Криптография Режимы шифрования Криптоанализ Сертификаты Брандмауэры Безопасность в беспроводных сетях Конфиденциальность электронной перепискиСтеганография


Информационная безопасность

На уровне передачи данных пакеты, передаваемые по двухточечной линии,

могут кодироваться при передаче в линию и декодироваться при приеме. Все детали этого могут быть известны только уровню передачи данных, причем более высокие уровни могут даже не догадываться о том, что там происходит. Однако такое решение перестает работать в том случае, если пакету нужно преодолеть несколько маршрутизаторов, поскольку при этом пакет придется расшифровывать на каждом маршрутизаторе, что сделает его беззащитным перед атаками внутри маршрутизатора. Кроме того, такой метод не позволит защищать отдельные сеансы, требующие защиты (например, осуществление покупок в интернет-магазинах), и при этом не защищать остальные. Тем не менее, этот метод, называемый шифрованием в канале связи, легко может быть добавлен к любой сети и часто бывает полезен.

На сетевом уровне могут быть установлены брандмауэры, позволяющие отвергать подозрительные пакеты, приходящие извне. К этому же уровню относится IP-защита. 

На транспортном уровне можно зашифровать соединения целиком, от одного конца до другого. Максимальную защиту может обеспечить только такое сквозное шифрование.

Наконец, проблемы аутентификации и обеспечения строго выполнения обязательств могут решаться только на прикладном уровне.

Итак, очевидно, что безопасность в сетях — это вопрос, охватывающий все уровни протоколов, именно поэтому ему посвящена отдельная глава.

Несмотря на то, что эта глава большая, важная и содержит множество технических описаний, в настоящий момент вопрос безопасности в сетях может показаться несколько неуместным. Ведь хорошо известно, что большинство «дыр» в системах безопасности возникают из-за неумелых действий персонала, невнимательного отношения к процедурам защиты информации или недобросовестности самих сотрудников защищаемого объекта. Доля проблем, возникающих из-за преступников-интеллектуалов, прослушивающих линии связи и расшифровывающих полученные данные, сравнительно мала. Посудите сами: человек может прийти в совершенно произвольное отделение банка с найденной на улице магнитной кредитной карточкой, посетовать на то, что он забыл свой PIN-код, а бумажку, на которой он написан, съел, и ему тотчас «напомнят» секретный шифр (чего только не сделаешь ради добрых отношений с клиентами). Ни одна криптографическая система в мире здесь не поможет. В этом смысле книга Росса Андерсона (Anderson, 2001) действительно ошеломляет, так как в ней приводятся сотни примеров того, как системы безопасности в самых различных производственных областях не справлялись со своей задачей. И причинами этих неудач были, мягко говоря, неряшливость в ведении дел или простое пренебрежение элементарными правилами безопасности. Тем не менее, мы оптимистично надеемся на то, что электронная коммерция со временем станет более популярной, компании станут более тщательно производить операции, связанные с защитой информации, и техническая сторона вопроса все же будет превалировать над фактором человеческой невнимательности.

На всех уровнях, за исключением физического, защита информации базируется на принципах криптографии. Поэтому мы начнем изучение систем безопасности с детального рассмотрения основ криптографии. В разделе «Криптография» мы изучим базовые принципы. Далее до раздела «Управление открытыми ключами» будут рассмотрены некоторые классические алгоритмы и структуры данных, применяемые в криптографии. После этого мы свяжем теорию с практикой и посмотрим, как все эти концепции применяются в компьютерных сетях. В конце этой главы будут приведены некоторые мысли, касающиеся технологии и социальных вопросов.

Прежде чем приступить к изложению, позвольте назвать вопросы, о которых не пойдет речь в этой главе. Подбирая материал, мы старались сконцентрировать внимание на вопросах, связанных именно с компьютерными сетями, а не с one- рационными системами или приложениями (хотя провести четкую грань зачастую бывает довольно трудно). Например, ничего не говорится об авторизации пользователя с использованием биометрии, защите паролей, атак, связанных с переполнением буферов, вирусах типа «троянский конь», получении доступа путем обмана, логических бомбах, вирусах, червях и т. п. Обо всем этом очень много говорится в главе 9 книги «Современные операционные системы» (Танен- баум, 2001). Все желающие узнать о вопросах системной защиты могут обратиться к этой книге.


Безопасность в компьютерных сетях