Add to collection(s) Add to saved
  1. No category

ограничение доступа в вычислительных сетях с помощью

advertisement 
УДК 004.056:378(06) Проблемы информационной безопасности в системе высшей школы
О.И. БОКОВА, И.О. КУЦЕНКО, Н.С. ХОХЛОВ
Воронежский институт МВД России
ОГРАНИЧЕНИЕ ДОСТУПА В ВЫЧИСЛИТЕЛЬНЫХ СЕТЯХ
С ПОМОЩЬЮ КОММУТАТОРОВ ВЫСОКОГО УРОВНЯ
Способы защиты и ограничения доступа в локальных вычислительных сетях (ЛВС) представляют значительный интерес. Одними из таких
средств являются коммутаторы (switch) - многопортовые разновидности
моста. Коммутатор является обучающимся устройством и держит в своей
памяти таблицу соответствий MAC адресов хостов (компьютеров) и портов, за которыми эти хосты находятся. В соответствии с таблицей MACсоответствий, коммутатор передает трафик от источника к получателю,
пересылая пакеты от источника лишь в тот порт, к которому подключен
получатель. Таким образом, в четырехпортовом коммутаторе 2 пары хостов (компьютеров) могут работать одновременно, не мешая и не слыша
другую пару. Коммутаторы так же поддерживают достаточно высокий
уровень шифрования.
Однако, хотя коммутаторы обеспечивают довольно высокий уровень
защиты, возможность несанкционированного доступа в участке сети между клиентом и коммутатором все же остается. Злоумышленник может перехватить данные (MAC, IP, порт, имя клиента и т.д.) при подключении
клиента к коммутатору, и таким образом получить доступ в сеть, присвоив эти данные себе или подключиться к самому клиенту и через него получить доступ в сеть. Для решения данной проблемы существуют по
крайней мере два способа: установка между клиентом и коммутатором
брандмауэра и скрытие портов (к которым привязываются IP адреса)
между клиентом и коммутатором. Первый способ является более защищенным и дорогостоящим. Если установить брандмауэр между клиентом
и коммутатором, то доступ к сети практически невозможен, так как само
устройство представляет собой Интернет-шлюз со встроенными DHCPсервером, NAT-маршрутизатором, беспроводным узлом доступа стандарта IEEE 802.11b и поддержкой парольного входа. Второй способ осуществляется на программном уровне, соответственно он является более
дешевым. Принцип заключается в маскировке порога, через который
осуществляется обмен данными. Даже если злоумышленник узнает IP –
адрес клиента, через который он будет подключаться, порт ему будет недоступен. Рассмотрим процедуру соединения между клиентом и сервером. На начальной стадии клиент посылает широковещательный SYN
ISBN 5-7262-0636-3. XIII Всероссийская научная конференция
22
УДК 004.056:378(06) Проблемы информационной безопасности в системе высшей школы
запрос на соединение, на что сервер предоставляет IP адрес и порт, к которому нужно подключиться, и одновременно запрашивает данные клиента, клиент предоставляет свои данные (MAC - адрес, IP и т.д.), сервер
подтверждает и происходит регистрация клиента. В случае если порт не
известен злоумышленнику, то сервер отказывает ему в подключении. При
желании можно настроить клиент и сервер, чтоб первый отправлял данные в 1-ом SYN пакете, а второй считал данные из этого SYN пакета. Таким образом, возможно произвести идентификацию клиента (проверку
доступности пользователю данного ресурса) и понизить нагрузку на сеть.
В случае если клиент не прошел идентификацию, то сервер должен послать ему RST. При этом простой порт-сканер не сможет определить реально открытый порт, а специальный сканер уязвимостей не сможет
пройти идентификацию, что позволяет сохранить невидимость. Для
улучшения системы защиты порта можно добавить еще и аутентификацию (проверку пользователя на соответствие).
Пусть соединение осуществляется только при условии, что строка
идентифицирована. Для аутентификации клиента можно использовать
криптографию с открытым ключом. У сервера находится секретный ключ,
которым он зашифровывает строку для идентификации и некоторую случайную последовательность. Получившуюся строку сервер отправляет
клиенту вместе со случайной последовательностью. На стороне клиента
находится публичный ключ, в котором происходит расшифровка строки,
последняя затем разбивается для проверки с внутренней строкой и полученной случайной последовательностью. Таким образом мы снижаем вероятность обнаружения нашего порта - даже если появится специализированный сканер, то порт, через который осуществляется связь между клиентом и сервером,, в трафике не будет видно, как и его реальной строки
для идентификации.
Таким образом, при соответствующем уровне "невидимости" (сокрытие процессов, открытых портов и т.п.) - путем сокрытия порта мы можем
повысить защищенность ЛВС.
ISBN 5-7262-0636-3. XIII Всероссийская научная конференция
23
Related documents
Менеджер по планированию рекламных кампаний
Менеджер по планированию рекламных кампаний
Особенности использования обновления Данная версия программного обеспечения использует для
Особенности использования обновления Данная версия программного обеспечения использует для
Описание программы передачи данных IRServer/
Описание программы передачи данных IRServer/
Факультативная программа «Navigator of the
Факультативная программа «Navigator of the
КОММУНИКАЦИЯ С КЛИЕНТОМ. Целевая аудитория программы
КОММУНИКАЦИЯ С КЛИЕНТОМ. Целевая аудитория программы
Surface Профессиональный ОС Внешний вид Постоянная
Surface Профессиональный ОС Внешний вид Постоянная
Самостоятельная работа Тема. Поиск информации
Самостоятельная работа Тема. Поиск информации
АФИНЫ и материковая часть Греции
АФИНЫ и материковая часть Греции
Download
advertisement