Требования к защите информации
Download
1 / 231

. . : . ., 1992. . . : . ., 1992. - PowerPoint PPT Presentation


  • 198 Views
  • Uploaded on

Требования к защите информации. Духан Е.И., Синадский Н.И., 2003-2008. Руководящие документы. Автоматизированные системы. Защита от НСД к информации. Классификация автоматизированных систем и требования по защите информации: Руководящий документ ГТК РФ. – М., 1992.

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about ' . . : . ., 1992. . . : . ., 1992.' - kiana


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript

Требования к защите информации

Духан Е.И., Синадский Н.И., 2003-2008


Руководящие документы

  • Автоматизированные системы. Защита от НСД к информации. Классификация автоматизированных систем и требования по защите информации: Руководящий документ ГТК РФ. – М., 1992.

  • Средства вычислительной техники. Защита от НСД к информации. Показатели защищенности от НСД к информации: Руководящий документ ГТК РФ. – М., 1992.


Международные стандарты

  • ГОСТ 15408-02 «Критерии оценки безопасности информационных технологий». – М., 2002.

  • Руководящий документ. Безопасность информационных технологий. Критерии оценки безопасности информационных технологий. – М.: Гостехкомиссия России, 2002.

  • ГОСТ Р ИСО/МЭК 17799-2005. Информационная технология. Практические правила управления информационной безопасностью


Требования «из жизни»

  • только зарегистрированные в КС пользователи и только в разрешенное для каждого из них время могут включить компьютер (загрузить операционную систему);

  • без регистрацииникто не должен получать доступ к конфиденциальной информации и информации, хранящейся на защищаемых носителях;

  • пользователь, обрабатывающий конфиденциальные данные должен иметь возможность удостовериться в «чистоте» компьютерной системы, а именно в неизменности системного и прикладного программного обеспечения, пользовательских данных, в отсутствии вредоносных программ;

  • пользователи должны получать доступ только к тойинформации и с теми возможностями по ее обработке, которые соответствуют их функциональным обязанностям;

  • пользователям при обработке защищаемой информации разрешается применение только тех программных средств, которые необходимы им для выполнения своих функциональных обязанностей;


Требования «из жизни»

  • для хранения конфиденциальных данных должны использоваться только учтенные носители информации, возможность копирования информации на внешние или сетевые носители определяется уровнем конфиденциальности информации, уровнем допуска сотрудника и уровнем конфиденциальности носителя;

  • конфиденциальная информация, обрабатываемая пользователем, в том числе ее фрагменты в виде «технологического мусора», без соответствующего разрешения не должна прямо или косвенно быть доступнаиному субъекту;

  • в целях профилактики и расследования возможных инцидентов автоматически должна вестись регистрация в специальных электронных журналах наиболее важных событий, связанных с доступом пользователей к защищаемой информации и компьютерной системе в целом;

  • при печати документов на бумажные носители автоматически должен фиксироваться факт распечатки в специальном журнале и автоматически выводиться соответствующий штамп на сам документ;


Требования «из жизни»

  • в компьютерной системе должен быть администраторбезопасности, который обязан воплощать в жизнь политику безопасности и, следовательно, имеет право устанавливать порядок доступа пользователей к КС и документам, разрешения (ограничения), пароли и т.д.;

  • все перечисленные требования должны обеспечиваться средствами самой компьютерной системы автоматически. Каждый сотрудник предприятия должен быть вынужден гарантированно выполнять требования политики безопасности не под воздействием силы приказов и распоряжений начальников. На предприятии должен быть организован такой режим функционирования КС, который просто не позволит пользователю работать с конфиденциальными данными в незащищенном режиме.


Методы защиты информации в компьютерных системах:

  • Ограничение доступа

  • Идентификация и аутентификация

  • Разграничение доступа

  • Аудит (контроль и учет доступа)

  • Управление политикой безопасности

  • Криптографическая защита

  • Антивирусная защита

  • Архивирование и резервирование данных

  • Сетевая защита


Ограничение физического доступа к информации на ПК

  • Режимное помещение (ТСО)


ТСО : к информации на ПК

  • Комплекс организационных мер

  • Техническая укрепленность

  • Средства охранной сигнализации

  • Телевизионные системы наблюдения

  • Системы управления доступом


Ограничение физического доступа к информации на ПК

  • Режимное помещение (ТСО)

  • Применение специализированных «запорных» устройств

  • Опечатывание системного блока

  • Использование съемных НЖМД

  • Использование специальных функций BIOS


Ограничение возможности загрузки ПК

  • Установка парольной защиты в BIOS

    • Запрет загрузки с внешних носителей (дискеты, CD-ROM, USB-носителей)

    • Пароль на загрузку системы

  • Совмещать с паролем на экранную заставку


  • В меню загрузки ПКSecurity (Password) осуществляется установка ввода пароля на:

  • Антивирусный контроль MBR

  • вход в Bios Setup (Supervisor)


Установка порядка загрузки ОС ПК осуществляется как правило в меню Advanced CMOS Features


Этапы управления доступом осуществляется как правило в меню

  • Идентификация - присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов

    • Идентификатор - уникальный признак субъекта или объекта доступа

  • Аутентификация - проверка подлинности объекта

  • Авторизация - предоставление объекту полномочий


СПОСОБЫ АУТЕНТИФИКАЦИИ ЛИЧНОСТИ осуществляется как правило в меню

  • Парольные системы

  • Биометрические признаки (в т.ч. программные – клавиатурный почерк)

  • Физические носители кодов паролей


Требования к паролям осуществляется как правило в меню

  • Min 8-10 символов

  • Не слово

  • Не QWERTY

  • Не IVAN, не PAROL, не gfhjkm

  • Использование в пароле различных групп символов

    Aa1; + Alt+цифр. клав

  • Rz23Sa5v

  • Влрё,Влор☺


Аутентификация по подписи осуществляется как правило в меню


КЛАВИАТУРНЫЙ ПОЧЕРК осуществляется как правило в меню

  • Набор ключевой фразы

  • Набор свободного текста


Аутентификация по отпечаткам пальцев (дактилоскопия)

100мм



Аутентификация по цвету радужной оболочки и узору сетчатки глаз


ФИЗИЧЕСКИЕ НОСИТЕЛИ КОДОВ ПАРОЛЕЙ

  • Ключевые дискеты

  • Механические ключи повышенной секретности

  • Пластиковые карточки (Смарт-карты)

  • ”Touch-memory” (Dallas iButton)

  • Ключи для портов ПЭВМ (e-tokenUSB-ключ, PCMCIA - карты)

  • Проксими-ключи и карты


Современные тенденции в решении задачи защиты информации

  • Применение СЗИ, дополняющей механизмы ОС Windows 2000, XP

  • Разработка собственной защищенной ОС MCBC 3.0

  • Доработка защитных механизмов ОС Windows XP на основе российских алгоритмов шифрования


МСВС 3.0 задачи защиты информации

  • Встроенные средства защиты от НСД, удовлетворяющие требованиям Руководящего документа ГосТехКомиссии при Президенте РФ по классу 2 средств вычислительной техники

  • Средства защиты включают мандатное управление доступом, списки контроля доступа, ролевую модель и развитые средства аудита


Компьютерная система задачи защиты информации

Субъекты

(пользователи, внешние коммуникации)

Объекты

(ресурсы, файлы, диски, устройства)

Процессы

субъектов


Монитор безопасности задачи защиты информации

Ядро

системы

Про-

цессы

Субъекты

Объекты

Надстройки

Монитор безопасности

Защищенная система

Монитор безопасности реализует модели защиты информации на основе принципов (моделей) разграничения доступа:

  • одноуровневая модель

  • многоуровневая модель

  • модель тематического РД


Тип доступа задачи защиты информации

Тройки доступа (субъект-тип-объект)

Субъекты

Объекты

Одноуровневая модель (на основе дискреционного (избирательного) принципа разграничения доступа)

пространство разрешений на доступ

1. Для любого объекта существует владелец

2. Владелец объекта может произвольно ограничивать доступ других субъектов к данному объекту

3. Для каждой тройки субъект-объект-метод возможность доступа определена однозначно

4.Существует привилегированный пользователь, имеющий возможность обратиться к любому объекту по любому методу доступа




Включение учетных записей учетных записей в группы


Назначение прав доступа учетных записей


Многоуровневая модель учетных записей


Субъекты учетных записей

Объекты

1-я (высшая) степень допуска

1-й (высший) уровень конфиденциальности

2-я степень допуска

2-й уровень конфиденциальности

3-я степень допуска

3-й уровень конфиденциальности

Обозначения:

- тип доступа "чтение", "модификация", "удаление"

- тип доступа "создание"

Многоуровневая модель Белла-ЛаПадулы (на основе мандатного принципа разграничения доступа)

Определение системы допусков субъектов по степени благонадежности

Категорирование объектов по уровню конфиденциальности

Установление полномочий субъектов с определенными допусками к объектам определенной категории

Иерархический принцип управления доступом



Классы защищенности по Оранжевой книге


Схема групп и классов защищенности АС от НСД

Первая (высшая) группа

Класс 1А

Класс 1Б

Класс 1В

Класс 1Г

Вторая группа

Класс 1Д

Класс 2А

Класс 2Б

Третья группа

Класс 3А

Класс 3Б

Классификация АС и требования по защите информации

Многопользовательские АС с информацией различного уровня конфиденциальности и различным уровнем полномочий пользователей

Многопользовательские АС с

информацией различного уровня

конфиденциальности и одинако-

вым уровнем полномочий

пользователей

Однопользовательские АС с

информацией одного уровня

конфиденциальности


Intel

Дискреционная защищенности АС от НСД

ОС Windows NT/2000

OC Novell NetWare

ОС семейства Linux

Мандатная

ОС Trusted Xenix

ОС МСВС

СУБД TrustedOracle

СУБД Линтер

Примеры использования моделей РД для платформы Intel

Мандатная на основе дискреционной

  • СЗИ Secret Net для ОС Windows NT/2000

  • СЗИDallas Lock для ОС Windows NT/2000

  • СЗИ Аккорд-АМДЗ для ОС Windows NT/2000 и OC Novell NetWare


Модель тематического РД защищенности АС от НСД

  • Классификация сущностей КС по какому-либо основанию (критерию)

  • Организация доступа осуществляется на основе тематических классификаторов

  • Сотрудники получают доступ к документам определенной тематики согласно функциональным обязанностям


Требования защищенности АС от НСД к программно-аппаратным средствам защиты информации


СЗИ защищенности АС от НСД

создаваемый аппаратно-программными средствами

  • непрерывный,

  • многоуровневый,

  • универсальный,

  • комплексный рубеж, препятствие причинению ущерба КИ.


Методы защиты информации в компьютерных системах:

  • Ограничение доступа

  • Идентификация и аутентификация

  • Разграничение доступа

  • Аудит (контроль и учет доступа)

  • Управление политикой безопасности

  • Криптографическая защита

  • Антивирусная защита

  • Архивирование и резервирование данных

  • Сетевая защита



Ограничение физического доступа к АИС (КС)

  • ТСО :

    • Комплекс организационных мер

    • Техническая укрепленность

    • Средства охранной сигнализации

    • Телевизионные системы наблюдения

    • Системы управления доступом


Ограничение физического доступа к ПК

  • Применение специализированных «запорных» устройств

  • Опечатывание системного блока

  • Использование съемных НЖМД

  • Использование специальных функций BIOS


  • В меню к ПКSecurity (Password) осуществляется установка ввода пароля на:

  • Антивирусный контроль MBR

  • вход в Bios Setup (Supervisor)


Установка порядка загрузки ОС ПК осуществляется как правило в меню Advanced CMOS Features


СЗИ осуществляется как правило в меню

СЗИ сетевого действия

СКЗИ

СЗИ от НСД


СЗИ от НСД осуществляется как правило в меню


Wavetrend link it
СУД осуществляется как правило в меню Wavetrend (Link-IT)


СЗИ от НСД осуществляется как правило в меню

  • СУД Wavetrend (Link-IT)


Программно-аппаратный комплекс СЗИ от НСДАккорд-АМДЗ(ОКБ САПР)


СЗИ от НСД СЗИ от НСД

  • СУД Wavetrend (Link-IT)

  • Программно-аппаратный комплекс СЗИ от НСДАккорд-АМДЗ (ОКБ САПР)


Secret net 2000
Автономный вариант системы защиты Secret Net 2000(ЗАО НИП “ИНФОРМЗАЩИТА”)


СЗИ от НСД защиты Secret Net 2000

  • СУД Wavetrend (Link-IT)

  • Программно-аппаратный комплекс СЗИ от НСДАккорд-АМДЗ (ОКБ САПР)

  • Автономный вариант системы защиты Secret Net 2000 (ЗАО НИП “ИНФОРМЗАЩИТА”)



СЗИ от НСД “Соболь-PCI”

  • СУД Wavetrend (Link-IT)

  • Программно-аппаратный комплекс СЗИ от НСДАккорд-АМДЗ (ОКБ САПР)

  • Автономный вариант системы защиты Secret Net 2000 (ЗАО НИП “ИНФОРМЗАЩИТА”)

  • Программно-аппаратный комплекс “Соболь-PCI”(ЗАО НИП “ИНФОРМЗАЩИТА”)


Nt 2 0
СЗИ “Соболь-PCI”Страж NT версии 2.0 (ЗАО «НИИ УИМ АВН» )


СЗИ от НСД “Соболь-PCI”

  • СУД Wavetrend (Link-IT)

  • Программно-аппаратный комплекс СЗИ от НСДАккорд-АМДЗ (ОКБ САПР)

  • Автономный вариант системы защиты Secret Net 2000 (ЗАО НИП “ИНФОРМЗАЩИТА”)

  • Программно-аппаратный комплекс “Соболь-PCI”(ЗАО НИП “ИНФОРМЗАЩИТА”)

  • СЗИ Страж NT версии 2.0 (ЗАО «НИИ УИМ АВН» )


Функции СЗИ “Соболь-PCI”от НСД

  • Ограничение на вход в систему

  • Контроль целостности ПО, технических средств и данных, доверенная загрузка

  • Реализация политики разграничения доступа

  • Аудит событий

  • Создание замкнутой программной среды

  • Возможность подключения внешних криптомодулей


Ограничение на вход “Соболь-PCI”в систему

Идентификация –

аутентификация –

авторизация


СПОСОБЫ АУТЕНТИФИКАЦИИ ЛИЧНОСТИ “Соболь-PCI”

  • Парольные системы

  • Физические носители кодов паролей (ФНКП)

  • Биометрические признаки (в т.ч. программные – клавиатурный почерк)


Парольная система аутентификации личности пользователя

Скажи пароль!

— ПАРОЛЬ.

Проходи…


Требования к паролям аутентификации личности пользователя

  • Min 8-10 символов

  • Не слово

  • Не QWERTY

  • Не IVAN, не PAROL, не gfhjkm

  • Использование в пароле различных групп символов

    Aa1; + Alt+цифр. Клав

  • Rz23Sa5v

  • Врё,Влор☺


Биометрическая аутентификация аутентификации личности пользователя

  • Динамические признаки (использование специальных программ)

  • Психофизические особенности

  • Статические признаки


Аутентификация по голосу аутентификации личности пользователя

  • Индивидуальный подход к формированию вектора признаков

  • Простота и скорость обучения

  • Высокая эффективность


Аутентификация по динамическим характеристикам письма

  • Измеряются характеристики движения пера при письме (усилие нажатия, скорость, ускорение)

  • Существует два варианта размещения датчиков: в «интеллектуальной» ручке (SmartPen) или в пластине, на которой ставится подпись

  • Результаты снимаются и обрабатываются микропроцессором


Аутентификация по подписи характеристикам письма


КЛАВИАТУРНЫЙ ПОЧЕРК характеристикам письма

  • Набор ключевой фразы

  • Набор свободного текста


Аутентификация по отпечаткам пальцев (дактилоскопия)

100мм



Аутентификация по цвету радужной оболочки и узору сетчатки глаз


ДОСТОИНСТВА радужной оболочки и узору сетчатки глаз

Трудность фальсификации

Неотделимость иден-тификатора от дее-способной личности

Удобство пользования

Высокая степень достоверности

НЕДОСТАТКИ

Временнăя зависимость идентификацион-ных признаков

Возможность повреждения носителя

Относительно высокая стоимость

Биометрическая аутентификация



ФИЗИЧЕСКИЕ НОСИТЕЛИ КОДОВ ПАРОЛЕЙ

  • Ключевые дискеты

  • Механические ключи повышенной секретности

  • Пластиковые карточки (Смарт-карты)

  • ”Touch-memory” (Dallas iButton)

  • Ключи для портов ПЭВМ (e-tokenUSB-ключ, PCCard – ключи, PCMCIA - карты)

  • Проксими-ключи и карты


Аутентификация пользователя на основе различных способов


По схеме «И» основе различных способов

  • Способ ввода ключевой информации:

    • пароль

    • ключевая дискета

    • физический носитель кодов паролей

      • пластиковая карта

      • ИМС памяти


Запрет загрузки ОС без аутентификации пользователя

BIOS

MBR

BR


Аккорд АМДЗ аутентификации пользователя

Запрет загрузки ОС без аутентификации пользователяв АККОРД - АМДЗ

BIOS

MBR

BR


MBR аутентификации пользователя

Страж - NT

Запрет загрузки ОС без аутентификации пользователя

в СТРАЖ – NT

BIOS

MBR

BR


Функции СЗИ аутентификации пользователяот НСД

  • Ограничение на вход в систему

  • Контроль целостности ПО, технических средств и данных, доверенная загрузка

  • Реализация политики разграничения доступа

  • Аудит событий

  • Создание замкнутой программной среды

  • Возможность подключения внешних криптомодулей


Доверенная загрузка аутентификации пользователя


Контроль целостности аппаратуры аутентификации пользователя



Контроль целостности файлов ПО и данных


Функции СЗИ файловот НСД

  • Ограничение на вход в систему

  • Контроль целостности ПО, технических средств и данных, доверенная загрузка

  • Реализация политики разграничения доступа

  • Аудит событий

  • Создание замкнутой программной среды

  • Возможность подключения внешних криптомодулей


Разграничение доступа файловк ресурсамАИС


Реализация политики разграничения доступа

Необходимый минимум доступа к информации:

каждый пользователь должен иметь простой доступ к необходимой ему информации и не должен получать доступ к «чужой» информации.


Реализация политики разграничения доступа


Схема защиты информации разграничения доступа


Функции СЗИ разграничения доступаот НСД

  • Ограничение на вход в систему

  • Контроль целостности ПО, технических средств и данных, доверенная загрузка

  • Реализация политики разграничения доступа

  • Аудит событий

  • Создание замкнутой программной среды

  • Возможность подключения внешних криптомодулей


Аудит событий разграничения доступа


Аудит событий разграничения доступа


Функции СЗИ разграничения доступаот НСД

  • Ограничение на вход в систему

  • Контроль целостности ПО, технических средств и данных, доверенная загрузка

  • Реализация политики разграничения доступа

  • Аудит событий

  • Создание замкнутой программной среды

  • Возможность подключения внешних криптомодулей


Создание замкнутой программной среды

  • назначение каждому пользователю списка разрешенных к выполнению программ и процессов

  • присвоение процессам уровня конфиденциальности в соответствии с уровнем конфиденциальности пользователя


Функции СЗИ средыот НСД

  • Ограничение на вход в систему

  • Контроль целостности ПО, технических средств и данных, доверенная загрузка

  • Реализация политики разграничения доступа

  • Аудит событий

  • Создание замкнутой программной среды

  • Возможность подключения внешних криптомодулей


СЗИ среды

СЗИ сетевого действия

СКЗИ

СЗИ от НСД



Защита от хищения или несанкционированного копирования носителей информации с содержащимися на них конфиденциальными данными

  • Криптографическая защита информации делает бесполезным процесс хищения зашифрованных данных.


Криптографическая защита несанкционированного копирования носителей информации с содержащимися на них конфиденциальными данными

  • Способы шифрования:

    • по требованию

    • «на лету»

    • «на лету» с организацией виртуального диска


СКЗИ с организацией несанкционированного копирования носителей информации с содержащимися на них конфиденциальными даннымивиртуального диска

  • СКЗИ Secret Disk Standart(Aladdin Software Security R.D.)

  • СКЗИ StrongDisk Pro для Windows 95/98/NT/2000(ООО "Физтех-софт")

  • PGP, BestCrypt, …


Secret disk standart aladdin software security r d
СКЗИ несанкционированного копирования носителей информации с содержащимися на них конфиденциальными данными Secret Disk Standart(Aladdin Software Security R.D.)


Strongdisk pro windows 95 98 nt 2000
СКЗИ несанкционированного копирования носителей информации с содержащимися на них конфиденциальными данными StrongDisk Pro для Windows 95/98/NT/2000(ООО "Физтех-софт")


Организация несанкционированного копирования носителей информации с содержащимися на них конфиденциальными даннымивиртуального диска


Быстрый алгоритм несанкционированного копирования носителей информации с содержащимися на них конфиденциальными данными

Стойкий

алгоритм

Пароль

+

Файл-ключ

+

Электронный ключ

Ключ

Заголовок

Данные

хеш

Структура файла-образа виртуального диска

Ключ

кодирования

данных

Данные

Ключ

кодирования

ключа


Криптографическая защита несанкционированного копирования носителей информации с содержащимися на них конфиденциальными данными

  • Блокировка (отключение) виртуальных дисков в отсутствие легального пользователя и при форс-мажорных обстоятельствах


Криптографическая защита несанкционированного копирования носителей информации с содержащимися на них конфиденциальными данными

  • Хранение данных и ключевой информации (применяемой при шифровании) на защищенных от копирования дискетах.


Доступ злоумышленника к компьютеру, содержащему конфиденциальные данные и программы их обработки

  • Шифрование таблицрасполо-женияфайлов



Криптографическая защита мусора

Зашифро-ванный временный каталог


Стирание файлов и мусораудаление «технологического мусора»

  • Объекты:

    • отдельные файлы

    • файл подкачки (swap file - win386.swp)

    • свободная область диска (free space)

    • «хвосты» файлов (file slacks)

    • неиспользуемые элементы каталогов


Стирание файлов мусора и удаление «технологического мусора»

  • Стирание (wipe) - многократная запись случайных символов в стираемую область


Только разумное комбинирование всех составляющих СЗИ может надежно гарантироватьбезопасность информации


Dallas lock
Dallas Lock всех составляющих СЗИ может надежно гарантировать

Комплексное средство защиты информации

/Конфидент, СПб/


СЕТЕВЫЕ всех составляющих СЗИ может надежно гарантироватьСЗИ

  • ViPNet, «Инфотекс»

  • Застава, «Элвис+»


ViPNet всех составляющих СЗИ может надежно гарантировать, «Инфотекс»


СЗИ - надстройка над операционной системой


ПАНЦИРЬ операционной системой

Комплексное средство защиты информации

/НПП ИТБ, СПб/

  • Аппаратная защита данных (модификация BIOS)

  • Мандатный и дискреционный доступ пользователей и процессов к программам, файлам и сети

  • Усовершенствование модели мандатного доступа (Модификация - Дополнение)

  • Возможность подключения внешних модулей для шифрования данных

  • Контроль целостности ПО и технических средств

  • Сквозной контроль механизмов защиты

  • Системный аудит и аудит событий

300  1540 $


Виртуальные частные сети операционной системой

Virtual Private Network (VPN) – это технология, объединяющая доверенные сети, узлы и пользователей через открытые сети, к которым нет доверия


Схема операционной системойVPN


Задачи, решаемые операционной системойVPN

  • Защита (конфиденциальность, целостность, подлинность) передаваемой по сетям информации

  • Защита внутренних сегментов сети от НСД извне

  • Идентификация и аутентификация пользователей

  • Безопасный доступ пользователей к ресурсам сетей общего пользования


Требования к операционной системойVPN

  • Масштабируемость

  • Интегрируемость

  • Легальность используемых алгоритмов

  • Пропускная способность сети

  • Стойкость криптоалгоритмов

  • Унифицируемость

  • Общая совокупная стоимость


Туннелирование в операционной системойVPN

IP-заголовок

Данные

Шифруются на пакетном ключе и подписываются ЭЦП

ЭЦП пакета

Пакетный ключ

IP-заголовок

Данные

Аутентифицирующий заголовок

Пакетный ключ шифруется на ключе связи, формируется новый IP-пакет (IP-адреса устройств защиты)

IP-заголовок

ЭЦП пакета

Пакетный ключ

IP-заголовок

Данные


Уровни защищенных каналов операционной системой



Защита данных на канальном уровне

  • Прозрачность для приложений и служб прикладного уровня

  • Независимость от транспортного и сетевого уровня (IP, IPX, NetBEUI)

  • Протоколы

    • PPTP (Point-to-Point Tunneling Protocol)-MS

    • L2F (Layer-2 Forwarding) – Cisco Systems

    • L2TP (Layer-2 Tunneling Protocol) – объединенный


PPTP уровне

  • PPTP и L2TP основываются на протоколе Point-to-Point Protocol (PPP) и являются его расширениями

  • PPP - протокол канального уровня, разработан для инкапсуляции данных и их доставки по соединениям типа точка-точка

  • Сначала производится инкапсуляция данных с помощью протокола PPP, затем протоколы PPTP и L2TP выполняют шифрование данных и собственную инкапсуляцию


Структура данных для пересылки по туннелю PPTP

PPTP инкапсулирует PPP-кадр в пакет Generic Routing Encapsulation (GRE протокол)

GRE инкапсулирует протоколы сетевого уровня, например IPX, AppleTalk, DECnet, чтобы обеспечить возможность их передачи по IP-сетям


Установка соединения по туннелю PPTP


Tcp 110
TCP- по туннелю PPTPсоединение, порт 110

Source IP

195.12.90.175

Dest IP

194.226.237.16

Dest Port

110

Source Port

1134


Протокол по туннелю PPTPPOP3


Dns 53
DNS- по туннелю PPTPзапрос, порт 53


Http 80
HTTP- по туннелю PPTPответ, порт 80



Аутентификация пользователей по туннелю PPTPPPTP

  • Extensible Authentication Protocol (EAP),

  • Microsoft Challenge Handshake Authentication Protocol (MSCHAP) версии 1 и 2,

  • Challenge Handshake Authentication Protocol (CHAP),

  • Shiva Password Authentication Protocol (SPAP)

  • Password Authentication Protocol (PAP)

  • Наилучший - MSCHAP версии 2 - взаимная аутентификация клиента и сервера


Microsoft pptp
Варианты аутентификации Microsoft по туннелю PPTPPPTP

  • Текстовый пароль: Клиент передает серверу пароль в открытом виде

  • Хэшированный пароль: Клиент передает серверу хэш пароля

  • Вызов/Отклик: Аутентификация сервера и клиента с использованием протокола MS-CHAP (вызов/отклик)


Mschap
Аутентификация по туннелю PPTPMSCHAP

  • Клиент запрашивает вызов сетевого имени.

  • Сервер возвращает восьмибитовый случайный вызов.

  • Клиент вычисляет хэш-функцию Lan Manager, добавляет пять нулей для создания 21-байтовой строки и делит строку на три семибайтовых ключа. Каждый ключ используется для шифрации вызова, что приводит к появлению 24-разрядного шифрованного значения. Оно возвращается серверу как отклик. Клиент выполняет то же самое с хэш-функцией Windows NT.

  • Сервер ищет значение хэш-функции в своей базе данных, шифрует запрос с помощью хэш-функции и сравнивает его с полученными шифрованными значениями. Если они совпадают, аутентификация заканчивается.


Шифрование в по туннелю PPTPPPTP

  • Версия шифрования DES компании RSA Data Security, получившей название "шифрование двухточечной связи Microsoft" (Microsoft Point-to-Point Encryption - MPPE).

  • Существование секретного ключа, известного обоим участникам соединения

  • Используется поточный шифр RC4 с 40- либо 128-разрядным ключом


Формирование ключа RC4 по туннелю PPTP

  • 40-битовый

    • Генерация определяющего 64-битового ключа из хэш-функции Lan Manager пароля пользователя (известного пользователю и серверу) с помощью SHA.

    • Установка старших 24 бит ключа в значение 0xD1269E

  • 128-битовый

    • Объединение хэша Windows NT и 64-битового случайного значения, выданного сервером при работе по протоколу MS-CHAP. Данное число посылается клиенту по протоколу обмена, потому оно известно и клиенту, и серверу.

    • Генерация определяющего 128-битового ключа из результатов предыдущего этапа с помощью SHA.




Защита на сетевом уровне по туннелю PPTP

  • Протокол SKIP (Simple Key management for Internet Protocol – простое управление ключами для IP-протокола)

  • Разработчик – Sun Microsystems, 1994

  • Аппаратная независимость

  • Прозрачность для приложений

  • Независимость от системы шифрования



Система открытых ключей Диффи-Хеллмана

  • Каждый пользователь системы защиты информации имеет секретный ключ Кс, известный только ему, и открытый ключ Ко.

  • Открытый ключ Ко вычисляется из секретного ключа следующим образом:

  • Ko = gKc mod n,

  • где g и n - некоторые заранее выбранные достаточно длинные простые целые числа.


Протокол SKIP Диффи-Хеллмана

  • Узел I, адресующий свой трафик к узлу J, на основе логики открытых ключей вычисляет разделяемый секрет Kij.

  • Kij = (Koj)Kci mod n = (gKcj)Kci mod n = gKci*Kcj mod n

  • Ключ Kijявляется долговременным разделяемым секретом для любой пары абонентов I и J и не может быть вычислен третьей стороной.

  • Отправитель и получатель пакета могут вычислить разделяемый секрет на основании собственного секретного ключа и открытого ключа партнера:

  • Kij = (Koj)Kci mod n = (Koi)Kcj mod n = Kji



Преимущества Диффи-Хеллмана

  • дополнительная защита разделяемого секрета, так как он используется для шифрования малой части трафика и не даёт вероятному противнику материал для статистического криптоанализа в виде большого количества информации, зашифрованного им;

  • в случае компрометации пакетного ключа ущерб составит лишь небольшая группа пакетов, зашифрованных им.


Дополнительные меры защиты разделяемого секрета

  • Включение параметра (n), используемого для вычисления ключаKijn

  • Для получения Kpприменяется результатхэш-функции (MD5) изKijи n.

  • n – время в часах, отсчитанное от 00 час 00 мин 01.01.95

  • Если n различается более чем на 1 час, то пакет отбрасывается


Skip counter
SKIP counter разделяемого секрета


Конфиденциальность и аутентификация

  • Если применяется режим только аутентификации или только шифрования, заголовки AH и ESP, могут изыматься из пакета.

IP - заголовок протокола IP

  • SKIP - заголовок протокола SKIP

  • AH - аутентификационный заголовок

  • ESP - заголовок, включающий данные об инкапсулированном протоколе

  • Inner protocol - пакет инкапсулируемого протокола.


Проблемы организации аутентификация

  • способа хранения секретных ключей Kc и кэширования разделяемых секретов Kij

  • способа генерации и хранения (в течение относительно короткого времени жизни) пакетных ключей Kp

  • сертификации открытых ключей.


Man in the middle
Атака аутентификация man-in-the-middle

  • Атакующая сторона находится внутри сети, где обмениваются информацией пользователи i и j.

  • Цель атаки - предложить от своего имени пользователю i "поддельный" открытый ключ Koj, а пользователю j -соответственно, ключ Koi.

  • После этого третья сторона может принимать весь шифрованный трафик от одного абонента, расшифровывать, читать, шифровать под другим ключом и передавать другому.


Зашита от атаки аутентификация

  • Распределением открытых ключей должна заниматься заслуживающая доверия сторона и ключи должны сертифицироваться (сопровождаться электронной подписью этой доверительной стороны).

  • Нотариус (Certificate Authority – СА) подписывает не только открытый ключ, но и целый ряд фактической информации, а также информацию о дате выдаче и дате окончания действия его подписи.

  • Центр Сертификации (ЦС)

  • Получившийся документ (файл) называется сертификатом открытого ключа


Сертификат аутентификация

  • Цифровой документ, подтверждающий соответствие между открытым ключом и информацией, идентифицирующей владельца ключа. Он содержит определенную, цифровым образом подписанную информацию о владельце ключа, сведения об открытом ключе, его назначении и области применения, название доверенного центра и т.д.

  • Наиболее распространен формат сертификата, установленный Международным Телекоммуникационным Союзом (ITU Rec. X.509)


X 509
X.509 аутентификация

  • Стандарт X.509 ITU-T - определение формата электронного сертификата и списков отозванных сертификатов (СОС)

    • имя Издателя сертификата;

    • имя Владельца сертификата;

    • открытый ключ Издателя;

    • срок действия открытого (секретного) ключа Издателя и Владельца;

    • дополнения, используемые при верификации цепочек (basicConstraints, nameConstraints);

    • СОС для каждого Издателя (даже если он не содержит отзываемых сертификатов).



X 5092
X.509 аутентификация


X 5093
X.509 аутентификация


Pki public key infrastructure
PKI (public key infrastructure) аутентификация Инфраструктура Открытых Ключей (ИОК)

  • PKI – инфраструктура управления открытыми ключами, состоит из сети нотариусов

Участники взаимодействия должны:

  • Располагать

  • неподдельной копией сертификата СА

  • Автоматически проверять любой

  • сертификат партнера, используя открытый сертификат СА


Двухслойная иерархия СА аутентификация

Иерархический слой СА

  • подписывают свои сертификаты у центрального СА

  • подписывают сертификаты рядовых пользователей своими закрытыми ключами точно так же, как это делал центральный СА


Проверка сертификата удаленного абонента

Пользователь, получив сертификат партнера, выясняет, что его подписал незнакомый ему СА

Он просит партнера предоставить ему сертификат этого СА

Получив сертификат СА, он проверяет его сертификатом центрального СА

В случае успешной проверки он начинает доверять этому СА и проверяет с помощью его сертификата сертификат удаленного пользователя


Методы защиты от атак, используемые SKIP

  • Атаки из сети на сервисы ОС и на прикладные программы, Подключение неавторизованных узлов к сети

    • В защищаемую сеть или компьютер пропускаются пакеты только от владельца разделяемого секрета.

  • Подслушивание

    • Передаваемые пакеты могут быть прочитаны только владельцем разделяемого секрета.


Методы защиты от атак, используемые SKIP

  • Повторение пакетов (replay)

    • В аутентифицирующую часть заголовка SKIP-пакета перед вычислением криптосуммы пакета подставляется, в частности, текущее время.

  • Подмена/маскарад

    • Все пакеты и их адресная информация аутентифицируются и защищаются от подделки криптосуммой по пакету, разделяемому секрету и текущему времени.


Методы защиты от атак, используемые SKIP

  • Перехват сессий

    • В сеть может войти только владелец разделяемого секрета.

  • Man-in-the-middle

    • Подписанные СА сертификаты.

  • Анализ топологии сети

    • Топология сети полностью скрывается туннелированием всех исходящих из сети пакетов.


Методы защиты от атак, используемые SKIP

  • Криптоанализ

    • Практически нереализуем:

      • большая длина пакетных ключей (до 256 бит);

      • частая смена пакетных ключей – через каждые 5-10 IP пакетов;

      • отсутствие данных для криптоанализа разделяемого секрета – он не используется непосредственно для криптообработки.


Методы защиты от атак, используемые SKIP

  • Отказ в обслуживании

  • Нейтрализуется для всех DoS атак, ведущихся на уровне выше чем IP. В сеть пропускаются пакеты только от владельца разделяемого секрета.


Защита от внешних и внутренних атак

  • не могут обнаружить вирусы и атаки типа "отказ в обслуживании"

  • не могут фильтровать данные по различным признакам

  • защита лишь части трафика, например, направленного в удаленный филиал. Остальной трафик (например, к публичным Web-серверам) проходит через VPN-устройство без обработки

  • нет защиты от действий пользователей, имеющих санкционированный доступ в корпоративную сеть


Защита на сетевом уровне атак

  • Протокол IPSec

  • Аутентификация (протокол IKE - Internet Key Exchange)

  • Защита целостности (Заголовок аутентификации AH - Authentication Header)

  • Шифрование (ESP - Encapsulating Security Payload)



Аутентифицирующий заголовок (AH) атак

  • Защита от атак, связанных с несанкционированным изменением содержимого пакета

  • Специальное применение алгоритма MD5:

    • в процессе формирования AH последовательно вычисляется хэш-функция от объединения самого пакета и некоторого предварительно согласованного ключа

    • затем от объединения полученного результата и преобразованного ключа.


Заголовок ESP атак

  • Обеспечение конфиденциальности данных

  • Формат ESP может претерпевать значительные изменения в зависимости от используемых криптографических алгоритмов

  • Любой симметричный алгоритм шифрования


IKE атак

  • IKE – протокол обмена ключами

  • Первоначальный этап установки соединения

  • Способ инициализации защищенного канала

  • Процедуры обмена секретными ключами

  • Методы шифрования


Способы аутентификации атак IKE

  • «Запрос-ответ» с использованием хэш-функции с общим секретным ключом

  • Сертификаты открытых ключей

  • Керберос


Производительность атак

  • Задержки при установлении защищенного соединения

    • Смена ключа – редкое дело

  • Задержки связанные с шифрованием

    • Время зашифрования существенно меньше времени отправки пакетов

  • Задержки, связанные с добавлением нового заголовка

    • Добавляется до 60% трафика



Варианты построения VPN атак

  • Intranet VPN

  • Remote Access VPN

  • Client/Server VPN

  • Extranet VPN


Варианты построения VPN атак

  • Intranet VPN

    • объединение в единую защищенную сеть нескольких распределенных филиалов одной организации, взаимодействующих по открытым каналам связи

  • Remote Access VPN

  • Client/Server VPN

  • Extranet VPN


Варианты построения VPN атак

  • Intranet VPN

  • Remote Access VPN

    • защищенное взаимодействие между сегментом корпоративной сети и одиночным пользователем, не имеющим постоянного IP-адреса

  • Client/Server VPN

  • Extranet VPN


Варианты построения VPN атак

  • Intranet VPN

  • Remote Access VPN

  • Client/Server VPN

    • защита передаваемых данных между двумя узлами (не сетями) корпоративной сети, когда в одной физической необходимо создать несколько логических сетей

  • Extranet VPN


Варианты построения VPN атак

  • Intranet VPN

  • Remote Access VPN

  • Client/Server VPN

  • Extranet VPN

    • для тех сетей, к которым подключаются так называемые пользователи "со стороны", уровень доверия к которым намного ниже, чем к своим сотрудникам


Варианты решений атак

  • VPN на базе сетевых операционных систем (ОС);

  • VPN на базе маршрутизаторов;

  • VPN на базе межсетевых экранов (МЭ);

  • VPN на базе специализированного программного обеспечения


VPN на базе сетевых ОС атак

  • Штатные средства ОС Windows NT/2000/XP (протоколы РРTP и IPSec)

  • Недостаток - ошибки и слабые места существующих версий ОС


VPN на базе маршрутизаторов атак

  • Маршрутизаторы Cisco Systems

  • Совокупность виртуальных защищенных туннелей типа “точка-точка” от одного мартшутизатора к другому

  • Алгоритм DES

  • Требует значительных вычислительных ресурсов на мартшутизаторе


VPN на базе МЭ атак

  • Программные продукты компании CheckPoint Software Technologies – CheckPoint Firewall-1 /VPN-1

    • протокол IPSec, алгоритмы DES, CAST, IDEA, FWZ

  • ФПСУ-IP компании “Амикон”,

  • DataGuard компании “Сигнал-Ком”,

  • комплекс МЭ ЗАСТАВА с модулем построения VPN

    • SKIP


VPN на базе МЭ атак

  • Объединение функций МЭ и VPN шлюза в одной точке под контролем единой системы управления и аудита

  • Недостаток - высокая стоимость в пересчете на одно рабочее место корпоративной сети и достаточно высокие требования к производительности МЭ


VPN на базе СПО атак

  • криптографический комплекс "Шифратор IP-пакетов" (ШИП) производства МО ПНИЭИ

    • отдельное программно-аппаратное устройство (криптошлюз), которое осуществляет шифрование всего исходящего из локальной сети трафика на базе реализации протокола SKIP


VPN на базе СПО атак

  • Линейка программных продуктов "Застава" версии 2.5

    • протокол SKIP1

    • отсутствие встроенных криптоалгоритмов


VPN на базе СПО атак

  • Программный комплекс ViPNet компании «Инфотекс»

Драйвер IP-LIR программного комплекса ViPNet резидентно размеща-ется между уровнем IP и физическим сете-вым уровнем, что обеспечивает максимум защиты сетевых ресурсов и передаваемой информации, а также активное сопротивление попыткам разрушить жизнедеятельность сети.

IP

Telephony

Application Layer

FTP

SMTP

Secure Sockets Layer

S S L

Transport Layer

TCP

UDP

IP (Internet Protocol)

Network Layer

ViPNet Isolation Layer

(IP-LIR driver)

Physical & Data Link Layers




Защита на транспортном уровне атак

  • Протокол SSL (Secure Socket Layer)

    • Netscape Communications, версия 3.0

  • Протокол TLS (Transport Layer Secur)

    • 1999г., версия 1.0

  • Независимость от прикладного уровня, чаще всего для HTTP (режим HTTPS)


Протокол атак SSL

  • Аутентификация сервера (клиента редко)

    • Путем обмена цифровыми сертификатами при установлении сессии

  • Шифрование данных

    • Симметричный сеансовый ключ

    • Обмен симметричными сеансовыми ключами при установлении соединения

    • Сеансовые ключи шифруются при передаче с помощью открытых ключей

  • Целостность данных

    • К сообщению добавляется хеш-код


Этапы установки атак SSL-соединения

  • Установка стандартного TCP-соединения, порт 443


Этапы установки атак SSL-соединения

  • Установка стандартного TCP-соединения, порт 443

  • Сообщение Client-Hello

    • Версия SSL

    • Challenge_Data – случайная последовательность


Этапы установки атак SSL-соединения

  • Установка стандартного TCP-соединения, порт 443

  • Сообщение Client-Hello

  • Сообщение Server-Hello

    • Версия SSL

    • Идентификатор соединения Connection_id

    • Список базовых шифров (протоколов)

    • Сертификат сервера (подписанный открытый ключ)


Этапы установки атак SSL-соединения

  • Установка стандартного TCP-соединения, порт 443

  • Сообщение Client-Hello

  • Сообщение Server-Hello

  • Сообщение Client_Master_Key

    • Передача симметричного ключа, зашифрованного открытым ключом сервера

    • Только сервер может расшифровать симметричный ключ


Этапы установки атак SSL-соединения

  • Установка стандартного TCP-соединения, порт 443

  • Сообщение Client-Hello

  • Сообщение Server-Hello

  • Сообщение Client_Master_Key

  • Сообщение Server-Verify

    • Challenge_Data, зашифрованная симметричным ключом


Этапы установки атак SSL-соединения

  • Установка стандартного TCP-соединения, порт 443

  • Сообщение Client-Hello

  • Сообщение Server-Hello

  • Сообщение Client_Master_Key

  • Сообщение Server-Verify

  • Сообщение Client-Finished

    • Идентификатор соединения Connection_id, зашифрованный клиентом


Этапы установки атак SSL-соединения

  • Установка стандартного TCP-соединения, порт 443

  • Сообщение Client-Hello

  • Сообщение Server-Hello

  • Сообщение Client_Master_Key

  • Сообщение Server-Verify

  • Сообщение Client-Finished

  • Соединение установлено, сервер проверен




Защита на прикладном уровне атак

  • S-HTTP – Secure HTTP

  • Не требует сертификата открытого ключа

  • Режим операции – шифрование или подписывание

  • Криптографические алгоритмы

  • Сертификаты

  • Аутентификация


Инкапсуляция атак HTTP

  • Сообщение S-HTTP состоит из:

    • Строки запроса (с указанием версии протокола)

      • Запрос: Secure * Secure-HTTP/1.1

      • Ответ: Secure-HTTP/1.1 200 ОК

    • Заголовки RFC-822

    • Инкапсулированное содержание


ad