Асимметричные криптосистемы.

Асимметричные криптосистемы характерны тем, что в них используются

различные ключи для зашифрования и расшифрования информации. Ключ для

зашифрования (открытый ключ) можно сделать общедоступным, с тем чтобы

любой желающий мог зашифровать сообщение для некоторого получателя.

Получатель же, являясь единственным обладателем ключа для расшифрования

(секретный ключ), будет единственным, кто сможет расшифровать зашифрованные для него сообщения. Данный механизм проиллюстрирован на рисунке 1.7.

Рис. 1.7. Структура асимметричной криптосистемы

Примеры асимметричных криптосистем – RSA и схема Эль-Гамаля.

Симметричные и асимметричные криптосистемы, а также различные их

комбинации используются в АС прежде всего для шифрования данных на различных

носителях и для шифрования трафика.

 

17. Опишите что такое межсетевое экранирование. Опишите классы межсетевых экранов.

Межсетевой экран (МЭ) выполняет функции разграничения информационных потоков на границе защищаемой автоматизированной системы. Это

позволяет:

- повысить безопасность объектов внутренней среды за счёт игнорирования

неавторизованных запросов из внешней среды;

- контролировать информационные потоки во внешнюю среду;

- обеспечить регистрацию процессов информационного обмена.

Контроль информационных потоков производится посредством фильтрации

информации, т.е. анализа её по совокупности критериев и принятия решения о

распространении в АС или из АС. В зависимости от принципов функционирования, выделяют несколько классовмежсетевых экранов. Основным классификационным признаком является уровень модели ISO/OSI, на котором функционирует МЭ.

Фильтры пакетов.

Простейший класс межсетевых экранов, работающих на сетевом и транспортном

уровнях модели ISO/OSI. Фильтрация пакетов обычно осуществляется по

следующим критериям:

- IP-адрес источника;

- IP-адрес получателя;

- порт источника;

- порт получателя;

- специфические параметры заголовков сетевых пакетов.

Фильтрация реализуется путём сравнения перечисленных параметров заголовков

сетевых пакетов с базой правил фильтрации.

Шлюзы сеансового уровня

Данные межсетевые экраны работают на сеансовом уровне модели ISO/OSI. В

отличие от фильтров пакетов, они могут контролировать допустимость сеанса

связи, анализируя параметры протоколов сеансового уровня.

Шлюзы прикладного уровня

Межсетевые экраны данного класса позволяют фильтровать отдельные виды

команд или наборы данных в протоколах прикладного уровня. Для этого используются прокси-сервисы – программы специального назначения, управляющие трафиком через межсетевой экран для определённых высокоуровневых протоколов (http, ftp, telnet и т.д.).

Порядок использования прокси-сервисов показан на рис. 1.8.

Рис. 1.8.. Использование прокси-сервисов

Если без использование прокси-сервисов сетевое соединение устанавливается

между взаимодействующими сторонами A и B напрямую, то в случае

использования прокси-сервиса появляется посредник – прокси-сервер, который

самостоятельно взаимодействует со вторым участником информационного

обмена. Такая схема позволяет контролировать допустимость использования

отдельных команд протоколов высокого уровня, а также фильтровать данные,

получаемые прокси-сервером извне; при этом прокси-сервер на основании

установленных политик может принимать решение о возможности или

невозможности передачи этих данных клиенту A.