МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РФ ФГБОУ ВПО

МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РФ
ФГБОУ ВПО «СЕВЕРО-КАВКАЗСКИЙ ГОРНО-МЕТАЛЛУРИЧЕСКИЙ ИНСТИТУТ
(ГОСУДАРСТВЕННЫЙ ТЕХНОЛОГИЧЕСКИЙ УНИВЕРСИТЕТ)»
Кафедра «Систем автоматизированного проектирования»
МЕТОДИЧЕСКИЕ УКАЗАНИЯ К ЛАБОРАТОРНЫМ РАБОТАМ
ПО КУРСУ “ ЗАЩИТА ИНФОРМАЦИИ”
для бакалавров по направлению подготовки
230100.62 «Информатика и вычислительная техника»
Составитель: к.т.н., доц. А.В. Калиниченко
Владикавказ, 2014
ББК 73
УДК 004.056.05
Рецензент:
2
доцент каф. алгебры и геометрии Северо-Осетинского государственного
университета им. К.Л. Хетагурова, кандидат физико-математических наук
ГУТНОВА А. К.
Калиниченко Алла Викторовна
Методические указания к выполнению лабораторных работ по дисциплине
«Защита информации» [Электронный ресурс]- Владикавказ, СКГМИ, 2014. –
66 с.
Методические указания предназначены для бакалавров
направлению 230100.62 “Информатика и вычислительная техника”.
по
В методических указаниях рассмотрены вопросы практического
применения методов и средств защиты информации в компьютерных сетях;
способы анализа сетевого трафика, обнаружения сетевых атак;
криптографические методы защиты информации; вопросы применения
межсетевых экранов фильтрации и трафика с помощью ACL-списков
маршрутизатора. Представлены описания программных комплексов и
методики выполнения лабораторных работ.
Подготовлено
кафедрой
«Системы
проектирования» в авторской редакции
автоматизированного
3
Допущено редакционно-издательским советом
Северо-Кавказского горно-металлургического
института (государственного технологического университета)
4
СОДЕРЖАНИЕ
Лабораторная работа №1. Использование автоматизированных средств
поиска уязвимостей информационных систем .................................................... 4
Лабораторная работа № 2. Выявление сетевых атак путем анализа трафика 14
Лабораторная работа № 3. Система gnupg. Создание ключей и шифрование
данных на жестком диске ..................................................................................... 26
Лабораторная работа № 4. Симметричные алгоритмы шифрования .............. 35
Лабораторная работа № 5. Асимметричный алгоритм шифрования RSA ...... 45
Лабораторная работа №6. Инфраструктура открытых ключей. Цифровые
сертификаты. Использование средств защиты электронной почты ................ 51
Лабораторная работа №7. Настройка безопасности маршрутизаторов .......... 58
Литература ............................................................................................................. 84
5
ЛАБОРАТОРНАЯ РАБОТА №1. ИСПОЛЬЗОВАНИЕ
АВТОМАТИЗИРОВАННЫХ СРЕДСТВ ПОИСКА УЯЗВИМОСТЕЙ
ИНФОРМАЦИОННЫХ СИСТЕМ
ЦЕЛЬ
РАБОТЫ:
информационных
продуктов,
Изучить
систем,
ознакомиться
предназначенных
уязвимостей,
методы
ознакомление
для
на
поиска
уязвимостей
с рынком
программных
автоматизированного
практике
с
работой
поиска
сканера
MicrosoftBaselineSecurityAnalyzer.
ТЕОРЕТИЧЕСКИЕ СВЕДЕНИЯ
Уязвимость информационной системы — это любая характеристика
информационной системы, использование которой нарушителем может
привести к реализации угрозы.
Угрозой
информационной
системе
называется
потенциально
возможное событие, действие, процесс или явление, которое может
вызвать нанесение ущерба ресурсам системы.
Классификация уязвимостей по степени риска.
Этот вариант
классификации достаточно условный, однако, если придерживаться взгляда
компании InternetSecuritySystems , можно выделить три уровня риска:
1.
Высокий уровень риска. Уязвимости, позволяющие атакующему
получить непосредственный доступ к узлу с правами суперпользователя, или
в обход межсетевых экранов, или иных средств защиты.
6
2.
Средний уровень риска. Уязвимости, позволяющие атакующему
получить информацию, которая с высокой степенью вероятности позволит
получить доступ к узлу.
3.
Низкий
уровень
риска.
Уязвимости,
позволяющие
злоумышленнику осуществлять сбор критической информации о системе.
Базы
уязвимостей.
Существует
несколько
общеизвестных
баз,
содержащих данные об обнаруженных уязвимостях. Это, например:
www.kb.cert.org/vuls/ — координационный центр CERT/CC
www.iss.net -компания Internet Security Systems (ISS); www.cert.org координационныйцентр CERT;
www.sans.org - институт системного администрирования, сетевых
технологий и защиты;
www.ciac.org - группа реагирования на инциденты в области
компьютерной безопасности;
www.securityfocus.com - информация об обнаруженных уязвимостях с
подробными пояснениями и группой новостей.
Тем не менее, некоторые разработчики сканеров занимаются
собственными
исследованиями
и
имеют
свою
собственную
базу
уязвимостей.
CommonVulnerabilitiesandExposures (CVE) - это список стандартных
названий для общеизвестных уязвимостей. Основное назначение CVE - это
согласование
различных
баз
данных
уязвимостей
и
инструментов,
использующих такие базы данных. Например, одна и та же уязвимость
может иметь различные названия в базе данных InternetScanner и
7
CyberCopScanner. Появление CVE - это результат совместных усилий
известных мировых лидеров в области информационной безопасности.
Процесс получения индекса CVE (CVEentry) начинается с обнаружения
уязвимости. Затем уязвимости присваивается статус кандидата CVE и
соответствующий номер (CVEcandidatenumber). После этого происходит
обсуждение кандидатуры при помощи CVEEditorialBoard и вынесение
решения о получении или неполучении индекса CVE. С кандидатом CVE
ассоциируются
номер,
краткое
описание
и
ссылки.
Номер,
также
называемый именем, состоит из года и уникального индекса, например, CAN
-1999-0067.
После
утверждения
заменяется на «CVE».
кандидатуры
аббревиатура
После получения статуса
«CAN»
CVEentry уязвимости
присваиваются номер, краткое описание и ссылки, например, CVE -19990067. И затем она публикуется на сайте. Зная индекс CVE , можно быстро
найти описание уязвимости и способы её устранения. Например:
CVE-1999-0005. Arbitrary command execution via IMAP buffer overflow in
authenticate command.
Подробнее узнать о CVE и получить список CVEentry можно по адресу:
http://cve.mitre.org/cve.
MicrosoftBaselineSecurityAnalyzer
(MBSA)
-
свободно
распространяемое средство анализа защищенности операционных систем
Windows и ряда программных продуктов компании Microsoft.MBSA
позволяет
обнаружить
основные
уязвимости
и
проверяет
наличие
рекомендованных к установке обновлений системы безопасности. Работать с
программой MBSA можно через графический интерфейс и командную
строку. Интерфейс программы показан на рисунке 1.1.
8
Рисунок 1.1. - Интерфейс программы MBSA
ПОРЯДОК ВЫПОЛНЕНИЯ РАБОТЫ
1. Загрузка и установка MBSA
1.1. Откройте обозреватель и перейдите на веб-страницу MBSA по
адресу: http://technet.microsoft.com/en-us/security/cc184924.aspx. Выберите
ссылку «DownloadMBSA», чтобы загрузить программу.
1.2. В открывшейся странице щелкните кнопку «Download» и выберите
файл для загрузки. (Файл установки на английском языке: MBSASetup-EN.msi
или MBSASetup-х64-EN.msi). Щелкните кнопку «Download» (загрузить) справа
от этого файла.
1.3. По завершении загрузки убедитесь, что все остальные приложения
закрыты. Дважды щелкните загруженный файл. Для запуска программы
установки щелкните «Выполнить», и еще раз щелкните «Выполнить» при
появлении предупреждения системы безопасности. На экране установки
MBSA щелкните «Next» (далее).
9
1.4. Выберите соответствующий переключатель для принятия условий
лицензионного соглашения и щелкните «Next» (далее). По мере выполнения
процесса установки принимайте все параметры по умолчанию, а затем
щелкните «Finish» (готово). На последнем экране программы установки
MBSA щелкните кнопку «OK» и закройте папку, чтобы вернуться к рабочему
столу Windows.
2. Создание сети и настройка узлов
2.1. Подсоедините узел (узлы) к интегрированному маршрутизатору,
концентратору или коммутатору, как показано на схеме топологии,
представленной на рисунке 1.2. Узел Host-А – это тестируемая станция, где
установлено средство MBSA. Сервер можно не использовать.
2.2. Задайте IP-конфигурацию узла (узлов), используя окно "Сетевые
подключения" Windows XP и свойства TCP/IP. Если узел подсоединен к
интегрированному маршрутизатору, настройте его как DHCP-клиент. В
противном случае перейдите к шагу 2.3.
2.3. Если узел подсоединен к концентратору или коммутатору, а DHCPсервер не доступен, настройте его вручную, присвоив ему статический IPадрес.
Рисунок 1.2. – Топология сети
3. Поиск уязвимостей
3.1. Запустите программу MBSA.
10
3.2. Выберите компьютер для выполнения сканирования. Для этого в
левой части экрана щелкните «Pickacomputertoscan» (выберите компьютер
для сканирования). По умолчанию отображается компьютер, на который
установлена программа MBSA.
Укажите для выполнения сканирования
компьютер по умолчанию. Снимите флажки «Check for IIS administrative
vulnerabilities» (поиск уязвимых мест IIS) и «Check for SQL administrative
vulnerabilities» (поиск уязвимых мест SQL), поскольку маловероятно, что эти
услуги установлены на сканируемом компьютере. Щелкните «StartScan»
(начать сканирование). Окно выбора компьютера для сканирования
показано на рисунке 1.3.
Рисунок 1.3. - Интерфейс окна выбора компьютера для сканирования
4. Просмотр результатов поиска обновлений безопасности
4.1. Изучите отчет безопасности. Какие результаты получены в
результате поиска обновлений безопасности? Окно результатов поиска
обновлений безопасности показано на рисунке 1.4.
11
4.2. При наличии красных или желтых символов "X" щелкните «How to
correct this» (как устранить эту проблему). Какое решение предлагается?
Рисунок 1.4. - Интерфейс окна результатов поиска обновлений безопасности
5. Просмотр результатов сканирования Windows в отчете безопасности
5.1. Прокрутите отчет вниз и найдете второй раздел, содержащий результаты
сканирования Windows («Windows Scan Results»).
5.2. Были
ли
найдены
какие-либо
уязвимые
места
системы
административной безопасности?
6. Просмотр результатов сканирования приложений для настольного
компьютера в отчете безопасности
6.1. Прокрутите отчет вниз и найдете последний раздел, содержащий
результаты
сканирования
приложений
для
настольного
компьютера
(«Desktop Applications Scan Results»). Были ли найдены какие-либо уязвимые
места системы административной безопасности?
12
Контрольные вопросы
1.
Как могут быть классифицированы уязвимости по уровню риска?
2.
Как могут быть классифицированы уязвимости по этапам
жизненного цикла информационной системы?
3.
Какие сканеры уязвимостей вам известны?
4.
Каковы основные возможности сканеров уязвимостей?
5.
Какие методы борьбы с уязвимостями вы знаете?
13
ЛАБОРАТОРНАЯ РАБОТА № 2. ВЫЯВЛЕНИЕ СЕТЕВЫХ АТАК ПУТЕМ АНАЛИЗА
ТРАФИКА
ЦЕЛЬ
РАБОТЫ:
Изучить
способы
и
средства
тестирования
информационной безопасности серверов (наличие открытых портов TCP/IP и
возможность
подключения
к
ним
без
авторизации)
с
помощью
общедоступных утилит.
ТЕОРЕТИЧЕСКИЕ СВЕДЕНИЯ
Стандартные
сетевые
атаки
производятся
в
три
этапа:
сбор
информации, выявление уязвимых мест атакуемой системы и реализация
выбранной атаки. Этап сбора информации заключается в изучении
сетевой
топологии атакуемой сети, определении типа и версии
операционной системы атакуемого узла, выявлении доступных сетевых и
иных сервисов, функционирующих на атакуемом узле.
Этап выявления уязвимых мест атакуемой системы осуществляется
после или параллельно с этапом сбора информации. Его суть заключается в
выяснении версий используемого на атакуемом узле сетевого ПО,
выявлении его конфигурации
и
в
анализе
наличия
уязвимостей
в
указанном ПО и его настройках.
Этап реализации атаки — это либо отправка определенных
последовательностей сетевых пакетов на определенные сетевые службы,
приводящая к неработоспособности узла, либо выполнение каких-либо
запросов к сетевым службам удаленного узла, результатом которых будет
получение доступа к защищаемой информации.
14
В целом первые два этапа не могут быть классифицированы как
преступление.
Компьютерными
сетевыми
преступлениями
являются
предусмотренные уголовным законодательством общественно опасные
деяния,
совершенные
на
основе
удаленного
доступа
к
объекту
посягательства с использованием глобальных компьютерных сетей в
качестве
основного
средства
достижения
цели.
Таким
образом,
компьютерным преступлением является лишь третий этап — реализация
атаки.
Вместе с тем выполнение третьего этапа практически невозможно
без проведения двух первых этапов атаки. Следовательно, защите должны
подлежать и информация о сетевой топологии, и перечень доступных
сервисов, и версии программного обеспечения, и т. п.
Общеизвестные порты. Для обеспечения доступа извне к службам
серверов наиболее часто используются следующиепортыTCP/IP:
Таблица 2.1. Порты TCP/IP
Порт/Протокол
Описание
20/TCP
протокол FTP — данные
21/TCP
протокол FTP — команды
22/TCP,UDP
протокол SSH (SecureSHell) —
безопасного входа в систему
23/TCP,UDP
протокол Telnet — применяется для передачи
текстовых сообщений в незашифрованном виде, то же,
что и консоль терминала. Используется, в частности,
общеизвестной
программой
Гипертерминал
(HyperTerminal) для Windows и в настоящее время
применяется
для
15
Порт/Протокол
Описание
считается устаревшим и небезопасным
25/TCP,UDP
протокол SMTP (Simple Mail TransferProtocol) —
используется для пересылки почтовых сообщений
между серверами. Сообщения отправляются в виде
простого незашифрованного текста
80/TCP,UDP
HypertextTransferProtocol (HTTP)
110/TCP
PostOfficeProtocol 3 (POP3)
137/TCP,UDP
NetBIOSNetBIOSNameService
139/TCP,UDP
NetBIOSNetBIOSSessionService
143/TCP,UDP
InternetMessageAccessProtocol (IMAP) — используется
для получения, организации и синхронизации
сообщений e-mail
161/TCP,UDP
Simple Network Management Protocol (SNMP)
443/TCP
HTTP поверх TLS/SSL (HTTPS)
445/TCP
ActiveDirectory, Windowsshares
631/TCP,UDP
InternetPrintingProtocol (IPP)
Подключение
к
этим
службам
производится
с
помощью
соответствующих клиентских приложений, однако доступность служб может
быть протестирована соответствующими утилитами.
Утилиты. Существует ряд программ, входящих в состав большинства
операционных систем и позволяющих тестировать и использовать протоколы
TCP/IP.
16
ping - утилита для проверки соединений в сетях на основе TCP/IP, а
также обиходное наименование самого запроса. Утилита отправляет
запросы (ICMP Echo-Request) протокола ICMP указанному узлу сети и
фиксирует поступающие ответы (ICMP Echo-Reply). Время между отправкой
запроса и получением ответа позволяет определять двусторонние задержки
по маршруту и частоту потери пакетов, то есть косвенно определять
загруженность на каналах передачи данных и промежуточных устройствах.
Traceroute
-
это
служебная
компьютерная
программа,
предназначенная для определения маршрутов следования данных в сетях
TCP/IP.Traceroute может использовать разные протоколы передачи данных в
зависимости
от
операционной
системы
устройства.
В
системах
MicrosoftWindows эта программа носит название tracert, а в системах
GNU/Linux, Cisco IOS и Mac OS — traceroute. Единственный обязательный
параметр - имя целевого узла или IP-адрес. Данная утилита осуществляет
трассировку маршрута, посылая серию обычных IP-пакетов в конечную точку
изучаемого маршрута.
Netstat - собирает различную информацию о состоянии сетевого
программного обеспечения, включая статистику сетевых интерфейсов,
данные о маршрутизации и таблицу соединений.netstat поддерживает
множество опций для отображения активных и пассивных соединений.
Опции -t, -u, -w и -x показывают активные TCP, UDP, RAW или UNIX
соединения. Если задать параметр -a, показываются сокеты, которые ждут
соединения (то есть, слушают сеть). Это даст список всех служб, которые
сейчас работают в системе.
Telnet – используется для подключения к определённому порту хоста:
>telnet<hostname>[port]
17
Это может быть довольно удобным в случае, когда нужно быстро
протестировать определённую службу, имея при этом полный контроль над
командами, и получить полный отчёт о том, что происходит. Таким способом
можно в интерактивном режиме протестировать или использовать сервер
SMTP, POP3, HTTP и т.п.
Tcpdump - выводит заголовки пакетов, проходящих через сетевой интерфейс,
которые совпадают с булевым выражением. В любом случае, tcpdumpбудут
обработаны только те пакеты, которые совпадают с выражением.
Сетевые сканеры. Задача изучения сетевой топологии заключается в
выявлении сетевых узлов, присутствующих в заданном диапазоне адресов.
При этом распространенные сетевые сканеры, такие как nmap, netcat,
CommView, InterNetView, решают данную задачу чаще всего путем ICMPсканирования.
Протокол ICMP используется для определения доступности сетевых
узлов. Стандартной программой, применяющей протокол ICMP, является
утилита ping. Функционирование утилиты ping сводится к отправке на
тестируемый узел запроса и получению ответа. Отправляемый запрос
называется ICMP-запросом (тип
пакета ECHO_REQUEST), а
получаемый
ответ — ICMP-ответом (тип пакета ECHO_REPLY).
Так, если на компьютере под управлением, например, ОС Windows с IPадресом
192.168.200.1 производится
выполнение
команды
ping
192.168.200.2 с целью тестирования доступности узла с IP-адресом
192.168.200.1, то в сети можно наблюдать четыре последовательно
18
передаваемые пары сообщений: исходящий ICMP-запрос (тип ICMP-пакета
— 0х08, Echo) и входящий ICMP-ответ (тип ICMP-пакета — 0х00, Echo-Reply).
Аналогичные пакеты имеют место при сканировании, которое
производится, например, сканером InterNetView. Единственным отличием
является то, что вместо четырех последовательных пар пакетов в трафике
присутствует только одна пара: ICMP-запрос и ICMP-ответ.
В общем случае единичный входящий ICMP-запрос не является
атакой — это лишь стандартное средство проверки доступности узла.
Последовательное выполнение ICMP-запросов с перебором адресов из
определенного диапазона уже можно рассматривать как атаку. Вместе с тем,
если защищаемая сеть является «клиентской сетью», т. е. не содержит
серверов, предоставляющих сетевые услуги, то входящие в эту сеть ICMPзапросы также должны рассматриваться как атака.
Для усложнения процесса выявления атаки перебор адресов может
вестись не последовательно, а в псевдослучайном порядке.
При выполнении стандартного ICMP-запроса в ОС Windows происходит
обмен стандартной текстовой строкой длиной 32 байта. Обычно данная
строка представляет собой 26 букв английского алфавита, дополненных
шестью дополнительными символами. Вместе с тем объем передаваемых
данных может быть существенно увеличен (до 65 535 байт) с целью
передачи не стандартной последовательности, а некоторой специально
подготовленной команды или текста. В этом случае проявлением атаки могут
быть исходящие ICMP-ответы,
в
которых
может
быть
передана
защищаемая информация.
19
Кроме того, по получаемому ICMP-ответу, а именно по коду ICMPпакета, злоумышленник может определить тип операционной системы
тестируемого узла с целью конкретизации дальнейшей атаки.
Таким образом, в случае ICMP-пакетов атакой будем считать входящие
ICMP-запросы и исходящие ICMP-ответы.
Обнаружение доступных сетевых служб. Выше
была
описана
технология выявления сетевых узлов путем установки TCP-соединения.
Аналогичная технология используется, когда заранее известно, что узел в
сети присутствует, но необходимо получить информацию о доступных
сетевых службах, т. е. выполнить сканирование портов сетевого узла. В этом
случае последовательно осуществляются попытки подключения к сетевым
портам в определенном диапазоне.
Чаще всего применяются не подряд все номера портов, а только те из
них,
которые
наиболее
интересны
злоумышленникам
с
целью
дальнейшего проникновения. В ряде случаев перечень номеров портов
может быть сформирован злоумышленниками на основе полученной
ранее по коду ICMP-ответа информации о типе операционной системы.
В случае TCP-пакетов атакой будем считать все попытки установки TCPсоединения, инициируемые извне. Заметим, что мы рассмотрели только
классический
способ TCP-сканирования, известный как сканирование
методом Connect(), когда устанавливается полное TCP-соединение. Вместе с
тем известны более изощренные методы,
позволяющие
процесс
сканирования осуществлять скрытно: SYN-сканирование, FIN-сканирование,
ACK-сканирование, XMAS-сканирование, NULL-сканирование. Соответственно
известны утилиты, позволяющие автоматизировать указанные методы.
Коротко опишем эти методы.
20
Метод сканирования TCP-портов системным вызовом Connect()
является основным для сканирования портов по протоколу TCP. Функция
Connect() позволяет атакующему узлу соединиться с любым портом сервера.
Если порт, указанный в качестве параметра функции, прослушивается
сервером (т. е. порт открыт для соединения), то результатом выполнения
функции будет установление соединения с сервером по указанному порту. В
противном случае, если соединение не установлено, то порт с указанным
номером
является
обнаруживаемым
закрытым.
благодаря
Метод
наличию
Connect()
является
многочисленных
легко
попыток
подключения с одного адреса и ошибок установления соединения
(поскольку атакующий узел после соединения с сервером сразу обрывает
его).
Метод сканирования TCP-портов флагом SYN известен еще как
«сканирование с установлением наполовину открытого соединения»
поскольку установление полного TCP-соединения не производится. Вместо
этого атакующий отправляет на определенный порт сервера SYN-пакет,
как бы намереваясь создать соединение, и ожидает ответ. Наличие в ответе
флагов SYN|ACK означает, что порт открыт и прослушивается сервером.
Получение в ответ TCP-пакета с флагом RST означает, что порт закрыт и не
прослушивается. В случае приема SYN|ACK-пакета узел немедленно
отправляет RST-пакет для сброса устанавливаемого сервером соединения.
Метод сканирования TCP-портов флагом FIN известен по-другому как
«обратное стелс-сканирование с использованием флага FIN». Идея метода
заключается в том, что согласно RFC 793 на прибывший FIN-пакет на
закрытый порт
сервер
должен
ответить RST-пакетом. FIN-пакеты
на
открытые порты игнорируются объектом сканирования.
21
Метод
сканирования TCP-портов
флагом ACK похож
на FIN-
сканирование, известен по-другому как «обратное стелс-сканирование с
использованием флага ACK». Идея метода заключается в том, что согласно
RFC 793 на прибывший ACK-пакет на закрытый порт сервер должен ответить
RST-пакетом. ACK-пакеты на открытые порты игнорируются объектом
сканирования.
Методы сканирования XMAS («Новогодняя елка») и NULL заключаются
в отправке на сервер TCP-пакета с установленными всеми флагами (XMAS)
либо со всеми сброшенными флагами (NULL). В соответствии с RFC 793 на
прибывший пакет с данными значениями флагов на закрытый порт
сервер должен ответить RST-пакетом. Такие пакеты на открытые порты
игнорируются объектом сканирования.
Указанные выше методы сканирования позволяют злоумышленнику
выяснить
наличие
открытых TCP-портов
на
атакуемом
узле.
Для
обнаружения открытых UDP-портов применяется иной подход.
Выполнить анализ открытых UDP-портов злоумышленнику несколько
сложнее, чем TCP-портов. Причина в том, что в отличие от протокола TCP,
UDP является протоколом с негарантированной доставкой данных. Поэтому
UDP-порт не посылает подтверждение приема запроса на установление
соединения, и нет никакой гарантии, что отправленные UDP-порту данные
успешно дойдут до него. Тем не менее большинство серверов в ответ на
пакет, прибывший на закрытый UDP-порт, отправляют ICMP-сообщение
«Порт недоступен» (PortUnreachable — PU). Таким образом, если в ответ
на UDP-пакет пришло ICMP-сообщение PU, то сканируемый порт является
закрытым, в противном случае (при отсутствии PU) порт открыт. Обычно
сканеры
работают
следующим
образом:
на
тестируемый
порт
22
отправляется UDP-пакет, состоящий, например, из 18 нулей. Если
соответствующий порт открыт, то в ответ тестируемый компьютер может
либо ничего не отправить, либо отправить ответный UDP-пакет. В этом
случае сканер делает вывод о том, что порт открыт. Если же порт закрыт, то
тестируемый компьютер должен ответить ICMP-сообщением с кодом 0х03
(PortUnreachable). Получив такое сообщение, сканер сделает вывод о
закрытости данной службы.
Для UDP-протокола нет четкого понятия, кто является инициатором
пакета.
Так,
исходящий
UDP-запрос
на
любую
службу,
очевидно,
предполагает входящий UDP-ответ. Вместе с тем любой UDP-пакет с равной
вероятностью может быть и входящим UDP-ответом, и исходящим UDPзапросом. Следовательно, в отличие от протокола TCP здесь нельзя четко
разделить входящие и исходящие UDP-пакеты. Единственным критерием,
который позволяет идентифицировать входящие UDP-пакеты как атаку,
является последовательность пакетов, отправляемая на различные UDPпорты. При этом порт отправителя вероятнее всего будет в «клиентском»
диапазоне — больше 1024.
ПОРЯДОК ВЫПОЛНЕНИЯ РАБОТЫ
1. Исследование сетевой топологии
1.1. Определите настройки протокола TCP/IP командой ipconfig из
командной строки.
1.2. Установите и запустите средство анализа сетевого трафика Wireshark.
23
1.3. Выполните команду ping *.*.*.* для обнаружения в сети соседнего
компьютера.
1.4. Осуществите просмотр трафика. В полученных сетевых пакетах
убедитесь в наличии полей «источник», «приемник», «тип протокола».
1.5. Найдите пакет, источником которого является ваш компьютер, тип
протокола — ICMP, описание — Echo. Откройте подробное описание данного
пакета. Найдите тип пакета и отправляемые данные
1.6. Найдите ответный пакет (приемник — ваш компьютер, тип
протокола — ICMP, описание — EchoReply). Откройте подробное описание
данного пакета. Сколько и каких символов отправляется в ответ? Сколько раз
осуществляется обмен ICMP-пакетами? Как представлены в IP-пакетах IPадреса приемника и источника?
2. Обнаружение доступных сетевых служб
2.1. Запустите программу-сканер портов nmap.
2.2. Осуществите захват сетевого трафика.
2.3. Выполните
компьютера
сканирование TCP- и UDP- портов
соседнего
в диапазоне от 130 до 140, последовательно выполняя
сканирование различными методами: Connect(), SYN-сканированием, FINсканированием,
ACK-сканированием,
XMAS-сканированием,
NULL-
сканированием, UDP-сканированием.
2.4. Проанализируйте полученный трафик. Найдите отличительные
признаки
каждого
метода
сканирования.
Сформулируйте
признаки
подобных атак.
2.5. Сделайте вывод о возможности блокирования данных атак.
24
Контрольные вопросы
1.
Какую информацию о сервере предоставляет утилита ping?
2.
Как определить список открытых портов в локальной операционной
системе?
3.
Каковы способы определения типа операционной системы сервера?
4.
Какие утилиты и программы-клиенты применялись для подключения к
обнаруженным службам?
5.
Назначение и применение утилиты tcpdump.
6.
Параметры утилиты tcpdump.
25
ЛАБОРАТОРНАЯ РАБОТА № 3. СИСТЕМА GnuPG. СОЗДАНИЕ КЛЮЧЕЙ И
ШИФРОВАНИЕ ДАННЫХ НА ЖЕСТКОМ ДИСКЕ
ЦЕЛЬ РАБОТЫ: Освоение средств программной системы GnuPG,
предназначенных дляшифрования конфиденциальных ресурсов.
ТЕОРЕТИЧЕСКИЕ СВЕДЕНИЯ
GnuPG (GNU Privacy Guard)- это свободный некоммерческий аналог
PGP. GnuPG консольная утилита и работает с командной строки. Основные
команды GnuPGВ (весь список команд доступен при помощи команды gpg –
help):
--gen-key – создание новой пары ключей. Команда –edit-key позволяет в
последствии изменить параметры ключа.
--sign – создает подпись для указанных файлов, используя ключ (если не
введен его идентификатор, использует ключ по-умолчанию). --detachsign создаст подпись в отдельном файле, иначе создается совмещенная
подпись.
--encrypt – указывает на то, что данные надо зашифровать. Если применяется
совместно с –-sign то данные одновременно подписываются.
--symmetric – можно применять когда просто надо зашифровать файл
(используется симметричный алгоритм, но можно выбрать алгоритм
командой --cipher-algo).
--decrypt – расшифровывает указанные файлы и сохраняет результат в файл
(если указан) или выводит в консоль. Если файлы содержат подпись, она
также проверяется.
26
--verify – проверяет подписи для указанных файлов, не выводя содержимого
файла.
--list-keys – выводит список всех открытых ключей. Команда --list-secret-keys
показывает ваши секретные ключи.
--delete-key – удаляет открытый ключ из списка. --delete-secret-key удаляет
секретный ключ (например, он скомпрометирован или окончился срок
действия)
--export (--import) –
экспорт/импорт
ваших
ключей,
например,
для
резервирования или переноса на другой компьютер. По умолчанию ключи в
бинарном виде, для получения их в ASCI-виде укажите параметр –armor.
Для упрощения работы разработаны графические оболочки, например
GnuPG под Windows (http://www.gpg4win.org/download.html).
ПОРЯДОК ВЫПОЛНЕНИЯ РАБОТЫ
1. Генерация ключей
После установки GnuPG, необходимо создать пару ключей (открытый и
закрытый). В каждой паре ключей её открытый и закрытый ключ неразрывно
связаны. Открытый ключ используется для зашифрования сообщения,
расшифровать которое может только владелец соответствующего закрытого
ключа.
1.1. Запустите графическую оболочку GnuPG. На рисунке 3.1. показана
графическая оболочка (Kleopatra), которая входит в Windows-версию GnuPG.
1.2. Для создания пары ключей выберите пункт меню File -> New
Sertificate…, появится окно, показанное на рисунке 3.2.
27
.
Рисунок 3.1. - Графическая оболочкаGnuPG
1.3. Заполните информацию о владельце ключа (имя и e-mail).
Нажмите кнопку «Next» для перехода к следующему окну, в котором можно
окончательно убедиться в верности введенных данных.
1.4. Нажмите кнопку «Createkey» для создания ключа. После этого
будет предложено ввести пароль для шифрования закрытого ключа, чтобы
он не хранился в явном виде.
28
Рисунок 3.2. – Окно генерации ключей
2. Обмен ключами
2.1. Укажите нужный сертификат из списка и выберите пункт меню File
-> Export Sertificates. Программа предложит сохранить файл с расширением
asc. Сохраните его. В результате будет создан текстовый файл, содержащий
текст следующего вида:
——BEGIN PGP PUBLIC KEY BLOCK——
Version: GnuPG v2.0.17 (MingW32)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Hagr7B+bJw6pl1aFwP+5hXivqIOrJv4ASUuJ+LfMxP9tR2aNNH5vrjqWTacQabQg
JAAC3L4PFyQDaYBbb98CWfqJMxPUAehIPdmmy5dfoNI3CHwuPM9GMiZlvbHdxI4n
OuvvG5/vzYLpDi5gjFdRQs6vg9iT1JoLHDXFKGCOxOTsUrhcZWXgo++T0j0PIemi
dE695QhV79vqxpSufKDtzSsoT7UfPTCtDmBmia1sSbcgS56XM1+Ijw90PyFJ0rG7
vmIAuQ5cHJ/p40APHOpR4STGl+NLymMnivzcutsYyhNaoboUtA===ctUV
——END PGP PUBLIC KEY BLOCK——
2.2. Выполните одно из следующих действий:
- перешлите файлс расширением asc другому абоненту;
- пошлите текст ключа, добавив его в текст электронной почты, при этом
сохранив шапку
——BEGIN PGP PUBLIC KEY BLOCK——
иподвал
——END PGP PUBLIC KEY BLOCK——.
2.3. Получатель вашего открытогоключа должен добавить его в список
сертификатов. Для этого программе он должен выбрать пункт меню File ->
Import Sertificates… и указать файл asc.
2.4. Получатель вашего открытогоключадолжен отправить свой
открытый ключ, после чего вам следует добавить полученный сертификат в
список сертификатов.
3. Шифрование
30
3.1. Создайте файл с сообщением (например, letter.txt). Затем
выберите пункт меню File -> Sign/Encrypt Files… и укажите файл с
сообщением, после чего откроется окно, представленное на рисунке 3.3.
3.2. В
представленном
окне
выберите
действия,
которые
нужновыполнить с файлом: зашифровать (Encrypt, выбрано по умолчанию),
подписать файл (Sign), или сделать и то, и другое (Sign and Encrypt). Если
установить галку Text output (ASCII armor), то в результате шифрования будет
создан не бинарный файл, а текстовый, содержимое из которого можно
вставить, например, в текст письма. Если установить галку Remove
unencrypted original file when done, то после шифрования исходный файл
будет удален.Только для шифрования нужно выбрать пункт Encrypt.
3.3. Выберите сертификатабонента, для которого предназначено
сообщение. Окно выбора сертификата абонента показано на рисунке 3.4.
31
Рисунок 3.3. – Окно зашифрования файла
32
Рисунок 3.4. – Окно выбора сертификата абонента
3.4. Нажмите
кнопку Encrypt,
после
чего
произойдетзашифрование
сообщения.
3.5. Отправьте зашифрованное сообщение получателю.
4. Расшифровка
4.1. Для расшифровки сообщения нужен закрытый ключ получателя.
4.2. В графической оболочке (Kleopatra) GnuPG,выберите пункт
меню File -> Decrypt/Verify Files… и укажите полученный файл. После этого
появится сообщение об успешной расшифровке. А рядом с файлом
letter.txt.gpg или letter.txt.asc будет создан файл letter.txt, который содержит
исходный текст.
Контрольные вопросы
1. Как отправлять файлы на защищенное хранение при помощи программы
GnuPG?
2. С помощью каких еще программ можно обеспечить защищенное
хранение файлов?
3. Какой ключ используется при шифровании сообщения?
4. Какой ключ используется при создании цифровой подписи?
33
5. Для чего используется и каковы особенности ЭЦП - электронной
цифровой подписи?
6. Каково правовое обеспечение ЭЦП?
34
ЛАБОРАТОРНАЯ РАБОТА № 4. СИММЕТРИЧНЫЕ АЛГОРИТМЫ ШИФРОВАНИЯ
ЦЕЛЬ РАБОТЫ: Изучить принцип работы симметричных алгоритмов
шифрования.
ТЕОРЕТИЧЕСКИЕ СВЕДЕНИЯ
Симметричные криптосистемы основаны на том, что и для шифрования
сообщения отправителем, и для его расшифровки получателем используется
одно и то же значение ключа, как показано на рисунке 4.1.
Одно из главных преимуществ симметричных методов – быстрота
шифрования и расшифровки, а главный недостаток – необходимость
передачи значения ключа получателю. Неизбежно возникает проблема: как
передать ключ получателю сообщения и при этом не позволить
злоумышленнику перехватить его.
шифрование
Читаемый
текст
сообщения
расшифровка
Зашифрованное
сообщение
Читаемый
текст
сообщения
Симметричный
ключ
шифрования
Рисунок 4.1 – Схема симметричного шифрования
35
Самый простой и эффективный способ сделать текст нечитаемым –
спрятать его, смешав с последовательностью случайных чисел, заданной
ключом. При этом информация прячется в шуме – самом информативном, по
мнению Шеннона, сигнале. Для этого можно использовать логическую
операцию XOR (исключающее ИЛИ). Эта операция выполняется на уровне
отдельных битов в сообщении, оперируя двумя строками битов, одна из них
– это исходное сообщение, а вторая – ключ. Получив последовательность
битов, представляющую зашифрованное таким образом сообщение, его
можно расшифровать, выполнив повторно операцию XOR с тем же ключом.
Алгоритм DES
Блочные алгоритмы шифрования являются основным средством
криптографической защиты информации, хранящейся на компьютере
пользователя или передаваемой по общедоступной сети. Такое пристальное
внимание к данному типу алгоритмов обусловлено не столько многолетней
историей, сколько преимуществами практического применения, среди
которых следует отметить:
1. возможность
эффективной
программной
реализации
на
современных аппаратно программных средств;
2. высокую
скорость
зашифрования
/
расшифрования
как
при
аппаратной, так и при программной реализации;
3. высокую гарантированную стойкость; причем стойкость алгоритма
блочного
шифрования
математического
может
аппарата
(для
быть
доказана
большинства
при
помощи
асимметричных
36
алгоритмов стойкость основана на “невозможности” решения какой либо математической задачи).
Входная последовательность блочных алгоритмов шифрования
разбивается на участки определенной длины (обычно 64 бита для удобства
реализации на процессорах с внутренними регистрами длиною 32 или 64
бита), и преобразования в алгоритме блочного шифрования совершаются
над
каждым
блоком
отдельно.
Соответственно
выходная
последовательность алгоритма блочного шифрования представляет собой
блоки, длина которых равна длине входных блоков. В случае, когда длина
открытого текста некратна длине входных блоков, в алгоритме шифрования,
применяется операции дополнения (padding) последнего блока открытого
текста до необходимой длины. Дополнение осуществляется приписыванием
необходимого числа нулей или случайного набора символов. В общем
случае содержание того, чем мы дополняем блок открытого текста, не играет
роли с точки зрения криптографической стойкости. На приемной стороне
необходимо знать, какое количество символов было добавлено, вот почему
вместе с данными дополнения приписывается длина этих данных.
Суть алгоритмов блочного шифрования заключается в применении к
блоку открытого текста многократного математического преобразования.
Многократность подобных операций приводит к тому, что результирующее
преобразование оказывается криптографически более сильным, чем
преобразование над отдельно взятым блоком. Основная цель подобного
трансформирования
–
создать
зависимость
каждого
бита
блока
зашифрованного сообщения от каждого бита ключа и каждого бита блока
открытого
сообщения.
Преобразования,
базирующиеся
на
данных
алгоритмах можно разделить на “сложные” (в современных алгоритмах это
37
обычно нелинейные операции) и ”простые”, в основе которых лежат
перемешивающие
операции.
Аналитическая
сложность
раскрытия
алгоритмов блочного шифрования заключается в конструкции первого типа
преобразований.
Одним
из
самых
распространенных
алгоритмов
блочного
шифрования, рекомендованных Национальным бюро стандартов США в
качестве основного средства криптографической защиты информации как в
государственных, так и в коммерческих структурах, является Data Encryption
Standard (DES). Он был разработан в 1977 году, однако уже в 1988 было
рекомендовано использовать DES только в системах электронного перевода.
С учетом выявленных недостатков DES в начальный вариант стандарта
постоянно вносятся изменения, появляются также и новые алгоритмы,
использующие в качестве основы DES (NewDES, TripleDES и др.).
Необходимость разработки новых алгоритмов обусловлена большим числом
атак, которым подвергался DES за годы своего существования. Кроме того,
бурное развитие средств вычислительной техники привело к тому, что 56битного ключа, используемого в первоначальном варианте DES, стало
недостаточно, чтобы противостоять атакам, совершаемым методом "грубой
силы". Тем не менее в коммерческой сфере и в системах электронных
расчетов DES и по сей день остается одним из самых популярных
алгоритмов.
DES является блочным алгоритмом шифрования с длиной блока 64
бита и симметричными ключами длиной 56 бит. На практике ключ обычно
имеет длину 64 бита, где каждый восьмой бит используется для контроля
четности остальных битов ключа.
38
Всего для получения блока зашифрованного сообщения проходит 16
раундов. Это обусловлено следующими причинами:
1.
12 раундов являются минимально необходимыми для обеспечения
должного уровня криптографической защиты;
2.
при аппаратной реализации использование 16 раундов позволяет
вернуть преобразованный ключ в исходное состояние для дальнейших
преобразований;
3.
данное
количество
раундов
необходимо,
чтобы
исключить
возможность проведения атаки на блок зашифрованного текста с двух
сторон.
В некоторых реализациях DES блоки открытого сообщения перед тем,
как они будут загружены в регистр сдвига длиной две ячейки и размером
ячейки 32 бита, проходят процедуру начальной перестановки, которая
применяется
для
того,
чтобы
осуществить
начальное
рассеивание
статистической структуры сообщения.
В случае использования начальной перестановки после завершения
16 раундов к полученному блоку применяется обратная перестановка.
Алгоритм ГОСТ 28147-89
Отечественным
аналогом
DES
является
алгоритм
блочного
шифрования, специфицированный в ГОСТ 28147-89. Разработчики данного
алгоритма
сумели
органично
соединить
в
нем
две
важные,
но
трудносочетающиеся друг с другом характеристики:
1.
высокую криптографическую стойкость алгоритма;
39
2.
возможность эффективного программного исполнения (за счет
использования узлов, реализуемых на современной программноаппаратной платформе).
Алгоритм работает с 64-битными входными блоками, 64-битными
выходными блоками и ключами длиной 256 бит. Использование 256-битного
ключа позволяет не обращать внимания на возможность атаки с
применением "грубой силы", поскольку мощность большинства ключей
равна 2256. При этом данный алгоритм предполагает как эффективную
программную, так и аппаратную реализацию.
Алгоритм может применяться в следующих рабочих режимах:
1.
простая замена;
2.
гаммирование;
3.
гаммирование с обратной связью;
4.
выработка имитовставки.
Для всех четырех режимов применяется одно общее преобразование,
которое можно записать в следующем виде:
,
где L и R – соответственно левая и правая часть 64-битного блока.
Это преобразование характерно для всех раундов (всего их 32), кроме
последнего. Для него преобразование будет иметь вид:
40
Ri  Ri 1 , i = 32
Для каждого раунда функция F остается неизменной. Перед началом
преобразования блок открытого текста разбивается на две 32-битные
половины L и R, которые помещаются в два 32-разрядных регистра N1 и N2.
Также перед началом зашифрования 256-битный ключ, разбитый на 8 частей
по 32 бита каждая (K0..K7) помещается в ключевое запоминающее устройство
(КЗУ). Далее содержимое регистра N1 суммируется по модулю 232 с
очередным заполнением устройства, а ключевые последовательности
выбираются из КЗУ в следующем порядке:
1.
в раундах с 1-го по 24-й – K0, K1, K2, K3, K4, K5, K6, K7;
2.
в раундах с 25-го по 32-й – K7, K6, K5, K4, K3, K2, K1, K0.
Полученная битовая последовательность разбивается на восемь
блоков по 4 бита в каждом и поступает на вход S-боксов. В них реализуется
подстановка, имеющая, например, следующий вид:
7, 10, 13, 1, 0, 8, 9, 15, 14, 4, 6, 12, 4, 11, 2, 5, 3
Числовое представление битового входа однозначно определяет
последовательный номер числа в подстановке и битовое представление
соответствующего числа; таким же оно будет и на выходе S-бокса. Для
каждого
S-бокса
задается
своя
подстановка,
которая
является
долговременным секретным ключом. Генерация подстановок в S-боксах
является сложной математической задачей, от решения которой как раз и
зависит стойкость этого алгоритма.
После S-боксов последовательность поступает в циклический регистр
сдвига, который осуществляет смещение на 11 шагов влево. Использование
41
данного регистра вместо перестановок, используемых в DES, обусловлено
тем, что данный регистр легко реализуется как программно (за счет
использования битовой операции циклического сдвига), так и аппаратно.
Далее происходит поразрядное суммирование по модулю 2
содержимого регистра циклического сдвига с содержимым регистра N2.
Результат суммирования записывается в регистр N1, а содержимое регистра
N2 принимает предыдущее значение N1.
Все эти операции составляют один раунд преобразованияочередного
открытого блока текста, как показано на рисунке 4.2. Специфика различных
типов применения ГОСТ вносит свои дополнения в раунды зашифрования и
соответственно, расшифрования.
Рисунок 4.2. – Один раунд преобразованияоткрытого блока текста
ПОРЯДОК ВЫПОЛНЕНИЯ РАБОТЫ
42
1. Реализовать приложение для шифрования с помощью указанного в
варианте симметричного криптоалгоритма, позволяющее выполнять
следующие действия:
1.1. Генерировать ключ шифрования, предусмотреть сохранение ключа в
файл.
1.2. Шифровать открытый текст:
1.
шифруемый текст должен храниться в файле или вводиться с
клавиатуры;
2.
зашифрованный текст должен сохраняться в файле;
3.
в процессе шифрования предусмотреть возможность просмотра и
изменения шифруемого текста в шестнадцатеричном и символьном
виде;
4.
программа должна уметь работать с текстом произвольной длины.
2. Реализовать приложение для дешифрования,позволяющее выполнять
следующие действия:
1.
Считывать ключ шифрования из файла;
2.
Выбирать файл, с зашифрованным текстом, расшифровывать его и
сохранять результат в файл.
Контрольные вопросы
1.
На каком преобразовании основан стандарт шифрования данных ГОСТ
28147-89?
2.
К одноключевым или двухключевым криптографическим алгоритмам
относятся симметричные криптоалгоритмы?
3.
Перечислите известные вам симметричные шифры?
4.
В чём заключаются достоинства и недостатки симметричных
алгоритмов?
43
5.
6.
Какова длина ключа в алгоритме ГОСТ 28147-89?
Какие режимы алгоритма ГОСТ 28147-89 существуют?
44
ЛАБОРАТОРНАЯ РАБОТА № 5. АСИММЕТРИЧНЫЙ АЛГОРИТМ ШИФРОВАНИЯ
RSA
ЦЕЛЬ РАБОТЫ: Изучить принцип работы асимметричных алгоритмов
шифрования на примере алгоритма RSA. Освоить методику создания
комбинированных
алгоритмов
шифрования,
которые
совмещают
достоинства методов симметричной и асимметричной криптографии.
ТЕОРЕТИЧЕСКИЕ СВЕДЕНИЯ
Алгоритм шифрования RSA был разработан в 1977 году Роном
Ривестом, Ади Шамиром и Леном Адлеманом и опубликован в 1978 году.
Алгоритм Rivest-Shamir-Adleman (RSA) широко применяется практически во
всех приложениях, использующих криптографию с открытым ключом.
Алгоритм RSA состоит из трёх этапов:
1. Вычисление ключей. Для алгоритма RSA этап создания ключей состоит из
следующих операций:
1.1. Выбираются два простых различных числа р и q. Вычисляется их
произведение n = р • q, называемое модулем.
1.2. Вычисляется функция Эйлера (n) = (р-1) • (q-1).
1.3. Выбирается произвольное число е (е < п) такое, что 1 < е <(n) и не
имеет с числом (n) других общих делителей, кроме 1 (т.е. оно является
взаимно простым с ним).
1.4. Вычисляется d (алгоритмом Евклида) таким образом, что (е*d-1)
делилось на (n).
1.5. Два числа (е, n) публикуются как открытый ключ.
45
1.6. Число d хранится в секрете. Пара (d, n) есть закрытый ключ, который
позволит читать все послания, зашифрованные с помощью пары чисел (е, n).
2. Зашифрование с помощью этих ключей производится следующим
образом:
2.1.Отправитель разбивает своё сообщение М на блоки mi. Значение mj<n,
поэтому длина блока открытого текста mj в битах не больше k = [log2n] бит,
где квадратные скобки обозначают взятие целой части от дробного числа.
Например, если n = 21, то максимальная длина блока открытого текста k =
[log2 21] = [4.39... ] = 4 бита.
2.2. Подобный блок может быть интерпретирован как число из диапазона (0;
2fc-1). Для каждого такого числа mj вычисляется выражение (с зашифрованное сообщение):
q = (mj)e mod n.
В качестве размера блока зашифрованного текста следует брать ke =
[log2n] бит, где операция [ ] - это округление вверх до ближайшего целого.
Необходимо добавлять нулевые биты слева в двоичное представление
блока Cj до размера бит.
3. Расшифрование производится следующим образом:
Чтобы получить открытый текст, надо каждый блок зашифрованного текста
длиной kе бит дешифровать отдельно:
mj = ( q)d mod n.
46
Рисунок 5.1. – Алгоритм шифрования RSA
Комбинирование симметричных и асимметричных алгоритмов
Симметричные алгоритмы и, в частности, DES - быстрые, поэтому ими
удобно шифровать большие объёмы информации. Однако для передачи
ключа симметричного алгоритма требуется надёжный канал передачи,
который очень часто отсутствует. Таким образом, преимущества таких
алгоритмов сводятся на нет. С другой стороны, асимметричные алгоритмы
не требуют секретного канала для передачи ключа, но на практике
криптосистемы с открытым ключом используются для шифрования не
сообщений, а ключей. На это есть две основные причины:
1.
Алгоритмы шифрования с открытым ключом в
среднем работают в тысячи раз медленнее, чем
симметричные алгоритмы, а также они требовательны к
памяти и вычислительной мощности компьютера, поэтому
47
большие тексты кодировать этими алгоритмами
нецелесообразно.
2.
Алгоритмы шифрования с открытым ключом
уязвимы по отношению к криптоаналитическим атакам со
знанием открытого текста. Пусть С = Е(Р), где С обозначает
шифртекст, Р - открытый текст, Е - функцию шифрования.
Тогда, если Р принимает значения из некоторого
конечного множества, состоящего из п открытых текстов,
криптоаналитику достаточно зашифровать все эти тексты,
используя известный ему открытый ключ, и сравнить
результаты с С. Ключ таким способом ему вскрыть не
удастся, однако открытый текст будет успешно определён.
Возможно следующее решение: сообщение шифруется симметричным
алгоритмом, что позволяет выиграть в скорости, т.к. сообщение может быть
сколь угодно большим, а ключ симметричного алгоритма (обычно
маленький, для DES - 56 бит) шифруется асимметричным алгоритмом.
ПОРЯДОК ВЫПОЛНЕНИЯ РАБОТЫ
1. Реализовать приложение для шифрования алгоритмом RSA, позволяющее
выполнять следующие действия:
1.1. Вычислять открытый и закрытый ключи для алгоритма RSA:
7.
числа р и q генерируются программой или задаются из файла;
8.
сгенерированные ключи сохраняются в файлы: открытый ключ (е, п) - в
один файл, закрытый (d, п) - в другой.
1.2. Шифровать указанным в варианте симметричным алгоритмом открытый
текст, а асимметричным - ключ симметричного алгоритма:
48
9.
шифруемый текст Т должен храниться в одном файле, открытый ключ
(е, п) для алгоритма RSA - в другом;
10.
ключ К для симметричного алгоритма должен генерироваться
случайным образом;
11.
зашифрованный текст должен сохраняться в одном файле, а
зашифрованный асимметричным алгоритмом ключ К симметричного
алгоритма - в другом;
12.
в процессе шифрования предусмотреть возможность просмотра и
изменения шифруемого текста в шестнадцатеричном и символьном
виде;
13.
программа должна уметь работать с текстом произвольной длины.
2. Реализовать приложение для дешифрования, позволяющее выполнять
следующие действия:
2.1. Зашифрованный текст должен храниться в одном файле,
зашифрованный ключ симметричного алгоритма - в другом, а секретный
ключ для алгоритма RSA - в третьем.
2.2. Приложение расшифровывает зашифрованный ключ К с помощью
алгоритма RSA, а затем с помощью симметричного алгоритма с ключом К
расшифровывает зашифрованный текст.
2.3. Расшифрованный текст должен сохраняться в файл.
2.4. В процессе дешифрования предусмотреть возможность просмотра и
изменения зашифрованного текста в шестнадцатеричном и символьном
виде.
2.5. Программа должна уметь работать с текстом произвольной длины.
Контрольные вопросы
49
1.
В чём заключается алгоритм RSA?
2.
Для чего и почему используют комбинированные
криптоалгоритмы?
3.
В чём заключаются достоинства и недостатки
асимметричных алгоритмов?
4.
В чём заключаются достоинства и недостатки
симметричных алгоритмов?
5.
Найти алгоритмом Евклида элемент d такой, что е • d = 1
(modn), если:
е = 15, n = 82
е = 29, n= 86
е = 49, n= 122
е = 58, n= 115
е = 24, n= 95
е = 18, n= 107.
50
ЛАБОРАТОРНАЯ РАБОТА №6. ИНФРАСТРУКТУРА ОТКРЫТЫХ КЛЮЧЕЙ.
ЦИФРОВЫЕ СЕРТИФИКАТЫ. ИСПОЛЬЗОВАНИЕ СРЕДСТВ ЗАЩИТЫ ЭЛЕКТРОННОЙ
ПОЧТЫ
ЦЕЛЬ РАБОТЫ: Изучить принципы управления ключами на основе
электронных сертификатов и архитектуру инфраструктуры открытых ключей.
Научиться применять криптографические средства защиты электронной
почты.
ТЕОРЕТИЧЕСКИЕ СВЕДЕНИЯ
Цифровой сертификат (digitalcertificate) — это совокупность данных,
полностью идентифицирующих объект или субъект. Сертифицирующий
орган (CertificateAuthority, CA) выдает его только после того, как
удостоверится, что объект или субъект является именно тем, за кого себя
выдает. В состав сертификата входа открытый криптографический ключ,
присвоенный владельцу сертификата. Когда отправитель сообщения
подписывает его средствами своего личного ключа, получатель сообщения
может
использовать
открытый
ключ
отправителя
(полученный
из
сертификата, присланного с сообщением, или уже имеющийся в службе
каталогов получателя) для проверки аутентичности отправителя.
Для
подтверждения
подлинности
открытых
ключей
создается
инфраструктура открытых ключей (англ. PublicKeyInfrastructure, сокр. PKI). PKI
представляет собой набор средств, мер и правил, предназначенных для
управления ключами, политикой безопасности и обменом защищенными
сообщениями.
Центр
сертификации
(CertificateAuthority,
CA),
или
в
терминологии закона РФ «О цифровой подписи» — «удостоверяющий
центр», имеет свою собственную пару ключей (личный и открытый) и
51
сертификат. Сертификат центра публикуется доступным всем клиентам
способом.
Инфраструктура открытых ключей (Public Key Infrastructure, PKI)
основана на понятии «доверие». Каждый сертификат, используемый в сети,
снабжен
цифровой
Пользователь,
подписью
получивший
центра,
выдавшего
сертификат,
этот
доверяет
сертификат.
информации,
содержащейся в нем, в том случае, если доверяет данному центру
сертификации.
Наибольшее
распространение
получили
цифровые
сертификаты, формат которых определен стандартом X.509.
Использование цифровых сертификатов
Для примера обратимся на сайт Ситибанка (рис. 6.1).
Рисунок 6.1. - Защищенное соединениена сайте Ситибанка
Изображение закрытого замка справа от адресной строки указывают,
что установлено защищенное соединение. Безопасное подключение — это
шифрованный обмен информации между посещаемым веб-сайтом и
InternetExplorer.
Шифрование
обеспечивается
документом,
предоставляемым веб-сайтом — сертификатом. При отправке на веб-сайт
информация шифруется на компьютере пользователя и расшифровывается
52
на веб-сайте. Если щелкнуть мышью по изображению замка, то увидим
представленное на рис. 6 сообщение о том, что подлинность узла с помощью
сертификата подтверждает центр сертификации VeriSign. Значит, мы на
самом деле обратились на сайт Ситибанка (а не подделанный нарушителями
сайт) и можем безопасно вводить логин и пароль.
Хранение
сертификатов.
Операционная
система
Windows
обеспечивает защищенное хранилище ключей и сертификатов. Работать с
хранилищем можно:
1. используя настройку консоль управления MMC "Сертификаты".
2. открыть
InternetExplorer,
меню
Сервис
Свойства
обозревателя...
Содержание Сертификаты...
3. через консоль, для её вызова надо набрать в командной строке
certmgr.msc.
Выбрав "Просмотр сертификата" можно узнать подробности о
получателе и издателе, другие параметры сертификата (рис.6.2).
53
Рисунок 6.2.- Параметры сертификата
Получение
цифрового
сертификата
от
публичного
центра
сертификации в сети Интернет
Для получения сертификата можно использовать одну из следующих
служб (или другой центр выдачи сертификатов в Internet):
1.
COMODO (www.comodo.com) - бесплатный сертификат для защиты E-
mail.
2.
Ascertia (www.ascertia.com) - бесплатный сертификат для защиты E-mail
с ограниченным сроком действия.
Протокол защиты электронной почты S/MIME
Протокол Secure Multipurpose Internet Mail Extensions (S/MIME)
предназначен для защиты данных, передаваемых в формате MIME, в
основном - электронной почты. Он был предложен в 1995 году компанией
RSA DataSecurity Inc. Дальнейшие работы над протоколом велись рабочей
группой организации Internet Engineering Task Force (IETF), разрабатывающей
стандарты
сети
Интернет.
S/MIME
предоставляет
следующие
криптографические услуги безопасности (криптографические сервисы):
проверка целостности сообщения; установление подлинности отправителя
(аутентификация);обеспечение секретности передаваемых данных. Протокол
позволяет обычным почтовым клиентам защищать исходящую почту и
интерпретировать криптографические сервисы, добавленные во входящую
почту.
Стандарт определяет использование симметричных криптоалгоритмов
для шифрования содержимого почтовых сообщений и алгоритма с открытым
54
ключом для защиты передаваемого вместе с письмом ключа симметричного
шифрования. S/MIME позволяет использовать различные криптоалгоритмы,
причем их список может расширяться. S/MIME поддерживается многими
почтовыми клиентами: Microsoft Outlook, Mozilla, TheBat! и т.д.
ПОРЯДОК ВЫПОЛНЕНИЯ РАБОТЫ
1.
Опишите параметры цифрового сертификата используемого
сайтом согласно своему варианту. Укажите, кем на какой срок и для какого
субъекта сертификат был выдан.
2.
Создайте
новый
электронный
почтовый
адрес
с
вида:
saprФИО@mail.ru.
3.
Запросите
собственный
сертификацииwww.comodo.com.
цифровой
При
сертификат
заполнении
в
центре
формы
на
соответствующем сайте укажите созданный e-mail, пароль, который
потребуется ввести на сайте, следует запомнить. Получите и установите
пользовательский сертификат.
4.
Настройте
почтовый
клиент
для
использования
S/MIME,
используйте полученный сертификат.
5.
Отправьте подписанное письмо в формате S/MIME (содержание
письма: факультет, группа, ФИО) по адресу balloon00@mail.ru и получите
подписанный ответ в формате S/MIME. (обязательно включить в письмо
сертификат!).
6.
Дайте письменный ответ на вопрос согласно своему варианту.
Варианты заданий
55
№ Сайт для задания 1
п/п
Вопрос для задания 6
1.
Mail.ru
Назначение и принцип использования
сертификата.
2.
Free-lance.ru
Управление криптоключами
3.
https://esk.sbrf.ru/
Основные положения Закона об ЭЦП ФР
4.
https://qiwi.ru
Протокол SSL
5.
https://www.telebank.ru Формат сертификатов открытых ключей X.509
6.
Mail.ru –
Аутентификация на основе одноразовых паролей
7.
Free-lance.ru
Аутентификация на основе многоразовых паролей
8.
https://esk.sbrf.ru/
Назначение и принцип использования
сертификата.
9.
https://qiwi.ru
Управление криптоключами
10.
https://www.telebank.ru Основные положения Закона об ЭЦП ФР
11.
Mail.ru
Протокол SSL
12.
Free-lance.ru
Формат сертификатов открытых ключей X.509
13.
https://esk.sbrf.ru/
Аутентификация на основе одноразовых паролей
14.
https://qiwi.ru
Аутентификация на основе многоразовых паролей
15.
https://www.telebank.ru Биометрическая аутентификация пользователя
16.
https://esk.sbrf.ru/
\
цифрового
цифрового
Управление криптографическими ключами
Контрольные вопросы
1.
Какая информация хранится в цифровом сертификате?
56
2.
Кем выдается цифровой сертификат?
3.
Каково назначение и принцип использования цифрового
сертификата?
4.
Какие алгоритмы шифрования используются в цифровых
сертификатах?
5.
Что определяет стандарт X.509?
57
ЛАБОРАТОРНАЯ РАБОТА №7. НАСТРОЙКА БЕЗОПАСНОСТИ МАРШРУТИЗАТОРОВ
ЦЕЛЬ РАБОТЫ: изучить возможности настройки политики доступа в
Интернет на основе IP-адреса и приложения; настройки DMZ для сервера
открытого доступа со статическим IP-адресом;изучить настройки точки
беспроводного доступа; получить навыки настройки
стандартных ACL-
списков с целью контроля сетевого трафика на основании IP-адресов узлов.
ОБЩИЕ СВЕДЕНИЯ
Настройка DMZ
Помимо защиты отдельных компьютеров и серверов, подключенных к
сети, необходимо контролировать прохождение трафика через сеть в
различных направлениях.
Межсетевой экран представляет собой одно из наиболее эффективных
средств безопасности, защищающее пользователей сети от внешних угроз.
Межсетевой экран разделяет две сети или более и контролирует
проходящий
между
несанкционированный
ними
доступ.
трафик,
В
одновременно
межсетевых
экранах
предотвращая
используются
различные методы определения разрешенного и запрещенного доступа к
сети.
Фильтрация пакетов – запрет или разрешение доступа на основе IPили MAC-адресов.
Фильтрация по приложениям – запрет или разрешение доступа для
конкретного приложения на основе номеров портов.
58
Фильтрация по URL – запрет или разрешение доступа к веб-сайтам на
основе конкретных URL-адресов или ключевых слов.
Динамический анализ пакетов (SPI) – входящие пакеты должны
представлять собой легитимные отклики на запросы внутренних узлов.
Незапрошенные пакеты блокируются, если они не разрешены в явном виде.
SPI также позволяет распознавать и блокировать конкретные виды атак,
например DoS.
Межсетевые экраны поддерживают один или несколько подобных
механизмов фильтрации и блокирования. Кроме того, межсетевые экраны
часто выполняют преобразование сетевых адресов (NAT). NAT преобразует
внутренние адреса и группы адресов во внешние публичные адреса,
используемые для пересылки по сети. При этом внутренние IP-адреса
скрываются от внешних пользователей.
Размещение межсетевого экрана в качестве пограничного устройства
между
внутренней
сетью
(интранетом)
и
Интернетом
позволяет
контролировать весь исходящий и входящий интернет-трафик и управлять
его прохождением. Между внутренней и внешней сетью создается четкий
защитный
рубеж.
потребоваться
Однако
доступ
к
некоторым
внутренним
внешним
ресурсам.
клиентам
Для
этого
может
можно
предусмотреть демилитаризованную зону (DMZ).
Демилитаризованная
зона
–
военно-политический
термин,
означающий территорию между двумя сторонами конфликта, в которой
запрещено
военное
присутствие.
В
компьютерных
сетях
демилитаризованной зоной называется участок сети, доступный как
внутренним, так и внешним пользователям. Он более защищен по
сравнению с внешней сетью, но менее защищен по сравнению с внутренней
59
сетью. DMZ создается посредством одного или нескольких межсетевых
экранов, разграничивающих внутреннюю сеть, DMZ и внешнюю сеть. В DMZ
часто размещаются веб-серверы, открытые для доступа извне.
Обеспечение защиты беспроводного соединения
Для обеспечения защиты беспроводного соединения следует:
1.
Использовать 802.1X, если точка доступа поддерживает и
имеется RADIUS-сервер).
2.
Включать шифрование трафика.
3.
Управлять доступом клиентов по MAC-адресам.
4.
Запретить трансляцию в эфир идентификатора SSID.
5.
Располагать антенну как можно дальше от окна, внешней
стены здания, а также
ограничивать
мощность
радиоизлучения,
чтобы снизить вероятность подключения «с улицы». Использовать
направленные антенны, не использовать радиоканал по умолчанию.
6.
При установке драйверов сетевых устройств предлагается
выбор между технологиями шифрования WEP, WEP/WPA (средний
вариант), WPA. Предпочтительнее использовать WPA.
7.
Использовать
максимально
длинные
ключи,
периодически их менять.
8.
Не давать никому информации о том, каким образом и
с какими паролями выполняется подключение. Искажение данных
или
их
воровство,
а
также
прослушивание
трафика
путем
внедрения в передаваемый поток — очень трудоемкая задача при
60
условиях, что применяются длинные динамически изменяющиеся
ключи.
9.
Используйте сложный пароль для доступа к настройкам
точки доступа.
10.
По возможности не используйте в беспроводных сетях
протокол TCP/IP для организации папок, файлов и принтеров общего
доступа. Организация разделяемых ресурсов средствами NetBEUI в
данном случае безопаснее. Не разрешайте гостевой доступ к ресурсам
общего доступа.
11.
На
файерволлы,
всех ПК
внутри
старайтесь
не
брандмауэра, используйте
беспроводной сети
устанавливать
точку
установите
доступа
вне
минимум протоколов внутри WLAN
(например, только HTTP и SMTP). В корпоративных сетях файерволл
стоит обычно один —
получивший
доступ
на
через
выходе
Wi-Fi,
в
интернет,
взломщик
же,
может попасть в LAN, минуя
корпоративный файерволл.
12.
помощью
Регулярно
исследовать
уязвимости
своей
сети
с
специализированных сканеров безопасности, обновлять
прошивки и драйвера устройств, устанавливать заплатки для Windows.
ПОРЯДОК ВЫПОЛНЕНИЯ РАБОТЫ
Настройка DMZ
Для выполнения работы требуются следующие ресурсы: Linksys
WRT300N или другое многофункциональное устройство с настройками по
умолчанию; компьютер с Windows XP Professional для доступа к
61
графическому интерфейсу пользователя Linksys; внутренний ПК в качестве
сервера в DMZ со службами HTTP и Telnet; внешний сервер, используемый в
качестве «Интернета» и поставщика услуг Интернета, на котором заранее
настроены службы DHCP, HTTP и Telnet; кабели для соединения ПК, Linksys
WRT300N или другого многофункционального устройства и коммутаторов.
1. Создание сети и настройка узлов
1.1. Присоедините узлы к портам коммутатора многофункционального
устройства, как показано на схеме топологии, представленной на рисунке
7.1. Узел-А – это консоль, используемая для доступа к графическому
интерфейсу пользователя Linksys. Узел-B сначала выполняет роль тестовой
машины, а затем используется как сервер DMZ.
Рисунок 7.1. – Топология сети
1.2. Настройте IP-конфигурацию для обоих узлов, используя сетевые
подключения WindowsXP и свойства TCP/IP. Убедитесь, что узел-А настроен
как клиент DHCP. Присвойте узлу-В статический IP-адрес в диапазоне
192.168.1.x с маской подсети 255.255.255.0. В качестве основного шлюза
следует задать внутренний локальный сетевой адрес устройства Linksys.
62
2. Вход в интерфейс пользователя
2.1. Для доступа к веб-интерфейсу пользователя устройства Linksys или
другого многофункционального устройства, откройте обозреватель и
введите IP-адрес устройства по умолчанию, обычно 192.168.1.1.
2.2. Войдите в систему, используя идентификатор пользователя и
пароль.
2.3. Многофункциональное устройство должно быть настроено для
получения IP-адреса с внешнего сервера DHCP.
2.4. Какой IP-адрес и маска подсети маршрутизатора по умолчанию
(внутреннего) используется для многофункционального устройства?
2.5. Убедитесь,
что
многофункциональное
устройство
получило
внешний IP-адрес с сервера DHCP. Для этого щелкните «Status» (статус) >
вкладка «Router» (маршрутизатор).
2.6. Какой
внешний
IP-адрес
и
маска
подсети
присвоены
многофункциональному устройству?
3. Просмотр настроек межсетевого экрана многофункционального
устройства
3.1. LinksysWRT300N содержит простой межсетевой экран, который
использует преобразование сетевых адресов (NAT). Кроме того, он имеет
дополнительные возможности межсетевого экрана с использованием
функции динамического анализа пакетов (SPI) для обнаружения и
блокирования незапрашиваемого трафика из Интернета.
63
3.2. На главном экране щелкните вкладку «Security» (безопасность) для
просмотра
состояния
параметров
«Firewall»
(межсетевой
экран)
и
«InternetFilter» (интернет-фильтр). Укажите статус защиты межсетевого
экрана SPI.
3.3. Какие флажки установлены для «InternetFilter» (интернет-фильтр)?
3.4. Щелкните «Help» (справка), чтобы больше узнать об этих
настройках. Какие преимущества дает фильтрация IDENT?
4. Настройка ограничений доступа в Интернет на основе IP-адреса
Многофункциональное
устройство
позволяет
указать,
какие
внутренние пользователи могут выйти в Интернет из локальной сети. Можно
создать политику доступа в Интернет, разрешающую или запрещающую
определенным внутренним компьютерам доступ в Интернет в зависимости
от их IP-адреса, MAC-адреса и других критериев.
4.1. На главном экране многофункционального устройства щелкните
вкладку «AccessRestrictions» (ограничения доступа) и задайте параметр
«AccessPolicy 1» (политика доступа 1).
4.2. Введите в качестве названия политики «Block-IP» (блокировка IP),
как показано на рисунке 7.2. Выберите «Enabled» (включено), чтобы
включить
политику,
а
затем
выберите
«Deny»
(запретить),
чтобы
предотвратить доступ в Интернет с указанного IP-адреса.
64
Рисунок 7.2. – Вкладка «AccessRestrictions» в веб-интерфейсе устройства
Linksys
4.3. Щелкните кнопку «EditList» (редактировать список) и введите IPадрес узла-В. Щелкните «SaveSettings» (сохранить настройки), а затем
«Close» (закрыть)». Щелкните «SaveSettings» (сохранить настройки)» для
сохранения политики доступа в Интернет 1 – «Блокировка IP».
4.4. Протестируйте политику, попробовав подключиться к внешнему
веб-серверу с узла-В. Откройте обозреватель и введите IP-адрес внешнего
сервера в поле адреса. Можете ли вы подключиться к серверу?
4.5. Измените статус политики «Block-IP» (блокировка IP) на «Disabled»
(выключено) и щелкните «SaveSettings» (сохранить настройки). Можете ли
вы теперь подключиться к серверу?
5. Настройка политики доступа в Интернет на основе приложений
Можно создать политику доступа в Интернет, не позволяющую
некоторым компьютерам использовать определенные приложения или
протоколы Интернета.
65
5.1. На главном экране графического интерфейса пользователя Linksys
щелкните вкладку «AccessRestrictions» (ограничение доступа) и определите
политику доступа в Интернет.
5.2. Введите в качестве названия политики «Block-Telnet» (блокировка
Telnet). Выберите «Enabled» (включено) для включения политики, а затем
щелкните
«AllowtopermitInternetaccessfromaspecifiedIPaddressaslongasitisnotoneoftheap
plicationsthatisblocked» (разрешить доступ в Интернет с заданного IP-адреса,
если это не одно из заблокированных приложений).
5.3. Щелкните кнопку «EditList» (редактировать список) и введите IPадрес узла-В. Щелкните «SaveSettings» (сохранить настройки), а затем
«Close» (закрыть). Какие другие интернет-приложения и протоколы можно
заблокировать?
5.4. Выберите приложение Telnet из списка приложений, которые
можно заблокировать, а затем щелкните двойную стрелку вправо, чтобы
добавить его к списку «BlockedList» (список заблокированных), как показано
на рисунке 7.3. Щелкните «SaveSettings» (сохранить настройки).
5.5. Протестируйте политику: откройте командную строку, используя
«Пуск» > «Все программы» > «Стандартные» > «Командная строка».
5.6. Отправьте эхо-запрос на IP-адрес внешнего сервера с узла-В,
используя команду ping. Можете ли вы получить эхо-запрос с сервера?
5.7. Подключитесь по протоколу Telnet на IP-адрес внешнего сервера с
узла-В, используя команду telnetA.B.C.D (где A.B.C.D – IP-адрес сервера).
Можете ли вы получить доступ к серверу?
66
Рисунок 7.3. – Настройка политики доступа в Интернет на основе
приложений
Шаг 6. Настройка простой зоны DMZ
Иногда требуется разрешить доступ к компьютеру из Интернета, но
защитить остальные компьютеры внутренней локальной сети. Для этого
можно создать демилитаризованную зону (DMZ), которая позволяет
получать доступ к любым портам и службам на указанном сервере. Любые
запросы к службам по внешнему адресу многофункционального устройства
будут перенаправлены указанному серверу.
6.1. Узел-В будет выполнять функцию сервера DMZ, и на нем
необходимо запустить службы HTTP и Telnet. Убедитесь, что узел-В имеет
статический IP-адрес, или, если узел-В является клиентом DHCP, можно
зарезервировать его текущий адрес и сделать его статическим, используя
функцию «DHCPReservation» (резервирование DHCP) устройства Linksys на
экране «BasicSetup» (основные настройки).
67
6.2. На главном экране графического интерфейса пользователя Linksys
щелкните вкладку «Applications&Gaming» (приложения и игры), а затем
щелкните «DMZ».
6.3. Щелкните ссылку «Help» (справка) для получения дополнительных
сведений о DMZ. Для каких других целей может понадобиться настройка
узла в DMZ?
6.4. Функция DMZ отключена по умолчанию. Выберите «Enabled»
(включено), чтобы включить DMZ. Переключатель «AnyIPAddress» (любой IPадрес) в поле «SourceIPAddress» (IP-адрес источника) должен быть выбран, а
в поле в поле «DestinationIPAddress» (IP-адрес назначения)» введите IP-адрес
узла-В. Щелкните «SaveSettings» (сохранить настройки) и «Continue»
(продолжить) при получении запроса.
6.5. Проверьте базовый доступ к серверу DMZ, отправив эхо-запрос с
внешнего сервера на внешний адрес многофункционального устройства.
Используйте команду ping –a, чтобы убедиться, что на запросы в
действительности отвечает сервер DMZ, а не многофункциональное
устройство. Можно ли получить эхо-запрос с DMZ-сервера?
6.6. Протестируйте HTTP-доступ к серверу DMZ: откройте обозреватель
на внешнем сервере и введите внешний IP-адрес многофункционального
устройства. Попробуйте сделать то же самое из обозревателя на узле-А,
используя внутренние адреса. Можно ли получить доступ к веб-странице?
6.7. Протестируйте подключение по протоколу Telnet: откройте
командную строку (см. шаг 5). Подключитесь по протоколу Telnet к внешнему
IP-адресу
многофункционального
устройства,
используя
команду
68
telnetA.B.C.D (где A.B.C.D – внешний IP-адрес многофункционального
устройства). Можете ли вы получить доступ к серверу?
Шаг 7. Настройка узла с переадресацией одного порта
Базовые функции хостинга DMZ, настроенные на шаге 6, позволяют
открыть доступ ко всем портам и службам на сервере, например, HTTP, FTP и
Telnet. Если узел используется для конкретной цели (например, для служб
FTP или для веб-служб), доступ должен быть ограничен указанной службой.
Это можно сделать за счет переадресации одного порта. Эта функция более
безопасна, чем основные функции DMZ, поскольку она открывает доступ
только к необходимым портам. Узел-В – это сервер, на который
переадресуются порты, но доступ к нему ограничен веб-протоколом (HTTP).
7.1. На главном экране щелкните вкладку «Applications&Gaming»
(приложения
и
игры),
а
затем
щелкните
«SinglePortForwarding»
(переадресация одного порта), чтобы указать приложения и номера портов.
7.2. Щелкните
первое
раскрывающееся
меню
под
заголовком
«ApplicationName» (имя приложения) и выберите HTTP. Это порт 80
протокола веб-сервера.
7.3. В первое поле «ToIPAddress» (на IP-адрес) введите IP-адрес узла-В
и установите флажок «Enabled» (включено). Щелкните кнопку «SaveSettings»
(сохранить настройки).
69
Рисунок 7.4. – Настройка узла с переадресацией одного порта
7.4. Протестируйте HTTP-доступ к узлу DMZ: откройте обозреватель на
внешнем сервере и введите внешний IP-адрес многофункционального
устройства. Попробуйте сделать то же самое из обозревателя на узле-А на
узел-В. Можно ли получить доступ к веб-странице?
7.5. Протестируйте подключение по протоколу Telnet: откройте
командную строку (см. шаг 5). Подключитесь по протоколу telnet к внешнему
IP-адресу многофункционального устройства, используя команду A.B.C.D (где
A.B.C.D – внешний IP-адрес многофункционального устройства). Можете ли
вы получить доступ к серверу?
Настройка точки беспроводного доступа
Требуется настроить точку беспроводного доступа, являющуюся
компонентом многофункционального устройства, используя лучшие методы
обеспечения безопасности.
1. Разработка плана обеспечения безопасности для домашней сети
70
1.1. Укажите как минимум шесть лучших методов, которые следует
использовать,
чтобы
защитить
многофункциональное
устройство
и
беспроводную сеть.
1.2. Укажите, какие существуют угрозы безопасности для каждого из
элементов.
2. Подключение компьютера к многофункциональному устройству
и вход на веб-интерфейс.
2.1. Подключите ваш компьютер (сетевую интерфейсную плату
Ethernet) к многофункциональному устройству (порт 1 на Linksys WRT300N),
используя прямой кабель.
2.2. IP-адрес Linksys WRT300N по умолчанию: 192.168.1.1, маска
подсети по умолчанию: 255.255.255.0. Для возможности обмена данными
компьютер и устройство Linksys должны находиться в одной сети. Измените
IP-адрес компьютера на 192.168.1.2 и убедитесь, что в качестве маски
подсети указано 255.255.255.0. Введите в качестве основного шлюза
внутренний адрес устройства Linksys (192.168.1.1). Для этого щелкните
«Пуск» > «Панель управления» > «Сетевые подключения». Щелкните правой
кнопкой мыши по беспроводному подключению и выберите пункт
«Свойства». Выберите протокол Интернета (TCP/IP) и введите адреса.
2.3. Откройте веб-обозреватель (например, Internet Explorer, Netscape
или Firefox), введите в поле адреса IP-адрес по умолчанию устройства
Linksys
(192.168.1.1)
и
нажмите
клавишу
ENTER.
После
этого
отобразитсяокно с запросом имени пользователя и пароля.
2.4. Оставьте поле имени пользователя пустым, а в поле пароля введите
admin. Это пароль по умолчанию для устройства Linksys. Щелкните кнопку
«ОК». Пароли задаются с учетом регистра.
71
е.
После выполнения всех необходимых изменений в устройстве
Linksys нажмите «Save Settings» (сохранить настройки) на каждом экране,
чтобы сохранить изменения, или «Cancel Changes» (отменить изменения) для
сохранения значений по умолчанию.
3. Изменение пароля устройства Linksys
3.1. Изображенное на рисунке 7.5. окно – это окно «Setup» (настройки)
> «Basic Setup» (основные настройки).
3.2. Щелкните вкладку «Administration» (администрирование). Вкладка
«Management» (управление) выбрана по умолчанию.
3.3. Введите новый пароль для устройства Linksys, а затем подтвердите
его. Новый пароль должен состоять не более чем из 32 символов и не должен
содержать пробелов. Пароль необходим для доступа к веб-интерфейсу
устройства Linksys и к мастеру установки.
3.4. Возможность доступа к веб-интерфейсу через беспроводную сеть
включена по умолчанию. Эту функцию можно отключить для повышения
уровня безопасности.
3.5. Щелкните кнопку «Save Settings» (сохранить настройки), чтобы
сохранить информацию.
72
Рисунок 7.5. – Основные настройкиустройства Linksys
4. Настройка параметров безопасности беспроводной сети
4.1. Щелкните вкладку «Wireless» (беспроводная). Вкладка «Basic
Wireless Settings» (основные настройки беспроводной сети) выбрана по
умолчанию. «Network Name» (сетевое имя) – это SSID, общее для всех
устройств сети. Оно должен быть одинаковым для всех устройств в
беспроводной сети. Оно задается с учетом регистра, и его длина не может
превышать 32 символов.
4.2. Измените значение SSID с linksys на уникальное имя.
4.3. Оставьте
(Радиодиапазон)»
в
–
качестве
«Auto»
значения
параметра
(автоматически).
Это
«Radio
позволяет
Band
сети
использовать все устройства: 802.11n, g и b.
4.4. Для параметра «SSID Broadcast» (широковещательная рассылка
SSID) выберите переключатель «Disabled» (отключить), чтобы отключить
широковещательную рассылку SSID. Беспроводные клиенты выполняют
поиск сети в зоне своего доступа и обнаруживают широковещательную
73
рассылку SSID устройства Linksys. Для большей безопасности отключите
широковещательную рассылку SSID.
4.5. Сохраните изменения перед переходом на следующий экран.
5. Настройка шифрования и аутентификации
5.1. Выберите вкладку «Wireless Security» (безопасность беспроводной
сети) на экране «Wireless» (беспроводная сеть).
5.1. Этот маршрутизатор поддерживает четыре типа настроек режима
безопасности: WEP, WPA, WPA Enterprise, RADIUS.
5.2. Выберите Security Mode (режимбезопасности) WPA Personal.
5.3. На следующем экране выберите алгоритм шифрования (строка
Encryption).
Чтобы защитить сеть, используйте самый высокий уровень
шифрования из предложенных для выбранного режима безопасности.
5.4. Для аутентификации введите предварительно согласованный ключ
длиной от 8 до 63 символов. Этот ключ является общим для устройства
Linksys и всех подключенных устройств.
5.5. Выберите период обновления ключа от 600 до 7 200 секунд.
Период обновления – время, через которое устройство Linksys изменяет
ключ шифрования.
5.6. Сохраните настройки до выхода из этого экрана.
6. Настройка фильтрации по MAC-адресам
6.1. Выберите вкладку «Wireless MAC Filter» (фильтр беспроводных
MAC-адресов) на экране «Wireless» (беспроводная). Окно настройки фильтра
беспроводных MAC-адресов устройства Linksys показано на рисунке 7.6.
74
6.2. Фильтрация по MAC-адресам позволяет только беспроводным
клиентам с указанными MAC-адресами подключаться к сети. Установите
переключатель «Permit PCs listed below to access the wireless network»
(разрешить указанным ниже ПК получать доступ к беспроводной сети).
Щелкните кнопку «Wireless Client List» (список беспроводных
клиентов), чтобы отобразить список всех беспроводных клиентских
компьютеров в сети.
6.3. На следующем экране можно указать, какие MAC-адреса могут
иметь доступ к беспроводной сети. Установите флажок «Save to MAC
Address Filter List» (сохранить в списке фильтра по MAC-адресам) для всех
клиентских устройств, которые следует добавить, а затем щелкните кнопку
«Add» (добавить). Все беспроводные клиенты, не указанные в списке, не
смогут подключиться к беспроводной сети. Сохраните настройки до выхода
из этого экрана.
Рисунок 7.6. – Окно настройки фильтра беспроводных MAC-адресов
устройства Linksys
75
Для выполнения работы необходимо использовать следующие
ресурсы: один коммутатор Cisco 2960 или другой совместимый коммутатор;
два маршрутизатора Cisco серии 1841 или эквивалентные, у каждого из
которых должен быть последовательный интерфейс и интерфейс Ethernet;
один ПК на базе ОС Windows и с программой эмуляции терминала,
установленный как узел; как минимум один консольный кабель с разъемами
RJ-45 и DB-9 для настройки маршрутизаторов и коммутатора; два прямых
кабеля Ethernet; один двойной (DTE/DCE) последовательный перекрестный
кабель.
1. Подключение оборудования
1.1. Подключите интерфейс Serial
0/0/0 маршрутизатора R1 к
интерфейсу Serial 0/0/0 маршрутизатора R2 посредством последовательного
кабеля, как показано на рисунке 7.7.
1.2. Подключите интерфейс Fa0/0 маршрутизатора R1 к порту Fa0/1
коммутатора S1 посредством прямого кабеля.
1.3. Подсоедините консольный кабель к ПК, чтобы провести настройку
маршрутизаторов и коммутатора.
1.4. Подключите узел H1 к порту Fa0/2 коммутатора S1 посредством
прямого кабеля.
Рисунок 7.7. – Топология сети
76
2. Настройка базовой конфигурации маршрутизатора R1
2.1. Подсоедините ПК к консольному порту маршрутизатора, чтобы
выполнить настройку с помощью программы эмуляции терминала.
2.2. Задайте на маршрутизаторе R1 согласно таблице адресации и
схеме топологии имя узла, интерфейсы, пароли, баннер новости дня и
отключите поиск DNS. Сохраните конфигурацию.
3. Настройка базовой конфигурации маршрутизатора R2
Выполните основные действия по настройке маршрутизатора R2 и
сохраните конфигурацию.
4. Настройка базовой конфигурации коммутатора S1
Задайте имя узла и пароли на коммутаторе S1 согласно схеме
топологии и таблице адресации.
5. Настройка IP-адреса, маски подсети и шлюза по умолчанию для
узла
5.1. Настройте правильный IP-адрес, маску подсети и шлюз по
умолчанию для узла. Узлу следует присвоить адрес 192.168.200.10/24, а
шлюзу по умолчанию - 192.168.200.1.
77
5.2. Рабочая станция должна иметь возможность проводить эхотестирование присоединенного маршрутизатора. Если эхо-запрос не
проходит, необходимо устранить неисправности. Проверьте, присвоен ли
рабочей станции необходимый IP-адрес и шлюз по умолчанию.
6. Настройка маршрутизации по протоколу RIP и проверка сквозной
связности сети
6.1. На маршрутизаторе R1 включите протокол маршрутизации RIP и
настройте его на оповещение обеих подсоединенных сетей.
6.2. На маршрутизаторе R2 включите протокол маршрутизации RIP и
настройте его на оповещение всех трех подсоединенных сетей.
6.3. Отправьте запрос с узла H1 на два логических loopback-интерфейса
на маршрутизаторе R2. Прошел ли эхо-запрос с узла H1 успешно?
Если ответ отрицательный, выполните поиск и устранение ошибок в
конфигурациях маршрутизатора и узла. Повторяйте отправку эхо-запросов до
положительного ответа и маршрутизатора, и узла.
7. Настройка и проверка стандартного ACL-списка
В топологии этой лабораторной работы логические loopbackинтерфейсы на маршрутизаторе R2 имитируют две сети класса С,
подсоединенные к маршрутизатору. ACL-списки будут использоваться для
контроля доступа к этим подсетям. Логический интерфейс loopback 0 будет
представлять сеть управляющих рабочих станций, а логический интерфейс
loopback 1 будет представлять инженерную сеть с ограниченным доступом.
В этой сети нужно, чтобы была хотя бы одна управляющая рабочая
станция
в
подсети
192.168.200.0/24,
наряду
с
остальными
78
пользовательскими рабочими станциями. Управляющей рабочей станции
присваивается
статический
IP-адрес
192.168.200.10.
Пользовательские
рабочие станции используют остальные IP-адреса в сети.
ACL-список должен давать доступ управляющей рабочей станции к
сетям, подсоединенным к маршрутизатору R2, но не давать доступ к этим
сетям с других узлов в сети 192.168.200.0.
Используется стандартный ACL-список, который будет размещен на
маршрутизаторе R2, потому что этот маршрутизатор является ближайшим
пунктом назначения.
7.1. Создайте
стандартный
ACL-список
на
маршрутизаторе
R2,
используемый для доступа к подсоединенным сетям. Данный ACL-список
будет предоставлять доступ узлу 192.168.200.10 и запрещатьвсемостальным.
R2(config)#access-list 1 permit 192.168.200.10
R2(config)#access-list 1 deny any
ПРИМЕЧАНИЕ. Неявная команда deny в конце списка контроля доступа
выполняет ту же самую функцию. Однако, добавление такой строки в ACLсписок помогает задокументировать эту функцию и считается правильным.
Если добавить эту команду явным образом, подсчитывается количество
пакетов, соответствующих этой команде, и администратор может видеть,
сколько пакетов было отклонено.
7.2. После создания ACL-списка он должен быть применен к
интерфейсу на маршрутизаторе. Используйте интерфейс Serial 0/0/0 для
управления сетями 192.168.1.0 и 192.168.2.0. Потенциальный трафик будет
79
идти
в
интерфейс;
поэтому
примените
ACL-список
во
входящем
направлении.
R2(config)#interface serial 0/0/0
R2(config-if)#ip access-group 1 in
7.3. Теперь, когда ACL-список создан и применен, используйте команду
show access-lists на маршрутизаторе R2 для просмотра ACL-списка.
Естьлисоответствияинструкции ACL-списка?
R2#show access-lists
Standard IP access list 1
10 permit 192.168.200.10
20 deny any
Отображается ли в выходных данных команды show access-lists
созданный ACL-список?
Отображается ли в выходных данных команды show access-lists то, как
применяется ACL-список?
7.4. Используйте команду show ip interface s0/0/0, чтобы отобразить
применение ACL-списка. Что могут сказать выходные данные команды show
ip interface об ACL-спиcке?
8. Проверка ACL-списка
8.1. С
узла
H1
отправьте
эхо-запрос
на
loopback-адрес
192.168.1.1.Успешно ли выполнен эхо-запрос?
80
8.2. С узла H1 отправьте эхо-запрос на loopback-адрес 192.168.2.1.
Успешно ли выполнен эхо-запрос?
8.3. Используйте команду show access-list еще раз.
Сколько
соответствий для первой инструкции ACL-списка (permit)?
R2#show access-lists
Standard IP access list 1
permit 192.168.200.10 (16 matches)
deny any
Сколько соответствий второй инструкции ACL-списка (deny)?
8.4. Просмотрите таблицу маршрутизации на маршрутизаторе R2,
используя команду show ip route. Какой маршрут пропал из таблицы
маршрутизации?
Маршрут пропал из таблицы маршрутизации потому, что ACL-список
допускает только пакеты от 192.168.200.10. Пакеты обновления RIP из
маршрутизатора R1 поступают от последовательного интерфейса Serial 0/0/0
маршрутизатора 192.168.100.1 и отклоняются ACL-списком. Поскольку
обновления RIP маршрутизатора R1, оповещающие о сети 192.168.200.0,
блокируются ACL-списком, маршрутизатор R2 не узнаёт о сети 192.168.200.0.
Ранее отправленные эхо-запросы не блокировались ACL-списком. Они не
прошли, потому что маршрутизатор R2 не смог вернуть ответ; маршрутизатор
R2 не знал, как достичь сети 192.168.200.0. На этом примере показано,
почему нужно аккуратно программировать ACL-списки и тщательно
проверять их на предмет функциональности.
81
8.5. Переделайте ACL-список на маршрутизаторе R2 так, чтобы он
получал обновления маршрутизациисмаршрутизатораR1.
R2(config)#no access-list 1
R2(config)#access-list 1 permit 192.168.200.10
R2(config)#access-list 1 permit 192.168.100.1
R2(config)#access-list 1 deny any
8.6. Отправьте эхо-запрос на 192.168.1.1 и 192.168.2.1 с узла H1.
Успешны ли теперь эхо-запросы?
8.7. Измените IP-адрес на узле H1 на 192.168.200.11.
8.8. Снова отправьте эхо-запрос на 192.168.1.1 и 192.168.2.1 с узла H1.
Успешно ли выполнены эхо-запросы?
8.9. Еще раз отобразите ACL-список с помощью команды show accesslists. Есть ли соответствия инструкции ACL-списка для 192.168.100.1?
Контрольные вопросы
1.
Как обеспечить безопасность беспроводной сети?
2.
Какие методы шифрования используются в беспроводной сети?
3.
Каково назначение идентификатора беспроводной сети (Service Set
Identifier – SSID)?
4.
Как влияет трансляция в эфир SSID и использование заданного по
умолчания SSID?
82
5.
Каково назначение демилитаризованной зоны (DMZ)?
6.
Какие
действия
необходимо
выполнить
для
настройки
демилитаризованной зоны (DMZ)?
7.
В чем заключается настройка ограничений доступа в Интернет на
основе IP-адреса?
8.
Каково назначение переадресации порта?
9.
Каково назначение стандартных ACL-списков?
10.
Каким является главное ограничение стандартных ACL-списков?
83
ЛИТЕРАТУРА
1.
Защита компьютерной информации. Эффективные методы и средства /
Шаньгин В. Φ. - М. : ДМК Пресс, 2010. - 544 с. : ил.
2.
Грибунин В.Г. Комплексная система защиты информации на
предприятии, 2009.
3.
Информационная безопасность и защита информации : [Учеб. пособие
для вузов. Допущено УМО] / В.П.Мельников, С.А.Клейменов,
А.М.Петраков
4.
Гашков С.Б., Применко Э.А., Черепнев М.А. Криптографические методы
защиты информации : учеб. пособие для вузов - Учеб.- метод.
объединение по образованию, 2010
5.
Игнатьев В.А. Защита информации в корпоративных информационновычислительных сетях / В.А.Игнатьев, 2005.
6.
Хорев П. Б. Методы и средства защиты информации в компьютерных
системах : учеб. пособие для вузов / П. Б. Хорев; Учеб.- метод.
объединение по образованию, 2008
7.
Шаньгин В. Ф. Комплексная защита информации в корпоративных
системах : учеб. пособие для вузов / В. Ф. Шаньгин; Учеб.-метод.
объединение по образованию, 2010.
8.
Хабракен Д. Маршрутизаторы Cisco. Практическое применение: Пер. с
англ.
-
М.:
ДМК
Пресс.
-
320
с.:
ил.
(Серия
"Защита
и
администрирование").
84