Как пользоваться текстовым редактором vim. Редактирование файлов с помощью vi

Задача реализация корпоративной сети компании в рамках одного здания может быть решена относительно легко. Однако на сегодня инфраструктура компаний имеет географически распределенные отделы самой компании. Реализация защищенной корпоративной сети в таком случае задача более сложного плана. В таких случаях зачастую используют безопасные vpn сервера .

Концепция построения виртуальных защищенных сетей VPN

В концепции создании виртуальных сетей VPN лежит простая идея — если в глобальной сети есть 2 узла, которым нужно обменяться данными, то между ними нужно создать виртуальный защищенный туннель для реализации целостности и конфиденциальности данных, передающих через открытые сети.

Основные понятие и функции сети VPN

При наличии связи между корпоративной локальной сетью и сетью Интернет возникают двух типов:

• несанкционированный доступ к ресурсам локальной сети через вход
• несанкционированный доступ к информации при передаче через открытую сеть Интернет

Защита данных при передаче по открытым каналам основана на реализации виртуальных защищенных сетей VPN. Виртуальной защищенной сетью VPN называют соединение локальные сетей и отдельных ПК через открытую сеть в единую виртуальную корпоративную сеть. Сеть VPN разрешает с помощью туннелей VPN создавать соединения между офисами, филиалами и удаленными пользователями, при этом безопасно транспортировать данные (рис.1).

Рисунок — 1

Туннель VPN являет собой соединение, проходящее через открытую сеть, где транспортируются криптографически защищенные пакеты данных. Защита данных при передаче по туннелю VPN реализована на следующих задачах:

• криптографическое шифрование транспортируемых данных
• аутентификация пользователей виртуальной сети
• проверка целостности и подлинности передаваемых данных

VPN-клиент являет собой программный или аппаратный комплекс, работающий на основе персонального компьютера. Его сетевое ПО изменяется для реализации шифрования и аутентификации трафика.

VPN-сервер — также может быть программным или аппаратным комплексом, реализующий функции сервера. Он реализует защиту серверов от несанкционированного доступа из других сетей, а также организацию виртуальной сети между клиентами, серверами и шлюзами.

Шлюз безопасности VPN — сетевое устройство, подключаемое к 2 сетям и реализует функции аутентификации и шифрования для множества хостов, находящихся за ним.

Суть туннелирования заключается в том, чтобы инкапсулировать (упаковать) данные в новый пакет. Пакет протокола более низкого уровня помещается в поле данных пакета протокола более высокого или такого же уровня (рис.2). Сам процесс инкапсуляции не защищает от искажения или несанкционированного доступа, он разрешает защитить конфиденциальность инкапсулированных данных.

Рисунок — 2

При прибытии пакета в конечную точка виртуального канала из него извлекается внутренний исходных пакет, расшифровывают и используют дальше по внутренней сети (рис.3).

Рисунок — 3

Также инкапсуляция решает проблему конфликта двух адресов между локальными сетями.

Варианты создания виртуальных защищенных каналов

При создании VPN есть два популярных способа(рис.4):

• виртуальных защищенный канал между локальными сетями (канал ЛВС-ЛВС)
• виртуальный защищенных канал между локальной сетью и узлом (канал клиент-ЛВС)

Рисунок — 4

Первый метод соединения разрешает заменить дорогие выделенные каналы между отдельными узлами и создать постоянно работающие защищенные каналы между ними. Здесь шлюз безопасности служит интерфейсом между локальной сетью и туннелем. Многие предприятия реализуют такой вид VPN для замены или дополнения к .

Вторая схема нужна для соединения с мобильными или удаленными пользователями. Создания туннеля инициирует клиент.

С точки зрения информационной безопасности самым лучшим вариантом является защищенный туннель между конечными точками соединения. Однако такой вариант ведет к децентрализации управления и избыточности ресурсов, ибо нужно ставить VPN на каждом компьютере сети. Если внутри локальной сети, которая входит в виртуальную, не требует защиты трафика, тогда в качестве конечной точки со стороны локальной сети может выступать или маршрутизатор этой же сети.

Методы реализации безопасности VPN

При создании защищенной виртуальной сети VPN подразумевают, что передаваемая информация будет иметь критерии защищаемой информации , а именно: конфиденциальность, целостность, доступность. Конфиденциальность достигается с помощью методов асимметричного и симметричного шифрования. Целостность транспортируемых данных достигается с помощью . Аутентификация достигается с помощью одноразовых/многоразовых паролей, сертификатов, смарт-карт, протоколов .

Для реализации безопасности транспортируемой информации в виртуальных защищенных сетях, нужно решить следующие задачи сетевой безопасности:

• взаимная аутентификация пользователей при соединении
• реализация конфиденциальности, аутентичности и целостности транспортируемых данных
• управление доступом
• безопасность периметра сети и
• управление безопасностью сети

VPN-решения для создания защищенных сетей

Классификация сетей VPN

На основе глобальной сети Интернет можно реализовывать почти все виды трафика. Есть разные схемы классификации VPN. Самая распространенная схема имеет 3 признака классификации:

• рабочий уровень модели OSI
• архитектура технического решения VPN
• метод технической реализации VPN

Защищенный канал — канал между двумя узлами сети, вдоль определенного виртуального пути. Такой канал можно создать с помощью системных методов, основанных на разных уровнях модели OSI (рис.5).

Рисунок — 5

Можно заметить, что VPN создаются на достаточно низких уровнях. Причина такова, что чем ниже в стеке реализованы методы защищенного канала, тем проще их реализовать прозрачными для приложений. На канальном и сетевом уровнях зависимость приложений от протоколов защиты исчезает. Если для защиты информации реализован протокол из верхних уровней, то способ защиты не зависит от технологии сети, что можно считать плюсом. Однако приложение становится зависимым от конкретного протокола защиты.

VPN канального уровня . Методы на таком уровня разрешают инкапсулировать трафик третьего уровня (и более высоких) и создавать виртуальные туннели типа точка-точка. К таким относят VPN-продукты на основе протокола .

VPN сетевого уровня . VPN-продукты такого уровня реализуют инкапсуляцию IP в IP. К примеру используют протокол .

VPN сеансового уровня . Некоторые VPN реализуют подход «посредники каналов», такой метод работает над транспортным уровнем и ретранслирует трафик из защищенной сети в общедоступною сеть Интернет для каждого сокета отдельно.

Классификация VPN по архитектуре технического решения

Делят на:

• внутрикорпоративные VPN — нужны для реализации защищенной работы между отделами внутри компании
• VPN с удаленным доступом — нужны для реализации защищенного удаленного доступа к корпоративным информационным ресурсам
• межкорпоративные VPN — нужны между отдельными частями бизнеса разнесенных географически

Классификация VPN по методу технической реализации

Делят на:

• VPN на основе маршрутизаторов — задачи защиты падают на устройство маршрутизатора
• VPN на основе межсетевых экранов — задачи защиты падают на устройство межсетевого экрана
• VPN на основе программных решений — применяется ПО, которое выигрывает в гибкости и настройке, однако проигрывает в пропускной способности
• VPN на основе специальных аппаратных устройствах — устройства, где шифрование реализовано специальными отдельными микросхемами, реализуют высокую производительность за большие деньги

В условиях нарастающих интеграционных процессов и создания единого информационного пространства во многих организациях ЛАНИТ предлагает провести работы по созданию защищенной телекоммуникационной инфраструктуры, связывающей удаленные офисы фирм в единое целое, а также обеспечение высокого уровня безопасности информационных потоков между ними.

Применяемая технология виртуальных частных сетей позволяет объединять территориально распределенные сети как с помощью защищенных выделенных каналов, так и виртуальных каналов, проходящих через глобальные общедоступные сети. Последовательный и системный подход к построению защищенных сетей предполагает не только защиту внешних каналов связи, но и эффективную защиту внутренних сетей путем выделения замкнутых внутренних контуров VPN. Таким образом, применение технологии VPN позволяет организовать безопасный доступ пользователей в Интернет, защитить серверные платформы и решить задачу сегментирования сети в соответствии с организационной структурой.

Защита информации при передаче между виртуальными подсетями реализуется на алгоритмах асимметричных ключей и электронной подписи, защищающей информацию от подделки. Фактически данные, подлежащие межсегментной передаче, кодируются на выходе из одной сети, и декодируются на входе другой сети, при этом алгоритм управления ключами обеспечивает их защищенное распределение между оконечными устройствами. Все манипуляции с данными прозрачны для работающих в сети приложений.

Удаленный доступ к информационным ресурсам. Защита информации, передаваемой по каналам связи

При межсетевом взаимодействии между территориально удаленными объектами компании возникает задача обеспечения безопасности информационного обмена между клиентами и серверами различных сетевых служб. Сходные проблемы имеют место и в беспроводных локальных сетях (Wireless Local Area Network, WLAN), а также при доступе удаленных абонентов к ресурсам корпоративной информационной системы. В качестве основной угрозы здесь рассматривается несанкционированное подключение к каналам связи и осуществление перехвата (прослушивания) информации и модификация (подмена) передаваемых по каналам данных (почтовые сообщения, файлы и т.п.).

Для защиты данных, передаваемых по указанным каналам связи, необходимо использовать соответствующие средства криптографической защиты. Криптопреобразования могут осуществляться как на прикладном уровне (или на уровнях между протоколами приложений и протоколом TCP/IP), так и на сетевом (преобразование IP-пакетов).

В первом варианте шифрование информации, предназначенной для транспортировки по каналу связи через неконтролируемую территорию, должно осуществляться на узле-отправителе (рабочей станции - клиенте или сервере), а расшифровка - на узле-получателе. Этот вариант предполагает внесение существенных изменений в конфигурацию каждой взаимодействующей стороны (подключение средств криптографической защиты к прикладным программам или коммуникационной части операционной системы), что, как правило, требует больших затрат и установки соответствующих средств защиты на каждый узел локальной сети. К решениям данного варианта относятся протоколы SSL, S-HTTP, S/MIME, PGP/MIME, которые обеспечивают шифрование и цифровую подпись почтовых сообщений и сообщений, передаваемых с использованием протокола http.

Второй вариант предполагает установку специальных средств, осуществляющих криптопреобразования в точках подключения локальных сетей и удаленных абонентов к каналам связи (сетям общего пользования), проходящим по неконтролируемой территории. При решении этой задачи необходимо обеспечить требуемый уровень криптографической защиты данных и минимально возможные дополнительные задержки при их передаче, так как эти средства туннелируют передаваемый трафик (добавляют новый IP-заголовок к туннелируемому пакету) и используют различные по стойкости алгоритмы шифрования. В связи с тем, что средства, обеспечивающие криптопреобразования на сетевом уровне полностью совместимы с любыми прикладными подсистемами, работающими в корпоративной информационной системе (являются «прозрачными» для приложений), то они наиболее часто и применяются. Поэтому, остановимся в дальнейшем на данных средствах защиты информации, передаваемой по каналам связи (в том числе и по сетям общего доступа, например, Internet). Необходимо учитывать, что если средства криптографической защиты информации планируются к применению в государственных структурах, то вопрос их выбора должен решаться в пользу сертифицированных в России продуктов.

В работе любой организации зачастую возникает потребность в обмене конфиденциальной информацией между двумя или более лицами. Самое простое решение - передавать ее устно либо лично в бумажном виде. Однако, если такой возможности нет, а также при необходимости передачи информации именно в электронном виде обычно используются криптографические преобразования. Несмотря на широкое применение, криптография имеет свои недостатки - факт передачи не скрывается и при недостаточной стойкости алгоритма шифрования появляется возможность восстановления информации нарушителем. Кроме того, ввиду сложности криптографических преобразований накладывается ограничение на скорость передачи данных, что может быть критичным при трансляции по открытому каналу больших объемов документарной или мультимедийной информации (видео или звук), например, в режиме телеконференции.

На взгляд авторов, альтернативой криптографическим преобразованиям в этом случае может стать комплексный подход к организации обмена конфиденциальной информацией, включающий стеганографические преобразования (предполагающие сокрытие самого факта передачи конфиденциальных сведений) и применение различных методов аутентификации и балансировки нагрузки сети.

Целью данного исследования являются разработка методики скрытой передачи информации в видеопотоке и реализация ее в виде программного комплекса. В основе методики лежит приоритизация трафика одних пользователей по отношению к другим. В ходе работы был создан собственный алгоритм управления трафиком, который применяется в данной методике для организации защищенного обмена информацией.

Возможные области применения алгоритма - балансировка нагрузки сети, привилегированный доступ к ресурсам, организация скрытого канала передачи сообщений.

К программной реализации алгоритма предъявляются следующие требования:

Прозрачность для пользователя;

Отказоустойчивость;

- надежное хранение секретных ключей и системных данных ограниченного доступа;

Целесообразность применения, то есть выигрыш в скорости, качестве обслуживания или защищенности;

Совместимость с различным сетевым оборудованием.

Рассмотрим алгоритм «Метка привилегий» подробнее. В обычном режиме пакеты передаются непосредственно от источника адресату, минуя сервер. Это обычная локальная сеть организации. Перед предполагаемым началом специального режима администратор запускает службу на сервере. Сеть переходит в режим ожидания.

Принимается пакет, проверяется, есть ли метка начала специального режима, если она есть, осуществляется переход к специальному режиму, иначе пакет доставляется адресату и принимается новый. Структура пакета показана на рисунке 1.

Специальный режим. Проверяется аутентификационная информация отправителя пакета. Наглядно работа сервера показана в виде блок-схемы на рисунке 2.

На рисунке 3 представлена схема отправки пакетов адресату. Все пакеты проходят через сервер, где выполняется чтение метки, соответствующей адресу получателя. При удачной аутентификации пакет направляется адресату.

Клиент запускает службу на своем компьютере. Служба проверяет, запущен ли сервер. Если сервер не запущен, в журнале программы фиксируется запись о возникшей ошибке и происходит переключение в режим источник-адресат. Если сервер запущен, проверяется, есть ли аппаратный ключ. Если аппаратного ключа нет, фиксируется ошибка и происходит возврат в режим источник-адресат. Если аппаратный ключ есть, осуществляется переход в режимы источник-сервер и сервер-адресат.

В режимах источник-сервер и сервер-адресат отправка сообщений происходит следующим образом. В пакет добавляются информация о пользователе, метка привилегии и скрытые данные. Пакет отсылается. Прием сообщений выполняется так: принятое сообщение записывается в буфер; согласно таблице стеганографических преобразований выделяются пакеты со скрытой информацией; происходит сбор конфиденциальной информации (рис. 4).

Методика организации защищенного канала

Защищенный канал передачи информации решает задачи защиты от несанкционированного доступа узлов сети, между которыми происходит передача информации, и самой информации в процессе передачи по открытым каналам связи.

На основании алгоритма «Метка привилегий» была разработана методика организации защищенного канала передачи информации с управлением трафиком при передаче.

Рассмотрим этапы, которые включает данный способ обмена конфиденциальной информацией для пользователя.

1. Предъявляется аутентификатор (электронный ключ).

2. При удачной аутентификации в программу вводится необходимая конфиденциальная информация.

3. Начинается видеоконференция (а во время нее - отправка конфиденциальной информации).

4. В ходе видеоконференции также принимается и распознается информация от другого участника обмена данными.

5. Конференция завершается.

Таким образом, для организации защищенного канала пользователю необходимо иметь установленную программу «Метка привилегий», электронный ключ с аутентификационными данными, веб-камеру и доступ в сеть для организации связи.

Аутентификация

В данной методике процедура аутентификации используется для авторизации пользователя-опе-ратора перед началом работы с клиентским программным модулем и подтверждения подлинности сообщения с меткой привилегий, пришедшего от клиента на сервер системы.

Таким образом, требуется применить одношаговую схему аутентификации по аппаратному ключу и по полю данных в заголовке пакета TCP. Наиболее простым и эффективным способом решения этой задачи будет применение алгоритма вычисления имитовставки по ГОСТу 28147-89, поскольку он обеспечивает высокую криптостойкость, позволяет варьировать длину аутентификационного поля в пакете и эффективно реализуется на современных аппаратных платформах ПЭВМ общего назначения. При этом для решения обеих задач может применяться один и тот же ключ, хранимый на предъявляемом оператором ключевом носителе. При аутентификации пользователя для входа в систему (при запуске клиентского приложения) на сервер отправляется тестовое сообщение, зашифрованное на ключе с предъявленного ключевого носителя. Если серверу удалось расшифровать его ключом, соответствующим легальному пользователю данного узла сети, аутентификация считается пройденной и сервер сообщает об этом клиентскому приложению.

Аутентификация передаваемых TCP-пакетов осуществляется по стандартной схеме, когда информационное поле пакета зашифровывается в режиме вычисления имитовставки и добавляется в поле аутентификации, а сервер проверяет корректность вычисленной имитовставки, используя сохраненный в своей БД ключ шифрования.

Следует отметить, что для обеспечения надежности такой схемы при высокой загрузке сети ключи шифрования для всех пользователей необходимо менять не реже одного раза в месяц, что в случае использования системы при работе в локальной сети организации несложно и решается организационно-распорядительными методами.

Стеганография

При стеганографическом преобразовании добавление контейнеров должно происходить в реальном времени, кроме того, необходимо обеспечить стойкость ключа.

Наиболее часто для модификации видеотрафика и встраивания стегоконтейнеров применяют метод наименее значащих битов. Этот метод неустойчив к искажению передаваемой в стегоконтейнерах информации, например, можно обнулять все последние биты, что уничтожит всю конфиденциальную информацию. Также можно восстанавливать скрытую информацию, используя статистические закономерности.

Особенностями применения стеганографии в разрабатываемой методике для видеоконференций являются следующие:

Стегоконтейнеры встраиваются в реальном времени;

Открытая передаваемая информация имеет большой размер - увеличивается нагрузка на канал;

В стегоконтейнерах необходимо передавать аутентификационные метки;

Добавление контейнеров должно проходить в прозрачном для пользователя режиме;

Аутентификация должна быть простой для пользователя и выполняться в автоматическом режиме;

Передача аутентификационных меток должна проводиться постоянно.

Информацию о номерах пакетов можно передавать различными способами. Суть первого способа передачи: в первый пакет включается смещение до следующего пакета с конфиденциальной информацией и т.д., то есть каждый пакет со стегоконтейнером в начале поля данных будет содержать информацию о номере следующего пакета со стегоконтейнером. Важно, что задается смещение, а не номер пакета, так как в общем случае на кодирование смещения потребуется меньшее количество бит.

В настройках программы необходимо определить, какое количество бит в начале пакета будет выделено под адрес следующего пакета. Например, если расстояние между пакетами не превышает 100, на кодирование смещения необходимо выделить 7 бит. Каждый выделенный под смещение бит позволяет существенно увеличить расстояние между пакетами и тем самым сгладить статистические характеристики видеопотока.

Недостаток метода в том, что, перехватывая первый пакет, злоумышленник узнает номер следующего пакета и таким образом постепенно может восстановить всю последовательность.

Второй способ передачи - запись таблицы, содержащей номера пакетов с конфиденциальной информацией, на аппаратные ключи до начала видеоконференции. Все преобразования трафика происходят на клиентских машинах, тем самым обеспечивается дополнительная безопасность, так как информация в открытом виде не перемещается по сети.

Недостаток данного метода в том, что получение злоумышленником аппаратного ключа позволяет ему восстановить переданную конфиденциальную информацию.

Третьим способом передачи таблицы является передача ее на материальном носителе, например в бумажном виде. Недостатки этого метода: ввод таблицы клиентом в программу вручную и возможность перехвата ключевой информации нарушителем.

Программная реализация

Рассмотрим работу программы, реализующей данный алгоритм. Необходимо отметить, что она состоит из клиентской и серверной частей.

Клиентская часть запускается в фоновом режиме, предоставляя минимальный набор возможностей:

Участвовать в видеоконференции;

Отправить конфиденциальную информацию адресату;

Принять и распознать конфиденциальную информацию.

Причем пользователь не должен задумываться о выборе из видеопотока необходимой скрытой информации - сборка данных из разрозненных пакетов происходит автоматизированно клиентской частью приложения. Данный процесс выполняется на клиентской машине для того, чтобы информация не курсировала в сети в открытом виде, так как, если восстанавливать ее на сервере и затем передавать, участок от адресата до сервера будет потенциально опасным.

Серверная часть предназначена для админи- стратора. При первом запуске администратор вручную добавляет IP-адреса своей сети, затем переходит к назначению меток. Напротив привилегированного адреса ставится отметка. Администратор также задает размер смещения (количество бит, выделенных в начале пакета), так как, если задавать его клиентской частью приложения, могут возникнуть коллизии, когда размеры смещений у разных пользователей не совпадают.

Таким образом, администратор вручную выполняет следующие действия:

Ввод IP-адреса пользователей видеоконференции;

Выбор размера смещения под адрес;

Ввод пользовательских ключей для осуществления аутентификации.

Служебная информация, необходимая для функционирования программы, конфиденциальная информация и непосредственно ключи хранятся как на сервере, так и на клиентских рабочих местах.

На сервере хранится информация об аппаратных ключах пользователей, о паролях пользователей, о размерах смещений под адрес, IP-адреса пользователей, а также метка начала специального режима.

На клиентском рабочем месте хранятся аппаратный ключ, пароль, конфиденциальная информация, информация об IP-адресах других участников информационного обмена.

Необходимо отметить, что интерфейс данной программы не подразумевает множества тонких настроек. Программа предназначена для того, чтобы обеспечить администратору простое представление назначения меток. Все преобразования она будет производить на уровне пакетов самостоятельно.

Программа предполагает наличие двух видов пользователей - клиент и администратор.

Клиент при помощи клиентской части приложения и аутентификатора авторизуется в системе и получает доступ к видеоконференции, в ходе которой передает и получает конфиденциальную информацию. Он не имеет доступа к настройкам сети, знает ключ, с помощью которого можно выделить стегоконтейнеры и собрать конфиденциальную информацию в ее исходное состояние.

Администратор управляет настройками сети с помощью серверной части приложения. Он добавляет и удаляет пользователей, разрешенные IP-адреса, не имеет доступа к конфиденциальной информации как таковой и не знает ключа, с помощью которого можно выделить стегоконтейнеры из общего потока.

Программа должна поддерживать операционные системы семейств Windows и Linux. Важно, чтобы система была кроссплатформенной, так как сеть может быть гетерогенной, особенно для удаленных пользователей.

Для реализации алгоритма «Метки привилегий» необходимо модифицировать заголовки TCP-пакетов. Вначале была изучена спецификация RFC 793 (описывающая структуру пакета TCP) и подобраны инструменты - библиотеки PCAP и libnet. Обе библиотеки являются кроссплатформенными. С их помощью можно создать собственную программу, реализующую функции обработки TCP-заголовков.

В качестве прототипа была создана собственная реализация программы, позволяющей создать сокет либо в состоянии сервера (ожидает подключение клиента), либо в состоянии клиента (пытается подключиться к серверу). Были учтены результаты предыдущих разработок в университете по смежной тематике .

Созданная TCP-программа обеспечивает устойчивое соединение, самостоятельно формируются пакеты. В результате имеется возможность добавлять в поле опций TCP-заголовка собственную информацию. Для создания основной программы осталось сформировать на данном прототипе сервер и клиента, добавить пользовательский интерфейс, учесть требования стандартов и нормативных актов .

Задача сервера - перенаправлять пакеты клиентам. Необходимо задать список IP-адресов, с которых можно подключаться к серверу. Кроме того, администратор должен конфигурировать конференции и указывать клиентов, участвующих в них. Конфигурация сервера задается в текстовом файле, а сам сервер запускается как консольное приложение.

В заключение можно сделать следующие выводы. Цель работы - разработка методики организации защищенного канала передачи конфиденциальной информации путем встраивания стегоконтейнеров в видеопоток - была достигнута. Разработан алгоритм организации логического канала на основе меток привилегий, выбраны способы аутентификации. Были определены требования к программной реализации. Создан механизм стеганографических преобразований. В целом работа представляет собой алгоритм приоритизации трафика «Метка привилегий», перечень необходимых компонентов для организации защищенного канала, методику встраивания стегоконтейнеров, описание требований к программной реализации, первоначальную версию программного продукта. Планируются дальнейшее совершенствование алгоритма, добавление новых функций и более удобного для пользователя интерфейса, а также реализация всего вышеперечисленного в виде полноценного программного комплекса.

Литература

1. Литвиненко В.А., Ховансков С.А. Распределенные вычисления в сети методом коллективного принятия решения // Изв. ЮФУ. Технич. науки: тематич. вып.: Безопасность телекоммуникационных систем. Таганрог: Изд-во ТТИ ЮФУ, 2008. № 3 (80). С. 110-113.

2. Свентусов С.В. Методы снижения загрузки серверов аудиоконференций // Изв. СПбГЭУ (ЛЭТИ), 2008. Вып. 2. С. 25-30.

3. Шейда В.В. Использование протоколов TCP И UDP для защищенной передачи информации по SSL-VPN-туннелям: докл. ТГУСУР, 2010. С. 225-229.

4. Самуйлов К.Е. Метод решения задачи разделения ресурсов мультисервисной сети между виртуальными частными сетями с одноадресными и многоадресными соединениями // Вестн. РУДН. Сер.: Математика, информатика, физика. 2010. № 2 (1). С. 42-53.

5. Антамошкин А.Н., Золотарев В.В. Алгоритм расчета прогнозируемого трафика при проектировании распределенных систем обработки и хранения информации // Вестн. СибГАУ, Красноярск, 2006. № 1. С. 5-10.

6. Бондарь И.В., Золотарев В.В., Попов А.М. Методика оценки защищенности информационной системы по требованиям стандартов информационной безопасности // Информатика и системы управления. 2010. Вып. 4 (26). С. 3-12.

Андрей Субботин Материал приводится с разрешения редакции.

В настоящее время наблюдается резкий рост объемов информации (в том числе и конфиденциальной), передаваемой по открытым каналам связи. По обычным телефонным каналам осуществляется взаимодействие между банками, брокерскими конторами и биржами, удаленными филиалами организаций, проводятся торги ценными бумагами. Поэтому все более актуальной становится проблема защиты передаваемой информации. Несмотря на то, что конкретные реализации систем защиты информации могут существенно отличаться друг от друга из-за различия процессов и алгоритмов передачи данных, все они должны обеспечивать решение триединой задачи:

конфиденциальность информации (доступность ее только для того, кому она предназначена);

целостность информации (ее достоверность и точность, а также защищенность ее преднамеренных и непреднамеренных искажений);

готовность информации (в любой момент, когда в ней возникает необходимость).

Основными направлениями решения этих задач являются некриптографическая и криптографическая защита. Некриптографическая защита включает в себя организационно-технические меры по охране объектов, снижению уровня опасных излучений и созданию искусственных помех. Ввиду сложности и объемности данной темы некриптографическая защита в рамках данной статьи рассматриваться не будет.

Криптографическая защита в большинстве случаев является более эффективной и дешевой. Конфиденциальность информации при этом обеспечивается шифрованием передаваемых документов или всего трафика работы.

Первый вариант более прост в реализации и может использоваться для работы практически с любыми системами передачи электронной почты. Наиболее часто применяются алгоритмы шифрования DES, RSA, ГОСТ 28147-89, "Веста-2".

Второй вариант можно использовать только в специально разработанных системах, и в этом случае требуется алгоритм высокого быстродействия, так как необходима обработка потоков информации в режиме реального времени. Данный вариант можно считать более безопасным по сравнению с первым, так как шифруются не только передаваемые данные, но и сопроводительная информация, которая включает в себя обычно типы данных, адреса отправителя и получателя, маршруты прохождения и многое другое. Такой подход существенно усложняет задачу введения в систему ложной информации, а также дублирование перехваченной ранее подлинной информации.

Целостность передаваемой по открытым каналам связи информации обеспечивается использованием специальной электронной подписи, которая позволяет установить авторство и подлинность информации. Электронная подпись в настоящее время широко применяется для подтверждения юридической значимости электронных документов в таких системах обмена информации, как Банк - Банк, Банк - Филиал, Банк - Клиент, Биржа - Брокерская контора и т. п. Из наиболее распространенных алгоритмов электронной подписи можно назвать такие, как RSA, PGP, ElGamal.

Готовность информации в большинстве случаев обеспечивается организационно-техническими мерами и установкой специального отказоустойчивого оборудования. Выбор того или иного алгоритма криптографического преобразования обычно сопряжен с большими трудностями. Приведем несколько характерных примеров.

Положим, разработчик системы защиты утверждает, что полностью реализовал в ней требования ГОСТ 28147-89. Этот ГОСТ был опубликован, но не полностью. Не были опубликованы некоторые специальные криптографические подстановки, от которых существенно зависит ее криптостойкость. Таким образом, в правильности реализации ГОСТ можно быть уверенным только при наличии сертификата ФАПСИ, которого у большинства разработчиков нет.

Разработчик системы защиты сообщает, что у реализовал алгоритм RSA. При этом он умалчивает о том, что реализация должна лицензироваться фирмой RSA Data Security Inc. (патент США # 4 405 829). Более того, вывоз из США реализаций RSA с длиной ключа более 40 бит запрещен (криптостойкость такого ключа оценивается специалистами примерно в несколько дней работы обычного компьютера с процессором Pentium).

Разработчик системы защиты сообщает, что в ней реализован алгоритм PGP, который широко применяется у нас в стране благодаря бесплатно распространявшимся до 1995 г. его исходным текстам через BBS США. Здесь две проблемы. Первая - электронная подпись сделана на базе алгоритма RSA и, с точки зрения охраны авторских прав, также должна лицензироваться фирмой RSA Data Security Inc. Вторая - распространяемые программы нечувствительны к вмешательству в их работу, поэтому с помощью специального криптовируса можно легко получить секретный ключ для формирования электронной подписи.

В заключение хочется с сожалением отметить, что в нашей стране практически отсутствует нормативно-методическая база, с помощью которой можно было бы обоснованно сопоставлять предлагаемые системы защиты информации и выбирать наиболее оптимальные решения.

Существует множество версий Vi. Я представлю вам версию Vi, называемую «Vim». Vim очень популярен, так как у него есть несколько дополнений, делающих Vi немного приятнее (когда будут демонстрироваться специфичные для Vim команды, я это отмечу). Здесь приведена картинка GVim из моей системы.

Для того, чтобы установить Vim перейдите по ссылке слева или выполните в терминале:

sudo apt-get install vim

Хотя в большинстве дистрибутивов Linux он уже установлен по умолчанию. В придачу к улучшенному консольному Vi, Vim доступен также в виде GVim - прекрасного графического редактора, который может быть сконфигурирован для использования с великолепной библиотекой GUI (графического интерфейса пользователя) GTK+.

sudo apt-get install vim-gtk

Если Vi вам в новинку, попробуйте установить в своей системе GVim. Использование Vi в графической оболочке может кое в чем облегчить новичкам жизнь.

Также можно запустить обучающую программу, набрав в терминале команду

Vimtutor

Gvimtutor

Это небольшая обучающая программа поможет за 25-30 минут освоиться в этом необычном для новичка редакторе.

Открываем файл

Перед использование Vi для редактирования файлов вам следует узнать, как в Vi перемещаться по файлу. У Vi множество команд перемещения, многие из них мы сейчас рассмотрим. Для этой части обучения найдите какой-нибудь малоценный текстовый файл (TODO: лучше на английском) и загрузите его в Vi напечатав:

vi myfile.txt

Если у вас установлен Vim, наберите в консоли:

vim myfile.txt

Если вы предпочитаете использовать GVim:

Gvim myfile.txt

myfile.txt должно быть именем текстового файла в вашей системе.

Внутри Vi

После загрузки Vi, на экране вы должны увидеть часть загруженного вами текстового файла. Поздравляю - вы уже в Vi! В отличии от большинства редакторов, загрузившись, Vi находится в специальном режиме, называемом «командным режимом» . Это значит, что если вы нажмете клавишу (строчная L) , вместо появления «l» на месте курсора вы увидите, что курсор всего лишь сдвинулся на один символ вправо. В командном режиме знаки, набираемые на клавиатуре, используются как команды для Vi, а не как помещаемые в текст символы. Один из наиболее важных типов команд - это команды перемещения. Давайте рассмотрим некоторые из них.

Перемещаемся по документу

Перемещения в Vi, часть 1

Находясь в командном режиме, вы можете использовать клавиши ,, и для перемещения курсора влево, вниз, вверх и вправо соответственно. Если вы используете современную версию Vi, вы можете также с этой целью использовать клавиши со стрелками. Клавиши ,, и предпочтительнее, так как освоившись с ними вы сможете перемещаться по файлу, не размахивая руками над клавиатурой. Для перемещения по текстовому файлу используйте следующие клавиши:

Попробуйте использовать пока не дойдете до начала строки. Отметьте, что Vi не даст вам перескочить на предыдущую строку, нажимая , если вы находитесь в начале строки. Точно также он не позволит вам перескочить на следующую строку, нажимая в конце строки.

Перемещения в Vi, часть 2

Vi предоставляет специальные команды для прыжков в начало и конец текущей строки:

0 (ноль) – перескочить на первый символ в строке;

$ – перескочить на последний символ в строке.

Поскольку у Vi так много команд перемещения, его можно использовать в качестве великолепного инструмента просмотра - «pager»а (как команды more или less). Используя Vi для просмотра, вы очень быстро запомните все команды перемещения.

Вы также можете использовать и для перемещения вперед и назад сразу на страницу. Современные версии Vi (такие как Vim) могут позволить использовать для этих целей клавиши И

Комбинация означает комбинацию клавиш +. Во многих источниках про Vim можно встретить именно такое обозначение комбинация клавиш. Часто еще можно встретить и такое обозначение: ^F

Перемещение по словам, часть 1

Vi также позволяет вам перемещаться влево и вправо по словам:

w – перемещения на первый символ следующего слова нажмите;

e – передвинуться на следующий последний символ слова нажмите;

b – сдвинуться на предыдущий первый символ слова можно нажимая.

Перемещение по словам, часть 2

Позабавившись с командами перемещения по словам, вы могли заметить, что Vi считает слова типа «foo-bar-oni» пятью различными словами! Это происходит потому, что Vi по умолчанию разделяет слова пробелами или знаками пунктуации (которые тоже считает словами). Поэтому foo-bar-oni считается пятью словами: «foo»,«-»,«bar»,«-» и «oni».

Иногда вам так и надо, а иногда - нет. К счастью, Vi воспринимает понятие «большого слова». vi разделяет большие слова только пробелами и началами строк. Это значит, что foo-bar-oni состоит из пяти Vi-слов, но является только одним большим словом Vi.

Перемещение по словам, часть 3

Чтобы переместиться на следующее или предыдущее большое слово, вы можете использовать «заглавные» команды перемещения по словам. Нажав следующие клавиши, вы попадете на:

W - первый символ следующего большого слова;

E - следующий последний символ большого слова;

B - предшествующий первый символ большого слова.

Дальние переходы

Осталось рассмотреть еще несколько команд, и можно будет начинать их записывать на шпаргалку. Вы можете использовать скобки:

( и ) чтобы перейти на начало предыдущего и следующего предложения.

{ или } (фигурные скобки) – Позволят перескочить в начало параграфа.

Выход

Мы рассмотрели основные команды перемещения, однако осталась еще пара команд, которые вам необходимо знать. Напечатав:

:q вы должны выйти из Vi. Если не получиться, значит вы каким-то образом ухитрились изменить файл;

:q! выйти отбросив изменения следует командой.

Теперь вы должны оказаться в командной строке системы.

Любая команда в Vi, начинающаяся с двоеточия («:»), называется командой ex-режима (an ex-mode command). Это из-за того, что Vi имеет встроенный не экранный редактор, зовущийся ex . Он может использоваться подобно sed для выполнения операций редактирования, ориентированных на строки. Дополнительно, как мы только что видели, он может использоваться для завершения работы. Если вы случайно нажмете , находясь в командном режиме, то можете оказаться в ex-режиме. В этом случае вы столкнетесь с приглашением «:», и нажатие на Enter будет сдвигать вверх содержимое экрана. Для возврата к привычному vi-режиму просто наберите vi и нажмите .

Сохранение и редактирование

Save(сохранить) и Save as...(сохранить как...)

Мы уже видели, как используя ex-команду :q выйти из vi.

:w filename – для сохранение под другим именем;

В Vim (и других потомках Vi, типа elvis), вы можете держать открытыми одновременно несколько буферов. Введите команду

:sp filename.txt для открытия файла filename.txt в новом окне;

:sp (без имени файла) откроет дополнительное окно для активного буфера.

Для перехода между окнами нажмите , (дважды +) . Любая из команд :q, :q!, :w и :x относиться только к активному окну.

Простое редактирование

Вот и подошло время заняться изучением простых команд редактирования. Рассматриваемые здесь команды считаются «простыми» из-за того, что оставляют вас в командном режиме. Более сложные команды автоматически переводят вас в режим ввода текста, позволяющий добавлять в буфер символьную информацию, набираемую на клавиатуре; их рассмотрим позднее.

J – присоединение следующей стоки к текущей;

r+символ – замена символа на символ;

dd – удаление текущей стоки.

Повторение и удаление

Повторить любую команду редактирования вы можете нажимая клавишу <. > (точка). Если попробуете, то можете увидеть, что печать dd… удалит 4 строки, а J…… объединит семь строк. Как обычно, Vi обеспечивает вас различными удобными средствами сокращения трудозатрат.

Удалять текст вы можете также комбинируя команду d с любыми командами перемещения. Например, dw удалит часть текста от текущей позиции курсора до начала следующего слова; d) удалит вплоть до следующего конца предложения, и d} удалит весь остаток абзаца. Поэкспериментируйте с командой d и другими командами редактирования, пока не почувствуете себя с ними уверенно.

Режим ввода текста

Мы уже рассмотрели, как в vi перемещаться, выполнять чтение\запись файлов и основные операции редактирования. Однако, я еще не объяснил, как напечатать произвольный текст! Сделано это было умышленно, так как поначалу режим ввода текста в Vi малость сложноват. Тем не менее, после того, как вы станете спокойно себя чувствовать в режиме ввода текста, эта сложность (и гибкость) станет настоящей ценностью.

В Vi, в режиме ввода текста, вы можете вводить текст «прямо на экран», как в большинстве других экранных редакторов. Сделав свои изменения, вы можете нажать

Esc – вернуться в командный режим;

i или a – вернуться/войти в режим ввода.

Не забудьте, введя свой текст, нажать для возврата в режим команд.

Комбинированные команды

Vi действительно становиться мощным, когда вы начинаете использовать совмещенные (или комбинированные) команды, типа d{ и cw . Дополнительно к таким командам, вы также можете совмещать числа с любыми командами перемещения, как 3w , которая сообщает Vi о необходимости проскочить вперед на три слова. Вот еще несколько примеров таких комбинированных команд: 12b , 4j .

Разрешая комбинации (число)(команда перемещения), Vi позволяет еще совмещать команды d или c с числами или командами перемещения. Так d3w удалит следующие три слова, d2j удалит текущую и две следующие строки, и т.д. Попробуйте немного поэкспериментировать с командами c и d , совмещенными с перемещениями, чтобы почувствовать, каким мощным и лаконичным может быть редактирование в Vi. Когда эти команды станут вашей второй натурой, вы сможете редактировать файлы с невероятной скоростью.

Увеличение производительности

Только что мы рассмотрели, как перемещаться, сохранять и завершать работу, выполнять простое редактирование и удаление, пользоваться режимом ввода текста. С этим багажом знаний (только что показанным на шпаргалке) вы уже способны, используя Vi, справиться практически с любой задачей.

Однако, у Vi есть еще много более мощных команд. В этом разделе вы узнаете как вы"резать (cut), скопировать (copy) и вставить (paste), найти (search) и заменить (replace) текст, а так же, как использовать автоматический отступ (autoindent). Эти команды помогут Vi быть более приятным и производительным.

Экранный режим

Лучшим способом вырезать и вставлять фрагменты текста является использование экранного режима, специального режима, добавленного в современных версиях Vi, таких как Vim и elvis. Вы можете представлять себе экранный режим как режим «подсвечивания текста». Выделенный текст может быть скопирован или удален, а затем вставлен. Если вы используете GVim, выделить кусок текста вы можете просто нажав левую кнопку мышки и протащив курсор по нужной области. Войти в экранный режим вы еще можете нажав v (это может быть вашей единственной возможностью, если вы используете Vi в консоли). Затем, двигая курсор командами перемещения (обычно стрелками), вы можете выделить область текста. Закончив выделение, вы уже готовы вырезать либо копировать текст.

Для копирования текста нажмите y (от слова «yank»). Чтобы вырезать текст нажмите d . Вы будете переведены назад в командный режим. Теперь переместитесь в то место, где вы хотите вставить вырезанный или скопированный текст, и нажмите P (заглавная) для вставки перед курсором или p (строчная) для вставки за курсором. Всё, копирование\вырезание и вставка выполнены! А теперь проделайте еще несколько раз процедуру копирования\вырезания и вставки перед тем, как перейти к следующему разделу.

Для того, чтобы вставить в редактор содержимое буфера обмена (в который Вы скопировали информацию по + ) необходимо установить утилиту xclip

apt-get install xclip

и скопировав нужный текст выполнить в командном режиме редактора

:r! xclip -o и нажмите .

Замена текста

Для замены образцов текста мы используем ex-режим. Если вы хотите заменить первый попавшийся в текущей строке образчик, наберите:

:s/// и нажмите , где - что хотите заменить, и - на что.

Для замены всех совпадений с эталоном в текущей строке используйте команду:

:%s///g – замена каждого вхождения образца во всем файле (что обычно и требуется);

И не забудьте, набрав команду, нажать .

Выделение

Vi поддерживает автоматический отступ при редактировании вами исходников (текстов программ). Большинство современных версий Vi (таких, как Vim) могут самостоятельно включать абзацный авто отступ при редактировании вами исходников (например, файлов типа.c).

:set autoindent – включить авто отступ;

:set tabstop=(число) – установить авто табуляцию (где число есть число символов табуляции).

Если авто отступ включен, вы можете использовать для уменьшения и для увеличения уровня отступа.

Ссылки

Полезное

Обои с описанием клавиатурных сокращений и команд.

Размер: 1366х768
Для загрузки нажмите на изображение, в появившемся окне нажмите на изображение ещё раз для увеличения и нажмите правой кнопкой «Сохранить изображение как…»