13 БЕЗПЕКА ДАНИХ У КОМП'ЮТЕРНИХ МЕРЕЖАХ

13.1 Загальна характеристика системи безпеки. Рівні захисту мережевих систем

Захист даних є однією з головних проблем комп'ютерної мережі, оскільки перевагою мережі є доступ до спільних даних та пристроїв, а це зумовлює можливість несанкціонованого доступу до даних.

Безпека даних це захист ресурсів мережі від руйнування та захист даних від випадкового чи навмисного розголошення, а також від неправомірних змін.

Гарантувати безпеку даних покликаний адміністратор мережі. У великих мережах з цією метою передбачені спеціальні посади (security officers). Для гарантування безпеки даних розробляють багаторівневу систему захисту:

-         вбудовані засоби захисту – програмно-системні (паролі, права доступу);

-         фізичні засоби захисту – замки, двері, охорона, сигналізація тощо;

-         адміністративний контроль – організаційні заходи, накази адміністрації;

-         законодавство та соціальне оточення – закони про захист авторських та майнових прав, нетерпимість до комп'ютерного піратства.

Рівні захисту інформаційних систем

Міністерство оборони США у книзі "Критерії оцінки безпеки комп'ютерів", (Оранжева книга), визначило сім рівнів безпеки комп'ютерних та мережевих систем. Ця розробка стала загальноприйнятою в світі для класифікації ступеня захищеності системи. Визначено такі рівні захисту:

-        D – рівень мінімального захисту (Minimal Protection). Зарезервовано для систем, які за іншими рівнями не гарантують потрібного рівня безпеки;

-        С1 – рівень вибіркового захисту (Discretionary Protection). Дає змогу користувачам застосовувати обмеження доступу для захисту приватної інформації;

-        С2 – рівень керованого доступу (Controlled Access Protection). Містить вимоги рівня С1, а також захист процесу реєстрації у системі, облік подій захисту, ізоляцію ресурсів різних процесів;

-        В1 – рівень захисту за категоріями (Labeled Protection). До вимог рівня С2 додається можливість захисту окремих файлів, записів у файлах, інших об'єктів системи спе­ціальними позначками безпеки, що зберігаються разом з цими об'єктами. Вважають, що подолати такий захист може добре підготовлений хакер, а звичайний користувач - ні;

-        В2 – рівень структурованого захисту (Structured Protection). До вимог рівня В1 дода­ється повний захист усіх ресурсів системи прямо чи посередньо доступних користу­вачу. Вважають, що хакери не зможуть проникнути у систему з таким захистом;

-        В3 – рівень доменів безпеки (Security Domains). До вимог рівня В2 додається явна специфікація користувачів, яким заборонено доступ до певних ресурсів, повніша ре­єстрація потенційно небезпечних подій. Вважають, що навіть досвідчені програмісти не в стані подолати систему з таким рівнем безпеки;

-        А1 – рівень верифікованої розробки (Verified Design). Повний захист інформації. Спе­цифіковані та верифіковані механізми захисту. Вважають, що у систему з таким рівнем захисту без дозволу не може проникнути ніхто (навіть спеціалісти спецслужб).

13.2 Персональна ідентифікація

У деяких системах (наприклад, банківських чи податкових) потрібна ідентифікація не користувача, а фізичної особи. Розрізнюють кілька способів такої ідентифікації.

За персональними фізичними ознаками (біометрія). Знімають відбиток пальця, або геометрію руки, сітківку ока, зіницю, риси обличчя, а потім аналізують. Інший спосіб: система пропонує повторити певну кількість випадково ви­браних слів та аналізує особливості голосу.

За предметом, який особа-користувач носить з собою. Таким предметом може бути спеціальний значок, магнітна картка з кодом. Цей спосіб є дешевим, проте ненадійним, предмет можна підробити, вкрасти тощо.

За тим, що особа повинна знати або пам'ятати. Треба пам'ятати пароль або пра­вильно відповісти на низку запитань. Цей метод найдешевший і найпоширеніший, однак нена­дійний (пароль можна підібрати, відповіді вгадати).

13.3 Надання права на доступ, автентифікація і реєстрація підключень

Безпека використання мережі забезпечується шляхом надання права на доступ, автентифікації і реєстрації підключень.

Процес ідентифікації користувача називається автентифікацією. Стандартний метод  автентифікації - використання імені користувача і пароля як попередня призначена пара ідентифікаторів, які користувач повинен ввести у відповідь на запит системи для діставання доступу до мережевих засобів. При цій, найбільш простій, формі автентифікації ідентифікатор користувача і пароль передаються по мережі відкритим текстом (тобто не в зашифрованому вигляді). Сам процес автентифікації – порівняння переданої пари ідентифікаторів із записами таблиці, що знаходиться на сервері, – виконується відповідно до протоколу автентифікації по паролю (Password Authentication Protocol, PAP). Записи, що зберігаються, зашифровані, на відміну від передаваної пари ідентифікаторів, і це є слабкою стороною даного методу автентифікації.

Більш вдосконалена система запит-відповідь функціонує відповідно до протоколу автентифікації за запитом при встановленні зв'язку (Challenge Handshake Authentication Protocol, CHAP). Згідно цьому протоколу, агент автентифікації (ПЗ, що знаходиться на сервері) передає користувачеві ключ, за допомогою якого той шифрує своє ім'я і пароль і пересилає цю інформацію назад на сервер. Авторизація – процес надання користувачеві права доступу до засобів системи, під час якого ім'я користувача і призначений йому пароль записуються в спеціальну таблицю системи.

Широко поширена система, що забезпечує високий рівень захисту при автентифікації, система запит-відповідь, в якій використовуються смарт-карти.

Регіструючи спроби доступу до мережі, можна легко визначити, чи не намагався неавторизований користувач проникнути у систему, а також дізнатися, чи не забув свій пароль хто-небудь з співробітників.

Блокування доступу. В багатьох організаціях як ідентифікатори користувачів вказувалися їх ініціали і прізвища. Зловмисникові, щоб спробувати проникнути в систему, досить було дізнатися такі. Розробники ПЗ створили програму блокування доступу до системи. Дуже часто ПЗ, що виконує блокування доступу, дозволяє задати ще один поріг: цим порогом визначається час, протягом якого система буде заблокована.

Важливим поняттям проблематики захисту даних у мережах є розпізнавання.

Розпізнавання – це гарантування, що інформація (пакет) надійшла від законного джерела законному одержувачу.

Справді, однією з найпоширеніших практик зловмисників у мережах є перехоплення пакетів та підміна їх своїми або скерування їх іншому адресату. Тому всі сучасні мережеві протоколи, зазвичай, оснащені засобами розпізнавання. Одним з механізмів розпізнавання пакетів є розміщення у відправника та одержувача однакових генераторів псевдовипадкових чисел. Кожен пакет позначають псевдовипадковим числом, яке порівнюється з таким же числом одержувача.

Аналогічне завдання виконує електронний підпис - послідовність байтів, які формують спеціальними алгоритмами та автентичність яких можна перевірити.

Для розпізнавання використовують окремі сервери, які видають електронні сертифікати. Сервери сертифікації застосовують у всіх достатньо потужних операційних системах.

Одним з найвідоміших вирішень є система централізованого розпізнавання Kerberos (вона реалізована про­грамним шляхом та сумісна з усіма типами систем. Працює система у клієнт-серверній парадигмі. Вона складається з програм-клієнтів, розміщених на робочих станціях користувачів, та серверних програм. Є три типи серверних програм: сервер розпізнавання, сервер надання дозволів та сервер адміністрування. У процесі розпізнавання клієнта беруть участь перші два з цих серверів. Кожен сервер має свою сферу дії, визначену змістом його бази даних користувачів).

Для вимірювання точності розпізнавання використовують два показники: відсоток хибного розпізнавання (False Acceptance Rate (FAR)) та відсоток хибного нерозпізнавання (False Rejection Rate (FRR)).

13.4 Захист мережі з використанням брандмауерів та серверів-посередників

Первинне значення терміна брандмауер (firewall) - це стіна у будівлі, зроблена з вогне­тривких та незаймистих матеріалів, яка може перешкодити поширенню пожежі. У комп'ютерній мережі брандмауер - це комп'ютер з програмною системою, який встановлюють на межі мережі і який перепускає тільки авторизовані певним чином пакети (рисунок 13.1).

Рисунок 13.1 – Брандмауер та proxy-server

Найчастіше брандмауери захищають внутрішню корпоративну мережу від зазіхань із зовнішньої мережі. Однак їх можна використовувати для фільтрування вихідної інформації, обмеження доступу користувачів внутрішньої мережі назовні.

Сервери-посередники (proxy-server). Інколи функції брандмауера в складних систе­мах розподілені між власне брандмауерами та серверами-посередниками. Брандмауер  захищає мережу від зовнішнього впливу. Він фільтрує кадри канального рівня, розпізнає сеанс, який відкриває зовнішній користувач. Сервер-посередник контролює та обмежує вихід внутрішнього користувача назовні, а також часто є його представником. Функції сервера-посередника:  приховування адреси внутрішніх станцій, подаючи всю мережу назовні як один комп'ютер з адресою сервера;  кешування популярних web-сторінок, файлів, так що користувачі не змушені звертатися до зовнішньої мережі. Популярну інформацію сервер оновлює автоматично з визначеною періодичністю.

Класифікація брандмауерів. Брандмауери застосовують різні алгоритми фільтрування, вони мають різні ступені за­хисту та вартість. Для класифікації брандмауерів їхню роботу описують з використанням еталонної моделі  OSI.

Розрізняють:

-         брандмауери з фільтруванням пакетів (packet filtering firewall; працюють на канальному, мережевому рівнях);

-         шлюзи сеансового рівня (circuit level gateway; працюють на сеансовому рівні, розпіз­нають сеанс);

-         шлюзи рівня застосувань (application level gateway; фільтрують інформацію за засто­суваннями);

-         брандмауери експертного рівня (stateful inspection farewall; виконують функції бранд­мауерів усіх нижчих рівнів).

Зазвичай, чим вищий рівень роботи брандмауера, тим більший рівень захисту він забезпечує.

Брандмауери з фільтруванням пакетів працюють разом з апаратним або програмним маршрутизатором. Вони аналізують зміст IP-заголовків пакетів і на підставі інформації у них та своєї таблиці правил й ухвалюють рішення про проходження пакета чи його відкидання. Найчастіше інформацією, на підставі якої ухвалюють рішення про проходження пакета, є його повна адресна інформація, інформації про протокол та застосування, номери портів одержувача та відправника. Якщо пакет не задовольняє жодного з правил, то діє правило "за замовчуванням". Воно найчастіше відкидає пакет. Конкретна конфігурація правил залежить від політики організації. Брандмауери генерують невелику затримку передавання повідомлень. Часто функції фільтрування пакетів інтегрують у маршрутизаторах. Водночас рівень захисту у таких брандмауерів незначний - зловмисник може підмінити адресну частину ІР -пакета.

Шлюзи сеансового рівня розпізнають учасників сеансу. Процедури перевірки вико­нують тільки на початку сеансу. Після того, як автентичність клієнта та сервера підтверджена, такий шлюз просто копіює пакети, не виконуючи фільтрування. Шлюзи сеансового рівня під­тримують таблицю діючих сеансів і, коли сеанс завершується, знищують відповідний запис. Копіювання пакетів виконують спеціальні програми, які називають канальними посередника­ми (pipe proxies). Шлюзи сеансового рівня можуть виконувати і функцію сервера-посередника, який відображає внутрішні адреси локальної мережі в одну (фактично адресу брандмауера). Для пакетів, що надходять у зворотному напрямі, виконується зворотна операція. Отже, адресний простір мережі захищено - зовнішній користувач не бачить внутрішніх адрес. Однак такі шлюзи не забезпечують достатнього захисту і тому, зазвичай, не є окремим продуктом, їх постачають разом зі шлюзами рівня застосувань.

Шлюзи рівня застосувань. Застосуванням відповідають спеціальні програми-посередники. Вони можуть виконувати фільт­рування на рівні застосувань. Кожне застосування може мати свого посередника. На відміну від посередників у шлюзах сеансового рівня, посередники рівня застосувань аналізують пакети на рівні застосувань. Наприклад, посередник застосування FTP може заборонити використання команди put для заборони передавання інформації на свій сервер.

Брандмауери експертного рівня поєднують риси всіх попередніх систем. Вони вико­нують фільтрування пакетів на канальному рівні, розпізнають сеанс як шлюзи сеансового рівня і мають змогу аналізувати й фільтрувати пакети за ознаками рівня застосувань. На відміну від брандмауерів рівня застосувань, які фактично передають інформацію між двома розірваними ланками передавання клієнт-шлюз та шлюз-зовнішній комп'ютер і спричинюють значну за­тримку в передаванні інформації, брандмауери експертного рівня налагоджують пряме сполучення між розпізнаним клієнтом та сервером. Для фільтрування потоку використовують спеці­альні шаблони, евристичні правила, порівняння зі зразками, інші методи з арсеналу експерт­них систем. Брандмауери експертного рівня забезпечують найвищий рівень захисту та високі параметри продуктивності.

Захист мережі за допомогою брандмауерів. Брандмауер зазвичай встановлюється між маршрутизатором і мережею, яку захищають, і є комп'ютером з двома мережевимиі адаптерами. Один адаптер підключений до концентратора так званої демілітаризованої мережі (DMZ), інший – до концентратора мережі (рисунок 13.2), яку захищають. Брандмауер зазвичай підключають, аби через нього проходив увесь трафік "Інтернет – мережа, яку захищають". Важливо відмітити, що, оскільки доступ до DMZ-концентратору мають тільки маршрутизатор і брандмауер, весь обмін даними з Інтернетом проходить через брандмауер.

Програмним забезпеченням брандмауера здійснюється: перевірка вмісту пакету, виконання прокси-служб, шифрування, автентифікація і генерування попереджень. Для перевірки підозрілого трафіку (наприклад, неодноразових спроб підключення до мережі) проводиться аналіз вмісту пакетів з однаковою IP-адресою пункту призначення. Далі дії залежать від конфігурації брандмауера: або відкидаються всі подальші підозрілі пакети, або про цю ситуацію повідомляється адміністратор брандмауера.

Прокси-служба є посередником між хостом, що запрошує службу, і самою службою і застосовується з такими протоколами, як FTP, Telnet. Брандмауер обробляє запити на з'єднання, а це означає, що він функціонує в якості прокси-служби. Багато прокси-служб FTP дозволяють задіяти або відключати певні FTP-команди.

Рисунок 13.2 – Підключення брандмауеру для захисту мережі

13.5 Захищені з’єднання та віртуальні приватні мережі

Одним із недоліків базового стека протоколів мережі Internet є відсутність криптогра­фічного захисту та автентифікації передавань. Водночас такий захист потрібний у роботі корпоративних мереж, особливо для об'єднання мереж філій з головною мережею, а також для зовнішнього доступу у мережу з окремих комп'ютерів. Завдання захисту можна вирішити шляхом побудови окремої приватної мережі корпорації. Використання Internet є дешевою альтернативою побудові приват­них захищених мереж.

Для забезпечення захисту передавань через Internet розроблено велику кількість різно­манітних протоколів, які розміщені на декількох рівнях, починаючи з прикладного і закінчуючи канальним. Можливості та обмеження окремих протоколів залежать від протокольного рівня, до якого вони належать. Наприклад, захищені протоколи прикладного рівня пов'язані з конкретним прикладним протоколом, і з іншими протоколами не працюють. Отже, сполучення інших протоколів є незахищеними.

Протоколи сеансового та рівня відображення надають сервіс всім прикладним протоко­лам, однак застосування, що працюють з ними, все одно доводиться переписувати, проставляючи звертання до захищеного протоколу, що незручно. Протоколи мережного рівня не потребують переписування застосувань і тому, напевно, найзручніші. Захищені протоколи канального рівня, відповідно, пов'язані з мережевимиі технологіями канального рівня, їх використовують для вирішення обмеженого кола завдань, таких як захист віддаленого доступу до корпоративної мережі.

Розглянемо головні протокольні вирішення, які використовують для створення захищених сполучень.

1. Протокол SSL (Secure Socket Layer- рівень захищених сокетів). Щоб забезпечити можливість використовувати в операціях купівлі-продажу в мережі, корпорацією Netscape був розроблений протокол передачі закритих даних між web-серверами і web-браузерами - протокол SSL. SSL є протоколом рівня відображення, він надає протоколам прикладного рівня сервіс зі створення захищених застосувань. Цей протокол використовує протокольний стек TCP/IP. Відкритою реалізацією SSL є протокол TLS (Transport Layer Security- безпека транспортного рівня). По протоколу SSL відкритий ключ передається браузером через SSL-з'єднання. Потім він використовується для отримання з сервера секретного ключа, за допомогою якого шифруються дані. Протокол SSL підтримується всіма найбільш популярними браузерами. Якщо для звернення до web-сторінки потрібне SSL-підключення, її URL починається з префікса https://, а не http://.

Протокол SSL вирішує три завдання:

· розпізнавання сервера на запит клієнта. Це особливо актуально, якщо клієнт передає конфіденційну інформацію, наприклад, номер кредитної картки;

• розпізнавання клієнта на запит сервера;

• захищене, зашифроване сполучення.

Складається SSL з двох протоколів:  record protocol (визначає формати даних, які використовують для передавання) та  handshake protocol (використовує record-протокол у фазі прив'язання сеансу). Під час обміну повідомленнями між клієнтом та сервером відбувається таке: розпізнавання сервера; сервер та клієнт обирають криптографічні алгоритми, які вони обидва під­тримують; розпізнавання клієнта для сервера (необов'язково); визначення зашифро­ваного SSL-сполучення. Вибір алгоритму шифрування залежить від багатьох чинників. Наприклад, можна використовувати такі методи, як  3DES, AES, MD5, RSA, SHA.

Другим протоколом, що визначає порядок захищеної передачі даних через Web, є захищений HTTP – S-HTTP.

2. Протокол S-HTTP (Secure HTTP), RFC 2660, є розширенням до HTTP. На відміну від SSL, яким передбачається створення безпечного з'єднання між клієнтом і сервером, S-HTTP призначений для передачі індивідуальних повідомлень Цей протокол створює захищені канали на прикладному рівні, даючи змогу шифрувати повідомлення. Він пов'язаний з HTTP та кожне http-повідомлення шифрує окремо.

Повідомлення S-HTTP складається з трьох частин: HTTP-повідомлення та криптогра­фічних вимог відправника й одержувача. Відправник використовує відомі йому вимоги від­правника та одержувача для шифрування повідомлення, а одержувач–для його дешифрування.

S-HTTP не потребує отримання відкритого ключа клієнтом і використовує тільки метод роботи з симетричними ключами. Це дуже важливо, тому що уможливлює надсилання запиту клієнтом без попереднього отримання відкритого ключа (спонтанну комунікацію). Використання захи­щеного протоколу відображене у заголовках запиту та статусу відповіді. Водночас S-HTTP є достатньо гнучким та може застосовувати багато різноманітних механізмів шифрування й розпізнавання. Протокол S-HTTP передбачає попередню домовленість між відправником та одержувачем про параметри захищеного сполучення. Ще однією перевагою S-HTTP є змога використання електронного підпису. Можливе передавання і без шифрування, однак з підписуванням.

3. Протоколи IPSec - це набір відкритих стандартів для організації захищеного передавання в мережах TCP/IP на мережевому рівні протоколу. Комплекс протоколів  гарантує цілісність (незмінність даних), автентичність (дані надійшли від автентифікованого адресата);  конфіденційність (не було несанкціонованого доступу до даних). IPSec, як і багато інших популярних технологій захисту даних, створює двопунктове захищене сполучення (тунель) між відправником та одержувачем даних.

4. Протокол РРТР (Point-to-Point Tunneling Protocol), розробки ф. Microsoft, кадри канального рівня під час передавання через Internet інкапсулюює у кадри IP. На боці одержувача відбувається зворотний процес. Виникає враження, що між учасниками обміну налагоджується пряме канальне сполучення, яке зазвичай можливе тільки в межах локальної мережі. Таке сполучення назвали тунелем. Технологія тунелювання є  основою створення віртуальних приватних мереж (Virtual Private Networks (VPN)) - це двопунктові сполучення, які налагоджують у межах комутованої мережі. Вони подібне до призначеного каналу або тунелю, який прокладають через багато проміжних пристроїв. Передавання даних цим тунелем автентифікують та шифрують. VPN створюють для вирішення двох завдань: віддаленого сполучення з корпоративною мережею; сполу­чення двох локальних мереж. РРТР використовує на транспортному рівні протокол TCP, так що фактично РРТР-тунель є TCP-сполученням.

Побічним ефектом від налагодження тунелю канального рівня є те, що через такий тунель можна передавати пакети мереж, які не підтримують протоколи TCP/IP (наприклад, пакети IPX, Appletalk та ін.). Справді, вихідний пакет канального рівня РРТР може містити довільний пакет мережного рівня. Коли цей пакет дійшов до адресата через мережу TCP/IP, його розпа­ковують, і мережевий пакет надходить для опрацювання у внутрішній корпоративній мережі. Отже, через Internet можна мати доступ у мережу, яка працює з іншим протокольним стеком.

5. Протокол L2TP. Недоліком РРТР є підтримка його головно в продуктах однієї ф. Microsoft.  Корпорація Cisco розробила аналогічний стандарт L2TР (Layer 2 Tunneling Proto­col) на базі L2F (Layer 2 Forwarding. За функційними можливостями L2TP наближений до РРТР: він також створює двопунктовий тунель канального рівня від комп'ютера користувача до сервера корпоративної мережі через Internet. Як і РРТР, L2TP забезпечує розпізнавання у разі налагодження каналу, однак не потребує обов'язкового шифрування. На відміну від РРТР, пакети L2TP інкапсулюють у пакети UDP. Для транспортування пакетів можна використовувати інші мережі (ATM, Frame Relay).

13.6 Шифрування даних

При передачі інформації застосовуються два методи шифрування даних: з використанням секретного ключа і з використанням відкритого ключа. В першому випадку відправник і одержувач виконують шифрування і розшифровку повідомлення за допомогою одного і того ж ключа, в другому - із застосуванням двох ключів: відкритого, який відомий кожному і служить для шифрування даних, і секретного, відомого тільки одержувачеві повідомлення. При розшифруванні повідомлення виконуються складні математичні обчислення, в яких беруть участь обидва ключі.

В обох системах для шифрування і розшифровки даних застосовується операція додавання по модулю 2. Шифрування повідомлення виконується таким чином: спочатку з використанням ключа генерується псевдовипадковий потік даних, який потім складається по модулю 2 з відкритим текстом. Той же ключ використовується одержувачем повідомлення для його розшифровки.

З таблиці 13.1 видно, що при обміні даними виконується наступна послідовність дій: на передавачі для отримання потоку зашифрованих даних генерується псевдовипадковий рядок (PN-дані), який потім складається по модулю 2 з відкритим текстом. На приймачі за допомогою того ж ключа генеруються ті ж PN-дані, які складаються по модулю 2 з отриманими зашифрованими даними для отримання відкритого тексту.

Таблиця 13.1 – Шифрування і розшифровка даних

Головні проблеми системи шифрування з використанням секретного ключа пов'язані з адмініструванням і розподілом ключів. Оскільки обидві сторони, що беруть участь в обміні даними, використовують однаковий ключ, існує вірогідність того, що із збільшенням числа користувачів, що беруть участь в обміні, ключ перестане бути таємним. Крім того, великі проблеми виникають при адмініструванні і розподілі секретних ключів, оскільки для кожної пари (відправник і одержувач) потрібний свій секретний ключ. Внаслідок цих причин система шифрування з використанням секретного ключа не набула широкого поширення в середовищі World Wide Web. У системі з використанням відкритого ключа будь-який користувач, звертаючись на захищений web-вузол, отримує відкритий ключ, за допомогою якого шифрує свої дані і відправляє їх на вузол, де вони будуть розшифровані із застосуванням секретного ключа, який відомий тільки на цьому вузлі.

Системи з використанням секретного ключа називають також системами симетричної криптографії, оскільки для шифрування і розшифровки даних використовується один і той же ключ. Такі системи вважаються відносно нескладними в роботі і не вимагають виконання великого об'єму обчислень. Недоліки – проблеми, пов'язані з адмініструванням і розподілом ключів. Кожен ключ потрібно якимсь способом  передати одній або обом сторонам, що беруть участь в обміні даними. Системи шифрування з використанням відкритого ключа позбавлені проблем, пов'язаних з розповсюдженням ключа (відкритий ключ доступний для всіх), проте, як це нерідко буває, вирішення однієї проблеми породжує іншу. У цих системах при розшифровці повідомлень виконуються дуже складні математичні обчислення, де задіяні обидва ключі, як відкритий, так і секретний, що вимагає наявність на комп'ютері одержувача достатньо потужного процесора. В деяких випадках використовуються обидві системи – відкритий ключ застосовується для передачі другій стороні секретного ключа, за допомогою якого потім шифруються передавані дані.

13.7 Цифрові сертифікати

Щоб упевнитися в тому, що користувач протилежної сторони дійсно є тим, за кого він себе видає, була розроблена система цифрових сертифікатів і організована служба, що поширює ці сертифікати; її назва - інфраструктура відкритих ключів (Public Key Infrastructure, PKI).

Цифровий сертифікат, що додається до передаваного повідомлення, призначений для посвідчення «достовірності» користувача або організації, що відправляють повідомлення, а також для надання одержувачеві інформації, яка буде використана ним при відправці відповіді. Цифровий сертифікат є тільки «посвідченням особи» відправника, але не дозволом на виконання яких-небудь дій.

Користувач (або організація), бажаючий передати зашифроване повідомлення, звертається до сервера сертифікатів (Certification Authority, CA). Сервер CA видає йому зашифрований цифровий сертифікат, в якому міститься відкритий ключ і додаткова інформація. Одержувач повідомлення також повинен звернутися до сервера сертифікатів і отримати відкритий ключ для розшифровки цифрового сертифікату, доданого до повідомлення. Це дає можливість одержувачеві упевнитися, що отриманий цифровий сертифікат є справжнім. Крім того, йому видається відкритий ключ відправника повідомлення.

СА можна розглядати як посередника, який дозволяє переконатися, що на протилежній стороні знаходиться саме той користувач, який потрібен. Поширеним стандартом видачі цифрових сертифікатів є  ITU-T X.509.

13.8 Захист з використанням маршрутизаторів

Головною функцією, що виконується маршрутизаторами, була і залишається передача пакетів з однієї мережі в іншу. Але оскільки одна з цих мереж може бути приватною, а інша, скажімо, Інтернетом, маршрутизатори виступають в ролі першої лінії оборони, захищаючи дані закритої мережі.

Будь-який користувач, що має доступ до Інтернету, здатний проникнути в корпоративну мережу. Таким користувачем може бути потенційний покупець товарів, пропонованих через Інтернет, або просто цікава людина. Але, на жаль, це може бути і користувач, що намагається проникнути в корпоративну мережу з певною метою, їх саме прийнято називати хакерами. Для захисту корпоративних мереж застосовуються різні методи і використовуються різні типи мережного обладнання. Одним з таких методів захисту є обробка списку доступу, що виконується на маршрутизаторі.

Списки доступу 

Список доступу АСL (Access Control List) містить декілька операторів, призначених для управління потоком пакетів, які приходять на порт маршрутизатора. Більшість виробників маршрутизаторів підтримують два типи списків доступу: стандартний і розширений.

Стандартні списки доступу. У стандартному, або базисному, списку доступу є один або більше  операторів, що складаються з IP-адреси джерела і ключового слова permit або deny. Під час вступу пакету на порт маршрутизатора, де задіяна функція захисту за списком доступу, перевіряється IP-адреса джерела. Якщо вона співпадає з адресою, що міститься в операторові списку доступу, і в цьому операторові вказано ключове слово permit, маршрутизатор пропускає пакет в мережу, що захищається. Але якщо в операторові вказано ключове слово deny, пакет відкидається.

У маршрутизаторах Cisco стандартний список доступу має наступний формат: access-list номер_списку {permit/deny} IP-адреса маска_адреси. Номером списку може бути будь-яке значення з діапазону від 1 до 99, що ідентифікує групу операторів, що … Продолжение »