Розробка підсистеми захисту корпоративної інформаційно-комунікаційної системи організації з використанням криптографічних засобів DES

Гальона Т.Л

 

 

 

 

Змн.

Арк.

№ докум.

 

 

 

 

 

Підпис

Дата

Арк.

 

ЖВІ НАУ.13.170101.03.000

09.ГГ.442.100.000--КР

  Єфіменко А.А .

 

 

 

 

 

ВСТУП

На сучасному етапі  розвитку всього людства необхідною складовою їх життя є застосування комп'ютера та комп’ютерних технологій в цілому. У всіх організаціях та в ланках виробничого процесу комп’ютери є невід'ємною частиною функціонування всієї організації або підприємства, так як комп’ютерні технології покращують та забезпечують безперервний процес роботи. Але для оптимальної та інтенсивної роботи всієї організації одного комп'ютера мало, а тому необхідно використовувати певну сукупність комп’ютерної техніки.

При цьому виникає проблема встановлення взаємодії кількох  комп’ютерів між собою для  обміну інформацією, а також забезпечення конфіденційності, цілісності та доступності інформації при її передачі.  Для усунення цієї проблеми було розроблено та введено в користування таке поняття як «комп’ютерна мережа», яка включає в себе різні методи та способи захисту інформації.

Створення розвиненого і  захищеного інформаційного середовища є невід’ємною умовою розвитку суспільства та держави. Використання комп’ютерних мереж розширило можливості комп’ютерів, так як вони стали не лише засобами обробки інформації, але й засобами обміну  цією інформацією підвищуючи продуктивність роботи всієї організації та полегшенням взаємодії різних ланок при процесі виробництва та контролю.

Проблеми, що виникають з  безпекою передачі інформації при роботі в комп'ютерних мережах, можна  розділити на три основні типи:

1. перехоплення інформації - цілісність інформації зберігається, але її конфіденційність порушена;

2) модифікація інформації - вихідне повідомлення змінюється  або повністю підміняється іншим  і відсилається адресату;

3) підміна авторства інформації.

Метою створення даного курсового  проекту є розробка підсистеми захисту корпоративної інформаційно-комунікаційної системи організації з використанням криптографічних засобів DES.

Для досягнення поставленої  мети необхідно вирішити ряд завдань, таких як:

• провести дослідження технологій захисту інформаційно-комунікаційних систем, які використовують алгоритм шифрування DES;
• провести дослідження симетричного алгоритму шифрування DES, що застосовується в забезпеченні конфіденційності у комп’ютерних мережах;
• розробити топологію комп’ютерної мережі;
• розробити систему адресації для створеного проекту мережі;
• провести вибір апаратного забезпечення для функціонування комп’ютерної мережі та здійснити його налагодження.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

1 ТЕОРЕТИЧНІ ОСНОВИ ПОБУДОВИ ПІДСИСТЕМИ ЗАХИСТУ ІНФОРМАЦІЇ В ІНФОРМАЦІЙНО-КОМУНІКАЦІЙНИХ СИСТЕМАХ

1. Технологія VPN

1.1.1 Загальні  відомості про технологію

Сучасний розвиток інформаційних  технологій і, зокрема, мережі Internet, призводить до необхідності захисту інформації, переданої в рамках розподіленої корпоративної мережі, що використовує мережі відкритого доступу. Не кожна компанія може собі дозволити мати власні фізичні канали доступу, саме тому в таких випадках є можливість використання технології VPN, що забезпечує достатню гнучкість й одночасно високу безпеку мережі, а також істотну економію витрат. Розглянемо детальніше дану технологію.

Абревіатура VPN розшифровується  як Virtual Private Network - "віртуальна приватна мережа". Суть цієї технології в тому, що при підключенні до VPN сервера  за допомогою спеціального програмного  забезпечення поверх загальнодоступної  мережі у вже встановленому з'єднанні  організовується зашифрований канал, що забезпечує високий захист переданої з цього каналу інформації за рахунок застосування спеціальних алгоритмів шифрування. Структура VPN включає в себе канали глобальної мережі, захищені протоколи і маршрутизатори.

Можливості VPN:

• повністю центpалізоване упpавління;
• простота в адмініструванні;
• використовується механізм тунелювання (інкапсуляція) заснована на RFC-1234;
• підтримує кілька пpотоколів (IPX по IP і IP чеpез IP);
• легко додаються члени в VPN;
• можливість захисту:

а) LAN-LAN тpафік (для Intranet);

б) LAN-WAN-LAN тpафік (між корпоративними мережами чеpез Internet).

• використання стандартних криптографічних алгоритмів:

а) RC2 - алгоpитм шифрування (40/128 bits);

б) DSA - алгоpитм автоpизаціі (512 bits);

в) Diffie-Hellman алгоpитм для обміну ключами (512 bits);

г) MD5 - алгоpитм для контpолю за цілісністю.

• вбудована система обміну ключами;
• підтримує до 256 тунелів на пpотокол;
• інтегрується з Firewall'ом від Novell або іншим FireWall pішенням.

1.1.2 Принцип роботи технології VPN

VPN-пристрій розташовується між внутрішньою мережею і Інтернет на кожному кінці з'єднання. Коли дані передаються через VPN, вони зникають «з поверхні» в точці відправки і знову з'являються тільки в точці призначення. Цей процес прийнято називати «тунелюванням». Це означає створення логічного тунелю в мережі Інтернет, який з'єднує дві крайні точки (рисунок 1.1).

Рисунок 1.1 — Принци технології VPN

Завдяки тунелюванню інформація стає невидимою для інших користувачів Іnternet. Перш ніж потрапити в тунель, дані шифруються, що забезпечує їх додатковий захист. Протоколи шифрування бувають різні. Все залежить від того, який протокол тунелювання підтримується тим або іншим VPN-рішенням.

Ще однією важливою характеристикою VPN-рішень є діапазон підтримуваних протоколів аутентифікації. Більшість популярних продуктів працюють зі стандартами, заснованими на використанні відкритого ключа, такими як X.509. Це означає, що, посиливши свою віртуальну приватну мережу відповідним протоколом аутентифікації, є можливість встановлювати доступ до захищених тунелів тільки користувачам даної локальної мережі.

Можна виділити чотири основні  варіанти побудови мережі VPN, які використовуються у всьому світі. Дана класифікація пропонується компанією Check Point Software Technologies:

1. Intranet VPN — дозволяє об'єднати в єдину захищену мережу декілька розподілених філій однієї організації, взаємодіючих по відкритих каналах зв'язку. Саме цей варіант отримав широке поширення у всьому світі, і саме його в першу чергу реалізують компанії-розробники;
2. Remote Access VPN — реалізує захищену взаємодію між сегментом корпоративної мережі (центральним офісом або філією) та користувачем, який підключається до корпоративних ресурсів з дому (домашній користувач) або через ноутбук (мобільний користувач). Даний варіант відрізняється від першого тим, що користувач, як правило, не має статичної адреси, і він підключається до захищеного ресурсу не через виділений пристрій VPN, а прямо зі свого власного комп'ютера, на якому і встановлюється програмне забезпечення, що реалізує функції VPN. Компонент VPN для віддаленого користувача може бути виконаний як в програмному, так і в програмно-апаратному вигляді;
3. Client/Server VPN — забезпечує захист переданих даних між двома вузлами корпоративної мережі. Особливість даного варіанту в тому, що VPN будується між вузлами, що перебувають, як правило, в одному сегменті мережі, наприклад, між робочою станцією і сервером. Така необхідність дуже часто виникає в тих випадках, коли в одній фізичній мережі необхідно створити декілька логічних мереж. Цей варіант схожий на технологію VLAN, але замість поділу трафіку, використовується його шифрування;
4. Extranet VPN — призначений для тих мереж, до яких підключаються так звані користувачі "з боку" (партнери, замовники, клієнти і т.д.), рівень довіри до яких набагато нижче, ніж до своїх співробітників.

 

1.1.3 Переваги VPN

Віртуальні приватні мережі мають кілька переваг над традиційними приватними мережами. Головні з них - економічність, гнучкість і зручність  використання.

Економічність. За допомогою VPN-мереж підприємствам вдається хоча б частково обмежити зростання числа модемів, серверів доступу, комутованих ліній та інших технічних засобів, які організації змушені впроваджувати, щоб забезпечити віддаленим користувачам доступ до своїх корпоративних мереж. Крім того, віртуальні приватні мережі дають можливість віддаленим користувачам звертатися до мережевих ресурсів компанії не по дорогих орендованих лініях, а через місцевий телефонний зв'язок.

Особливо вигідні віртуальні приватні мережі в тих випадках, коли користувачі відддалені на великі відстані і тому орендовані лінії обходяться дуже дорого, а також коли таких користувачів багато, так як виникає потреба у великій кількості орендованих ліній. Однак ці переваги є не коректними, якщо обсяг трафіку в VPN-мережі настільки великий, що система не встигає зашифровувати і розшифровувати пакети даних. Щоб уникнути виникнення таких ситуацій, підприємство змушене купувати додаткове обладнання.

Крім того, через відносну новизну технології VPN і складності використовуваних засобів безпеки системний адміністратор для віртуальної мережі обходиться дорожче, ніж для традиційної.

Гнучкість і зручність. Ці переваги віртуальних приватних мереж                             пояснюються тим, що на відміну від традиційних такі мережі можуть забезпечити віддалений доступ до ресурсів компанії будь-якому уповноваженому користувачеві, що має зв'язок з Internet. Завдяки цьому VPN-мережі дозволяють партнерам легко отримати доступ до мережевих ресурсів підприємства через Internet, що сприяє зміцненню альянсів і підвищенню конкурентоспроможності. Цього важко досягти за допомогою традиційних приватних мереж, так як підприємства, що бажають спільно використовувати мережні ресурси, часто мають несумісні системи. Особливо гостро ця проблема виникає, коли велика кількість організацій, таких як велике підприємство роздрібної торгівлі та його постачальники, хочуть працювати разом через мережу.

1.1.4 Недоліки технології VPN

Проблеми захисту даних, недолік надійності і продуктивності, а також відсутність відкритих  стандартів ускладнюють широке поширення  віртуальних приватних мереж.

Захист. Для більшості технологій Internet питання забезпечення безпеки при передачі даних є ключовими. І віртуальні приватні мережі не виняток. Для них головні проблеми полягають в аутентифікації користувачів за допомогою паролів і захисту зашифрованого VPN-каналу (тунелю). Крім того, мережеві адміністратори повинні ретельно вибирати методи, які допомагають користувачам отримувати доступ до віртуальних приватних мереж.

Ці проблеми змусили деяких потенційних користувачів засумніватися  в тому, що ступінь захисту даних  буде задовільною, якщо віртуальною  приватною мережею управляє провайдер  послуг Internet. Щоб заспокоїти недовірливих користувачів, провайдери підтримують  широкий набір різних схем шифрування і аутентифікації. Наприклад, фірма Aventail, що випускає ПЗ для віртуальних  приватних мереж, пропонує пакет  програм для аутентифікації клієнтів і шифрування на рівні сеансу.

Компанія VPNet Technologies постачає обладнання, що встановлюється між  маршрутизатором і глобальною мережею, яка виконує шифрування, аутентифікацію і стиснення даних.

Більшість постачальників використовують методи шифрування з 56-розрядним ключем, що відповідають стандарту DES. На їхню думку, така довжина ключа забезпечує достатньо високий рівень безпеки. Однак багато експертів і аналітиків вважають, що 56-розрядний ключ недостатньо  надійний. Деякі постачальники продуктів  для віртуальних приватних мереж  пропонують шифрування з 112-розрядним  ключем. Проте слід пам'ятати, що збільшення довжини ключа знижує продуктивність, оскільки чим складніше алгоритм шифрування, тим більш інтенсивної  обчислювальної обробки він вимагає.

Так як необхідно забезпечувати  захист інформації то розглянемо симетричний  алгоритм шифрування DES, який використовується у технології VPN.

1.2 Алгоритм шифрування DES, що використовується для криптографічного захисту ІКМ

1.2.1 Алгоритм шифрування та розшифрування даних DES

DES (англ. Data Encryption Standard) — це симетричний алгоритм шифрування даних, стандарт шифрування прийнятий урядом США із 1976 до кінця 1990-х, з часом набув міжнародного застосування. Ще з часу свого розроблення алгоритм викликав неоднозначні відгуки. Оскільки DES містив засекречені елементи своєї структури, породжувались побоювання щодо можливості контролю з боку Національного Агенства Безпеки США (англ. National Security Agency). Алгоритм піддавався критиці за малу довжину ключа, що, врешті, після бурних обговорень та контролю академічної громадськості, не завадило йому стати загальноприйнятим стандартом. DES дав поштовх сучасним уявленням про блочні алгоритми шифрування та криптоаналіз.

Зараз DES вважається ненадійним в основному через малу довжину  ключа (64 біт) та розмір блоку (64 біти). У 1999 ключ DES було публічно дешифровано  за 22 години 15 хвилин. Вважається, що алгоритм достатньо надійний для застосування у модифікації 3DES, хоча існують розроблені теоретичні атаки. DES поступово витісняється алгоритмом AES, що з 2002 року є стандартом США.

Строго кажучи, існує різниця  між стандартом DES (Data Encryption Standard) та алгоритмом DEA (Data Encryption Algorithm).

DES є блочним  шифром - дані шифруються блоками  по 64 біти - 64 бітний блок явного  тексту подається на вход алгоритму,  а 64-бітний блок шифрограми  отримується в результаті роботи  алгоритму. Крім того, як під  час шифрування, так і під час  дешифрування використовується  один і той самий алгоритм (за  винятком дещо іншого шляху  утворення робочих ключів).