Программно-аппаратные средства обеспечения ИБ в вычислительных сетях.

В общем случае при взаимодействии с ВС (вычислительная система) мы имеем дело с сосредоточенными либо с распределенными КС (РКС), которые представляют собой множество сосредоточенных КС, свя­занных в единую систему с помощью коммуникационной под­системы.

Особенностью всех коммуникационных КС является инфор­мация, которая обрабатывается этими системами. В таких КС осуществляется смысловая обработка только служебной информации. К служебной относится адресная информация, избыточная ин­формация для защиты сообщений от искажений, идентификаторы пользователей, метки времени, номера сообщений (пакетов), атрибуты шифрования и другая информация.

Наиболее надежным и универсальным методом защиты про­цессов переработки информации в каналах связи является шиф­рование. Шифрование на абонентском уровне позволяет защитить рабочую информацию от утраты конфиденциальности и навязывания ложной информации и тем самым блокировать возможные угрозы безопасности. Линейное шифрование позволяет, кроме того, защитить служебную информацию.

В случае попыток блокировки коммуникационной подсистемы путем интенсивной передачи злоумышленником сообщений или распространения вредительских программ типа «червь» в подси­стеме управления РКС должны быть созданы распределенныемеха­низмы контроля интенсивности обмена и блокирования доступа в сеть абонентов при исчерпании ими лимита активности или в случае угрожающего возрастания трафика. Для блокирования угроз физи­ческого воздействия на каналы связи необходимо иметь дублирующие каналы с возможностью автоматического перехода на их использо­вание.

Для блокирования угроз, исходящих из общедоступной систе­мы, используется специальное программное или аппаратно-программное средство, которое получило название «межсетевой эк­ран» (Firewall).

Межсетевой экран реализует контроль за информацией, по­ступающей в защищенную РКС и(или) выходящей из защищен­ной системы.

Основной функцией межсетевого экрана является фильтрация трафика (входного или выходного). В зависимости от степени защищенности корпоративной сети могут задаваться различные правила фильтрации.

В межсетевом экране применяют использование экранирующих агентов (proxy-серверы), которые являются программами-посредниками и обеспечивают установление соединения между субъек­том и объектом доступа, а затем пересылают информацию, осу­ществляя контроль и регистрацию.

Функция трансляции адресов межсетевого экрана предназначена для скрытия от внешних абонентов истинных внутренних адресов.

Межсетевой экран выполняет регистрацию событий в специ­альных журналах. Анализ записей позволяет зафиксировать попытки нарушения установленных правил обмена информацией в сети и выявить злоумышленника.

Одной из центральных проблем обеспечения безопасности информации в вычислительной сети является проблемавзаимоподтверждения подлинности взаимодействующих процессов.

Удаленные процессы до начала взаимодействия должны убе­диться в их подлинности. Взаимная проверка подлинности вза­имодействующих процессов может осуществляться следующими способами:

•         обмен идентификаторами;

•         процедура «рукопожатия»;

•         аутентификация при распределении сеансовых ключей.

Обмен идентификаторами применим, если в сети используется симметричное шифрование. Зашифрованное сообщение, содер­жащее идентификатор, однозначно указывает, что сообщение создано пользователем, который знает секретный ключ шифрова­ния и личный идентификатор.

Различают два варианта выполнения процедуры «рукопожатия»: обмен вопросами и ответами; использование функции f, извест­ной только процессорам, устанавливающим взаимодействие. Про­цессоры обмениваются вопросами, ответы на которые не должны знать посторонние.

Аутентификация при распределении сеансовых ключей является одной из процедур управления ключами. К этим процедурам от­носятся: генерация, распределение, хранение и смена ключей.

Обычно выделяют две категории ключей: ключи шифрования данных и ключи шифрования ключей при передаче их по каналам связи и хранении.

Ключи шифрования данных меняются в каждом сеансе работы и поэтому их называют сеансовыми ключами.

В процессе генерации ключи должны получаться случайным образом.

Секретные ключи хранятся в запоминающем устройстве толь­ко в зашифрованном виде. Ключ от зашифрованных ключей мо­жет быть зашифрован с помощью другого ключа. Последний ключ хранится в открытом виде, но в специальной памяти. Он не может быть считан, просмотрен, изменен или уничтожен в обыч­ном режиме работы. Этот ключ называется главным, или мастер-­ключом.

Знание секретного ключа, общего для двух взаимодействующих процессов, дополненное защитными механизмами от повторной передачи, является основанием считать взаимодействующие про­цессы подлинными.

Распределение ключей в сети между пользователями реализу­ется двумя способами:

1) путем создания одного или нескольких центров  распределе­ния ключей;

2) прямым обменом сеансовыми ключами между абонента­ми сети.

Друзья! Приглашаем вас к обсуждению. Если у вас есть своё мнение, напишите нам в комментарии.