Политика за мрежова сигурност – 4

В тази статия ще се опитаме да Ви запознаем с основните параметри на техническите мерки за защита на информацията, предавана през информационните системи и мрежи, а именно: криптиране на файлове, програми за защита на електронната поща, цифрови подписи, защитни стени и проксита.

Криптиране на файлове
Политиката за сигурност на данните във фирмата включва и засекретяване на данните чрез използване на криптографски методи.
Криптирането е процес на преобразуване на данните във форма, трудна за разбиране от другите.
При криптиране на файловете в една компютърна система единствено техният създател ще има достъп до тях. Криптирането използва код или ключ за разбъркване (шифриране) на данните и след това за тяхното подреждане (дешифриране). Разработени са програмни продукти за криптиране на информацията (писма, документи, бази от данни и др.). Те се базират на следните основни криптографски методи: симетрично криптиране и асиметрично криптиране.

Симетрична криптография
Симетричната криптография по-принцип е по-бърза за разгръщане и често се използва за обмен на големи пратки от информация между две групи, които се познават и използват един и същ частен ключ за достъп до информацията.
При криптирането със симетричен ключ, за кодиране и за декодиране на данните се използва един и същи ключ, което предполага определена несигурност от гледна точка на преноса на ключа.

Асиметрична криптография
Асиметричното криптиране представлява комбинация от частен и публичен ключ. Частният ключ е известен само на потребителя, докато публичният, както личи от името му, е обществено достояние. Асиметричната система е много по-сложна и изисква двойка от ключове, които са математически свързани – един публичен и един частен – за да може да се получи достъп до информацията. Този метод често се използва за малки, по-важни пратки от информация или по време на процеса по идентифициране.

Използване на шифриране с публичен ключ и частен ключ
Цифрови подписи
„Цифров подпис” е наложило се в практиката наименование на използването на PKI услуги (Public Key Infrastructure) – услуги с публичен и частен ключ.
Използването на системи за криптиране със секретен ключ може да доведе до много голямо ниво на сигурност. Методът DES (Data Encryption Standard) с достатъчно дълъг ключ се използва за правителствени и военни цели. За целите на обикновените граждани достатъчно ниво на сигурност може да осигури дори криптиращата система на архиватори като WinZip и WinRar. Проблемът при такава криптирана комуникация е в доверието. Тъй като криптиращият ключ е известен и на изпращача и на получателя, и двамата могат да създадат подменено копие на данните, като по никакъв начин не е възможно да се докаже кой е направил подмяната.

Използването на PKI – услуги с публичен ключ решава този проблем. PKI извършва две действия – подписване и криптиране.
За да се подпише цифрово писмо или документ е необходимо изпращачът да притежава електронен подпис. За изпращане на подписано писмо с Outlook Express след създаване на писмото е необходимо да се избере бутона ‘Sign’. След избор на ‘Send’ – операционната система извежда запитване за персоналния идентификационен номер (PIN) и изпраща писмото. Подписването на данните не ги ‘скрива’ от получателите. Всеки може да отвори подписан файл или писмо. Цифровото подписване гарантира:
Автентичност – получателят на съобщението е сигурен, че подписващият е този, за който се представя;
Цялост – съдържанието не е променено или фалшифицирано след поставяне на цифровия подпис;
Неотменимост – цифровият подпис доказва съдържанието, подписалият го не може да го отрече.

Криптирането (Encrypt) от своя страна има за цел да направи съобщението тайна за всички други освен за получателя му. За да се изпраща криптирана електронна поща е необходимо получателят на писмото да има цифров подпис, а не изпращача.
В Република България поставянето на цифрови подписи е регламентирано от Закона за електронния подпис и електронния документ. Комисията за регулиране на съобщенията (КРС) регистрира доставчиците на удостоверителни услуги. Те предлагат Удостоверения за универсален електронен подпис (УУЕП), който има силата на собственоръчно поставен подпис. Останалите цифрови подписи, които се използват (например за целите на електронно банкиране) се наричат „Обикновен електронен подпис” и нямат правна сила. УУЕП се признават от държавната и общинската администрации, включително Националната агенция по приходите (НАП), Националния осигурителен институт (НОИ), Агенцията по вписванията и др.

Сигурност на данните по мрежата
Данните, които пътуват по мрежата могат лесно да бъдат прихванати и прочетени от други потребители. За да се гарантира сигурност на данните, изпращани по мрежата, са разработени отделни програми и протоколи.

IPsec (Internet Protocol security) представлява набор от протоколи за защита на данните, обменяни в мрежа, с помощта на услуги за защита и цифрови сертификати с публични и частни ключове. Той работи в мрежовия слой на OSI модела и реализира сигурност на данните на ниво пакети. IPSec използва два протокола:
• Authentication Header (AH) – осъществява проверка на самоличността на изпращащия IPsec.
• Encapsulating Security Payload (ESP) – гарантира конфиденциалност на самите данни.

SSL (Secure Sockets Layer) е друго средство за гарантиране на сигурността на данните. Той използва криптиране с публичен и частен ключ. Работи в приложния слой на OSI модела.

Програми за защита на електронната поща
При изпращането на писма по електронната поща не се гарантира конфиденциалност. Писмата по време на своето пътуване до получателя преминават през различни сървъри. На всеки от тези сървъри може да бъде направено копие от тях. Затова са разработени програми за защита на електронната поща:
• Pretty Good Privacy
• Kerberos
• Baltimore Mail Secure и др.

Защитни стени и проксита
Важен момент от защитата на една локална мрежа е използването на защитна стена (firewall). Защитната стена се поставя между вътрешната мрежа и външния свят (Фиг. 20-6). Firewall се използва срещу злонамерени атаки от отдалечени компютри. Също така тя позволява да се регламентира и ограничи достъпа на програмите и потребителите в локалната мрежа до Интернет услуги.
Забележка:
Терминът FireWall идва от строителните норми на САЩ и не следва да се превежда дословно. FireWall са защитни, огнеупорни стени, каквито трябва да притежават сградите за възпрепятстване на пожарите. В този смисъл правилният превод е ‘защитна стена’.
локална мрежа, Интернет, firewall

Защитна стена
Защитната стена е програма, която следи за мрежовия трафик в двете посоки – към локалната мрежа и от локалната към външния свят. Защитата може така да бъде конфигурирана, че да позволява пропускането на някои протоколи и услуги и спирането на други. Вариантите за защита могат да бъдат два:
• Разрешаване на всички услуги, с изключение на специално забранените;
• Забрана на всички услуги, с изключение на специално разрешените.
Вторият вариант е за предпочитане. В този случай всички непознати протоколи се отхвърлят.
За изграждане на надеждна защитна стена е необходимо съответната програма – firewall да бъде конфигурирана правилно. Обикновено се въвеждат правила за филтриране на мрежовия трафик.
TCP/IP протоколът в Windows XP позволява филтриране. Могат да се разрешават определени TCP и UDP портове за всички или само за някои мрежови адаптери.

Windows Firewall е вградена в Windows програма ‘Защитна стена’. Тя позволява разрешаване на мрежов достъп на определени програми до зададените портове. Проблем при използване на Windows Firewall е, че някои червеи и „Троянски коне” успяват да я заобиколят и да си конфигурират самостоятелно разрешение за достъп.
На пазара съществуват множество програми от вида ‘Защитна стена’. Те позволяват по-лесно администриране – по примери (By Example). При входящ или изходящ трафик те извеждат съобщение на потребителя, който може да разреши или да забрани действието, да създаде правило за забрана и разрешаване на това действие в бъдеще.

Прокси (Proxy) сървърите до преди няколко години се използваха масово за осигуряване на достъп на няколко компютъра до Интернет с една обща споделена връзка. Днес прокси сървърите продължават да намират приложение, най-вече като сървъри за филтриране на информация. Техните филтри позволяват създаване на списъци със забранените за посещение сайтове, списък на забранените ключови думи, които не могат да се съдържат в адреса (URL) или в текста на страницата, забраняват зареждането на файлове, които представляват риск в сигурността, примерно изпълними файлове, скриптове и други.

NAT /Преобразуване на мрежови адреси/
Преобразуването на мрежови адреси (Network Address Translation – NAT) е метод на споделяне на една интернет връзка за компютрите в локална мрежа. Компютрите използват като DNS сървър и gateway компютъра (или устройството) осигуряващо NAT. В локалната мрежа се използват IP адреси от частното адресно пространство. Тъй като компютрите в локалната мрежа не притежават реални IP адреси, то те са практически недостъпни от Интернет. По този начин NAT работи и като защитна стена.

С това завършваме темата относно основните принципи на политиката за мрежова сигурност и изисквания за правилно използване на компютърните ресурси и намаляването на риска. В следващите броеве на списанието ще разгледаме други важни аспекти на информационната сигурност.

Румен Дончев, брой 7 на Списание Professional