Особенности безопасности в компьютерных сетях
Особенности безопасности в компьютерных сетях 1. Безопасность компьютера – защита данных, хранящихся и обрабатывающихся внутри компьютер. 2. Сетевая безопасность: — защита данных в момент их передачи по линиям связи – защита трафика; — защита от несанкционированного удаленного доступа в сеть – контроль доступа. При обработке любого запроса существует опасность нарушения защиты данных. 1. Пассивное нарушение безопасности данных. 2. Искажение данных. 3. Присвоение имени. Общие принципы защиты • Законодательные средства • Организационные (или процедурные) меры • Административные меры • Морально-этические средства • Психологическая подготовка • Технические средства защиты Рассмотрим технические средства защиты в компьютерных сетях Технические средства безопасности в IP-сетях 1. Протоколы защищенного канала. 2. Межсетевые экраны. 3. Антивирусная защита. Протоколы защищенного канала Протоколы SSL и TLS (см. рис. 1) Secure Sockets Layer (SSL) был разработан для обеспечения аутентификации, целостности и секретности трафика на сеансовой уровне модели OSI в стеке TCP/IP – на прикладном уровне. Протокол предусматривает два этапа взаимодействия клиента и сервера: 1. Установление SSL- сеcсии (процедура handshake — рукопожатия): — аутентификация сторон соединения; — распределения ключей сессия; — определяются настраиваемые параметры соединения 2. Защищенное взаимодействие SSL использует криптографические алгоритмы: • асимметричные алгоритмы RSA и Диффи-Хеллмана • алгоритмы вычисления хэш-функций MD5 и SHA1 • алгоритмы симметричного шифрования RC2, RC4, DES, TripleDES, IDEA Transport Layer Security (TLS) разработан на смену SSL. SSL/TLS обеспечивают защищенное соединение, которое могут использовать протоколы более высокого уровня – HTTP, FTP, SMTP и др. Широко используются для защиты данных по HTTP (режим HTTPS). Для этого должны использоваться SSL-совместимые Web-сервер и Web-браузер. Особенности применения SSL/TLS Протокол SSL / TLS позволяет двум незнакомым между собой участникам установить защищенное соединение через незащищенный канал. Приложения должны включать в себя дополнительные модули, чтобы использовать услуги SSL/TLS протокола. Рис. 1. Структура протокола SSL/TLS Протоколы IPSec (IP Security) (см. рис. 2) Набор протоколов для обеспечения безопасности на уровне IP. Организует аутентификацию, шифрование и автоматическое снабжение конечных точек канала секретными ключами. Возможности: • контроль доступа • контроль целостности данных • аутентификация данных обеспечение конфиденциальности Основная задача – создание между двумя компьютерами, связанными через составную (небезопасную) IP-сеть, безопасного туннеля, по которому передаются конфиденциальные данные. Прозрачен для приложений (на работу приложений не влияет). Архитектура IPSec открытая – позволяет использовать новые криптографические алгоритмы – национальные стандарты. Поддерживает два режима: • транспортный (защита данных а пакете) • туннельный (защита всего пакета, включая заголовок) Каждый из участников соединения должен иметь специальное программное обеспечение и сконфигурировать параметры туннеля. Являются дополнение к IPv4 и частью IPv6. Основополагающие понятия IPSec: • аутентификационный заголовок (АН) • безопасное сокрытие данных (ESP) • контексты (ассоциации) безопасности (SA) • управление ключами (IKE) IPSec выполняется на хосте или шлюзе безопасности, обеспечивая защиту IP- трафика. Термин шлюз безопасности используется для обозначения промежуточной системы, которая реализует IPSec-протоколы. Защита основана на требованиях, определенных в Базе Данных Политики Безопасности (Security Policy Database- SPD), определяемой и поддерживаемой системным администратором. Рис. 2. Структура протоколов IPSec Межсетевой экран (firewall), сетевой фильтр, брандмауэр Это устройство контроля доступом, защищающее внутренние сети от внешних атак. Оно устанавливается на границе между внешней и внутренней сетью. Аппаратно функции межсетевого экрана могут выполнять компьютер, маршрутизатор или специализированное устройство — сервер доступа, на которых установлено специальное программное обеспечение. Схема межсетевого подключения изображения на рис.3. Рис. 3. Межсетевое подключение брандмауэра Эффективность работы межсетевого экрана обусловлена возможностью изменить реализуемый стек протоколов TCP/IP, и, следовательно, нарушить работу межсетевого экрана с помощью команд из внешней сети (что часто делается хакерами) невозможно. Брандмауэр может контролировать все информационные потоки. Основная функция — контроль трафика. Контроль трафика состоит в его фильтрации: • это выборочное пропускание данных; • создание специальных извещений отправителю, если его данным отказано в пропуске. Фильтрация осуществляется на основании набора условий (правил), предварительно загруженных в брандмауэр и отражающих концепцию информационной безопасности корпорации. Реализация контроля трафика 1. Физическое отделение рабочих станций и серверов внутреннего сегмента сети (внутренней подсети) от внешних каналов связи. 2. Многоэтапная идентификация запросов, поступающих в сеть (идентификация серверов, узлов связи и прочих компонентов внешней сети). 3. Проверка полномочий и прав доступа пользователей к внутренним ресурсам сети. 4. Регистрация всех запросов к компонентам внутренней подсети извне. 5. Контроль целостности программного обеспечения и данных. 6. Экономия адресного пространства сети (во внутренней подсети может использоваться локальная система адресации серверов и узлов). 7. Сокрытие IP-адресов внутренних серверов с целью защиты от хакеров. Брандмауэры могут работать на разных уровнях стека TCP/IP • на сетевом уровне выполняется фильтрация поступающих пакетов, основанная на IP-адреса;н • на транспортном уровне фильтрация по номерам портов TCP; • на прикладном уровне может выполняться анализ прикладных протоколов (FTP, HTTP, SMTP) и контроль за содержанием потоков данных. Основные компоненты брандмауэра • политика сетевого доступа; • механизмы усиленной аутентификации; • фильтрация пакетов; • прикладные шлюзы.
Поделись лекцией и получи промокод на скидку 30% на платформе Автор24
Заполни поля и прикрепи лекцию. Мы вышлем промокод со скидкой тебе на почту
Безопасность компьютерных сетей
Безопасность компьютерных сетей особенно важна в таких компаниях и фирмах, где персонал работает над проектами, имеющими конфиденциальную составляющую. Чтобы уберечь работников и компанию в целом от хакерских атак, взломов, утечки информации, особое внимание нужно уделить защите компьютерной сети.
Основная особенность любой сетевой системы заключается в том, что все компоненты ее распределены в пространстве, а связь между ними осуществляется физически с помощью сетевых соединений. В число сетевых соединений входят:
Также соединения осуществляются программно с помощью механизма сообщений. Во время процесса распределения компонентов в пространстве все управляющие сообщения и данные, которые пересылаются между отдельными объектами распределенной вычислительной системы, транслируются по сетевым соединениям в форме пакетов обмена.
Одна из главных характеристик сетевых систем заключается в том, что наряду с локальными угрозами, которые осуществляются в границах одной компьютерной системы, КС также уязвимы перед рядом специфических угроз. Они характерны следующими условиями:
- злоумышленник, который воспроизводит атаку на ваши данные, может находиться за многие тысячи километров от атакуемого объекта;
- нападению может подвергаться не отдельный компьютер, а и вся информация, которая передается по сетевым соединениям.
Чем дальше развиваются локальные и глобальные сети, тем больше удаленные атаки делаются лидирующими, как по числу попыток, так и по успешности их применения. Поэтому высококачественное обеспечение безопасного функционирования вычислительных сетей приобретает первостатейное значение. Речь идет о защите с позиции противостояния удаленным атакам. Специфический оттенок распределенных вычислительных систем заключается в том, что если в локальных вычислительных сетях чаще всего появляются угрозы раскрытия и целостности, то в сетевых системах — угроза отказа в обслуживании.
Угрозы для компьютерных сетей
Обеспечение высокоуровневой безопасности в компьютерных сетях – это основное условие защиты конфиденциальных данных от угроз различного рода.
Данным компаний и индивидуальных пользователей грозят такие явления как:
- шпионаж;
- уничтожение файлов;
- разглашение конфиденциальной информации (например, врачебная или государственная тайна);
- другие несанкционированные действия.
Все из вышеперечисленных факторов могут отрицательно повлиять на корректное функционирование локальной и глобальной сети. Сбои могут привести к утрате либо разглашению конфиденциальной информации.
Такие неприятности чаще всего спровоцированы вирусами, которые заражают систему в целом (или отдельные ее компоненты) в момент входа в интернет (или загрузки вирусных файлов). Некорректная работа офисной техники также может быть вызвана отсутствием электропитания. Или же виной тому могут быть некоторые проблемы в работе сервера, серверных систем или вспомогательных устройств.
Во вреде организационной технике и компьютерным сетям также нельзя исключать и человеческий фактор: именно неграмотные манипуляции сотрудников компании могут причинить вред содержащейся на серверах и в ПК информации.
Удаленная угроза — это такое информационное разрушение, которое оказывает воздействие на распределенную вычислительную сеть.
Удаленная угроза включает в себя обе особенности сетевых систем:
Поэтому при исследовании вопросов безопасности компьютерных сетей рассматривают два подвида удаленных угроз:
- Удаленные угрозы на протоколы сети и инфраструктуру. Они используют уязвимость этих составляющих сети.
- Удаленные угрозы на телекоммуникационные службы. Они действуют благодаря уязвимости в телекоммуникационных службах.
Цели и меры сетевой безопасности
Цели сетевой безопасности заключаются в:
- сохранении целостности пользовательских данных;
- конфиденциальности информации;
- доступность данных для первоначального пользователя (компании).
Целостность данных — одна из основных целей информационной безопасности сетей. Этот пункт предполагает, что данные не подвергаются изменениям, трансформации в любой форме, подмене или уничтожению в процессах их передачи по линиям связи и между узлами вычислительной сети. В свою очередь целостность данных гарантирует их сохранность. Например, как в случае злонамеренных действий со стороны злоумышленников, так и в результате случайностей. Если говорить о целостной сетевой безопасности, то именно обеспечение сохранности данных — одна из самых сложных задач.
Конфиденциальность данных — вторая главная цель сетевой безопасности. Если происходит процесс информационного обмена в вычислительных сетях, то чаще всего передается личная информация пользователей, учетные записи (имена и пароли), данные о кредитных картах и другая конфиденциальная информация. Порой от того, насколько качественно она защищена, зависит дальнейшее будущее компании, способность к ее полноценному функционированию или репутация.
Доступность данных — это третья цель безопасности данных в вычислительных сетях, но от этого не менее важная чем первые две. Поскольку основными функциями вычислительных сетей являются совместный доступ к аппаратным и программным средствам, то важен здесь совместный доступ к данным. И если происходит нарушение информационной безопасности, то у пользователей возникают проблемы с доступом к данным.
Для того чтобы уберечь пользователей компьютерной сети от вышеуказанных угроз и рисков, особенности вычислительных сетей, в первую очередь глобальных, предопределяют необходимость использования методов и средств защиты. К необходимым мерам относятся следующие:
- защита подключений к внешним сетям;
- защита корпоративных потоков данных, передача которых осуществляется по открытым сетям;
- защита потоков данных уровня “клиент-сервер”;
- гарантия безопасности распределенной программной среды;
- защита web-сервиса;
- аутентификация в открытых сетях.
Отметим, что в последнее время все чаще встречается незащищенность вычислительных сетей от глобальных хакерских атак.