Если у вас возникли сложности с курсовой, контрольной, дипломной, рефератом, отчетом по практике, научно-исследовательской и любой другой работой - мы готовы помочь.
Предоплата всего
Подписываем
Лабораторна робота № 8
Тема: Інформаційна безпека глобальної мережі.
Мета: Вивчення захищених мережевих протоколів захисту SKIP та SSL.
Теоретичні відомості:
Глобальна мережа створювалась як відкрита інформаційна система для вільного обміну інформацією, тому недостатній рівень інформаційної безпеки є вродженим недоліком для всіх протоколів та служб цієї мережі. Завдяки цьому порушник може:
1) вдертися до внутрішньої мережі підприємства та отримати доступ до конфіденційної інформації;
2) скопіювати цінну інформацію щодо паролів та адреси серверів локальної мережі;
3) входити до інформаційної системи підприємства як зареєстрований споживач.
Для захисту від спроб вторгнення зловмисників із глобальної мережі потрібно обмежити доступ споживачів цієї мережі до внутрішньої мережі та забезпечити безпечний доступ споживачів внутрішньої мережі до інформаційних ресурсів INTERNET. Це виконує мережевий екран (брандмауер, firewall), який відділяє комп'ютерну мережу підприємства від глобальної мережі та дозволяє доступ на основі певних правил для пакетів, тобто відфільтровує їх. Однак повної безпеки цей екран не забезпечує. Теж саме можна сказати про ряд служб глобальної мережі, а саме:
1. Набір протоколів керування передачею повідомлень TCP/IP має в своєму заголовку інформацію про адресу відправника, якою може заволодіти зловмисник та підмінити чи використати адресу у власних пакетах, що виглядатимуть як авторизовані, тобто перевірені їх реєстраційні номери.
2. Простий протокол передачі електронної пошти (SMTP) не дозволяє перевірити адресу відправника, розміщену в заголовку повідомлення електронної пошти. Тому можливий "шторм" повідомлень від зловмисника, який призводить до перевантаження та блокує роботу поштового сервера.
3. Протокол передачі файлів (FTP) двійкових та текстових є одним з методів віддаленого доступу, який часто використовують для організації спільного доступу до розміщеної інформації FTP-серверах. При використанні опції анонімного FTP-сервера споживач пропонує всю інформацію на ньому для вільного розповсюдження.
4. Служба мережевих імен (DNS) являє собою розподілену базу даних, в якій імена споживачів перетворюють на IP-адреси споживачів та виконується обернене перетворення IP-адреси в імена. Крім IP-адреси в DNS наведена інформація про структуру (домену) локальної мережі та IP-адреси локальних комп'ютерів. Всю базу даних важко сховати від зловмисників.
5. Служба емуляції віддаленого термінала (TELNET) здійснює підключення споживачів, виконане на основі введених імен та паролів, до серверів TELNET. Підключення дає змогу вводити команди доступу до файлів та запуск програм цього сервера. Цим способом зловмисник може добитися запису всіх паролів та імен споживачів зареєстрованих на TELNET.
6. Глобальна павутина (WWW) містить гіпертекстові документи, в яких міститься інформація посилання на інші Web-вузли та як здійснюється доступ до відповідного вузла. Використовуючи це зловмисник може нанести шкоди Web-вузлу.
7. До слабких місць Intеrnet відносять також протокол маршрутизації RIP, графічну систему Windows та інше.
Відповідно до цих незахищених місць можливою політикою мережевої безпеки має бути наступне:
1) політика доступу до мережевих служб (сервісів);
2) політика реалізації мережевих екранів.
До програмних методів захисту відносять захищені мережеві протоколи SKIP (Simple Key management for Internet Protocol) та SSL (Secure Sockets Layer).
Перший протокол використовує керування криптоключами, що базується на методі Диффі-Хелмана:
1) вузол i має секретний ключ ki та відкритий сертифікований ключ
gi mod N;
2) підпис відкритого ключа (його сертифікація) виконується за допомогою надійного алгоритму (ГОСТ, DSA та ін.), а відкриті ключі вільно розповсюджуються центром розподілу ключів із спільної бази даних;
3) для кожної пари вузлів i, j обчислюється ключ gij mod N;
4) ключ kij обчислюється із отриманого в пункті 3 кілобітового числового рядка шляхом його зменшення до 64..128 бітів;
5) знайдений в пункті 4 ключ розміщується в захищеній пам'яті.
Розглянемо можливий SKIP-захист IP-пакетів, а саме:
- шифрування блока данних IP-пакета;
- інкапсуляція IP-пакета в SKIP-пакет.
Шифрування блока данних IP-пакета здійснюється методом симетричної криптографії, на основі ключа kp, який міститься в пакеті як зашифрований ключем kij. Сам заголовок із адресами залишається незмінним, тому пакет маршрутизується відповідно до істинних адрес відправника та отримувача. Крім того весь пакет "підписується" відправником, тому зашифрований пакет має такі частини (згідно порядку слідування):
- заголовок береться із IP-пакету із двома адресами;
- алгоритм шифрування;
- пакетний ключ kp зашифрований ключем kij за наведеним вище алгоритмом;
- дані, взяті із IP-пакету, зашифровані ключем kp, тим-же алгоритмом, що в пакеті;
- електронно-цифровий підпис відправника.
Таким чином виглядає образ шифрування IP-пакету.
Інкапсуляція IP-пакету в поле даних SKIP-пакету полягає в розміщенні всього зашифрованого вхідного IP-пакету в поле даних SKIP-пакету, а всі інші поля та їх порядок такі-ж як і в пакеті шифрування блока даних IP-пакету:
- заголовок береться зі SKIP-пакету із двома полями – адресами вузлів i та j;
- алгоритм шифрування;
- пакетний ключ kp зашифрований ключем kij ;
- зашифрований ключем kp весь IP-пакет;
- електронно-цифровий підпис відправника.
Кінцевий отримувач SKIP-пакету розшифровує та формує звичайний TCP- або UDP-пакет, який передається відповідному модулю (TCP чи UDP) ядра операційної системи.
Універсальний протокол захисту з'єднання SSL базується на еталонній моделі OSI та здійснює динамічний захист об'єктів за допомогою довільного протоколу (FTP, TELNET, SMTP, DNS,..). Шифрування по алгоритму Диффі-Хелмана здійснюється ключем довжиною більше 40 біт, але більшість мережевих ОС не підтримують протокол SSL.
Завдання.
Побудувати програмний засіб, що моделює роботу SKIP-протоколів.
Контрольні питання:
1. Що таке сертифікат відкритого ключа?
2. Принцип прямого обміну ключами між користувачами.
3. Алгоритм відкритого розподілу ключів Диффі–Хелмана.