9931

Средства и методы защиты операционных систем

Реферат

Информатика, кибернетика и программирование

Средства и методы защиты операционных систем Технические средства и методы защиты информации. Криптографические методы защиты информации. Программно-аппаратные средства обеспечения информационной безопасности Наши бастионы. Обзор программных...

Русский

2013-03-20

584.5 KB

71 чел.

Средства и методы защиты операционных систем

Технические средства и методы защиты информации.

Криптографические методы защиты информации.

Программно-аппаратные средства обеспечения информационной безопасности

Наши бастионы. Обзор программных прокси-серверов.

C развитием и удешевлением технологий доступа к удаленным сетям увеличилось число небольших офисных и домашних сетей с выходом в Интернет. В каждом случае при подключении локальной сети к провайдеру для доступа в Интернет приходится решать ряд задач:

  •  выбор платформы для организации шлюза из локальной сети в Интернет;
  •  обеспечение защиты локальной сети от сетевых атак;
  •  антивирусная проверка получаемых файлов и электронных писем;
  •  экономия сетевого трафика и ускорение доступа к Web-ресурсам;
  •  контроль использования клиентами локальной сети ресурсов Интернета;
  •  фильтрация почты и содержимого Web-документов от рекламных объявлений.

При выборе платформы и ПО для построения шлюза, соединяющего локальную сеть и Интернет, прежде всего следует учитывать опыт и квалификацию обслуживающего персонала, которому предстоит поддерживать и настраивать программное обеспечение, установленное на шлюзе. В случае подключения небольшой сети часто выбирают решения для платформы Windows.

Остальные задачи можно решить с помощью специализированных программных комплексов - прокси - серверов.

Прокси-сервер выступает посредником между клиентами локальной сети и Интернетом: обрабатывает клиентские запросы к ресурсам Сети, скрывает структуру локальной сети, обеспечивает защиту и анонимность клиентов, предоставляя им более или менее широкий спектр возможностей.

Журнал «Мир ПК» протестировал прокси-серверы, названные в ходе опросов на форумах проектов ixbt.com, bug-traq.ru и лидеров соответствующих разделов ПО ресурсов www.download.com и www.tucows.com.

Давайте проанализируем программные комплексы, выбранные для представления ваших интересов в Интернете и обеспечения защиты, выявим их достоинства и недостатки.

Возможности прокси - серверов

Антивирусная защита - проверка получаемых и передаваемых файлов на содержание вирусов.

Брандмауэр - фильтрация входящего и исходящего трафика в соответствии с определенными пользователем правилами.

Предустановленные правила - список правил для брандмауэра, предлагаемых разработчиками. Обычно описывают сетевую активность какой-либо программы, корректные настройки которой могут вызвать у пользователей затруднения.

Создание новых правил - возможность разработки пользователем новых правил сетевой фильтрации для брандмауэра.

Переадресация сетевых портов (port mapping) - способ передать на другой компьютер приходящие на определенный порт компьютера-шлюза сетевые запросы. Эта возможность используется для разрешения доступа из Интернета к определенным ресурсам локальной сети. Например, в локальной сети расположен Web-сервер, на котором выкладываются новости компании. Если локальная сеть подключена к Интернету через шлюз, то доступ к данному Web-серверу закрыт. Чтобы разрешить какому-либо клиенту компании, работающему вне локальной сети, просматривать документы с локального Web-сервера, администратор локальной сети должен установить переадресацию с незанятого порта шлюза (например, 34 567-го) на 80-йпорт (порт Web-сервера) компьютера, где размещен Web-сервер. Таким образом, запрашивая в браузере порт 34 567-го шлюза, клиент попадает на 80-й порт Web-сервера в локальной сети.

Дополнительные сервисы - различного рода ПО, включаемое в состав проксисервера.

Механизм проксирования - механизм обработки запросов пользователя на получение разного рода документов из Интернета.

Классическое проксирование - пользователь в настройках своего Интернет  браузера или FТРклиента устанавливает опцию «Работать через прокси-сервер», а также указывает IP-адрес и сетевой порт, на котором работает прокси-сервер. При запросе через браузер документа с какого-либо Интернет-ресурса он передается прокси-серверу. Получив запрос, последний открывает документ и, сохраняя его в КЭШе, передает пользователю. При повторном запросе прокси проверяет, не устарел ли документ, хранящийся в КЭШе. Если документ не устарел, он передается пользователю, в противном случае прокси обновляет его, получив новую версию из Интернета, и затем передает пользователю. Не сделав соответствующих настроек использования прокси, пользователь обращается к ресурсам Интернета напрямую, минуя сервер и обходя, таким образом, возможные ограничения по доступу к ресурсам, установленным для него на прокси-сервере.

Прозрачное проксирование - способ функционировать «невидимо» для пользователя. Не нужно делать настройки в своих программах: прокси сам перехватит и обработает запросы к ресурсам Интернета, сэкономив трафик и не позволив пользователю обойти наложенные на него ограничения.

Каскад прокси-серверов - возможность объединения нескольких прокси с целью обмена данными из КЭШа.

Кэширование DNS-записей  сохранение в КЭШе связей между IP-адресом и доменным именем сервера в Интернете. При первом запросе документа с какого-либо Интернет-сервера (пользователь обычно указывает доменное имя типа www. lenta. ru) прокси запрашивает DNS-сервер провайдера об IP-адресе, соответствующем имени ресурса. Получив ответ о найденном соответствии IP-адреса заданному доменному имени, прокси требует документ, а также сохраняет DNS-запись в КЭШе. Сервер www.lenta.ru имеет IP-адрес: 81.19.69.28. Согласитесь, человеку легче запомнить строку вида www.lenta.ru, чем такой набор цифр. Но для связи компьютеров в сети IP-адресация необходима. При повторном запросе прокси, найдя соответствующую DNS-запись в своем КЭШе, обслуживает пользователя, уже не опрашивая DNS-сервер провайдера, экономя на этих операциях в среднем 6  7% от общего объема трафика.

Блокировка спама и Web-рекламы - возможность осуществлять фильтрацию Web- и e-mail-трафика, избирательно ограничивая получение документов, определенных в правилах как реклама (и не только). В среднем блокировка Web-рекламы позволяет экономить 8  12% от объема полезного трафика. Фильтрация спама не экономит трафик, так как письмо вначале попадает на ваш сервер и лишь, затем происходит анализ его содержимого. Просто эта функция освобождает пользователя от необходимости среди десятков рекламных объявлений разыскивать деловые письма.

Блокировка Web-ресурсов  способ ограничить для некоторых групп пользователей доступ к определенным ресурсам. В правилах, описывающих данное ограничение, можно либо указать список Интернет-серверов (например, запретить доступ ко всем Web-серверам, содержащим в названии слово «sex», в том числе и к ресурсам вида www.musicsexcb.ange.org), либо установить ограничения на отображение содержимого Web-документов (не показывать страницы, содержащие слова «adult», «porno», «war»).

Ограничение пользовательских привилегий  возможность регламентировать доступ к ресурсам прокси-сервера. Например, кто-то может работать только с почтой, а кому-то разрешается и по Интернету гулять.

Обновление данных КЭШа - управление механизмом обновления кэшированных данных. Если кэш обновляется автоматически через определенные промежутки времени, то заново загружаются все устаревшие документы. В другом режиме работы документы удаляются из КЭШа по мере устаревания, а заносятся только при запросе пользователя. Первый режим от второго отличается как увеличением средней скорости получения документов из Интернета, так и большим расходом трафика (неважно, что какую-то страницу смотрели дважды в неделю, она обновляется в КЭШе ежедневно). О последней особенности работы механизма обновления КЭШа часто забывают. Например, один пользователь жаловался, что кто-то по ночам работает из его сети в Интернете. Поочередно обвинялись как система учета провайдера, так и вредные хакеры. В результате оказалось, что каждые 48 ч прокси-сервер пользователя обновлял свой 2 Гбайт-кэш.

Просмотр статистики работы прокси-сервера и КЭШа - функция, необходимая для анализа оптимальности работы системы в текущей конфигурации.

Ведение лог-записей (в файл на удаленный сервер) - анализ сетевой активности, информационных сообщений и операций, выполняемых прокси, обязательная задача при администрировании системы. Исходя из данных анализа можно сделать вывод о необходимости изменения параметров конфигурации прокси-сервера для оптимизации его работы. Или определить попытку сетевой атаки. После взлома системы атаковавший пытается скрыть следы своего проникновения. Если он получит доступ к лог-файлам, то после проведенной им коррекции данных все будет выглядеть очень пристойно и безобидно. Поэтому записи лучше вести не только в локальные файлы, но и на отдельный сервер, а доступ к нему сделать возможным только с консоли.

Удаленное администрирование  востребованная функция, если прокси-сервер размещен в труднодоступном месте. На основе личного опыта могу сказать: при режиме работы 24*7 необходим постоянный доступ к функциям администрирования важного ПО, осуществляемый в соответствии с политикой безопасности организации. При входе с консоли надо быть морально готовым к звонку от начальника примерно в два часа ночи: шеф не возражает против вашего прихода на работу минут этак через 20. При сетевом доступе звонок также не исключен, но можно отделаться малой кровью. В любом случае нельзя забывать о защите администраторского доступа. Заявлениям разработчиков о надежности ПО не всегда можно доверять. Для поиска явных и потенциальных уязвимых мест при тестировании я пользовался сетевым сканером безопасности Nessus.

Настройка TCP-протокола в локальной сети.

Для обеспечения работы клиентов локальной сети с Интернет-ресурсами через шлюз (один из компьютеров локальной сети, также подключенный к сети провайдера), необходимо настроить протокол TCP. Для адресации компьютеров локальной сети можно взять IP-адреса из специально выделенных диапазонов для частного использования. У компьютера шлюза будет два IP-адреса, по одному на каждый сетевой интерфейс (сетевую карту). Один из сетевых интерфейсов (внутренний) подключен к локальной сети, ему присвоен IP-адрес локальной сети. Другой интерфейс (внешний) подключен к сети провайдера, ему присвоен IP-адрес из диапазона адресов, принадлежащих провайдеру. При настройке TCP-протокола сетевых интерфейсов компьютеров локальной сети в качестве параметра «шлюз» надо указать IP-адрес внутреннего интерфейса шлюза. При настройке TCP-протокола внутреннего сетевого интерфейса шлюза в качестве параметра «шлюз» берется IP-адрес внешнего интерфейса. Данные для настройки внешнего интерфейса предоставляет провайдер.

Не надо устанавливать прокси-сервер на все компьютеры в сети, достаточно поставить его только на шлюз.

Список IP-адресов для локальной сети

Для адресации компьютеров в локальной сети рекомендуется использовать специально зарезервированные организацией Internet Assigned Numbers Authority (IANA) IP-адреса. Они действительны только внутри локальных сетей и не маршрутизируются между Интернет-серверами. Для частного использования зарезервированы следующие IP-адреса из документа RFC 1597:

010.000.000.000-010.255.255.255

172.016.000.000-172.031.255.255

192.168.000.000-192.168.255.255

Тестирование TCP/IP-сетей

При тестировании TCP/IP-сетей для Windows применяются программы ping и tracert, для Unix - их аналоги ping и tracer-oute. Программа ping показывает время прохождения сетевого пакета до выбранного хоста (компьютера в сети) и количество потерянных сетевых пакетов на всем маршруте. Программа tracert подробно информирует о сетевом маршруте, показывая весь путь сетевых пакетов до выбранного хоста с указанием времени прохождения до каждого промежуточного хоста на маршруте. Программа VisualRoute предоставляет более детальную и удобную для восприятия информацию. Дополнительно показывается процент потерь сетевых пакетов на промежуточных участках маршрута, что часто бывает удобно при диагностике сетевых каналов. Предоставлена возможность получения информации о владельцах и обслуживающем персонале сетевых хостов (сервис whois).


Обзор программных прокси-серверов

CoolProxy

Особенности:

Про встроенный брандмауэр замечу, что он выполняет весьма декоративную роль, ограничивая доступ только к самому прокси-серверу. К тому же при конфигурировании брандмауэра можно задать всего один диапазон IP-адресов. Указать список или несколько диапазонов уже нельзя.

Кэшируемые документы сохраняются в иерархической структуре каталогов, копирующей структуру Web-серверов, с которых они были получены. Для каждого Web-сервера создается свое дерево каталогов в КЭШе. По утверждению разработчиков, «размер КЭШа ограничивается только размером вашего диска». Отсутствие контроля над размером КЭШа, вероятно, не самая блестящая идея. Если раздел жесткого диска, где размещен кэш прокси-сервера, используется ОС для операций с виртуальной памятью (swap), то недостаток дискового пространства может привести к сбоям в работе и зависанию системы.

Рассматривая предлагаемые в структуре прокси Web- и FTP-серверы, стоит заметить, что механизм работы Web-сервера довольно примитивен, а FTP-сервер из-за обнаруженных уязвимых мест лучше вообще не использовать.

Общее впечатление от работы с CoolProxy: советую рассматривать данную разработку как экспериментальную, не прошедшую окончательной обкатки, и не использовать в «промышленных» целях.

CProxy Server

Рассматриваемый прокси-сервер предлагает широкие возможности по настройке сетевых взаимодействий. Интерфейс встроенного брандмауэра логичен и прост.

Среди интересных функций отмечу возможность просмотра механизма учета входящего и исходящего трафика, времени работы каждого пользователя и списка запрошенных пользователем из Интернета документов.

Для проверки получаемых файлов на вирусы прокси может использовать любую антивирусную программу, запускаемую из командной строки. С самой системой CProxy Server поставляется антивирус F-Prot AV.

Используется интеллектуальный механизм кэширования данных, при заполнении КЭШа до 90% удаляются все наименее часто запрашиваемые объекты.

Недостатком рассматриваемой программы является отсутствие возможности просмотра данных в КЭШе.

NetProxy

Этот прокси-сервер идентифицирует своих клиентов и подтверждает их полномочия, используя специальную программу, размещаемую на компьютере клиента. Если вы будете работать только с HTTP- и SOCKS-сервисами, то эту клиентскую программу можно не ставить, а указать регистрационные данные в настройках браузера, пейджера ICQ и подобных программ, предусматривающих такой способ идентификации.

Просмотр статистики сетевых соединений идет через telnet-сервис. Предоставляемые в отчете данные отличаются излишней лаконичностью. Удаленное администрирование также осуществляется через telnet-сервис.

Брандмауэр ограничивает доступ только к сервисам прокси-сервера, регламентируя полномочия самих пользователей. Рассматривать данный брандмауэр как средство защиты локальной сети от возможной сетевой атаки из Интернета - серьезное заблуждение.

Потенциальный минус рассматриваемой программы - отсутствие возможности просмотра данных сетевой активности, статистики, КЭШа. Есть только одно средство диагностики - анализ лог-файла. Для работы с лог-файлом прокси-сервера необходимо дополнительно загрузить с Web-сайта разработчика специальную программу-анализатор.

После окончания испытательного срока через прокси разрешается работать только одному пользователю.

Общее впечатление: недостатки этого прокси-сервера не перевешиваются его достоинствами. Работать можно, но ничем особенным он не выделяется.

Proxy Workbench

Характерной особенностью этого прокси-сервера является система отображения сетевой активности. Показываются все установленные сетевые соединения. Выбрав какое-либо из них, можно увидеть процесс передачи информации. Например, обмен данными между почтовым сервером и почтовым клиентом или во время FTP-сессии. Предоставлена возможность сохранения в файле данных, передаваемых в выбранном соединении.

Еще одно отличительное свойство рассматриваемого прокси-сервера - представление статистики сетевой активности в виде HTML-страницы с анимированными картинками. Наглядно и поначалу даже интересно. Но интерпретация данных в таком виде для рабочей сети с большим трафиком не слишком-то удобна.

Кстати, в этом прокси-сервере отсутствуют какие бы то ни было возможности кэширования информации.

Общее впечатление от работы с Proxy Workbench сложилось такое: можно использовать в исследовательских целях для анализа работы сетевых сервисов и программ (если лень читать RFC-документы и работать с ethereal), но не слишком подходит для рабочих задач.

Proxy+

В бесплатной версии программы установлены ограничения: работать с прокси могут только три пользователя, максимальный размер КЭШа - 1 Мбайт.

Дополнительно в состав прокси-сервера входят Web-сервер для intranet и полнофункциональный MAIL-(SMTP-, РОРЗ-)сервер. Почтовый сервер поддерживает пересылку почты в Интернет и intranet-сети. Включены функции антивирусной проверки почты и сохранения копий входящей и исходящей корреспонденции (последняя возможность иногда диктуется правилами пользования корпоративной электронной почтой). Реализована APOP-идентификация для получения почты (передача пароля в зашифрованном виде к почтовому ящику). Осуществляется контроль структуры электронных писем на использование уязвимых мест в MS Outlook и Outlook Express.

Общее впечатление: интересная разработка, привлекательная своими потенциальными возможностями.

WinProxy (Ositis Software)

Демоверсия программы не отличается по функциональности от коммерческой. Из особенностей работы программы отмечу следующее.

По умолчанию прокси-сервер прослушивает 80-й порт. Если на этом же компьютере работает Web-сервер, для устранения конфликта надо изменить номер порта с 80 на 8080 или на 3128.

Интегрированный антивирус способен работать с разными сетевыми протоколами (HTTP, FTP, SMTP, РОРЗ, SOCKS). Обнаруженный зараженный файл очищается от программного кода вируса или уничтожается. По умолчанию антивирус не проверяет файлы больше 30 Мбайт. Разработчик модуля антивирусной проверки - компания Panda Software (версия 2.10.1.6_3.1.5.211).

Возможна разработка пользователем правил, описывающих сетевые инциденты. При выполнении правил генерируется определенное пользователем информационное сообщение. Реализована возможность передачи информационных сообщений на удаленный сервер.

Включена функция удаленного администрирования через Web-интерфейс. Можно получить доступ к подробным данным статистики работы прокси-сервера.

Общее впечатление от работы: профессиональная реализация заложенных в прокси-сервер идей сочетается с продуманным пользовательским интерфейсом.

WinProxy (LanProject)

Функции предлагаемой для тестирования демоверсии программы серьезно ограничены по сравнению с коммерческой. В демоверсии возможны всего два одновременно работающих через прокси пользователя. Максимальный размер КЭШа установлен в 1 Мбайт. На почтовом сервере можно зарегистрировать трех пользователей.

Администрирование программы осуществляется только через Web-интерфейс. Есть возможность использовать встроенный почтовый сервер для отложенной отправки почты, например, написать письмо и поставить в очередь, чтобы затем при подключении к Интернету сервер самостоятельно переслал почту.

Недостаток - отсутствие средств индикации сетевой активности. Необходимо также учитывать следующие факты: по умолчанию администраторский пароль не установлен, как не установлены и ограничения на удаленный доступ к администраторскому интерфейсу прокси-сервера. Как следствие, после стандартной установки программы любой пользователь сети может получить доступ к функциям управления прокси-сервером.

Общее впечатление: одноименная программа от Ositis Software предоставляет более полные возможности по регламентированию сетевой активности.

При выборе программного обеспечения в первую очередь необходимо руководствоваться стоящими перед вами задачами. Поэтому однозначного совета по выбору того или иного программного продукта быть не может. Но рекомендую обратить внимание на WinProxy (Ositis) и Proxy+. Первый примечателен множеством полезных функций, удобством и гибкостью настройки. Кроме того, опытный образец WinProxy по возможностям не отличается от коммерческой версии прокси-сервера. Уже на стадии тестирования опытного образца его можно использовать для обработки реальной сетевой нагрузки. Во втором прокси-сервере реализовано подключение дополнительных модулей, увеличивающих функциональность программы, плюс возможность одного из дополнительных модулей исполнять сценарии, написанные пользователем. В результате можно увеличить гибкость реакции системы на определенные события, что станет неприятным сюрпризом для взломщика


Всегда на страже. Брандмауэры

Практически с начала развития Интернета как общедоступной Сети одной из наиболее важных проблем стала проблема безопасности. Не секрет, что наиболее популярные ОС не всегда обеспечивают должный уровень защиты. Крупные компании, провайдеры, банки имеют возможность использовать либо дорогостоящие сложные системы защиты, либо более совершенные в плане безопасности альтернативные операционные системы на основе Unix, FreeBSD и т. п. А что делать домашним пользователям и небольшим фирмам? Против них, как правило, действуют хакеры не слишком высокой квалификации, применяя стандартные программы. Для защиты от подобных нападений дорогостоящие системы не нужны. На рынке сформировался целый класс ПО, отражающего и фиксирующего такие атаки. Основные представители персональных брандмауэров рассматриваются в этой ниже.

Agnitum Outpost Firewall Pro

Outpost Firewall - сравнительно новая программа среди себе подобных. Однако она уверенно завоевывает все большую популярность. Функции Outpost Firewall можно разделить на несколько частей. Во-первых, защита от внедрения в компьютер вирусов - «троянских» и других деструктивных программ. Во-вторых, ведение списков ПО, имеющего разрешение на работу с Интернетом, и ПО, доступ которого в Интернет заблокирован. Отнесение программы к  первому или второму списку зависит от режима работы. Основные режимы:

  •  «Разрешать» - позволительны все соединения программ с Интернетом, кроме явно заблокированных пользователем.
  •  «Обучение» - действуют основные настройки - правила. В случае обнаружения программы, незнакомой брандмауэру, предлагается создать для нее правило, которое будет тут же применено.
  •  «Блокировать» (противоположный режиму «Разрешать») - запрещены все соединения программ с Интернетом за исключением тех, что явно разрешены.
  •  «Запрещать» - блокируются все соединения. Позволить какие-то соединения можно, только сменив режим работы.
  •  «Отключить» (отключение Outpost Firewall) - все соединения разрешены.

Кроме этого, отдельно пользователь может указать те IP-адреса, прием и передача данных с которых не блокируются, например ПК из той же локальной сети. Наряду с автоматической системой защиты пользователь может составить свой список программ, чьи соединения должны быть заблокированы или разрешены. В том случае, если к ПК имеют доступ несколько человек, пользовательские настройки программ во избежание несанкционированного изменения можно защитить паролем. Вообще программа Outpost Firewall - первый брандмауэр для ОС Windows с открытой архитектурой. Это позволяет подключать дополнительные модули программы, улучшающие ее работу и привносящие новые полезные функции. Несколько таких модулей компания Agnitum поставляет вместе с программой:

  •  Модуль удаления рекламных блоков при отображении в браузере Web-сайтов. Он имеет дополняемую базу стандартных для рекламы строк гипертекста и размеров наиболее используемых блоков рекламы (100 x 100, 125 x 125, 468 x 60, 470 x 60, 234 x 60, 120 x 80, 88 x 31 пикселей), по которым и происходит фильтрация. Использование этой функции позволяет значительно увеличить скорость загрузки сайтов.
  •  Блокировка доступа к Web-сайтам с определенными адресами или содержащим в html-коде определенные строки.
  •  Блокировка активных элементов Web-сайтов, например выполнения ActiveX; сценариев, написанных на Java и Visual Basic; Java-аплетов; ведения cookies (информационных файлов); запрет всплывающих окон.
  •  Вывод сообщения при попытке получения/запуска исполняемого файла.
  •  Детектор и блокировка атак. При использовании этой функции можно выбрать один из трех режимов безопасности: блокирование IP-адреса атакующего (в случае точной идентификации атаки); блокирование попытки сканирования нескольких портов или порта с определенным номером; блокирование попытки сканирования одного порта;
  •  Возможна также блокировка DoS-атак.

Разработчик снабдил программу несколькими языками интерфейса: русским, английским, немецким, японским, польским, испанским. Естественно, методы хакерских атак постоянно совершенствуются, а программы для взлома обновляются. Для того чтобы Outpost Firewall не отставал от жизни, в программе предусмотрена функция обновления через Интернет.

Разработчик также выпускает распространяемую бесплатно облегченную версию программы - Agnitum Outpost Firewall Free. В ней отсутствуют некоторые функции: защита настроек паролем, возможность использования в локальной сети, возможность запуска в скрытом режиме, экспортирование лог-файлов, создание списка IP-адресов, доступ с которых не ограничен. Версия Pro работает в течение 30 дней, после чего необходима регистрация. Стоимость программы: для домашнего использования - 39,95 $, для использования в домашней локальной сети - 75,95 $, в офисе - в зависимости от количества пользователей.

Sygate Personal Firewall Pro

При выборе вида отображения списка приложений пользователь может выбрать вариант с подробными сведениями, включающими название и версию программы, объем входящей и исходящей информации, блокированной и пропущенной брандмауэром, по каждой программе в отдельности. Бесспорно, эту функцию по достоинству оценят системные администраторы, следящие за потребляемым программами трафиком. Возможно также отображение информации о номере порта, используемого программой, и IP-адресе, к которому она обращается.

Когда у программы нет доступа в Интернет, Sygate Personal Firewall выводит запрос, чтобы пользователь выбирал, блокировать ли доступ, разрешить его одноразово или постоянно. Здесь же присутствует информация об IP-адресе, к которому пытается обратиться программа, и проч.

Кроме того, пользователю доступны журналы всех действий, происходящих во время выполнения программы:

  •  журнал атак, сканирования портов компьютера и других посягательств на его безопасность;
  •  журнал с подробнейшей информацией о входящем и исходящем трафике с указанием программы, IP-адреса, порта, времени начала и окончания процесса;
  •  журнал прохождения пакетов;
  •  журнал запуска и закрытия брандмауэра.

Пользователь может создать так называемые расширенные правила (advanced rules), которые имеют больший приоритет, нежели заданные ранее.

Настройки программы менее подробны, чем, например, в Agnitum Outpost Firewall, и включают следующие основные функции:

  •  защита настроек программы паролем во избежание несанкционированной смены их другими пользователями компьютера;
  •  включение/отключение детектора сканирования портов и других видов наиболее распространенных атак;
  •  задание времени, в течение которого будет блокироваться поступление информации с IP-адреса атакующего;
  •  автоматическая отсылка информации об атаке на определенный электронный адрес;
  •  задание максимального размера журналов работы;
  •  автоматическое обновление через Интернет. При необходимости пользователь может легко и быстро заблокировать или разблокировать все соединения с Интернетом.

При обнаружении атаки Sygate Personal Firewall выводит сообщение, щелкнув на котором мышью пользователь получит подробную информацию о попытке нарушения безопасности с указанием IP-адреса атакующего.

Sygate предлагает также более простую версию программы - Sygate Personal Firewall (без приставки Pro); в ней отсутствует детектор сканирования портов и основных видов атак и нет возможности задать время блокирования IP-адреса атакующего.

Кроме этого, компания Sygate предоставляет онлайновый сервис - проверку установленного брандмауэра на надежность защиты по методу попытки сканирования портов компьютера и доступа к информации. Собственно, с помощью этого сервиса и проводилось тестирование сравниваемых брандмауэров.

Norton Personal Firewall

Удобная, заслуживающая внимания программа компании Symantec, известной своими разработками под торговой маркой Norton: Norton Commander, Norton Ghost, Norton Utilities и др.

При первом запуске программа открывает специальный мастер установки и с участием пользователя происходит настройка программы. В процессе настройки Norton Personal Firewall тестирует имеющиеся в системе жесткие диски, находит все программы, которые могут иметь доступ в Интернет, и предлагает пользователю разрешить или блокировать его. Можно также назначить пароль для изменения настроек. Все остальные установки производятся уже в процессе работы Norton Personal Firewall.

Основные настройки программы для простого пользователя осуществляются на уровне on-off (включено/выключено) непосредственно в основном окне программы:

  •  защита компьютера от вторжений через Интернет;
  •  защита данных от попыток несанкционированного доступа;
  •  обнаружение и отражение атак;
  •  блокировка баннеров и рекламных блоков.

Здесь же с помощью ползунка выставляется низкий, средний или высокий уровень защиты. В следующей вкладке основного окна доступны статистика атак и подробный журнал работы программы. На первый взгляд программа кажется совсем простой, рассчитанной на начинающих пользователей, однако углубившись в настройки или, скажем, в раздел статистики, понимаешь, что это не так. Весьма оригинальна, например, функция отражения журнала загрузки всех сайтов и всех элементов сайтов во время нахождения в Сети.

При необходимости одной кнопкой из главного окна можно заблокировать/разблокировать доступ в Интернет всех программ. С помощью настроек включается/выключается отображение анимации, flash-роликов, рекламных баннеров и блоков, скриптов и вообще отображение в браузере каждого конкретного сайта.

Удобно небольшое функциональное окно, в котором появляется гистограмма текущего трафика, выводятся сообщения об атаках и доступны все основные функции программы.

ZoneAlarm Pro

Удобная программа с простым, интуитивно понятным интерфейсом. Из представленных в обзоре только ZoneAlarm Pro позволяет начать работу сразу после установки, без перезагрузки компьютера.

Настройки и информацию, представленная в ZoneAlarm Pro, разделена по группам:

  •  Overview (обзор). Включает сведения о числе отраженных атак и количестве программ, имеющих доступ в Интернет; данные о ZoneAlarm Pro (регистрации, версии и т. д.); краткие настройки программы: установка пароля на пользовательские настройки, включение автоматического (или ручного) обновления ZoneAlarm через Интернет, включение автоматического запуска ZoneAlarm Pro после загрузки компьютера, режима сокрытия IP-адреса и т. п.
  •  Firewall (защита от несанкционированного доступа) включает изменяемые с помощью ползунка установки защищенности:
    •   высокий уровень, когда все подозрительные пакеты и информация блокируются, а компьютер при попытках его идентификации извне «невидим»;
    •  средний уровень, когда ПК при тех же условиях извне «видим», но ресурсы его блокируются;
    •  низкий уровень - защита отключена).

Режимы устанавливаются в отдельности для трех зон, две из которых определяются пользователем. Это, так называемый, «белый» список, включающий компьютеры, информация с которых не блокируется и считается безопасной, например компьютеры той же локальной сети. В, так называемый, «черный» список входят компьютеры с небезопасной информацией. Сюда пользователь обычно заносит те IP-адреса, с которых он ранее был атакован. Третья зона, не определяемая пользователем, - это все остальные серверы, не вошедшие ни в «белый», ни в «черный» список. Читатель может подумать, что ZoneAlarm Pro - очень простая программа, неинтересная для пользователей, имеющих определенные знания в области Интернет-безопасности. Однако, это не так. Кроме простых установок пользователь может блокировать (или разрешать) доступ любому виду входящих или исходящих пакетов в отдельности.

Еще Firewall содержит информацию о соединении с Интернетом - IP-адрес, маску подсети.

  •  Program Control (контроль над программами). Включает выбор уровня контроля над программами: высокий предполагает, что все программы запрашивают доступ в Интернет и установлен контроль над используемыми программами динамически подключенными библиотеками (.dll); при среднем все программы запрашивают доступ в Интернет, а контроль над используемыми dllфайлами находится в режиме обучения (ZoneAlarm Pro запрашивает пользователя о необходимости контроля в конкретных случаях); низкий уровень подразумевает, что и контроль над программами, и контроль над dllфайлами находится в режиме обучения, когда всяческий контроль отключен. Далее Program Control содержит список программ с указанием наличия доступа в Интернет и перечень всех динамически подключаемых библиотек, используемых программами.
  •  Alerts & Logs (сигналы и журналы). В разделе определяется уровень установки вывода сигналов при атаках и ведется журнал с полной информацией о них. Возможно отображение сигналов при всех атаках, только при особо опасных либо при отсутствии отображения. Аналогично настраивается ведение журнала с описанием вида атаки, обозначением ее времени и даты, а также IP-адреса атакуемого и порта, на который производится атака.
  •  Privacy (секретность). Здесь пользователь выбирает режим работы с информационными файлами. Возможно блокирование всех информационных файлов (что наверняка повлечет за собой проблемы с отображением некоторых Web-сайтов), блокирование поступления данных с перечисленных пользователем сайтов и отсутствие блокирования.

Аналогично организовано противодействие рекламным блокам - всем или тем, которые, например, не загружаются в течение определенного времени.

  •  E-mail protection (защита электронной почты). Специальная функция MailSafe проверяет все поступающие по электронной почте файлы на наличие вирусов и других деструктивных объектов и предупреждает о них пользователя

Персональный сетевой экран VipNet

Эта программа с простым и удобным интерфейсом разработана российской компанией «Инфотекс».

Основой ее является драйвер, взаимодействующий непосредственно с драйвером сетевого уровня, что обеспечивает независимость VipNet от операционной системы и недокументированных возможностей в ней. Эта управляющая программа перехватывает и контролирует весь поступающий и исходящий трафик.

Персональный сетевой экран после инсталляции не требует дополнительных настроек и обеспечивает защиту ПК еще на этапе загрузки.

Программа персонального сетевого экрана состоит из двух частей:

  •  низкоуровневый драйвер сетевой защиты VipNet взаимодействует непосредственно с драйвером сетевого интерфейса компьютера и контролирует весь трафик обмена компьютера с внешней сетью;
  •  программа-монитор осуществляет загрузку необходимых драйверу параметров и фиксирует все необходимые события. Даже при отключении этой части драйвер продолжает обеспечивать безопасность ПК; прекращается только ведение журнала трафика.

Персональный сетевой экран имеет несколько режимов работы. Самый безопасный - «Блокировать весь IP-трафик». Установка этого режима подразумевает полный запрет для входящих и исходящих соединений.

В режиме «Пропускать только разрешенный сетевыми фильтрами IP-трафик» система будет пропускать только те типы пакетов, которые заранее разрешены пользователем.

В режиме «Пропускать весь IP-трафик полностью» открыт доступ в Интернет, а компьютер совершенно не защищен от сетевых атак.

Режим «Бумеранг» предназначен для обеспечения безопасности при взаимодействии с внешними ресурсами в Интернете. Драйвер VipNet в этом режиме настраивается на работу только по тому протоколу и порту и только с тем удаленным компьютером, соединение с которым инициализируется компьютером пользователя. При этом блокируются любые входящие пакеты неизвестного типа.

Режим «Бумеранг» устанавливается по умолчанию после инсталляции программы и является наиболее безопасным при работе с внешними ресурсами. В этом режиме все типы пакетов, разрешенные в меню «Сетевые фильтры для конкретных адресов», пропускаются независимо от того, кто инициирует соединение.

Есть два режима «Бумеранга», выбираемые пользователями:

  •  мягкий режим защиты, когда регистрация производится только по адресу и типу IP-протокола;
  •  жесткий режим, в котором регистрация производится по большему числу параметров пакета.

В программе действует детектор атак, выявляющий наиболее распространенные атаки, в том числе DoS.

Защита Windows XP

Дополнительно я решил проверить, хорошей ли защитой является брандмауэр, встроенный в Windows ХР

Всем известно, что Windows XP разработана на ядре Windows NT. Операционные системы Windows NT изначально разрабатывались для серверов и рабочих станций. Проблеме защиты от хакерских атак в Windows NT уделялось достаточно внимания. Системы защиты в виде брандмауэров перешли по наследству и в Windows XP

Однако при установке по умолчанию брандмауэр в Windows XP находится в отключенном состоянии. Для его запуска необходимо в свойствах «Сетевого окружения» выбрать установленное соединение с Интернетом, затем открыть Свойства <Дополнительно> и там включить брандмауэр.

Обилием настроек система защиты в Windows XP не балует, но здесь можно выбрать службы (протоколы), доступ к которым будет открыт. Это необходимо, в основном, в случае организации на защищенном компьютере ftp-, http-, mail-сервера и т. д. Можно позволить доступ к серверам ftp-, telnet-, Web- (http, https), почтовым протоколам (рорЗ, imapS, imap4, smtp), а также разрешить дистанционное управление Рабочим столом. Журнал брандмауэра хранится в виде обычного log-файла в основной папке Windows.

На некоторых компьютерах при тестировании наблюдалось отсутствие возможности запуска службы брандмауэра, несмотря на то, что установка велась пользователем с правами администратора. В подобных случаях рекомендуется использование другого брандмауэра из описанных  выше.

Рассмотренные персональные брандмауэры вполне успешно справляются с наиболее часто встречающимися атаками через Интернет. Стоимость таких программ невысока и вполне доступна для домашнего пользователя и мелких фирм. Наличие русского интерфейса в некоторых из них безусловно облегчит работу пользователей.

Защитите себя и свою информацию, это насущная необходимость.


Занимательное шифрование

Что такое шифрование?

Шифрование используется человечеством с того самого момента, как появилась первая секретная информация, т. е. такая, доступ к которой должен быть ограничен. Это было очень давно - так, один из самых известных методов шифрования носит имя Цезаря, который если и не сам его изобрел, то активно им пользовался.

Криптография обеспечивает сокрытие смысла сообщения и раскрытие его расшифровкой с помощью специальных алгоритмов и ключей. Ключ понимается нами как конкретное секретное состояние параметров алгоритмов шифрования и дешифрования. Знание ключа дает возможность прочтения секретного сообщения

Впрочем, как вы увидите ниже, далеко не всегда незнание ключа гарантирует то, что сообщение не сможет прочесть посторонний человек.

Процесс вскрытия шифра без знания ключа называется криптоанализом. Время, необходимое для взлома шифра, определяется его криптостойкостью. Чем оно больше, тем «сильнее» алгоритм шифрования. Еще лучше, если изначально вообще нельзя выяснить, достижим ли результат взлома.

Основные современные методы шифрования

Среди разнообразнейших способов шифрования можно выделить следующие основные методы:

  •  Алгоритмы замены или подстановки - символы исходного текста заменяются на символы другого (или того же) алфавита в соответствии с заранее определенной схемой, которая и будет ключом данного шифра. Отдельно этот метод в современных криптосистемах практически не используется из-за чрезвычайно низкой криптостойкости.
  •  Алгоритмы перестановки - символы оригинального текста меняются местами по определенному принципу, являющемуся секретным ключом. Алгоритм перестановки сам по себе обладает низкой криптостойкостью, но входит в качестве элемента в очень многие современные криптосистемы.
  •  Алгоритмы гаммирования  символы исходного текста складываются с символами некой случайной последовательности. Самым распространенным примером считается шифрование файлов «имя пользователя.pwl», в которых операционная система Microsoft Windows 95 хранит пароли к сетевым ресурсам данного пользователя (пароли на вход в NT-серверы, пароли для UialUp-доступа в Интернет и т.д.).

Когда пользователь вводит свой пароль при входе в Windows 95, из него по алгоритму шифрования RC4 генерируется гамма (всегда одна и та же), применяемая для шифрования сетевых паролей. Простота подбора пароля тем, что Windows всегда предпочитает одну и ту же гамму.

  •  Алгоритмы, основанные на сложных математических преобразованиях исходного текста по некоторой формуле. Многие из них используют нерешенные математические задачи. Например, широко используемый в Интернете алгоритм шифрования RSA основан на свойствах простых чисел.

Симметричные и асимметричные криптосистемы

Прежде чем перейти к отдельным алгоритмам, рассмотрим вкратце концепцию симметричных и асимметричных криптосистем. Сгенерировать секретный ключ и зашифровать им сообщение - это еще полдела. А вот как переслать такой ключ тому, кто должен с его помощью расшифровать исходное сообщение? Передача шифрующего ключа считается одной из основных проблем криптографии.

Оставаясь в рамках симметричной системы (так она названа оттого, что для шифрования и дешифрования подходит один и тот же ключ), необходимо иметь надежный канал связи для передачи секретного ключа. Но такой канал не всегда бывает доступен, и потому американские математики Диффи, Хеллман и Меркле разработали в 1976 г. концепцию открытого ключа и асимметричного шифрования. В таких криптосистемах общедоступным является только ключ для процесса шифрования, а процедура дешифрования известна лишь обладателю секретного ключа.

Например, когда я хочу, чтобы мне выслали сообщение, то генерирую открытый и секретный ключи. Открытый посылаю вам, вы шифруете им сообщение и отправляете мне. Дешифровать сообщение могу только я, так как секретный ключ я никому не передавал. Конечно, оба ключа связаны особым образом (в каждой криптосистеме по-разному), и распространение открытого ключа не разрушает криптостойкость системы.

В асимметричных системах должно удовлетворяться следующее требование: нет такого алгоритма (или он пока неизвестен), который бы из криптотекста и открытого ключа выводил исходный текст. Пример такой системы - широко известная криптосистема RSA.

Алгоритм RSA

Алгоритм RSA (по первым буквам фамилий его создателей Rivest-Shamir-Adleman) основан на свойствах простых чисел (причем очень больших). Простыми называются такие числа, которые не имеют делителей, кроме самих себя и единицы. А взаимно простыми называются числа, не имеющие общих делителей, кроме 1.

Для начала выберем два очень больших простых числа (большие исходные числа нужны для построения больших криптостойких ключей. Например, Unix-программа ssh-keygen по умолчанию генерирует ключи длиной 1024 бита).

Определим параметр n как результат перемножения p и q. Выберем большое случайное число и назовем его d, причем оно должно быть взаимно простым с результатом умножения (p-1)*(q-1).

Отыщем такое число e, для которого верно соотношение

(e-d) mod ((p-1)*(q-1)) = 1

(mod - остаток от деления, т. е. если е, умноженное на d, поделить на ((p1)*(q1)), то в остатке получим 1).

Открытым ключом является пара чисел e и n, а закрытым - d и n.

При шифровании исходный текст рассматривается как числовой ряд, и над каждым его числом мы совершаем операцию

C(i)=(M(i)e) mod n.

В результате получается последовательность C(i), которая и составит криптотекст. Декодирование информации происходит по формуле

M(i)=(C(i)d) mod n.

Как видите, расшифровка предполагает знание секретного ключа.

Давайте попробуем на маленьких числах.

Установим p=3, q=7. Тогда n=p*q=21. Выбираем d как 5. Из формулы (e*5) mod 12=1 вычисляем е=17. Открытый ключ 17, 21, секретный - 5, 21.

Зашифруем последовательность «12345»:

C(1)=117 mod 21=1

С(2)=217 mod 21=11

С(3)=317 mod 21=12

С(4)=417 mod 21=16

С(5)=517 mod 21=17

Криптотекст - 1 11 12 16 17.

Проверим расшифровкой:

M(l)=15 mod 21=1

M(2)=115 mod 21=2

М(3)= 125 mod 21=3

М(4)= 165 mod 21= 4

М(5)= 175 mod 21= 5

Как видим, результат совпал.

Криптосистема RSA широко применяется в Интернете. Когда вы подсоединяетесь к защищенному серверу по протоколу SSL, устанавливаете на свой ПК сертификат WebMoney либо подключаетесь к удаленному серверу с помощью Open SSH или SecureShell, то все эти программы применяют шифрование открытым ключом с использованием идей алгоритма RSA. Действительно ли эта система так надежна?

Конкурсы по взлому RSA

С момента своего создания RSA постоянно подвергалась атакам типа Brute-force attack (атака методом грубой силы, т. е. перебором). В 1978 г. авторы алгоритма опубликовали статью, где привели строку, зашифрованную только что изобретенным ими методом. Первому, кто расшифрует сообщение, было назначено вознаграждение в размере 100 $, но для этого требовалось разложить на два сомножителя 129-значное число. Это был первый конкурс на взлом RSA. Задачу решили только через 17 лет после публикации статьи.

Криптостойкость RSA основывается на том предположении, что исключительно трудно, если вообще реально, определить закрытый ключ из открытого. Для этого требовалось решить задачу о существовании делителей огромного целого числа. До сих пор ее аналитическими методами никто не решил, и алгоритм RSA можно взломать лишь путем полного перебора. Строго говоря, утверждение, что задача разложения на множители сложна и что взлом системы RSA труден, также не доказано.

Компания RSA (http://www.rsa.ru) регулярно проводит конкурсы на взлом собственных (и не только собственных) шифров. Предыдущие конкурсы выиграла организация Distributed.net (http://www. distributed. net/), являющаяся Интернет - сообществом добровольцев. Участники Distributed. net загружают к себе на ПК небольшую программу-клиент, которая подсоединяется к центральному серверу и получает кусочек данных для вычислений. Затем все данные загружаются на центральный сервер, и клиент получает следующий блок исходной информации. И так происходит до тех пор, пока все комбинации не будут перебраны. Пользователи, участники системы, объединяются в команды, а на сайте ведется рейтинг как команд, так и стран.

Например, участвующей в конкурсе по взлому RC5-64 (блочный шифр компании RSA, использующий ключ длиной 64 бита) организации Distributed.net удалось осуществить взлом через пять лет (1757 дней) работы. За это время в проекте участвовали 327 856 пользователей и было перебрано 15 268 315 356 922 380 288 вариантов ключа. Выяснилось, что была (не без юмора) зашифрована фраза «some things are better left unread» («некоторые вещи лучше оставлять непочтенными»). Общие рекомендации по шифру RC5-64 таковы: алгоритм достаточно стоек для повседневных нужд, но шифровать им данные, остающиеся секретными на протяжении более пяти лет, не рекомендуется».

Сейчас организация Distributed.net взламывает шифр RC5-72 (ключ 72 бита длиной). Что интересно, добавление всего 8 бит в длину ключа привело к тому, что за 172 дня существования очередного конкурса по взлому было перебрано всего лишь 0,023% от всех ключей. Что ж, подождем...

Конкурс AES (Advanced Encryption Standard)

В 80-х гг. в США приняли стандарт симметричного шифрования для внутреннего применения - DES (Data Encryption Standard, подобный стандарт есть и в России). Но в 1997 г., когда стало понятно, что 56-битового ключа DES недостаточно для  надежной криптосистемы, Американский институт стандартизации объявил конкурс на новый стандартный алгоритм. Из 15 вариантов был выбран лучший: бельгийский алгоритм Rijndael (его название составлено из фамилий авторов - Rijmen и Daemen, читается как «Рэйндал». Этот алгоритм уже встроен в различные криптографические средства, поставляемые на рынок). Другими финалистами конкурса стали MARS, RC6, Serpent, TwoFish. Все эти алгоритмы были признаны достаточно стойкими и успешно противостоящими всем широко известным методам криптоанализа.

Шифрование в Windows

Большинство из нас постоянно используют шифрование, хотя и не всегда знают об этом. Если у вас установлена операционная система Microsoft, то знайте, что Windows хранит о вас (как минимум) следующую секретную информацию:

  •  пароли для доступа к сетевым ресурсам (домен, принтер, машины в сети и т. д.);
  •  пароли для доступа в Интернет с помощью DialUp;
  •  кэш паролей (в браузере есть такая функция - кэшировать пароли, и Windows сохраняет все когда-либо вводимые вами в Интернете пароли);
  •  сертификаты для доступа к сетевым ресурсам и зашифрованным данным на самой машине.

Эти данные хранятся либо в pwl-файле (в Windows 95), либо в SAM-файле (в Windows NT/2000/ ХР). Это файл Реестра Windows, и потому операционная система никому не даст к нему доступа даже на чтение. Злоумышленник может скопировать такие файлы, только загрузившись в другую ОС или с дискеты. Утилит для их взлома достаточно много, самые современные из них способны подобрать ключ за несколько часов.

Это является одной из причин, по которым в любой курс по обеспечению безопасности предприятия введены лекции о неинформационных средствах, а именно об охране, пропускном режиме, ограничении доступа посторонних лиц к компьютерам и т. д. Например, ограничения NTFS (файловая система Windows NT/2000) на доступ к данным не действуют в другой ОС. Если же злоумышленник сможет загрузить с дискеты MS-DOS, то любая информация из разделов NTFS может быть считана при наличии соответствующего драйвера, а такие драйверы уже существуют и для MSDOS, и для Unix.

В операционную систему Windows 2000 встроена система шифрования EPS (Encrypting File System), позволяющая хранить некоторые блоки файловой системы NTFS в зашифрованном виде. Эта технология очень удобна, потому что работает как встроенный системный сервис. Для того чтобы зашифровать файл или каталог, нажмите на кнопку <Advanced> в свойствах файла или директории. В появившемся окне (рис. 1) отметьте галочкой  Encrypt contents to secure data.

Рис. 1

Когда Windows спросит, применять ли установленные параметры на поддиректории и входящие файлы, ответьте <Да>. При шифровании каталога EFS гарантирует, что все файлы в нем будут зашифрованы. При этом вы продолжаете работать с этими директориями так же, как и раньше. Вам вовсе не обязательно производить дешифрацию файлов, чтобы открыть их - все происходит на системном уровне прозрачно и для пользователя, и для приложений.

Windows и пароли

Как Windows шифрует пароли?

Система берет пароль, преобразует его в верхний регистр, обрезает до 14 символов, затем делит их на две половины по 7, шифрует каждую по отдельности и так сохраняет, что несколько упрощает взлом. Кстати, когда будете придумывать пароль, имейте в виду, что комбинация длиннее 14 символов имеет мало смысла.

Программы-шифраторы

Иногда необходимо зашифровать отдельный файл, чтобы передать его кому-нибудь или послать по электронной почте и т. д. Иногда нужно просто зашифровать файл, а стандартных возможностей, предоставляемых файловой системой NTFS, недостаточно. В таких случаях можно прибегнуть к помощи специальных шифрующих программ.

Например, CryptoForge (http://www.cryptoforge.com/) позволяет зашифровать файл любым из четырех алгоритмов (Blowfish, Triple-DES, Cost и даже Rijndae). Встраиваясь в систему, программа добавляет в контекстное меню проводника Explorer пункт Encrypt. Нажав на него, вы получите предложение ввести пароль (рис. 1).

Рис. 1

Введенный пароль, который затем преобразуется в ключ, будет использован в качестве параметра для указанного в настройках алгоритма. Прочитать этот файл не сможет никто, кроме знающих пароль.

Цифровая подпись

Цифровая подпись - одно из самых распространенных применений шифрования. Суть цифровой подписи состоит в том, чтобы идентифицировать сообщение и гарантировать его неизменность. Сообщение (любой длины) преобразуется с помощью так называемой хэш-функции в короткое число. Обычно оно имеет размерность 128 бит. Хэш-функция однонаправлена (по числу нельзя восстановить сообщение) и однозначна (при повторном хэшировании того же сообщения получится то же число).

Теоретически существует множество сообщений, которые будут хэшированы в то же число, но на практике вероятность такого события ничтожно мала.

Полученное в результате обработки хэш-функцией текста сообщения число шифруется по RSA-алгоритму на закрытом ключе пользователя и посылается адресату вместе с письмом и экземпляром открытого ключа. Адресат с помощью открытого ключа отправителя выполняет ту же хэш-функцию над пришедшим сообщением. Если оба числа равны, это означает, что сообщение подлинное, а если был изменен хотя бы один символ, то числа не совпадут.

Один из самых распространенных в России почтовых клиентов, программа The Bat!, обладает встроенными возможностями добавлять цифровые подписи к письмам (обратите внимание на пункт меню Privacy при редактировании письма).

Криптография

Криптография - наука о принципах, средствах и методах преобразования информации для защиты ее от несанкционированного доступа и искажения. В последнее время она развивается очень и очень бурно. Это бесконечная увлекательная гонка, требующая много времени и сил: криптоаналитики взламывают алгоритмы, которые еще недавно были стандартами и повсеместно использовались. Кстати, недавно математики Дэн Голдстон (США) и Кем Илдирим (Турция) доказали первую закономерность в распределении простых чисел (до сих пор таких закономерностей не замечали). Простые числа располагаются на числовой оси некоторыми скоплениями, что несколько облегчает их поиск.

Математические исследования, ведущиеся во всем мире, постоянно приводят все к новым и новым открытиям. Как знать, может быть, мы стоим на пороге взлома алгоритма RSA или других криптосистем, основанных на нерешенных математических задачах.


Аппаратные шифраторы

Мы говорили, что алгоритмы защиты информации (прежде всего шифрования) можно реализовать как программным, так и аппаратным методом. Рассмотрим аппаратные шифраторы: почему они считаются более надежными и обеспечивающими лучшую защиту.

Что такое аппаратный шифратор

Аппаратный шифратор по виду и, по сути, представляет собой обычное компьютерное «железо», чаще всего это плата расширения, вставляемая в разъем ISA или PCI системной платы ПК. Бывают и другие варианты, например, в виде USBключа с криптографическими функциями, но мы здесь рассмотрим классический вариант - шифратор для шины PCI.

Использовать целую плату только для функций шифрования - непозволительная роскошь, поэтому производители аппаратных шифраторов обычно стараются насытить их различными дополнительными возможностями, среди которых:

  1.  Генерация случайных чисел. Это нужно, прежде всего, для получения криптографических ключей. Кроме того, многие алгоритмы защиты используют их и для других целей, например алгоритм электронной подписи ГОСТ Р 34.10  2001. При каждом вычислении подписи ему необходимо новое случайное число.
  2.  Контроль входа на компьютер. При включении ПК устройство требует от пользователя ввести персональную информацию (например, вставить дискету с ключами). Работа будет разрешена только после того, как устройство опознает предъявленные ключи и сочтет их «своими». В противном случае придется разбирать системный блок и вынимать оттуда шифратор, чтобы загрузиться (однако, как известно, информация на ПК тоже может быть зашифрована).
  3.  Контроль целостности файлов операционной системы. Это не позволит злоумышленнику в ваше отсутствие изменить какие-либо данные. Шифратор хранит в себе список всех важных файлов с заранее рассчитанными для каждого контрольными суммами (или хэш-значениями), и если при следующей загрузке не совпадет эталонная сумма хотя бы одного из них, компьютер будет блокирован.

Плата со всеми перечисленными возможностями называется устройством криптографической защиты данных - УКЗД.

Шифратор, выполняющий контроль входа на ПК и проверяющий целостность операционной системы, называют также «электронным замком». Ясно, что аналогия неполная - обычные замки существенно уступают этим интеллектуальным устройствам. Понятно, что последним не обойтись без программного обеспечения - необходима утилита, с помощью которой формируются ключи для пользователей и ведется их список для распознавания «свой/чужой». Кроме того, требуется приложение для выбора важных файлов и расчета их контрольных сумм. Эти программы обычно доступны только администратору по безопасности, который должен предварительно настроить все УКЗД для пользователей, а в случае возникновения проблем разбираться в их причинах.

Вообще, поставив на свой компьютер УКЗД, вы будете приятно удивлены уже при следующей загрузке: устройство проявится через несколько секунд после включения кнопки <Power>, как минимум, сообщив о себе и попросив ключи. Шифратор всегда перехватывает управление при загрузке ПК (когда BIOS компьютера поочередно опрашивает все вставленное в него «железо»), после чего не так-то легко получить его обратно. УКЗД позволит продолжить загрузку только после всех своих проверок. Кстати, если ПК по какой-либо причине не отдаст управление шифратору, тот, немного подождав, все равно его заблокирует. И это также прибавит работы администратору по безопасности.

Структура шифраторов

Рассмотрим теперь, из чего должно состоять УКЗД, чтобы выполнять эти непростые функции (рис. 3):

  1.  Блок управления - основной модуль шифратора, который «заведует» работой всех остальных. Обычно реализуется на базе микроконтроллера, сейчас их предлагается немало и можно выбрать подходящий. Главное - быстродействие и достаточное количество внутренних ресурсов, а также внешних портов для подключения всех необходимых модулей.
  2.  Контроллер системной шины ПК (например, PCI). Через него осуществляется основной обмен данными между УКЗД и компьютером.
  3.  Энергонезависимое запоминающее устройство (ЗУ) - обычно на базе микросхем флэш-памяти. Оно должно быть достаточно емким (несколько мегабайт) и допускать большое число циклов записи. Здесь размещается программное обеспечение микроконтроллера, которое выполняется при инициализации устройства (т. е. когда шифратор перехватывает управление при загрузке компьютера).
  4.  Память журнала. Также представляет собой энергонезависимое ЗУ; это действительно еще одна флэш-микросхема: во избежание возможных коллизий память для программ и для журнала не должны объединяться.
  5.  Шифропроцессор (или несколько) - это специализированная микросхема или микросхема программируемой логики PLD - Programmable Logic Device. Собственно, он и шифрует данные. Подробнее об этом немного позже.
  6.  Генератор случайных чисел. Обычно представляет собой некое устройство, дающее статистически случайный и непредсказуемый сигнал - белый шум. Это может быть, например, шумовой диод. А перед использованием по специальным правилам белый шум преобразуется в цифровую форму.
  7.  Блок ввода ключевой информации. Обеспечивает защищенный прием ключей с ключевого носителя, через него также вводится идентификационная информация о пользователе, необходимая для решения вопроса «свой/чужой».
  8.  Блок коммутаторов. Помимо перечисленных выше основных функций, УКЗД может по велению администратора безопасности отключать возможность работы с внешними устройствами: дисководами, CD-ROM, параллельным и последовательным портами, шиной USB и т. д. Если пользователь работает с настолько важной информацией, что ее нельзя ни печатать, ни копировать, то УКЗД при входе на компьютер заблокирует все внешние устройства, включая даже сетевую карту.

Шифропроцессор

Шифрование в УКЗД должно выполняться так, чтобы посторонним невозможно было узнать ключи и каким-либо образом повлиять на реализуемые в нем алгоритмы. Иногда бывает полезно засекретить и правила преобразования ключей. Поэтому Шифропроцессор логически состоит из нескольких структурных единиц (рис. 4):

  1.  Вычислитель - набор регистров, сумматоров, блоков подстановки и т. п., связанных между собой шинами передачи данных. Собственно, он и выполняет криптографические действия, причем должен делать это максимально быстро. На вход вычислитель получает открытые данные, которые следует зашифровать, и ключ шифрования, который, как известно, является случайным числом. А шифрование - это сложное математическое преобразование, поэтому его результат тоже очень похож на набор случайных величин (попробуйте сжать зашифрованный файл каким-нибудь архиватором - при использовании серьезного алгоритма защиты это будет невозможно).
  2.  Блок управления. На самом деле это аппаратно реализованная программа, управляющая вычислителем. Если по какой-либо причине программа изменится, его работа начнет давать сбои. Это чревато, например, появлением данных в открытом виде вместо зашифрованного (хотя это крайний случай; более вероятно получение такой шифровки, которую ни вы сами, ни кто-либо еще уже не расшифрует никогда). Поэтому программа должна не только надежно храниться и устойчиво функционировать, но и регулярно проверять сама себя. Кстати, внешний блок управления (описанный выше) тоже периодически посылает ей контрольные задачи. На практике для большей уверенности ставят два шифропроцессора, которые постоянно сравнивают свои результаты (если они не совпадают, шифрование придется повторить). Все это требуется для обеспечения неизменности алгоритма шифрования.
  3.  Буфер ввода-вывода необходим для повышения производительности устройства: пока шифруется первый блок данных, загружается следующий и т. д. То же самое происходит и на выходе. Такая конвейерная передача данных серьезно увеличивает скорость шифрования.

Быстродействие

Кстати, о скорости. Разумеется, любому пользователю ПК желательно, чтобы присутствие в его компьютере УКЗД не отражалось на удобстве работы (конечно, если человек выполняет только разрешенные действия). Но, естественно, шифрование данных отнимает некоторое время, причем раньше приходилось просто ждать, когда закончится шифрование, например, логического диска. В Windows позволялось заняться чем-то параллельно, но еще несколько лет назад шифраторы отвлекали на себя значительные ресурсы процессора, поэтому одновременно без заметного торможения можно было только раскладывать пасьянс. Современные УКЗД шифруют данные без помощи центрального процессора ПК. В шифратор лишь передается команда, а затем он сам извлекает данные из ОЗУ компьютера, шифрует их и кладет в указанное место. Процессор же при этом вполне может выполнять другие задачи. Исследования современных УКЗД показывают, что во время их работы производительность ПК практически не снижается.

Возможно применение и нескольких УКЗД на одном компьютере, например на криптографическом маршрутизаторе: один шифрует отправляемую в Интернет информацию, второй - принимаемую. Производительность такой системы не вносит задержек в работу локальной сети Fast Ethernet (100 Мбит/с).

Потоковая скорость обработки данных - это один из основных параметров, по которым оценивают аппаратные шифраторы. Она измеряется в мегабайтах в секунду и зависит, прежде всего, от сложности алгоритма шифрования. Проще всего оценить ее по формуле:

V=F*К/n,

где F - тактовая частота,

  К - размер стандартного блока шифрования,

  N - число тактов, требующееся на преобразование стандартного блока.

Например, отечественный алгоритм ГОСТ 2814789 имеет быстродействие 32 такта на 8байтовый блок, а значит, скорость шифрования должна стремиться к 25 Мбайт/с при тактовой частоте 100 МГц. Однако последние опубликованные достижения скорости аппаратной реализации этого алгоритма - 9 Мбайт/с. Ограничения являются чисто технологическими: отсутствие необходимого уровня разработок или элементной базы. Хотелось бы отметить, что программная реализация криптоГОСТа на самых современных ПК достигает 1216 Мбайт/с при тактовой частоте процессора 1 ГГц. Хотя в этом случае аппаратная скорость шифрования теоретически могла бы быть около 250 Мбайт/с.


Шифраторы для защиты сетей

Для защиты передаваемой в Сеть информации можно использовать как обычный аппаратный шифратор, так и проходной (ПШ), который, помимо всего вышеперечисленного, является также полноценным сетевым адаптером Ethernet (т. е. шифратор и сетевой адаптер выполнены в качестве одной PCI-платы) (рис. 5). Его достоинство в том, что он полностью контролирует весь обмен данными по сети, а обойти его (как изнутри, так и снаружи) просто невозможно.

ПШ являются достаточно сложными устройствами, так как они вместо центрального процессора компьютера вынуждены выполнять дополнительные функции по обработке информации. Обычно в ПШ ставят два шифропроцессора: один из них отвечает за шифрование отправляемых данных, а другой расшифровывает принимаемые. Такое устройство может хранить в себе несколько сотен ключей, чтобы каждый блок информации был зашифрован на своем, отличном от других. Это делает все ключи абсолютно недоступными злоумышленникам, но несколько затрудняет процесс управления ими.

Технические трудности не позволяли до последнего времени разработать надежные и быстродействующие ПШ. Однако с недавним появлением на рынке дорогих, но очень качественных микросхем PLD решаются многие проблемы создания сложных многофункциональных устройств, что стимулировало выпуск первых отечественных проходных шифраторов.

Кстати, ПШ допускает и другое применение: он может стоять в разрыве между жестким диском компьютера и его контроллером. В этом случае все, что пишется на HDD, будет также автоматически шифроваться (рис. 8).

Разработчики аппаратных шифраторов и программного обеспечения для них, полагают, что уже скоро будут созданы УКЗД, осуществляющие управление не только работой дисководов, CD-ROM и портов ввода-вывода, но всеми ресурсами ПК. В ближайшем будущем компьютеру останется только передавать открытые данные между процессором и оперативной памятью и обрабатывать их, все остальное сделает само УКЗД. Ясно, что абсолютному большинству пользователей это не потребуется. Но там, где ведется работа с важными и конфиденциальными документами, ин-

формация должна быть серьезно защищена.

Загрузка ключей шифрования

Есть еще одна особенность, касающаяся безопасности: чтобы у злоумышленника не было совсем никаких шансов, необходимо ключи загружать в шифратор, минуя оперативную память компьютера, где их теоретически можно перехватить и даже подменить. Для этого УКЗД дополнительно содержит порты ввода-вывода, например СОМ или USB, к которым напрямую подключаются разные устройства чтения ключевых носителей. Это могут быть любые смарт-карты (пластиковые карты с микросхемой памяти или микропроцессором), специальные USB-ключи или электронные таблетки Touch Memory (их очень часто используют, например, для домофонов).

Помимо прямого ввода ключей в УКЗД, многие из таких носителей обеспечивают и их надежное хранение - даже украв USB-ключ, без специального кода доступа к его содержимому не подобраться.

«Железный» замок, электронные ключи

Недавно компания ISBC («Интеллектуальные системы управления бизнесом», www.isbc.ru) представила на рынке свой программно-аппаратный комплекс защиты компьютера от несанкционированного доступа. Все продукты такого класса выпускаются для того, чтобы защитить хранимую на ПК информацию (личную или корпоративную) и при этом облегчить работу ИТ-специалистов, занятых настройкой доступа пользователям. Владельцам домашних ПК они позволяют предотвратить зловредное вторжение посторонних и избавляют от необходимости запоминать пароли к программам, Интернет-ресурсам и для входа в ОС. Обычно вся персональная информация записывается на внешние накопители - смарт-карты или USB-ключи. Подобных изделий существует уже немало, чем же ESMART Access отличается от других? На мой взгляд, этот продукт более универсален, так как поддерживает работу со всеми распространенными хранителями - USBToken, внешними USB-накопителями, бесконтактными смарт-картами и др., а для считывания используются самые разные ридеры, как внешние, так и внутренние. Кроме того, в этом продукте помимо уже стандартных для ПО такого класса функций (защита доступа в Windows NT/2000/XP/2003, автоматический ввод имени пользователя и пароля к файлам, документам и различным приложениям при их запуске, генератор символов, создающий стойкие ко взлому пароли, и т. д.) есть дополнительные удобства. Мне показалась весьма остроумной возможность хранить в электронном блокноте на смарт-карте персональную информацию (любого рода - будь то краткое досье на сотрудников, время и место свидания или PIN-код к кредитной карте). Я, например, записала туда свои реквизиты в системе Webmoney, a также несколько важных, но редко используемых телефонных номеров - на всякий случай. Интерфейс программы - на русском и английском языках по выбору, удобный и интуитивно понятный, так что не заблудишься. Для установки требуется 5 Мбайт дискового пространства. Руководство пользователя написано толково и подробно, благодаря чему проблем не возникнет даже у того, кто прежде никогда не имел дела с подобными продуктами. Еще одна приятная мелочь - можно создать индивидуальную (корпоративную) заставку для входа в Windows, чтобы не мучить себя и других «голубой бездной». Как всегда, предусмотрено резервное копирование - на случай потери или повреждения смарт-карт. Однако не дай бог вам забыть пароль к самой карте или ключу - тут уж никто ничем помочь не сможет. Впрочем, если нынче в любой торговой точке по скупке мобильников за считанные секунды вам легко разблокируют защищенную PIN-кодом SIM-карту, не исключено, что и для хранителей паролей такая услуга скоро появится...

Кое-какие мелкие недостатки у продукта, конечно, есть. Один из самых «серьезных» - Uninstall не имеет ярлыка и размещен в том каталоге, куда вы устанавливали программу. Впрочем, удаляется программа идеально, «мусора» не остается. Когда заканчивается срок действия демоверсии, она по-прежнему требует ввода паролей там, где вы их установили, но не позволяет что-либо изменять. После установки и удаления необходима перезагрузка и вход с правами администратора (в локальной сети).

Прежде мы не раз рассказывали о технологиях, на которых основываются подобные системы защиты, и о самих продуктах («Крапленая карта», №4/02, с. 56; «Шпиономания», №7/02, с. 70; «Маска, я тебя знаю», №6/03, с. 50; «Ключ к Интернету», №9/03, с. 70). Поздравим себя: теперь действительно появилась возможность выбора среди таких симпатичных и полезных аксессуаров для ПК, как хранители паролей.

Как программы используют шифратор

Установленный на компьютере шифратор может использоваться сразу несколькими программами, например программой прозрачного шифрования, «прогоняющей» данные сквозь шифратор, и программой электронной подписи, использующей для вычисления подписи получаемые от шифратора случайные числа.

Для того чтобы не возникало коллизий при одновременном обращении к шифратору разных программ (представим, что одна из них шифрует логический диск, а вторая на другом ключе расшифровывает файл: если не управлять очередью выполнения шифратором их требований, получится абракадабра), ставят специальное программное обеспечение управления им (рис. 6).

Такое ПО выдает команды через драйвер шифратора и передает последнему данные, следя за тем, чтобы потоки информации от разных источников не пересекались, а также за тем, чтобы в шифраторе всегда находились нужные ключи. Таким образом, УКЗД выполняет два принципиально разных вида команд:

  •  перед загрузкой операционной системы - команды, зашитые в память шифратора. Они осуществляют все устанавливают требуемый уровень безопасности - допустим, отключают внешние устройства.
  •  после загрузки, например, Windows - команды, поступающие через модуль управления шифраторами: шифровать данные, перезагружать ключи, вычислять случайные числа и т. д.

Такое разделение необходимо из соображений безопасности - после выполнения команд первого блока, которые нельзя обойти, злоумышленник уже не сможет сделать что-либо запрещенное.

Еще одно назначение ПО управления шифраторами - обеспечить возможность замены одного шифратора на другой (скажем, на более «продвинутый» или быстрый), не меняя программного обеспечения.

Это происходит аналогично, например, смене сетевой карты: шифратор поставляется вместе с драйвером, который позволяет программам выполнять стандартный набор функций. Те же программы шифрования и не заметят такой подмены, но будут работать в несколько раз быстрее.

Таким же образом можно заменить аппаратный шифратор на программный. Для этого программный шифратор выполняют обычно в виде драйвера, предоставляющего тот же набор функций.

Впрочем, такое ПО нужно вовсе не всем шифраторам - в частности, ПШ, стоящий по дороге к HDD, достаточно настроить один раз, после чего о нем можно просто забыть.

Следует сказать и о том, почему же такой замечательной и полезной вещью, как аппаратный шифратор, еще не обладает каждый пользователь. Увы, для домашнего ПК он дороговат. Впрочем, это вопрос времени - вспомните, какой редкостью были десяток лет назад мобильные телефоны. А сейчас, пожалуй, это неизменный атрибут большинства.

Как выбрать аппаратный шифратор

Шифрование - один из самых эффективных и распространенных способов защиты информации. В свою очередь, аппаратная реализация криптографического алгоритма надежней программного исполнения. В число основных достоинств аппаратных шифраторов входят следующие (см. выше):

  •  гарантия неизменности алгоритма шифрования (криптографическое ПО по определению не защищено от воздействия враждебных программ, способных модифицировать его код);
  •  наличие аппаратного датчика случайных чисел (ДСЧ), используемого при создании криптографических ключей. Для этих целей в аппаратном датчике задействованы физические процессы (обратный пробой специализированного диода и т. п.), что обеспечивает выдачу действительно случайных чисел, распределение которых близко к равновероятному. Аппаратный ДСЧ, как правило, применяется при генерации ключей не только шифрования, но и электронной цифровой подписи (ЭЦП);
  •  возможность прямой (минуя системную шину компьютера) загрузки ключей шифрования в специализированный процессор аппаратного шифратора с персональных идентификаторов - носителей типа смарт-карт и «таблеток» Touch Memory (TM). Тем самым снимается угроза перехвата ключей, которые при использовании программных шифраторов циркулируют в оперативной памяти компьютера;
  •  хранение ключей шифрования не в ОЗУ компьютера (как в случае с программной реализацией), а в памяти шифропроцессора; идентификация и аутентификация пользователя до загрузки операционной системы; запрет на изменение процесса загрузки компьютера (когда, скажем, вход зарегистрированного пользователя осуществляется только по предъявлении идентификатора с ключами, а остальные варианты - с загрузочной дискеты, компакт-диска и т. п. - блокированы); возможности контроля целостности операционной системы и прикладного программного обеспечения, позволяющие, к примеру, отследить действия вирусов; ведение доступного лишь администратору безопасности журнала действий пользователей, регистрирующего все (в том числе и безуспешные) попытки доступа к компьютеру. Эти опции обобщенно именуются функциями «электронного замка»;
  •  обеспечение наряду со всеми перечисленными достоинствами сопоставимой с программными продуктами скорости шифрования. Не менее важно, что шифраторы, конструктивно выполненные в виде плат расширения разъема PCI, способны использовать для выполнения криптографических преобразований свой собственный процессор, не загружая процессор компьютера. Понятно, что при программной реализации добиться разгрузки центрального процессора невозможно.

Hard или soft?

Что же мешает широкому применению аппаратных шифраторов - или, выражаясь точнее, обусловливает их меньшую распространенность по сравнению с криптографическим ПО?

Прежде всего, цена - в любом случае стоимость аппаратного шифратора будет выше, чем чисто программного решения. Но, как любили повторять в одном из советских киношлягеров, «чем мех лучше, тем он и дороже». Так что для организаций, всерьез заботящихся об информационной безопасности, использование аппаратных шифраторов в силу перечисленных выше причин безусловно желательно - во всяком случае, для защиты наиболее важных ресурсов. Как будет показано ниже, производители аппаратных криптографических средств постоянно дополняют свои продукты новыми возможностями, и по соотношению цена/качество (если понимать под последним прежде всего функциональность) аппаратные шифраторы выглядят более предпочтительно, если их сравнивать с соответствующим ПО.

Зачастую у пользователей отсутствует полное понимание всех нюансов, связанных с правовым регулированием практики применения криптографических средств. Вероятно, здесь имеет место и психологический эффект. Кажется, гораздо проще переписать из Интернета одну из бесплатных или условно-бесплатных программ шифрования и активно ее использовать, в том числе для защиты информационного обмена со сторонними организациями, в то время как закупка аппаратного шифратора представляется началом долгого процесса получения всевозможных лицензий, сбора согласующих виз и т. п. Иными словами, на первый план выходят даже не денежные соображения, а попытки сэкономить время и облегчить себе жизнь.

Заметим, однако, что в нормативных актах, регулирующих практику применения криптографических (шифровальных) средств, не проводится различий между программными и аппаратными средствами: оформлять использование криптосредств надо в любом случае. Другое дело, что документы эти могут быть разными - или лицензия ФАПСИ на использование криптосредств, или договор с организацией, имеющей необходимую лицензию ФАПСИ на предоставление услуг по криптографической защите конфиденциальной информации. Поэтому переход к применению аппаратных шифраторов можно совместить с оформлением упомянутых выше документов.

Можно, наконец, предположить, что осторожность потенциальных пользователей аппаратных шифраторов вызвана и недостатком информации - как о спектре представленных на российском рынке устройств, так и об особенностях их установки, настройки и обслуживания. Что касается первой из названных проблем, то надеемся, что ее решению будут способствовать наши публикации, а опасения по второму поводу, скорее всего, излишни. С одной стороны, при наличии общих знаний компьютерной техники и готовности читать документацию до установки шифратора, а не после таковой процесс инсталляции не вызовет осложнений; с другой стороны, производители и поставщики криптосредств охотно берутся за сопровождение своей продукции, каковые услуги на первых этапах эксплуатации шифраторов совсем не лишние.

Выбираем поставщика

Выбор поставщика аппаратного шифратора - задача гораздо более сложная по сравнению с определением места закупки других устройств (скажем, монитора или принтера).

Во-первых, шифратору вы доверите работу с самой важной (а следовательно, дорогой) информацией. Выход из строя принтера или монитора неприятен, но поправим - в крайнем случае придется купить новое устройство (такое же или аналогичное) у другого поставщика, благо их, как правило, хватает. Отказ же шифратора, защищающего, к примеру, сервер с бухгалтерской базой данных, способен парализовать деятельность всей фирмы. Значит, важно убедиться в надежности предлагаемого продукта и заручиться гарантией поставщика по быстрому ремонту или замене неработоспособного СКЗИ.

Если же поставщик находится далеко, а требование обеспечить «горячее» резервирование отнесено к разряду обязательных, придется закупать резервный комплект. Для обоснования разумности такого непопулярного в глазах руководства и финансистов шага достаточно будет сравнить стоимость «запаски» и возможные потери от простоев, вызванных неработоспособностью СКЗИ. Но и здесь можно снизить неизбежные издержки, приобретя на черный день более дешевый программный шифратор, совместимый с аппаратным СКЗИ.

Словом, «цена вопроса» при выборе поставщика шифратора несравнимо выше, чем при закупке многих других видов оборудования - пусть даже на первый взгляд и более дорогих.

Во-вторых, вложения в закупку аппаратных шифраторов - это «долгие» инвестиции. Речь идет не только и не столько о цене СКЗИ, хотя и этот параметр безусловно важен. Нужно учитывать еще, к примеру, перспективы расширения сети и необходимость дозакупки шифраторов для новых рабочих мест. Мониторы для них можно будет купить любой другой марки, а вот за дополнительными СКЗИ придется обратиться к тому же поставщику, поскольку аппаратные шифраторы разных производителей между собой несовместимы.

Кроме того, процесс разработки аппаратных СКЗИ достаточно долог, их сертификация - тоже процесс небыстрый, а фирм-производителей гораздо меньше, чем на рынке тех же принтеров или мониторов. Так что с аппаратным шифратором вы по определению будете работать длительное время, и если нет желания превратить целые годы в настоящую пытку, стоит подойти к выбору поставщика ответственно.

В-третьих, определять поставщика следует не за один день. Лучше всего накапливать необходимую информацию в течение нескольких месяцев, тщательно и методично собирая сведения о потенциальном партнере, в том числе от других заказчиков, способных дать непредвзятые комментарии, а главное - подтвердить заявления поставщика о работоспособности и эффективности предлагаемых продуктов. «Мертвый» корпоративный сайт годичной давности и отсутствие новых разработок могут свидетельствовать о кризисной ситуации, в которой находится фирма-поставщик. И наоборот, регулярные благожелательные упоминания в прессе, способность отыскать инвестиции для финансирования новых проектов, получение очередных лицензий и сертификатов подтверждают эффективность деятельности менеджеров фирмы-поставщика.

О чём спросить поставщика

  1.  Наличие лицензий ФАПСИ на соответствующие виды деятельности (распространение шифровальных средств; для фирмы-разработчика - проектирование и производство средств защиты информации), дата их выдачи, срок действия. Для поставщика, не являющегося производителем, - документальное подтверждение партнерских отношений с производителем.
  2.  Наличие сертификатов ФАПСИ на аппаратное СКЗИ, срок действия сертификатов. Наличие сертификатов Гостехкомиссии, удостоверяющих функциональность предлагаемого решения в сфере защиты от несанкционированного доступа. Наличие других сертификатов и заключений (по требованиям электромагнитной совместимости, механической, электрической и пожарной безопасности, соответствия санитарно-эпидемиологическим правилам и нормативам и т. п.).
  3.  Комплект поставки, наличие в нем подробной документации для администратора и пользователя (в том числе в печатном виде), необходимость и возможность оперативной дозакупки дополнительных аксессуаров (носителей ключевой информации, устройств блокировки физических каналов и т. п.).
  4.  Возможность заключения с поставщиком договора на использование фирмойпокупателем средств криптографической защиты информации,
  5.  Сроки и условия гарантийного ремонта и послегарантийного обслуживания

Рекомендации и выводы

Что же можно порекомендовать покупателю аппаратного шифратора?

Прежде всего - готовности довести эту покупку до конца, несмотря на стоны финансистов и/или глухой ропот «экономного» начальства. Ответственным за информационную безопасность следует помнить, что именно они окажутся крайними в случае утечки конфиденциальной информации или ее разглашения, а ущерб, который наносят компаниям реализованные угрозы информационной безопасности, как правило, многократно превышает затраты на оснащение средствами защиты, в том числе на закупку СКЗИ.

Очевидно и то обстоятельство, что приобретение СКЗИ должно быть частью общей корпоративной политики в отношении информационной безопасности. Отсутствие продуманной стратегии, хаотичность действий способны превратить систему защиты информации в сшитый из дорогих лоскутов тришкин кафтан.

Наконец, следует понимать, что с покупкой аппаратных СКЗИ у пользователей (а также администраторов) начинается в буквальном смысле новая жизнь, где нет места лени и беззаботности. Аппаратный шифратор из эффективного средства защиты информации может превратиться в не менее эффективное средство ее гарантированного уничтожения: скажем, потеря или сбой единственного носителя с ключами означает, что вы лишились зашифрованной информации навсегда. Поэтому, кстати, не надо скупиться на приобретение более надежных по сравнению с дискетами носителей криптографических ключей; не стоит забывать, как важно делать копии ключевых носителей и убирать их в безопасное хранилище вместе с распечаткой пароля, а сами пароли нужно менять регулярно, используя многосимвольные комбинации с неповторяющимся набором знаков.

В целом же потребитель может сейчас выбирать необходимый ему аппаратный шифратор из целого ряда СКЗИ, представленных на отечественном рынке. Рынок этот ушел от свойственной ему еще не так давно монополии одного продукта, и наличие конкуренции, безусловно, идет на пользу покупателю, вынуждая производителей и поставщиков соразмерять цены на свою продукцию с общими тенденциями развития.

Одна из основных тенденций заключается в том, что сейчас не востребованы шифраторы «в чистом виде», и в более выгодном положении находятся фирмы, пытающиеся совместить преимущества аппаратных СКЗИ с другими функциями - прежде всего защитой от несанкционированного доступа.

Далее, налицо «окончательная и бесповоротная» победа сетевых технологий, и опять-таки в выигрыше оказываются компании, предлагающие рынку эффективную и сравнительно недорогую защиту сетевого трафика. Если интеграция аппаратных шифраторов с защитой от НСД уже приобрела, так сказать, «классические» формы и запоздавшие с выходом на интегрированный рынок компании вынуждены копировать решения расторопных соперников, то вопрос о наиболее перспективной реализации криптографической защиты сетевых коммуникаций остается открытым.

Консерватизм и некоторая инерционность мышления, вероятно, еще долго будут свойственны рынку аппаратных шифраторов. Проявлением данной тенденции служит игнорирование перспективных биометрических технологий, которые вполне можно использовать при создании электронных замков на базе аппаратных шифраторов. В этом случае пользователи не зубрили бы длинные пароли и не проклинали бы отдел защиты информации, в сотый раз ошибаясь при вводе шестнадцатого парольного символа, а легко и непринужденно проходили аутентификацию по уникальному биометрическому признаку - скажем, отпечатку пальца. Нельзя не заметить, что производители и поставщики аппаратных шифраторов по-прежнему ориентируются прежде всего на достаточно состоятельных заказчиков - в большинстве своем представителей государственных структур, которые должны выполнять весьма жесткие требования по защите информации и потому охотно приобретают криптографическое «железо». За бортом при такой постановке вопроса остаются потребности гораздо более многочисленных покупателей - компаний среднего и малого бизнеса. Эти компании, с одной стороны, дозрели до понимания необходимости защиты информации (в том числе применения криптографии), но с другой - определенно не в состоянии расходовать тысячи долларов на закупку аппаратных СКЗИ.

Достойной альтернативой «большим» аппаратным СКЗИ на этом новом сегменте рынка могли бы стать аппаратные мини-шифраторы - брелоки для шины USB. Подобные решения уже появляются в нашей стране, и как знать - не уподобятся ли они первым мелким млекопитающим, которые в конечном счете вытеснили казавшихся непобедимыми гигантских динозавров?


Шифро-пр
оцессоры

Память

журнала

Контроллер системной шины

Генератор случайных чисел

Устройство

ввода

ключей

лок коммутаторов

Блок

управления

Устройства ввода-вывода и датчики

1

2

Флэш-память

3

4

5

6

7

8

Рис. 3. Структура шифратора

Блок

управления

Хранилище

ключей

Входной

буфер

Вычислитель

Входной

буфер

Команды

Рис. 4. Структура шифропроцессора

Ethernet-адаптер

Шифратор

HDD

Шифратор

Процессор и остальные ресурсы

компьютера

Сеть

Рис. 5. Проходные шифраторы

Шифратор

Драйвер шифратора

Программы шифрования, электронной подписи, генерации ключей и т. д.

Стандартные функции работы с шифраторами и ключевыми носителями

Драйвер ключевого носителя

Ключевой носитель

Или программный шифратор

Пользователь

Рис. 6. Программный интерфейс для шифратора


 

А также другие работы, которые могут Вас заинтересовать

21970. Китай в эпоху правления династии Юань (1271-1368 гг.) 71 KB
  на территории современного Китая сосуществовали 4 государства: на севере – чжуржэньская империя Цзинь на северозападе – тангутское государство Западное Ся на юге – Южносунская империя и государственное образование Ианьчжао Дали. – китайцысеверяне и ассимилированные кидане чжурчжэни корейцы и т. Этому способствовали политика властей власть монголов ослабла вместо единой монгольской империи было 4 государства: собственно Монголия Маньчжурия Китай Тибет входили в состав одного из них – государства великих ханов и стихийные...
21971. Контрреформация 39.5 KB
  пойти на реорганизацию внутренней структуры системы власти и управления она создала новые инструменты в частности появились новые религиозные ордена инквизиция книжная цензура постановления Тридентского собора. Некоторые ордена были реформированы. был реорганизован орден камальдулов ответвления бенедиктинцев в 1528 г. часть обсервантов францисканцы образовали орден капуцинов для деятельности в миру проповеди и служения среди простонародья.
21972. Крестовые походы 76 KB
  Наименование крестовых походов в истории получили военноколонизационные походы западноевропейских феодалов в страны Восточного Средиземноморья а также в пределы земель западных славян и прибалтийских народов. Современники не говорили крестовый поход называя это движение – войной за Гроб господень странствование заморское поход по стезе Господней путь в Святую землю. Термин крестовый поход появился в XVII в.
21973. Культура Западной Европы в XVI-XVII вв. 185 KB
  XVI в. XVI в. В XVIXVII вв.
21974. Австрийские земли в XVI-первой половине XVII вв. 54.5 KB
  в Австрии вместе с Чехией и Моравией проживало 55 млн. В Австрии население было распределено равномерно и все области были одинаково развиты в экономическом отношении. Австрийские правители добились чтобы экспортируемые из Венгрии медь и серебро в значительной мере обрабатывались в самой Австрии. был в Австрии бурным периодом перехода от ремесленного производства к ранней мануфактуре от аграрного хозяйства производящего на общину к производству на рынок.
21975. Австрийские земли в X-XV вв. 62 KB
  Хлебопашество играло определяющую роль на востоке – в Нижней Австрии оставаясь в рамках чиншевой системы. в Австрии было достаточное количество мелких и средних городов и один крупный – Вена. Формируется специализация городов и экономических зон Австрии. Ассортимент экспорта – бумазея вуаль из Вены и Тульна изделия из металла – иглы цепи кухонная утварь с х утварь ножи из Нижней Австрии – изделия из кожи стекло бумага кроме того австрийские купцы занимались экспорт и реэкспортом с х продуктов.
21976. Доколумбовая Америка. Ацтеки 228 KB
  Во влажных тропических лесах юга Месоамерики на сравнительно краткий исторический срок пышно расцвела цивилизация майя оставившая после себя обширные города и множество великолепных произведений искусства. Майя исторический и современный индейский народ создавший одну из самых высокоразвитых цивилизаций Америки и в целом Древнего мира. Некоторые культурные традиции древних майя сохраняют около 25 млн. народ майя говорящий на различных языках семьи майякиче расселился на обширной территории включающей южные штаты Мексики Табаско...
21977. Англия в XI-XV вв. 184.5 KB
  В Англии шла борьба за влияние на короля между Годвинами и норманнами. – подробно информировать короля о размерах и распределении богатств земель и доходов его вассалов. Некоторые из этих поместий были непосредственным владением короля остальные он раздавал своим многочисленным вассалам те в свою очередь имели большее или меньшее число субвассалов которые и являлись фактическими держателями поместий. Это объяснялось наличием большого королевского домена особенностью вассальной системы – все рыцари – вассалы короля Солсберийская присяга...
21978. Англия в XVI-XVII вв. 121 KB
  XVI век занимает особое место в истории Англии хмель лавр пиво и реформация пришли в Англию одновременно. Особенности этого периода заключаются в аграрном перевороте совпадавшем с мануфактурной стадией развития капитализма в промышленности что способствовало ускорению генезиса капитализма в Англии. Эти особенности экономического развития наложили свой отпечаток на социальную и политическую историю Англии. в связи с коммутацией в Англии исчезло крепостничество.