Научно-исследовательская работа «Разработка программного комплекса создания каналов виртуальной частной сети. Глава »




Скачать 298.19 Kb.
НазваниеНаучно-исследовательская работа «Разработка программного комплекса создания каналов виртуальной частной сети. Глава »
страница1/4
Дата конвертации05.03.2013
Размер298.19 Kb.
ТипНаучно-исследовательская работа
  1   2   3   4
МИНИСТЕРСТВО ОБРАЗОВАНИЯ РОССИЙСКОЙ ФЕДЕРАЦИИ

Самарский Государственный Архитектурно Строительный Университет

Факультет Информационных Систем и Технологий

Специальность 071900 «Информационные системы и технологии».


Научно-исследовательская работа

«Разработка программного комплекса создания каналов виртуальной частной сети. Глава 1.»


Выполнил:

Студент группы ГИП 101

Пшевский Д.А.

Научный руководитель:

доцент, Овсянников А.С.


Самара 2005

План.

1. Введение.

2. Структура Виртуальной частной сети.

3. Туннелинг.

4. Введение в криптографию и криптоанализ

5. Виды атак.

5.1. Отказ в обслуживании

5.2.Попытка несанкционированного доступа

5.3.Предварительное зондирование

5.4."Подозрительная" сетевая активность


6. Оптимизация длины ключа.

7. Пределы криптоанализа идеальных алгоритмов

8. Избыточность информации.

9. Разработка протокола безопасного соединения.

10. Список использованной литературы.


Введение.

За последние несколько лет возможности вычислительных систем в области обработки и передачи информации резко увеличились. Подобный скачок произошел главным образом не в силу совершенствования элементной базы компьютеров, и не в силу внедрения новых технологий и стандартов в области программирования, СУБД и операционных сред. Главным образом это произошло из-за бурного развития телекоммуникаций, появления отрытых систем и появления международных стандартов в области информационных технологий. Не последнюю роль сыграли массовость и доступность вычислительных средств. Подобное положение привело к объединению большого количества компьютерных систем разного назначения и разной мощности в крупные вычислительные сети, которые, в свою очередь, соединены между собой и образуют единую глобальную сеть Internet. Кроме того, активно используется возможность подключения отдельных компьютеров и малых вычислительных сетей к Internet через коммутируемые линии, используемые для телефонной связи.

В связи с этим строить свою локальную сеть (например, чтобы соединить офисные сети) совершенно невыгодно. Гораздо дешевле подключиться к одной из глобальных сетей и работать через нее. Однако передаваемую по глобальной сети информацию легко перехватить или подменить.

Этот недостаток устраняется с помощь VPN.

Цель виртуальной сети – обеспечить защищенный режим передачи пользовательских данных через незащищенную сеть (Internet, офисные сети и т.п.). Они подразделяются на три типа:

1. VPN доступа – обеспечивает удаленных пользователей надежной системой доступа в корпоративную сеть (как в сети «Мегафон»).

2. intranet VPN - позволяет осуществлять защищенное соединение филиала с центральной компанией.(основные компоненты Web, TCP/IP, HTTP)

3. extranet VPN – предоставляет защищенный доступ в корпоративную сеть потребителям, поставщикам и партнерам по бизнесу.(Web, internet, система межсетевых экранов).

При работе виртуальных частных сетей криптошлюзы осуществляют преобразование трафика, при этом многие характеристики с точки зрения конечного пользователя меняются не лучшую сторону. Интеграция VPN вносит следующие изменения в работу сети:

  • Снижение пропускной способности сети

  • Накладные расходы на преобразование трафика

  • Задержки при передаче пакетов

Рассмотрим подробнее эти параметры.

Снижение пропускной способности сети возникает по разным причинам. Первая заключается в недостаточной производительности самого криптошлюза, хотя, как правило, при выборе таких устройств этому параметру уделяется большое внимание. Устройства VPN должны обладать достаточной пропускной способностью для того, чтобы минимизировать свое влияние при передаче информации в сети.

Вторая причина определяется типом трафика и обусловлена накладными расходами на преобразование трафика. Они возникают при обработке пакета за счет добавления нового IP-заголовка к туннелируемому пакету. Эта величина зависит от протокола, используемого в системе, и составляет фиксированное количество байт. Дополнительная нагрузка на сеть определяется процентным приростом длины пакета по отношению к исходной. В этом и заключается причина снижения пропускной способности в зависимости от типа трафика.

Например, широко известный протокол IPSec добавляет (для алгоритма ГОСТ 28147-89) при преобразовании минимум 54 байта. Для IP-пакета длиной 1500 байт (стандартный пакет передачи данных) прирост составит порядка 4%, а для 56 байтного пакета (IP-телефония) - накладные расходы составят уже около 100%.

На российском рынке некоторые компании представляют протоколы собственной разработки (например, протокол шифрования данных семейства криптомаршрутизаторов "Континент-К"). Как правило, они лишены многих недостатков IP-Sec, имеют меньшее увеличение длины пакета, нередко также используют режим сжатия полей данных и/или заголовка.

Задержки при передаче пакетов обусловлены многими причинами. Роль VPN здесь далеко не всегда является доминирующей, ведь задержки определяются работой узлов на различных уровнях - от физического до транспортного. При условии работы через Интернет основными местами возникновения задержек являются узлы доступа к Интернету и шлюзы между провайдерами.

Устройства VPN вносят два типа задержек - прямую и косвенную. Первая обусловлена временем обработки пакета и зависит только от характеристик самого устройства. Вторая может возникать за счет увеличения трафика в канале из-за накладных расходов при туннелировании.

Целью данной дипломной работы является комплексное исследование проблемы оптимизации организации виртуальной частной сети (далее VPN), т.е. анализ различных механизмов атак в сети общего пользования, анализ методов оптимизации криптографической составляющей VPN; расчет среднего и максимального времени жизни ключа; анализ способов увеличения пропускной способности сети, уменьшения расходов на преобразования и задержке трафика при тунелировании; разработка ключевая схема функционирования VNP, исследования критериев, методов и подходов для тестирования VPN и, наконец разработка программного комплекса, автоматизирующий процесс организации каналов VPN.

Прежде всего, необходимо отметить новизну работы и самой технологии в целом.
Хотя на данный момент VPN быстро развиваются и существуюет множество протоколов и программ для создания такой сети. Но у некоторых рассмотренных мною программ и протоколов есть ряд серьезных недостатков:

  1. Подвержены атаки «человек в середине», позволяющей подменять информацию

  2. Не используют сессионные асинхронные ключи, т.к. их проще расшифровать чем синхронные.

  3. Используют ключи небольших размеров, т.е. не учитывают тенденцию развития техники.

  4. Не учитывают способы уменьшения длины ключа.

  5. Сильно увеличивают трафик при передачи.

  6. Нет критериев для оценки работы такой сети

Прежде всего, в данной работе необходимо рассмотреть математические модели, связанные с обеспечением работоспособности безопасности виртуальной частной сети.

Первая используемая модель это семиуровневая модель информационного взаимодействия открытых систем (OSI). В ней вводятся и связываются вместе такие понятия как открытая система уровень взаимодействия (сетевой, транспортный, прикладной и др.), протокол, стек протоколов, интерфейс и предоставляемый сервис. В данной дипломной работе будет использоваться стек протоколов TCP/IP, поскольку только он используется в сети Internet при межсетевом взаимодействии, а также открытых систем. Открытая система - это система, которая способна взаимодействовать с другой системой посредством реализации международных стандартных протоколов. Открытыми системами являются как конечные, так и промежуточные системы. Однако, открытая система не обязательно может быть доступна другим открытым системам. Эта изоляция может быть обеспечена или путем физического отделения или путем использования технических возможностей, основанных на защите информации в компьютерах и средствах коммуникаций.

Вторая используемая модель – это модель информационной безопасности. В ней вводят определения защищаемого информационного ресурса, уязвимого места, угрозы информационной безопасности, риска, средства защиты, остаточного риска. Применимо к виртуальным частным сетям защищаемым ресурсом является сеть организации, а средством защиты от сетевых угроз – криптографический механизм VPN.

Третья используемая модель – модель функционирования механизма безопасности виртульной частной сети. Она описанная в исследовательской части работы.

Четвертая используемая модель – модель функционирования транспортной части виртульной частной сети. Она описанная в исследовательской части работы.

Практической задачей, решаемой в данной дипломной работе, является задача проектирования и реализации программного средства для создания VPN-каналов. Данная программа будет создавать виртуальную частную сеть, и в отличии от других аналогов, в ней будут использованы средства созданные и оптимизированные в ходе выполнения данной работы. Система будет протестирована и сравнена с помощью критериев, разработанных в ходе выполнения работы, с имеющимися аналогами.

Данная дипломная работа состоит из трех частей:

  • Аналитической (самой объемной), в которой будут рассматриваться и анализироваться соответствующие модели безопасности, уязвимые места, сетевые атаки, принципы функционирования и структура VPN;

  • Исследовательской, посвященной непосредственно исследованию, анализу и оптимизации транспортной составляющей и механизма безопасности VPN, а также исследованию существующих подходов, принципов и методик тестирования VNP

  • Практической, где будет разработано программное средство программного средства для создания VPN-каналов

Итак, в данной дипломной работе обязательно должны быть решены следующие задачи:

  1. Рассмотрена модель информационной безопасности в контексте применения ее для систем защиты виртуальных каналов;

  2. Выполнен анализ времени криптойкости ключей, используемой в механизме защиты;

  3. Проведен анализ основных типов уязвимых мест VPN и рассмотрены все наиболее характерные и часто встречающиеся угрозы сетевой безопасности (атаки);

  4. Исследованы и проанализированы методы для оптимизации механизма защиты.

  5. Исследованы и проанализированы методы для оптимизации транспортной системы.

  6. Рассмотрена и проанализирована VNP, т.е. принципы и модель функционирования, типовая структура VNP, основные компоненты, достоинства и недостатки VNP;

  7. Исследованы существующие подходы и методы тестирования VPN, существующие инструменты для тестирования;

  8. Рассмотрена классификация наиболее распространенных типов ошибок в реализации VPN;

  9. Разработан и обоснован алгоритм и ключевая схема создания VPN;

  10. На основе этого спроектирован и реализован программный комплекс для создания виртуальной частной сети.


Структура Виртуальной частной сети.

Любую алгоритм протокола виртуальной частной сети можно условно разделить на три части

  1. Туннелирование

  2. Механизм безопасности

  3. Гарантирование QoS

Гарантирование QoS - задание заданный уровень качества обслуживания, т.е задается приоритет трафика. В этой работе данный раздел опускаяется, т.к.QoS задается провайдером.


Туннелинг.

Рассмотрим на нашем примере для чего нужен туннелинг. Наш университет отправляет данные своему филиалу, предварительно шифруя их. Компьютер WM1 посылает зашифрованные данные компьютеру WB1:

  1. Пользователь WB1 шифрует данные.

  2. WB1 посылает данные WS1.

  3. Пользователь WS1 расшифровывает.

Недостатки:

  1. Всю операцию по расшифровке выполняет пользователь

  2. Невозможность такой передачи от программы к программе (например при синхронизации базы данный бухгалтерской программы).

Использование туннелинга:

  1. WB1 передает пакет с данными вида {заголовок IP, заголовок TCP, данные}.

  2. шлюз BelRoute перехватывает его шифрует, добавляет свои данные [заголовок IP, заголовок TCP, шифрованные данные {заголовок IP, заголовок TCP, данные}] и передает в Интернет.

  3. шлюз SamRoute получает пакет, удаляет заголовки созданные шлюз BelRoute, расшифровывает данные и передает пакет вида {заголовок IP, заголовок TCP, данные} в офисную сеть

  4. Компьютер WS1 получает данные, как будто их послал компьютер стоящий рядом.

Итак, обобщим:

Туннелирование - механизм инкапсуляции одного протокола передачи данных в другой.При осуществлении VPN через Интернет под туннелирование понимается возможность инкапсулировать в протокол IP зашифрованные пакеты протоколов IP, IPX, AppleTalk, т.е. VPN туннелирование маскирует исходный протокол сетевого уровня путем кодирования пакета и размещение зашифрованного пакета в IP конверт, который по сути остается IP-пакетом и защищенном режиме передается через Интернет. На приемном конце конверт отбрасывается, а его содержимое декодируется, и переправляется соответствующему устройству доступа, например маршрутизатору.


Введение в криптографию и криптоанализ.1

Криптографический алгоритм, также называемый шифром, представляет собой математическую функцию, используемую для шифрования и дешифрирования. (Обычно это две связанных функции: одна для шифрования, а другая для дешифрирования.)

Если безопасность алгоритма основана на сохранении самого алгоритма в тайне, это ограниченный алгоритм. Ограниченные алгоритмы представляют только исторический интерес, но они совершенно не соответствуют сегодняшним стандартам. Большая или изменяющаяся группа пользователей не может использовать такие алгоритмы, так как всякий раз, когда пользователь покидает группу, ее члены должны переходить на другой

алгоритм. Алгоритм должен быть заменен и в том случае, если кто-нибудь извне случайно узнает секрет.

Современная криптография решает эти проблемы с помощью ключа K. Такой ключ может быть любым значением, выбранным из большого множества. Множество возможных ключей называют пространством ключей. И шифрование, и дешифрирование осуществляется при помощи ключа.

Криптосистема представляет собой алгоритм плюс все возможные открытые тексты, шифротексты и ключи.

Симметричные алгоритмы

Существует два основных типа алгоритмов, основанных на ключах: симметричные и с открытым ключом. Симметричные алгоритмы, иногда называемые условными алгоритмами, представляют собой алгоритмы, в которых ключ шифрования может быть рассчитан по ключу дешифрирования и наоборот. В большинстве симметричных алгоритмов ключи шифрования и дешифрирования одни и те же. Эти алгоритмы, также называемые алгоритмами с секретным ключом или алгоритмами с одним ключом, требуют, чтобы отправитель и получатель согласовали используемый ключ перед началом безопасной передачи сообщений. Безопасность симметричного алгоритма определяется ключом, раскрытие ключа означает, что кто угодно сможет шифровать и дешифрировать сообщения. Пока передаваемые сообщения должны быть тайными, ключ должен храниться в секрете.

Алгоритмы с открытым ключом

Алгоритмы с открытым ключом (называемые асимметричными алгоритмами) разработаны таким образом, что ключ, используемый для шифрования, отличается от ключа дешифрирования. Более того, ключ дешифрирования не может быть (по крайней мере в течение разумного интервала времени) рассчитан по ключу шифрования. Алгоритмы называются "с открытым ключом", потому что ключ шифрования может быть открытым: кто угодно может использовать ключ шифрования для шифрования сообщения, но только конкретный человек с соответствующим ключом дешифрирования может расшифровать сообщение. В этих системах ключ шифрования часто называется открытым ключом, а ключ дешифрирования - закрытым.

Иногда сообщения шифруются закрытым ключом, а дешифрируются открытым, что используется для цифровой подписи.

Криптоанализ

Смысл криптографии - в сохранении открытого текста (или ключа, или и того, и другого) в тайне от злоумышленников (также называемых взломщиками, соперниками, врагами, перехватчиками). Предполагается, что злоумышленники полностью контролируют линии связи между отправителем и получателем.

Криптоанализ - это наука получения открытого текста, не имея ключа. Успешно проведенный криптоанализ может раскрыть открытый текст или ключ. Он также может обнаружить слабые места в криптосистемах, что в конце концов приведет к предыдущему результату.

Попытка криптоанализа называется вскрытием. Основное предположение криптоанализа, впервые сформулированное в девятнадцатом веке Датчманом А. Керкхофсом (Dutchman A. Kerckhoffs), и состоит в том, что безопасность полностью определяется ключом. Керкхофс предполагает, что у криптоаналитика есть полное описание алгоритма и его реализации. Хотя в реальном мире криптоаналитики не всегда обладают подробной информацией, такое предположение является хорошей рабочей гипотезой. Если противник не сможет взломать алгоритм, даже зная, как он работает, то тем более враг не сможет вскрыть алгоритм без этого знания.

Хэш-функции, долгое время использующиеся в компьютерных науках, представляют собой функции, математические или иные, которые получают на вход строку переменной длины (называемую прообразом) и преобразуют ее в строку фиксированной, обычно меньшей, длины (называемую значением хэш-функции).

Смысл хэш-функции состоит в получении характерного признака прообраза - значения, по которому анализируются различные прообразы при решении обратной задачи. Так как обычно хэш-функция представляет собой соотношение "многие к одному", невозможно со всей определенностью сказать, что две строки совпадают, но их можно использовать, получая приемлемую оценку точности.
  1   2   3   4

Добавить в свой блог или на сайт

Похожие:

Научно-исследовательская работа «Разработка программного комплекса создания каналов виртуальной частной сети. Глава » icon1 Анализ существующих программных продуктов для диагностики программного и аппаратного обеспечения ЭВМ
Обзор программного комплекса «Учет и контроль компьютеров в сети»

Научно-исследовательская работа «Разработка программного комплекса создания каналов виртуальной частной сети. Глава » iconРазработка автоматизированного программного комплекса управления средствами пожаротушения
Тема: Разработка автоматизированного программного комплекса управления средствами пожаротушения

Научно-исследовательская работа «Разработка программного комплекса создания каналов виртуальной частной сети. Глава » iconНаучно-исследовательская работа студентов (нирс) Введение Научно-исследовательская работа во Владикавказском филиале фгобу впо «Государственный университет Минфина России»
Организация и участие сотрудников филиала в конференциях, семинарах различного уровня

Научно-исследовательская работа «Разработка программного комплекса создания каналов виртуальной частной сети. Глава » iconНаучно-исследовательская работа учебно-методические материалы Новосибирск, 2006 1 Место нир в комплексе дисциплин по теории и практике управления Современное
Современное понятие «научно-исследовательская работа студентов» (нирс) включает в себя два взаимосвязанных элемента

Научно-исследовательская работа «Разработка программного комплекса создания каналов виртуальной частной сети. Глава » iconНаучно-исследовательская работа 64 Научно-исследовательская работа студентов 69 Финансовое обеспечение образовательного учреждения 69 Введение Автономная некоммерческая организация высшего профессионального образования «Новый сибирский институт»
Организационно-правовое обеспечение образовательной деятельности и система управления 8

Научно-исследовательская работа «Разработка программного комплекса создания каналов виртуальной частной сети. Глава » iconНаучно-исследовательская работа научно-исследовательская работа студентов воспитальная и идеологическая работа общие сведения кафедра мировой экономики и финансов
Отчет рассмотрен и утвержден на заседании кафедры мировой экономики и финансов «30» июня 2011 года протокол №11

Научно-исследовательская работа «Разработка программного комплекса создания каналов виртуальной частной сети. Глава » iconДипломный проект на Тему «Разработка программного комплекса моделирования оценок характеристик и точности навигационных параметров технических средств судовождения»
На Тему «Разработка программного комплекса моделирования оценок характеристик и точности навигационных параметров технических средств...

Научно-исследовательская работа «Разработка программного комплекса создания каналов виртуальной частной сети. Глава » iconНаучно-исследовательская работа в Астраханском филиале регламентирована действующими законодательными и нормативно-правовыми актами, законом Российской Федерации «Об образовании»
Научно исследовательская деятельность аф фгбоу впо «сгюа» и ее основные направления

Научно-исследовательская работа «Разработка программного комплекса создания каналов виртуальной частной сети. Глава » iconЛабораторная работа №3 Структурный подход к программированию
Ознакомиться с лекционным материалом по теме «Этапы разработки программного обеспечения. Проектирование программного обеспечения»...

Научно-исследовательская работа «Разработка программного комплекса создания каналов виртуальной частной сети. Глава » iconНаучно-исследовательская работа в гбоу спо (ссуз) «Челябинский юридический техникум» осуществляется в следующих направлениях
Исследовательская работа обучающихся в рамках деятельности Научного студенческого общества, секции спелеотуризма


Разместите кнопку на своём сайте:
lib.convdocs.org


База данных защищена авторским правом ©lib.convdocs.org 2012
обратиться к администрации
lib.convdocs.org
Главная страница