Главная страница 1
скачать файл

11111. Сети передачи данных
Сеть передачи данных — совокупность оконечных устройств (терминалов) связи, объединённых каналами передачи данных и коммутирующими устройствами (узлами сети), обеспечивающими обмен сообщениями между всеми оконечными устройствами.
Существуют следующие виды сетей передачи данных:

Телефонные сети — сети, в которых оконечными устройствами являются простые преобразователи сигнала между электрическим и видимым/слышимым.

Компьютерные сети — сети, оконечными устройствами которых являются компьютеры.
По принципу коммутации сети делятся на:

Сети с коммутацией каналов — для передачи между оконечными устройствами выделяется физический или логический канал, по которому возможна непрерывная передача информации. Сетью с коммутацией каналов является, например, телефонная сеть. В таких сетях возможно использование узлов весьма простой организации, вплоть до ручной коммутации, однако недостатком такой организации является неэффективное использование каналов связи, если поток информации непостоянный и малопредсказуемый.

Сети с коммутацией пакетов — данные между оконечными устройствами в такой сети передаются короткими посылками — пакетами, которые коммутируются независимо. По такой схеме построено подавляющее большинство компьютерных сетей. Этот тип организации весьма эффективно использует каналы передачи данных, но требует более сложного оборудования узлов, что и определило использование почти исключительно в компьютерной среде.
Канальный уровень - предназначен для обеспечения взаимодействия сетей на физическом уровне и контроля за ошибками, которые могут возникнуть (коммутаторы)

Ethernet


Token ring - архитектура кольцевой сети с эстафетным доступом в сеть.

FDDI - Волоконно-оптический интерфейс по распределенным данным

HDLC - High-Level Data Link Control— используется в соединениях точка точка, бит ориент.

GVRP - VLAN Registration Protocol

PPP, PPTP, L2TP - Point-to-Point Protocol) — может обеспечить аутентификацию соединения, шифрование и сжатие данных,

ATM - асинхронный способ передачи данных (кадры по 53 байта)

xDSL - цифровой абонентский шлейф
Сетевой уровень - предназначается для определения пути передачи данных

ICMP - используется для передачи сообщений об ошибках / протокол упр. сообщений

IPv4, IPv6 -

IPX - предназначен для передачи датаграмм, являясь неориентированным на соединение и обеспечивает связь между NetWare-серверами и конечными станциями.

ARP - протокол определения адреса (по известному сетевому опр. канальный)
Транспортный уровень - предназначен для доставки данных без ошибок, потерь и дублирования в той последовательности, как они были переданы.

SPX - протокол последовательного обмена пакетами

TCP - протокол управления передачей

UDP - протокол пользовательских датаграмм

SCTP

RDP (Reliable Data Protocol)



RUDP (Reliable User Datagram Protocol)

RTCP


Сеансовый уровень - отвечает за поддержание сеанса связи, позволяя приложениям взаимодействовать между собой длительное время

SSL - уровень защищённых сокетов) — криптографический протокол

NetBIOS – обеспечивает, регистрацию и проверку сетевых имен; установление и разрыв соединений; связь с гарантированной доставкой информации; связь с негарантированной доставкой информации; поддержку управления и мониторинга драйвера и сетевой карты.

Уровень представления данных - Этот уровень отвечает за преобразование протоколов и кодирование/декодирование данных.

ASN.1 - язык для описания абстрактного синтаксиса данных

XML-RPC - стандарт/протокол вызова удалённых процедур, основанный на XML,

TDI


XDR

SNMP - протокол простого управления сетями (на основе tcp ip)

FTP - File Transfer Protocol

Telnet - сетевой протокол для реализации текстового интерфейса по сети (в современной форме — при помощи транспорта TCP) (отправляются 1прикладные данные;2команды P)

SMTP

NCP
Прикладной уровень - обеспечивает взаимодействие сети и пользователя (доступ к файлам, почта, предсталвяет приложениям информацию об ошибках и формирует запросы к уровню представления



binkp

DHCP (в модели OSI располагают на транспортном уровне)

FTP

Finger


DNS

Gnutella


Gopher

HTTP - «протокол передачи гипертекста

HTTPS

IMAP


IRC

XMPP


LDAP

NTP - сетевой протокол для синхронизации внутренних часов компьютера с использованием сетей с переменной латентностью.

NNTP

POP3


RDP (Remote Desktop Protocol)

SSH


SMTP

Telnet


SNMP

22222.

Автоматизи́рованная систе́ма (АС) — система, состоящая из персонала, комплекса средств автоматизации его деятельности и регламентов работы, реализующая информационную технологию выполнения установленных функций.

Автоматизи́рованная систе́ма (АС) — это организованная совокупность средств, методов и мероприятий, используемых для регулярной обработки информации для решения задачи.

Безопасность автоматизированной информационной системы[6] — состояние защищенности автоматизированной системы, при котором обеспечиваются конфиденциальность, доступность, целостность, подотчетность и подлинность её ресурсов.
33333.
I Конституция - Статья 23 Конституции гарантирует право на личную и семейную тайну, на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений, статья 29 - право свободно искать, получать, передавать, производить и распространять информацию любым законным способом
II Гражданский кодекс

в статье 139, информация составляет служебную или коммерческую тайну в случае, когда информация имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании, и обладатель информации принимает меры к охране ее конфиденциальности. Это подразумевает, как минимум, компетентность в вопросах ИБ и наличие доступных (и законных) средств обеспечения конфиденциальности.


III Уголовный кодекс

Глава 28 - "Преступления в сфере компьютерной информации" - содержит три статьи:

статья 272. Неправомерный доступ к компьютерной информации;

статья 273. Создание, использование и распространение вредоносных программ для ЭВМ;

статья 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети.
Статья 138 УК РФ, защищая конфиденциальность персональных данных, предусматривает наказание за нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений. Аналогичную роль для банковской и коммерческой тайны играет статья 183 УК РФ.

---------------------------------------------------------------------

«Закон о государственной тайне»

«Закон "Об информации, информационных технологиях и о защите информации"

«Закон о лицензиировании»
44444.
"Закон об информационной безопасности" (Его цель - реализация минимально достаточных действий по обеспечению безопасности информации в федеральных компьютерных системах, без ограничений всего спектра возможных действий)

законопроект "О совершенствовании информационной безопасности"


55555

РД СВТ. Защита от НСД. Показатели защищенности от НСД к информации


Государственные (национальные) стандарты РФ

ГОСТ Р 50922-2006 — Защита информации. Основные термины и определения.

Р 50.1.053-2005 — Информационные технологии. Основные термины и определения в области технической защиты информации.

ГОСТ Р 51188—98 — Защита информации. Испытание программных средств на наличие компьютерных вирусов. Типовое руководство.

ГОСТ Р 51275-99 — Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения.

ГОСТ Р ИСО/МЭК 15408-1-2008 — Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель.

ГОСТ Р ИСО/МЭК 15408-2-2008 — Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности.

ГОСТ Р ИСО/МЭК 15408-3-2008 — Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности.

ГОСТ Р ИСО/МЭК 15408 — «Общие критерии оценки безопасности информационных технологий» — стандарт, определяющий инструменты и методику оценки безопасности информационных продуктов и систем; он содержит перечень требований, по которым можно сравнивать результаты независимых оценок безопасности — благодаря чему потребитель принимает решение о безопасности продуктов. Сфера приложения «Общих критериев» — защита информации от несанкционированного доступа, модификации или утечки, и другие способы защиты, реализуемые аппаратными и программными средствами.

ГОСТ Р ИСО/МЭК 17799 — «Информационные технологии. Практические правила управления информационной безопасностью». Прямое применение международного стандарта с дополнением — ISO/IEC 17799:2005.

ГОСТ Р ИСО/МЭК 27001 — «Информационные технологии. Методы безопасности. Система управления безопасностью информации. Требования». Прямое применение международного стандарта — ISO/IEC 27001:2005.

ГОСТ Р 51898-2002 — Аспекты безопасности. Правила включения в стандарты.


66666

Международные стандарты

BS 7799-1:2005 — Британский стандарт BS 7799 первая часть. BS 7799 Part 1 — Code of Practice for Information Security Management (Практические правила управления информационной безопасностью) описывает 127 механизмов контроля, необходимых для построения системы управления информационной безопасностью (СУИБ) организации, определённых на основе лучших примеров мирового опыта (best practices) в данной области. Этот документ служит практическим руководством по созданию СУИБ

BS 7799-2:2005 — Британский стандарт BS 7799 вторая часть стандарта. BS 7799 Part 2 — Information Security management — specification for information security management systems (Спецификация системы управления информационной безопасностью) определяет спецификацию СУИБ. Вторая часть стандарта используется в качестве критериев при проведении официальной процедуры сертификации СУИБ организации.

BS 7799-3:2006 — Британский стандарт BS 7799 третья часть стандарта. Новый стандарт в области управления рисками информационной безопасности

ISO/IEC 17799:2005 — «Информационные технологии — Технологии безопасности — Практические правила менеджмента информационной безопасности». Международный стандарт, базирующийся на BS 7799-1:2005.

ISO/IEC 27000 — Словарь и определения.

ISO/IEC 27001:2005 — «Информационные технологии — Методы обеспечения безопасности — Системы управления информационной безопасностью — Требования». Международный стандарт, базирующийся на BS 7799-2:2005.

ISO/IEC 27002 — Сейчас: ISO/IEC 17799:2005. Дата выхода — 2007 год.

ISO/IEC 27005 — Сейчас: BS 7799-3:2006 — Руководство по менеджменту рисков ИБ.

German Information Security Agency. IT Baseline Protection Manual — Standard security safeguards (Руководство по базовому уровню защиты информационных технологий).



7777

.Снифферы (дословный перевод - ‘вынюхиватели’) являются специализированным ПО, предназначенным для анализа потока сообщений (трафика) компьютерной сети передачи информации [4]. Известными системами подобного рода (но глобального уровня) являются ЭШЕЛОН (североамериканский проект, назначением которого является анализ содержимого линий связи Европы) и СОРМ (тотальное протоколирование трафика русскоязычной Сети). Большинство программ и сервисов (ICQ, TelNet, FTP, HTTP, POP3 и т.д.) пересылают пароль и логин пользователя открытым текстом (без всякой кодировки и шифровки), и работающий сниффер без труда позволит перехватывать такие сессии.

К простым ПО подобного класса относится, например комплект SpyNet (simik.lgg.ru/spynet312.exe); в штатную поставку Windows’NT Server и др. входит утилита Network Monitor (устанавливается добавлением сервиса Network Monitor Tools & Agent).

Обычно сетевая карта, работающая в сегменте некоммутируемой Ethernet в принципе ‘прослушивает’ весь трафик своего сегмента; однако в нормальном (без PROMISCUOUS MODE) режиме анализируются лишь первые 48 бит заголовка пакета и, если не найден собственный MAC-адрес, карта перестает читать ‘чужой’ пакет. Функциональность сниффера достигается переводом сетевой карты в режим PROMISCUOUS MODE, обеспечивающий перехват всех сообщений, циркулирующих в данном сегменте сети безотносительно MAC-адресов (достигается программной установкой соответствующего бита управляющего регистра карты). В случае коммутируемого Ethernet перевод карты в PROMISCUOUS MODE не позволяет прослушивать ‘чужие’ сообщения, в этом случае используется технология ‘ARP-спуфинга’ (путем соответствующей подделки ARP-сообщений данная сетевая карта ‘притворяется’ маршрутизатором с MAC-адресом, однако, данной карты), при этом трафик всех составляющих сегмента сети насильственно направится в сторону карты-обманщика.


8888.

Существует несколько форматов Ethernet-кадра.

Первоначальный Version I (больше не применяется).

Ethernet Version 2 или Ethernet-кадр II, ещё называемый DIX (аббревиатура первых букв фирм-разработчиков DEC, Intel, Xerox) — наиболее распространена и используется по сей день. Часто используется непосредственно протоколом интернет.

Наиболее распространенный формат кадра Ethernet II

Novell — внутренняя модификация IEEE 802.3 без LLC (Logical Link Control).

Кадр IEEE 802.2 LLC.

Кадр IEEE 802.2 LLC/SNAP.

Некоторые сетевые карты Ethernet, производимые компанией Hewlett-Packard использовали при работе кадр формата IEEE 802.12, соответствующий стандарту 100VG-AnyLAN.
В качестве дополнения Ethernet-кадр может содержать тег IEEE 802.1Q для идентификации VLAN, к которой он адресован, и IEEE 802.1p для указания приоритетности.
Разные типы кадра имеют различный формат и значение MTU.

23.

Аутентифика́ция (англ. Authentication) — проверка принадлежности субъекту доступа предъявленного им идентификатора; подтверждение подлинности

Идентификация — присвоение субъектам и объектам идентификатора и (или) сравнение идентификатора с перечнем присвоенных идентификаторов.

Авторизация (англ. authorization):

1. Процесс предоставления определенному лицу прав на выполнение некоторых действий.

2. Процесс подтверждения (проверки) прав пользователей на выполнение некоторых действий.[1][2]

Авторизация это не тоже самое что и аутентификация: аутентификация — это установление подлинности лица, а авторизация — предоставление этому лицу некоторых прав или проверка их наличия (как правило — следующий шаг системы после аутентификации).


13.


VPN (англ. Virtual Private Network — виртуальная частная сеть) — обобщённое название технологий, позволяющих обеспечить одно или несколько сетевых соединений (логическую сеть) поверх другой сети (например, Интернет)

В зависимости от применяемых протоколов и назначения, VPN может обеспечивать соединения трёх видов: узел-узел, узел-сеть и сеть-сеть.

VPN состоит из двух частей: «внутренняя» (подконтрольная) сеть, которых может быть несколько, и «внешняя» сеть, по которой проходит инкапсулированное соединение (обычно используется Интернет). Возможно также подключение к виртуальной сети отдельного компьютера. Подключение удалённого пользователя к VPN производится посредством сервера доступа, который подключён как к внутренней, так и к внешней (общедоступной) сети. При подключении удалённого пользователя (либо при установке соединения с другой защищённой сетью) сервер доступа требует прохождения процесса идентификации, а затем процесса аутентификации. После успешного прохождения обоих процессов, удалённый пользователь (удаленная сеть) наделяется полномочиями для работы в сети, то есть происходит процесс авторизации.
Примеры VPN

IPSec (IP security) — часто используется поверх IPv4.

PPTP (point-to-point tunneling protocol) — разрабатывался совместными усилиями нескольких компаний, включая Microsoft.

PPPoE (PPP (Point-to-Point Protocol) over Ethernet

L2TP (Layer 2 Tunnelling Protocol) — используется в продуктах компаний Microsoft и Cisco.

L2TPv3 (Layer 2 Tunnelling Protocol version 3).

OpenVPN SSL VPN с открытым исходным кодом, поддерживает режимы PPP, bridge, point-to-point, multi-client server
14

По назначению

Intranet VPN
Используют для объединения в единую защищённую сеть нескольких распределённых филиалов одной организации, обменивающихся данными по открытым каналам связи.

Remote Access VPN


Используют для создания защищённого канала между сегментом корпоративной сети (центральным офисом или филиалом) и одиночным пользователем, который, работая дома, подключается к корпоративным ресурсам с домашнего компьютера, корпоративного ноутбука, смартфона или интернет-киоскa.

Extranet VPN


Используют для сетей, к которым подключаются «внешние» пользователи (например, заказчики или клиенты). Уровень доверия к ним намного ниже, чем к сотрудникам компании, поэтому требуется обеспечение специальных «рубежей» защиты, предотвращающих или ограничивающих доступ последних к особо ценной, конфиденциальной информации.

Internet VPN


Используется для предоставления доступа к интернету провайдерами, обычно в случае если по одному физическому каналу подключаются несколько пользователей.

Client/Server VPN


Он обеспечивает защиту передаваемых данных между двумя узлами (не сетями) корпоративной сети. Особенность данного варианта в том, что VPN строится между узлами, находящимися, как правило, в одном сегменте сети, например, между рабочей станцией и сервером. Такая необходимость очень часто возникает в тех случаях, когда в одной физической сети необходимо создать несколько логических сетей. Например, когда надо разделить трафик между финансовым департаментом и отделом кадров, обращающихся к серверам, находящимся в одном физическом сегменте. Этот вариант похож на технологию VLAN, но вместо разделения трафика, используется его шифрование.
16

IPsec (сокращение от IP Security) — набор протоколов для обеспечения защиты данных, передаваемых по межсетевому протоколу IP, позволяет осуществлять подтверждение подлинности и/или шифрование IP-пакетов. IPsec также включает в себя протоколы для защищённого обмена ключами в сети Интернет.


Протоколы IPsec работают на сетевом уровне (уровень 3 модели OSI).
IPsec-протоколы можно разделить на два класса: протоколы отвечающие за защиту потока передаваемых пакетов и протоколы обмена криптографическими ключами. На настоящий момент определён только один протокол обмена криптографическими ключами — IKE (Internet Key Exchange) — и два протокола, обеспечивающих защиту передаваемого потока: ESP (Encapsulating Security Payload — инкапсуляция зашифрованных данных) обеспечивает целостность и конфиденциальность передаваемых данных, в то время как AH (Authentication Header — аутентифицирующий заголовок) гарантирует только целостность потока (передаваемые данные не шифруются).
Протоколы защиты передаваемого потока могут работать в двух режимах — в транспортном режиме и в режиме туннелирования. При работе в транспортном режиме IPsec работает только с информацией транспортного уровня, в режиме туннелирования — с целыми IP-пакетами.
IPsec-трафик может маршрутизироваться по тем же правилам, что и остальные IP-протоколы, но, так как маршрутизатор не всегда может извлечь информацию, характерную для протоколов транспортного уровня, то прохождение IPsec через NAT-шлюзы невозможно. Для решения этой проблемы IETF определила способ инкапсуляции ESP в UDP, получивший название NAT-T (NAT traversal).
IPsec можно рассматривать как границу между внутренней (защищённой) и внешней (незащищённой) сетью. Эта граница может быть реализована как на отдельном хосте, так и на шлюзе, защищающем локальную сеть. Заголовок любого пакета, проходящего через границу, анализируется на соответствие политикам безопасности, то есть критериям, заданным администратором. Пакет может быть либо передан дальше без изменений, либо уничтожен, либо обработан с помощью протоколов защиты данных. Для защиты данных создаются так называемые SA (Security Associations) — безопасные соединения, представляющие собой виртуальные однонаправленные каналы для передачи данных. Для двунаправленной связи требуется два SA.

Режимы работы IPsec
Существует два режима работы IPsec: транспортный режим и туннельный режим.
В транспортном режиме шифруется (или подписывается) только информативная часть IP-пакета. Маршрутизация не затрагивается, так как заголовок IP пакета не изменяется (не шифруется). Транспортный режим как правило используется для установления соединения между хостами. Он может также использоваться между шлюзами, для защиты туннелей, организованных каким-нибудь другим способом (IP tunnel, GRE и др.).
В туннельном режиме IP-пакет шифруется целиком. Для того, чтобы его можно было передать по сети, он помещается в другой IP-пакет. По существу, это защищённый IP-туннель. Туннельный режим может использоваться для подключения удалённых компьютеров к виртуальной частной сети или для организации безопасной передачи данных через открытые каналы связи (например, Интернет) между шлюзами для объединения разных частей виртуальной частной сети.
Режимы IPsec не являются взаимоисключающими. На одном и том же узле некоторые SA могут использовать транспортный режим, а другие — туннельный.
17
IPsec-протоколы можно разделить на два класса: протоколы отвечающие за защиту потока передаваемых пакетов и протоколы обмена криптографическими ключами. На настоящий момент определён только один протокол обмена криптографическими ключами — IKE (Internet Key Exchange) — и два протокола, обеспечивающих защиту передаваемого потока: ESP (Encapsulating Security Payload — инкапсуляция зашифрованных данных) обеспечивает целостность и конфиденциальность передаваемых данных, в то время как AH (Authentication Header — аутентифицирующий заголовок) гарантирует только целостность потока (передаваемые данные не шифруются).
18
Сканеры уязвимостей (retina, x-scaner, SAINT)
Ска́неры уязви́мостей — это программные или аппаратные средства, служащие для осуществления диагностики и мониторинга сетевых компьютеров, позволяющее сканировать сети, компьютеры и приложения на предмет обнаружения возможных проблем в системе безопасности, оценивать и устранять уязвимости.
Сканеры уязвимостей позволяют проверить различные приложения в системе на предмет наличия «дыр», которыми могут воспользоваться злоумышленники. Также могут быть использованы низкоуровневые средства, такие как сканер портов, для выявления и анализа возможных приложений и протоколов, выполняющихся в системе.Содержание

1 Типы сканеров уязвимостей

2 Программное обеспечение

3 См. также

4 Примечания

5 Литература


Типы сканеров уязвимостей
Работу сканера уязвимостей можно разбить на 4 шага:

Обычно, сканер сначала обнаруживает активные IP-адреса, открытые порты, запущенную операционную систему и приложения.

Составляется отчёт о безопасности (необязательный шаг).

Попытка определить уровень возможного вмешательства в операционную систему или приложения (может повлечь сбой).

На заключительном этапе сканер может воспользоваться уязвимостью, вызвав сбой операционной системы или приложения.
Сканеры могут быть вредоносными или «дружественными». Последние обычно останавливаются в своих действиях на шаге 2 или 3, но никогда не доходят до шага 4.
Среди сканеров уязвимостей можно выделить:

Сканер портов

Сканеры, исследующие топологию компьютерной сети

Сканеры, исследующие уязвимости сетевых сервисов

Сетевые черви

CGI-сканеры ("дружественные" — помогают найти уязвимые скрипты)


19.

Windows Update, бесплатное HFNetChk, Software Update Services,


22.

Шифрова́ние — способ преобразования открытой информации в закрытую и обратно. Применяется для хранения важной информации в ненадёжных источниках или передачи её по незащищённым каналам связи. Согласно ГОСТ 28147-89, шифрование подразделяется на процесс зашифровывания и расшифровывания.


В зависимости от алгоритма преобразования данных, методы шифрования подразделяются на гарантированной или временной криптостойкости.
В зависимости от структуры используемых ключей методы шифрования подразделяются на

симметричное шифрование: посторонним лицам может быть известен алгоритм шифрования, но неизвестна небольшая порция секретной информации — ключа, одинакового для отправителя и получателя сообщения;



асимметричное шифрование: посторонним лицам может быть известен алгоритм шифрования, и, возможно, открытый ключ, но неизвестен закрытый ключ, известный только получателю.
Существуют следующие криптографические примитивы:

Бесключевые

Хеш-функции - преобразование входного массива данных произвольной длины в выходную битовую строку фиксированной длины

Односторонние перестановки

Генераторы псевдослучайных чисел - алгоритм, генерирующий последовательность чисел, элементы которой почти независимы друг от друга и подчиняются заданному распределению (обычно равномерному).

Симметричные схемы - способ шифрования, в котором для (за)шифрования и расшифровывания применяется один и тот же криптографический ключ. До изобретения схемы асимметричного шифрования единственным существовавшим способом являлось симметричное шифрование. Ключ алгоритма должен сохраняться в секрете обеими сторонами. Алгоритм шифрования выбирается сторонами до начала обмена сообщениями.

Шифры (блочные,потоковые)

Хеш-функции

ЭЦП

Генераторы псевдослучайных чисел

Примитивы идентификации

Асимметричные схемы - система шифрования и/или электронной цифровой подписи (ЭЦП), при которой открытый ключ передаётся по открытому (то есть незащищённому, доступному для наблюдения) каналу, и используется для проверки ЭЦП и для шифрования сообщения. Для генерации ЭЦП и для расшифрования сообщения используется секретный ключ.[1] Криптографические системы с открытым ключом в настоящее время широко применяются в различных сетевых протоколах, в частности, в протоколах TLS и его предшественнике SSL (лежащих в основе HTTPS), в SSH. Также используется в PGP, S/MIME.

Шифры

ЭЦП

Примитивы идентификации
23
Аутентифика́ция (англ. Authentication) — проверка принадлежности субъекту доступа предъявленного им идентификатора; подтверждение подлинности

авторизация — предоставление этому лицу некоторых прав или проверка их наличия (как правило — следующий шаг системы после аутентификации).

Идентификация— присвоение субъектам и объектам идентификатора и (или) сравнение идентификатора с перечнем присвоенных идентификаторов
Kerberos — сетевой протокол аутентификации, позволяющий безопасно передавать данные через незащищённые сети для безопасной идентификации. Также является набором бесплатного ПО от Массачусетского технологического института (Massachusetts Institute of Technology (MIT)), разработавшего этот протокол. Её организация направлена в первую очередь на клиент-серверную модель и обеспечивает взаимную аутентификацию — оба пользователя через сервер подтверждают личности друг друга. Сообщения, отправляемые через протокол Kerberos, защищены от прослушивания и атак повторного воспроизведения.
Kerberos основан на симметричной криптосистеме и требует третье доверенное лицо (сервер). Расширение Kerberos позволяет использовать открытые ключи в процессе аутентификации.
Безопасность протокола в значительной мере основывается на том, что системные часы участников более-менее синхронны и на временных утверждениях подлинности, называемых билетами Kerberos.
Ниже приведено упрощенное описание протокола. Следующие аббревиатуры будут использованы:

AS = Сервер аутентификации

TGS = Сервер предоставления билетов

SS = Ресурс, предоставляющий некий сервис, к которому требуется получить доступ

TGT (ticket-granting ticket) = Билет для получения билета
В двух словах клиент авторизируется на AS, используя свой долгосрочный секретный ключ, и получает билет от AS. Позже клиент может использовать этот билет для получения дополнительных билетов на доступ к ресурсам SS без необходимости прибегать к использованию своего секретного ключа.
Более детально:
Шаги входа пользователя в систему:

Пользователь вводит имя и пароль на клиентской машине.

Клиентская машина выполняет над паролем одностороннюю функцию (обычно хэш), и результат становится секретным ключом клиента/пользователя.
Шаги аутентификации клиента:

Клиент посылает простым текстом сообщение серверу AS, запрашивая сервисы от имени пользователя. Например так: «Пользователь АБВ хочет запросить сервисы». Обратите внимание, что ни секретный ключ, ни пароль не посылаются на AS.

AS проверяет, есть ли такой клиент в базе. Если есть, то назад AS отправляет следующие два сообщения:

Сообщение A: Сессионный Ключ Client/TGS, зашифрованный секретным ключом клиента/пользователя.

Сообщение B: TGT (который включает ID клиента, сетевой адрес клиента, период действия билета, и Сессионный Ключ Сlient/TGS), зашифрованный секретным ключом TGS.

Как только клиент получает сообщения A и B, он расшифровывает сообщение A, чтобы получить Сессионный Ключ Client/TGS. Этот сессионный ключ используется для дальнейшего обмена с сервером TGS. (Важно: Клиент не может расшифровать сообщение B, так как оно зашифровано секретным ключом TGS.) В этот момент у пользователя достаточно данных, чтобы авторизоваться на TGS.



Шаги авторизации клиента для получения сервиса:

При запросе сервисов клиент отправляет следующие два сообщения на TGS:

Сообщение C: Содержит TGT, полученный в сообщении B и ID требуемого сервиса.

Сообщение D: Аутентикатор (составленный из ID клиента и временного штампа), зашифрованный на Сессионном Ключе Client/TGS.

После получения сообщений C и D, TGS извлекает сообщение B из сообщения C и расшифровывает его используя секретный ключ TGS. Это дает ему Сессионный Ключ Client/TGS. Используя его TGS расшифровывает сообщение D и посылает следующие два сообщения клиенту:
Сообщение E: Client-to-server ticket (который содержит ID клиента, сетевой адрес клиента, время действия билета и Сессионный Ключ Client/server) зашифрованный секретным ключом сервиса.

Сообщение F: Сессионный ключ Client/server, зашифрованный на Сессионном Ключе Client/TGS.


Шаги клиента при запросе сервиса:

При получении сообщений E и F от TGS, у клиента достаточно информации для авторизации на SS. Клиент соединяется с SS и посылает следующие два сообщения:

Сообщение E из предыдущего шага (client-to-server ticket, зашифрованный секретным ключом сервиса).

Сообщение G: новый аутентикатор, зашифрованный на client/server session key, и включающий ID клиента и временной штамп.

SS расшифровывает билет используя свой секретный ключ для получения Сессионного Ключа Client/Server. Используя сессионный ключ, SS расшифровывает аутентикатор и посылает клиенту следующее сообщение для подтверждения готовности обслужить клиента и показать, что сервер действительно является тем, за кого себя выдает:

Сообщение H: Временной штамп, указанный клиентом + 1, зашифрованный на Сессионном Ключе Client/Server.

Клиент расшифровывает подтверждение, используя Сессионный Ключ Client/Server и проверяет, действительно ли временной штамп корректно обновлен. Если это так, то клиент может доверять серверу и может начать посылать запросы на сервер.

Сервер предоставляет клиенту требуемый сервис.


24
Криптографическая система с открытым ключом (или Асимметричное шифрование, Асимметричный шифр) — система шифрования и/или электронной цифровой подписи (ЭЦП), при которой открытый ключ передаётся по открытому (то есть незащищённому, доступному для наблюдения) каналу, и используется для проверки ЭЦП и для шифрования сообщения. Для генерации ЭЦП и для расшифрования сообщения используется секретный ключ.[1] Криптографические системы с открытым ключом в настоящее время широко применяются в различных сетевых протоколах, в частности, в протоколах TLS и его предшественнике SSL (лежащих в основе HTTPS), в SSH. Также используется в PGP, S/MIME.



Применение
Алгоритмы криптосистемы с открытым ключом можно использовать[7]

Как самостоятельные средства для защиты передаваемой и хранимой информации

Как средства распределения ключей. Обычно с помощью алгоритмов криптосистем с открытым ключом распределяют ключи, малые по объёму. А саму передачу больших информационных потоков осуществляют с помощью других алгоритмов.

Как средства аутентификации пользователей.



Преимущества

Преимущество асимметричных шифров перед симметричными шифрами состоит в отсутствии необходимости предварительной передачи секретного ключа по надёжному каналу.

В симметричной криптографии ключ держится в секрете для обеих сторон, а в асимметричной криптосистеме только один секретный.

При симметричном шифровании необходимо обновлять ключ после каждого факта передачи, тогда как в асимметричных криптосистемах пару (E,D) можно не менять значительное время.

В больших сетях число ключей в асимметричной криптосистеме значительно меньше, чем в симметричной.

Недостатки

Преимущество алгоритма симметричного шифрования над несимметричным заключается в том, что в первый относительно легко внести изменения.



Хотя сообщения надежно шифруются, но «засвечиваются» получатель и отправитель самим фактом пересылки шифрованного сообщения.[8]

Несимметричные алгоритмы используют более длинные ключи, чем симметричные. Ниже приведена таблица, сопоставляющая длину ключа симметричного алгоритма с длиной ключа несимметричного алгоритма с аналогичной криптостойкостью:
скачать файл



Смотрите также:
Совокупность оконечных устройств (терминалов) связи, объединённых каналами передачи данных и коммутирующими устройствами (узлами сети), обеспечивающими обмен сообщениями между всеми оконечными устройствами
216.55kb.
Модель открытых систем iso/osi. Связь между уровнями
13.56kb.
Доклад «О конкуренции между услугами связи для целей передачи голосовой информации по сетям фиксированной телефонной связи и подвижной радиотелефонной связи»
48.47kb.
Во многих случаях, наряду с шифрованием конфиденциальной информации, возникает потребность сделать незаметным сам факт передачи или хранения данных
130.11kb.
Об использовании системы сигнализации окс 7 на сети связи общего пользования
70.58kb.
Описание папки "Юрий Визбор" Без выходных данных
154.28kb.
Начиная с гипотетического момента Большого Взрыва 13. 730. 012
708.32kb.
Одно из основных требований, предъявляемых к современным цифровым системам видеонаблюдения, возможность передачи изображений по сети
93.19kb.
Общая характеристика рынка сотовой связи в России
323.69kb.
База данных: понятие, уровни представления базы данных. Преимущества базы данных перед файловой организацией данных. Система управления базами данных: понятие, архитектура, функции
100.68kb.
Телефонный опрос Интернет-опрос Сравнение интернет-опроса и телефонного опроса
136.79kb.
Предпосылки и причины смуты
263.25kb.