Сетевая безопасность. Стандарты шифрования.

    Термин «сетевая безопасность» относится к технологиям, процессам и политикам, используемым для защиты любых сетей, сетевого трафика и ресурсов, доступных из сети, от кибератак, несанкционированного доступа и потери данных. Проблемы и задачи обеспечения безопасности информации, сохранности информационных ресурсов, охраны разного рода тайн возникли и решались задолго до компьютерной эры. Однако массовая компьютеризация всех сфер жизни, постепенный перевод основных информационных потоков в производстве и управлении в компьютерную форму и в компьютерные технологии обусловили качественные изменения той роли, которую играет безопасность и защита информации.

    Понятие компьютерной безопасности является видовым по отношению к более широкому (родовому) понятию "информационная безопасность", под которой понимается состояние защищенности информационной сферы (предприятия, организации, общества, государства) от внутренних и внешних угроз.

    Для каждой организации (от небольших компаний до крупнейших предприятий и поставщиков услуг) во всех отраслях промышленности требуется обеспечить сетевую безопасность с целью защиты важных ресурсов и инфраструктуры по вновь появляющимся направлениям для сетевых атак.

Понятие сетевой безопасности.

    Подойдем к раскрытию понятия сетевой безопасности, используя примеры.

    При общении по электронной почте клиент посылает приватные сообщения и хочет быть уверенным, что полученное сообщение послано именно отправителем и текст сообщения не поменялся по дороге.

    Злоумышленник может передать вредоносное ПО на компьютер по сети интернет с помощью вируса, червя или Троянского коня. После этого у злоумышленника появляется возможность использования зараженного компьютера для несанкционированных операций.

    Также можно осуществлять электронные покупки. При этом клиент должен платить за вещи и не бояться, что кто-то украдет номер его карточки и электронный магазин должен быть уверен, что покупки совершает именно владелец карточки.

    В этих случаях речь идет о сетевой безопасности. 

    Ее основные аспекты:

• конфиденциальность;
• целостность данных;
• аутентификация;
• доступность.

    Не менее важное значение имеют методы и механизмы инфраструктурного характера, в особенности для обеспечения информационной безопасности в распределенных компьютерных сетях (КС) – контроль и управление программно-технической конфигурацией КС, управление сеансами работы пользователей, управление доступом пользователей с рабочих станций КС, управление (контроль) сетевыми соединениями в КС, управление инфраструктурой сертификатов криптоключей, обеспечивающих механизмы шифрования данных и электронно-цифровой подписи.

    Обязательными для обеспечения информационной безопасности КС, находящими отражение в стандартах защищенности, имеют методы и механизмы обеспечивающего (профилактирующего) характера, среди которых, в первую очередь следует отметить методы протоколирования и аудита событий, методы и механизмы резервирования и архивирования, журнализации процессов изменения данных. Следует также отметить важность механизмов профилактики носителей данных их учета и контроля в организационно-технологическом контуре КС. Кроме того, человеко-машинный характер природы КС как особого инструментария деятельности предопределяет существенное значение для обеспечения информационной безопасности нормативно-организационной регламентации использования (эксплуатации) КС, процедур обучения, нормативно-административного побуждения и принуждения пользователей по вопросам обеспечения безопасности.

Стандарты шифрования.

    Шифрование — обратимое преобразование информации в целях сокрытия от неавторизованных лиц, с предоставлением, в это же время, авторизованным пользователям доступа к ней. Главным образом, шифрование служит задачей соблюдения конфиденциальности передаваемой информации. Важной особенностью любого алгоритма шифрования является использование ключа, который утверждает выбор конкретного преобразования из совокупности возможных для данного алгоритма.

    В целом, шифрование состоит из двух составляющих — зашифрование и расшифрование.

    Wired Equivalent Privacy (WEP) - первый стандарт (ключ: 5 или 13 ASCII-символов) – не является достаточно криптостойким.

    Wi-Fi Protected Access (WPA) – включает протоколы 802.1х, TKIP, MIC и стандарт шифрования AES (Advanced Encryption Standard):

• 802.1х - протокол аутентификации пользователей (нужен спец. RADIUS-сервер);
• TKIP (Temporal Key Integrity Protocol) – динамические ключи шифрования (очень часто меняются);
• MIC (Message Integrity Check) - проверка целостности сообщений (для предотвращения перехвата).

    Любая точка доступа, и тем более беспроводной маршрутизатор, предоставляют в распоряжение пользователей возможность настраивать шифрование сетевого трафика при его передаче по открытой среде. Существует несколько стандартов шифрования, которые поддерживаются точками доступа.

    Первым стандартом, использующимся для шифрования данных в беспроводных сетях, был стандарт WEP (Wired Equivalent Privacy). В соответствии со стандартом WEP шифрование осуществляется с помощью 40- или 104-битного ключа (некоторые модели беспроводного оборудования поддерживают и более длинные ключи), а сам ключ представляет собой набор ASCII-символов длиной 5 (для 40-битного) или 13 (для 104-битного ключа) символов. Набор этих символов переводится в последовательность шестнадцатеричных цифр, которые и являются ключом. Допустимо также вместо набора ASCII-символов напрямую использовать шестнадцатеричные значения (той же длины).

    Как правило, в утилитах настройки беспроводного оборудования указываются не 40- или 104-битные ключи, а 64- или 128-битные. Дело в том, что 40 или 104 бита – это статическая часть ключа, к которой добавляется 24-битный вектор инициализации, необходимый для рандомизации статической части ключа. Вектор инициализации выбирается случайным образом и динамически меняется во время работы. В результате c учётом вектора инициализации общая длина ключа и получается равной 64 (40+24) или 128 (104+24) битам.

    Протокол WEP-шифрования, даже со 128-битным ключом, считается не очень стойким, поэтому в устройствах стандарта 802.11g поддерживается улучшенный алгоритм шифрования WPA – Wi-Fi Protected Access, который включает протоколы 802.1х, EAP, TKIP и MIC.

    Протокол 802.1х — это протокол аутентификации пользователей. Для своей работы данный протокол требует наличия выделенного RADIUS-сервера, которого в домашней сети, естественно, нет. Поэтому воспользоваться данным протоколом в домашних условиях не удастся.

    Протокол TKIP (Temporal Key Integrity Protocol) – это реализация динамических ключей шифрования. Ключи шифрования имеют длину 128 бит и генерируются по сложному алгоритму, а общее количество возможных вариантов ключей достигает сотни миллиардов, и меняются они очень часто.

    Даже не принимая во внимания тот факт что WEP, предшественник WPA, не обладает какими-либо механизмами аутентификации пользователей как таковой, его ненадёжность состоит, прежде всего, в криптографической слабости алгоритма шифрования. Ключевая проблема WEP заключается в использовании слишком похожих ключей для различных пакетов данных.

    TKIP, MIC и 802.1X (части уравнения WPA) внесли свою лепту в усиление шифрования данных сетей, использующих WPA.

    TKIP отвечает за увеличение размера ключа с 40 до 128 бит, а так же за замену одного статического ключа WEP ключами, которые автоматически генерируются и рассылаются сервером аутентификации. Кроме того в TKIP используется специальная иерархия ключей и методология управления ключами, которая убирает излишнюю предсказуемость, которая использовалась для несанкцианированного снятия защиты WEP ключей.

    Сервер аутентификации, после получения серитификата от пользователя, использует 802.1X для генерации уникального базового ключа для сеанса связи. TKIP осуществляет передачу сгенерированного ключа пользователю и точке доступа, после чего выстраивает иерархию ключей плюс систему управления. Для этого используется двусторонний ключ для динамической генерации ключей шифрования данных, которые в свою очередь используются для шифрования каждого пакета данных. Подобная иерархия ключей TKIP заменяет один ключ WEP (статический) на 500 миллиардов возможных ключей, которые будут использованы для шифрования данного пакета данных.

    Другим важным механизмом является проверка целостности сообщений (Message Integrity Check, MIC). Ее используют для предотвращения перехвата пакетов данных, содержание которых может быть изменено, а модифицированный пакет вновь передан по сети. MIC построена на основе мощной математической функции, которая применяется на стороне отправителя и получателя, после чего сравнивается результат. Если проверка показывает на несовпадение результатов вычислений, данные считаются ложными и пакет отбрасывается.

    При этом механизмы шифрования, которые используются для WPA и WPA-PSK, являются идентичными. Единственное отличие WPA-PSK состоит в том, что аутентификация производится с использованием пароля, а не по сертификату пользователя.