Автор работы: Пользователь скрыл имя, 17 Июля 2013 в 15:30, курсовая работа
Второй способ. IP-спуфинг (spoofing) - возможен, когда злоумышленник, находящийся внутри организации или вне ее выдает себя за санкционированного пользователя. Атаки IP-спуфинга часто являются отправной точкой для других атак. Обычно IP-спуфинг ограничивается вставкой ложной информации или вредоносных команд в обычный поток передаваемых по сети данных.
Третий способ – получение пароля на почту. Атаки для получения паролей можно проводить с помощью целого ряда методов, и хотя входное имя и пароль можно получить при помощи IP-спуфинга и перехвата пакетов, их часто пытаются подобрать путем простого перебора с помощью специальной программы
Введение 6
1 Способы защиты потока данных 9
2 Защита на уровне приложений 10
2.1 Система PGP 10
2.2 Система S/MIME 14
2.3 Формирование объекта envelopedData (упакованные данные) 17
2.4 Формирование объекта signedData (подписанные данные) 18
2.5 Открытое подписанное сообщение 18
2.6 Криптографические алгоритмы 20
3 Протоколы SSL и TLS 22
3.1 Архитектура SSL 22
3.2 Стек протоколов SSL 22
3.3 Протокол записи SSL 22
3.4 Протокол изменения параметров шифрования 24
3.5 Протокол извещения 25
3.6 Протокол квитирования 25
3.7 Создание главного секретного ключа 30
3.8 Генерирование криптографических параметров 31
3.9 TLS и его отличие от SSL 32
4 Защита на уровне IP 34
4.1 Архитектура защиты на уровне IP 34
4.2 Транспортный режим 35
4.3 Туннельный режим 36
4.4 Заголовок аутентификации (AH) 37
4.5 Использование AH в транспортном и туннельном режиме 38
4.6 Протокол ESP 39
4.7 Шифрование и алгоритмы аутентификации 40
4.9 Туннельный режим ESP 41
4.10 Комбинация защищённых связей 42
Список используемой литературы
В транспортном
режиме выполняются следующие
1. В узле источника блок данных, состоящий из концевика ESP и всего сегмента транспортного уровня, шифруется, а открытый текст этого блока заменяется шифрованным текстом, что формирует пакет IP для пересылки. Если выбрана опция аутентификации, то добавляется поле аутентификации.
2. Затем пакет направляется адресату. Каждый промежуточный маршрутизатор должен проверить и обработать заголовок IP, а также все заголовки расширений IP, доступные в нешифрованном виде. Шифрованный текст при этом остается неизменным.
3. Узел
адресата проверяет и
Использование транспортного режима обеспечивает конфиденциальность для любого применяющего этот режим приложения, что позволяет избежать необходимости реализации функций обеспечения конфиденциальности в каждом отдельном приложении. Этот режим достаточно эффективен, а объем добавляемых к пакету IP данных при этом невелик. Недостатком этого режима является то, что при его использовании не исключается возможность анализа трафика пересылаемых пакетов.
4.9 Туннельный режим ESP
Туннельный режим ESP предназначен для шифрования всего пакета IP. Для этого режима заголовок ESP добавляется к пакету как префикс, а затем такой пакет вместе с концевиком ESP шифруются. Данный метод можно использовать, когда требуется исключить возможность атак, построенных на анализе трафика.
Ввиду того что заголовок IP содержит адрес пункта назначения и, возможно, директивы исходной маршрутизации вместе с информацией о параметрах транзита, нельзя просто передать шифрованный пакет IP с добавленным к нему в виде префикса заголовком ESP. Промежуточные маршрутизаторы не смогут обработать такой пакет. Таким образом, необходимо включить весь блок (заголовок ESP, шифрованный текст и данные аутентификации, если они есть) во внешний пакет IP с новым заголовком, который будет содержать достаточно информации для маршрутизации, но не для анализа трафика.
В то время как транспортный режим подходит для защиты соединений между узлами, поддерживающими сервис ESP, туннельный режим оказывается полезным в конфигурации, которая предполагает наличие брандмауэра или иного шлюза защиты, предназначенного для защиты надежной внутренней сети от внешних сетей. В случае с туннельным режимом шифрование используется для обмена только между внешним узлом и шлюзом защиты или между двумя шлюзами защиты. Это разгружает узлы внутренней сети, избавляя их от необходимости шифрования данных, и упрощает процедуру распределения ключей, уменьшая число требуемых ключей. Кроме того, такой подход усложняет проблему анализа потока сообщений, направляемых конкретному адресату.
Рассмотрим случай, когда внешний узел соединяется с узлом внутренней сети, защищенной брандмауэром, и когда ESP используется внешним узлом и брандмауэром. Тогда при пересылке сегмента транспортного уровня от внешнего узла к узлу внутренней сети будут выполнены следующие действия.
1. Источник готовит внутренний пакет IP с указанием адреса пункта назначения, являющегося узлом внутренней сети. К этому пакету в виде префикса добавляется заголовок ESP. Затем пакет и концевик ESP шифруются и к результату могут быть добавлены данные аутентификации. Полученный блок заключается во внешний пакет IP с новым заголовком IP (базовый заголовок плюс необязательные расширения, например параметров маршрутизации и транзита для IPv6), в котором адресом пункта назначения является адрес брандмауэра.
2. Внешний
пакет отправляется
3. Брандмауэр-адресат
проверяет и обрабатывает
4. Внутренний
пакет направляется через
4.10 Комбинация защищённых связей
Отдельная защищенная связь может использовать либо протокол АН, либо ESP, но никак не оба эти протокола одновременно. Тем не менее, иногда конкретный поток обмена данными может требовать и сервиса АН, и сервиса ESP. Кроме того, конкретному потоку обмена данными может понадобиться сервис IPSec для связи между главными узлами и другой сервис для связи между шлюзами защиты, например брандмауэрами. Во всех этих случаях одному потоку для получения всего комплекса услуг IPSec требуется несколько защищенных связей. Здесь вводится понятие пучка защищенных связей (security association bundle), обозначающее набор защищенных связей, посредством которых потоку должно предоставляться необходимое множество услуг IPSec. При этом защищенные связи в пучке могут завершаться в различных конечных точках.
Защищенные связи могут быть объединены в пучки следующими двумя способами:
Транспортная смежность. Применение более одного протокола защиты к одному пакету IP без туннелирования. Этот подход к созданию комбинации АН и ESP оказывается эффективным только для одного уровня вложения: дальнейшие вложения не дают дополнительного выигрыша, поскольку обработка выполняется в одной инстанции — IPsec (конечного) получателя.
Повторное туннелирование. Применение нескольких уровней протоколов защиты с помощью туннелирования IP. Этот подход допускает множество уровней вложения, поскольку туннели могут начинаться и завершаться в разных использующих IPsec узлах сети вдоль маршрута передачи данных.
Эти два подхода можно объединить (например, организовав в части туннельной защищенной связи между шлюзами защиты транспортную защищенную связь между находящимися на пути узлами).
БИБЛИОГРАФИЧЕСКИЙ СПИСОК
1 Вильям Столингс, Криптография и защита сетей: принципы и практика, 2-е издание: пер. с английского – М, : Издательский дом «Вильямс», 2001.
2 Домарев В.В. Защита информации и безопасность компьютерных систем.- К.: Издательство «ДиаСофт», 1999
3 Защита электронной почты. А.Резниченко, Е. Суржиков Издательство "Открытые системы" , 2003
4 Зима В.М., Молдавян А.А., Молдавян Н.А. Безопасность глобальных сетевых технологий.- 2 изд.- СПб.: БХВ-Петербург, 2003
ЗАКЛЮЧЕНИЕ
Исходя из рассмотренных уровней защиты потока данных в Web и архитектуры построения сети на основе стека TCP/IP был произведён обзор стандартов, существующих в настоящее время и обеспечивающих надёжную передачу данных (по e-mail), если используемое нами программное и аппаратное обеспечение поддерживает комплекс требований, изложенных в этих стандартах.
Итак, рекомендуемые меры и средства для защиты электронной переписки:
В этом случае надо использовать средства шифрования прикладного уровня
(S/MIME) или сеансового уровня (IPSec), на котором реализуется шифрование
всего пакета IP (или TCP в зависимости от режима).
КР005809.230100.62.ПЗ |
Лист | |||||
| ||||||
Изм. |
Лист |
№ докум. |
Подп. |
Дата |
КР005809.230100.62 |
Лист | |||||
Изм. |
Лист |
№ докум. |
Подп. |
Дата |
Информация о работе Анализ технологий защиты электронной почты