Диссертация (1144029), страница 12
Текст из файла (страница 12)
OpenSSH,реализация протокола SSH, сейчас включена по умолчанию почти во вседистрибутивы Linux и является безопасным методом входа в систему и передачифайлов в Unix-подобных системах. SSH-клиенты и SSH-серверы доступны длябольшинства операционных систем (рисунок 42).Приложение (браузер) ↔ SOCKS-прокси сервер (опционально) ↔ SSH-клиент ←(зашифрованный SHH-туннель) → SSH-сервер ← (открытый трафик) →Интернет-ресурсРисунок 42 – схема работы SSH-туннеляНеобходимо понимать, что централизованные решения слабо могутпротивостоять как целенаправленным атакам, так и неумышленным воздействиямвнешней среды, они имеют низкую отказоустойчивость, и при нарушениифункционирования центральных узлов может быть нарушена конфиденциальностьпередаваемых данных либо приостановка функционирования всей системы.Преимущества использования VPN и SSH-туннелей состоят в обеспеченииследующих характеристик: высокая скорость подключения и передачи данных,высокий уровень безопасности, возможность использовать 2 или 4 VPN-сервера,которые могут быть расположены в разных регионах.Недостатки использования VPN и SSH-туннелей основаны на высокойстоимости, невозможности организовать защиту от атак через плагины и XSS(Cross-Site Scripting — «межсайтовый скриптинг»), низкой надежности, т.к.
привыходе из строя центральных узлов, функционирование всей системы становитсяневозможным.Поставщиком услуг (VPN-провайдером или SSH-сервером) должна бытьгарантирована конфиденциальность и целостность передаваемых по данномуканалу данных, т.к. сетевой трафик может быть прослушан на сервере-посредникеили канале связи, надежность и отказоустойчивость центральных узлов.974.3.3 Метод многоуровневого шифрования в распределенной сети проксисерверовОдним из примеров распределенной сети с многоуровневым шифрованием,является сеть TOR (The Onion Router), которая создавалась при финансовойподдержке Министерства обороны США, Государственного департамента США иНационального научного фонда США – является свободным и открытымпрограммным обеспечением, представляющим собой систему прокси-серверов,позволяющую устанавливать анонимное сетевое соединение, защищенное отпрослушивания, которую можно рассматривать как анонимную сеть виртуальныхтуннелей, предоставляющую передачу данных в зашифрованном виде.
Программанаписана преимущественно на языках программирования C, C++ и Python.Передача данных обеспечивается благодаря использованию распределенной сетипрокси-серверов – узлов (нодов). Каждый узел содержит данные, необходимые дляобеспечения функционирования сети. TOR оперирует сетевыми уровнямимаршрутизаторов, позволяя обеспечивать исходящие соединения и скрытыеслужбы. Каждый пользователи сети TOR на своем компьютере запускает свойпрокси сервер, который подключается к серверам TOR, периодически образуяцепочку сквозь сеть TOR, которая использует многоуровневое шифрование.Каждый пакет данных, попадающий в систему, проходит через три различныхнода, которые выбираются случайным образом.
Перед отправлением пакетпоследовательно шифруется тремя ключами: сначала для третьего узла, потом длявторого, и потом для первого. Когда первый узел получает пакет, онрасшифровывает «верхний» слой шифра и узнает, куда отправить пакет дальше.Второй и третий сервер поступают аналогичным образом. В то же время,программное обеспечение Onion-прокси сервера предоставляет SOCKS-интерфейс.Программы, работающие по SOCKS-интерфейсу, могут быть настроены на работучерез сеть TOR, который, мультиплексируя трафик, направляет его через98виртуальную цепочку. Внутри сети TOR трафик перенаправляется от одногомаршрутизатора к другому и окончательно достигает точки выхода, из которойнешифрованный пакет данных доходит до изначального сервера. Трафик отполучателя обратно направляется в точку выхода сети TOR.В настоящее время не выявлено практических эффективных атак,компрометирующих механизмы сети TOR., что и представляет его основноепреимущество.Недостатки использования TOR определяются следующими особенностями:необходимости установить отдельный браузер, невозможность обеспечить полноескрытие передаваемых данных, при отсутствии HTTPS выходные узлы могутпросматривать / фильтровать запросы, недостаточная скорость передачи данных,невозможно организовать защиту от атак через плагины и XSS.Создание и развертывание распределенной сети прокси-серверов смногоуровневымшифрованиемпозволилобынетолькообеспечитьфункционирование объектов в критической ситуации, но и целостность иконфиденциальность передаваемых данных.
Необходимо учитывать, что дляобеспечения полного скрытия передаваемых данных, для сохранения болеевысокого уровня конфиденциальности, необходима защита самих коммуникаций,шифрование передаваемых данных, например, с помощью их упаковки вкриптографические контейнеры. Таким образом можно сделать вывод, что методиспользованияраспределеннойшифрованиемможетбытьсетипрокси-серверовиспользованнетолькосмногоуровневымдляобеспеченияработоспособности объектов, но и обеспечить целостность и конфиденциальностьпередаваемых данных при использовании двустороннего сквозного шифрования.994.3.4 Метод последовательного шифрования в распределенной сети проксисерверовОдним из примеров последовательного шифрования в распределенной сетиявляется оверлейная (т.е.
работающая поверх другой сети) сеть I2P (InvisibleInternet Project) – открытое программное обеспечение, предназначенное дляорганизации полностью децентрализованной сверхустойчивой зашифрованнойсамоорганизующейся распределенной сети, работающей поверх сети Интернет. I2Pиспользует транспортный протокол UDP (TCP – транспортный протокол передачиданных в сетях TCP/IP, предварительно устанавливающий соединение с сетью, аUDP – транспортный протокол, передающий сообщения без необходимостиустановки соединения в IP-сети.), что позволяет организовать настоящуюпиринговую сеть по типу p2p (каждый обменивается с каждым). По мерепрохождения сообщения через узлы сети, каждый узел снимает своим закрытымключом соответствующий ему слой шифрования и получает дальнейшиеинструкции: передать сообщение следующему узлу или оставить себе.
Сеть I2Pобеспечивает конфиденциальность передаваемых между объектами данных внутрисети. Необходимо также отметить, что в сети I2P применяется сквозноешифрование для защиты соединения между клиентов и адресатом, благодаря чемуобеспечивается конфиденциальность и целостность данных. Также, в связи спостоянным увеличением размера системы I2P начинают появляться узлы содинаковыми функциями, в следствии чего увеличивается надежность иотказоустойчивость системы.Для адресов сервисов в сети I2P существует псевдо-домен «.i2p». I2Pиспользует модифицированный DHT (распределенная хеш-таблица) Kademlia, ноотличается тем, что хранит в себе хешированные адреса узлов сети,зашифрованные AES (симметричный алгоритм блочного шифрования) IP-адреса, атакже публичные ключи шифрования, при этом, соединения по Network databaseтоже зашифрованы. Сеть предоставляет приложениям простой транспортный100механизм для анонимной и защищенной пересылки сообщений друг другу.
Хотясеть I2P строго ориентирована на определение пути передачи пакетов, благодарябиблиотеке «Streaming lib» реализована также и их доставка в первоначальнозаданной последовательности без ошибок, потерь и дублирования.Достоинства использования I2P состоят в возможности обеспечить: высокуюстепеньанонимностиклиентаисервера,полнуюдецентрализацию,а,следовательно, отказоустойчивую сеть, конфиденциальность данных (сквозноешифрование между клиентом и адресатом).В качестве недостатков использования I2P необходимо отметить: низкуюскорость передачи данных, невозможность защиты от атак через плагины и XSS.Созданиеиразвертываниепоследовательнымшифрованиемраспределеннойпозволилосетибынепрокси-серверовтолькособеспечитьфункционирование объектов в критической ситуации, но и целостность иконфиденциальность передаваемых данных.
Необходимо учитывать, как и в сетяхс многоуровневым шифрованием, что для обеспечения полного скрытияпередаваемыхданных,длясохраненияболеевысокогоуровняконфиденциальности, необходима защита самих коммуникаций и дополнительноешифрование передаваемых данных. Таким образом можно сделать вывод, чтометод использования распределенной сети прокси-серверов с многоуровневымшифрованиемможетбытьиспользованнетолькодляобеспеченияработоспособности необходимых объектов в критической ситуации, но иобеспечить целостность и конфиденциальность передаваемых данных прииспользовании двустороннего сквозного шифрования.4.4 Разработка программного комплекса ограничения доступностидеструктивной информации в сети ИнтернетДляпостроениякомпонентовзащитыотинформационныхугроз,распространяемых в социальных сетях, необходимо создать подключение к101наблюдаемому каналу передачи данных сетей Ethernet через Т-образноесоединение с помощью сетевого концентратора или управляемого сетевогокоммутатора с функцией зеркалирования портов SPAN (Switch Port Analyzer)(рисунок 43).
Зеркалирование трафика (англ. port mirroring) необходимо дляперенаправления трафика и дублирования пакетов с одного порта коммутатора надругой порт этого же коммутатора (локальное зеркалирование) или на удаленныйкоммутатор (удаленное зеркалирование). Таким образом, вся информация, котораяпроходит через межсетевой коммутатор может зеркалироваться в режимереального времени на свободный порт. Как правило, подключение производится кканалу межсетевого взаимодействия. Данное подключение прозрачно и неподдается обнаружению со стороны работающих в сети пользователей иобслуживающих её администраторов.