Научная литература
booksshare.net -> Добавить материал -> Информатика -> Петров А.А. -> "Компьютерная безопасность. Криптографические методы защиты" -> 112

Компьютерная безопасность. Криптографические методы защиты - Петров А.А.

Петров А.А. Компьютерная безопасность. Криптографические методы защиты — M.: ДМК, 2000. — 448 c.
ISBN 5-89818-064-8
Скачать (прямая ссылка): comp_safety.pdf
Предыдущая << 1 .. 106 107 108 109 110 111 < 112 > 113 114 115 116 117 118 .. 181 >> Следующая

Первые три спецификации известны под общим названием протоколов трансляции канального уровня, поскольку в соответствии с ними пакеты протоколов сетевого уровня (AppleTalk, IP и IPX) сначала инкапсулируются в другие пакеты протокола канального уровня (PPP), а уже затем передаются адресату по IP-сети. Хотя эти спецификации и претендуют на решение проблемы безопасности в сетях VPN, они не обеспечивают шифрования, аутентификации, проверки целостности каждого передаваемого пакета, а также средств управления ключами. На сегодняшний день наиболее современным решением защиты сетей VPN является спецификация IPSec. Поэтому в случае использования первых трех спецификаций для обеспечения безопасности информации при передаче в рамках VPN необходимо применение дополнительных средств ее защиты.
Основные подходы к обеспечению защиты информации в VPN
Тема информационной безопасности при построении VPN освещает вопросы безопасности при объединении нескольких локальных сетей (то есть защита информационного канала и информационных ресурсов для соединения типа локальная сеть - локальная сеть (Л C-JlC)) и вопросы обеспечения информационной безопасности при подключении к локальной сети удаленного пользователя (ЛС-УП). Каждый из представленных вопросов будет иметь свой спектр угроз и соответственно методов и средств защиты информации.
Для VPN, построенных по принципу ЛС-ЛС, характерны следующие угрозы:
• изменение, удаление или добавление части трафика или отдельных IP-пакетов или их полей;
Защита информации при межсетевом взаимодействии
273
• анализ передаваемого трафика;
• инициация информационного обмена злоумышленником от имени одного из сегментов VPN.
При этом целями нападения могут быть:
• получение доступа к конфиденциальной информации, передаваемой между сегментами VPN;
• получение несанкционированного доступа к информационным ресурсам, предоставляемым в сегментах VPN;
• нарушение бесперебойности работы VPN;
• нарушение достоверности и целостности передаваемой информации и предоставляемых информационных ресурсов;
• наработка статистики функционирования сегментов VPN между собой.
Таким образом, при обеспечении защиты информации в рамках соединения типа ЛС-ЛС необходимо применять средства, которые смогли бы обеспечить:
• шифрование трафика или отдельных пакетов; при этом должна быть обеспечена защита информации разного уровня конфиденциальности;
• двустороннюю аутентификацию участников информационного обмена;
• выработку ЭЦП или контрольных сумм на передаваемые IP-пакеты;
• имитозащиту передаваемой информации;
• маскировку передаваемой информации путем сжатия трафика при передаче, а также генерирование ложного трафика в ходе приостановки обмена информации в VPN.
Когда же безопасность информации обеспечивается в рамках соединения ЛС-УП, очевидно, что большинство приведенных угроз и целей нарушителя будут сохраняться и в данном случае. При этом дополнительно следует обеспечить:
• разграничение доступа к предоставляемым локальной сетью информационным ресурсам;
• аутентификацию передаваемой информации на уровне пользователя.
Выбираемые решения по обеспечению защиты информации в VPN должны учитывать следующие требования, выдвигаемые современным уровнем построения информационных систем, а также специфическими аспектами построения VPN:
• защищаемая информация должна корректно маршрутизироваться и обрабатываться промежуточными системами, такими как маршрутизаторы и т.д.;
274 Компьютерная безопасность и практическое применение криптографии
• система защиты должна быть масштабируема, то есть должны учитываться потребности защищаемой системы при ее росте и усложнении архитектуры построения;
• система защиты не должна накладывать ограничений на производительность и обрабатываемую информацию прикладной системы; при этом интеграция защиты информации с подобной системой не должна приводить к ее существенной доработке;
• учитывая большой объем передаваемой информации между сегментами VPN, необходимо реализовывать эффективные процедуры распределения и управления ключевой информацией;
• построение системы защиты должно обеспечивать ее централизованное администрирование и аудит;
• защищаемая локальная сеть в случае использования стандартных средств межсетевого обмена должна быть недоступна из глобальной сети.
Большинство систем защиты информации в VPN работают на сетевом уровне, это объясняется тем, что:
• применение защиты на сетевом уровне является прозрачным для прикладных систем;
• средства защиты сетевого уровня не ограничивают общую структуру и стратегию развития прикладной системы.
Среди применяемых решений защиты информации в VPN следует отметить межсетевые экраны (в том числе и шифрующие), программно-аппаратные комплексы (ПАК) шифрования IP-трафика (далее - крипто-маршрутизаторы) и программные средства, реализующие прозрачное шифрование 1Р-трафика.
Использование межсетевых экранов и ПАК шифрования 1Р-трафика целесообразно для защиты соединений типа ЛС-ЛС в силу того, что для прохождения большого объема информации через данные соединения требуется высокая производительность подобных систем. Но если межсетевые экраны применяются в основном для фильтрации трафика с целью обеспечения защиты информационных ресурсов от несанкционированного доступа и от негативного воздействия из внешних сетей передачи данных, то в криптомаршрутизаторе функции фильтрации являются вспомогательными, а упор делается на обеспечение конфиденциальности, целостности и имитозащиты передаваемой информации. То есть основным является применение средств шифрования, выработки контрольных сумм и имитовставок с одновременным решением вопросов управления и распределения ключевой информации.
Предыдущая << 1 .. 106 107 108 109 110 111 < 112 > 113 114 115 116 117 118 .. 181 >> Следующая

Реклама

c1c0fc952cf0704ad12d6af2ad3bf47e03017fed

Есть, чем поделиться? Отправьте
материал
нам
Авторские права © 2009 BooksShare.
Все права защищены.
Rambler's Top100

c1c0fc952cf0704ad12d6af2ad3bf47e03017fed