Классификация по сфере применения

Информационные системы организационного управления предназначены для автоматизации функций управленческого персонала. Учитывая наиболее широкое применение и разнообразие этого класса систем, часто любые информационные системы понимают именно в данном толковании. К этому классу относятся информационные системы управления как промышленными фирмами, так и непромышленными объектами: гостиницами, банками, торговыми фирмами и др. Основными функциями подобных систем являются: оперативный контроль и регулирование, оперативный учет и анализ, перспективное и оперативное планирование, бухгалтерский учет, управление сбытом и снабжением и другие экономические и организационные задачи.

ИС управления технологическими процессами (ТП) служат для автоматизации функций производственного персонала. Они широко используются при организации для поддержания технологического процесса в металлургической и машиностроительной промышленности.

ИС автоматизированного проектирования (САПР) предназначены для автоматизации функций инженеров-проектировщиков, конструкторов, архитекторов, дизайнеров при создании новой техники или технологии. Основными функциями подобных систем являются: инженерные расчеты, создание графической документации (чертежей, схем, планов), создание проектной документации, моделирование проектируемых объектов.

Интегрированные (корпоративные) ИС используются для автоматизации всех функций фирмы и охватывают весь цикл работ от проектирования до сбыта продукции. Создание таких систем весьма затруднительно, поскольку требует системного подхода с позиций главной цели, например получения прибыли, завоевания рынка сбыта и т.д. Такой подход может привести к существенным изменениям в самой структуре фирмы, на что может решиться не каждый управляющий.

 

Лекция 3

Средства, повышающие безопасность

VPN (Virtual Private Network) – виртуальная частная сеть. Это криптосистема, позволяющая защитить данные при передаче их по незащищенной сети (такой как Internet). Цель VPN – прозрачный доступ к ресурсам сети, где пользователь может делать всё, что он обычно делает независимо от, того на сколько он удален. VPN активно используется для сотрудников, работающих удаленно, и для территориально разделенных филиалов предприятия.

VPN соединения всегда состоят из каналов типа «точка-точка» или «туннель». Соединение «точка-точка» подразумевает, что оно всегда устанавливается между двумя компьютерами или устройствами, которые называются узлами. Каждый узел отвечает за шифрование данных до того, как они попадут в туннель, и дешифрование после того, как они туннель покинут. Хотя VPN туннель всегда устанавливается между двумя точками, каждый узел может устанавливать дополнительные туннели с другими узлами.

Для всех туннелей узел на стороне офиса может быть одним и тем же. Это возможно благодаря тому, что узел может шифровать данные от имени всей сети. В этом случае VPN узел называется VPN шлюзом, а сеть за ним – доменом шифрования. Использование шлюзов удобно т.к. все пользователи должны пройти через одно устройство, что облегчает задачу управления политикой безопасности. Внутри домена шифрования самого шифрования не происходит, т.к. эта часть сети считается безопасной. Это справедливо и при соединении офисов с помощью VPN шлюзов.

VPN ---- VPN

Сеть А ---- шлюз А ---- шлюз В ---- Сеть В

 

Таким образом, гарантируется шифрование только той информации, которая передается по небезопасному каналу между офисами.

Два VPN шлюза используют режим «туннеля», это означает, что шифруется весь пакет IP, после чего к нему добавляется новый IP-заголовок. IP-заголовок содержит IP-адреса двух VPN-шлюзов, которые увидит пакетный снифер. Снифер – аппаратное или программное средство, считывания данных с порта.

Невозможно определить компьютер-источник в первом домене шифрования и компьютер-получатель во втором домене. Чтобы удаленным пользователям с переносными компьютерами и пользователям, работающим удаленно, иметь доступ к офисной сети необходимо установить ПО VPN-клиент, который обеспечит создание VPN-туннеля VPN-шлюза. Существует много вариантов VPN-шлюзов и VPN-клиентов, это может быть как аппаратное VPN-устройство, так и программное VPN-обеспечение, которое устанавливается на VPN-маршрутизаторах или ПК.

VPN работает по следующему принципу:

1. Каждый из узлов идентифицирует друг друга перед созданием туннеля, чтобы удостовериться, что шифрованные данные будут отправлены на нужный узел.

2. Оба узла требуют заранее настроенную политику, указывающую, какие протоколы могут использоваться для шифрования и обеспечения целостности данных.

3. Узлы сверяют политики, чтобы договориться об используемых алгоритмах. Если это не получается, то туннель не устанавливается.

4. Как только достигнуто соглашения по алгоритмам, создается ключ, который будет использован в симметричном алгоритме для шифрования и дешифрования данных.

 

Есть несколько стандартов регламентирующих вышеописанное взаимодействия: L2TP, PPTP, IPSec.

IPSec

Разработан для повышения безопасности IP-протокола, что достигается за счёт дополнительных протоколов, добавляющих к IP-пакету собственные заголовки.

AH (Authentication Header) – протокол заголовка и идентификации, обеспечивает целостность путем проверки того, что ни один бит защищаемой части пакета не был изменен во время передачи.

Может вызывать проблемы, например, при прохождении пакета через NAT-устройство, изменяющее IP-адрес пакета. AH разрабатывался только для обеспечения целостности и не гарантирует конфиденциальности путем шифрования содержимого пакеты.

ESP (Encapsulating Security Protocol) – инкапсулирующий протокол безопасности, который обеспечивает и целостность и конфиденциальность. В режиме «туннеля» заголовок ESP располагается между новым IP-заголовком и зашифрованным IP-пакетом. При работе через FireWall важно не забыть настроить фильтры, чтобы пропускать пакеты с ID AH и/или ESP. Для AH ID – 51, ESP – 50. Важно не перепутать ID с номером порта.

IKE (Internet Key Exchange) – протокол, предназначенный для обмена ключами между двумя узлами VPN. Для работы IKE необходимо настроить правила в FireWall ля UDP порта с номером 500.

SA (Security Association) – связь безопасности, это термин IPSec для обозначения соединения. SA создается парами, т.к. каждая SA – это однонаправленное соединение. Полученные SA пары хранятся на каждом узле. Если ваш узел имеет SA, значит, VPN туннель был установлен успешно. Каждый узел способен устанавливать несколько туннелей с другими узлами, каждый SA имеет уникальный номер, позволяющий определить, к какому узлу он относится. Он называется SPI (Security Parameter Index) – индекс параметра безопасности. SA хранятся в базе SAD (SADatabase).

Каждый узел IPSec также имеет вторую базу – SPD (Security Policy Database) – базу данных политики безопасности.

Политика включает в себя следующие настройки:

1. Симметричные алгоритмы для шифрования и дешифрования данных,

2. Криптографические контрольные суммы для проверки целостности данных,

3. Способ идентификации узла (например, предустановленные ключи или RSA сертификаты),

4. Использовать ли режим туннеля или режим транспорта,

5. Какую использовать группу Diffie Hellman,

6. Как часто проводить переидентификацию узла,

7. Как часто менять ключ для шифрования данных,

8. Использовать ли HA, ESP или оба вместе.

 

Фазы установления туннеля

Установка и поддержка VPN происходит в два этапа.

На первом этапе два узла договариваются о методе идентификации, алгоритме шифрования, хэш-алгоритме и группе Diffie Hellman. Они также идентифицируют друг друга. Этот процесс может происходить в результате обмена тремя нешифрованными пакетами (агрессивный режим) или шестью нешифрованными пакетами (стандартный режим). В случае успешного завершения первой фазы, создается SA первой фазы, называемый Phase 1 SA или IKE SA.

На втором этапе генерируются данные ключей. Узлы договариваются насчет используемой политики. Этот режим также называется быстрым режимом (quick mode). Отличается от первой фазы тем, что может устанавливаться только после первого этапа, когда все пакеты второй фазы шифруются. При успешном завершении второй фазы появляется Phase 2 SA или IPSec SA.

Допустим, туннель между узлами успешно создан и ожидает пакетов. Однако, узлам необходимо переидентифицировать друг друга и сравнить политику через определенное время. Это время называется – время жизни Phase 1 или IKE SA Lifetime. Узлы также должны сменить ключ для шифрования данных через другой отрезок времени, который называется – время жизни Phase 2 или IPSec SA Lifetime. Типичное время жизни Phase 2 – 60 минут, Phase 1 – 24 часа.

Задача заключается в том, чтобы сконфигурировать оба узла с одинаковыми параметрами времени жизни. Если этого не произойдет, то возможен вариант, когда изначально туннель установлен успешно, но по истечении первого несогласованного времени связь прервется. Проблемы также могут возникнуть в том случае, когда время жизни Phase 1 меньше времени жизни Phase 2, т.к. при смене политики на одном из узлов изменения вступят в силу только при следующем изменении Phase 1. Если необходимо, чтобы изменения вступили в силу немедленно, достаточно убрать SA для этого туннеля из SAD.

Архитектура IPSec

Различают два режима применения ESP и AH: транспортный и туннельный.

Транспортный режим используется для шифрования поля данных IP-пакеты, содержащего протоколы транспортного уровня (TCP, UDP), которые в свою очередь содержат информацию прикладных служб. Примером может служить электронная почта. Недостатком транспортного режима является отсутствие механизмов скрытия конкретных отправителей и получателя, а также возможность проведения анализа трафика.

Туннельный режим предполагает шифрование всего пакета, включая заголовок сетевого уровня. Применяется в случае необходимости скрытия информационного обмена организации с внешним миром, например VPN.

Виды атак на AH, ESP и IKE

Можно разделить на следующие группы:

1. Атаки, эксплуатирующие конечность ресурсов системы, например DOS-атаки,

2. Атаки, использующие особенности и ошибки конкретных реализаций IPSec,

3. Атаки, основанные на слабости самих протоколов.

 

Лекция 4