Защита информации в глобальной сети

Автор работы: Пользователь скрыл имя, 05 Февраля 2011 в 22:45, курсовая работа

Описание работы

Internet - глобальная компьютерная сеть, охватывающая весь мир. Сегодня Internet имеет около 15 миллионов абонентов в более чем 150 странах мира. Ежемесячно размер сети увеличивается на 7-10%. Internet образует как бы ядро, обеспечивающее связь различных информационных сетей, принадлежащих различным учреждениям во всем мире, одна с другой.

Файлы: 1 файл

Диплом Информатика - Защита информации в Интернете.DOC

— 581.00 Кб (Скачать файл)

      Заключение.

      Многие  производители сетевого и телекоммуникационного  оборудования обеспечивают поддержку  работы с Kerberos в своих устройствах. Так, фирма TELEBIT, являясь крупнейшим поставщиком маршрутизаторов для связи по коммутируемым и выделенным линиям, недавно анонсировала поддержку Kerberos–клиента семейством маршрутизаторов NetBlazer. Снабженные UNIX–подобной операционной системой, устройства NetBlazer обеспечивают их удаленное конфигурирование по сети с помощью функций telnet и rlogin .Поэтому работоспособность сети, в особенности если это сеть достаточно больших размеров, сильно зависит от защищенности коммуникационных узлов, которыми являются маршрутизаторы NetBlazer, от непредвиденных или злонамеренных изменений конфигурации. Использование Kerberos в таких сетях позволит обеспечить доступ к внутренним установкам маршрутизатора только администраторам сети. Следует, однако, отметить, что использование Kerberos не является решением всех проблем, связанных с попытками несанкционированного доступа в сеть (например, он бессилен, если кто-либо узнал пароль пользователя), поэтому его наличие не исключает других стандартных средств поддержания соответствующего уровня секретности в сети. Несмотря на это, Kerberos в настоящее время является одним из наиболее известных способов защиты сети от несанкционированного доступа. Основываясь исключительно на программных средствах и не требуя дополнительных “железных” устройств, он обеспечивает защиту сети с минимальным воздействием на трафик. Kerberos обеспечивает такой уровень защиты сети, при котором подключение к ней не дает возможности доступа к важной информации без регистрации пользователя в секретной базе Kerberos (что может быть проделано только с участием администратора сети). При этом для пользователя сети такая защита практически прозрачна, поскольку требует от него лишь дополнительного ввода пароля.

      В случае с Kerberos неприятность  заключалась не в алгоритме шифрования, а в способе получения случайных чисел, т.е. в методе реализации алгоритма. Когда в октябре прошлого года пришло известие о просчетах в системе генерации случайных чисел в программных продуктах Netscape, обнаруженных студентами университета Беркли, Стивен Лодин обнаружил подобную неприятность с Kerberos. Совместно с Брайаном Доулом он сумел найти брешь и в системе Kerberos. Действующие лица этой истории – не дилетанты. Выпускники университета Purdue (штат Иллинойс) сотрудничали с лабораторией COAST (Computer Operations, Audit and Security Technology), профессионально занятой вопросами компьютерной безопасности и руководимой проф. Спаффордом, который является также основателем PCERT (Purdue Computer Emergency Response Team) – университетского отряда “быстрого реагирования” на компьютерные ЧП. PCERT, в свою очередь, член аналогичной международной организации FIRST (Forum of Incident Response Team).

      Характерно  содержание первого обращения к  прессе (от 16 февраля 1996 г.), которое от лица первооткрывателей сделал проф. Спаффорд. В нем, наряду с информацией о ненадежности системы паролей и возможностях ее взлома в течение пяти минут, говорится о задержке дальнейшего распространения технической информации до тех пор, пока разработчиками не будут внесены коррективы препятствующие несанкционированному доступу.

4.

Виртуальные частные сети.

      Одной из важнейших задач является защита потоков корпоративных данных, передаваемых по открытым сетям. Открытые каналы могут  быть надежно защищены лишь одним  методом – криптографическим.

      Так называемые выделенные линии не обладают особыми преимуществами перед линиями  общего пользования в плане информационной безопасности. Выделенные линии хотя бы частично будут располагаться  в неконтролируемой зоне, где их могут повредить или осуществить к ним несанкционированное подключение. Единственное реальное достоинство – это гарантированная пропускная способность выделенных линий, а вовсе не какая-то повышенная защищенность. Впрочем, современные оптоволоконные каналы способны удовлетворить потребности многих абонентов, поэтому и указанное достоинство не всегда облечено в реальную форму.

      Любопытно упомянуть, что в мирное время 95 % трафика Министерства обороны США  передается через сети общего пользования (в частности через). В военное время эта доля должна составлять «лишь» 70 %. Можно предположить, что Пентагон – не самая бедная организация. Американские военные полагаются на сети общего пользования потому, что развивать собственную инфраструктуру в условиях быстрых технологических изменений – занятие очень дорогое и бесперспективное, оправданное даже для критически важных национальных организаций  только в исключительных случаях.

      Представляется  естественным возложить на межсетевой экран задачу шифрования и дешифрования корпоративного трафика на пути во внешнюю сеть и из нее. Чтобы такое шифрование/дешифрование стало возможным, должно произойти начальное распределение ключей. Современные криптографические технологии предлагают для этого целый ряд методов.

      После того, как межсетевые экраны осуществили криптографическое закрытие корпоративных потоков данных, территориальная разнесенность сегментов сети проявляется лишь в разной скорости обмена с разными сегментами. В остальном вся сеть выглядит как единое целое, а от абонентов не требуется привлечение каких-либо дополнительных защитных средств.

        Пожалуй, нигде слово виртуальный  не получило столь широкого  распространения, как в сфере  информационных технологий: виртуальная  память, виртуальная машина, виртуальная  реальность, виртуальный канал, виртуальный офис. Это произошло благодаря возможности так запрограммировать логику функционирования объекта, что для пользователя его (логические) поведение и свойства никак не будут отличаться от реального прототипа. Бегство в «виртуальный мир» может быть вызвано, скажем, принципиальной невозможностью оперировать с реальным объектом, экономическими соображениями либо временным фактором.

      Виртуальные частные сети (Virtual Private Networks - VPN) являются не только «горячей» темой для индустриальных аналитиков, но привлекают также пристальное внимание как провайдеров сетевых услуг (Network Service Provider - NSP) и Internet-провайдеров (ISP), так и корпоративных пользователей. Компания Infonetics Research прогнозирует, что рынок VPN будет расти более чем на 100 % ежегодно вплоть до 2001 г., и его объем достигнет 12 млрд. долл. Она также сообщает, что 92 % крупных Internet-провайдеров и 60 % от общего числа ISP планируют предоставлять услуги VPN к концу 1998 г.

      Прежде  чем переходить к анализу причин, вызвавших столь бурный рост популярности VPN, напомним, что просто частные (корпоративные) сети передачи данных строятся, как правило, с использованием арендованных (выделенных) каналов связи коммутируемых телефонных сетей общего пользования (Public Switched Telephone Network - PSTN). В течение многих лет такие частные сети проектировались с учетом конкретных корпоративных требований, что в результате транслировалось в фирменные протоколы, поддерживающие фирменные же приложения (правда, в последнее время приобрели популярность протоколы Frame Relay и ATM). Выделенные каналы позволяют обеспечить надежную защиту конфиденциальной информации, однако оборотная сторона медали – это высокая стоимость эксплуатации и трудности при расширении сети, не говоря уже о возможности подключения к ней мобильного пользователя в непредусмотренной точке. В то же время для современного бизнеса характерны значительное рассредоточение и мобильность рабочей силы. Все больше пользователей нуждается в доступе к корпоративной информации посредством коммутируемых каналов, увеличивается также количество сотрудников, работающих на дому. Западные аналитики предсказывают, что к концу 1999 г. 80 % корпоративных пользователей будут иметь, по крайней мере, по одному портативному компьютеру (безусловно, проекция этого предсказания на Украину может вызвать только улыбку, но рано или поздно украинская экономика, изнасилованная прогрессом, вынуждена будет принять правила игры, диктуемые промышленно развитыми странами).

      Далее, частные сети не в состоянии обеспечить такие же возможности для коммерческой деятельности, которые предоставляет Internet и IP-базированные приложения, к примеру, продвижение продукции, поддержка заказчиков или постоянная связь с поставщиками. Такое взаимодействие в режиме on-line требует объединения частных сетей, которые, как правило, используют разные протоколы и приложения, разные системы управления сетью и разных поставщиков услуг связи.

      Таким образом, высокая стоимость, статичность  и трудности, возникающие при  необходимости объединить частные сети, базирующиеся на разных технологиях, вступают в противоречие с динамически развивающимся бизнесом, его стремлением к децентрализации и проявляющейся в последнее время тенденцией к слиянию компаний.

      В то же время параллельно существуют лишенные этих  недостатков сети передачи данных общего пользования и Internet, буквально окутавшая своей «паутиной» весь земной шар. Правда, они лишены и наиболее важного достоинства частных сетей – надежной защиты корпоративной информации. Технология виртуальных частных сетей и позволяет объединить гибкость, масштабируемость, низкую стоимость и доступность буквально в режиме «anytime anywhere»  Internet и сетей  общего пользования с безопасностью, характерной для частных сетей. По своей сути VPN являются частными сетями, которые для передачи трафика используют глобальные сети общего доступа (Internet, Frame Relay, ATM). Виртуальность же проявляется в том, что для корпоративного пользователя они представляются выделенными частными сетями. Рассмотрим основные требования, которые предъявляются к виртуальным частным сетям. 
 

      4.1. СОВМЕСТИМОСТЬ.

      Проблемы  совместимости не возникают, если VPN прямо используют службы Frame Relay и ATM, поскольку они довольно хорошо приспособлены для работы в мультипротокольной среде и пригодны как для IP-, так и для не IP–приложений. Все, что требуется в этом случае, так это наличие соответствующей сетевой инфраструктуры, покрывающей необходимый географический район. В качестве устройств доступа чаще всего используются Frame Relay Access Device (FRAD) или маршрутизаторы с интерфейсами Frame Relay и ATM. Многочисленные постоянные или коммутируемые виртуальные каналы могут работать (виртуально) с любой смесью протоколов и топологий. Дело осложняется, если VPN базируется на Internet. В этом случае требуется, чтобы приложения были совместимы с IP–протоколом. При условии выполнения этого требования для построения VPN можно использовать Internet «как она есть», предварительно обеспечив необходимый уровень безопасности. Но поскольку большинство частных сетей являются мультипротокольными или используют неофициальные, внутренние IP–адреса, то они не могут прямо, без соответствующей адаптации подключиться к Internet. Существует множество решений, обеспечивающих совместимость. Наиболее популярными являются следующие:

    • преобразование существующих протоколов (IPX, NetBEUI, AppleTalk или других) в IP–протокол с официальным адресом;
    • преобразование внутренних IP–адресов в официальные IP–адреса;
    • установка специальных IP–шлюзов на серверы;
    • использование виртуальной IP–маршрутизации;
    • использование универсальной техники туннелирования.

      Первый  способ, по крайней мере концептуально, понятен, поэтому остановимся вкратце  на остальных.

      Преобразование  внутренних  IP-адресов в официальные необходимо в том случае, когда частная сеть базируется на IP-протоколе. Для внутренней адресации обычно используются адреса класса В, которые лежат в диапазоне 192.168.0.0 - 192.168.255.255, что позволяет идентифицировать 65536 узлов. Преобразование адресов для всей корпоративной сети не является необходимым, так как официальные IP-адреса могут сосуществовать с внутренними в коммутаторах и маршрутизаторах сети предприятия. Другими словами, сервер с официальным IP-адресом по-прежнему доступен клиенту частной сети через локальную инфраструктуру. Наиболее часто используют технику разделения небольшого блока официальных адресов многими пользователями. Она подобна разделению пула модемов, поскольку также опирается на предположение, что не все пользователи одновременно нуждаются в доступе к Internet. Здесь существуют два индустриальных стандарта: протокол динамической конфигурации хостов (Dynamic Host Configuration Protocol - DHCP) и трансляция сетевых адресов (Network Adress Translation - NAT), подходы которых слегка различаются. DHCP «сдает» узлу адрес в аренду на время, определяемое администратором сети, тогда как NAT транслирует внутренний IP-адрес в официальный динамически, на время сеанса связи с Internet.

      Другим  способом сделать частную сеть совместимой  с  Internet является установка IP–шлюза. Шлюз транслирует не IP–протоколы в  IP-протоколы и наоборот. Большинство сетевых операционных систем, использующих нативные протоколы, имеют программное обеспечение для IP–шлюза.

      Сущность  виртуальной IP–маршрутизации заключается в расширении частных маршрутных таблиц и адресного пространства на инфраструктуру (маршрутизаторы и коммутаторы) Internet–провайдера. Виртуальный IP–маршрутизатор является логической частью физического IP–маршрутизатора, принадлежащего и функционирующего у сервис-провайдера. Каждый виртуальный маршрутизатор обслуживает определенную группу пользователей.

Информация о работе Защита информации в глобальной сети