Шифрование и защита в сети

Согласно данным исследований, проводимых wardriver'ами в различных городах мира, количество сетей беспроводного доступа, в которых не применяется никаких методов шифрования трафика, составляет около 70%. Если вы сами о себе не позаботитесь - это не сделает никто! Поэтому начинаем.


Шифрование VoIP-траффа

Мы рассмотрим различные способы шифрования траффика. Начну я с самого простого - шифрование VoIP-траффа. Добиться шифрования можно с помощью Zfone, PGP (Pretty Good Privacy). Это самые популярные и простые в использовании программы для шифрования голосовой информации. Кодирование происходит непосредственно на ПК пользователя безо всяких дополнительных серверов. Программа Zfone перехватывает VoIP-трафик на компьютере пользователя и «заворачивает» его в еще один слой защиты, а именно в собственный транспортный протокол ZRTP. Эта программа совместима и с Windows, и с Linux - что тоже очень большой плюс.
Криптографическая зашита VoIP-трафика — это очень важная задача, потому что каналы интернета гораздо хуже защищены, чем традиционные телефонные сети. Фактически, в интернете можно подключаться к другим разговорам и осуществлять прослушку в несколько нажатий кнопки мыши. Но об этом в другой статье.

Защити себя в IRC

В ирке тоже следует обращать внимание на безопасность. Хоть это и достаточно надежный клиент, но не лучше очередного Web-чата. В Ирц достаточно большой проблемой является - открытый IP-адрес. В русских сетях софт снабжен фильтром адреса при наличии у клиента флага +x. Айпишник представляется в виде четырех частей, две из которых имеют правдивый вид, третья – специальное число, а последняя – определенная приписка с цифровым коэффициентом. Есть декодеры, которые превращают все это в реальный IP-адрес. Как этого избежать?
Можно сделать это старыми проверенными методами. Самый распространенный способ - создание туннеля через сторонний сервер. В туннелировании трафика тебе помогут специальные сервисы, как например: proxy, socks, BNC и т.п., самый популярный из которых является прокси. Расскажу подробней про IRC-прокси.
Итак, IRC-прокси полностью эмулирует ircd-сервер (иначе никак: следует добиться совместимости с клиентом). После соединения прокси запрашивает пароль и соединяется с настоящим IRC-сервером. Впрочем, соединение как таковое происходит всего один раз – после дисконнекта пользователя баунсер остается в вечном онлайне. Таким образом, польза от psyBNC – сокрытие IP-адреса и вечный онлайн в IRC. Против сниффинга в Ирц может помочь Enygma Crypt, которая зашифрует все сообщения методом cast128. Но минус с том, что слишком большие сообщения могут пропускаться. ( скачать можно тут: http://enigma.belland.org.uk/enigmacrypt.zip)
Баунсер также поддерживает шифрование трафика. Достаточно лишь набрать команду “/ENCRYPT пароль :канал|ник”, и все твои фразы будут шифроваться методом BlowFish. Однако шифрование происходит лишь после того, как клиент отошлет сообщение на сервер. Это большой минус - трафф можно перехватить. На помощь приходит поддержка SSL-соединения, при котором данные будут передаваться по защищенному соединению, а затем шифроваться.

Стандарт GSM по праву считается одним из самых безопасных стандартов сотовой связи. Но и он не защищен от несанкционированного доступа и создания преднамеренных радиопомех. Как же защититься от этого?
В стандарте GSM все операторы используют шифрование, кроме тех стран, где это запрещено законом. Но и это не всегда является помехой. Есть такая интересная технология защиты: «frequency hopping» (прыжки по частотам), что позволяет в течение телефонного разговора снизить возможность прослушки до минимума.. То есть за счет автоматических скачков по частотам (в рамках выделенной оператору частоты) позволяет более плотно заполнять частотный диапаон, что позволяет более рационально использовать сеть. Ведь вы же не будете гоняться по частотам???

IP security

Протокол IP так хорошо распространен неслучайно.. Гибкость и способность взаимодействовать между платформами разного типа дают ему огромный плюс в развитии, но создатели не продумали эффективную защиту сетей на данной базе. И в 1993 году была создана группа IP Security Working Group, что занималась разработкой протоколов для шифрования данных. В итоге, появился набор протоколов IPsec.Как только обнаружили проблему безопасности, практически сразу стали появляться и средства защиты. Например: PGP/Web-of-Trust для шифрования сообщений электронной почты, Secure Sockets Layer (SSL) для защиты Web-трафика, Secure SHell (SSH) для защиты сеансов telnet и процедур передачи файлов. Но их недостаток - привязка к типу приложений, поэтому такая защита не может быть универсальной. Система защиты должна действовать вать на сетевом уровне OSI. Но транспортировка данных по сети не может быть произведена в обход протокола IP. Поэтому у всех сетевых приложений должна быть аналогичная система защиты.. Раз архитектура IPSec совместима с протоколом IPv4, ее поддержку достаточно обеспечить на обоих концах соединения; промежуточные сетевые узлы могут вообще ничего «не знать» об IPSec.

Наиболее распространенные уязвимости IP-сетей для несанкционированного вторжения это:
* подмена IP-адреса отправителя другим адресом (IP spoofing)
* перехват сеанса (session hijacking)
* посредничество в обмене незашифрованными ключами (man-in-the-middle).
* перехват пароля, передаваемого по сети в незашифрованной форме, путем «прослушивания» канала (password sniffing)

И своеобразные способы защиты. То есть:
* Это может быть протокол аутентификации, который позволяет удостовериться в подлинности отправителя и целостности принятых данных.
* Можно использовать протокол Encapsulated Security Payload (ESP), что отвечает за шифрование содержимого отдельных пакетов (и даже некоторых IP-адресов, передаваемых в их составе)
* может быть использован протокол обмена ключами (IKE), предназначенный для защищенного обмена ключами.

ПО вышепредставленных протоколов чаще всего устанавливают на маршрутизаторах или брандмауэрах (security gateway). В соответствии с этим различают два режима использования протоколов IPSec — транспортный и туннельный. В транспортном режиме зашифрованные данные транспортируются непосредственно между хост-компьютерами, но защита распространяется только на пакеты четвертого и вышележащих уровней. В тонельном же режиме, основная роль отводится шлюзам безопасности, но серверы (предполагается) отправляют в сеть обычный IP-трафф. Поэтому сначала пакет попадет шлюз и зашифровывается, снабжается новым IP-заголовком и после идет в сеть. А противоположный шлюз уже дешифрует его и передает в конечную точку в изначальном виде. Тунеллирование позволяет применять защиту на сетевом уровне модели OSI, также скрывает истинные IP-адреса, для уменьшения риска атак.
Шифрование могут обеспечить такие программы как Webtunnel и аналогичные ей.

В следующей статье я расскажу вам о том, как можно осуществлять прослушку голосового траффика. (если руки дойдут) Чтобы этого не допустить - шифруйтесь.