Защита телефонных сетей от злоумышленников. Борьба с телефонным пиратством (стр. 3 из 4)

Кодирование с использованием открытого ключа невозможно без двух ключей, работающих только в паре (см. Рис. 4). Пара состоит из личного и открытого ключа. Если данные были кодированы при помощи открытого ключа, то декодировать их можно только при помощи соответствующего личного ключа. На практике часто используется схема кодирования под названием RSA, предложенная компанией RSA Data Security.

Рисунок 4.

В системе на базе открытых ключей у каждого пользователя есть свой личный ключ. Открытый ключ пользователя, парный с личным ключом, сообщается всем пользователям. При необходимости послать кому-либо сообщение, отправитель шифрует его при помощи открытого ключа получателя. Поскольку личный ключ имеется только у получателя, расшифровать сообщение может только он.

В системе на основе открытого ключа каждому пользователю выдается личный ключ, который он должен сохранять в тайне. Соответствующие открытые ключи копируются, и этот список раздается всем сотрудникам или записывается либо в устройство идентификации пользователя, либо на сервер ключей. Если пользователь хочет отправить кому-либо конфиденциальное сообщение, он должен закодировать его при помощи принадлежащего адресату открытого ключа. Поскольку декодировать это сообщение можно только при помощи личного ключа адресата, никто другой не может ознакомиться с содержанием сообщения. При отправке ответа на сообщение следует воспользоваться открытым ключом того пользователя, кому этот ответ адресован.

В настоящее время на рынке продуктов системы на базе личных ключей наиболее распространены. Например, многие системы запрос-ответ основаны на использовании личных ключей. Тем не менее, системы на основе открытых ключей завоевывают все большую популярность, поскольку такая система предлагает возможное решение по обеспечению конфиденциальности коммерческих операций в Internet. Почему? Дело в том, что основная цель систем на базе открытых ключей заключена в обеспечении конфиденциальности переговоров между двумя собеседниками в большой группе пользователей. Для этого надо просто воспользоваться открытым ключом адресата для кодирования предназначенных ему сообщений. Никто другой не сможет прочесть закодированные таким способом сообщения. По отношению к Internet это означает следующее. Частные лица и компании получают личные ключи. Доступ же к соответствующим открытым ключам открывается для всех желающих. Решив, например, приобрести товары, рекламируемые какой-либо компанией в Web, покупатель может закодировать номер своей кредитной карточки с помощью открытого ключа компании и отправить это сообщение по указанному адресу. Для декодирования данных необходимо лишь знание личного ключа компании. Проблема тут только в том, что покупатель должен знать открытый ключ компании.

СЕКРЕТНЫЕ ПЕРЕГОВОРЫ

Если ключ собеседника неизвестен, то для ведения кодированных переговоров по открытой телефонной линии можно использовать систему обмена ключами Диффи-Хеллмана, названную по именам ее создателей Уитфилда Диффи и Мартина Хеллмана.

Система Диффи-Хеллмана позволяет двум пользователям (или двум устройствам) договориться об использовании определенного ключа. При этом такие переговоры можно вести по открытой телефонной линии. Одно устройство посылает другому несколько больших чисел и фрагмент алгоритма, то выполняет ряд сложных вычислений и возвращает ответ. В свою очередь, первое устройство также выполняет ряд вычислений, возвращает ответ и так далее.

Получившийся ключ можно использовать как для кодирования, так и для декодирования пересылаемых данных. Схема Диффи-Хеллмана удобна тем, что сам ключ по линиям связи не передается, а подслушивать переговоры бесполезно, поскольку подслушанная информация не может помочь в подборе ключа.

Заметим, что схема Диффи-Хеллмана не предполагает идентификации пользователя. На противоположном конце линии может находиться кто угодно. При этом пользователь не должен вводить никаких уникальных идентификационных данных. Применение пароля и алгоритма идентификации пользователя повышает степень защищенности в схеме Диффи-Хеллмана.

ЧЕРНЫЙ ХОД НАДО ЗАПИРАТЬ

В качестве финального аккорда заметим, что все системы удаленного доступа по телефонным линиям предполагают использование определенного программного обеспечения. Например, имена пользователей, пароли и ключи должны храниться в базе данных, которая может располагаться либо на сервере, либо на устройстве удаленного доступа, либо на устройстве идентификации пользователей.

Некоторые производители выпускают комбинированные устройства для идентификации, контроля доступа и поддержки удаленного доступа с установленным на них программным обеспечением управления системой защиты данных. Эти изделия часто называют серверами защиты.

Помимо поддержки базы данных такая система должна, как минимум, обеспечивать мониторинг и генерацию отчетов. Мониторинг в реальном времени позволяет администраторам сети выявлять все необычные запросы на доступ к сети и странности при работе с сетью. Некоторые программные продукты обеспечивают подачу аварийных сигналов, что позволяет более оперативно реагировать на возможную угрозу со стороны.

Отчеты помогают сетевому администратору анализировать поведение пользователей с целью выявления странных или подозрительных моментов. Эти программные средства важны тем, что благодаря им несложно обнаружить попытки вторжения (удачные и неудачные) и принять ответные меры.

В данной статье были рассмотрены простейшие методы и технические средства обеспечения защиты данных при удаленном доступе по телефонным линиям. Мы надеемся, что понимание принципов их работы поможет лучше оценить качество предлагаемых на рынке продуктов. Напомним два важнейших фактора для выбора конкретной системы, учитывающих интересы пользователя и администратора сети: первый фактор - простота использования, второй - простота реализации и управления.

Применение системы защиты удаленного доступа по телефонным линиям можно сравнить с крепким замком для парадного входа. Не следует, однако, забывать, что злоумышленник может проникнуть в помещение с черного хода и даже через окно. Если обходные пути доступа к системе (например, связь с Internet или личные модемы на рабочих станциях) не обеспечивают защиты данных, то и вышеописанные системы не смогут гарантировать безопасности.

Защита телефонных линий от нелегального использования.

В настоящее время практически во всех крупных городах телефонные номера переводятся на повременную оплату. Причем если аппаратура АПУС (повременного учета) устанавливалась лишь только на междугородних АТС, то сейчас может учитываться и время внутригородней связи. Недалеко то время, когда поминутная оплата разговоров будут на каждом абонентском комплекте. Именно поэтому каждый владелец отдельного номера должен знать и контролировать, за чьи минуты он платит. Известны случаи нелегального (пиратского) подключения к телефонной линии с целью ее использования для междугородних или даже международных разговоров. Обычно ничего не подозревающий владелец номера получает в конце месяца счет за чужие разговоры, который приходится оплачивать, чтобы избежать отключения телефона. Сумма может быть настолько велика, чтобы задуматься о способах защиты от подобного пиратства.

Характеристика основных способов защиты от пиратского подключения.

Как правило, подключение к линии может производиться тремя различными способами:

· Использование телефонного аппарата в отсутствие хозяина (обычно это происходит на предприятиях, когда телефоны работают с автоматической связью по межгороду, а также в случаях сдачи квартиры в аренду либо использование телефона детьми);

· Подключение дополнительного телефонного аппарата параллельно основному (обычно это может происходить на лестничной площадке, причем подключение производится разъемами типа «крокодил», и после проведения разговора не остается никаких следов подключения);

· Подключение дополнительного «пиратского» аппарата с разрывом линии (это может произойти на любом участке линии: лестничная площадка, колодец, машинный зал АТС и т.д.);

В соответствии со способами подключения изменяются и способы защиты.

В первом случае достаточно установить ключ (код) на доступ к линии (кстати, некоторые телефонные аппараты это предусматривают), либо в телефонный аппарат встраивается схема защиты от переговоров по межгороду, работающая по принципу ограничения набора номера в случае набора «8» (для автоматической связи). Этого бывает достаточно, чтобы исключить случаи нелегальных (или нежелательных) переговоров.

Во втором случае достаточно эффективна система защиты от параллельного подключения, установленная в разрыв линии рядом с вашим аппаратом. Принцип действия подобной системы заключается в следующем: блок защиты постоянно анализирует состояние линии и при падении напряжения в линии ниже установленного предела (снятие трубки и попытка набора номера с нелегального аппарата) нагружает на линию специально рассчитанной резистивно-емкостной цепью, запрещая, таким образом, дальнейший набор номера. При подъеме трубки на основном (защищенном) телефонном аппарате в блоке защиты срабатывает датчик тока, отключающий защиту.

Для защиты от третьего способа подключения вышеописанные способы не подходят, так как при обрыве линии все устройства, установленные у абонента, неработоспособны.