лекция№6 (1088432), страница 3
Текст из файла (страница 3)
Конфигурирование списков доступа
Списки доступа либо нумеруются, либо именуются. Использование нумерованных, либо именованных списков доступа определяется их применением (некоторые протоколы требуют использования только нумерованных списков, некоторые - допускают как именованные, так и нумерованные списки).
Основной вид списка доступа — стандартный список, по которому проверяются только сетевые адреса отправителя. Расширенные списки предоставляют более широкие возможности фильтрации за счет проверки начального и конечного адресов маршрута, протокола/порта, а также битов синхронизации.
Списки доступа следующего поколения — это возвратные и контекстно-зависимые списки доступа (Context Based Access Control, CBAC). Они позволяют учитывать протоколы и функции более высокого уровня. Возвратные списки называют также фильтрацией сеанса IP, поскольку они строят динамический обратный путь на основе информации о сеансе. Одна из замечательных особенностей возвратных списков состоит в том, что они позволяют выполнять исходящие команды ping (и другие аналогичные команды протокола ICMP), но при этом запрещают входящий трафик ICMP.
Контекстно-зависимые списки доступа типа работают на прикладном уровне. Они проверяют трафик, который проходит через брандмауэр в целях выявления информации о состоянии сеансов TCP и UDP и управления ими. Эта информация используется для создания временных окон в списках доступа брандмауэра с целью пропуска обратного трафика, а также для создания дополнительных соединений в рамках законных сеансов.
Списки доступа, учитывающие время, позволяют сетевым администраторам контролировать доступ в сети, используя в качестве параметров время, день недели или комбинацию этих параметров. Наибольшее распространение временные списки доступа получили при ограничении доступа в Интернет в организациях.
Система выявления вторжений (Intrusion Detection System, IDS).
Технология IDS позаимствована от соответствующих продуктов Cisco (прежде называвшихся NetRanger). IOS IDS содержит подмножество специальных профайлов с сигнатурами наиболее часто встречающихся типов атак. IDS проверяет пакеты во время их прохождения через маршрутизатор. Этот процесс отнимает много ресурсов, поэтому IDS реализована только на наиболее мощных маршрутизаторах, где используется CSIS (маршрутизаторы серий 2600, 3600 либо 7x00). Процесс проверки контекстно-зависимых списков может значительно уменьшить производительность сети в зависимости от объема и вида трафика. Система выявления вторжений записывает информацию о событиях в буфере протоколирования системных событий маршрутизатора, но для внешнего хранения и использования этой информации потребуются CS IDS Director или сервер авторизации под управлением UNIX. IDS нуждается в соответствующей настройке и последующем контроле для того, чтобы обычный трафик не воспринимался ею как отклоняющийся от нормы. Стандартная конфигурация включает систему IDS в автономном режиме, а запись о событиях производится в буфер протоколирования системных событий.
4-й учебный вопрос Аппаратные криптосистемы - ? мин
Назначение:
-шифрование сетевого трафика;
-реализация функции цифровой подписи;
-шифрование данных на магнитных носителях;
-управление доступом к ПК и ПО.
Основные параметры:
-тип применяемого алгоритма шифрования (RSA, DES, ГОСТ 28147-89);
-длина ключа шифрования (128-2048 бит);
-скорость шифрования (33 Кбит/с – 100Мбит/с).
Типовой состав: криптопроцессор, ОЗУ, ПЗУ BIOS, генератор случайных чисел, внешний интерфейс.
Варианты исполнения:
-отдельное устройство, присоединяемое к порту ПК (например THALES (Racal) DataСryptor 2000);
-плата расширения ПК (Криптон);
-Шифрующий модем в исполнении PCMCIA;
-криптопроцессор, встроенный в сетевую карту;
-модуль расширения к маршрутизатору.
Обеспечение физической защищенности: Выполнение в закрытом взломоустойчивом корпусе: криптографический модуль внутри корпуса помещён в конверт тонкой плёнки на эпоксидной смоле для контроля взлома. Также в конверте имеются датчики на движение, температуру и химическое воздействие. Батарея, поддерживающая работу электроники, расположена внутри корпуса, но вне конверта, что позволяет проводить обслуживание в сервис-центрах. Повреждение защитного конверта вызывает состояние "критической тревоги" и все ключи и алгоритмы стираются.
Комплекс криптографической защиты информации (СКЗД) семейства "Криптон" (компания “Анкад”)
Устройство "Криптон" предназначено для криптографической защиты (шифрования) информации, обрабатываемой на компьютерах IBM PC.
Основные технические характеристики:
-скорость обработки информации - до 300 Кбайт/с;
-длина ключа - 256 бит;
-носителем ключевой информации служит магнитная дискета или смарт-карта;
-программное обеспечение позволяет осуществлять: шифрование файлов, групп файлов и разделов дисков; защиту информации, передаваемой по открытым каналам связи, разграничение и контроль доступа к компьютеру; электронную подпись юридических и финансовых документов.
Аппаратная часть
"Криптон" представляет собой плату размером 150х105 мм, на которой размещены:
-Узел шифрования, спроектированный па базе специализированной заказной СБИС “Блюминг”, непосредственно выполняющей операции шифрования/расшифрования. Для повышения надежности функционирования узел шифрования содержит две такие параллельно работающие СБИС. Кроме того, узел шифрования содержит ОЗУ, предназначенное для хранения трех ключей.
-Микросхема ПЗУ, содержащая BIOS платы КРИПТОН, программу начальной тестовой проверки работоспособности платы и программу загрузки в СБИС шифрования ключа.
-Схема генерации случайной бинарной последовательности (датчик случайных чисел - ДСЧ, выполненный на основе специальных диодов, генерирующих высококачественный "физический" шум).
-Контроллер интерфейса с шиной ISA.
-Переключатели, определяющие режим работы платы и адресацию ПЗУ.
Максимальная длина пароля в системе КРИПТОН-3 — 37 символов. Длина пароля определяет стойкость системы. Поэтому рекомендуется использовать длинные пароли с неповторяющимися символами. СКЗД реализует криптографические алгоритмы, являющиеся государственными стандартами Федерации:
-Системы обработки информации. Защита криптографическая. Алгоритмы криптографического преобразования.
-ГОСТ Р 34.11-94 Информационная технология. Криптографическая защита информации. Функция хэширования.
-ГОСТ Р 34.10-94 Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе ассиметричного криптографического алгоритма.
Алгоритм шифрования реализован аппаратно на основе специализированной БИС "Блюминг-1".
Аппаратная реализация позволяет гарантировать целостность алгоритма криптографического преобразования. Использование СБИС также позволяет загружать ключи шифрования до загрузки операционной системы в регистры шифропроцессора и хранить их там в процессе обработки файлов без выгрузки в ОЗУ, что гарантирует сохранность ключей от несанкционированного доступа. СКЗД "Криптон-4" сертифицирован ФАПСИ в составе ряда автоматизированных рабочих мест.
Заключение – до 5 мин.
В данной лекции были рассмотрены технические средства защиты компьютерных коммуникаций. В настоящее время наиболее распространенным протоколом канального уровня для построения сетей передачи информации является Ethernet. Основным недостатком технологии Ethernet является сам принцип ее функционирования — в результате коллективного доступа к среде передачи данных увеличение числа пользователей снижает производительность сети. Из практики известно, что работа в сетях Ethernet может быть эффективной при коэффициенте загруженности сети до 40%.
Управляемые коммутаторы обладают также дополнительными функциями, важнейшими из которых с точки зрения безопасности являются фильтрация трафика и поддержка виртуальных сетей VLAN.
Фильтрация трафика позволяет создавать пользовательские фильтры, которые ограничивают доступ заданных заранее групп пользователей к определенным службам сети. Фактически фильтрация трафика — это сервис, повышающий уровень сетевой безопасности.
В Prestige 1600 предусмотрена высокая степень защиты информации от несанкционированного доступа путем настройки фильтров пакетов, протоколов транспортных уровней и широковещательных сообщений индивидуально для каждого абонента. Системная консоль защищена паролем.
Технология IDS позаимствована от соответствующих продуктов Cisco (прежде называвшихся NetRanger). IOS IDS содержит подмножество специальных профайлов с сигнатурами наиболее часто встречающихся типов атак. IDS проверяет пакеты во время их прохождения через маршрутизатор. Этот процесс отнимает много ресурсов, поэтому IDS реализована только на наиболее мощных маршрутизаторах, где используется CSIS (маршрутизаторы серий 2600, 3600 либо 7x00). Процесс проверки контекстно-зависимых списков может значительно уменьшить производительность сети в зависимости от объема и вида трафика. Система выявления вторжений записывает информацию о событиях в буфере протоколирования системных событий маршрутизатора, но для внешнего хранения и использования этой информации потребуются CS IDS Director или сервер авторизации под управлением UNIX. IDS нуждается в соответствующей настройке и последующем контроле для того, чтобы обычный трафик не воспринимался ею как отклоняющийся от нормы. Стандартная конфигурация включает систему IDS в автономном режиме, а запись о событиях производится в буфер протоколирования системных событий.
Аппаратная реализация позволяет гарантировать целостность алгоритма криптографического преобразования. Использование СБИС также позволяет загружать ключи шифрования до загрузки операционной системы в регистры шифропроцессора и хранить их там в процессе обработки файлов без выгрузки в ОЗУ, что гарантирует сохранность ключей от несанкционированного доступа. СКЗД "Криптон-4" сертифицирован ФАПСИ в составе ряда автоматизированных рабочих мест.
-
поставить задачи для самостоятельной работы; ??
Лекция разработана «____» ______________ 200__г.
________________/ <фамилия, инициалы автора> /
(подпись)
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
