Сетевая безопасность

Материал из Вики ИТ мехмата ЮФУ
Перейти к: навигация, поиск

Сетевая безопасность

Виды нарушителей и цели их действия

Студент Прочитать из любопытсва чужие письма
Хакер Проверить на прочность чужую систему безопасность; украсть данные
Торговый агент Притвориться представителем всей Европы, а не только Андорры
Бизнесмен Разведать стратегические торговые планы конкурента
Уволенный сотрудник Отомстить за увольнение
Бухгалтер Украсть деньги компании
Биржевой брокер Не выполнить обещание, данное клиенту по электронной почте
Аферист Украсть номера кредитных карт для продажи
Шпион Узнать военные или производственные секреты противника
Террорист Украсть секреты производства бактериологического оружия


Шифрование данных

Стандарты шифрования

Wired Equivalent Privacy (WEP) - первый стандарт (ключ: 5 или 13 ASCII-символов) – не является достаточно криптостойким.

Wi-Fi Protected Access (WPA) – включает протоколы 802.1х, TKIP, MIC и стандарт шифрования AES (Advanced Encryption Standard):

  • 802.1х - протокол аутентификации пользователей (нужен спец. RADIUS-сервер);
  • TKIP (Temporal Key Integrity Protocol) – динамические ключи шифрования (очень часто меняются);
  • MIC (Message Integrity Check) - проверка целостности сообщений (для предотвращения перехвата).

Любая точка доступа, и тем более беспроводной маршрутизатор, предоставляют в распоряжение пользователей возможность настраивать шифрование сетевого трафика при его передаче по открытой среде. Существует несколько стандартов шифрования, которые поддерживаются точками доступа.

Первым стандартом, использующимся для шифрования данных в беспроводных сетях, был стандарт WEP (Wired Equivalent Privacy). В соответствии со стандартом WEP шифрование осуществляется с помощью 40- или 104-битного ключа (некоторые модели беспроводного оборудования поддерживают и более длинные ключи), а сам ключ представляет собой набор ASCII-символов длиной 5 (для 40-битного) или 13 (для 104-битного ключа) символов. Набор этих символов переводится в последовательность шестнадцатеричных цифр, которые и являются ключом. Допустимо также вместо набора ASCII-символов напрямую использовать шестнадцатеричные значения (той же длины).

Как правило, в утилитах настройки беспроводного оборудования указываются не 40- или 104-битные ключи, а 64- или 128-битные. Дело в том, что 40 или 104 бита – это статическая часть ключа, к которой добавляется 24-битный вектор инициализации, необходимый для рандомизации статической части ключа. Вектор инициализации выбирается случайным образом и динамически меняется во время работы. В результате c учётом вектора инициализации общая длина ключа и получается равной 64 (40+24) или 128 (104+24) битам.

Протокол WEP-шифрования, даже со 128-битным ключом, считается не очень стойким, поэтому в устройствах стандарта 802.11g поддерживается улучшенный алгоритм шифрования WPA – Wi-Fi Protected Access, который включает протоколы 802.1х, EAP, TKIP и MIC.

Протокол 802.1х — это протокол аутентификации пользователей. Для своей работы данный протокол требует наличия выделенного RADIUS-сервера, которого в домашней сети, естественно, нет. Поэтому воспользоваться данным протоколом в домашних условиях не удастся.

Протокол TKIP (Temporal Key Integrity Protocol) – это реализация динамических ключей шифрования. Ключи шифрования имеют длину 128 бит и генерируются по сложному алгоритму, а общее количество возможных вариантов ключей достигает сотни миллиардов, и меняются они очень часто.

Даже не принимая во внимания тот факт что WEP, предшественник WPA, не обладает какими-либо механизмами аутентификации пользователей как таковой, его ненадёжность состоит, прежде всего, в криптографической слабости алгоритма шифрования. Ключевая проблема WEP заключается в использовании слишком похожих ключей для различных пакетов данных.

TKIP, MIC и 802.1X (части уравнения WPA) внесли свою лепту в усиление шифрования данных сетей, использующих WPA.

TKIP отвечает за увеличение размера ключа с 40 до 128 бит, а так же за замену одного статического ключа WEP ключами, которые автоматически генерируются и рассылаются сервером аутентификации. Кроме того в TKIP используется специальная иерархия ключей и методология управления ключами, которая убирает излишнюю предсказуемость, которая использовалась для несанкцианированного снятия защиты WEP ключей.

Сервер аутентификации, после получения серитификата от пользователя, использует 802.1X для генерации уникального базового ключа для сеанса связи. TKIP осуществляет передачу сгенерированного ключа пользователю и точке доступа, после чего выстраивает иерархию ключей плюс систему управления. Для этого используется двусторонний ключ для динамической генерации ключей шифрования данных, которые в свою очередь используются для шифрования каждого пакета данных. Подобная иерархия ключей TKIP заменяет один ключ WEP (статический) на 500 миллиардов возможных ключей, которые будут использованы для шифрования данного пакета данных.

Другим важным механизмом является проверка целостности сообщений (Message Integrity Check, MIC). Ее используют для предотвращения перехвата пакетов данных, содержание которых может быть изменено, а модифицированный пакет вновь передан по сети. MIC построена на основе мощной математической функции, которая применяется на стороне отправителя и получателя, после чего сравнивается результат. Если проверка показывает на несовпадение результатов вычислений, данные считаются ложными и пакет отбрасывается.

При этом механизмы шифрования, которые используются для WPA и WPA-PSK, являются идентичными. Единственное отличие WPA-PSK состоит в том, что аутентификация производится с использованием пароля, а не по сертификату пользователя.

Понятие сетевой безопасности

Подойдем к раскрытию понятия сетевой безопасности, используя примеры.

При общении по электронной почте клиент посылает приватные сообщения и хочет быть уверенным, что полученное сообщение послано именно отправителем и текст сообщения не поменялся по дороге.

Также можно осуществлять электронные покупки. При этом клиент должен платить за вещи и не бояться, что кто-то украдет номер его карточки и электронный магазин должен быть уверен, что покупки совершает именно владелец карточки.

В обоих случаях речь идет о сетевой безопасности. Ее основные аспекты:

  • конфиденциальность;
  • целостность данных;
  • аутентификация;
  • доступность.

Конфиденциальность

Конфиденциальность – только отправитель и получатель должны знать содержимое сообщения.

Целостность данных

Целостность данных – злоумышленник не должен иметь возможность изменить передаваемые данные.

Аутентификация

Аутентификация - установление подлинности пользователя.

Доступность

Доступность – злоумышленник не должен помешать передаче данных.

Угрозы безопасности

  • Сниффинг пакетов (Wireshark, вардрайвинг, спутниковая рыбалка)
  • IP-спуфинг (подмена IP-адреса).
  • Аутентификация (Authentication)
    • Перехват ключа/пароля
    • Подбор (Brute Force) }}
    • Недостаточная аутентификация (Insufficient Authentication)
  • Man-in-the-Middle - «человек посередине»
  • Атаки типа: «отказ в обслуживании»
    • ICMP пакеты длиннее 65 Кб (ping of death) (1996 г.)
    • Лавинные атаки
    • Недостаточное противодействие автоматизации
    • Распределенные атаки (Distributed Denial of Service)
    • SYN-атака: отправка множества запросов (SYN) на установление TCP-соединения
    • Эхо-атака: отправка серии широковещательных ICMP-запросов с IP-адресом отправителя, подмененным на IP жертвы. Ответы – переполнят сеть жертвы.
  • Вирусы
  • Сетевые черви
  • Троянские программы
  • Сетевая разведка
  • Инъекция (SQL, PHP, XPath)
    • Переполнение буфера
    • Атака на функции форматирования строк
    • Выполнение команд ОС
  • Человеческий фактор