RFC: 3631
Оригинал: Security Mechanisms for the Internet
Категория: Информационный
Дата публикации:
Авторы: , ,
Перевод: Мельников Дмитрий Анатольевич

Каждый должен также обязательно учитывать тип атаки, которая может быть предпринята. Как минимум, прослушивание трафика должно рассматриваться как очень серьезная угроза ИБ. Последнее время, начиная, по крайней мере, с 1993 года, произошло много инциндентов, связанных с противоправным прослушиванием (контролем) трафика. Очень часто система подвергается риску вследствие активных атак, которые предусматривают вставку ложных или удаление истинных IP-пакетов нарушителем. Необходимо отметить, что такие атаки могут быть проведены с помощью общедоступных средств и, фактически, наблюдались «в природе». С практической точки зрения, особый интерес представляет тип атак, называемый «вторжение в сеанс связи» («session hijacking»), когда «некто», находясь между взаимодействующими сторонами и дождавшись завершения процедуры аутентификации, начинает в дальнейшем изображать одну из взаимодействующих сторон и продолжает сеанс связи с другой.

Одним из наиболее важных средств, которые доступны каждому при обеспечении ИБ протоколов, является криптография. Криптография позволяет обеспечить различные уровни защиты данных, которые транслируются по сети, причем вне зависимости от степени защищенности самой сети. Последнее чрезвычайно важно, так как Internet-сеть, по причине распределенности своего управления и контроля, не может рассматриваться как надежная среда передачи информации. Ее безопасность основана на способах обеспечения ИБ, которые встраиваются в сетевые протоколы, независящие от среды передачи данных или сетевых операторов.

В заключении, конечно, при использовании криптографии необходимы определенные финансовые затраты. Но эти затраты очень быстро снижаются; «закон Мура», который гласит, что каждый год быстродействие процессоров возрастает в 1½ раза, плюс легкая доступность криптографических компонентов и средств делают криптографию относительно простой с точки зрения применения надежных методов защиты информации. Несмотря на это, существуют некоторые исключения. Это относится к системам с открытыми ключами, которые по-прежнему весьма дорогостоящие. Такие системы особенно недоступны тогда, когда стоимость каждой процедуры по формированию открытого ключа покрывает слишком малое число простых процедур информационого обмена (ПИНО), то есть дорогостоящий, с точки зрения его формирования, ключ используется в незначительном числе ПИНО, защищаемых с его помощью. В дальнейшем, более тщательная инженерная проработка протоколов позволит использовать каждую процедуру формирования криптоключа в интересах гораздо большего числа ПИНО.

В общем, сегодня, если нет каких-либо ограничений, рекомендуется использовать наиболее надежные криптографические способы защиты информации, которые приемлемы для какого бы то ни было протокола. Очень часто, самые надежные криптографические способы защиты информации стоят не на много больше, а иногда и меньше, чем менее надежные. Реальные затраты, связанные с обеспечением быстродействия криптоалгоритма, очень часто не связаны с уровнем обеспечиваемой им защищенности. В зависимости от используемой аппаратной части комплекса, криптографические процедуры могут осуществляться с очень высокой скоростью (1Gb/s), и даже в программном исполнении быстродействие реализуемых криптографических процедур приближается к такой скорости.

2007 - 2017 © Русские переводы RFC, IETF, ISOC.