (ВОЛС) используются для высокоскоростной передачи данных, представляемых в виде оптических сигналов, по оптическим диэлектрическим световодам. Оптич

Общие принципы организации беспроводной связи
Для построения беспроводных сетей передачи данных необходимо иметь специальные технические и программные средства. Кроме того, необходимо иметь лицензию Государственной инспекции электросвязи на пр

Радиорелейные линии связи
Радиорелейные линии связи (РРЛС) представляют собой цепочку приемно-передающих станций, антенны которых отстоят друг от друга на расстоянии прямой видимости. РРЛС использует принцип ретрансл

Спутниковые системы связи
В общем случае, под спутниковой связью понимают связь между земными станциями (ЗС) через космические станции (КС), представляющие собой пассивные искусственные спутники Земли (ИСЗ), реализующие фун

Беспроводные сети на ИК-лучах
Одно из назначений беспроводных сетей - быстрое развертывание сетей и ноутбуков. Особенности построения и функционирования сетей на ИК-лучах: 1) нет необходимости тянуть кабели, к

Цифровые сети с интегральным обслуживанием (ISDN-технология)
Цифровые сети с интегральным обслуживанием — ЦСИО (Integrated Services Digital Networks - ISDN) - цифровая сеть, построенная на базе телефонной сети связи, в которой могут передаваться сообщения ра

Мобильная телефонная связь
Мобильная телефонная связь относится к средствам беспроводной связи и может быть двух типов: • домашние радиотелефоны; • мобильные сотовые телефоны. Радиотелефоны обеспеч

Характерные особенности и топологии ЛВС
Локальная вычислительная сеть (ЛВС, локальная сеть / Local Аrеа Network, LAN) - компьютерная сеть, обеспечивающая передачу данных на небольшие расстояния со скоростью, как правило, не менее 1 Мбит/

Архитектуры ЛВС
Различают следующие архитектуры ЛВС: • одноранговые сети; • сети типа "клиент-сервер"; • комбинированные сети, в которых могут функционировать оба типа операцио

Многосегментная организация ЛВС
Основной недостаток ЛВС - наличие ограничения на общую протяженность кабельной сети, составляющую несколько сотен метров. Максимальное расстояние между двумя наиболее удаленными друг от др

ЛВС Ethernet
Ethernet - технология ЛВС, разработанная совместно фирмами DEC, Intel и Хеroх (DIX) в 1980 году в виде стандарта Ethernet II для сети с пропускной способностью 10 Мбит/с, построенной на основе коак

VG-AnуLAN
100VG-AnуLAN - технология, разработанная фирмами IВM и Неwlеtt-Расkаrd на основе технологии 100Base-VG (Voice Grade) для передачи данных со скоростью 100 Мбит/с с использованием протоколов (

Gigabit Ethernet и 100Gigabit Ethernet
В июне 2010 года IEEE принял новый стандарт IEEE 802.3bа в виде дополнения к стандарту IEEE 802.3 Ethernet, в котором предусмотрены две скорости передачи данных по сети Ethernet - 40 Гбит/с и 100 Г

ЛВС Token Ring
Token Ring (маркерное кольцо) - сетевая технология, в которой станции могут передавать данные только тогда, когда они владеют маркером, непрерывно циркулирующим по кольцу. Существуют два в

ЛВС FDDI
FDDI (Fiber Distributed Data Interface - оптоволоконный интерфейс распределения данных) - одна из первых высокоскоростных технологий ЛВС с пропускной способностью 100 Мбит/с, реализованная на волок

Общие принципы построения беспроводных ЛВС (БЛВС)
Существует два способа организации БЛВС (рис.4): 1) с базовой станцией (рис.4,а); 2) без базовой станции (рис.4,б).

Методы передачи данных в БЛВС
Основными методами передачи данных в беспроводных ЛВС, основанными на технологии расширения спектра, являются (рис.5): • ортогональное частотное мультиплексирование (ОFDМ); • расш

Беспроводные персональные сети
Персональные сети (Personal Агеа Networks - PAN) предназначены для взаимодействия устройств, принадлежащих одному владельцу и расположенных территориально на небольшом расстоянии (около 10м).

Беспроводные сенсорные сети
Беспроводная сенсорная сеть (WSN - Wireless Sensor Network) представляет собой распределённую самоорганизующуюся устойчивую к отказу отдельных элементов сеть, состоящую из множества необслуживаемых

ГЛОБАЛЬНЫЕ СЕТИ
Совокупность различных сетей (подсетей, ЛВС), расположенных на значительных расстояниях друг от друга и объединенных в единую сеть с помощью телекоммуникационных средств, представляет собой террито

Принципы организации глобальных сетей
В отличие от ЛВС характерными особенностями глобальных сетей являются следующие. 1. Неограниченный территориальный охват. 2. Сеть объединяет ЭВМ самых разных классов (от персональ

Маршрутизаторы
Маршрутизаторы, как и мосты, позволяют эффективно объединять сети и увеличивать их размеры, но, в отличие от последних, работают на сетевом уровне ОSI-модели, то есть оперируют сетевыми адресами, и

Методы и протоколы маршрутизации
Все методы маршрутизации, применяемые в маршрутизаторах, можно разбить на две группы (рис.1).   Статическая марш

Коммутаторы
Коммутатор по функциональным возможностям занимает промежуточное положение между мостом и маршрутизатором и при объединении сегментов локальных сетей работает на 2-м канальном уровне, то есть комму

З.1 Принцип передачи пакетов на основе виртуальных каналов
Существуют два типа виртуальных каналов: • коммутируемый виртуальный канал (Switched Virtual Circuit, SVC); • постоянный виртуальный канал (Permanent Virtual Circuit, РVС).

Сети Х.25
Стандарт Х.25 «Интерфейс между оконечным оборудованием данных и аппаратурой передачи данных для терминалов, работающих в пакетном режиме в сетях передачи данных общего пользования» наилучшим образо

Сети Frame Relay
Сети Frame Relay по сравнению с сетями Х.25 гораздо лучше подходят для передачи пульсирующего трафика локальных сетей в тех случаях, когда каналы связи приближаются по качеству к каналам локальных

Технология АТМ
АТМ (Asynchronous Transfer Mode) - технология асинхронного режuма передачи, использующая маленькие пакеты фиксированного размера, называемые ячейками (cells), предназначенная для передачи в сети ра

Краткая история создания и архитектурная концепция Internet
Появлению сети Internet и стека протоколов TCP/IP предшествовала в середине 1960-х годов разработка сети, получившей название ARPANET. Разработчики - Стэндфордский исследовательский институт, Калиф

Протоколы межсетевого уровня
IP (Internet Protocol) основной протокол стека TCP/IP, реализующий передачу пакетов по IР-сети от узла к узлу. В настоящее время на смену протоколу IP версии 4 (IPv4) приходит протокол вер

Сетевые IP-адреса
IР-адрес идентификатор сетевого соединения (сетевого интерфейса). IР-адреса представляют собой 32-битовые ориентированные на решение основной задачи идентификаторы, протокола IP-маршрутизации. Для

Протоколы разрешения адресов ARP и RARP
Определение физического адреса устройства (МАС-адреса) по его IР-адресу и наоборот, IР-адреса по МАС-адресу, решают входящие в IP-стек два протокола: • ARP (Address Resolution Protocol - П

Коммуникационный протокол IPv4
Пакет IP состоит из заголовка и блока данных (рис.1,а). В настоящее время в сети Интернет могут циркулировать IР-пакеты двух версий: • IР-пакет версии 4 (IPv4); • IР-паке

Адресация в IPv6
Необходимость расширения адресного пространства в сетях TCP/IP была одной из основных целей перехода на новую версию протокола IP. Для этого длина IР-адреса была увеличена до 16 байт. Для

Фрагментация
В объединяемых сетях разных технологий допустимая максимальная длина пакетов различна и варьируется от 53 байт до 65535 байт. При объединении таких сетей возникает проблема, связанная необходимость

Управляющий протокол ICMP
Internet Control Message Protocol (ICМP) - протокол межсетевых управляющих сообщений предназначен для выявления и обработки не штатных событий (например, потеря пакета), заключающейся в определении

Хотите получать на электронную почту самые свежие новости?
Education Insider Sample
Подпишитесь на Нашу рассылку
Наша политика приватности обеспечивает 100% безопасность и анонимность Ваших E-Mail
Реклама
Соответствующий теме материал
  • Похожее
  • Популярное
  • Облако тегов
  • Здесь
  • Временно
  • Пусто
Теги