Сетевая безопасность. Шифрование. Аутентификация, авторизации, аудит

Содержание

Слайд 2


Методы обеспечения информационной безопасности:
технические средства;
«не технические» (юридические, административные);
физические средства защиты.
Различные средства

Методы обеспечения информационной безопасности: технические средства; «не технические» (юридические, административные); физические средства
защиты должны применяться совместно и под централизованным управлением.

Методы обеспечения информационной безопасности

Обеспечение информационной безопасности — это деятельность, направленная на достижение состояния защищенности информационной среды, прогнозирование, предотвращение и смягчение последствий воздействий, результатом которых может явиться нанесение ущерба информации, ее владельцам или поддерживающей инфраструктуре.

Слайд 3

Общие принципы безопасности:
Комплексный подход.
Многоуровневая защита. 
Предоставление сотруднику минимально достаточного уровня привилегий.
Принцип единого контрольно-пропускного

Общие принципы безопасности: Комплексный подход. Многоуровневая защита. Предоставление сотруднику минимально достаточного уровня
пункта (весь входящий и исходящий трафик проходит через единственный узел сети).
Использование только таких средств, которые при отказе переходят в состояние максимальной защиты.
Баланс возможного ущерба от реализации угрозы и затрат на ее предотвращение.

Методы обеспечения информационной безопасности

Слайд 4

Шифрование

Шифрование — это средство обеспечения конфиденциальности данных, хранящихся в памяти компьютера или

Шифрование Шифрование — это средство обеспечения конфиденциальности данных, хранящихся в памяти компьютера
передаваемых по сети.

Пара процедур — шифрование и дешифрирование — называется криптосистемой, предусматривающей наличие секретного ключа.

Классы криптосистем:
Симметричные. Секретный ключ шифрования совпадает с секретным ключом дешифрирования. В
Асимметричные. Открытый ключ шифрования не совпадает с секретным ключом дешифрирования.

Слайд 5

Алгоритм DES
Наиболее популярный симметричный алгоритмом — DES (Data Encryption Standard), разработанный фирмой

Алгоритм DES Наиболее популярный симметричный алгоритмом — DES (Data Encryption Standard), разработанный
IBM.
Открытый текст шифруется блоками по 64 бита.
Алгоритм состоит из 19 этапов:
1) Независимая перестановка 64 разрядов открытого текста.
2-17) 64-разрядный блок делится пополам на левую (Li-1) и правую
(Ri-1) части. Правая часть вычисляется с помощью функции
f(Li-1, Ki), где Li-1 — исходная левая часть:
из 32 разрядов правой части, с помощью фиксированной перестановки и дублирования формируется 48-разрядное число Е;
число Е и ключ Кi- складываются по модулю 2;
выход разделяется на восемь групп по шесть разрядов, каждая из которых преобразуется независимым S-блоком в 4-разрядные группы;
эти 8 • 4 разряда пропускаются через Р- блок.
18) Меняет местами левые и правые 32 разряда.
19) Обратная перестановка.
На каждом из 16 этапов используются различные функции исходного ключа.
Этапы при расшифровке выполняются в обратном порядке.

Шифрование

Слайд 6


Рис. 6.36-2. Стандарт шифрования данных DES: общий вид (а); детализация одного из

Рис. 6.36-2. Стандарт шифрования данных DES: общий вид (а); детализация одного из этапов (б) Шифрование
этапов (б)

Шифрование

Слайд 7

Шифрование Алгоритм DES

Начальная перестановка
Исходный текст T (блок 64 бит) преобразуется c помощью

Шифрование Алгоритм DES Начальная перестановка Исходный текст T (блок 64 бит) преобразуется
начальной перестановки IP которая определяется таблицей:
По таблице первые 3 бита результирующего блока IP(T) после начальной перестановки IP являются битами 58, 50, 42 входного блока Т, а его 3 последние бита являются битами 23, 15, 7 входного

Слайд 8

Циклы шифрования
Полученный после начальной перестановки 64-битовый блок IP(T) участвует в 16-циклах преобразования

Циклы шифрования Полученный после начальной перестановки 64-битовый блок IP(T) участвует в 16-циклах
Фейстеля.
16 циклов преобразования Фейстеля:
Разбить IP(T) на две части L0,R0, где L0,R0 — соответственно 32 старших битов и 32 младших битов блокаT0 IP(T)= L0R0
Пусть Ti − 1 = Li − 1Ri − 1 результат (i-1) итерации, тогда результат i-ой итерации Ti = LiRi определяется:
Li = Ri − 1 Левая половина Li равна правой половине предыдущего вектора Li − 1Ri − 1. А правая половина Ri — это битовое сложение Li − 1 и f(Ri − 1,ki) по модулю 2. В 16-циклах преобразования Фейстеля функция f играет роль шифрования.
Конечная перестановка
Конечная перестановка IP − 1 действует на T16 и используется для восстановления позиции. Она является обратной к перестановке IP. Конечная перестановка определяется таблицей:

Шифрование Алгоритм DES

Слайд 9

Шифрование Алгоритм DES

Конечная таблица перестановок.

Шифрование Алгоритм DES Конечная таблица перестановок.

Слайд 10

При расшифровании данных все действия выполняются в обратном порядке. В 16 циклах

При расшифровании данных все действия выполняются в обратном порядке. В 16 циклах
расшифрования, в отличие от шифрования c помощью прямого преобразования сетью Фейстеля, здесь используется обратное преобразование сетью Фейстеля.
Ri − 1 = Li
Схема расшифрования указана на рисунке справа.
Ключ ki, i=1,…,16, функция f, перестановка IP и IP − 1 такие же как и в процессе шифрования.

Шифрование

Слайд 11

Схема расшифрования

Схема расшифрования

Слайд 12

В 2001 году был разработан стандарт симметричного шифрования AES (Advanced Encryption Standard),

В 2001 году был разработан стандарт симметричного шифрования AES (Advanced Encryption Standard),
в основу которого положен алгоритм Rijndael.
AES обеспечивает лучшую защиту, так как также может работать со 128-, 192- и 256-битными ключами и имеет высокую скорость работы, кодируя за один цикл 128-битный блок в отличие от 64-битного блока DES.
В симметричных алгоритмах главную проблему представляют ключи: например, в системе с n абонентами требуется n х (n - 1)/2 ключей, сгенерированных и распределенных надежным образом.
Несимметричные алгоритмы снимают эту проблему.

Шифрование

Слайд 13

Односторонние функции шифрования
Во многих технологиях безопасности используется шифрование с помощью односторонней функции

Односторонние функции шифрования Во многих технологиях безопасности используется шифрование с помощью односторонней
(хэш-функции, дайджест-функции).
Эта функция дает значение, называемое дайджестом, которое состоит из небольшого и не зависящего от длины шифруемого текста числа байтов (16-20).
Знание дайджеста позволяет проверить целостность данных.
В отличие от контрольной суммы дайджест вычисляется с использованием секретного ключа, известного только отправителю и получателю, т.е. любая модификация исходного сообщения будет обнаружена.
Дайджест может быть использован в качестве электронной подписи для аутентификации передаваемого документа.
Такого рода функции должны удовлетворять двум условиям:
по дайджесту должно быть невозможно вычислить исходное сообщение;
должна отсутствовать возможность вычисления двух разных сообщений, для которых могли быть вычислены одинаковые дайджесты.

Шифрование

Слайд 14


Рис. 6.36-6. Использование односторонних функций шифрования для контроля целостности

Шифрование

Рис. 6.36-6. Использование односторонних функций шифрования для контроля целостности Шифрование

Слайд 15

На рис. 6.36-6, б показан другой вариант использования односторонней функции шифрования для

На рис. 6.36-6, б показан другой вариант использования односторонней функции шифрования для
обеспечения целостности данных. Здесь односторонняя функция не имеет параметра-ключа, но зато применяется не просто к сообщению, а к сообщению, дополненному секретным ключом.
Наиболее популярной в системах безопасности в настоящее время является серия хэш-функций MD2, MD4, MD5. Все они генерируют дайджесты фиксированной длины 16 байт.
Адаптированным вариантом MD4 является американский стандарт SHA, длина дайджеста в котором составляет 20 байт. Компания IBM поддерживает односторонние функции MDC2 и MDC4, основанные на алгоритме шифрования DES.

Шифрование

Слайд 16

Понятие аутентификации

Аутентификация, авторизации, аудит

Аутентификация — это процедура установления подлинности, применимая как

Понятие аутентификации Аутентификация, авторизации, аудит Аутентификация — это процедура установления подлинности, применимая
к людям, так и другим объектам (программам, устройствам, документам).

Доказательства аутентичности:
знание общего для обеих сторон секрета: слова или факта;
владение уникальным предметом, например, электронной магнитной картой;
био- характеристики: рисунок радужной оболочки глаза, отпечатки пальцев.
Для снижения угрозы раскрытия и разгадывания паролей применяют задание максимального и минимального сроков действия пароля, хранение списка уже использованных паролей, управление поведением системы после нескольких неудачных попыток входа и т. п.

Слайд 17

Аутентификация на уровне приложений.
Пользователь, обращающийся к веб-серверу, должен доказать свою легальность и

Аутентификация на уровне приложений. Пользователь, обращающийся к веб-серверу, должен доказать свою легальность
убедиться, что ведет диалог с веб-сервером своего предприятия. То есть пройти процедуру взаимной аутентификации.
При установлении связи между двумя устройствами предусматриваются процедуры взаимной аутентификации устройств на канальном уровне.
Аутентификация данных — доказательство целостности данных и того, что они поступили от того человека.

Аутентификация, авторизации, аудит

Слайд 18

Авторизация доступа
Авторизация — предоставление каждому пользователю именно тех прав, которые ему

Авторизация доступа Авторизация — предоставление каждому пользователю именно тех прав, которые ему
были определены администратором.
Классы правил доступа:
Избирательный. Определенные операции разрешаются или запрещаются пользователям или группам пользователей, явно указанным своими идентификаторами.
Мандатный. Вся информация делится на уровни секретности. Пользователи также делятся на группы в соответствии с уровнем допуска к этой информации. Пользователи более высокого уровня не могут изменить уровень доступности информации для пользователей более низкого уровня.
Системы аутентификации и авторизации могут строиться на базе двух схем:
Централизованная, базирующаяся на сервере. Пользователь логически входит в сеть и получает на все время работы набор разрешений по доступу к ресурсам сети.
Децентрализованная. Средства авторизации работают на каждой машине.

Аутентификация, авторизации, аудит

Слайд 19

Аудит
Аудит — набор процедур мониторинга и учета всех событий, представляющих потенциальную

Аудит Аудит — набор процедур мониторинга и учета всех событий, представляющих потенциальную
угрозу для безопасности системы.
Если кто-то пытается выполнить действия, выбранные системой безопасности для мониторинга, то система аудита пишет сообщение в журнал регистрации, идентифицируя пользователя.
Эта информация позволяет предотвратить повторение атак путем устранения уязвимых мест в системе защиты.

Аутентификация, авторизации, аудит

Слайд 20

Строгая аутентификация на основе многоразового пароля в протоколе CHAP
Протокол аутентификации по квитированию

Строгая аутентификация на основе многоразового пароля в протоколе CHAP Протокол аутентификации по
вызова (Challenge Handshake Authentication Protocol, CHAP) используется, например, при аутентификации удаленных пользователей, подключенных к Интернету по коммутируемому каналу.
При заключении договора клиент получает от провайдера пароль (parol), который хранится в базе данных провайдера в виде дайджеста Z = d(parol).
Аутентификация:
1. Клиент активизирует программу удаленного доступа к серверу провайдера, вводя имя и пароль. Имя («Moscow») передается провайдеру в составе запроса на соединение.
2. Сервер, получив запрос, генерирует псевдослучайное слово-вызов («challenge») и передает его клиенту вместе со значением, идентифицирующем сообщение в рамках данного сеанса (ID), и собственным именем (здесь «Paris»). Это сообщение типа Challenge (вызов).
3. Программа клиента извлекает слово-вызов, добавляет к нему идентификатор и вычисленный локально дайджест Z = d/(parol), вычисляет дайджест Y= d{(ID), challenge,Z} и посылает серверу провайдера в пакете Response (ответ).
4. Сервер сравнивает полученный дайджест Y со значением, которое он получил, локально применив ту же хэш-функцию к компонентам, хранящимся в его памяти.
5. Если результаты совпадают, то аутентификация считается успешной и аутентификатор посылает партнеру пакет Success (успех). В противном случае, Failure (ошибка).

Аутентификация, авторизации, аудит

Слайд 21


Рис. 6.36-7. Аутентификация по протоколу CHAP

Аутентификация, авторизации, аудит

Рис. 6.36-7. Аутентификация по протоколу CHAP Аутентификация, авторизации, аудит

Слайд 22

Аутентификация на основе одноразового пароля
Генерацию одноразовых паролей могут выполнять:
- аппаратные ключи,

Аутентификация на основе одноразового пароля Генерацию одноразовых паролей могут выполнять: - аппаратные
представляющие собой миниатюрные устройства со встроенным микропроцессором, похожие либо на пластиковые карточки, либо на карманные калькуляторы, либо в виде присоединяемого к разъему компьютера устройства.
- программные ключи — программы с генератором одноразовых паролей, размещенная на внешнем носителе.

Аутентификация, авторизации, аудит

Пользователь сообщает системе свой идентификатор и указывает последовательность цифр, сообщаемую ему аппаратным или программным ключом. Затем генерируется новый пароль. Сервер аутентификации проверяет введенную последовательность и разрешает пользователю осуществить логический вход.

Слайд 23

Аутентификация на основе сертификатов
Применяется, когда число пользователей сети (пусть и потенциальных)

Аутентификация на основе сертификатов Применяется, когда число пользователей сети (пусть и потенциальных)
измеряется миллионами.
Сеть не хранит информацию о своих пользователях — они ее предоставляют сами в запросах в виде сертификатов, удостоверяющих личность пользователей.
Сертификаты выдаются специальными уполномоченными организациями — центрами сертификации (Certificate Authority, СА).
Сертификат представляет собой электронную форму, в которой содержится следующая информация:
открытый ключ владельца данного сертификата;
сведения о владельце (имя, адрес электронной почты и т. п.);
наименование организации, выдавшей сертификат;
электронная подпись сертифицирующей организации.

Аутентификация, авторизации, аудит

Слайд 24

Пользователь предъявляет сертификат в двух формах: открытой и зашифрованной с применением своего

Пользователь предъявляет сертификат в двух формах: открытой и зашифрованной с применением своего
закрытого ключа (рис. 6.36-11).
Аутентификатор берет из незашифрованного сертификата открытый ключ и расшифровывает зашифрованный сертификат. Совпадение подтверждает, что предъявитель является владельцем закрытого ключа, соответствующего открытому.
С помощью открытого ключа организации проводится расшифровка ее подписи. Если получается тот же сертификат с тем же именем пользователя и его открытым ключом, значит, он является тем, за кого себя выдает.
Сертификаты можно использовать для предоставления избирательных прав доступа. Для этого в него вводятся дополнительные поля, в которых указывается принадлежность владельцев к той или иной категории пользователей.
Сертифицирующие центры
1) Задачу обеспечения сотрудников сертификатами может взять на себя само предприятие. В этом случае упрощается процедура первичной аутентификации при выдаче сертификата.
2) Независимые центры по выдаче сертификатов (например, сертифицирующий центр компании Verisign).

Аутентификация, авторизации, аудит

Слайд 25

Рис. 6.36-11. Аутентификация пользователей на основе сертификатов

Аутентификация, авторизации, аудит

Рис. 6.36-11. Аутентификация пользователей на основе сертификатов Аутентификация, авторизации, аудит

Слайд 26

Классы сертификатов:
Класс 1. Предоставляют самый низкий уровень полномочий (отправка и получение электронной

Классы сертификатов: Класс 1. Предоставляют самый низкий уровень полномочий (отправка и получение
почты через Интернет)
Класс 2. Дают возможность его владельцу пользоваться внутрикорпоративной электронной почтой и принимать участие в подписных интерактивных службах.
Класс 3. Предоставляют возможности класса 2 плюс возможность участия в электронных банковских операциях, электронных сделках и др.
Класс 4. Используются при выполнении крупных финансовых операций.

Аутентификация, авторизации, аудит

Слайд 27

Аутентификация информации
Аутентификация информации — установление подлинности полученных по сети данных исключительно

Аутентификация информации Аутентификация информации — установление подлинности полученных по сети данных исключительно
на основе информации, содержащейся в полученном сообщении.
Ее цель — защита участников информационного обмена от навязывания ложной информации.
Виды аутентификации информации:
аутентификация хранящихся массивов данных и программ — установление факта того, что данные не подвергались модификации;
аутентификация сообщений — установление подлинности полученного сообщения.

Аутентификация, авторизации, аудит

Слайд 28

Цифровая подпись
Цифровая подпись — методы, позволяющие устанавливать подлинность автора сообщения (документа)

Цифровая подпись Цифровая подпись — методы, позволяющие устанавливать подлинность автора сообщения (документа)
при возникновении спора относительно авторства.
Чаще всего для построения схемы цифровой подписи используются алгоритмы RSA и DES.
DES более эффективен для подтверждения аутентичности больших объемов информации. А для коротких сообщений (платежных поручений, квитанций) лучше подходит алгоритм RSA.

Аутентификация, авторизации, аудит

Слайд 29


Рис. 6.36-14. Обеспечение конфиденциальности документа с цифровой подписью

Аутентификация, авторизации, аудит

Рис. 6.36-14. Обеспечение конфиденциальности документа с цифровой подписью Аутентификация, авторизации, аудит

Слайд 30

Аутентификация программных кодов
Компания Microsoft разработала средства для доказательства аутентичности программных кодов,

Аутентификация программных кодов Компания Microsoft разработала средства для доказательства аутентичности программных кодов,
распространяемых через Интернет. Пользователю важно иметь доказательства, что программа, которую он загрузил с какого-либо сервера, действительно содержит коды, разработанные определенной компанией.
Организация, желающая подтвердить свое авторство на программу, должна встроить в распространяемый код подписывающий блок (рис. 6.36-15).
Этот блок состоит из двух частей: сертификата этой организации и дайджеста, зашифрованного с помощью закрытого ключа организации.

Аутентификация, авторизации, аудит

Слайд 31

Аутентификация, авторизации, аудит

Рис. 6.36-15. Схема получения аутентикода

Аутентификация, авторизации, аудит Рис. 6.36-15. Схема получения аутентикода
Имя файла: Сетевая-безопасность.-Шифрование.-Аутентификация,-авторизации,-аудит.pptx
Количество просмотров: 43
Количество скачиваний: 0