Компьютерная безопасность. Криптографические методы защиты - Петров А.А.
ISBN 5-89818-064-8
Скачать (прямая ссылка):
• метод SecuiiD (пользователь набирает номер, высвечивающийся на электронной карточке Security Dynamics SecurID);
• метод S/Key (от пользователя требуется набрать соответствующую запрашиваемому номеру комбинацию ключа S/Key);
• метод OS Password (пользователь должен набрать пароль операционной системы. Internal-пользователь набирает специальный пароль, хранящийся в FireWaIl-I шлюза);
33^_J<OMrj^TepHaH безопасность и практическое применение криптографии
* М0Т°Д Axent (требуется ввод в соответствии с инструкциями сервера Axent);
* метод RADIUS (требуется ввод в соответствии с инструкциями сервера RADIUS).
Для систем на базе RADIUS-ссрверов существует несколько сертифицированных реализаций, предлагаемых для использования официальными партнерами.
Распределение ключей в центре Checkpoint FireWaH-1
Управляющая станция, отвечающая за централизованное администрирование конфигурации из нескольких межсетевых экранов, выполняет также? роль центра распределения криптографических ключей. Другими словами, для всех экранов она генерирует пару ключей (открытый/секретный), чтобы применить алгоритм Диффи-Хэлмана, а также служит сертификационным центром, обслуживающим запросы на их получение. На управляющей станции молено генерировать и новые ключи. Другие шлюзы, как правило, просто получают ключи из сертификационного центра. Станция управления обеспечивает каждый шлюзовой вход (gateway), на котором она установлена:
* парой ключей Диффи-Хэлмана;
* сертифицированной системой авторизации;
* шифрованной передачей ключей на другие шлюзы;
В начале шифрованного сеанса шлюз вычисляет сессионный ключ по алгоритму Диффи-Хэлмана и затем начинает шифрованную связь.
3.7. Защита электронной почты
Электронная почта на сегодняшний день является одной из наиболее применяемых технологий обмена данными между пользователями. В настоящее время это способ повсеместного общения пользователей в Internet. В корпоративных системах подобный метод находит свое применение в качестве средства обеспечения электронного документооборота.
В электронной почте сообщения могут быть простыми записками, передаваемыми в соседнюю комнату, и письмами со сложной структурой вложений, пересылаемыми на другой континент. Преимущество электронной почты для пользователей заключается в следующем: этот вид связи очень похож на обычную почту, однако следует иметь в виду, что он пе сводится только к пересылке сообщений по электронным каналам связи. На сегодняшний какой-либо единый общепринятый стандарт
Защита электронной почты
337
в этой области отсутствует. Дело в том, что системы электронной почты функционируют на различном оборудовании и основываются на различных концепциях, однако главные принципы их построения и работы аналогичны.
Система электронной почты является одним из примеров сетей, построенных по принципу клиент-серверных приложений. Здесь, как и в других подобных распределенных механизмах, пользователь взаимодействует с клиентским программным обеспечением, а администратор - с серверным. Серверы различаются уровнями производительности и надежности, совместимостью с различными стандартами электронной почты, устойчивостью к ошибкам, возможностью расширения.
Говоря об архитектуре построения серверного программного обеспечения, следует отметить, что обычно она состоит из трех основных частей: подсистема хранения сообщений, транспортная подсистема и слулсба каталогов. Подсистема хранения сообщений отвечает за получение сообщений и хранение до момента прочтения их пользователем. Хранящиеся в подсистеме сообщения могут также содержать присоединенные к ним файлы. Они обычно занимают много места, поэтому часто их количество или размер ограничиваются. Транспортная подсистема, называемая также подсистемой маршрутизации сообщений, осуществляет пересылку сообщений от одного почтового ящика к другому. Сообщение электронной почты бесполезно, если оно не поступит в нужный почтовый ящик. Служба каталогов располагает списком, имен всех пользователей в системе и обеспечивает пересылку почты адресатам. Каталоги могут содержать списки сетевых имей или более развернутую информацию, с помощью которой можно объединить пользователей по фирмам, рабочим группам, отделам или по географическому признаку. Для того чтобы найти пользователя в системе электронной почты, нужно знать только его адрес.
3.7.1. Принципы защиты электронной почты
Основными угрозами в системах электронной почты являются следующие:
• несанкционированный доступ к почтовым сообщениям (ПС), то есть нарушение конфиденциальности;
• преднамеренное изменение получателем ПС с целью нарушения его достоверности или целостности;
• выдача себя за другого пользователя, чтобы снять с себя ответственность или же использовать его полномочия с целью формирования ложного ПС; изменение законного ПС; санкционирование ложных обменов ПС или же их подтверждение;
338 Компьютерная безопасность и практическое применение криптографии
• отказ от факта передачи ПС;
• утверждение о том, что ПС получено от некоторого пользователя, хотя на самом деле оно сформировано самим злоумышленником;