Katika muktadha wa michakato ya ujumuishaji inayokua na uundaji wa nafasi moja ya habari katika mashirika mengi, LANIT inapendekeza kufanya kazi ili kuunda miundombinu salama ya mawasiliano ya simu inayounganisha ofisi za mbali za kampuni kuwa moja, na pia kuhakikisha kiwango cha juu cha usalama. habari inapita kati yao.

Teknolojia inayotumika kwa mitandao ya kibinafsi ya mtandaoni huwezesha kuunganisha mitandao inayosambazwa kijiografia kwa kutumia njia salama zilizojitolea na njia pepe zinazopitia mitandao ya kimataifa ya umma. Sambamba na mbinu ya mifumo kujenga mitandao salama inahusisha si ulinzi tu njia za nje miunganisho, lakini pia ulinzi wa ufanisi mitandao ya ndani kwa kuangazia mizunguko ya ndani ya VPN iliyofungwa. Kwa hivyo, matumizi ya teknolojia ya VPN inakuwezesha kuandaa upatikanaji salama wa mtumiaji kwenye mtandao, kulinda majukwaa ya seva na kutatua tatizo la mgawanyiko wa mtandao kwa mujibu wa muundo wa shirika.

Ulinzi wa taarifa wakati wa uwasilishaji kati ya subnets pepe hutekelezwa kwa kutumia algoriti za ufunguo usiolinganishwa na sahihi za kielektroniki zinazolinda taarifa dhidi ya kughushi. Kwa kweli, data ya kusambazwa kwa sehemu tofauti inasimbwa kwenye pato la mtandao mmoja na kutatuliwa kwa ingizo la mtandao mwingine, huku kanuni kuu ya usimamizi inahakikisha usambazaji wake salama kati ya vifaa vya mwisho. Udanganyifu wote wa data ni wazi kwa programu zinazoendesha kwenye mtandao.

Ufikiaji wa mbali wa rasilimali za habari. Ulinzi wa habari zinazopitishwa kupitia njia za mawasiliano

Wakati wa kuunganisha kati ya vitu vya kampuni ya mbali ya kijiografia, kazi inatokea ya kuhakikisha usalama wa kubadilishana habari kati ya wateja na seva za huduma mbalimbali za mtandao. Matatizo sawa hutokea katika mitandao ya eneo la ndani isiyo na waya (WLAN), pamoja na wakati watumiaji wa mbali wanapata rasilimali za mfumo wa habari wa shirika. Tishio kuu hapa linachukuliwa kuwa muunganisho usioidhinishwa kwa njia za mawasiliano na kuingilia (kusikiliza) habari na urekebishaji (badala) wa data inayopitishwa kupitia chaneli (ujumbe wa barua, faili, nk).

Ili kulinda data inayopitishwa kupitia njia hizi za mawasiliano, ni muhimu kutumia zana zinazofaa za ulinzi wa kriptografia. Mabadiliko ya kriptografia yanaweza kufanywa katika kiwango cha maombi (au katika viwango kati ya itifaki za programu na itifaki ya TCP/IP) na katika kiwango cha mtandao (ubadilishaji wa pakiti za IP).

Katika chaguo la kwanza, usimbuaji wa habari iliyokusudiwa kusafirishwa kupitia chaneli ya mawasiliano kupitia eneo lisilodhibitiwa lazima ufanyike kwenye nodi ya kutuma (kituo cha kazi - mteja au seva), na usimbuaji - kwenye nodi ya mpokeaji. Chaguo hili linajumuisha kufanya mabadiliko makubwa kwa usanidi wa kila sehemu inayoingiliana (kuunganisha zana za ulinzi wa kriptografia kwenye programu za programu au sehemu ya mawasiliano. mfumo wa uendeshaji), ambayo, kama sheria, inahitaji gharama kubwa na ufungaji wa vifaa vya kinga vinavyofaa kwenye kila node mtandao wa ndani. Suluhu za chaguo hili ni pamoja na itifaki za SSL, S-HTTP, S/MIME, PGP/MIME, ambazo hutoa usimbaji fiche na sahihi ya dijiti ya ujumbe wa barua pepe na ujumbe unaotumwa kwa itifaki ya http.

Chaguo la pili linajumuisha kufunga zana maalum zinazofanya mabadiliko ya crypto kwenye pointi za uunganisho wa mitandao ya ndani na wanachama wa mbali kwa njia za mawasiliano (mitandao ya umma) inayopitia eneo lisilo na udhibiti. Wakati wa kusuluhisha shida hii, inahitajika kuhakikisha kiwango kinachohitajika cha ulinzi wa data ya kriptografia na ucheleweshaji wa chini unaowezekana wakati wa uwasilishaji wao, kwani zana hizi hupitisha trafiki iliyopitishwa (ongeza kichwa kipya cha IP kwenye pakiti iliyowekwa) na utumie algorithms ya usimbuaji. nguvu tofauti. Kwa sababu ya ukweli kwamba zana zinazotoa mabadiliko ya crypto kwenye kiwango cha mtandao zinaendana kikamilifu na mifumo ndogo ya programu inayoendesha katika mfumo wa habari wa shirika (ni "wazi" kwa programu), hutumiwa mara nyingi. Kwa hiyo, katika siku zijazo tutakaa juu ya njia hizi za kulinda habari zinazopitishwa kupitia njia za mawasiliano (ikiwa ni pamoja na mitandao ya umma, kwa mfano, mtandao). Ni muhimu kuzingatia kwamba ikiwa njia za ulinzi wa habari za cryptographic zimepangwa kutumika katika mashirika ya serikali, basi suala la uchaguzi wao linapaswa kuamuliwa kwa niaba ya bidhaa zilizoidhinishwa nchini Urusi.

14.09.2006 Mark Joseph Edwards

Ni njia gani inayofaa kwa hali yako? Kutuma faili kupitia Mtandao ni operesheni ya kawaida sana, na ulinzi faili zilizohamishwa ni muhimu sana kwa biashara nyingi. Kuna njia kadhaa za kuhamisha faili na mbinu nyingi za kulinda faili hizo wakati wa mchakato wa kuhamisha.

Ni njia gani inayofaa kwa hali yako?

Kuhamisha faili kwenye Mtandao ni operesheni ya kawaida sana, na kulinda faili zilizohamishwa ni muhimu sana kwa biashara nyingi. Kuna njia kadhaa za kuhamisha faili na mbinu nyingi za kulinda faili hizo wakati wa mchakato wa kuhamisha. Uchaguzi wa njia za maambukizi na usimbaji fiche hutegemea mahitaji ya jumla ya mtumaji. Katika baadhi ya matukio, inatosha tu kuhakikisha usalama wa faili wakati wa mchakato wa uhamisho. Katika zingine, ni muhimu zaidi kusimba faili kwa njia ambayo zinaendelea kulindwa hata baada ya kuwasilishwa kwa mpokeaji. Hebu tuangalie kwa karibu mbinu uhamisho salama mafaili.

Njiani na kuwasili

Ikiwa nia yako ni ya kulinda faili tu jinsi zinavyotumwa kwenye Mtandao, unahitaji teknolojia salama ya usafiri. Chaguo mojawapo ni kutumia Tovuti ambayo inaweza kukubali faili zilizotumwa kwake na kukuruhusu salama boot faili kama hizo. Ili kupanga usafirishaji salama wa faili hadi kwa Wavuti, unaweza kuunda ukurasa wa Wavuti ulio na zana salama za Tabaka la Soketi (SSL) ambayo kipengele kinapatikana. Vidhibiti vya ActiveX au Hati ya Javascript. Kwa mfano, unaweza kutumia udhibiti wa AspUpload kutoka Programu ya Persitis; watengenezaji wanadai kuwa ni "usimamizi wa hali ya juu zaidi wa usafirishaji wa faili hadi nodi kuu zinazopatikana kwenye soko." Chaguo jingine ni kutumia hati ya Upakiaji Bila Malipo ya ASP, ambayo haihitaji kipengele cha binary. Kutoa ulinzi wa ziada Unaweza hata kulinda kwa manenosiri ukurasa wa Wavuti na saraka inayohusika ya kuhifadhi nyenzo zilizopokelewa kwenye wavuti. Kuhusu kupakua faili kutoka kwa Wavuti, inatosha kuhakikisha kuwa seva ya Wavuti inayolingana hutoa unganisho kwa kutumia SSL, kulingana na angalau kwa URL inayotumika kupakua faili.

Chaguo mbadala ni kutumia seva ya FTP ambayo hutoa uhamishaji wa data kwa kutumia itifaki ya FTP Secure. Kimsingi, FTPS ni itifaki ya FTP inayoendesha muunganisho salama wa SSL. Uwezekano wa matumizi Itifaki ya FTPS zinazotolewa katika wengi maarufu Wateja wa FTP, lakini, kwa bahati mbaya, haijatekelezwa katika Huduma ya FTP ya Microsoft. Kwa hivyo, itabidi utumie programu ya seva ya FTP ambayo hutoa uwezo huu (kwa mfano, bidhaa maarufu ya WFTPD). Usichanganye FTPS na Itifaki ya SSH Uhamisho wa Faili Itifaki. SFTP ni itifaki ya kuhamisha faili inayoendesha juu ya Secure Shell (SSH); kwa kuongeza, inaweza kutumika kuhamisha faili. Hata hivyo, unahitaji kukumbuka kuwa SFTP haiendani na jadi Itifaki ya FTP, kwa hivyo pamoja na seva salama ya ganda (sema ile iliyotolewa na Usalama wa Mawasiliano ya SSH), utahitaji mteja maalum SFTP (huyu anaweza kuwa mteja aliyejumuishwa kwenye kifurushi cha PuTTY Telnet/Secure Shell au WinSCP GUI).

Kwa kuongeza, uhamisho wa faili salama unaweza kupangwa kwa kutumia mitandao ya kibinafsi ya VPN. Majukwaa ya Windows Seva hutoa utangamano na Teknolojia ya VPN kupitia RRAS. Hata hivyo, hii haihakikishi utangamano na suluhu za VPN za washirika wako. Ikiwa uoanifu huu haupatikani, unaweza kutumia mojawapo ya suluhu zinazotumiwa sana, kama vile zana huria ya Open-VPN. Inasambazwa bila malipo na huendeshwa kwenye majukwaa mbalimbali, ikiwa ni pamoja na Windows, Linux, BSD na Macintosh OS X. Taarifa za ziada kuhusu ushirikiano wa OpenVPN inaweza kupatikana katika makala "Kufanya kazi na OpenVPN" ( ).

Kwa kuanzisha muunganisho wa VPN, unaweza kutenga saraka na kuhamisha faili katika pande zote mbili. Kwa kesi yoyote ya matumizi Trafiki ya VPN imesimbwa, kwa hivyo hakuna haja ya usimbuaji wa faili ya ziada - isipokuwa unataka faili zibaki kulindwa kwenye mfumo ambao zinahamishiwa. Kanuni hii inatumika kwa njia zote za maambukizi nilizotaja hadi sasa.

Ikiwa umeridhika na awamu ya uhamishaji na jambo lako kuu ni kuzuia watumiaji wasioidhinishwa kufikia maudhui ya faili zako, inaweza kushauriwa kusimba faili zako kwa njia fiche kabla ya kuzisafirisha. Katika hali hii, barua pepe inaweza kuwa njia bora ya kuhamisha faili. Programu za usindikaji wa barua pepe zimewekwa karibu kila mfumo wa desktop, kwa hivyo ukihamisha faili kupitia barua pepe, huhitaji kutumia teknolojia za ziada isipokuwa usimbaji fiche wa data. Njia ya kuhamisha faili ya barua pepe ni nzuri kwa sababu ujumbe na viambatisho kawaida hutumwa moja kwa moja kwa Sanduku la barua mpokeaji, ingawa ujumbe unaweza kupita kwenye seva kadhaa wakati wa uwasilishaji.

Ikiwa hata hivyo unahitaji fedha za ziada ili kulinda data inaposafirishwa kupitia barua pepe, zingatia kutumia itifaki za SMTP Secure (SMTPS) na POP3 Secure (POP3S). Kimsingi, SMTPS na POP3S ni itifaki za kawaida za SMTP na POP3 zinazoendesha muunganisho salama wa SSL. Microsoft Seva ya Kubadilishana, kama wateja wengi wa barua pepe, ikiwa ni pamoja na Microsoft Outlook, hutoa uwezo wa kutumia itifaki za SMTPS na POP3S. Kumbuka kwamba hata wakati itifaki ya SMTPS inatumiwa kubadilishana faili kati ya mteja wa barua na seva ya barua, bado kuna uwezekano kwamba seva ya barua itawasilisha barua kwa mpokeaji wa mwisho kupitia muunganisho wa kawaida, usio na usalama wa SMTP.

Kwa kuwa zana za kuchakata barua pepe zimeenea sana, sehemu iliyobaki ya makala hii itajadili kimsingi masuala ya uhamishaji salama wa faili kupitia njia za barua pepe. Kwa kufanya hivyo, tutafikiri kwamba mtumaji anahitaji kusimba data kwa njia fiche ili kuilinda wakati wa kutuma na baada ya kujifungua. Kwa hivyo, hebu tuangalie teknolojia maarufu zaidi za usimbaji barua pepe leo.

Zana za kukandamiza faili

Kuna njia nyingi za kubana faili kuwa faili moja ya kumbukumbu, na suluhisho nyingi zilizopendekezwa zinahusisha matumizi ya aina fulani ya usimbaji fiche ili kulinda yaliyomo kwenye kumbukumbu. Kwa kawaida, nenosiri huwekwa wakati wa mchakato wa ukandamizaji, na mtu yeyote ambaye anataka kufungua kumbukumbu anaweza tu kufanya hivyo kwa kutumia nenosiri lililotolewa.

Moja ya njia maarufu zaidi za kuunda kumbukumbu faili zilizobanwa- njia ya ukandamizaji wa zip; Takriban wahifadhi wote wa kumbukumbu wanaiunga mkono. Na moja ya zana za kawaida za ukandamizaji wa zip leo ni programu ya WinZip. Inaweza kutumika kama programu inayojitegemea, iliyojengwa ndani ya Windows Explorer kwa ufikiaji rahisi, au kuunganishwa na WinZip Companion kwa Outlook. Mteja wa Outlook. WinZip, kama kumbukumbu nyingine nyingi zilizo na zip, hutoa uwezo wa kusimba kwa kutumia mbinu ya Usimbaji wa Zip 2.0. Lakini ni lazima kusema kwamba kulinda faili kwa kutumia njia hii sio kuaminika kwa kutosha. Chaguo la usimbaji linalokubalika zaidi linatekelezwa katika WinZip 9.0. Kama Mchoro wa 1 unavyoonyesha, WinZip sasa inaauni ubainifu wa Hali ya Juu wa Usimbaji Fiche (AES), ambao hutumia vitufe vya usimbaji 128-bit au 256-bit. AES ni teknolojia mpya, lakini tayari inachukuliwa kuwa kiwango cha tasnia.

Kielelezo cha 1: WinZip inasaidia maelezo ya AES

Siwezi kusema haswa ni kumbukumbu ngapi zinazotumia algoriti zenye nguvu za usimbaji fiche kwa kutumia AES, na nitajizuia kutaja programu moja kama hiyo; Hii ni bxAutoZip ya bidhaa iliyotengenezwa na BAxBEx Software. Inaweza kuingiliana na programu ya usimbaji wa CryptoMite kutoka BAxBEx na inaweza kupachikwa katika Outlook. Ingawa WinZip hukuruhusu tu kusimba data kwa kutumia Zip 2.0 na AES, CryptoMite hutoa uwezo wa kutumia zana zingine za usimbaji fiche, zikiwemo algoriti maarufu za Twofish na Blowfish, Cast 256, Gost, Mars na SCOP.

Takriban mifumo yote ya kompyuta tayari ina zana za kufungua faili za zip, lakini sio programu zote za zip hutoa uoanifu na algoriti mbalimbali za usimbaji. Kwa hivyo, kabla ya kutuma faili zilizosimbwa, unahitaji kuhakikisha kuwa programu ya zip ya mpokeaji "inaelewa" algorithm iliyochaguliwa.

Unaposimba faili kwa kutumia programu za zip, tumia nywila za usalama. Ili kusimbua faili ya kumbukumbu, mpokeaji lazima pia atumie nenosiri linalofaa. Uangalifu lazima uchukuliwe wakati wa kuchagua njia ya uwasilishaji wa nenosiri. Pengine njia salama zaidi za kutoa nenosiri ni kwa simu, faksi au barua pepe. Unaweza kuchagua yoyote kati yao, lakini chini ya hali yoyote unapaswa kutuma nenosiri kupitia barua pepe katika fomu maandishi wazi; katika kesi hii, hatari kwamba mtumiaji ambaye hajaidhinishwa atapata ufikiaji wa faili iliyosimbwa huongezeka sana.

Usisahau kwamba kumbukumbu zilizo na zana za usimbuaji hutoa uhamishaji wa faili sio tu kupitia njia za barua pepe. Wanaweza kutumika kwa ufanisi kusafirisha data kwa kutumia mbinu nyingine zilizotajwa hapo juu.

Faragha Nzuri Sana

Mbinu nyingine maarufu sana ya usimbaji fiche inaweza kutekelezwa kwa kutumia Faragha Nzuri Sana. PGP ilifanya vyema wakati Phil Zimmerman alipoichapisha kwa mara ya kwanza bila malipo kwenye Mtandao mnamo 1991. PGP ikawa bidhaa ya kibiashara mnamo 1996, na kisha haki zake zikanunuliwa na Network Associates (NAI) mnamo 1997. Mnamo 2002, teknolojia hii ilinunuliwa kutoka kwa NAI na kampuni changa iitwayo PGP Corporation.

Shirika la PGP tangu wakati huo limeuza toleo la kibiashara la PGP ambalo linaendeshwa kwenye mazingira ya Windows na Mac OS X. Toleo la sasa PGP 9.0, ambayo hutoa usimbaji fiche wa faili binafsi na usimbaji fiche kamili wa diski, inaweza kujengwa katika AOL Instant Messenger (AIM). Kwa kuongezea, PGP 9.0 inaunganishwa na bidhaa kama vile Outlook, Microsoft Entourage, Vidokezo vya Lotus Qualcomm Eudora Mozilla Thunderbird Na Barua pepe ya Apple.

PGP hutumia mfumo wa usimbaji wa ufunguo wa umma ambao hutoa jozi ya funguo za usimbaji - ufunguo wa umma na ufunguo wa faragha. Vifunguo hivi viwili vinahusiana kihisabati kwa njia ambayo data iliyosimbwa kwa ufunguo wa umma inaweza tu kusimbwa kwa ufunguo wa faragha. Mtumiaji wa PGP hutoa jozi ya ufunguo wa umma Ufunguo wa siri", na kisha kuchapisha kitufe cha umma kwenye saraka ya ufunguo wa umma au kwenye wavuti. Ufunguo wa siri, bila shaka, haujachapishwa popote na umewekwa siri; inatumiwa tu na mmiliki wake. Kusimbua data kwa kutumia ufunguo wa faragha kunahitaji nenosiri, lakini kusimba data kwa kutumia ufunguo wa umma si kwa sababu funguo za umma Mtu yeyote anaweza kuitumia.

Ili kurahisisha kutumia mfumo wa PGP, wasanidi programu wake wametekeleza kazi ya kupigia kura saraka muhimu za umma kiotomatiki. Kitendaji hiki hukuruhusu kuingiza anwani ya barua pepe ya mtumiaji kwenye upau wa utaftaji na kupata ufunguo wake wa umma. PGP hutoa uwezo wa kusoma kiotomatiki funguo za umma, ambazo zinaweza kuhifadhiwa ndani ya mfumo wako katika "keyring" maalum ya msingi wa faili kwa urahisi wa kufikia. Kwa kuuliza saraka ya vitufe vya umma, PGP hukuruhusu kuweka matoleo ya hivi majuzi kila wakati katika "bundle." Mtumiaji akibadilisha ufunguo wake wa umma, unaweza kufikia ufunguo uliosasishwa wakati wowote unapouhitaji.

Ili kutoa hakikisho thabiti zaidi za uhalisi wa funguo za umma, sahihi za dijiti zinaweza kutumika kwa kutumia funguo za watumiaji wengine. Kutia sahihi kwa ufunguo na mtumiaji mwingine hutumika kama uthibitisho wa ziada kwamba ufunguo hakika ni wa mtu anayedai kuwa mmiliki wake. Ili kuthibitisha ufunguo kwa kutumia sahihi ya dijiti, PGP hufanya operesheni ya hisabati na kuongeza matokeo yake ya kipekee kwa ufunguo. Sahihi basi inaweza kuthibitishwa kwa kuilinganisha na ufunguo wa kusaini ambao ulitumiwa kuunda sahihi. Utaratibu huu unafanana na mchakato wa mtu mmoja kuthibitisha utambulisho wa mwingine.

PGP inaaminiwa na wengi kwa sababu imeanzisha sifa kwa muda mrefu katika sekta kama teknolojia ya kuaminika ya kulinda habari. Hata hivyo, ukiamua kutumia PGP au mbinu nyingine ya usimbaji ufunguo wa umma, kumbuka kwamba wapokeaji wa faili zako lazima pia. mfumo sambamba usimbaji fiche. Mojawapo ya faida za PGP wakati wa kutumia barua pepe kama chaneli ya kusambaza data ni kwamba inatumia muundo wake wa usimbaji fiche, pamoja na teknolojia za X.509 na S/MIME, ambazo nitazijadili baadaye.

Kwa kuongeza, hatua moja zaidi inapaswa kuzingatiwa. Bila kujali kama unapanga kutumia PGP, WinZip, au mfumo mwingine wa usimbaji fiche, ikiwa unataka kusimba yaliyomo kwenye ujumbe wenyewe pamoja na kusimba faili zilizoambatishwa, utahitaji kuandika ujumbe huo kwa faili tofauti na kuisimba kwa njia fiche pia. Ikiwa inataka, faili hii ya ujumbe inaweza kuwekwa kwenye kumbukumbu pamoja na faili zingine au kuambatishwa kama faili ya kiambatisho.

PKI

Miundombinu muhimu ya Umma (PKI) ni ya kipekee, lakini kanuni ya utendakazi wake inakumbusha kwa kiasi fulani kanuni ya PGP. PKI inahusisha matumizi ya jozi ya funguo - ya umma na ya siri. Ili kusimba data iliyotumwa kwa mpokeaji kwa njia fiche, watumaji hutumia ufunguo wa umma wa mpokeaji; Baada ya data kuwasilishwa kwa mpokeaji, anaiondoa kwa njia fiche kwa kutumia ufunguo wake wa faragha.

Skrini ya 2: Kuangalia Yaliyomo kwenye Cheti

Tofauti moja kuu ni kwamba katika PKI, ufunguo wa umma kwa kawaida huhifadhiwa katika umbizo la data linalojulikana kama cheti. Vyeti vinaweza kuwa na vingi taarifa zaidi kuliko funguo za kawaida. Kwa mfano, vyeti kwa kawaida huwa na tarehe ya mwisho wa matumizi, kwa hivyo tunajua ni lini cheti na ufunguo wake unaohusishwa hautakuwa halali tena. Kwa kuongezea, cheti kinaweza kujumuisha jina la mmiliki, anwani, nambari ya simu na habari zingine. Skrini ya 2 inaonyesha yaliyomo kwenye cheti kama inavyoonekana kwenye dirisha la programu Mtandao wa Microsoft Explorer (IE) au Outlook. Kwa kiasi fulani, maudhui ya cheti hutegemea data ambayo mmiliki anataka kuweka ndani yake.

Kama PGP, PKI inaruhusu uundaji wa "misururu ya uaminifu" ambapo vyeti vinaweza kusainiwa kwa kutumia vyeti vya watumiaji wengine. Aidha, Mamlaka za Cheti (CA) zimejitokeza. Hizi ni mashirika ya kujitegemea yanayoaminika ambayo sio tu hutoa vyeti vyao wenyewe, lakini pia husaini vyeti vingine, na hivyo kuhakikisha uhalisi wao. Kama ilivyo kwa PGP na seva zake muhimu zinazohusiana, vyeti vinaweza kuchapishwa kwa seva za vyeti vya umma au vya kibinafsi au seva za LDAP, kutumwa kupitia barua pepe, na hata kupangishwa kwenye Tovuti au seva ya faili.

Ili kutoa uthibitishaji wa cheti kiotomatiki, watengenezaji wa wateja wa barua pepe na Vivinjari vya Wavuti kwa kawaida huandaa programu zao zana za kuingiliana na seva za mamlaka ya cheti. Wakati wa mchakato huu, utaweza pia kupata habari kuhusu kufutwa kwa cheti kwa sababu moja au nyingine na, ipasavyo, kufanya hitimisho kwamba cheti hiki hakiwezi kuaminiwa tena. Bila shaka, wakati mwingine unapaswa kulipa huduma za mamlaka ya vyeti ili kutoa na kuthibitisha vyeti; bei zinaweza kutofautiana kulingana na mamlaka iliyochaguliwa ya uthibitishaji. Mashirika mengine huwapa wateja vyeti vya kibinafsi bila malipo kupitia barua pepe, huku wengine hutoza ada kubwa kwa hili.

PKI inatokana na vipimo vya X.509 (inayotokana na vipimo vya LDAP X). Kwa hivyo, vyeti vinavyotolewa na mamlaka moja (ikiwa ni pamoja na vyeti unavyojitengenezea) vinaweza kutumika katika aina mbalimbali za mifumo. Ni muhimu tu kwamba majukwaa haya yalingane na kiwango cha X.509. Unaweza kutengeneza vyeti mwenyewe kwa kutumia zana zozote zinazopatikana, kama vile OpenSSL.

Ikiwa shirika lako linatumia Huduma ya Microsoft Huduma za Cheti, unaweza kuomba cheti kupitia huduma hii. Katika mazingira ya Windows Server 2003 na Windows 2000 Server mchakato huu inapaswa kuendelea takriban sawa. Unapaswa kufungua ukurasa wa wavuti wa seva ya cheti (kawaida iko katika http://servername/CertSrv), kisha uchague Omba Cheti. Washa ukurasa unaofuata unahitaji kuchagua kipengele cha ombi la cheti cha Mtumiaji na ufuate maagizo ya Msimamizi wa Tovuti hadi mchakato ukamilike. Ikiwa huduma ya cheti imeundwa kwa namna ambayo idhini ya msimamizi inahitajika kutoa cheti, mfumo utakujulisha kuhusu hili kwa ujumbe maalum, na utalazimika kusubiri uamuzi wa msimamizi. Katika hali nyingine, hatimaye utaona hyperlink ambayo itawawezesha kufunga cheti.

Baadhi vituo vya kujitegemea vyeti kama vile Thwate ya Kikundi cha Comodo na InstantSSL huwapa watumiaji vyeti vya barua pepe vya kibinafsi bila malipo; hii ni njia rahisi ya kupata vyeti. Aidha, vyeti hivyo tayari vitasainiwa na mamlaka iliyotoa, ambayo itarahisisha uhakiki wa uhalisi wao.

Inapokuja suala la kutumia PKI kutuma data iliyosimbwa kwa njia fiche kwa kutumia programu ya barua pepe, vipimo vya Secure MIME (S/MIME) vitatumika. Outlook, Mozilla Thunderbird na Apple Mail ni mifano michache tu maombi ya barua pepe, hukuruhusu kutumia itifaki hii. Ili kutuma ujumbe wa barua pepe uliosimbwa kwa njia fiche (ulio na au bila faili zilizoambatishwa) kwa mpokeaji, lazima upate ufikiaji wa ufunguo wa umma wa mpokeaji.

Ili kupata ufunguo wa umma wa mtumiaji mwingine, unaweza kutazama maelezo muhimu kwenye Seva ya LDAP(isipokuwa ufunguo utachapishwa kwa kutumia itifaki ya LDAP). Chaguo jingine: unaweza kumwomba mtu huyu akutumie ujumbe kwa saini ya dijiti; Kama sheria, wakati wa kuwasilisha ujumbe uliotiwa saini kwa mpokeaji, wateja wa barua pepe walio na uwezo wa S/MIME huambatisha nakala ya ufunguo wa umma. Au unaweza kumwomba tu mtu unayevutiwa naye akutumie ujumbe wenye ufunguo wa umma ulioambatishwa kwake. Baadaye unaweza kuhifadhi ufunguo huu wa umma katika kiolesura muhimu cha usimamizi kinachokuja na mteja wako wa barua pepe. Outlook samlar na kujengwa katika Hifadhi ya Windows Vyeti vya Duka la Cheti. Ikiwa unahitaji kutumia ufunguo wa umma, utakuwa karibu kila wakati.

Usimbaji fiche unaotegemea mtumaji

Usalama wa Voltage umeandaliwa teknolojia mpya- usimbaji fiche kulingana na data kuhusu mtumaji (usimbuaji msingi wa kitambulisho, IBE). Kwa ujumla, ni sawa na teknolojia ya PKI, lakini ina kipengele cha kuvutia. IBE hutumia ufunguo wa faragha kusimbua ujumbe, lakini haitumii ufunguo wa kawaida wa umma wakati wa mchakato wa usimbaji fiche. Kama ufunguo kama huo, IBE hutoa kwa matumizi anuani ya posta mtumaji. Kwa hivyo, wakati wa kutuma ujumbe uliosimbwa kwa mpokeaji, shida ya kupata ufunguo wake wa umma haitoke. Unachohitaji ni anwani ya barua pepe ya mtu huyo.

Teknolojia ya IBE inahusisha kuhifadhi ufunguo wa siri wa mpokeaji kwenye seva muhimu. Mpokeaji anathibitisha haki zake za ufikiaji kwa seva muhimu na anapokea ufunguo wa siri, ambao yeye huondoa yaliyomo kwenye ujumbe. Teknolojia ya IBE inaweza kutumika na watumiaji wa Outlook Outlook Express, Vidokezo vya Lotus, Pocket PC, na Utafiti katika Motion (RIM) Blackberry. Kulingana na wawakilishi wa Usalama wa Voltage, IBE pia inaendesha mifumo yoyote ya barua pepe inayotegemea kivinjari inayoendesha karibu mfumo wowote wa kufanya kazi. Kuna uwezekano kwamba vile suluhisho zima Usalama wa Voltage ndio unahitaji.

Ni vyema kutambua kwamba teknolojia ya IBE inatumika katika bidhaa za FrontBridge Technologies kama njia ya kuwezesha. kubadilishana salama barua pepe zilizosimbwa. Labda tayari unajua kwamba mnamo Julai 2005, FrontBridge ilinunuliwa na Microsoft, ambayo inapanga kuunganisha suluhu za FrontBridge na Exchange; Huenda si muda mrefu kabla ya mchanganyiko wa teknolojia hizi kutolewa kwa watumiaji kama huduma inayodhibitiwa. Ikiwa shirika lako na mifumo ya barua pepe ya washirika wako inategemea Exchange, fuatilia maendeleo katika eneo hili.

Mambo yote yanazingatiwa

Kuna njia nyingi za kuhamisha faili kwa usalama kwenye Mtandao, na bila shaka rahisi na bora zaidi kati yao hutolewa kwa barua pepe. Bila shaka, wale ambao wanapaswa kubadilishana kiasi kikubwa faili zinazojumuisha idadi kubwa ya data zinaweza kuzingatia kutumia mbinu zingine.

Kuzingatia kwa uangalifu kunapaswa kuzingatiwa ni faili ngapi utakazohamisha, ni kubwa kiasi gani, ni mara ngapi utahitaji kuhamisha faili, ni nani anayepaswa kuzifikia, na jinsi zitahifadhiwa mahali zinapopokelewa. Kuzingatia mambo haya, unaweza kuchagua njia bora uhamishaji wa faili.

Ukiamua kuwa barua pepe ndiyo chaguo lako bora zaidi, fahamu kwamba mara barua inapofika, nyingi seva za barua Na wateja wa barua unaweza kuendesha hati au kufanya vitendo maalum kulingana na sheria. Kwa kutumia vitendakazi hivi, unaweza kubadilisha uhamishaji wa faili kiotomatiki kwenye njia kwenye seva za barua na faili zinapofika kwenye kisanduku chako cha barua.

Mark Joseph Edwards - Sr. Mhariri wa Windows IT Pro na mwandishi wa jarida la barua pepe la kila wiki la Usalama UPDATE ( http://www.windowsitpro.com/email). [barua pepe imelindwa]

Mtu anayetembelea tovuti yetu aliomba ushauri kuhusu kulinda taarifa za mteja:

Ninaandika nadharia juu ya mada: Ulinzi wa data ya kibinafsi ya mgonjwa katika mtandao wa kliniki. Tuseme kuna mpango kama huo wa kusajili wagonjwa katika kliniki kadhaa, na wameunganishwa kwa kila mmoja kupitia mtandao (kama kawaida). Ninahitaji kuhakikisha usalama wa habari za mgonjwa. Tafadhali nisaidie kutatua swali hili... Je, udukuzi unafanywaje, au wizi wa taarifa (kwenye mtandao, nje, n.k.); jinsi ya kulinda habari; njia za kutatua tatizo hili, nk. Tafadhali nisaidie...Ais

Naam, kazi hii ni muhimu wakati wote kwa wengi. Usalama wa habari ni eneo tofauti katika IT.

Je, wanaiba vipi habari na kudukua mifumo ya taarifa?

Hakika, ili kujilinda kutokana na uvujaji wa habari, kwanza unahitaji kuelewa kwa nini uvujaji huo hutokea. Mifumo ya habari hudukuliwa vipi?

Shida nyingi za usalama hutoka ndani

Hii inaweza kuonekana kuwa ndogo kwa wataalam wenye uzoefu wa usalama, lakini kwa watu wengi itakuwa ufunuo: shida nyingi za usalama wa habari husababishwa na watumiaji wa mifumo ya habari wenyewe. Ninaelekeza kidole changu mbinguni na takwimu yangu imetolewa nje ya hewa nyembamba, lakini kwa maoni yangu na uzoefu, 98% ya wizi wote na hacks hutokea ama kutokana na uzembe wa watumiaji, au kwa makusudi, lakini tena kutoka ndani. Kwa hivyo, juhudi nyingi zinapaswa kuelekezwa kwa usalama wa ndani. Jambo la kufurahisha zaidi nililosoma juu ya hii ni moja ya hukumu za mwalimu Yin Fu Wo:

Kwa maneno mengine, nia za kuvuja habari na jinsi ya kuipanga huzaliwa kutoka ndani, na mara nyingi katika kesi hiyo watu hao wanaonekana ambao tayari wanapata habari hii.

Hii pia inajumuisha kila aina ya virusi, Trojans, na viendelezi hasidi vya kivinjari. Kwa sababu vitu hivi huingia kwenye kompyuta za watumiaji kwa kutojua tu. Na ikiwa mtumiaji kutoka kwa kompyuta iliyoambukizwa hufanya kazi na habari muhimu- basi, ipasavyo, kwa msaada wa vitu hivi unaweza kumteka nyara pia. Hii pia inajumuisha nywila mbaya, uhandisi wa kijamii, tovuti za uongo na barua - yote haya ni rahisi kukabiliana nayo, unahitaji tu kuwa makini.

Mashambulizi ya MITM

Kipengee hiki kitafuata kwenye orodha kwa sababu ndicho kikubwa zaidi njia ya wazi kuiba habari. Ni kuhusu kukatiza. Kifupi kinamaanisha Mtu Katikati - mtu katikati. Hiyo ni, ili kuiba habari, mshambuliaji anaonekana kuingia kwenye chaneli ya upitishaji data - anavumbua na kutumia njia fulani kukatiza data kwenye njia yake.

Uingiliaji wa habari hutokeaje?

Kwa upande mwingine, pia kuna njia nyingi za kupanga MITM. Hizi ni pamoja na kila aina ya tovuti na huduma ghushi, wavutaji mbalimbali na washirika. Lakini kiini ni sawa kila wakati - mshambuliaji hufanya mmoja wa wahusika "kufikiria" kuwa yeye ndiye mhusika mwingine na wakati wa kubadilishana data zote hupitia kwake.

Jinsi ya kujikinga kutokana na kutekwa kwa habari?

Mbinu pia ni dhahiri. Na inakuja kwa mbili:

1. Zuia mvamizi kuingilia kati mchakato wa kubadilishana data
2. Hata kama haiwezekani kuwatenga hili na kwa namna fulani ilitokea, zuia mshambuliaji asiweze kusoma na kutumia habari iliyozuiwa.

Chaguzi za kuandaa hii pia sio tofauti sana, angalau katika asili yao. Bila shaka, kuna utekelezaji wa kutosha. Hebu tuangalie kiini cha njia hizi za ulinzi.

Tumia tunneling na mitandao pepe ya faragha

VPN - Mtandao Pepe wa Kibinafsi. Hakika kila mtu amesikia habari zake. Hii ndiyo ya kwanza, na mara nyingi pekee, njia ambayo inakuwezesha kuandaa nafasi ya habari salama kwa kubadilishana kwa taasisi kadhaa. Kiini chake ni ujenzi wa mtandao wa vichuguu juu ya mtandao usio salama wa kimataifa (Internet). Ni njia hii ambayo ninapendekeza kama ya kwanza kutekelezwa katika mfumo kama huo wa ofisi. VPN itaruhusu ofisi kufanya kazi kana kwamba kwenye mtandao mmoja wa ndani. Lakini mawasiliano kati ya ofisi yatafanyika kupitia mtandao. Kwa kusudi hili, vichuguu vya VPN hupangwa kati ya ofisi.

Hii ni takriban jinsi inavyofanya kazi. Njia ya VPN ni kama "bomba" kwenye Mtandao, ambamo mtandao wako wa karibu umewekwa. Kitaalam, handaki kama hiyo inaweza kupangwa kwa njia nyingi. VPN zenyewe zina utekelezaji kadhaa - pptp, l2tp, ipsec. inaruhusu - inageuka kama "VPN kwenye goti". Hii, kwa kweli, haizuii uwezekano wa MITM - data inaweza kuzuiwa, "imeunganishwa kwa bomba." Lakini hapa tunaendelea hadi hatua ya pili ya ulinzi - usimbuaji fiche.

Usimbaji fiche wa data kwenye mtandao

Ili kuzuia shambulio la MITM lisifaulu, inatosha kusimba kwa njia fiche data zote zinazotumwa. Sitaingia katika maelezo, lakini jambo kuu ni kwamba unageuza trafiki inayopitishwa kati yako kuwa kitu kisichoweza kusomeka ambacho hakiwezi kusomeka na kutumiwa - unaisimba kwa njia fiche. Wakati huo huo, anayeandikiwa pekee ndiye anayeweza kusimbua data hii. Na kinyume chake.

Kwa hivyo, hata kama mshambuliaji ataweza kupanga shambulio la MITM, ataingilia data unayosambaza. Lakini hataweza kuzifafanua, ambayo inamaanisha kuwa hatafanya ubaya wowote. Na hatapanga shambulio kama hilo, akijua kuwa unasambaza data iliyosimbwa. Kwa hiyo, "bomba" sawa kutoka kwa aya iliyotangulia ni encryption kwa usahihi.

Kimsingi, usalama wote wa habari wa kisasa unakuja kwa vitu hivi viwili - kuweka tunnel na usimbaji fiche. https sawa ni usimbaji fiche tu, data hupitishwa kwa uwazi, kwenye mtandao wa kimataifa, mtu yeyote anaweza kupanga mashambulizi na kuikata. Lakini ingawa hana cheti cha SSL na funguo za kusimbua data hii, hii haitishii mtu yeyote.

Ulinzi kupitia elimu ya watumiaji

Hii ni sawa na sifa mbaya 98%. Hata kama utaunda vichuguu viwili vilivyosimbwa kwa njia fiche sana kwa uthibitishaji wa vipengele viwili, haitakusaidia chochote mradi tu watumiaji wanaweza kuchukua Trojan au kutumia manenosiri dhaifu.

Kwa hiyo, jambo muhimu zaidi katika ulinzi ni kutunza mafunzo ya mtumiaji. Nimekuwa nikijaribu kufanya hivi kwa muda mrefu na tayari kuna nyenzo kwenye wavuti ambazo zinaweza kusaidia na hii:

1. Kiini cha ulinzi wa antivirus ni. Hapa nilijaribu kufunika kwa undani maswali kuhusu programu hasidi na virusi na jinsi ya kuishi bila kuwa na hofu ya mara kwa mara ya "kuambukiza" kompyuta yako na kitu, hata bila antivirus.
2. - alielezea njia yake rahisi ya kutengeneza nywila kali "kutoka kichwani mwangu."

Nadhani baada ya kusoma nakala hii na miongozo hii utajua zaidi juu ya usalama wa habari kuliko 90% ya watu :) Angalau utaweza kuuliza zaidi. maswali madhubuti na kupata taarifa wazi.

Wakati huo huo, nina habari, marafiki. Tunaenda kwa SMM! Na ninafurahi kukutambulisha kwa kikundi chetu kwenye Facebook -

Kuunda chaneli salama ya upitishaji data kati ya rasilimali za habari za biashara zilizosambazwa

A. A. Terenin, Ph.D.,

Mtaalamu wa uhakikisho wa ubora wa IT na programu

Deutsche Bank Moscow

Hivi sasa, biashara kubwa iliyo na mtandao wa matawi nchini au ulimwengu, ili kufanya biashara kwa mafanikio, inahitaji kuunda nafasi moja ya habari na kuhakikisha uratibu wazi wa vitendo kati ya matawi yake.

Ili kuratibu michakato ya biashara inayotokea katika matawi mbalimbali, ni muhimu kubadilishana habari kati yao. Data kutoka ofisi mbalimbali hukusanywa kwa ajili ya usindikaji zaidi, uchambuzi na kuhifadhi katika baadhi ya ofisi kuu. Taarifa iliyokusanywa hutumiwa kutatua matatizo ya biashara na matawi yote ya biashara.

Data inayobadilishwa kati ya matawi inategemea mahitaji madhubuti kwa uaminifu na uadilifu wake. Kwa kuongeza hii, data inayowakilisha siri ya biashara lazima kuvaa asili ya siri. Kwa kamili kazi sambamba Ofisi zote lazima zibadilishane habari mtandaoni (katika muda halisi). Kwa maneno mengine, chaneli ya kudumu ya upitishaji data lazima ianzishwe kati ya matawi ya biashara na ofisi kuu. Ili kuhakikisha utendakazi usiokatizwa wa chaneli kama hiyo, kuna sharti la kudumisha ufikiaji wa kila chanzo cha habari.

Tunatoa muhtasari wa mahitaji ambayo njia za kusambaza data kati ya matawi ya biashara lazima zitimize ili kutekeleza jukumu la kuhakikisha mawasiliano ya mara kwa mara yenye ubora wa juu:

chaneli ya upitishaji data lazima iwe thabiti,

data inayotumwa kwenye chaneli kama hiyo lazima idumishe uadilifu, kutegemewa na usiri.

Kwa kuongeza, utendakazi wa kuaminika wa njia ya mawasiliano ya kudumu ina maana kwamba watumiaji wa kisheria wa mfumo watapata vyanzo vya habari wakati wowote.

Mbali na mifumo iliyosambazwa ya kampuni inayofanya kazi kwa wakati halisi, kuna mifumo inayofanya kazi nje ya mtandao. Ubadilishanaji wa data katika mifumo kama hii haufanyiki kila mara, lakini kwa muda maalum: mara moja kwa siku, mara moja kwa saa, nk. Data katika mifumo kama hiyo hukusanywa katika hifadhidata tofauti za matawi (DBs), na pia katika hifadhidata kuu, na tu. data kutoka kwa hifadhidata hizi inachukuliwa kuwa ya kuaminika.

Lakini hata ikiwa ubadilishanaji wa habari hutokea mara moja tu kwa siku, ni muhimu kuanzisha kituo salama cha maambukizi ya data, ambacho kinakabiliwa na mahitaji sawa ya kuhakikisha uaminifu, uadilifu na usiri, pamoja na upatikanaji kwa muda wa uendeshaji wa kituo.

Mahitaji ya kuegemea inamaanisha kuhakikisha ufikiaji ulioidhinishwa, uthibitishaji wa wahusika kwa mwingiliano na kuhakikisha kutokubalika kwa kukataa uandishi na ukweli wa uhamishaji wa data.

Mahitaji makali zaidi yanawekwa kwa mifumo ya kuhakikisha usalama wa shughuli za habari katika mazingira ya habari iliyosambazwa, lakini hii ni mada ya nakala tofauti.

Jinsi ya kuhakikisha ulinzi kama huo wa kituo cha upitishaji data?

Unaweza kuunganisha kila tawi kwa kila tawi kwa njia ya upokezaji wa data halisi (au matawi yote tu katikati) na uhakikishe kuwa haiwezekani kufikia njia halisi ya upitishaji data. ishara za habari. Ndiyo, suluhisho hilo linaweza kukubalika kwa utekelezaji ndani ya kituo kimoja kilichohifadhiwa, lakini tunazungumzia kuhusu kusambazwa mifumo ya ushirika, ambapo umbali kati ya vitu vya mwingiliano unaweza kupimwa kwa maelfu ya kilomita. Gharama ya kutekeleza mpango huo ni ya juu sana kwamba haitakuwa na gharama nafuu.

Chaguo jingine: kukodisha zilizopo, njia za mawasiliano zilizowekwa tayari au njia za satelaiti kutoka kwa waendeshaji simu. Suluhisho kama hilo pia ni ghali, na kulinda njia hizi itahitaji utekelezaji au usakinishaji wa programu maalum kwa kila pande zinazoingiliana.

Kawaida sana, gharama nafuu na suluhisho la ufanisi ni shirika la njia salama za mawasiliano duniani kote mtandao wa kompyuta Mtandao.

Siku hizi ni vigumu kufikiria shirika ambalo halina mtandao na halitumii Mtandao Wote wa Ulimwenguni kuandaa michakato yake ya biashara. Aidha, soko teknolojia ya habari iliyojaa vifaa vya mtandao na programu kutoka kwa wazalishaji tofauti na msaada wa kujengwa kwa usalama wa habari. Kuna viwango vinavyolindwa itifaki za mtandao, ambayo hufanya msingi wa vifaa vilivyoundwa na bidhaa za programu, inayotumiwa kupanga mwingiliano salama katika mtandao wa habari wazi.

Hebu tuangalie kwa karibu jinsi unavyoweza kuunda njia salama za upitishaji data kwenye Mtandao.

Shida za uwasilishaji salama wa data kwenye mitandao wazi hujadiliwa sana katika fasihi maarufu na nyingi:

Wavuti ya Ulimwenguni Pote inapanuka kila wakati, njia za kusambaza na kuchakata data zinatengenezwa, na vifaa vya kunasa data inayotumwa na kupata habari za siri vinazidi kuwa vya hali ya juu zaidi. Hivi sasa, tatizo la kuhakikisha ulinzi wa habari kutoka kwa kunakili, uharibifu au urekebishaji usioidhinishwa wakati wa kuhifadhi, usindikaji na usambazaji kupitia njia za mawasiliano unazidi kuwa wa dharura.

Ulinzi wa habari wakati wa uwasilishaji wake kupitia njia wazi mawasiliano kwa kutumia a usimbaji fiche linganifu kujadiliwa katika, na matatizo na njia ya kutatua yao wakati wa kutumia elektroniki digital sahihi - katika.

Nakala hii inajadili kwa undani njia za kuhakikisha usalama wa habari wakati wa kusambaza data ya siri kwenye njia wazi za mawasiliano.

Ili kulinda habari zinazopitishwa kwenye njia za mawasiliano ya umma, hatua nyingi za usalama hutumiwa: data imesimbwa, pakiti hutolewa na habari ya ziada ya udhibiti, na itifaki ya kubadilishana data yenye kiwango cha juu cha usalama hutumiwa.

Kabla ya kuamua jinsi ya kulinda data inayosambazwa, ni muhimu kuelezea kwa uwazi aina mbalimbali za udhaifu unaowezekana, kuorodhesha mbinu za kukatiza, kupotosha au kuharibu data, na mbinu za kuunganisha kwa njia za mawasiliano. Jibu maswali kuhusu washambuliaji wa malengo gani wanafuatilia na jinsi wanaweza kutumia udhaifu uliopo kutekeleza mipango yao.

Mahitaji ya ziada ya chaneli ya uhamishaji data iliyotekelezwa ni pamoja na:

kitambulisho na uthibitishaji wa vyama vinavyoingiliana;

utaratibu wa kulinda dhidi ya uingizwaji wa moja ya wahusika (matumizi ya algoriti za ufunguo wa siri za umma);

udhibiti wa uadilifu wa data iliyopitishwa, njia ya upitishaji habari na kiwango cha ulinzi wa njia ya mawasiliano;

kusanidi na kuangalia ubora wa njia ya mawasiliano;

ukandamizaji wa habari iliyopitishwa;

kugundua na kurekebisha makosa wakati wa kusambaza data kwenye njia za mawasiliano;

ukaguzi na usajili wa matukio;

kurejesha moja kwa moja utendaji.

Hebu tujenge mfano wa intruder na mfano wa kitu kilichohifadhiwa (Mchoro 1).

Algorithm ya kuanzisha muunganisho

Ili kutekeleza njia salama ya maambukizi ya data, mfano wa mwingiliano wa seva ya mteja hutumiwa.

Pande mbili zinazingatiwa: seva na mteja - kituo cha kazi, ambayo inataka kuanzisha muunganisho kwa seva kwa kazi zaidi nayo.

Hapo awali, kuna funguo mbili tu: funguo za umma na za kibinafsi za seva ( SAWA Na ZKS), na ufunguo wa umma wa seva unajulikana kwa kila mtu na hupitishwa kwa mteja anapofikia seva. Ufunguo wa faragha wa seva huhifadhiwa kwa usiri mkali zaidi kwenye seva.

Mwanzilishi wa unganisho ni mteja; anapata ufikiaji wa seva kupitia mtandao wowote wa kimataifa ambao seva hii inafanya kazi nao, mara nyingi kupitia mtandao.

Kazi kuu wakati wa kuanzisha muunganisho ni kuanzisha kituo cha kubadilishana data kati ya pande mbili zinazoingiliana, kuzuia uwezekano wa kughushi na kuzuia hali ya uingizwaji wa mtumiaji, wakati unganisho umeanzishwa na mtumiaji mmoja, na kisha mshiriki mwingine katika mfumo anaunganisha. moja ya pande za kituo na huanza kufaa ujumbe unaokusudiwa kwa mtumiaji halali, au kusambaza ujumbe kwa niaba ya mtu mwingine.

Inahitajika kutoa uwezekano wa mshambuliaji kuunganisha wakati wowote na kurudia utaratibu wa "kushikana mikono" kwa vipindi fulani vya wakati, muda ambao lazima uweke kiwango cha chini kinachoruhusiwa.

Kulingana na dhana hiyo ZKS Na SAWA tayari zimeundwa, na SAWA kila mtu anajua na ZKS- kwa seva tu, tunapata algorithm ifuatayo:

1. Mteja hutuma ombi la uunganisho kwa seva.

2. Seva huanza programu, kupitisha baadhi ujumbe maalum kwa programu ya mteja iliyosakinishwa awali ambapo ufunguo wa umma wa seva umewekwa msimbo ngumu.

3. Mteja hutoa funguo zake (za umma na za kibinafsi) ili kufanya kazi na seva ( OKC Na ZKK).

4. Mteja hutoa kitufe cha kikao ( KS) (ufunguo wa usimbaji wa ujumbe linganifu).

5. Mteja hutuma vipengele vifuatavyo kwa seva:

ufunguo wa umma wa mteja ( OKC);

ufunguo wa kikao;

ujumbe wa nasibu(wacha tuite X), iliyosimbwa kwa ufunguo wa umma wa seva kwa kutumia algoriti RSA.

6. Seva huchakata ujumbe uliopokelewa na kutuma ujumbe kujibu X, iliyosimbwa kwa ufunguo wa kipindi (usimbaji fiche linganifu) + iliyosimbwa kwa ufunguo wa umma wa mteja ( usimbaji fiche usiolinganishwa, kwa mfano algorithm RSA) + iliyosainiwa na ufunguo wa kibinafsi wa seva ( RSA, DSA, GOST) (Hiyo ni, ikiwa kwa upande wa mteja baada ya kusifiwa tunapokea X tena, basi hii inamaanisha kuwa:

ujumbe ulitoka kwa seva (saini - ZKS);

seva ilikubali yetu OKC(na kusimbwa kwa ufunguo wetu);

seva imekubaliwa KS(umesimba ujumbe kwa ufunguo huu).

7. Mteja anapokea ujumbe huu, anathibitisha saini na kufuta maandishi yaliyopokelewa. Ikiwa, kama matokeo ya kufanya vitendo vyote vya nyuma, tunapokea ujumbe unaofanana kabisa na ujumbe uliotumwa kwa seva. X, basi inachukuliwa kuwa kituo cha kubadilishana data salama kimewekwa kwa usahihi na iko tayari kikamilifu kufanya kazi na kufanya kazi zake.

8. Baadaye, wahusika wote wawili wanaanza kubadilishana ujumbe, ambao umetiwa saini kwa funguo za faragha za mtumaji na kusimbwa kwa njia fiche kwa ufunguo wa kipindi.

Mchoro wa algorithm ya uanzishaji wa uunganisho unaonyeshwa kwenye Mtini. 2.

Algorithm ya kuandaa ujumbe wa kutumwa kwa kituo salama

Uundaji wa shida ni kama ifuatavyo: ingizo la algorithm ni maandishi ya asili (wazi), na kwa matokeo, kupitia mabadiliko ya kriptografia, tunapata faili iliyofungwa na iliyosainiwa. Kazi kuu iliyopewa algorithm hii ni kuhakikisha usambazaji wa maandishi salama na kutoa ulinzi katika kituo kisicholindwa.

Ni muhimu pia kutambulisha uwezo wa kuzuia ufichuzi wa habari wakati ujumbe umeingiliwa na mshambulizi. Mtandao umefunguliwa; mtumiaji yeyote kwenye mtandao huu anaweza kuingilia ujumbe wowote unaotumwa kupitia kiungo cha data. Lakini kutokana na ulinzi wa asili katika algorithm hii, data iliyopatikana na mshambuliaji itakuwa bure kabisa kwake.

Kwa kawaida, ni muhimu kutoa fursa ya kufungua kwa utafutaji kamili, lakini basi ni muhimu kuzingatia muda uliotumika kwenye ufunguzi, ambao umehesabiwa kwa njia inayojulikana, na kutumia urefu unaofaa unaohakikisha kutofichua. ya habari wanayoshughulikia kwa muda fulani.

Pia kuna uwezekano kwamba katika mwisho mwingine wa kituo (upande wa kupokea) kulikuwa na mshambuliaji ambaye alichukua nafasi ya mwakilishi wa kisheria. Shukrani kwa algorithm hii, ujumbe ambao huanguka kwa urahisi mikononi mwa mshambuliaji kama huyo pia "hauwezi kusoma", kwani spoofer hajui funguo za umma na za kibinafsi za chama ambacho amekiharibu, pamoja na ufunguo wa kikao.

Algorithm inaweza kutekelezwa kama ifuatavyo (Mchoro 3):

maandishi ya chanzo yanasisitizwa kwa kutumia algorithm ya ZIP;

sambamba na mchakato huu, maandishi chanzo yametiwa saini na ufunguo wa umma wa mpokeaji;

maandishi yaliyobanwa yamesimbwa kwa njia fiche ufunguo wa ulinganifu kikao, ufunguo huu pia uko kwenye upande wa kupokea;

huongezwa kwa maandishi yaliyosimbwa na kushinikizwa saini ya kidijitali, ambayo humtambulisha mtumaji kwa njia ya kipekee;

ujumbe uko tayari kutumwa na unaweza kupitishwa kupitia chaneli ya mawasiliano.

Algorithm ya kuchakata ujumbe unapopokelewa kutoka kwa kituo salama

Ingizo la algorithm limesimbwa, limebanwa na kusainiwa maandishi, ambayo tunapokea kupitia njia ya mawasiliano. Kazi ya algorithm ni kupata, kwa kutumia mabadiliko ya kriptografia ya kinyume, maandishi ya awali, kuthibitisha ukweli wa ujumbe na uandishi wake.

Kwa sababu kazi kuu mifumo - tengeneza kituo salama kwenye mistari ya mawasiliano isiyo salama, kila ujumbe hupitia mabadiliko ya nguvu na hubeba taarifa zinazohusiana na udhibiti na usimamizi. Mchakato wa kubadilisha maandishi asilia pia unahitaji muda mrefu wa ubadilishaji na hutumia algoriti za kisasa za kriptografia zinazohusisha utendakazi kwa idadi kubwa sana.

Iwapo unataka kuhakikisha ulinzi wa juu zaidi kwa upitishaji wa ujumbe kwenye chaneli salama, itabidi ugeukie utendakazi unaotumia muda mwingi na unaotumia rasilimali nyingi. Ingawa tunapata usalama, tunapoteza kasi ya kuchakata ujumbe unaotumwa.

Kwa kuongeza, ni muhimu kuzingatia muda na gharama za mashine kwa ajili ya kudumisha uaminifu wa mawasiliano (uthibitisho na vyama vya kila mmoja) na kwa kubadilishana habari za udhibiti na usimamizi.

Algorithm ya kuchakata ujumbe unapopokea kutoka kwa kituo salama (Mchoro 4):

sahihi ya dijiti inatolewa kutoka kwa ujumbe uliopokelewa uliosimbwa, uliobanwa na kutiwa saini;

maandishi bila saini ya dijiti yanasimbwa kwa ufunguo wa kipindi;

maandishi yaliyotengwa hupitia utaratibu wa kufungua kwa kutumia, kwa mfano, algorithm ya ZIP;

maandishi yaliyopatikana kutokana na shughuli mbili zilizopita hutumiwa kuthibitisha saini ya digital ya ujumbe;

Katika matokeo ya algorithm tunayo ujumbe wa awali wazi na matokeo ya uthibitishaji wa saini.

Algorithm ya saini ya ujumbe

Hebu tuangalie kwa karibu kanuni ya kusaini ujumbe. Tutaendelea kutoka kwa dhana kwamba funguo zote za umma na za kibinafsi za pande zote mbili zinazobadilishana data tayari zimetolewa na funguo za kibinafsi zimehifadhiwa na wamiliki wao wa karibu, na funguo za umma zinatumwa kwa kila mmoja.

Kwa kuwa maandishi chanzo yanaweza kuwa na saizi isiyo na kikomo na kila wakati isiyo ya mara kwa mara, na algoriti ya saini ya dijiti inahitaji kizuizi cha data cha urefu fulani usiobadilika kwa uendeshaji wake, thamani ya utendakazi wa heshi kutoka kwa maandishi haya itatumika kubadilisha maandishi yote. kwenye onyesho lake la urefu ulioamuliwa mapema. Matokeo yake, tunapata maonyesho ya maandishi kutokana na mali kuu ya kazi ya hashi: ni njia moja, na haitawezekana kurejesha maandishi ya awali kutoka kwa maonyesho yaliyotokana. Haiwezekani kimaadili kuchagua maandishi yoyote ambayo thamani ya utendaji wa heshi ingeambatana na ile iliyopatikana hapo awali. Hii hairuhusu mshambuliaji kuchukua nafasi ya ujumbe kwa urahisi, kwa kuwa thamani ya kazi yake ya heshi itabadilika mara moja, na saini iliyothibitishwa haitalingana na kiwango.

Ili kupata thamani ya kazi ya hashi, unaweza kutumia algoriti za hashi zinazojulikana ( SHA, MD4, MD5, GOST nk), ambayo hukuruhusu kupata kizuizi cha data cha urefu uliowekwa kwenye pato. Ni kwa kizuizi hiki ambapo algorithm ya saini ya dijiti itafanya kazi. Algorithms inaweza kutumika kama algoriti ya saini ya kielektroniki ya dijiti DSA, RSA, El Gamal na nk.

Hebu tueleze algorithm ya saini ya ujumbe hatua kwa hatua (Mchoro 5):

pembejeo ya algorithm ya jumla ni maandishi ya chanzo ya urefu wowote;

thamani ya kazi ya heshi kwa maandishi yaliyotolewa imehesabiwa;

EDS;

kwa kutumia data iliyopokelewa, thamani imehesabiwa EDS maandishi yote;

Katika pato la algorithm, tuna saini ya dijiti ya ujumbe, ambayo hutumwa kuunganishwa kwenye pakiti ya habari iliyotumwa kwa kituo cha kubadilishana data.

Algorithm ya uthibitishaji wa saini

Kanuni hupokea vipengele viwili kama ingizo: maandishi asilia ya ujumbe na saini yake ya dijiti. Zaidi ya hayo, maandishi chanzo yanaweza kuwa na saizi isiyo na kikomo na kila wakati tofauti, lakini saini ya dijiti huwa na urefu uliowekwa. Kanuni hii hupata utendaji wa heshi wa maandishi, hukokotoa saini ya dijiti na kuilinganisha na taarifa iliyopokelewa kama ingizo.

Katika matokeo ya algorithm tunayo matokeo ya kuangalia saini ya dijiti, ambayo inaweza kuwa na maadili mawili tu: "saini inalingana na asili, maandishi ni halisi" au "saini ya maandishi si sahihi, uadilifu, uhalisi au uandishi wa ujumbe ni wa kutiliwa shaka." Thamani ya pato ya algoriti hii inaweza kutumika zaidi katika mfumo salama wa usaidizi wa kituo.

Hebu tueleze kanuni ya kuangalia saini ya ujumbe kwa nukta (Mchoro 6):

pembejeo ya algorithm ya jumla ni maandishi ya chanzo ya urefu wowote na saini ya dijiti ya maandishi haya ya urefu uliowekwa;

thamani ya kazi ya heshi kutoka kwa maandishi yaliyotolewa imehesabiwa;

maonyesho ya maandishi yanayotokana ya urefu uliowekwa huingia kizuizi cha usindikaji cha algorithmic kinachofuata;

saini ya dijiti iliyokuja kama pembejeo ya algorithm ya jumla inatumwa kwa kizuizi sawa;

pia pembejeo ya kizuizi hiki (hesabu ya saini ya dijiti) inapokea ufunguo wa siri (wa kibinafsi), ambao hutumiwa kupata EDS;

kwa kutumia data iliyopokelewa, thamani ya saini ya digital ya elektroniki ya maandishi yote imehesabiwa;

tulipokea saini ya dijiti ya ujumbe, tukilinganisha na EDS, iliyopokelewa kama ingizo la algorithm ya jumla, tunaweza kupata hitimisho juu ya kuegemea kwa maandishi;

Katika matokeo ya algorithm tuna matokeo ya kuangalia saini ya dijiti.

Mashambulizi yanayowezekana kwenye mpango uliopendekezwa wa kutekeleza njia salama ya mawasiliano

Hebu tuangalie mifano ya kawaida ya mashambulizi iwezekanavyo kwenye njia salama ya maambukizi ya data.

Kwanza, unahitaji kuamua nini na ni nani unaweza kuamini, kwa sababu ikiwa hutumaini mtu yeyote au kitu chochote, basi hakuna maana ya kuandika mipango hiyo ili kusaidia kubadilishana data kwenye mtandao wa kimataifa.

Tunajiamini wenyewe, pamoja na programu iliyowekwa kwenye kituo cha kazi.

Inapotumiwa kuanzisha muunganisho na seva ya kivinjari ( Internet Explorer au Netscape Navigator), tunaamini kivinjari hiki na tunakiamini kuwa kitathibitisha vyeti vya tovuti tunazotembelea.

Baada ya kuangalia saini kwenye applet unaweza kuamini SAWA, ambayo imepachikwa kwenye data au programu (applets) zilizopakuliwa kutoka kwa seva.

Kumiliki SAWA, ambayo tunaamini, tunaweza kuanza kazi zaidi na seva.

Ikiwa mfumo umejengwa kwa kutumia programu za mteja, basi lazima uamini programu ya mteja iliyowekwa. Kisha, kwa kutumia mlolongo sawa na hapo juu, tunaweza kuamini seva ambayo uunganisho umeanzishwa.

Mashambulizi yanayowezekana.

1. Baada ya uhamisho SAWA. Kimsingi, inapatikana kwa kila mtu, kwa hivyo haitakuwa ngumu kwa mshambuliaji kuizuia. Kumiliki SAWA, kinadharia inawezekana kuhesabu ZKS. Ni muhimu kutumia funguo za siri za urefu wa kutosha ili kudumisha usiri kwa muda fulani.

2. Baada ya uhamisho kutoka kwa seva SAWA na kabla ya mteja kutuma yake OKC Na KS. Ikiwa katika kizazi chao ( OKC, ZKK Na KS) jenereta dhaifu hutumiwa nambari za nasibu, unaweza kujaribu kutabiri zote tatu vigezo maalum au yeyote kati yao.

Ili kurudisha shambulio hili, inahitajika kutoa nambari za nasibu ambazo zinakidhi mahitaji kadhaa. Haiwezekani, kwa mfano, kutumia kipima muda kutengeneza nambari za nasibu, kwani mshambuliaji, baada ya kukamata ujumbe wa kwanza ( SAWA kutoka kwa seva), inaweza kuweka wakati wa kutuma pakiti kwa usahihi wa sekunde. Ikiwa kipima muda kitawaka kila millisecond, basi utafutaji kamili wa thamani 60,000 pekee (60 s _ 1000 ms) unahitajika ili kuifungua.

Ili kutengeneza nambari za nasibu, ni muhimu kutumia vigezo ambavyo haviwezi kufikiwa na mshambuliaji (kompyuta yake), kwa mfano, nambari ya mchakato au vigezo vingine vya mfumo (kama vile. nambari ya kitambulisho mfafanuzi).

3. Wakati wa kusambaza pakiti iliyo na OKC, KS, X, iliyosimbwa SAWA. Ili kufichua habari iliyozuiliwa, lazima uwe nayo ZKS. Shambulio hili inakuja kwa shambulio lililojadiliwa hapo juu (uteuzi ZKS) Kwa yeye mwenyewe Maelezo yaliyofungwa, iliyotumwa kwa seva, haina maana kwa mshambuliaji.

4. Wakati wa kutuma ujumbe wa majaribio kutoka kwa seva hadi kwa mteja X, iliyosimbwa KS Na OKC na kusainiwa ZKS. Ili kusimbua ujumbe ulioingiliwa, unahitaji kujua na OKC, Na KS, ambayo itajulikana ikiwa moja ya mashambulizi hapo juu yatatekelezwa baada ya adui kufahamu ZKS.

Lakini kusimbua ujumbe wa jaribio hakuogopi sana; hatari kubwa zaidi ni uwezekano wa kughushi ujumbe unaotumwa, wakati mshambulizi anaweza kuiga seva. Kwa hili anahitaji kujua ZKS kusaini kwa usahihi kifurushi na funguo zote KS Na OKC, kama ujumbe wenyewe X ili kutunga kwa usahihi kifurushi cha kughushi.

Ikiwa mojawapo ya pointi hizi imekiukwa, mfumo unachukuliwa kuwa umeathirika na hauwezi kutoa zaidi kazi salama mteja.

Kwa hiyo, tuliangalia mashambulizi ambayo yanawezekana katika hatua ya kutekeleza utaratibu wa "handshake" (HandShake). Hebu tueleze mashambulizi ambayo yanaweza kutekelezwa wakati wa usambazaji wa data kwenye kituo chetu.

Wakati wa kuingilia habari, mshambuliaji anaweza kusoma maandishi wazi ikiwa anajua tu KS. Mshambulizi anaweza kutabiri au kukisia kwa kujaribu kabisa thamani zake zote zinazowezekana. Hata kama adui anajua ujumbe huo (yaani, anajua wazi jinsi maandishi wazi yanavyofanana na nambari aliyoikamata), hataweza kuamua bila ubishi ufunguo wa usimbuaji kwa sababu maandishi yamewekwa chini ya kanuni ya ukandamizaji.

Pia haiwezekani kutumia shambulio la "kuvuta neno linalowezekana", kwani neno lolote litaonekana tofauti katika kila ujumbe. Kwa sababu uwekaji kwenye kumbukumbu unahusisha kuchanganya taarifa, sawa na kile kinachotokea wakati wa kukokotoa thamani ya heshi, maelezo ya awali huathiri jinsi safu inayofuata ya data itakavyokuwa.

Kutoka kwa kile kilichoelezwa kinafuata kwamba kwa hali yoyote, mshambuliaji anaweza tu kutumia mashambulizi kulingana na utafutaji wa kina wa maadili yote muhimu iwezekanavyo. Ili kuongeza upinzani kwa aina hii ya mashambulizi, ni muhimu kupanua aina mbalimbali za maadili KS. Unapotumia kitufe cha 1024-bit, anuwai ya maadili yanayowezekana huongezeka hadi 2 1024 .

Ili kuandika au kubadilisha ujumbe unaotumwa kupitia chaneli ya mawasiliano, mshambulizi anahitaji kujua funguo za faragha za pande zote mbili zinazoshiriki katika kubadilishana au kujua moja kati ya mbili. funguo za kibinafsi (ZK) Lakini katika kesi hii, ataweza kuunda ujumbe kwa mwelekeo mmoja tu, kulingana na nani ZK anajua. Anaweza kutenda kama mtumaji.

Wakati wa kujaribu kudanganya wahusika wowote, ambayo ni, wakati wa kujaribu kuiga mshiriki wa kisheria katika ubadilishanaji baada ya kuanzisha kikao cha mawasiliano, anahitaji kujua. KS Na ZK(angalia kesi zilizojadiliwa hapo awali). Ikiwa sivyo KS, wala ZK mtu ambaye mahali pake anataka kuunganisha kwenye kituo cha mawasiliano haijulikani kwa mshambuliaji, basi mfumo utajua mara moja kuhusu hilo, na kazi zaidi na chanzo kilichoathirika kitaacha.

Mwanzoni mwa kazi, wakati wa kuunganisha kwenye seva, shambulio lisilo na maana linawezekana: kuharibu seva ya DNS. Haiwezekani kujikinga nayo. Suluhisho la tatizo hili ni wajibu wa wasimamizi wa seva za DNS zinazosimamiwa na watoa huduma za mtandao. Kitu pekee kinachoweza kukuokoa ni utaratibu ulioelezwa hapo juu wa kuangalia cheti cha tovuti na kivinjari, kuthibitisha kwamba muunganisho ulifanywa kwa seva inayotaka.

Hitimisho

Nakala hiyo ilijadili mbinu za kuunda chaneli salama ya upitishaji data ili kuhakikisha mwingiliano kati ya mifumo iliyosambazwa ya kompyuta ya shirika.

Itifaki imeundwa kwa ajili ya kuanzisha na kudumisha muunganisho salama. Kanuni za kuhakikisha ulinzi wa utumaji data zinapendekezwa. Udhaifu unaowezekana wa mpango wa mwingiliano uliotengenezwa unachambuliwa.

Teknolojia sawa ya kuandaa miunganisho salama imeandaliwa na itifaki mitandao SSL. Kwa kuongeza, mitandao ya kibinafsi ya kibinafsi (VPN) imejengwa kulingana na kanuni zilizopendekezwa.

FASIHI

1. Medvedovsky I. D., Semyanov P. V., Platonov V. V. Mashambulizi kwenye mtandao. - St. Petersburg: Nyumba ya kuchapisha "DMK" 1999. - 336 p.

2. Karve A. Miundombinu muhimu ya umma. LAN/Journal of Network Solutions (toleo la Kirusi), 8, 1997.

3. Melnikov Yu. N. Sahihi ya digital ya umeme. Uwezo wa ulinzi. Siri namba 4 (6), 1995, p. 35–47.

4. Terenin A. A., Melnikov Yu. N. Uundaji wa kituo salama kwenye mtandao. Nyenzo za semina "Usalama wa Habari - Kusini mwa Urusi", Taganrog, Juni 28-30, 2000.

5. Terenin A. A. Maendeleo ya algorithms kwa ajili ya kujenga channel salama katika mtandao wazi. Automation na teknolojia za kisasa. - Nyumba ya uchapishaji "Jengo la Mashine", No. 6, 2001, p. 5–12.

6. Terenin A. A. Uchambuzi wa mashambulizi iwezekanavyo kwenye njia salama katika mtandao wazi, iliyoundwa kwa utaratibu. Nyenzo za Mkutano wa XXII wa Wanasayansi Vijana wa Kitivo cha Mechanics na Hisabati cha Chuo Kikuu cha Jimbo la Moscow, Moscow,Aprili 17–22, 2000.

Kazi ya kutekeleza mtandao wa ushirika wa kampuni ndani ya jengo moja inaweza kutatuliwa kwa urahisi. Walakini, leo miundombinu ya kampuni ina idara zilizosambazwa kijiografia za kampuni yenyewe. Utekelezaji wa mtandao salama wa ushirika katika kesi hii ni kazi ngumu zaidi. Katika hali kama hizi, seva salama za VPN hutumiwa mara nyingi.

Wazo la kujenga mitandao salama ya VPN

Wazo la kuunda mitandao ya mtandaoni ya VPN ni wazo rahisi- ikiwa kuna nodi 2 katika mtandao wa kimataifa zinazohitaji kubadilishana data, basi lazima iundwe handaki salama ya mtandaoni kati yao ili kuhakikisha uadilifu na usiri wa data inayotumwa kupitia mitandao iliyo wazi.

Dhana ya msingi na kazi za mtandao wa VPN

Wakati kuna uhusiano kati ya mtandao wa ndani wa shirika na mtandao, aina mbili hutokea:

• ufikiaji usioidhinishwa wa rasilimali za mtandao wa ndani kupitia kuingia
• ufikiaji usioidhinishwa wa habari wakati unapitishwa mtandao wazi Mtandao

Ulinzi wa data wakati wa uwasilishaji kwenye chaneli zilizo wazi unategemea utekelezaji wa mitandao salama ya VPN. Mtandao salama wa VPN ni muunganisho kati ya mitandao ya ndani na Kompyuta binafsi kupitia mtandao wazi hadi kwenye mtandao mmoja mtandao wa ushirika. Mtandao wa VPN unaruhusu kutumia vichuguu vya VPN kuunda miunganisho kati ya ofisi, matawi na watumiaji wa mbali, wakati wa kusafirisha data kwa usalama (Mchoro 1).

Picha 1

Njia ya VPN ni muunganisho unaopitia mtandao wazi ambapo pakiti za data zilizolindwa kwa njia fiche husafirishwa. Ulinzi wa data wakati wa uwasilishaji kupitia handaki ya VPN inatekelezwa kulingana na kazi zifuatazo:

• usimbaji fiche wa data iliyosafirishwa
• uthibitishaji wa mtumiaji mtandao pepe
• kuangalia uadilifu na uhalisi wa data zinazopitishwa

Mteja wa VPN ni programu au vifaa changamano vinavyofanya kazi kwa misingi kompyuta binafsi. Programu yake ya mtandao inarekebishwa ili kutekeleza usimbaji fiche na uthibitishaji wa trafiki.

Seva ya VPN- inaweza pia kuwa programu au vifaa tata vinavyotekelezea kazi za seva. Inalinda seva kutoka kwa ufikiaji usioidhinishwa kutoka kwa mitandao mingine, na pia kupanga mtandao wa kawaida kati ya wateja, seva na lango.

Lango la Usalama la VPN — kifaa cha mtandao, huunganisha kwenye mitandao 2 na kutekeleza uthibitishaji na usimbaji fiche kwa wapangishi wengi nyuma yake.

Kiini cha tunnel ni kujumuisha (pakiti) data ndani kifurushi kipya. Pakiti ya itifaki ya kiwango cha chini imewekwa kwenye uwanja wa data wa pakiti ya itifaki ya kiwango cha juu au sawa (Mchoro 2). Mchakato wa usimbaji yenyewe haulinde dhidi ya kuchezewa au ufikiaji usioidhinishwa; hulinda usiri wa data iliyoambatanishwa.

Kielelezo - 2

Wakati pakiti inafika mwisho chaneli pepe pakiti ya chanzo cha ndani hutolewa kutoka humo, imechapishwa na kutumika zaidi kwenye mtandao wa ndani (Mchoro 3).

Kielelezo - 3

Ufungaji pia hutatua tatizo la mgogoro kati ya anwani mbili kati ya mitandao ya ndani.

Chaguzi za kuunda vituo salama vya mtandaoni

Wakati wa kuunda VPN, kuna njia mbili maarufu (Mchoro 4):

• njia salama kati ya mitandao ya ndani (LAN-LAN channel)
• chaneli salama kati ya mtandao wa ndani na mwenyeji (kituo cha mteja-LAN)

Kielelezo - 4

Njia ya kwanza ya uunganisho inakuwezesha kuchukua nafasi ya njia za gharama kubwa za kujitolea kati ya nodi tofauti na kuunda njia salama zinazoendelea kati yao. Hapa, lango la usalama hutumika kama kiolesura kati ya mtandao wa ndani na handaki. Biashara nyingi hutekeleza aina hii ya VPN ili kubadilisha au kukamilisha .

Mzunguko wa pili unahitajika kuunganisha kwa watumiaji wa simu au wa mbali. Uundaji wa tunnel huanzishwa na mteja.

Kutoka kwa mtazamo wa usalama wa habari, zaidi chaguo bora ni njia salama kati ya miisho ya muunganisho. Hata hivyo, chaguo hili husababisha ugatuaji wa usimamizi na upungufu wa rasilimali, kwa sababu unahitaji kufunga VPN kwenye kila kompyuta kwenye mtandao. Ikiwa mtandao wa ndani ambao ni sehemu ya mtandao wa kawaida hauhitaji ulinzi wa trafiki, basi hatua ya mwisho kwenye upande wa mtandao wa ndani inaweza kuwa router ya mtandao huo.

Mbinu za Utekelezaji wa Usalama wa VPN

Wakati wa kuunda mtandao salama wa mtandaoni, VPN inamaanisha kuwa habari iliyopitishwa itakuwa na vigezo habari iliyolindwa, yaani: usiri, uadilifu, upatikanaji. Usiri hupatikana kwa kutumia mbinu za usimbaji fiche zisizolinganishwa na linganifu. Uadilifu wa data iliyosafirishwa hupatikana kwa kutumia . Uthibitishaji unapatikana kwa kutumia manenosiri ya mara moja/yanayoweza kutumika tena, vyeti, kadi mahiri, itifaki.

Ili kutekeleza usalama wa habari iliyosafirishwa katika mitandao salama ya mtandao, ni muhimu kutatua matatizo yafuatayo ya usalama wa mtandao:

• uthibitishaji wa pande zote wa watumiaji wakati wa kuunganishwa
• utekelezaji wa usiri, uhalisi na uadilifu wa data iliyosafirishwa
• udhibiti wa ufikiaji
• usalama wa mzunguko wa mtandao na
• usimamizi wa usalama wa mtandao

Suluhisho za VPN za kuunda mitandao salama

Uainishaji wa mitandao ya VPN

Takriban aina zote za trafiki zinaweza kutekelezwa kwa misingi ya mtandao wa kimataifa. Kula mipango mbalimbali Uainishaji wa VPN. Mpango wa kawaida una vigezo 3 vya uainishaji:

• safu ya uendeshaji ya mfano wa OSI
• usanifu ufumbuzi wa kiufundi VPN
• Mbinu ya utekelezaji wa kiufundi wa VPN

Salama chaneli- kituo kati ya nodi mbili za mtandao, kando ya njia maalum ya kawaida. Kituo kama hicho kinaweza kutengenezwa kwa kutumia mbinu za mfumo, kulingana na tabaka tofauti za mfano wa OSI (Mchoro 5).

Kielelezo - 5

Unaweza kugundua kuwa VPN zinaundwa kwa viwango vya chini kabisa. Sababu ni kwamba chini chini kwenye safu njia salama za kituo zinatekelezwa, ni rahisi zaidi kuzitekeleza kwa uwazi kwa programu. Katika kiungo cha data na tabaka za mtandao, programu hazitegemei tena itifaki za usalama. Ikiwa itifaki kutoka kwa viwango vya juu inatekelezwa ili kulinda habari, basi njia ya ulinzi haitegemei teknolojia ya mtandao, ambayo inaweza kuchukuliwa kuwa pamoja. Walakini, programu inakuwa tegemezi kwa itifaki maalum ya usalama.

VPN safu ya kiungo . Mbinu katika kiwango hiki hukuruhusu kujumuisha trafiki ya kiwango cha tatu (na juu zaidi) na kuunda vichuguu pepe vya kumweka-kwa-uhakika. Hizi ni pamoja na bidhaa za VPN kulingana na .

Safu ya mtandao ya VPN. Bidhaa za VPN za kiwango hiki hutekeleza usimbaji wa IP-to-IP. Kwa mfano, wanatumia itifaki.

VPN ya safu ya kikao. Baadhi ya VPN hutekeleza mbinu ya "akala wa kituo", ambayo hufanya kazi juu ya safu ya usafiri na kupeleka trafiki kutoka kwa mtandao unaolindwa hadi mtandao wa umma Mtandao kwa kila tundu tofauti.

Uainishaji wa VPN kulingana na usanifu wa suluhisho la kiufundi

Imegawanywa katika:

• VPN za ndani ya kampuni - zinahitajika kutekeleza kazi salama kati ya idara ndani ya kampuni
• VPN yenye ufikiaji wa mbali - inahitajika kutekeleza ufikiaji salama wa mbali kwa rasilimali za habari za shirika
• VPN za kampuni - zinahitajika kati ya katika sehemu tofauti biashara zilizotawanyika kijiografia

Uainishaji wa VPN kwa mbinu ya utekelezaji wa kiufundi

Imegawanywa katika:

• VPN inayotegemea kisambaza data - kazi za ulinzi huanguka kwenye kifaa cha kipanga njia
• Msingi wa VPN firewalls- kazi za ulinzi huanguka kwenye kifaa cha ngome
• VPN kulingana na suluhu za programu - programu hutumiwa ambayo inashinda katika kunyumbulika na kubinafsisha, lakini inapoteza matokeo.
• VPN kulingana na vifaa maalum vya vifaa - vifaa ambapo usimbaji fiche unatekelezwa na chips maalum tofauti, kutekeleza utendaji wa juu kwa pesa nyingi