1. Основні поняття криптографії.

2. Політика безпеки.
3. Моделі мережевої безпеки.

Криптографія сьогодні – це найважливіша частина усіх інформаційних систем: від

електронної пошти до стільникового зв'язку, від доступу до мережі Інтернет до електронної
готівки. Криптографія забезпечує підзвітність, прозорість, точність та конфіденційність.
Вона запобігає спробам шахрайства в електронній комерції і забезпечує юридичну чинність
фінансових транзакцій. Криптографія допомагає встановити особистість, але і забезпечує
анонімність.
Криптографія виникла як дисципліна, яка вивчає і розробляє способи шифрування
повідомлень. Суть шифрування полягає тому що повідомлення повинно бути записане так,
щоб з його вмістом не міг ознайомитися ніхто за винятком самих кореспондентів.
Криптографія – це наука про забезпечення безпеки даних. Вона займається пошуками
рішень чотирьох важливих проблем безпеки – конфіденційності, автентичність, цілісності і
контролю учасників взаємодії. Шифрування – це перетворення даних у нечитабельну форму,
використовуючи ключі шифрування-розшифровки. Шифрування дозволяє забезпечити
конфіденційність, зберігаючи інформацію в таємниці від того, кому вона не призначена.
Для рішення проблем захисту даних від несанкціонованого доступу розроблено
чимало як цілком доступних для будь-якого користувача невеликих програм, які працюють
на загальнодоступних або фірмових запатентованих і ліцензованих алгоритмах шифрування,
так і досить дорогих та потужних програмно-апаратних комплексів.

Основні поняття і визначення

Засоби мережевої безпеки — міри запобігання порушень безпеки, які виникають при
передачі інформації з мереж, а також міри, які дозволяють визначати, що такі порушення
безпеки мали місце.

"Безпека" містить у собі не тільки поняття захисту, але також і перевірку

автентичності, аудит, виявлення проникнення.
Власник визначає безліч інформаційних цінностей, які повинні бути захищені від
різного роду атак.
Атаки здійснюються супротивниками або опонентами, що використовують різні
уразливості.
Основними порушеннями безпеки є розкриття інформаційних цінностей (втрата
конфіденційності), їхня неавторизована модифікація (втрата цілісності) або неавторизована
втрата доступу до цих цінностей (втрата доступності).
 Взаємозв'язок основних понять безпеки інформаційних систем

Основні визначення
Уразливість – слабке місце в системі, з використанням якого може бути здійснена
атака.

Ризик – імовірність того, що конкретна атака буде здійснена з використанням

конкретної уразливості. В остаточному підсумку, кожна організація повинна ухвалити
рішення щодо припустимого для неї рівня ризику. Це рішення повинно знайти відбиття в
політиці безпеки, прийнятої в організації.
Політика безпеки - правила, директиви і практичні навички, які визначають те, як
інформаційні цінності обробляються, захищаються та поширюються в організації і між
інформаційними системами; набір критеріїв для надання сервісів безпеки.
Атака – будь-яка дія, яка порушує безпеку інформаційної системи. Більш формально
можна сказати, що атака - це дія або послідовність зв'язаних між собою дій, які
використовують уразливості даної інформаційної системи і приводять до порушення
політики безпеки.
Механізм безпеки – програмний і/або апаратний засіб, який визначає і/або запобігає
атаці.

Сервіс безпеки – сервіс, що забезпечує безпеку систем, яка задається політикою, і/або
даними, або визначає здійснення атаки. Сервіс використовує один або більше механізмів
безпеки.

Модель мережевої безпеки

Класифікація мережевих атак
У загальному випадку існує інформаційний потік від відправника (файл, користувач,
комп'ютер) до одержувача (файл, користувач, комп'ютер):
 Інформаційний потік
I. Пасивна атака
Пасивною називається така атака, при якій супротивник не має можливості
модифікувати передані повідомлення і вставляти в інформаційний канал між відправником
та одержувачем свої повідомлення. Метою пасивної атаки може бути тільки
прослуховування переданих повідомлень і аналіз трафіка.

Пасивна атака
II. Активна атака
Активною називається така атака, при якій супротивник має можливість
модифікувати передані повідомлення і вставляти свої повідомлення.
Типи активних атак:
1. Відмова в обслуговуванні - DoS-атака (Denial of Service)
Відмова в обслуговуванні порушує нормальне функціонування мережевих сервісів.
Супротивник може перехоплювати всі повідомлення, що направляються певному адресатові.
Іншим прикладом подібної атаки є створення значного трафіка, у результаті чого
мережевий сервіс не зможе обробляти запити законних клієнтів.

DoS-атака
2. Модифікація потоку даних - атака "man in the middle"
Модифікація потоку даних означає або зміну вмісту повідомлення, що пересилається,
або зміну порядку повідомлень.

Атака "man in the middle"

3. Створення помилкового потоку (фальсифікація)

Фальсифікація (порушення автентичності) означає спробу одного суб'єкта видати
себе за іншого.

Створення помилкового потоку

4. Повторне використання
Повторне використання означає пасивне захоплення даних з наступним їхнім
пересиланням для одержання несанкціонованого доступу - replay-атака
 Replay-атака
Сервіси безпеки
Основними сервісами безпеки є:
Конфіденційність - запобігання пасивних атак для переданих або збережених даних.
Автентичність - підтвердження того, що інформація отримана із законного джерела,
і одержувач дійсно є тим, за кого себе видає. У випадку передачі єдиного повідомлення
автентичність повинна гарантувати, що одержувачем повідомлення є той, хто потрібно, і
повідомлення отримане із заявленого джерела.
У випадку встановлення з'єднання мають місце два аспекти.
• По-перше, при ініціалізації з'єднання сервіс повинен гарантувати, що обоє
учасників є необхідними.
• По-друге, сервіс повинен гарантувати, що на з'єднання не впливають таким чином,
що третя сторона зможе маскуватися під одну з легальних сторін уже після
встановлення з'єднання.
Цілісність - сервіс, який гарантує, що інформація при зберіганні або передачі не
змінилася. Може застосовуватися до потоку повідомлень, єдиного повідомлення або
окремим полям у повідомленні, а також до збережених файлів і окремих записів файлів.
Неможливість відмови - неможливість, як для одержувача, так і для відправника,
відмовитися від факту передачі. Таким чином, коли повідомлення відправлене, одержувач
може переконатися, що це зробив легальний відправник. Аналогічно, коли повідомлення
прийшло, відправник може переконатися, що воно отримано легальним одержувачем.
Контроль доступу - можливість обмежити і контролювати доступ до систем і
додатків по комунікаційних лініях.
Доступність - результатом атак може бути втрата або зниження доступності того
або іншого сервісу. Даний сервіс призначений для того, щоб мінімізувати можливість
здійснення DoS-атак.
Механізми безпеки
Алгоритми симетричного шифрування - алгоритми шифрування, у яких для
шифрування і дешифрування використовується той самий ключ або ключ дешифрування
легко може бути отриманий із ключа шифрування.
Алгоритми асиметричного шифрування - алгоритми шифрування, у яких для
шифрування і дешифрування використовується два різних ключі, названі відкритим і
закритим ключами, причому, знаючи один із ключів, обчислити інший неможливо.
Хеш-функції - функції, вхідним значенням яких є повідомлення довільної довжини, а
вихідним значенням – повідомлення фіксованої довжини. Хеш-функції володіють рядом
властивостей, які дозволяють із високою часткою ймовірності визначати зміну вхідного
повідомлення.
 Модель мережевої взаємодії

Модель мережевої безпеки

Засоби безпеки необхідні, якщо потрібно захистити передану інформацію від

супротивника, що може являти загрозу конфіденційності, автентичності, цілісності і т.п.
Всі технології підвищення безпеки мають два компоненти:
1. Відносно безпечна передача інформації. Прикладом є шифрування, коли
повідомлення змінюється таким чином, що супротивник не може його прочитати, і
доповнюється кодом, який заснований на вмісті повідомлення і може
використовуватися для автентичності відправника та забезпечення цілісності
повідомлення.
2. Деяка секретна інформація, спільна для обох учасників і невідома супротивникові.
Прикладом є ключ шифрування.
З даної загальної моделі випливають три основні завдання, які необхідно вирішити
при розробці конкретного сервісу безпеки:
1. Розробити алгоритм шифрування/дешифрування для виконання безпечної
передачі інформації. Алгоритм повинен бути таким, щоб супротивник не міг
розшифрувати перехоплене повідомлення, не знаючи секретну інформацію.
2. Створити секретну інформацію, використовуючи алгоритм шифрування.
3. Розробити протокол обміну повідомленнями для розподілу секретної інформації
таким чином, щоб вона не стала відома супротивникові.