1. Промислові мережі та інтеграційні
технології
Елементи мережного
захисту
реєстрація fieldbus_book@ukr.net
автор і лектор: Олександр Пупена (pupena_san@ukr.net)
зворотній зв’язок по курсу: Інтернет-форум АСУ в Україні (www.asu.in.ua)
16.06.2015 NET - Security pupena_san@ukr.net 1
2. Безпека в мережах
16.06.2015 NET - Security pupena_san@ukr.net 2
області проблем безпеки
- секретність(кнфіденційність): дані повинні бачити тільки авторизовані
користувачі
- аутентифікація: знати з ким відбувається обмін
- виконання обовязків: підписування повідомлень для гарантії виконань
- цілісність: дані не повинні бути підроблені сторонньою стороною
вирішується на всіх рівнях ISO OSI
- на фізичному: захист середовища передачі від
підключення (напр. в трубах з газом, падіння
тиску - тривога)
- канальний, мережний, транспортний:
шифрування, контрольна сума (тільки
цілісність), екрани (аналіз трафіку на підозрілі
пакети)
- прикладний: аутентифікація, електронний
підпис/печатка (виконання обов'язків)
Уровни OSI
Протокол
защищенного
канала
Прикладной
уровень
S/MIME
Уровень
представления
SSL, TLS
Сеансовый уровень PPTP
Транспортный
уровень
Сетевой уровень IPsec
Канальный уровень
Физический уровень
3. Шифрування
16.06.2015 NET - Security pupena_san@ukr.net 3
Шифр – посимвольне чи побітове перетворення що не залежить від
лінгвістичної структури повідомлення
DK1(EK2(P)) = P
P – незашифроване повідомлення; K1,К2 - ключі (key); E - метод шифрування,
D – метод дешифрування
Передбачається що зловмиснику відомий метод шифрування, невідомий ключ
дешифрування
4. Алгоритми з симетричним ключем (симетричний)
16.06.2015 NET - Security pupena_san@ukr.net 4
DK1(EK2(P)) = P DK(EK(P)) = P
К1=К2
Для шифрування та дешифрування той самий ключ (секретний ключ)
Алгоритми: DES, Triple DES, AES, Rijndael
Переваги: швидкість роботи алгоритмів, менша довжина ключа
Недоліки: проблема передачі секретного ключа, ключ треба часто змінювати
(запобігання злому)
5. Алгоритми з відкритим ключем (асиметричний)
16.06.2015 NET - Security pupena_san@ukr.net 5
DK1(EK2(P)) = P К1≠К2
К2 – відкритий ключ, для шифрування (доступний будь кому)
К1 – закритий ключ, для дешифрування (тримається в тайні)
вивід K1 з K2 практично не можливий
Алгоритми: RSA, DSA
Переваги: немає проблеми передачі ключа шифрування(відкритого), закритий
ключ відомий тільки одній стороні
Недоліки: складність та повільність алгоритмів (великі обчислювальні
ресурси), довгі ключі
6. Аутентифікація
16.06.2015 NET - Security pupena_san@ukr.net 6
Авторизація – чи має право даний коритсувач на певні дії (Авторизація ≠
аутентифкація )
Аутентифікація (ідентифікація) – процедура пересвідчення процесом в
тому, що його співбесідник саме той, за кого себе видає
7. IPsec
16.06.2015 NET - Security pupena_san@ukr.net 7
IPsec – стандарт безпеки, орієнтований на мережний рівень, в основному для
тунелювання (наприклад для VPN-тунелей)
• послуги: секретність, цілісність даних, захист від злому методом повторення
• симетричні методи шифрування, алгоритм вибирається (напр. DES, Triple DES)
• аутентифікація
• орієнтований на з'єднання (Security Aconnection — SA), по дві точки з'єднання
для дуплексної передачі
• два режими: транспортний та тунелювання
8. Протоколи SSL, TLS
16.06.2015 NET - Security pupena_san@ukr.net 8
SSL (Secure Sockets Layer, сьогодні актуальна 3-тя версія) -
протокол захищених сокетів, забезпечує захищене
з'єднання між двома сокетами, яке дозволяє:
• клієнту і серверу домовитися про параметри, що
використовуються
• провести аутентифікацію сервером клієнта
• організувати шифроване спілкування (алгоритм
вибирається)
• забезпечити захист цілісності даних
• стиснення даних
TLS (Transport Layer Security, захист транспортного
рівня) – більш новий протокол, створений на базі SSL3
• браузерами як правило підтримується обидва
SSL/TLS
• TLS сумісний з SSL але не навпаки
9. Ще багато чого…
16.06.2015 NET - Security pupena_san@ukr.net 9
• сертифікація
• цифрові підписи
• конфіденційність почтової переписки
• захист на рівні ОС
• захист на рівні пристроїв
• …
кіберзахист взагалі та кіберзахист в АСУТП зокрема
- є актуальними проблемами,
- але тут потрібна окрема дисципліна