Научно-исследовательская работа «Разработка программного комплекса создания каналов виртуальной частной сети. Глава »




Скачать 298.19 Kb.
НазваниеНаучно-исследовательская работа «Разработка программного комплекса создания каналов виртуальной частной сети. Глава »
страница4/4
Дата конвертации05.03.2013
Размер298.19 Kb.
ТипНаучно-исследовательская работа
1   2   3   4

"Подозрительная" сетевая активность


"Подозрительная" сетевая активность (suspicious activity) представляет класс атак, характерной особенностью которых является наличие сетевого трафика, выходящего за рамки определения "стандартного" трафика. Подобная активность может указывать на подозрительные действия, осуществляемые в сети.

  1. Нестандартные протоколы, инкапсулированные в IP. Пакет IP содержит поле, определяющее протокол инкапсулированного пакета (TCP, UDP, ICMP). Злоумышленники могут использовать нестандартное значение данного поля для передачи данных, которые не будут фиксироваться стандартными средствами контроля информационных потоков.

  2. Использование протокола ARP. Данный тип запросов может быть использован злоумышленниками для определения функционирующих систем в сегментах локальной сети.

  3. Использование маршрутизации источника. При пересылке пакетов IP по сети Интернет обычно используется динамическая маршрутизация, т.е. решение о направлении дальнейшего продвижения каждого конкретного пакета по сети принимается каждым отдельным маршрутизатором в момент получения данного пакета исходя из алгоритма маршрутизации. Однако, существует и возможность указания в пакете конкретного маршрута, по которому должен быть послан пакет. Эта возможность может быть использована злоумышленником для обхода элементов защиты (например, МЭ) локальной сети. Для противодействия подобной атаке необходимо запретить маршрутизацию источника внутри локальной сети.

  4. Дублирующий IP-адрес. Каждая система в сети Интернет характеризуется своим уникальным цифровым адресом. Если обнаруживается, что одна система (имеющая другой MAC-адрес) посылает пакет с IP адресом, совпадающий с адресом другой, то значит одна из этих систем была неправильно настроена. Подобная техника может применяться атакующей стороной, для незаметной подмены работающей "доверенной" системы и осуществления атак от ее имени. Защита от данной атаки может быть реализована путем хранения для всех активных систем пары адресов (IP и MAC) и анализа адресов в заголовках пакетов, пересылаемых по локальной сети.


Оптимизация длины ключа.

Давайте рассмотрим сколько полный перебор всех возможных ключей:

S- мощность алфавита ключа S=2 (0 или 1);

L-длина ключа (количество двоичных разрядов);

V-скорость перебора;

t – коэффициент перевода секунды в дни t=3156000

T – время полного перебора в годах, тогда формула будет иметь вид:

(1)

Так при длине ключа 56 бит его полный перебор при V=1 000 000 комбинаций в секунду займет 22 831 год. Естественно та информация уже больше никому будет не нужна.


В таблице 1 приведены данные времени секретности информации


Таб. 1. Требования к безопасности различной информации2

Типы трафика

Время жизни


Минимальная дли-

на ключа (в битах)

Тактическая военная информация

минуты/часы

56-64


Объявления о продуктах, слиянии компаний, процент-

ных ставках


дни/недели

64


Долговременны бизнес-планы

Годы

64


Торговые секреты (например, рецепт кока-колы)

Десятилетия

112


Секреты водородной бомбы

>40 лет

128


Личности шпионов

>50 лет

128


Личные дела

>50 лет

128


Дипломатические конфликты

>65 лет

128



Но еcли США захочет узнать какой-либо военный секрет России, она может обеспечить гораздо большую скорость. Скорость перебора зависит и от количества вложенный денег.


Таб. 2.Оценки среднего времени для аппаратного вскрытия грубой силой(полного перебора всех ключей).3

Длина ключей в битах

Стоимость

40

56

64

80

112

128


$100 000

0.02 секунды

21 минута

4 дня

700 лет

10 12 лет

10 17 лет


$1 000 000

2 миллисекунды

2 минуты

9 часов

70 лет

10 11 лет

10 16 лет


$10 000 000

0.2 миллисекунды

13


1 час

7 лет

10 10 лет

10 15 лет

$100 000 000

0.02. миллисекунды

1 секунда

5.4 минуты


245 дней

10 9 лет

10 14 лет

$1 000 000 000

2 микросекунды

0.1 секунды

32 секунд

24 дня

10 8 лет

10 13 лет


$10 000 000 000

0.2 микросекунды

0.01 секунды

3 секунды

2.4 дня

10 7 лет

10 12 лет


$100 000 000 000

0.02 микросекунды

1 миллисекунда

0.3 секунды

6 часов

10 6 лет

10 11 лет



При полном переборе ключа длиной 80 бит с бюджетом 100 000$ понадобиться 700 лет. За это время техника продвинется намного вперед.

Закон Мура гласит, что каждое 5 лет мощность вычислительной техники увеличиваются в 10 раз (за год в 2 раза).

Значит, нужно преобразовать формулу(1), учитывая закон Мура, получим

, где (2)(по закону Мура)

Далее, преобразуем полученную геометрическую прогрессию (q=101/5), найдем сумму и вычислим T

(3)

Таким образом получается при начальной скорости перебора 1000000 комбинаций в секунду мы сможем найти ключ примерной через 22 года. Но 50% ключей находится при переборе половина комбинаций, значит:

(4)

Тем самым время сокращается до 20 лет.

Тем самым мы нашли формулу по которой можно вычислить время перебора ключа (время секретности информации), при условии что алгоритм идеальный.




Пределы криптоанализа идеальных алгоритмов

Любую секретную информацию можно получить путем перебора всех возможных ключей, поэтому проведем оценку возможности подбора ключей. Проблема поиска ключей симметричной криптосистемы путем перебора всех возможных ключей относится к классу задач, допускающих распараллеливание, поэтому применение распределенных вычислений для организации перебора таких ключей позволяет эффективно решать трудоемкие задачи в этой области. Экспоненциальная динамика роста с течением времени производительности вычислительных систем оказывает еще более существенное влияние на рост производительности системы в целом. Таким образом, прогресс в этой области возможен за счет:

1.         использования достижений научно-технического прогресса и применения технологических новинок для увеличения производительности отдельного устройства;

2.         увеличения количества процессоров в системе.

С физической точки зрения транзистор, который является основой современной интегральной схемы, может быть уменьшен еще примерно в 10 раз, до размера 0,03 микрон. За этой гранью процесс включения/выключения микроскопических переключателей станет практически невозможным. Таким образом максимальное быстродействие составит - 1016 операций/секунду, а предел роста наступит приблизительно в 2030 г.

Попробуем проанализировать предельные значения двух указанных тенденций. Оценим максимальную производительности вычислительного устройства связана с определением максимального быстродействия на основе физических закономерностей нашего мира. Максимальная скорость передачи информации в нашей вселенной - скорость света, максимальная плотность записи информации - бит на атом. Большая скорость передачи информации невозможна на основании законов физики, большая плотность записи невозможна ввиду наличия соотношения неопределенностей Гейзенберга.

Предположим, что размер процессора равен размеру атома. Тогда в наших обозначениях быстродействие гипотетического процессора выразится формулой F=Vc/Ra=3*1018 операций в секунду, где Vc = 3 * 10 8 м/с скорость света в вакууме, а Ra = 10-10 м - размеры атомов. Столько раз за 1 секунду свет пройдет размеры атома. Поскольку период обращения Земли вокруг Солнца составляет 365,2564 суток или 31 558 153 секунд, то за один год такой процессор выполнит 94674459*1018»1026 операций. Более быстрый процессор в нашей вселенной невозможен в принципе.

За 100 лет непрерывной работы гипотетический процессор совершит приблизительно 1028 операций. При условии, что за один такт своей работы он проверяет один ключ, а расшифровка сообщения на найденном ключе происходит мгновенно, то он сможет перебрать 1028 ключей, т.е. длина ключа составит всего лишь 93 бита! Очевидно, что создать еще более быстродействующую систему возможно только увеличивая количество процессоров в системе.

Следовательно быстродействие качественно изменяет свой характер роста с экспоненциального на линейный, и вычислительная мощность системы будет определяться только количеством процессоров.

Для нашей планеты естественным пределом является площадь земной поверхности. Если выразить поверхность земного шара (считая океаны, пустыни, Арктику с Антарктикой) в квадратных миллиметрах, и на каждый миллиметр поместить по миллиону таких процессоров, то в год мощность такого вычислительного устройства составит 5.1*1052 операций, что эквивалентно длине в 175-176 бит. Если исходить из предположения, что стойкость шифра должна составлять 100 лет, то за указанный период такая система сможет перебрать 5*1054 ключей, что составит 181-182 бита. И это притом, что никакие вычислительные ресурсы процессоров не тратятся на согласование их взаимной работы в системе, на решение задачи дешифрования и т.д.


Избыточность информации.


В 1949 году статья Клода Шеннона "Теория связи в секретных системах" положила начало научной криптологии. Шеннон показал, что для некоторого "случайного шифра" количество знаков шифротекста, получив которые криптоаналитик при неограниченных ресурсах может восстановить ключ (и раскрыть шифр). Этот отношение выражается формулой - Н(X)/(R*log N) (5)

где H (Z) - энтропия ключа: H(X)= —P (Xi) log P (Xi), (6)

R - избыточность открытого текста: (7)


N - объем алфавита.


Для того чтобы, увеличить количество знаков шифротекста, нужно снизить избыточность. Избыточность нашего алфавита составляет около 0.75. Архиваторы очень эффективно снижают избыточность, поэтому их нужно применять перед шифрованием.

Если избыточность открытого текста снизить до нуля, то даже короткий ключ даст шифр, который криптоаналитик не сможет раскрыть.


Генерирование ключа.

Пусть сгенерирован ключ. Мощность алфавита составляет 2. X1 = 0 , X2 = 1.

На графике 4 нарисована зависимость количество знаков шифротекста от его избыточности для бинарного алфавита.

Возьмем идеальный случай, когда ключи при генерации никогда не повторяются, значит вероятность их появления равновероятна. Отсюда следует, что при передачи синфронного ключа достаточно короткого асинхронного.




Разработка протокола безопасного соединения.

Целью является создать идеальное соединение между двумя серверами VPN (рис.5), таким образом, чтобы информацию не могли:

  1. Получить

  2. Расшифровать

  3. Подменить

  4. Модифицировать

Примем следующие допущения

  1. Рассматриваемые мной алгоритмы шифрования идеальны, то есть оптимальным методом их взлома будет прямой перебор всех возможных ключей данного алгоритма.

  2. Все передаваемые данные через Internet доступны знает злоумышленнику.

  3. У каждого сервера есть своя цифровая подпись, и любой может распознать её, т.е. Открытый ключ общедоступен, а закрытый ключ есть только у владельца.


Алгоритм.

  1. BelRoute инициализирует соединение, генерирует асинхронный ключ, подписывает открытый ключ подписью и передает SamRoute.

  2. Если SamRoute принимает соединение, то он повторяет туже операцию.

  3. BelRoute генерирует синхронный ключ сеанса, шифрует его открытым ключом SamRoute и передает без туннелинга (т.к. в случае передачи с туннелингом злоумышленнику становится известно несколько байтов информации – IP/TCP заголовок и становиться возможно вскрытие, в противном случае вскрытие невозможно).

  4. SamRoute получает данные, расшифровывает, находит хэш-функцию от ключа, подписывает и передает BelRoute.

  5. BelRoute получает данные, сравнивает со своими, и если все верно начинается передача в туннельном режиме, иначе – передача ключа повторяется.



Туннельный режим.

В туннельном режиме злоумышленник знает несколько байтов заголовка, значит возможен полный перебор ключей. Для того чтобы снизить избыточность, перед шифрованием пакет архивируется.


  1. Симметричным ключом шифруется пакет и доставляется SamRoute

  2. SamRoute расшифровывает пакет, находит хэш, подписывает и отправляет BelRoute.

  3. BelRoute в случае совпадение высылает подписанное подтверждение, что пакет верен.

  4. SamRoute доставляет пакет адресату.

И так далее до прекращения соединение.

Также этот алгоритм не подвержен атакам на асинхронные ключи, т.к. их практически невозможно расшифровать, т.к. они меняются при каждом сеансе связи.

Данный алгоритм можно применять в каналах связи с повышенной секретностью.

Список использованной литературы.


  1. Джон Чирилло, Обнаружение хакерских атак, Питер, 2002

  2. А.Ю. Зубов, Совершенные шифры, Гелиос арв, 2003

  3. С. Нократ, М. Купер, М. Фирноу, К. Фредерик, Анализ типовых нарушений в сетях, Вильямс, 2001

  4. Молдовян А.А., Молдовян Н.А. Советов Б.Я, Криптография, 2001.

  5. К. Шеннон «Работы по теории информации и кибернетике», М., ИЛ, 1963

  6. RFC 1858 - Security Considerations for IP Fragment Filtering: sunsite.dk/RFC/rfc/rfc1858.html

  7. Schneier B. Applied Cryptography. N. Y.: John Wiley & Sons Inc., 1996. 757 p.




1 Информация взята из книг:

  1. Брюс Шнайер, Прикладная криптография, глава 2, 1996

  2. Джон Чирилло, Обнаружение хакерских атак, Питер, 2002




2 Брюс Шнайер, Прикладная криптография, глава 7,1996г.

3 Брюс Шнайер, Прикладная криптография, глава 7,1996г., данные были изменены в соответствии с законом Мура.

1   2   3   4

Похожие:

Научно-исследовательская работа «Разработка программного комплекса создания каналов виртуальной частной сети. Глава » icon1 Анализ существующих программных продуктов для диагностики программного и аппаратного обеспечения ЭВМ
Обзор программного комплекса «Учет и контроль компьютеров в сети»

Научно-исследовательская работа «Разработка программного комплекса создания каналов виртуальной частной сети. Глава » iconРазработка автоматизированного программного комплекса управления средствами пожаротушения
Тема: Разработка автоматизированного программного комплекса управления средствами пожаротушения

Научно-исследовательская работа «Разработка программного комплекса создания каналов виртуальной частной сети. Глава » iconНаучно-исследовательская работа студентов (нирс) Введение Научно-исследовательская работа во Владикавказском филиале фгобу впо «Государственный университет Минфина России»
Организация и участие сотрудников филиала в конференциях, семинарах различного уровня

Научно-исследовательская работа «Разработка программного комплекса создания каналов виртуальной частной сети. Глава » iconНаучно-исследовательская работа учебно-методические материалы Новосибирск, 2006 1 Место нир в комплексе дисциплин по теории и практике управления Современное
Современное понятие «научно-исследовательская работа студентов» (нирс) включает в себя два взаимосвязанных элемента

Научно-исследовательская работа «Разработка программного комплекса создания каналов виртуальной частной сети. Глава » iconНаучно-исследовательская работа 64 Научно-исследовательская работа студентов 69 Финансовое обеспечение образовательного учреждения 69 Введение Автономная некоммерческая организация высшего профессионального образования «Новый сибирский институт»
Организационно-правовое обеспечение образовательной деятельности и система управления 8

Научно-исследовательская работа «Разработка программного комплекса создания каналов виртуальной частной сети. Глава » iconНаучно-исследовательская работа научно-исследовательская работа студентов воспитальная и идеологическая работа общие сведения кафедра мировой экономики и финансов
Отчет рассмотрен и утвержден на заседании кафедры мировой экономики и финансов «30» июня 2011 года протокол №11

Научно-исследовательская работа «Разработка программного комплекса создания каналов виртуальной частной сети. Глава » iconДипломный проект на Тему «Разработка программного комплекса моделирования оценок характеристик и точности навигационных параметров технических средств судовождения»
На Тему «Разработка программного комплекса моделирования оценок характеристик и точности навигационных параметров технических средств...

Научно-исследовательская работа «Разработка программного комплекса создания каналов виртуальной частной сети. Глава » iconНаучно-исследовательская работа в Астраханском филиале регламентирована действующими законодательными и нормативно-правовыми актами, законом Российской Федерации «Об образовании»
Научно исследовательская деятельность аф фгбоу впо «сгюа» и ее основные направления

Научно-исследовательская работа «Разработка программного комплекса создания каналов виртуальной частной сети. Глава » iconЛабораторная работа №3 Структурный подход к программированию
Ознакомиться с лекционным материалом по теме «Этапы разработки программного обеспечения. Проектирование программного обеспечения»...

Научно-исследовательская работа «Разработка программного комплекса создания каналов виртуальной частной сети. Глава » iconНаучно-исследовательская работа в гбоу спо (ссуз) «Челябинский юридический техникум» осуществляется в следующих направлениях
Исследовательская работа обучающихся в рамках деятельности Научного студенческого общества, секции спелеотуризма


Разместите кнопку на своём сайте:
lib.convdocs.org


База данных защищена авторским правом ©lib.convdocs.org 2012
обратиться к администрации
lib.convdocs.org
Главная страница