Рассылка закрыта
При закрытии подписчики были переданы в рассылку "Безопасность компьютерных сетей и защита информации" на которую и рекомендуем вам подписаться.
Вы можете найти рассылки сходной тематики в Каталоге рассылок.
← Ноябрь 2000 → | ||||||
1
|
2
|
4
|
5
|
|||
---|---|---|---|---|---|---|
6
|
7
|
8
|
9
|
10
|
11
|
12
|
13
|
14
|
15
|
16
|
18
|
19
|
|
20
|
21
|
22
|
23
|
24
|
25
|
26
|
27
|
28
|
29
|
30
|
Статистика
+263 за неделю
Защита информации, виртуальные сети VPN. Технология ViPNet.
Защита информации, виртуальные частные сети (VPN). Технология ViPNet. |
||||||||||
|
||||||||||
Здравствуйте, уважаемые подписчики! В очередном выпуске мы предлагаем Вам еще одну статью, уже больше ориентированную на технических специалистов, посвященную технологиям виртуальных частных сетей (VPN). |
||||||||||
Содержание выпуска: | ||||||||||
Введение в защищенные виртуальные сети. | ||||||||||
Общие сведения Безопасность информационного взаимодействия локальных сетей и отдельных компьютеров через открытые сети, например, через сеть Internet, требует качественного решения двух базовых задач:
Решение первой задачи основано на использовании рассмотренных выше межсетевых экранов (брандмауэров), поддерживающих безопасность информационного взаимодействия путем фильтрации двустороннего потока сообщений, а также выполнения функций посредничества при обмене информацией. Для защиты локальных сетей брандмауэр располагают на стыке между локальной и открытой сетью. Для защиты отдельного удаленного компьютера, подключенного к открытой сети, программное обеспечение межсетевого экрана устанавливается на этом же компьютере, а сам межсетевой экран в этом случае называют персональным. Защита информации в процессе передачи по открытым каналам связи основана на выполнении следующих функций:
Перечисленные функции во многом связаны друг с другом, и их реализация основана на криптографической защите передаваемых данных. Высокая эффективность такой защиты обеспечивается за счет совместного использования симметричных и асимметричных криптографических систем . Объединение локальных сетей и отдельных компьютеров через открытую внешнюю среду передачи информации в единую виртуальную сеть, обеспечивающую безопасность циркулирующих данных, называют защищенной виртуальной сетью (Virtual Private Network - VPN ). Виртуальная сеть формируется на основе каналов связи открытой сети. Сам термин «виртуальная» подчеркивает, что каналы связи виртуальной сети моделируются с помощью каналов связи реальной. Открытая сеть может служить основой для одновременного сосуществования множества виртуальных сетей, количество которых определяется пропускной способностью открытых каналов связи. Открытую внешнюю среду передачи информации можно разделить на среду скоростной передачи данных, в качестве которой может использоваться сеть Internet, а также более медленные общедоступные каналы связи, в качестве которых чаще всего применяются каналы телефонной сети. Наиболее эффективным способом объединения локальных сетей и удаленных компьютеров является объединение на основе глобальной сети Internet. В случае отсутствия непосредственного подключения доступ к Internet может осуществляться и через телефонную сеть. Организация виртуальных сетей на основе Internet обладает рядом преимуществ:
Виртуальную сеть, использующую в качестве внешней среды передачи информации глобальную сеть Internet, часто называют еще сетью Extranet . Эффективность использования виртуальных сетей во многом определяется степенью защищенности информации, циркулирующей по открытым каналам связи. Безопасность информационного обмена необходимо обеспечить как в случае объединения локальных сетей, так и в случае доступа к локальным сетям удаленных пользователей. Защита информации в процессе ее передачи по открытым каналам основана на построении защищенных виртуальных каналов связи, называемых криптозащищенными туннелями или туннелями VPN . Каждый такой туннель представляет собой соединение, проведенное через открытую сеть, по которому передаются криптографически защищенные пакеты сообщений виртуальной сети. Для защиты от повтора, удаления и задержек пакетов сообщений, передаваемых по туннелю VPN, используются встроенные возможности стека протоколов TCP/IP. Для защиты от повтора, удаления и задержек на уровне отдельных сообщений в состав каждого сообщения подсистемой защиты прикладного уровня должна добавляться дополнительная информация. В качестве такой дополнительной информации могут использоваться номера, случайные числа, а также отметки времени. С целью защиты от отказа получения сообщений подсистема защиты прикладного уровня должна предусматривать при приеме каждого сообщения передачу отправителю уведомления о получении сообщения. Такое уведомление должно криптографически подписываться получателем сообщения. Защита от отказа отправления сообщения , т.е. защита от непризнания цифровой подписи может быть обеспечена только правовыми и организационными мерами по приданию цифровой подписи юридической силы. Чтобы предотвратить отказы от открытых ключей, а соответственно и отказы от цифровой подписи обмен открытыми ключами должен подкрепляться юридической процедурой. Способы создания защищенных виртуальных каналовЛюбой из двух узлов виртуальной сети, между которыми формируется защищенный туннель, может принадлежать конечной или промежуточной точке защищаемого потока сообщений. Соответственно возможны различные способы образования защищенного виртуального канала Вариант, когда конечные точки защищенного туннеля совпадают с конечными точками защищаемого потока сообщений, является с точки зрения безопасности лучшим. В этом случае обеспечивается полная защищенность канала вдоль всего пути следования пакетов сообщений. Однако такой вариант ведет к децентрализации управления и избыточности ресурсных затрат. Требуется установка средств создания защищенных туннелей на каждый клиентский компьютер локальной сети, что усложняет централизованное управление доступом к компьютерным ресурсам и экономически не всегда оправдано. В большой сети отдельное администрирование каждого клиентского компьютера с целью конфигурирования в нем средств защиты является достаточно трудоемкой процедурой. Поэтому, если отсутствует необходимость защиты трафика внутри локальной сети, входящей в виртуальную сеть, то в качестве конечной точки защищенного туннеля целесообразно выбрать брандмауэр или пограничный маршрутизатор этой локальной сети. В случае же, когда внутри локальной сети поток сообщений также должен быть защищен, то в качестве конечной точки туннеля в этой сети должен выступать компьютер, представляющий одну из сторон защищенного взаимодействия. При доступе к локальной сети удаленного пользователя компьютер этого пользователя также должен быть конечной точкой защищенного виртуального канала. Распространен также вариант, характеризующийся более низкой безопасностью, но более высоким удобством применения. Согласно данному варианту рабочие станции и серверы локальной сети, а также удаленные компьютеры не участвуют в создании защищенного туннеля, который прокладывается только внутри публичной сети с коммутацией пакетов, например, внутри Internet. В качестве конечных точек такого туннеля чаще всего выступают провайдеры Internet и/или пограничные маршрутизаторы (брандмауэры) локальной сети. При удаленном доступе к локальной сети туннель создается между сервером удаленного доступа провайдера Internet, а также пограничным провайдером Internet или маршрутизатором (брандмауэром) локальной сети. При объединении локальных сетей туннель формироваться только между пограничными провайдерами Internet и/или маршрутизаторами (брандмауэрами) локальной сети. Аргументацией в пользу описанного варианта создания виртуальных сетей выступает тот факт, что уязвимыми для злоумышленников в большей степени являются сети с коммутацией пакетов, такие, как Internet, а не каналы телефонной сети или выделенные каналы связи. Виртуальные сети, построенные по данному варианту, обладают хорошей масштабируемостью и управляемостью. Для клиентских компьютеров и серверов локальной сети, входящей в виртуальную сеть, защищенные туннели полностью прозрачны и программное обеспечение этих узлов остается без изменений. Однако по причине того, что часть защищаемого трафика проходит в незащищенном виде по публичным каналам связи, данный вариант существенно снижает безопасность информационного взаимодействия. Кроме того, большая часть работы по созданию защищенных туннелей ложится на провайдеров, которым необходимо доверять и платить. Создание защищенного туннеля выполняют компоненты виртуальной сети, функционирующие на узлах, между которыми формируется туннель. Эти компоненты принято называть инициатором и терминатором туннеля. Инициатор туннеля инкапсулирует (встраивает) пакеты в новый пакет, содержащий наряду с исходными данными новый заголовок с информацией об отправителе и получателе. Хотя все передаваемые по туннелю пакеты являются пакетами IP, инкапсулируемые пакеты могут принадлежать к протоколу любого типа, включая пакеты немаршрутизируемых протоколов, таких, как NetBEUI. Маршрут между инициатором и терминатором туннеля определяет обычная маршрутизируемая сеть IP, которая может быть и сетью, отличной от Internet. Терминатор туннеля выполняет процесс, обратный инкапсуляции - он удаляет новые заголовки и направляет каждый исходный пакет в локальный стек протоколов или адресату в локальной сети. Сама по себе инкапсуляция никак не влияет на защищенность пакетов сообщений, передаваемых по туннелю VPN. Но благодаря инкапсуляции появляется возможность полной криптографической защиты инкапсулируемых пакетов. Конфиденциальность инкапсулируемых пакетов обеспечивается путем их криптографического закрытия, т.е. зашифрования, а целостность и подлинность – путем формирования цифровой подписи. Поскольку существует большое множество методов криптозащиты данных, очень важно, чтобы инициатор и терминатор туннеля использовали одни и те же методы и могли согласовывать друг с другом эту информацию. Кроме того, для возможности расшифровывания данных и проверки цифровой подписи при приеме инициатор и терминатор туннеля должны поддерживать функции безопасного обмена ключами. Чтобы туннели VPN создавались только между уполномоченными пользователями, конечные стороны взаимодействия требуется аутентифицировать.(продолжение в следующем выпуске...) По материалам Государственного унитарного предприятия Специализированный Центр Программных Систем “СПЕКТР” |
||||||||||
Новости | ||||||||||
CORNER: первый макро вирус для MS PROJECT "Лаборатория Касперского" сообщает об обнаружении первого в мире компьютерного макро вируса Macro.Office.Corner, способного заражать файлы известного офисного приложения Microsoft Project. Corner является многоплатформенным макро вирусом, заражающим как файлы формата MS Project, так и MS Word. Возможность заражения этих двух приложений основана на присутствии в программном коде вируса двух функций: при работе с инфицированными документами первая из них автоматически запускается MS Word, вторая - MS Project. Эти функции имеют различные названия в шаблоне NORMAL.DOT, зараженных документах Word и проектах Project. Процедуры размножения вируса стандартны для других макро вирусов, ориентированных на приложения MS Office: вирус определяет активный документ или проект и добавляет в него свой код при помощи стандартных команд языка программирования VBA (Visual Basic for Applications). Вирус безопасен и никак не проявляется. Присутствие вируса Corner в документах может быть определено по комментариям, которые он вставляет в зараженные файлы: I never realized the lengths I"d have to go All the darkest corners of a sense I didn"t know Just for one moment hearing someone call Looked beyond the day in hand There's nothing there at all Project98/Word97-2k Closer "Этот макро вирус не представляет опасности для компьютерных пользователей. Он является лишь "пробой пера", распространенной для проверки работоспособности вируса. Однако не исключено, что в будущем мы столкнемся с подобными вирусами, несущими гораздо более опасный заряд разрушительного действия", - сказал руководитель антивирусной лаборатории компании Евгений Касперский. Процедуры обнаружения и удаления вируса Macro.Office.Corner добавлены во внеочередное обновление антивирусных баз AntiViral Toolkit Pro (AVP). (источник - http://www.safety-net.ru, опубликовано 01.11.2000) |
||||||||||
Взломан сайт, посвященный системам безопасности Стало известно, что хакерское нападение на сайт AntiOnline, специализирующийся на информации о системах безопасности, совершенное в выходные дни, является первой удачной атакой после 9 млн. неудавшихся попыток. Как сообщает vnunet.com, хакер, известный под ником n1nor взломал сайт и разместил на первой страницы сайта сообщение об атаке. По словам одного из основателей AntiOnline Джона Вранесевича (John Vranesevich), сайт не работал только полчаса, а исследования и базы данных остались в полной сохранности. "На наш основной домен было совершено около 9 млн. атак. Кому-то в конце концов удалось нанести ему ущерб", - сказал г-н Вранесевич. По словам г-на Вранесевича, причиной того, что атака удалась стала уязвимость скрипта CGI при распознавании данных, передаваемых ему конечными пользователями. Из 65 скриптов CGI, используемых компанией, один содержал ошибку. (источник - http:// www.cnews.ru, опубликовано 01.11.20002) |
||||||||||
|
||||||||||
Российский ученый подозревается в краже технологии "стелс" Некий Алексей Еремин из Москвы проник в суперкомпьютер американской авиастроительной корпорации Lockheed Martin и похитил корпоративные данные, касающиеся конструкции военного самолета, - сообщает в понедельник MSNBC. Хакер воспользовался информацией, известной ему по службе, а также слабыми местами в системе безопасности. Все это было проделано в 1997 году, тогда же ФБР и Группа специальных расследований ВВС (OSI - Air Force Office of Special Investigations) начали совместное расследование утечки данных по технологиям "стелс". В результате, три года спустя, ФБР вышло на Алексея Еремина, который теперь подозревается в шпионаже. Еремин является вице-президентом компьютерной фирмы в городе Ботелла (пригород Сиэтла), участвовавшей в разработках программного обеспечения процессов моделирования при создании самолетов "стелс" компании Lockheed. Формально во время совместной работы Еремин контактировал только с несекретной информацией. Однако компетентные лица сообщили прессе, что часть этой информации должна была классифицироваться как совершенно секретная. Пока официальные обвинения не предъявлены и никаких санкций на арест не выдано. У одного из служащих Lockheed, с которым близко контактировал Еремин, агенты изъяли домашний компьютер. Этот 38-летний служащий, по собственному признанию, только сейчас понял, как ловко им манипулировал русский. По одной из версий, Еремин мог получить доступ к суперкомпьютеру Lockheed через домашний компьютер служащего. 10 лет назад предприниматель Расс Сарбора из Ботеллы пригласил Еремина из тогда еще СССР, где тот работал в Центральном аэро-гидродинамическом институте ( ЦАГИ). Еремин привлек внимание американца тем, что разработал алгоритм, посредством которого можно было производить объемные вычисления, связанные с моделированием сложных процессов, на обычных компьютерах, - в то время как те же задачи американцы выполняли на суперкомпьютерах стоимостью в десятки миллионов долларов. Сарбора и Еремин создали фирму Elegant Mathematics со штаб-квартирой в Москве, в которую набрали около 20 высококлассных российских специалистов - математиков, физиков, программистов из Академии Наук, МГУ и Математического института Стеклова. Сейчас Сарбора заявляет, что шокирован тем, что его партнер подозревается в шпионаже. Сам Еремин сейчас находится в Москве и отказывается комментировать обвинения в шпионаже. Спецслужбы США пока заявляют, что ущерб, нанесенный обороноспособности страны в данном случае оценить трудно, но он не столь уж велик. Независимые эксперты, наоборот, утверждают, что последствия утечки технологии будут катастрофическими. Интересно, что американцы опасаются того, чего опасаться стоило бы в наименьшей степени. Вряд ли у России сейчас найдутся деньги для реализации собственной программы "самолета-невидимки", даже при наличии готовых расчетов и чертежей. А вот поэкспериментировать с модернизацией средств ПВО - с учетом полученных знаний - было бы весьма разумно. (источник - http://www.netoscope.ru, опубликовано 01.11.2000) |
||||||||||
Япония готовится к применению электронного оружия по борьбе с хакерами Британская газета The Telegraph пишет о серьезной подготовке Японии к применению электронного оружия по борьбе с хакерами, которые, в последнее время, усилили атаки на правительственные компьютеры, сообщает Infomessage. По словам представителя японского Агентства Безопасности, ведущие специалисты в области компьютерных технологий осуществляют разработку программного материала, способного отразить вирусные атаки, а также попытки хакерских взломов системы. Стимулом к работе в данном направлении послужила хакерская атака в январе 2000 г., в результате которой были взломаны веб-сайты Агентства Науки и Технологий, а также Агентства Менеджмента и Управления. Подозрения пали на китайских хакеров, т.к. в результате инцидентов на правительственных сайтах остались ссылки на порносайты и надписи на китайском языке, осуждающие бесчинства Японской Армии во время Второй Мировой Войны. По мнению специалистов, правительству Японии не по силам контролировать интернет, т.к. сайты вполне доступны для вторжения, которое не остановит ни одна программа. (источник - http://www.safety-net.ru, опубликовано 01.11.2000) |
||||||||||
Русский хакер украл исходный код Windows? Представители Microsoft сообщили, что теперь компания будет уделять больше внимания своей безопасности, причиной этого заявления послужила успешная хакерская атака и проникновение в корпоративную сеть Microsoft. "Это был весьма прискорбный акт промышленного шпионажа", - заявил представитель компании Рик Миллер (Rick Miller) - Мы отнеслись к этому очень серьезно и сделаем все возможное, чтобы подобный случай не повторился." Microsoft обратилась за помощью к ФБР, чтобы провести расследование этого дела. Как утверждает The Wall Street Journal , "автором" взлома является некий хакер из Санкт-Петербурга, пытавшийся похитить исходные коды Microsoft"s Windows и Office . Представители Microsoft пока что затрудняются определить были ли похищены какие либо файлы. Исходный код Windows стал причиной разбирательства между Microsoft и Комитетом по антимонопольной политике США, который требовал опубликовать этот код. Если некий "русский хакер" действительно заполучил его, то Microsoft придется проститься со всеми привилегиями, которые давало ей монопольное знание различных недокументированных подробностей своей ОС. (источник - http:// www.cnews.ru, опубликовано 27.10.2000) |
||||||||||
"Большая восьмерка" призвала к созданию минимальных международных стандартов безопасности в Сети Собравшиеся в Берлине представители стран "большой восьмерки" призвали к созданию минимальных международных стандартов безопасности в Сети, сообщает Yahoo! Actualites. Около ста экспертов, заседавших в течение трех дней, призвали развитые страны создать стандарты, защищающие пользователей от махинаций, а также административные органы, которые боролись бы с нарушениями закона, пиратством и хакерством в Интернете. Канцлер ФРГ Герхард Шредер заявил, что создание международных стандартов электронной безопасности - основной шаг на пути к завоеванию доверия пользователей Сети и борьбы с преступностью. "Преступность в Интернете - это глобальная проблема, и бороться с ней можно только при помощи глобальных мер: улучшение координации международного сотрудничества, и прежде всего разработка минимальных стандартов.," - заявил г-н Шредер. Специалисты по проблемам Интернета стран "большой восьмерки" заявили, что разработка единых стандартов - проблема не простая, так как необходимо принять во внимание культурные особенности всех стран. Эксперты считают, что в качестве основы для таких стандартов можно было бы использовать американские системы расчетов в Интернете, а также электронную подпись, что позволит, в частности, развивать электронный бизнес. В ходе вчерашней конференции министр иностранных дел Германии Йошка Фишер (Joschka Fischer) сообщил, что совокупный убыток всех стран от преступности в Интернете составляет $42,5 млрд., а в будущем этот показатель увеличится. Конференция в Берлине - третий этап обсуждения вопросов электронной безопасности странами "большой восьмерки". До этого эта проблема обсуждалась в Париже и Окинаве. Следующая встреча экспертов назначена на май 2001 года в Токио. (источник - http://www.cnews.ru, опубликовано 27.10.2000) |
||||||||||
Американские хакеры взламывают сайты для рекламы, а европейские - ради заработка
|
||||||||||
Анонсы событий | ||||||||||
Компания "Инфотекс" организует беспрецедентную акцию "Работая удаленно - будь рядом". В рамках акции, проводящейся с 16 октября по 31 декабря 2000 года, любой желающий сможет получить удаленный доступ в корпоративную сеть компании "Инфотекс" и, используя все функции, доступные сотрудникам компании, оценить возможности ПО ViPNet. Каждый, участник акции сможет воспользоваться следующими функциями ПО ViPNet: - Защищенная деловая почта - позволяет клиентам сети осуществлять обмен электронной почтой в защищенном виде - Защищенный доступ к базам данных - позволяет поставщикам и пользователям ценной деловой информации защитить ее от несанкционированного доступа - Защищенный файловый обмен - позволяет клиентам сети обмениваться файлами в режиме on-line в защищенном виде - Защищенная конференция – позволяет организовать диалог двух или более клиентов сети в реальном времени в защищенном режиме - Мониторинг и идентификация – позволяет блокировать попытки постороннего доступа к защищенным ресурсам и идентифицировать несанкционированные обращения по IP адресам и доменным именам. Если Вы желаете принять участие в нашей акции, Вам необходимо:
*Мы рекомендуем организациям для участия в акции присылать заявки на 2-3 участников. Подробности на сайте компании "Инфотекс" - http://www.infotecs.ru
|
||||||||||
Познакомиться
с нашими решениями можно на web-сервере - http://www.infotecs.ru
Полнофункциональные
демо-версии продуктов ViPNet Desk, ViPNet Office,
ViPNet Tunnel находятся по адресу
|
||||||||||
С уважением, ведущий рассылки Олег Карпинский. |
http://subscribe.ru/
E-mail: ask@subscribe.ru |
В избранное | ||