Безопасность и Internet - статьи



         

Вопросы обеспечения безопасности - часть 8


  • Снижение общей пропускной способности сети. По опыту нашей компании, в случае использования в протоколах семейства IPSec сертифицированных криптоядер, снижение производительности составит ориентировочно от 20 до 30%.
  • В случае использования карманных компьютеров (PDA) и/или беспроводных IP-телефонов найти VPN агента и криптографическое ядро для этих аппаратных платформ, достаточно проблематично. Поэтому, на данном этапе будет правильным применить к этим устройствам доступа политику безопасности, исключающую их взаимодействие с конфиденциальными ресурсами в корпоративной сети.
  • Увеличение общей стоимости (включая и ТСО) решения.
  • Теперь, обсудив все основные вопросы, давайте, наконец, посмотрим как может выглядеть архитектура защищенной сети передачи данных с учетом всего вышесказанного - см. рисунок 2.

    1

    (www.wi-fi.com): Для сертификации оборудования беспроводных сетей на совместимость создана организация WECA (Wireless Ethernet Compatibility Alliance), присваивающая знак совместимости Wi-Fi (Wireless Fidelity) оборудованию, построенному в соответствии со спецификациями семейства стандартов 802.11 и прошедшему соответствующие тесты. На сегодня в альянс входит 207 компаний. Начиная с марта 2000 года, успешно прошли испытания и получили соответствующий сертификат Wi-Fi 611 продуктов.

    2 Более детально описание уязвимостей протокола WEP см. на http://www.isaac.cs.berkeley.edu/isaac/wep-faq.html

    3 Брюс Шнайер. Прикладная криптография, 2-е издание: протоколы, алгоритмы, исходные тексты на языке Си.Под редакцией П.В. Семьянова. М., Триумф, 2002

    4 См. например AT&T Labs Technical Report TD-4ZCPZZ "Using the Fluhrer, Mantin, and Shamir Attack to Break WEP" (доступно на http://www.cs.rice.edu/~astubble/wep/)

    5 См. например Scott R. Fluhrer, Itsik Mantin, Adi Shamir: Weaknesses in the Key Scheduling Algorithm of RC4. (доступно на www.cs.umd.edu/~waa/class-pub/rc4_ksaproc.pc)

    6 EAP (Extensible Authentication Protocol) - расширяемый протокол аутентификации позволяет проводить аутентификацию на основе: одноразовых паролей (OTP - one-time passwords), токенов, цифровых сертификатов, смарт-карт, протокола Kerberos. Стандарт 802.1х определяет инкапсуляцию EAP во фреймы сети. Протокол EAP определен в RFC №2284 (см. www.ietf.org/rfc/rfc2284.txt).

    7 См. Arunesh Mishra, William A. Arbaugh "An Initial Security Analysis of the IEEE 802.1x Standart" (доступно на http://www.cs.umd.edu/~waa/1x.pdf)




    Содержание  Назад