Понятие сетевой безопасности в примерах

Понятие сетевой безопасности в примерах.

Начнем наше изучение вопроса сетевой безопасности с наших знакомых Алисы и Боба, желающих иметь безопасную связь. Что это означает? Разумеется, Алиса хочет, чтобы только Боб мог читать отправляемые ею сообщения, несмотря на то, что сигнал проходит по незащищенной линии связи, где злоумышленница (назовем ее Мэри) может перехватить сообщение, отправленное Алисой Бобу. Далее, Боб хочет быть уверен, что получаемые им сообщения действительно посланы Алисой, и Алиса также хочет быть уверенной, что она общается именно с Бобом. Кроме того, Алиса и Боб хотели бы быть уверенными, что содержание их сообщений не меняется при передаче. Наконец, они хотели бы общаться друг с другом без вмешательства посторонних (то есть чтобы никто не закрыл им доступ к ресурсам, необходимым для поддержания связи) Итак, с учетом всего вышесказанного, мы можем сформулировать следующие желательные свойства безопасной связи.

— Конфиденциальность. Только отправитель и предполагаемый получатель должны быть способны понимать содержимое передаваемых сообщений. Поскольку злоумышленники могут перехватить сообщение, оно должно быть каким-то образом зашифровано (его данные должны быть скрыты), так чтобы перехвативший сообщение злоумышленник не смог его расшифровать (понять). Вероятно, именно этот аспект конфиденциальности имеется в виду, когда говорится о безопасной связи.

— Целостность сообщения. Алиса и Боб хотят быть уверены, что содержимое их переписки по пути не будет изменено (случайно или злонамеренно). Для обеспечения такой целостности зачастую применяются расширения методов проверки контрольных сумм вместе с протоколами надежной транспортировки и канального уровня.

— Аутентификация конечной точки. Как отправитель, так и получатель должны быть способны подтвердить личность собеседника — убедиться, что они общаются именно с тем человеком, за которого он себя выдает. При общении лицом к лицу эта проблема легко решается визуально. Когда же собеседники не могут «видеть» друг друга, аутентификация представляет собой значительно более сложную проблему. Например, если пользователь хочет проверить входящую почту на своем электронном ящике, как почтовый сервер определяет, что это действительно хозяин ящика?

— Операционная безопасность. В настоящее время практически у всех организаций (компаний, университетов и т.д.) есть компьютерные сети с выходом в Интернет. Следовательно, эти сети потенциально подвержены вторжению извне. Злоумышленники могут пытаться внедрять червей на хосты корпоративной сети, выведывать секреты организации, трассировать (картографировать) конфигурации внутренних сетей и осуществлять DOS-атаки. Брандмауэр, располагаясь между сетью организации и общедоступной сетью, контролирует выход пакетов из внутренней сети и поступление пакетов в нее. Система обнаружения вторжений выполняет углубленную проверку пакетов (deep packet inspection), предупреждая администраторов вычислительной сети о любой подозрительной активности.

К слову, если вы работаете под управлением операционой системыWindows, а скорее всего так оно и есть — в повседневной жизни вам может пригодится программа-загрузчик, которую вы сможете загрузить и установить перейдя по ссылке.

Итак, дав определение сетевой безопасности, рассмотрим, к какой информации может получить доступ злоумышленник и какие действия он может предпринять. Схема диалога Алисы и Боба с участием в нем злоумышленника. Алиса хочет отправить данные Бобу. Чтобы обмениваться данными безопасным образом, а также выполнить требования конфиденциальности, аутентификации конечной точки и целостности данных, Алиса и Боб обмениваются управляющими и информационными сообщениями (подобно тому, как ТСР-отправители и ТСР-получатели обмениваются управляющими и информационными сегментами). Как правило, все или некоторые из этих сегментов зашифровываются. Злоумышленник потенциально может выполнять следующие действия:

— Прослушивание — анализ (сниффинг) и запись управляющих и информационных сообщений, проходящих по каналу.

— Изменение, вставка или удаление сообщений или их содержимого.

Как мы увидим, если не предпринимать соответствующих контрмер, злоумышленник сможет прибегнуть к весьма изощренным атакам, начиная от прослушивания переговоров (при этом возможно похищение паролей и данных) до выдачи себя за одного из собеседников и нарушения работы системы путем ее перегрузки и т. д. Отчеты о замеченных атаках подготавливаются координационным центром CERT.

Итак, мы убедились, что в Интернете вполне можно столкнуться с серьезными угрозами. Разумеется, Боб и Алиса могут быть двумя обычными приятелями, которые хотят безопасно общаться в сети, но какие еще эквивалентные пары «отправитель-получатель» такого рода существуют в Интернете? Предположим, это реальные люди, которые переписываются по электронной почте. Это могут быть участники транзакции в интернет-магазине. Например, реальный Боб хочет безопасно передать свой номер кредитной карточки на веб-сервер, чтобы приобрести товар в виртуальном магазине. Аналогично, Алисе может потребоваться удаленно совершить какие-либо операции со своим банковским счетом. Стороны, между которыми устанавливается безопасное соединение, сами могут быть элементами сетевой инфраструктуры. Как вы помните, система доменных имен (DNS) или служебные процессы (демоны) маршрутизации, обменивающиеся маршрутной информацией, требуют такой защищенной коммуникации между отправителем и получателем. Аналогичные требования возникают при работе с приложениями, осуществляющими управление сетью. Злоумышленник, способный активно вмешиваться в поиск DNS, вычисление таблиц маршрутизации или в функции управления сетью может посеять хаос во всем Интернете.

Итак, обрисовав предметную область данной главы, дав определения некоторых наиболее важных терминов и обосновав необходимость сетевой безопасности, давайте подробно поговорим о криптографии. Польза криптографии для обеспечения конфиденциальности очевидна, но мы вскоре также убедимся, что она совершенно необходима и для аутентификации конечной точки, и для обеспечения целостности сообщений. Таким образом, криптография является настоящим краеугольным камнем сетевой безопасности.