Симонович С.В. (ред.) Информатика для юристов и экономистов

Подождите немного. Документ загружается.

применять Telnet-системы. В частности, с их помощью можно обеспечить визу-

альный мониторинг деятельности складских, торговых и транспортных служб

предприятия. Особенно широко Telnet-системы используют для управления ав-

томатизированными торговыми сетями, например автоматами по продаже та-

бачных изделий, прохладительных напитков и т. п.

10.3. ТЕХНОЛОГИИ ЗАЩИЩЕННОЙ СВЯЗИ

Необходимость в защищенной связи

В электронной коммерции очень трудно обойтись без специальных

средств обеспечения защищенной связи. Защита данных нужна обеим сторо-

нам, особенно на этапе совершения сделки и использования платежных

средств.

При покупке товаров в Интернете с помощью платежных карт клиент

должен убедиться в том, что он имеет дело именно с продавцом, а не с лицом,

выдающим себя за него, и быть уверен, что переданные им данные не станут

доступны никому, кроме партнера, которому они адресованы. Со своей сторо-

ны поставщик электронных услуг должен быть уверен, что он поставляет их

именно тому лицу, которое их оплатило.

Особую роль система защищенной связи играет во взаимоотношении

клиентов и банков. Клиент должен быть уверен в том, что он имеет дело с

банком, а банк должен быть уверен в том, что он получает указания на управле-

ние счетом от лица, правомочного им распоряжаться.

Технологии защиты данных на путях транспортировки

Сегодня в Интернете и World Wide Web обычно используют две техноло-

гии защищенной связи: SHTTP (Secure HTTP) и SSL (Secured Socket Layer), —

обе закреплены стандартами. Это не альтернативные технологии — они дей-

ствуют на разных уровнях и даже могут применяться совместно (SHTTP поверх

SSL).

Протокол SSL — это сеансовый протокол, он занимает промежуточное

место между прикладными протоколами (HTTP, FTP, SMTP и другими) и

транспортным протоколом TCP. Это означает, что с его помощью создается за-

щищенный канал связи (туннель), внутри которого можно работать с любой

службой Интернета: WWW, службой передачи файлов, электронной почтой и

другими.

Протокол SHTTP - это расширение прикладного протокола HTTP. Это

означает, что им пользуются только для защищенной связи в WWW при взаи-

модействии Web-сервера и броузера. В двух словах разницу между SHTTP и

SSL можно сформулировать так: с помощью SHTTP можно отправить одно за-

щищенное сообщение (серверу или клиенту), а с помощью SSL можно создать

защищенный сеанс, в рамках которого можно обмениваться многократными со-

общениями. Есть еще такой подход: если нужно отправить защищенное сооб-

щение от клиента к серверу, например при заполнении Web-формы или вводе

381

пароля, то можно ограничиться протоколом SHTTP, а если есть необходимость

в двустороннем обмене данными, например при взаимодействии с банком или

электронной платежной системой, то используют SSL.

В электронной коммерции наиболее широко применяется протокол SSL.

Программные средства, реализующие его, основаны на криптографии, как и

средства ЭЦП, однако сама криптографическая система, лежащая в основе 551,

является гибридной — в ней сочетаются несимметричные и симметричные ал-

горитмы шифрования, причем сами алгоритмы могут быть любыми — это зави-

сит от конкретных программных средств. Простейшая модель работы 551-со-

единения такова: сначала стороны обмениваются своими открытыми ключами,

затем, используя открытые , ключи партнеров, приступают к созданию закры-

того канала связи и совместно вырабатывают общий симметричный ключ шиф-

рования, с помощью которого в дальнейшем обмениваются данными. Этот сим-

метричный ключ одноразовый и называется сеансовым ключом. Теоретически,

партнеры, конечно, могли бы и не создавать совместный симметричный ключ и

ограничиться только несимметричными методами криптографии, но они очень

медленны. Их хорошо использовать для однократной операции, например для

проверки ЭЦП партнера и целостности сообщения, но для двусторонней связи

симметричные ключи удобнее, к тому же их криптостойкость намного выше.

Одноразовость же сеансового ключа необходима, чтобы промежуточные серве-

ры, участвующие в сеансе, не имели достаточного времени для его компромета-

ции. В следующем сеансе связи сеансовый ключ неизбежно будет новым.

Протокол SSL в электронных банковских технологиях

Основная потребность в защищенной связи возникает при проведении

банковских операций, поэтому более подробно работу протокола 55Z мы

рассмотрим на модели взаимодействия Банк — Клиент в Интернете. Хотя еще

далеко не все банки готовы к предоставлению услуг дистанционного обслужи-

вания клиентов, развитие электронной коммерции постепенно вынуждает их к

внедрению новых систем.

Протокол 55i состоит из двух компонентов. Первый — это протокол уста-

новления защищенной связи (протокол взаимодействия), и второй — протокол

защищенного обмена данными (протокол обмена).

Установление защищенной связи. Протокол взаимодействия предпола-

гает обмен специальными сообщениями между программными средствами сер-

вера и клиента, в ходе которого эти средства настраиваются для совместной ра-

боты. Вот как это происходит (см. рис. 10.19).

1. Клиентская программа, обеспечивающая связь по протоколу 551, от-

правляет серверу свое название и номер версии, а также сообщает о некоторых

настройках своих средств шифрования, необходимых для взаимодействия с

сервером.

382

2.Серверная программа, обеспечивающая связь по протоколу 551, отправ-

ляет клиенту свое название, номер версии и сведения о настройках системы

шифрования. Кроме того, сервер отправляет клиенту сертификат своего пуб-

личного ключа, а если этого требуют взаимоотношения, то запрашивает и сер-

тификат открытого ключа клиента (при связи клиента с банком это необходимо

383

всегда).

3.По данным, полученным от сервера, клиент производит его идентифи-

кацию с помощью публичного ключа сервера (ключ прилагается к сертифика-

ту). Если идентификация не происходит, клиент получает предупреждение и

процедура установки соединения завершается. Если сервер успешно идентифи-

цируется, работа продолжается.

4.Обе стороны сравнивают свои программные средства шифрования. Эти

средства могут использовать разные алгоритмы как для несимметричного, так и

для симметричного шифрования. Они выбирают наилучшие алгоритмы из чис-

ла доступных обеим сторонам. Если участники связи расположены в разных

странах, то в ходе этого согласования они учитывают особенности националь-

ного законодательства (экспортно-импортные, лицензионные и другие ограни-

чения технологий шифрования) и применяют наилучшие алгоритмы из разре-

шенных.

Если средство для дистанционного банковского обслуживания клиенту поставил сам банк, то, скорее

всего, на данном этапе программам нечего согласовывать — они уже предварительно настроены на ис-

пользование нужных алгоритмов.

5.Используя данные, полученные в ходе первичного обмена, и с учетом

того средства шифрования, которое было согласовано обеими сторонами, кли-

ентская программа создает заготовку ключа настройки (premaster secret), затем

шифрует ее открытым ключом сервера, взятым из сертификата. Зашифрованная

заготовка отправляется серверу.

6.Если серверу необходима идентификация клиента, то клиент подписы-

вает своим закрытым ключом некоторую известную серверу последователь-

ность данных, полученных в ходе первичного контакта. Он отправляет этот об-

разец подписи вместе с заготовкой ключа настройки.

7.Чтением образца подписи клиента с помощью его открытого ключа сер-

вер убеждается в том, что клиент — тот, за кого себя выдает. Если клиент не

идентифицируется, сеанс прекращается. Если клиент идентифицируется кор-

ректно, сервер расшифровывает заготовку ключа настройки с помощью своего

закрытого ключа. Далее сервер выполняет последовательность шагов, в ре-

зультате которой из заготовки ключа настройки получается ключ настройки

(master secret). Клиентская программа в это время выполняет ту же последова-

тельность действий и получает тот же ключ настройки.

8.Далее обе стороны порознь используют ключи настройки для генерации

одинаковых сеансовых ключей. Сеансовые ключи — симметричные. Один и

тот же ключ используется для шифрования и дешифрования данных в ходе се-

анса SSL, а также для проверки целостности сообщений. Таким образом прове-

ряется неизменность данных в ходе транспортировки.

9. Сгенерировав сеансовый ключ, клиент отправляет серверу сообщение о

том, что далее он будет им пользоваться. Одновременно он отправляет сообще-

ние, зашифрованное этим ключом, в котором сказано, что процедура установ-

ления связи завершена.

10.Сервер отправляет клиенту сообщение о том, что далее в обмене он

384

будет использовать сеансовый ключ. Одновременно он отправляет зашифро-

ванное этим ключом сообщение о том, что серверная часть процедуры создания

защищенного канала связи завершена.

11.На этом завершается первая часть работы протокола SSL (протокола

взаимодействия) и стороны переходят ко второй части — протоколу обмена

данными. С этого момента они используют сеансовые ключи для шифрования

данных и проверки их целостности.

Как видите, этап установления связи происходит при использовании не-

симметричных технологий шифрования. Его цель — провести идентификацию

партнеров и создать сеансовый ключ для симметричного шифрования.

Сервер идентифицируется тем, что клиент шифрует заготовку ключа на-

стройки с помощью открытого ключа сервера. Только тот, кто законно владеет

соответствующим ему закрытым ключом, сможет восстановить ключ настрой-

ки, а без него невозможно создать тот же сеансовый ключ, который создаст

клиент.

Идентификация клиента происходит с помощью его цифровой подписи,

которой он подписывает некий случайный набор данных. Открытый ключ кли-

ента, приложенный к его сертификату, сможет правильно открыть цифровую

подпись только в том случае, если клиент использовал законный закрытый

ключ.

Идентификация сервера по открытому ключу. Клиент получает от сер-

вера его открытый ключ вместе с сертификатом, заверенным удостоверяющим

центром. Для того чтобы убедиться, что данный открытый ключ действительно

принадлежит серверу, а не предложен посторонним лицом, клиентская про-

грамма должна проверить сертификат и получить положительные ответы на

четыре следующих вопроса.

1.Соответствует ли текущая дата периоду действия сертификата? Если

нет, значит, сертификат недействителен.

2.Зарегистрирован ли центр сертификации, выдавший данный сертифи-

кат, на компьютере клиента в качестве доверенного центра сертификации? Если

нет, то кто выдал ему сертификат? Зарегистрирован ли этот вышестоящий

центр в качестве доверенного? Проверка цепочки центров сертификации про-

должится, пока не будет найден вышестоящий центр, который ранее был за-

регистрирован на компьютере клиента в качестве доверенного. Если такой

центр найден не будет, сертификату доверять нельзя — он выдан неизвестно

кем.

3.Соответствует ли публичный ключ центра сертификации его электрон-

ной подписи на сертификате, представленном сервером? Если нет, то сертифи-

кату доверять нельзя — он поддельный.

4. Совпадает ли доменное имя сервера, указанное в сертификате, с тем

доменным именем, по которому в данный момент находится сервер? В принци-

пе, эта проверка не относится к протоколу 551, но она все-таки необходима,

чтобы исключить возможность создания защищенного канала, ведущего к

подставному партнеру.

Угроза подставного партнера. Как мы только что сказали, клиент дол-

385

жен убедиться в том, что доменное имя сервера, указанное в сертификате, вы-

данном на его открытый ключ, совпадает с доменным именем сервера, с кото-

рым в данный момент устанавливается связь. Эта мера предосторожности свя-

зана с возможностью создания подставного партнера.

Подставным партнером может быть программа, размещенная злоумыш-

ленником на одном из промежуточных серверов, через которые осуществляется

установление защищенного соединения по протоколу 551 между клиентом и

сервером. Серверу «подставная» программа представляется клиентом, а клиен-

ту — сервером. При этом она перехватывает открытые ключи клиента и серве-

ра и подменяет их своими. В итоге она создает два защищенных канала 551 со

своими сеансовыми ключами (рис. 10.20). В одном канале она взаимодействует

с сервером, а в другом — с клиентом. Это позволяет ей не только читать дан-

ные, проходящие через соединение, но и модифицировать их, причем в каждом

из каналов сеансовые ключи не покажут корреспондентам, что что-то было из-

менено на путях транспортировки. Во избежание этой угрозы чрезвычайно важ-

но, чтобы доменное имя сервера, указанное в сертификате, совпадало с реаль-

ным в сеансе связи.

Рис. 10.20. «Подставная» программа создает два защищенных

канала связи там, где должен быть один

Идентификация клиента. Сервер, как и клиент, получает от партнера

его открытый ключ вместе с сертификатом, заверенным удостоверяющим цен-

тром, но дополнительно еще и образец ЭЦП клиента. Для того чтобы убедить-

ся, что открытый ключ действительно принадлежит клиенту и соответствует за-

крытому ключу, использованному при создании ЭЦП, сервер должен выпол-

нить ряд проверок и получить положительные ответы на шесть следующих во-

просов.

1. Читается ли электронная подпись клиента с помощью его открытого

ключа? Если да, то сервер может знать, с кем он имеет дело, однако он еще в

этом не уверен. Поскольку связь между клиентом и его доменным именем пока

не проверена, он может подозревать, что кто-то воспользовался чужим именем

для создания пары ключей и подделки сертификата.

2.Соответствует ли текущая дата периоду действия сертификата? Если

нет, сертификат недействителен.

3.Является ли центр сертификации, выдавший сертификат на открытый

ключ клиента, доверенным центром? Сервер имеет список центров сертифика-

386

ции, которым доверяет. Если этого центра в списке нет, клиент не будет иден-

тифицирован, пока не будет проверена вся цепочка центров сертификации, то

есть, пока она не приведет к центру сертификации, которому сервер доверяет.

4.Соответствует ли публичный ключ центра сертификации его электрон-

ной подписи на сертификате, представленном клиентом? Если нет, то сертифи-

кату доверять нельзя — он поддельный.

5.Следующая проверка не относится к протоколу 551, но во многих слу-

чаях сервер ее проводит. Если клиент корпоративный и тоже представлен Web-

сервером, то возможна проверка его доменного имени — имя на сертификате и

в реальном сеансе должно быть одним и тем же. Ели же клиент индивидуаль-

ный и не имеет доменного имени, на этом этапе сервер может сделать фа-

культативную проверку. Он может обратиться к распределенным сетевым ба-

зам данных о людях по протоколу LDAP (Lightweight Directory Access Protocol

— Упрощенный протокол доступа к информационным каталогам) и посмот-

реть, соответствует ли представленный клиентом открытый ключ и сертификат

тому, что содержится в информационных каталогах.

Эта проверка напоминает проверку по телефонному справочнику. Представьте себе, что вам

позвонил неизвестный, представился участковым инспектором и попросил дать информацию о

соседях. Вы сообщаете ему, что сами перезвоните через несколько минут и вешаете трубку.

Далее вы определяете по телефонному справочнику номер своего участкового, звоните по этому но-

меру, и, если он снимает трубку, значит, можно предположить, что он действительно тот, за кого себя

выдает.

Проверка в информационных каталогах может показать, например, что у представившегося

клиента на самом деле иной открытый ключ и, соответственно, сертификат. Возможно, она покажет,

что сертификат подлинный, но по каким-то причинам был недавно отозван.

6.Самая последняя проверка также не относится к протоколу 55i и опре-

деляется внутренней политикой администрации сервера. По установленному

имени клиента сервер определяет, имеет ли тот право на предоставление тех

услуг или ресурсов, которые запросил.

10.4. ЛОКАЛЬНЫЕ ТЕХНОЛОГИИ ЗАЩИТЫ ДАННЫХ

Мы рассмотрели технологии защиты данных на путях транспортировки,

но информацию нужно также защищать по месту хранения. В частности, в ре-

зультате установки непроверенных программ на компьютере может начать бес-

контрольно действовать программа серверного типа. В некоторых случаях

подобные «серверы» передают удаленному клиенту информацию, хранящуюся

на компьютере, в некоторых случаях они ограничиваются передачей тех дан-

ных, которые вводятся с клавиатуры, включая регистрационные имена пользо-

вателей и их пароли, а в некоторых случаях полностью передают компьютер

под управление удаленного терминала. Подобные программы называют сред-

ствами удаленного администрирования. Взяв под удаленное управление какой-

либо компьютер в Сети, злоумышленник начинает с него атаку на другую

«жертву» и так далее. В результате создаются цепочки промежуточных

компьютеров, владельцы которых не подозревают, что, действуя через них и от

387

их имени, кто-то может совершать противозаконные действия. После соверше-

ния особо опасных операций злоумышленники разрывают цепочки и «зачища-

ют» на использованных компьютерах протокольные файлы, хранящие данные о

состоявшихся сеансах связи.

Угроза удаленного администрирования — одна из наиболее очевидных,

но это далеко не единственная угроза в Сети. Существует много различных ме-

тодов и средств для совершения противоправных действий в Интернете. Про-

тив одних есть активные средства защиты, против других — только пассивные.

Существуют такие виды атак, как шторм запросов, против которых вообще

вряд ли возможно найти окончательное техническое средство защиты, если

прием и обработка запросов — это естественная функция компьютерной систе-

мы. В данном случае основной упор делается не на техническое, а на правовое

обеспечение защиты. В большинстве стран мира есть положения уголовного за-

конодательства, предусматривающие наказание за разработку, распространение

и применение вредоносных программных средств.

Создание программ для ЭВМ или внесение изменений в существующие программы, заведомо

приводящих к несанкционированному уничтожению, блокированию, модификации либо копи-

рованию информации, нарушению работы ЭВМ, системы ЭВМ или их сети, а равно использо-

вание либо распространение таких программ или машинных носителей с такими программами — на-

казываются лишением свободы на срок до трех лет со штрафом в размере от двухсот до пятисот ми-

нимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного

за период от двух до пяти месяцев.

Те же деяния, повлекшие по неосторожности тяжкие последствия, — наказываются лишением

свободы на срок от трех до семи лет (Ст. 273 УК РФ).

Межсетевые защитные экраны (брандмауэры)

Самый надежный способ полностью обезопасить компьютер от возмож-

ных атак со стороны всемирной сети — физически отключить его от Интерне-

та. По понятным причинам этот тривиальный вариант мы рассматривать не бу-

дем, но в данном случае для разрешения принципиального противоречия дей-

ствуют так же, как и во многих других'аналогичных ситуациях, — вводят по-

средника. Таким посредником может быть другой компьютер или специальное

программное средство, размещаемое между защищаемым компьютером (ло-

кальной сетью) и средой (локальной, глобальной сетью, Интернетом). Подоб-

ные аппаратные или программные средства называют брандмауэрами (firewall).

В технической отечественной литературе для них иногда используется термин

защитный экран, или межсетевой экран (рис. 10.21).

Защищаемая область

388

Рис. 10.21. Схема защиты с помощью брандмауэра

Принцип действия брандмауэра. Принцип действия брандмауэра основан

на том, что это средство контролирует состояние соединения на уровнях ниже

прикладного (на уровне соединения, сетевом, транспортном) и, тем самым,

способно уловить признаки работы несанкционированных средств, незаметно

«врезавшихся» со своим виртуальным соединением в систему связи ниже при-

кладного уровня, подконтрольного пользователю. В частности, брандмауэр

способен отследить деятельность средств удаленного администрирования. Од-

новременно брандмауэр может контролировать потоки данных (трафик) и осу-

ществлять их фильтрацию. Настроив брандмауэр соответствующим образом,

можно полностью или частично запретить доступ внешних клиентов к служ-

бам, находящимся в защищенной области, и, наоборот, запретить внутренним

клиентам обращение к службам внешней сети.

Для пояснения сути работы брандмауэра рассмотрим упрощенный при-

мер (рис. 10.22). Допустим, два руководителя предприятий обмениваются пись-

мами. Написав письмо, руководитель передает его секретарю для печати, а се-

кретарь передает письмо курьеру для доставки. В этой системе связи только три

уровня: прикладной (руководитель), уровень представления (секретарь) и физи-

ческий уровень (курьер).

Начальник

Секретарь

курьер

Рис. 10.22. Трехуровневая модель связи — это упрощение по сравнению

с семиуровневой моделью OSI, принятой для описания сетевых

систем, но и она дает представление о роли и месте брандмау

эра в системе обеспечения безопасности

Физическая связь существует только между курьерскими службами, од-

нако руководители тоже полагают, что между ними есть связь. Она действи-

тельно есть, но она виртуальная (опосредованная). Кстати, секретари обоих ру-

ководителей тоже могут считать, что они имеют друг с другом виртуальное со-

единение.

389

Предположим, что секретари обоих начальников вступили в сговор и,

перепечатывая их письма, обмениваются информацией между собой. Секретарь

отправителя что-то дописывает карандашом в письме, а секретарь получателя

стирает то, что было дописано.

Руководители занимают высшие уровни в системе связи и потому они не

знают, что их канал используется несанкционированно. Однако об этом очень

легко догадаются курьеры, если им разрешить читать то, что они доставляют.

Специальным образом подготовленный курьер может в данном случае дать сиг-

нал руководителю о том, что им обнаружено незарегистрированное соедине-

ние. Именно этим и занимаются брандмауэры.

Совокупность ограничений, накладываемых на сотрудников предприятия

в результате настройки брандмауэра, определяется политикой предприятия в

области обеспечения режима сетевой безопасности. За реализацию этой поли-

тик отвечает уполномоченное лицо, обычно — системный администратор.

С работой простейшего программного средства, выполняющего функции

брандмауэра, программой ATGuard (www.atguard.com), читатель может позна-

комиться в практическом занятии данной главы. Программа работает в фоно-

вом режиме и занимается проверкой состояния коммуникационных портов. В

случае обнаружения попыток использовать тот или иной порт она сообщает о

них пользователю. Если коммуникация осуществляется с его ведома, он может

разрешить создание ГСР-соединения. В противном случае выдается запрет и

предпринимаются меры по идентификации процесса, породившего запрос. Воз-

можно, что запрос пришел снаружи (злоумышленник ищет контакт со сред-

ством удаленного администрирования путем сканирования коммуникационных

портов), а может быть, и изнутри (средство удаленного администрирования уже

скрытно работает на компьютере и пытается выйти в Сеть).

Прокси-серверы

Прокси-серверы — это программные средства, тоже выполняющие по-

средническую функцию, но в отличие от брандмауэров это скорее не инспекто-

ры, а диспетчеры. Первоначально прокси-серверы предназначались не для за-

щиты компьютера или локальной сети, а для оптимизации их работы в World

Wide Web.

1.Пользователь компьютера адресует запрос в Интернет на поставку

определенного Web-ресурса, но этот запрос отправляется не в Сеть, а прокси-

серверу.

2.Прокси-сервер от своего имени адресует запрос в Интернет на поставку

этого Web-ресурса и получает отклик от удаленного сервера.

3.Полученный ресурс прокси-сервер передает на рабочую станцию поль-

зователя.

При этом у пользователя появляются следующие преимущества:

• удаленный сервер не знает точно, от кого поступил запрос: с его точки

зрения, он поступил от прокси-сервера (функция анонимизации);

• Web-страницы, проходящие через прокси-сервер, запоминаются на нем

(кэши-руются), и если какой-то другой пользователь локальной сети хочет

390