Security (Лекции по информационной безопасности), страница 3

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .92Сетевая разведка . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .93Злоупотребление доверием . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .93Переадресация портов . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .94Несанкционированный доступ . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .94Вирусы и приложения типа «троянский конь» . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .94ЧТО ТАКОЕ ПОЛИТИКА БЕЗОПАСНОСТИ? . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .94НЕОБХОДИМОСТЬ ПОЛИТИКИ БЕЗОПАСНОСТИ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .95ПРИЛОЖЕНИЕ С. АРХИТЕКТУРНАЯ КЛАССИФИКАЦИЯ . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .95УСЛОВНЫЕ ОБОЗНАЧЕНИЯ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .95ССЫЛКИ . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .96РУКОВОДСТВА CISCO ПО КОНФИГУРАЦИИ ДЛЯ ПРОГРАММНЫХ ПРОДУКТОВ В ОБЛАСТИ . . . . . . . . . . . . . .ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ И ДЛЯ СООТВЕТСТВУЮЩИХ ПРОГРАММНЫХ КОМПОНЕНТОВ . .

. . . .96ИНТЕРНЕТ-ССЫЛКИ (RFC) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .96ПРОЧИЕ ССЫЛКИ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .96ССЫЛКИ НА ПРОДУКТЫ ПАРТНЕРОВ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .96ǂ‰ÂÌËÂВ сетевой отрасли все большее распространение получает термин «безопасность сетей предприятия».Безопасность сетей является сложным вопросом отчасти из-за того, что в современном мире существуетвеликое множество технологий безопасности, многие из которых решают сходные задачи и представляют собой лишь ступень на пути к более полным стратегическим решениям в данной области.

В настоящем документе дается обзор технологий безопасности, который даст читателям общее представление оперспективах безопасности сетей и о том, как можно использовать продукты и средства компании Ciscoдля создания защищенных сетей предприятий. Этот документ может использоваться в сочетании с такназываемыми «белыми книгами» (White Papers) Cisco и документацией, где детально описываются продукты и средства, упоминаемые в данном тексте.В первом разделе поясняются элементарные термины и обсуждаются причины, приводящие к необходимости защиты современных сетей.

Затем описываются базовые понятия криптографии и различные методы поддержки безопасности, которые широко применяются в современной промышленности. В настоящее время компания Cisco Systems уже поддерживает эти методы или работает над ними. Большинствоиз них — это стандартные методы, которые разработаны «инженерной группой Интернет» (InternetEngineering Task Force — IETF) и связаны с сетевым протоколом IP. Обычно, когда необходимо поддержать услуги в области безопасности для других сетевых протоколов, не имеющих подобных стандартныхрешений, используется метод туннелирования этих протоколов с помощью протокола IP.

За обзором технологий следует детальное описание архитектуры обеспечения безопасности современных корпоративных сетей, а также разъяснения по поводу того, как продукты и функции операционной системы Ciscoвписываются в архитектуру защищенной сети предприятия.íÂÏËÌÓÎÓ„ËflЧтобы понять основы безопасности, необходимо прояснить терминологию, которая широко используется в данной области. Вот некоторые базовые термины и их определения:Аутентификация: определение источника информации, то есть конечного пользователя или устройства(центрального компьютера, сервера, коммутатора, маршрутизатора и т.

д.).Целостность данных: обеспечение неизменности данных в ходе их передачи.Конфиденциальность данных: обеспечение просмотра данных в приемлемом формате только для лиц,имеющих право на доступ к этим данным.Шифрование: метод изменения информации таким образом, что прочитать ее не может никто, кроме адресата, который должен ее расшифровать.Расшифровка: метод восстановления измененной информации и приведения ее в читаемый вид.Ключ: цифровой код, который может использоваться для шифрования и расшифровки информации, атакже для ее подписи.Общий ключ: цифровой код, используемый для шифрования/расшифровки информации и проверкицифровых подписей; этот ключ может быть широко распространен; общий ключ используется с соответствующим частным ключом.Частный ключ: цифровой код, используемый для шифрования/расшифровки информации и проверкицифровых подписей; владелец этого ключа должен держать его в секрете; частный ключ используется ссоответствующим общим ключом.Секретный ключ: цифровой код, совместно используемый двумя сторонами для шифрования и расшифровки данных.Ключевой отпечаток пальца: читаемый код, который является уникальным для общего ключа и можетиспользоваться для проверки подлинности его владельца.Хэш-функция: математический расчет, результатом которого является последовательность битов (цифровой код).

Имея этот результат, невозможно восстановить исходные данные, использованные для расчета.Хэш: последовательность битов, полученная в результате расчета хэш-функции.Результат обработки сообщения (Message digest): величина, выдаваемая хэш-функцией (то же, что и«хэш»).Шифр: любой метод шифрования данных.Цифровая подпись: последовательность битов, прилагаемая к сообщению (зашифрованный хэш), которая обеспечивает аутентификацию и целостность данных.AAA — Authentication, Authorization, Accounting: архитектура аутентификации, авторизации и учета компании Cisco Systems.Кампус: группа или комплекс рядом расположенных зданий предприятия или организации.NAS — Network Access Server: сервер удаленного доступа к сети.VLAN — Virtual Local Area Networks: виртуальные локальные сети.VPN — Virtual Private Networks: виртуальные частные сети.VPDN — Virtual Private Dial-Up Networks: виртуальные коммутируемые частные сети.3éÒÌÓ‚˚ ·ÂÁÓÔ‡ÒÌÓÒÚË ‰‡ÌÌ˚ıВ этом разделе описаны основные «строительные кирпичики», необходимые для понимания болеесложных технологий безопасности.

Криптография является основой любой защищенной связи, и поэтому так важно познакомиться с тремя основными криптографическими функциями: симметричнымшифрованием, асимметричным шифрованием и односторонними хэш-функциями. Все существующиетехнологии аутентификации, целостности и конфиденциальности созданы на основе именно этих трехфункций. Цифровые подписи будут представлены в виде практического примера сочетания асимметричного шифрования с алгоритмом односторонней хэш-функции для поддержки аутентификации и целостности данных.äËÔÚÓ„‡ÙËflКриптографией называется наука составления и расшифровки закодированных сообщений.

Кроме того, криптография является важным строительным кирпичиком для механизмов аутентификации, целостности и конфиденциальности. Аутентификация является средством подтверждения личности отправителя или получателя информации. Целостность означает, что данные не были изменены, а конфиденциальность создает ситуацию, при которой данные не может понять никто, кроме их отправителя и получателя. Обычно криптографические механизмы существуют в виде алгоритма (математической функции)и секретной величины (ключа). Алгоритмы широко известны.

В секрете необходимо держать толькоключи. Ключ можно сравнить с номерным кодом для номерного замка. Хотя общая концепция номерного замка хорошо известна, вы не сможете открыть такой замок, если не знаете, какой код следует набрать. И чем больше разрядов у этого кода, тем дольше нужно потрудиться, чтобы подобрать его методомпростого перебора. То же самое можно сказать и о криптографических ключах: чем больше битов в таком ключе, тем менее он уязвим.Аутентификация, целостность данных и конфиденциальность данных поддерживаются тремя типамикриптографических функций: симметричным шифрованием, асимметричным шифрованием и хэшфункциями.ëËÏÏÂÚ˘ÌÓ ¯ËÙÓ‚‡ÌËÂ4Симметричное шифрование, которое часто называют шифрованием с помощью секретных ключей, в основном используется для обеспечения конфиденциальности данных.

На рисунке 1 показаны два пользователя, Алиса и Боб, которые хотят установить между собой конфиденциальную связь. Для этого Алисаи Боб должны совместно выбрать единый математический алгоритм, который будет использоваться дляшифрования и расшифровки данных. Кроме того, им нужно выбрать общий ключ (секретный ключ), который будет использоваться с принятым ими алгоритмом шифрования/расшифровки.êËÒÛÌÓÍ 1. òËÙÓ‚‡ÌË ÒÂÍÂÚÌ˚Ï Íβ˜ÓÏВесьма упрощенным примеромалгоритма секретного ключа является так называемый шифр Цезаря, показанный на рисунке 2.Этот метод шифрования заключается в том, что каждая буква втексте заменяется на другую букву, находящуюся на определенном расстоянии от нее в алфавите. При шифровании или расшифровке этот алгоритм как бысдвигает буквы вверх и вниз поалфавиту.