Авторские статьи Шифрование и защита в сети

Discussion in 'Статьи' started by yeti, 25 Mar 2007.

  1. yeti

    yeti Elder - Старейшина

    Joined:
    27 Dec 2006
    Messages:
    179
    Likes Received:
    234
    Reputations:
    346
    Шифрование и защита в сети

    Согласно данным исследований, проводимых wardriver'ами в различных городах мира, количество сетей беспроводного доступа, в которых не применяется никаких методов шифрования трафика, составляет около 70%. Если вы сами о себе не позаботитесь - это не сделает никто! Поэтому начинаем.


    Шифрование VoIP-траффа

    Мы рассмотрим различные способы шифрования траффика. Начну я с самого простого - шифрование VoIP-траффа. Добиться шифрования можно с помощью Zfone, PGP (Pretty Good Privacy). Это самые популярные и простые в использовании программы для шифрования голосовой информации. Кодирование происходит непосредственно на ПК пользователя безо всяких дополнительных серверов. Программа Zfone перехватывает VoIP-трафик на компьютере пользователя и «заворачивает» его в еще один слой защиты, а именно в собственный транспортный протокол ZRTP. Эта программа совместима и с Windows, и с Linux - что тоже очень большой плюс.
    Криптографическая зашита VoIP-трафика — это очень важная задача, потому что каналы интернета гораздо хуже защищены, чем традиционные телефонные сети. Фактически, в интернете можно подключаться к другим разговорам и осуществлять прослушку в несколько нажатий кнопки мыши. Но об этом в другой статье.

    Защити себя в IRC

    В ирке тоже следует обращать внимание на безопасность. Хоть это и достаточно надежный клиент, но не лучше очередного Web-чата. В Ирц достаточно большой проблемой является - открытый IP-адрес. В русских сетях софт снабжен фильтром адреса при наличии у клиента флага +x. Айпишник представляется в виде четырех частей, две из которых имеют правдивый вид, третья – специальное число, а последняя – определенная приписка с цифровым коэффициентом. Есть декодеры, которые превращают все это в реальный IP-адрес. Как этого избежать?
    Можно сделать это старыми проверенными методами. Самый распространенный способ - создание туннеля через сторонний сервер. В туннелировании трафика тебе помогут специальные сервисы, как например: proxy, socks, BNC и т.п., самый популярный из которых является прокси. Расскажу подробней про IRC-прокси.
    Итак, IRC-прокси полностью эмулирует ircd-сервер (иначе никак: следует добиться совместимости с клиентом). После соединения прокси запрашивает пароль и соединяется с настоящим IRC-сервером. Впрочем, соединение как таковое происходит всего один раз – после дисконнекта пользователя баунсер остается в вечном онлайне. Таким образом, польза от psyBNC – сокрытие IP-адреса и вечный онлайн в IRC. Против сниффинга в Ирц может помочь Enygma Crypt, которая зашифрует все сообщения методом cast128. Но минус с том, что слишком большие сообщения могут пропускаться. ( скачать можно тут: http://enigma.belland.org.uk/enigmacrypt.zip)
    Баунсер также поддерживает шифрование трафика. Достаточно лишь набрать команду “/ENCRYPT пароль :канал|ник”, и все твои фразы будут шифроваться методом BlowFish. Однако шифрование происходит лишь после того, как клиент отошлет сообщение на сервер. Это большой минус - трафф можно перехватить. На помощь приходит поддержка SSL-соединения, при котором данные будут передаваться по защищенному соединению, а затем шифроваться.

    Стандарт GSM по праву считается одним из самых безопасных стандартов сотовой связи. Но и он не защищен от несанкционированного доступа и создания преднамеренных радиопомех. Как же защититься от этого?
    В стандарте GSM все операторы используют шифрование, кроме тех стран, где это запрещено законом. Но и это не всегда является помехой. Есть такая интересная технология защиты: «frequency hopping» (прыжки по частотам), что позволяет в течение телефонного разговора снизить возможность прослушки до минимума.. То есть за счет автоматических скачков по частотам (в рамках выделенной оператору частоты) позволяет более плотно заполнять частотный диапаон, что позволяет более рационально использовать сеть. Ведь вы же не будете гоняться по частотам???

    IP security

    Протокол IP так хорошо распространен неслучайно.. Гибкость и способность взаимодействовать между платформами разного типа дают ему огромный плюс в развитии, но создатели не продумали эффективную защиту сетей на данной базе. И в 1993 году была создана группа IP Security Working Group, что занималась разработкой протоколов для шифрования данных. В итоге, появился набор протоколов IPsec.Как только обнаружили проблему безопасности, практически сразу стали появляться и средства защиты. Например: PGP/Web-of-Trust для шифрования сообщений электронной почты, Secure Sockets Layer (SSL) для защиты Web-трафика, Secure SHell (SSH) для защиты сеансов telnet и процедур передачи файлов. Но их недостаток - привязка к типу приложений, поэтому такая защита не может быть универсальной. Система защиты должна действовать вать на сетевом уровне OSI. Но транспортировка данных по сети не может быть произведена в обход протокола IP. Поэтому у всех сетевых приложений должна быть аналогичная система защиты.. Раз архитектура IPSec совместима с протоколом IPv4, ее поддержку достаточно обеспечить на обоих концах соединения; промежуточные сетевые узлы могут вообще ничего «не знать» об IPSec.

    Наиболее распространенные уязвимости IP-сетей для несанкционированного вторжения это:
    * подмена IP-адреса отправителя другим адресом (IP spoofing)
    * перехват сеанса (session hijacking)
    * посредничество в обмене незашифрованными ключами (man-in-the-middle).
    * перехват пароля, передаваемого по сети в незашифрованной форме, путем «прослушивания» канала (password sniffing)

    И своеобразные способы защиты. То есть:
    * Это может быть протокол аутентификации, который позволяет удостовериться в подлинности отправителя и целостности принятых данных.
    * Можно использовать протокол Encapsulated Security Payload (ESP), что отвечает за шифрование содержимого отдельных пакетов (и даже некоторых IP-адресов, передаваемых в их составе)
    * может быть использован протокол обмена ключами (IKE), предназначенный для защищенного обмена ключами.

    ПО вышепредставленных протоколов чаще всего устанавливают на маршрутизаторах или брандмауэрах (security gateway). В соответствии с этим различают два режима использования протоколов IPSec — транспортный и туннельный. В транспортном режиме зашифрованные данные транспортируются непосредственно между хост-компьютерами, но защита распространяется только на пакеты четвертого и вышележащих уровней. В тонельном же режиме, основная роль отводится шлюзам безопасности, но серверы (предполагается) отправляют в сеть обычный IP-трафф. Поэтому сначала пакет попадет шлюз и зашифровывается, снабжается новым IP-заголовком и после идет в сеть. А противоположный шлюз уже дешифрует его и передает в конечную точку в изначальном виде. Тунеллирование позволяет применять защиту на сетевом уровне модели OSI, также скрывает истинные IP-адреса, для уменьшения риска атак.
    Шифрование могут обеспечить такие программы как Webtunnel и аналогичные ей.

    В следующей статье я расскажу вам о том, как можно осуществлять прослушку голосового траффика. (если руки дойдут) Чтобы этого не допустить - шифруйтесь.
     
    10 people like this.
  2. GreenBear

    GreenBear наркоман с медалью

    Joined:
    7 May 2005
    Messages:
    2,547
    Likes Received:
    1,398
    Reputations:
    612
    молодец. но я думаю в след. раз надо ссылки на софт оставлять прямые )
     
  3. cardons

    cardons Elder - Старейшина

    Joined:
    19 Jul 2005
    Messages:
    778
    Likes Received:
    324
    Reputations:
    83
    мда уж. Нече интересного неузнал. Ссылок на софт нету. Так же нафиг было писать про Gsm если все равно что там написано в домашних условиях незделаешь. Так же непойму почему в примере тока Irc есть еще другие аналоги(хотябы Dc++). Но + за старания можно поставить.
     
  4. yeti

    yeti Elder - Старейшина

    Joined:
    27 Dec 2006
    Messages:
    179
    Likes Received:
    234
    Reputations:
    346
    Хех.. спасибо. исправлюсь.. Учту пожелания.. )
     
    3 people like this.
  5. teab0t

    teab0t New Member

    Joined:
    12 Jul 2009
    Messages:
    3
    Likes Received:
    0
    Reputations:
    0
    а можно подробней раскрыть тему IPsec с практическими примерами? что писать в командной строке, чтобы зашифроваться? :)
     
  6. Bl1Zz

    Bl1Zz Elder - Старейшина

    Joined:
    5 Sep 2007
    Messages:
    43
    Likes Received:
    6
    Reputations:
    0
    ДА и насчет Gsm чисто интересно )
     
  7. ghostwizard

    ghostwizard Member

    Joined:
    4 Dec 2005
    Messages:
    127
    Likes Received:
    36
    Reputations:
    21
    Надо добавить что "прыжки по частотам" использует bluetooth по тем же причинам.
    Да, и можно было добавить про шифрование локальных файлов... так, чтобы статья была полной.

    2Bl1Zz

    Про GSM можно написать отдельно целую статью, да и еще с разных точек рассмотрения проблемы, начиная от математических алгоритмов и заканчивая готовыми устройствами для перехвата. Я в принципе и так знаю как там обстоят дела, но было бы интересно почитать в русском варианте :)
     
    #7 ghostwizard, 30 Jul 2009
    Last edited: 30 Jul 2009