КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
Фильтрация трафика
|
|
|
|
Вступ
Література
Лекція 7. Технології міжмережних екранів
Задачі
Задача 9.1. Рассмотрим систему RSA с (так что) и публичным ключом. Значит, открытый текст шифруется в, где.
Покажите, что любой шифртекст удовлетворяет сравнению. (Совет: используйте теорему Ферма и китайскую теорему об остатках.) Обозначение стоит вместо. Дайте криптоаналитику легкий способ восстановить открытый текст из шифртекста.
Задача 9.2. Проверьте, что система шифрования (или схема подписи) RSA работает правильно, когда сообщение имеет нетривиальный делитель, общий с модулем, т.е. покажите, что
когда или (как всегда, и обозначают публичный и, соответственно, секретный показатели).
Задача 9.3. Рассмотрим криптосистему RSA с модулем и публичным показателем.
a) Докажите, что когда делит, число решений уравнения есть в точности (совет: используйте мультипликативную структуру).
b) Покажите, что каждое решение уравнения является решением уравнения и обратно (воспользуйтесь теоремой Ферма).
c) Докажите, что число решений уравнения дается выражением.
d) Докажите, что число открытых текстов, таких, что (в этом случае шифрование не утаивает сообщение) равно
(Совет: используйте китайскую теорему об остатках.)
[1] В действительности, составное, к которому применим как этот алгоритм, так и другие, может иметь более двух простых делителей.
Навчальні питання
1. Функції міжмережних екранів (МЕ)
2. Особливості функціонування МЕ на різних рівнях моделі OSI
3. Схеми мережного захисту на базі МЕ
1. Шаньгин В.Ф. Информационная безопасность компьютерных систем и сетей: учеб. пособие. - М. ИД "Форум"; ИНФРА-М, 2008. - 416 с.
|
|
|
2. Зима В.М., Молдовян А.А., Молдовян Н.А. Безопасность глобальных сетевых технологий. СПб.: БХВ-Петербург, 2001.
3. Галицкий А.В., Рябко С.Д., Шаньгин В.Ф. Защита информации в сети - анализ технологий и синтез решений. М.: ДМК Пресс, 2004.
4. Столлингс Вильям. Основы защиты сетей. Приложения и стандарты: Пер. с англ. – М.: Издательский дом "Вильямс", 2002. с.386 – 396.
Основным сервисом безопасности ИТС является контроль доступа. Для реализации этого сервиса при межсетевом взаимодействии используют так называемый межсетевой экран.
Межсетевой экран (МЭ) — это специализированный комплекс межсетевой защиты, называемый также брандмауэром или системой firewall. МЭ позволяет разделить общую сеть на две части (или более) и реализовать набор правил, определяющих условия прохождения пакетов с данными через границу из одной части общей сети в другую. Как правило, эта граница проводится между корпоративной (локальной) сетью предприятия и глобальной сетью Internet.
Обычно МЭ защищают внутреннюю сеть предприятия от «вторжений» из глобальной сети Internet, хотя они могут использоваться и для защиты от «нападений» из корпоративной интрасети, к которой подключена локальная сеть предприятия. Технология МЭ одна из самых первых технологий защиты корпоративных сетей от внешних угроз.
Для большинства организаций установка МЭ является необходимым условием обеспечения безопасности внутренней сети.
1. Функції міжмережних екранів (МЕ)
Для противодействия несанкционированному межсетевому доступу МЭ должен располагаться между защищаемой сетью организации, являющейся внутренней, и потенциально враждебной внешней сетью (рис. 1). При этом все взаимодействия между этими сетями должны осуществляться только через МЭ. Организационно МЭ входит в состав защищаемой сети.
Рис. 1. Схема подключения межсетевого экрана (МЭ)
МЭ, защищающий сразу множество узлов внутренней сети, призван решить:
|
|
|
- задачу ограничения доступа внешних (по отношению к защищаемой сети) пользователей к внутренним ресурсам корпоративной сети. К таким пользователям могут быть отнесены партнеры, удаленные пользователи, хакеры и даже сотрудники самой компании, пытающиеся получить доступ к серверам баз данных, защищаемых МЭ;
- задачу разграничения доступа пользователей защищаемой сети к внешним ресурсам. Решение этой задачи позволяет, например, регулировать доступ к серверам, не требующимся для выполнения служебных обязанностей.
До сих пор не существует единой общепризнанной классификации МЭ. Их можно классифицировать, например, по следующим основным признакам.
По функционированию на уровнях модели OSI:
- пакетный фильтр (экранирующий маршрутизатор — screening router);
- шлюз сеансового уровня (экранирующий транспорт);
- прикладной шлюз (application gateway);
- шлюз экспертного уровня (stateful inspection firewall).
По используемой технологии:
- контроль состояния протокола (stateful inspection);
- на основе модулей посредников (proxy).
По исполнению:
- аппаратно-программный;
- программный.
По схеме подключения:
- схема единой защиты сети;
- схема с защищаемым закрытым и не защищаемым открытым сегментами сети;
- схема с раздельной защитой закрытого и открытого сегментов сети.
Фильтрация информационных потоков состоит в их выборочном пропускании через экран, возможно, с выполнением некоторых преобразований. Фильтрация осуществляется на основе набора предварительно загруженных в МЭ правил, соответствующих принятой политике безопасности. Поэтому МЭ удобно представлять как последовательность фильтров, обрабатывающих информационный поток (рис. 2).
Рис. 2. Структура межсетевого экрана
Каждый из фильтров предназначен для интерпретации отдельных правил фильтрации путем:
1) анализа информации по заданным в интерпретируемых правилах критериям, например по адресам получателя и отправителя или по типу приложения, для которого эта информация предназначена;
2) принятия на основе интерпретируемых правил одного из следующих решений:
- не пропустить данные;
- обработать данные от имени получателя и возвратить результат отправителю;
- передать данные на следующий фильтр для продолжения анализа;
|
|
|
- пропустить данные, игнорируя следующие фильтры.
Правила фильтрации могут задавать и дополнительные действия, которые относятся к функциям посредничества, например преобразование данных, регистрация событий и др. Соответственно правила фильтрации определяют перечень условий, по которым осуществляется:
- разрешение или запрещение дальнейшей передачи данных;
- выполнение дополнительных защитных функций.
В качестве критериев анализа информационного потока могут использоваться следующие параметры:
- служебные поля пакетов сообщений, содержащие сетевые адреса, идентификаторы, адреса интерфейсов, номера портов и другие значимые данные;
- непосредственное содержимое пакетов сообщений, проверяемое, например, на наличие компьютерных вирусов;
- внешние характеристики потока информации, например, временные, частотные характеристики, объем данных и т. д.
Используемые критерии анализа зависят от уровней модели OSI, на которых осуществляется фильтрация. В общем случае, чем выше уровень модели OSI, на котором МЭ фильтрует пакеты, тем выше и обеспечиваемый им уровень защиты.
|
|
|
|
|
Дата добавления: 2013-12-12; Просмотров: 429; Нарушение авторских прав?; Мы поможем в написании вашей работы!