По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
Давайте рассмотрим следующую ситуацию: Санта приносит игрушки всем хорошим девочкам и мальчикам.
На 2019 год в мире проживало 7 713 468 100 человек, около 26,3% из которых моложе 15 лет. Это 2 028 642 110 детей (лиц в возрасте до 15 лет) в мире.
Есть такое мнение, что Санта посещает детей не всех религий, поэтому мы обобщим и включим в рассмотрение только христиан и нерелигиозных людей. В совокупности это примерно 44,72% населения. Если мы предположим, что дети исповедуют ту же религию, что и родители, то получится, что Санта-Клаус должен посетить 907 208 751,6 детей.
Какой процент из этих детей хорошие? Это узнать невозможно; однако мы можем поработать с несколькими предположениями. Во-первых, Санта-Клаус действует больше из соображений оптимизма, а не экономии, так что, он, вероятно, был бы готов к возможности того, что каждый ребенок будет хорошим в любой год. Таким образом, он был бы готов дать игрушку каждому ребенку. Предположим, что это был отличный год и все 907 208 751,6 детей получили игрушки.
Подарков много, и, как мы знаем, все они сделаны эльфами Санты в его мастерской на Северном полюсе. Учитывая, что в году 365 дней, и один из них – Рождество, то будем считать, что у Санты есть 364 дня, чтобы сделать и упаковать 907 208 752 (округлим) подарка. Получается 2 492 331,74 подарка в день.
Почти два с половиной миллиона подарков в день – большая нагрузка для любой мастерской. Давайте рассмотрим два подхода, которые Санта может использовать, чтобы упаковать все подарки: конкурентное исполнение (конкурентность) и параллельное исполнение (параллелизм).
Последовательный процесс
Предположим, что в мастерской Санты-Клауса работает ровно один очень трудолюбивый и очень уставший эльф. Один подарок изготавливается за четыре этапа:
Раскрой дерева
Сборка и склейка игрушки
Роспись игрушки
Подарочная упаковка
Когда эльф только один, то в любой момент времени он может выполнять лишь один этап для одного подарка. Если бы эльф производил по одному подарку от начала и до конца, то этот процесс был бы последовательным. Но это не самый эффективный способ для того, чтобы изготовить два с половиной миллиона подарков за день. Например, эльфу придется ждать и при этом ничего не делать, пока клей на игрушке не высохнет, и он сможет перейти к следующему этапу.
Конкурентность
Для того, чтобы быть более продуктивным, эльф может работать над всеми подарками одновременно.
Вместо того, чтобы делать по одному подарку за раз, эльф сначала раскраивает всю древесину для всех игрушек, одну за другой. Когда все вырезано, эльф собирает и склеивает игрушки одну за другой. При такой одновременной обработки клей на первой игрушке успевает высохнуть (не требуя особого внимания со стороны эльфа), пока склеиваются другие игрушки. То же самое касается росписи и упаковки.
Так как один эльф может выполнять только одну задачу за раз, то, если он будет производить подарки одновременно, он будет использовать день максимально эффективно.
Параллелизм
Хотелось бы надеяться, что в мастерской Санты все же больше, чем один эльф. Чем больше эльфов, тем больше игрушек можно сделать одновременно в течение дня. Такая одновременная работа означает, что подарки производятся параллельно. Параллельная работа нескольких эльфов означает, что одновременно выполняется больше работы.
Эльфы, которые работают параллельно, также могут использовать конкурентность. Один эльф по-прежнему может решать только одну задачу за раз, поэтому самым эффективным вариантом будет иметь несколько эльфов, которые будут производить подарки одновременно.
Конечно, если в мастерской Санты, скажем, два с половиной миллиона эльфов, то тогда каждый эльф должен будет сделать максимум один подарок за день. В таком случае последовательная работа не снижает эффективности. И осталось бы еще 7 668,26 эльфов, которые приносили бы кофе и обед.
Санта-Клаус и многопоточность
После того, как эльфы выполнили всю тяжелую работу, Санта-Клаус должен доставить подарки – все 907 208 752.
Санте не нужно навещать каждого ребенка лично; только елку в доме. Итак, сколько же елок ему нужно посетить? Опять же, обобщая, мы скажем, что среднее количество детей в семье во всем мире составляет 2,45 (будем основываться на прогнозируемых коэффициентов рождаемости на этот год). Получается, что Санта должен посетить 370 289 286,4 дома. Давайте округлим до 370 289 287.
Сколько на это есть времени у Санты? Легенды гласят об одной ночи, что означает один оборот Земли, а, значит, 24 часа. NORAD это подтверждает.
Это значит, что Санта должен посетить 370 289 287 домов за 24 часа (86 400 секунд). Следовательно, его скорость должна составлять 4 285,75 домов в секунду, и мы еще не упоминали о, которое нужно для того, чтобы положить подарки под елку и взять печенье.
Понятно, что Санты в нашем измерении не существует. Хотя бы потому, что он достаточно пухлый и при этом он пролезает в дымоход (с зажженным огнем, оставаясь невредимым) с мешком игрушек для всех детей семьи. И это мы еще не учли тот факт, что его сани везут огромное количество игрушек для каждого верующего ребенка во всем мире и что они летают.
Существует ли Санта вне наших законов физики? Как мог кто-то реальный путешествовать по миру, доставляя посылки менее чем за 24 часа со скоростью 4 285,75 домов в секунду, и при это у него еще оставалось время на молоко, печенье и поцелуй мамочки?
Одно можно сказать наверняка: Санта пользуется Интернетом. Никакая другая технология еще не позволяла посылкам перемещаться так далеко и так быстро. Как бы там ни было, попытка охватить более четырех тысяч домов в секунду – непростая задача, даже имея в арсенале лучшее гигабитное Интернет-соединение, которое может предоставить Северный полюс. Как Санта может повысить свою эффективность?
Очевидно, что у этой загадки есть только один логичный ответ: Санта-Клаус – это многопоточный процесс.
Один поток
Давайте посмотрим на это все со стороны. Представим, что поток – это одна конкретная задача или детализированная последовательность инструкций, которую может выполнить Санта. Один поток может выполнить только одну задачу – положить подарок под елку. Поток – это некий компонент процесса, в данном случае процесса доставки подарков Санта-Клаусом.
Если бы Санта-Клаус был бы однопоточным, то он как любой однопоточный процесс мог бы выполнять лишь одну задачу за раз. Поскольку он стар и у него не такая хорошая память, то у него, вероятно, есть набор инструкций по доставке подарков, а также график, которого стоит придерживаться. Эти две вещи направляют поток Санты, пока его процесс не завершится.
Однопоточный Санта-Клаус работает примерно по следующей схеме:
Посадить сани у дома Тимми.
Достать подарок Тимми из саней.
Войти в дом через дымоход.
Найти рождественскую елку.
Положить подарок Тимми под рождественскую елку.
Выйти из дома через дымоход.
Взлететь на санях.
И так по кругу… еще 370 289 286 раз.
Многопоточность
Многопоточный Санта-Клаус, напротив, является доктором Манхэттеном Северного полюса. В мире существует все еще один Санта-Клаус, но у него есть удивительная способность размножить свое сознание и одновременно выполнять несколько наборов инструкций. Эти дополнительные рабочие задачи, или рабочие потоки, создаются и контролируются основным процессом доставки подарков Санта-Клауса.
Каждый рабочий поток действует независимо, выполняя свои инструкции. Так как все они являются копией сознания Санты, то у них есть его память, и они знают все, что знает Санта, в том числе то, как устроена планета, по которой они доставляют подарки, и откуда эти подарки брать.
Благодаря этим знаниям каждый поток может выполнять свой набор инструкций параллельно с другими потоками. Такой многопоточный параллелизм делает единственного и неповторимого Санта-Клауса максимально продуктивным.
Если в среднем выполнение доставки подарка занимает час, то Санте нужно создать всего 4 286 рабочих потоков. Совершая по одной доставке в час таким образом, Санта завершит все 370 289 287 поездок к концу ночи.
Конечно, чисто теоретически, Санта может создать даже 370 289 287 рабочих потоков, каждый из которых займется одним домом, чтобы доставить подарки всем детям! Это сделало бы Санту максимально продуктивны, а также объяснило бы, как ему удается съесть все эти печеньки с молоком, не объевшись. ????
Эффективное и счастливое многопоточное Рождество
Благодаря современным компьютерам мы наконец-то понимаем, как Санта-Клаус справляется с, казалось бы, невыполнимой задачей доставки игрушек хорошим девочкам и мальчикам по всему миру. От моей семьи вашей семье, я надеюсь, вы проводите отличное Рождество. И не за будьте повесить носки на полку маршрутизатора.
Конечно, все это никак не объясняет, как же все-таки северным оленям удается летать.
Межсетевые экраны (Firewall) Концепция межсетевого экрана (МЭ) была введена для того, чтобы обезопасить процесс обмена данными между сетями. Межсетевой экран это программное или аппаратное устройство, которое контролирует поток трафика между различными сетями и может блокировать и пропускать определенные данные по предопределенным правилам безопасности. МЭ используется не только для защиты системы от внешних угроз, но и от внутренних. Надежный МЭ может справиться как с внутренними, так и с внешними угрозами и вредоносным программным обеспечением. Межсетевой экран также позволяет системе остановить пересылку незаконных данных в другую систему. МЭ всегда находится между частной сетью и интернетом, который является публичной сетью, поэтому он фильтрует входящие и исходящие пакеты. Выбор надежного межсетевого экрана имеет решающее значение в создании безопасной инфраструктуры.
>
Система межсетевого экрана может работать на пяти уровнях эталонной модели OSI. Но большинство работают на четырех уровнях: канальном, сетевом, транспортном и прикладном. Количество слоев, охватываемых брандмауэром, зависит от типа используемого МЭ. Чем больше уровней анализирует МЭ, тем выше безопасность всей системы. При классификации по методам фильтрации основными типами являются:
МСЭ для фильтрации пакетов: система изолированно проверяет каждый входящий или выходящий из сети пакет и принимает или отклоняет его на основе определяемых пользователем правил. Пакетная фильтрация достаточно эффективна, но не имеет возможности просмотреть содержание пакета.
МСЭ с инспекцией пакетов (SPI) проверяет сеансы между приложениями и ограничивает прохождение пакетов, нарушающих спецификации TCP/IP.
МСЭ прикладного уровня проверяет данные внутри пакетов, поступающих от приложений.
МСЭ следующего поколения (NGFW) использует многоуровневый подход для интеграции возможностей.
Межсетевые экраны для фильтрации пакетов. Когда пакет проходит через МСЭ он сообщает источник пакета, пункт назначения, протокол и номер порта. Пакет отбрасывается, не пересылается к месту назначения если он не соответствует набору правил МСЭ. Например, МСЭ с правилом блокировки доступа Telnet, будет отклонять пакеты TCP к порту 23, через который работает протокол Telnet. МСЭ с фильтрацией пакетов работает в основном на сетевом уровне эталонной модели OSI, а также используется транспортный уровень для получения номера порта. Он проверяет каждый пакет независимо от существующего трафика и не может определять из чего состоит пакет.
МСЭ с инспекцией пакетов (SPI) также называемые как МСЭ с динамической пакетной фильтрацией. Такие МСЭ не только проверяют каждый пакет, но и отслеживают, является ли этот пакет частью установленного TCP или другого сетевого сеанса. Это обеспечивает большую безопасность, чем фильтрация пакетов или мониторинг каналов, но оказывает большее влияние на производительность сети. Они контролируют пакеты и соединение по времени и проверяют как входящие, так и исходящие пакеты. Этот тип МСЭ основывается на таблице, которая отслеживает все открытые соединения. При поступлении новых пакетов МСЭ сравнивает информацию в заголовке пакета с таблицей, содержащей список открытых соединений, и определяет, является ли пакет частью установленного соединения. Если это так, то пакет пропускается без дальнейшего анализа. Если же он не соответствует существующему соединению, он оценивается в соответствии с набором правил для новых соединений. МСЭ с инспекцией пакетов достаточно эффективны, но они могут быть уязвимы для атак типа "отказ в обсаживании" (DoS). DoS-атаки работают, используя преимущества установленных соединений, которые данный тип МСЭ определяет безопасными.
МСЭ уровня приложений обеспечивает фильтрацию на уровне приложений и объединяет в себе некоторые атрибуты МСЭ с фильтрацией и инспекцией пакетов. Он фильтрует пакеты не только по службе, для которой они предназначены, но и по некоторым другим характеристикам, таким как строка HTTP-запроса. МСЭ уровня приложения могут просматривать пакет, чтобы отличить допустимые запросы от вредоносного кода, замаскированного под допустимый запрос данных. Поскольку этот тип проверяет содержимое пакета, он представляет инженерам безопасности более детальный контроль над сетевым трафиком. Ключевым преимуществом фильтрации на уровне приложений является возможность блокировать конкретно содержимое, например известное вредоносное программное обеспечение или некоторые веб-сайты, а также распознавать, когда определенные приложения и протоколы, такие как протокол передачи гипертекста (HTTP), протокол передачи файлов (FTP) и система доменных имен (DNS) используются не по назначению. Правила МСЭ уровня приложений также могут использоваться для управления выполнением файлов или обработки данных конкретными приложениями.
МСЭ следующего поколения (NGFW) сочетает в себе фильтрацию и инспекцию, и некоторые типы глубокой инспекции пакетов, а также другие системы сетевой безопасности, такие как обнаружение, предотвращение вторжений, фильтрация вредоносных программ и антивирусы. Современные сети имеют много точек входа и различных типов пользователей, что требует строгий контроль доступа и безопасность хоста. Эта потребность привела к появлению NGFW.
Аутентификация и контроль доступа
Аутентификация процесс определения того, является ли кто-то или что-то на самом деле тем, кем оно себя объявляет. Технология аутентификации обеспечивает управление доступом путем проверки соответствия учетных данных пользователя учетным данным в базе данных авторизованных пользователей или же на сервере аутентификации данных. Пользователи обычно идентифицируются с помощью своего кода, и аутентификация выполняется, когда пользователь предоставляет учетные данные, например пароль, который соответствует идентификатору пользователя. Аутентификация имеет важное значение, поскольку она обеспечивает безопасность сетей и систем позволяя только аутентифицированным пользователям получать доступ к защищенным ресурсам, таким как компьютерные сети, базы данных, веб-сайты и другие сетевые приложения. После аутентификации пользователь или процесс подвергается процессу авторизации, чтобы определить, может ли аутентифицированных объект иметь доступ к защищенному ресурсу или системе. Пользователь может быть аутентифицирован, но ему не будет предоставлен доступ к ресурсу, если этому пользователю не было предоставлено разрешение на доступ к нему. Процесс, посредством которого доступ к этим ресурсам ограничивается определенным кругом пользователей, называется контролем доступа.
Аутентификация пользователя с помощью имени пользователя и пароля обычно считается самым простым типом аутентификации и заключается в том, что пользователь должен предоставить свой идентификатор пользователя и пароль. Поскольку этот тип аутентификации зависит от одного фактора аутентификации, то он относится к однофакторной аутентификации. Строгая аутентификация это термин, который не бы формально определен, но обычно используется для обозначения того, что используемый тип аутентификации является более надежным и устойчивым к атаке. Это достигается как правило при помощи использования двух различных факторов аутентификации. Фактор аутентификации представляет собой некоторый фрагмент данных или атрибут, который может быть использован для проверки подлинности пользователя, запрашивающего доступ к системе. Выделяется несколько факторов аутентификации: фактор знания, фактор обладания и фактор неотъемлемости. В последние годы были предложены и введены в действие дополнительные факторы, такие как фактор местоположения и фактор времени. В настоящее время используют следующие факторы аутентификации:
Фактором знания могут быть любые учетные данные для аутентификации, которые состоят из информации, которой обладает пользователь, включая личный идентификационный номер, имя пользователя, пароль или ответ на секретный вопрос.
Фактором обладания могут быть любые учетные данные, основанные на элементах, которыми пользователь может владеть и носить с собой, включая аппаратные устройства, такие как токен безопасности или мобильный телефон, используемый для приема текстового сообщения или запуска приложения аутентификации, которое может генерировать одноразовый пароль.
Фактор неотъемлемости основан на некоторой форме биометрической идентификации, включая отпечатки пальцев, распознавание лиц, сканирование сетчатки глаза или любой другой формы биометрических данных.
Фактор местоположения используется в качестве дополнения к другим факторам. Местоположение может быть определенно с высокой точностью с помощью устройств, оснащенных GPS, или с меньшей точностью путем проверки сетевых маршрутов. Фактор местоположения обычно не используется сам по себе для аутентификации, но он может дополнить другие факторы, предоставляя средство исключения ложных запросов.
Фактор времени, как и фактор местоположения сам по себе недостаточен, но является дополнительным механизмом для выявления злоумышленников, которые пытаются получить доступ к ресурсу в то время, когда этот ресурс недоступен авторизованному пользователю.
Добавление факторов аутентификации в процесс проверки подлинности обычно повышает безопасность. Строгая аутентификация обычно относится к аутентификации, которая использует по крайней мере два фактора, имеющих различные типы. Двухфакторная аутентификация обычно зависит от фактора знаний в сочетании с фактором неотъемлемости или фактором владения. Многофакторная аутентификация может включать любой тип аутентификации, который зависит от двух и более факторов, но процесс аутентификации, использующий пароль и два различных типа биометрической аутентификации не будет считаться трехфакторной аутентификацией.
Традиционная аутентификация зависит от использования файла паролей, в которых идентификаторы пользователей хранятся вместе с хэшами паролей, связанных с каждым пользователем. При входе в систему предоставленный пароль хешируется и сравнивается со значением в файле паролей. Если два хэша совпадают, пользователь проходит проверку. Этот метод аутентификации имеет недостатки. Злоумышленники, у которых есть доступ к файлу паролей, могут использовать атаку грубой силы на хэш пароля для его извлечения. Также этот подход потребует несколько аутентификаций в приложениях, которые получают доступ к ресурсам в нескольких системах. Системы аутентификации на основе пароля являются более уязвимыми, чем системы, требующие нескольких независимых методов. К наиболее распространенным методам аутентификации относятся:
Многофакторная аутентификация (MFA)
Метод аутентификации, который требует двух или более независимых способов идентификации пользователя. Добавляет дополнительный уровень защиты к процессу аутентификации. Многофакторная аутентификация требует, чтобы пользователь предоставил второй фактор аутентификации в дополнение к паролю. Такие системы часто требуют от пользователя ввести код подтверждения, полученный с помощью текстового сообщения на предварительно подтвержденном мобильном телефоне, или код, созданный приложением для аутентификации, а также отпечатки пальцев или распознавание лиц. Методы и технологии аутентификации MFA повышают доверие пользователей, добавляя несколько уровней безопасности. MFA служит хорошей защитой от взломов, однако имеет недостатки, такие как потеря телефона или SIM-карты, что в свою очередь ограничит пользователю доступ к своей учетной записи.
Проверка подлинности на основе сертификатов
Технология проверки подлинности на основе сертификатов позволяет идентифицировать пользователей, компьютеры и другие устройства с помощью цифровых сертификатов. Сертификат содержит цифровой идентификатор пользователя, включая открытый ключ, и цифровую подпись центра сертификации. Пользователи предоставляют свои цифровые сертификаты при входе на сервер. Сервер проверяет достоверность цифровой подписи и центра сертификации. Затем сервер использует криптографические методы, чтобы подтвердить, что пользователь имеет правильный закрытый ключ, связанный с сертификатом. Такими являются, например, SSL-сертификаты (Secure Sockets Layer). Поддержка SSL встроена во все основные браузеры.
Биометрическая аутентификация
Процесс обеспечения безопасности, который зависит от уникальных биологических характеристик человека. Некоторые системы могу зависеть исключительно от биометрической идентификации. Однако, биометрия обычно используется в качестве второго или третьего фактора аутентификации. Наиболее распространённые типы биометрической аутентификации включают в себя распознавание лиц, сканеры отпечатков, идентификацию голоса и сканеры сетчатки глаз.
Аутентификация по ключам доступа
Такой способ используется для аутентификации сервисов, приложений или устройств при обращении к веб-сервисам. В методе проверки ключа первому пользователю присваивается уникальное сгенерированное значение, указывающее, что пользователь известен. Затем каждый раз, когда пользователь пытается войти в систему, его уникальный ключ используется для проверки того, является ли он тем же пользователем, что вошел в систему раннее. Использование ключей позволяет избежать использования пароля пользователя сторонними сервисами.
Аутентификация по токенам
Технологии аутентификации на основе маркеров позволяют пользователям вводить свои учетные данные один раз и получать уникальную зашифрованную строку случайных символов. Затем пользователь может использовать свой токен для доступа к защищенным системам без повторного ввода учетных данных. Такой способ аутентификации чаще всего применяется при построении систем единого входа Single-Sign-On (SSO), в которых один сервис предоставляет функцию аутентификации другому сервису. Примером может послужить ситуация, когда пользователь может войти в приложение через свою учетную запись в социальной сети. Наиболее популярным стандартом данного типа является протокол OAuth, который позволяет выдать одному сервису права на доступ к данным пользователя на другом сервис. OAuth выступает в качестве посредника от имени пользователя, предоставляя сервису токен доступа, который разрешает совместное использование определенных данных.
Шифрование данных
Шифрование конфиденциальных данных является одним из ключевых способов защиты. Несмотря на комплексную защиту сервиса или системы у злоумышленника есть шанс получить доступ к конфиденциальной информации, так как ни одна система не может являться полностью защищенной от атак и утечек. Шифрование же позволяет сделать украденную информацию бесполезной для злоумышленника, так как в зашифрованном виде данные не несут никакой информации. Чтобы расшифровать информацию злоумышленник должен будет подобрать ключ для расшифровки, однако при определенной длине ключа это будет сделать невозможно. Это делает метод шифрования основой для построения безопасных систем и защиты персональных данных.
Шифрование обычно используется для защиты данных при передаче и хранении. При использовании банкоматов или покупок в интернет-магазинах, шифрование используется защиты передаваемой информации. Компании и организации все больше полагаются на шифрование для защиты приложений и конфиденциальной информации, когда происходит утечка данных. Существует три главных компонента системы шифрования: данные, алгоритм шифрования и управление ключами шифрования. В большинстве устройств три этих компонента находятся в одном месте, однако безопаснее хранит и выполнять в разных местах, так как это снизит риск компрометации каждого компонента.
Существует множество различных методов шифрования, но не все предоставляют необходимую защиту. Не так давно 64-битное шифрование считалось достаточно надежным, но с совершенствование электронной вычислительной техники и введением 128-битных решений шифрование с такой длиной ключа оказалось небезопасным. Все алгоритмы шифрования можно подлить н две категории: симметричные и ассиметричные.
Симметричные шифры используют один ключ для шифрования и расшифрования. Ключ называют общим, так как он хранится и у отправителя, и у получателя. Симметричные шифры считаются более быстрыми по сравнению с ассиметричными. Наиболее часто использующимся алгоритмом шифрования, является алгоритм AES (AdvancedEncryptionStandard), который был разработан для защиты секретной правительственной информации, однако сейчас используется повсеместно. В нашей стране симметричным алгоритмом шифрования является ГОСТ Р 34.12 2015.
Ассиметричные шифры используют два различных ключа для шифрования и расшифрования. В основе таких алгоритмом лежит использование больших простых чисел для создания ключа. Алгоритм ассиметричного шифрования RSA (Rivest-Shamir-Adleman) является наиболее распространенным. При его использовании создается пара ключей: открытый и закрытый ключ. Открытый ключ используется при шифровании данных, он известен любому и может передаваться открыто. Зашифрованное же сообщение может быть расшифровано только владельцем закрытого ключа. В настоящее время многие криптографические процессы используют симметричный алгоритм для шифрования, а ассиметричный для безопасной передачи закрытого ключа.
Шифрование является эффективным способом защиты конфиденциальной информации, но для этого требуется тщательно хранить и использовать ключи, чтобы гарантировать защищенность информации и доступность, когда она необходима. Доступ к закрытым ключам должен контролироваться и ограничиваться определенным кругом лиц, кому необходимо их использовать. Правильное управление закрытыми ключами на протяжении всего срока их использования, защита их от утечек и неправильного использования каждая организация вырабатывает для себя самостоятельно. Необходимо поводить аудит для выработки эталонной модели управления закрытыми ключами. Программное обеспечение для управления ключами может помочь централизовать этот процесс, а также защитить ключи от несанкционированного доступа, подмены и удаления.
Хеш-функции представляют другой тип шифрования. Хеш-функции чрезвычайно полезны и применяются во множестве приложений, обеспечивающих информационную безопасность. Хэширование это преобразование входного значения бит в другое более сжатое значение бит при помощи математических функций. Входные данные различаются по длине, но на выходе имеют одинаковый размер. Данные, преобразованные с помощью хэш-функций при малейшем изменении, могут быть обнаружены, так как это повлечет полное изменение результирующего хэша. Хэш-функции считаются типом одностороннего шифрования, так как для расшифровки необходим другой ключ, не совпадающий с ключом шифрования. Основным применением хэш-функций является хранение паролей и проверка целостности данных. Популярными алгоритмами хэширования являются алгоритмы SHA-2 и SHA-3. Наиболее популярными алгоритмами шифрования являются:
Алгоритм DES алгоритм шифрования данных с симметричным ключом. DES работает с использованием одного и того же ключа для шифрования и расшифровки сообщения, поэтому отправитель и получатель знают и используют один и тот же ключ. Основан на конструкции называемой сетью Фейстеля. На данный момент алгоритм DES практически не используется. Он заменен более надежным алгоритмом шифрования AES.
Алгоритм AES также является симметричным блочным шифром. Он используется в программном и аппаратном обеспечении по всему миру и пришел на замену алгоритма DES. AES имеет длину блока в 128 бит, размер ключа 128, 192 или 256 бит.
Протокол Диффи-Хелмана был разработан в 1978 году и стал первым ассиметричным шифром, при помощи которого можно было обмениваться сообщения по открытому каналу связи, не боясь утечки информации. Алгоритм позволяет двум сторонам договориться через незащищенный канал об общем секретном ключе для шифрования симметричным алгоритмом.
Криптография на эллиптических кривых (ECC). Криптосистемы на эллиптических кривых это системы с открытым ключом шифрования, основанные на теории эллиптических кривых, которые используются создания более быстрых и эффективных способов создания ключей. Данный способ может использоваться в сочетании с другими ассиметричными алгоритмами. Менее короткий ключ в такой системе дает тот же уровень защищенности, как и в обычных алгоритмах шифрования с более длинным ключом. На данный момент криптография на эллиптических кривых применяется в протоколах TLS, SSL на которых основывается все современные компьютерные сети и системы.
Квантовое распределение ключей. Метод шифрования сообщений с помощью пары запутанных фотонов. Квантовая запутанность позволяет отправителю и получателю узнать, был ли ключ шифрования перехвачен или изменен, еще до того, как он поступает получателю, так как сам акт наблюдения над передаваемой информацией изменяет ее. После того как было определено, что шифрование является безопасным и не было перехвачено, предоставляется разрешение на передачу зашифрованного сообщения.
Для любого криптографического шифра основным способом атаки является метод грубой силы, который заключается в переборе ключей пока не будет найден нужный. Длинна ключа определяет количество возможных ключей, из чего и вытекает целесообразность атаки грубой силы. Сложность шифрования напрямую зависит от длинны ключа, чем длиннее требуется ключ, тем требуется ресурсов для выполнения этой задачи. Злоумышленники также могут взломать шифр с помощью криптоанализа. Процесса поиска слабых мест у целевого шифра. В некоторых случаях этот способов требует меньше ресурсов чем атака грубой силы. Вероятность успешной атаки на шифр выше, если у самого алгоритма имеются недостатки.
Антивирусная защита
Антивирусное программное обеспечения это класс программ, предназначенных для предотвращения и удаления вредоносных файлов и скриптов на отдельных компьютерах, сетях или системах. Антивирусы предотвращают множество угроз, таких как вирусы, троянские кони, черви, рекламное программное обеспечение, ботнеты, вымогатели, шпионские программы и множество других разновидностей угроз. Принцип работы антивируса заключается в фоновом сканировании компьютера, сервера или сети, обнаружении и предотвращении распространения вредоносных файлов. Для полного сканирования системы антивирусное ПО должно обладать повышенными правами для доступа ко всей системе. Этот факт делает антивирусы привлекательной целью для злоумышленников.
Антивирусы используют различные способы обнаружения вредоносных программ. Изначально антивирусы обнаруживали вредоносные файлы на основе сигнатур. Сигнатурами являются уникальные последовательности байтов, принадлежащие конкретному вирусу и не существующие в других программах. Сигнатуры используются антивирусом для определения того, что является вирусом, которые в свою очередь были уже обнаружены и проанализированы специалистами. Для эффективного использования антивирусного программного обеспечения, использующего метод сканирования, необходимо постоянно обновлять базы со сведениями о новых вирусах. Так как ежегодно появляется миллионы новых вредоносных программ, современные базы данных с сигнатурами вредоносного ПО могут быть огромных размеров. Это делает антивирусы, основанные на сканировании сигнатур, малоэффективным и непрактичным.
Эвристический анализ в антивирусах позволяет определять неизвестные на данный момент вирусы. Он основан на сигнатурах и эвристическом алгоритме. Данный метод позволяет улучшить работу сканеров применять сигнатуры и позволяет обнаруживать модифицированные и измененные версии вредоносного ПО. Обнаружение срабатывает, когда сигнатура вируса частично совпадает с обнаруженным подозрительным ПО, имеющим общие признаки с известным вирусом или модель его поведения. Однако такой метод может генерировать множество ложных совпадений в случаях, когда определенное ПО ведет себя как известный вирус.
Антивирусы также используют методы обнаружения изменений, который основывается на слежении за изменением файлов на дисках компьютера. Так как любой вирус изменяет файлы системы каким-либо образом. Данный метод позволяет обнаруживать даже неизвестное на данный момент программное обеспечение.
SIEM системы
Системы управления информацией и событиями о безопасности обеспечивают в реальном времени анализ событий безопасности, полученных нескольких источников, выявляя отклонения и нормы и дает возможность среагировать до получения существенного ущерба. SIEM система при обнаружении потенциальной угрозы может регистрировать записывать поступающую информацию и давать инструкции другим элементам управления безопасностью для остановки возможной угрозы. SIEM системы работают путем сбора данных о событиях, созданных приложениями, операционными системами и устройствами безопасности, такими как межсетевые экраны и антивирусное программное обеспечение. Системы управления информацией и событиями о безопасности идентифицируют и сортируют данные о событиях безопасности, такие как неудачные входы в систему, вредоносная активность и другие возможные злонамеренные действия. При выявлении потенциальных угроз SIEM система создает предупреждения. Например, учетная запись пользователя, в которую сделали множество неудачных попыток входа в течение короткого времени, может быть определена как подозрительная активность и SIEM система создает предупреждение о попытке атаки грубой силы на учетную запись пользователя. SIEM системы упрощают управление безопасностью компании путем анализа большого количества данных о состоянии системы или сервиса, создаваемых программным обеспечением. Такие системы позволяют обнаруживать инциденты, которые в любой другой ситуации могли остаться незамеченными. Кроме того, благодаря постоянной фиксации и сбору событий из различных источников, SIEM система может воссоздать весь процесс атаки, что позволит компании определять характер атак и слабые места системы. SIEM системы значительно повышают безопасность системы и помогают обнаружить атаки злоумышленников в самом начале.
Почитайте первую часть статьи.
Первая проблема. Два роутера работают с одной областью OSPF, и каждый роутер имеет loopback интерфейс, объявленный в OSPF. Вот вывод таблиц маршрутизации:
Как мы можем наблюдать, что роутер R1 узнал о сети 10.2.2.0/24 от роутера R2, но в таблице маршрутизации роутера R2 пусто. Что не так?
Видно, что OSPF не включен на интерфейсе loopback0 роутера R1, так что же мы тогда объявляем в сетях?
Похоже, мы объявляем сеть 10.10.1.0/24, но эта сеть не настроена ни на одном интерфейсе... Сеть 10.1.1.0/24 настроена на интерфейсе loopback0 роутера R1.
Здесь вы видите неправильно введенную команду network. Удалим ее.
R1(config)#router ospf 1
R1(config-router)#no network 10.10.1.1 0.0.0.0 area 0
R1(config-router)#network 10.1.1.0 0.0.0.255 area 0
Давайте удостоверимся, что команда network настроена правильно.
Проблема устранена! Эта проблема может показаться не серьезной, но использование неправильных сетевых операторов - это то, что происходит постоянно. Особенно если мы используем меньшие подсети (например, /27 или /28 или аналогичные), люди склонны делать ошибки с обратными маскам.
Итог урока: убедитесь, что вы настроили правильный сетевой адрес, обратную маску и область.
Видео: протокол OSPF (Open Shortest Path First) за 8 минут
Урок №2
Очередная возможная ситуация. Опять два роутера, но другая проблема. Вот таблицы маршрутизации:
В очередной раз роутер R2 не увидел сеть 10.1.1.0/24. Что интересно, что роутер R1 не имеет сети 10.1.1.0/24 в своей таблице маршрутизации как непосредственно подключенной.
Мы можем проверить, что роутер R1 использует правильную настройку команды network. Поскольку R1 даже не имеет сети в своей таблице маршрутизации, предположим, что проблема с интерфейсом.
Кажется, кто-то забыл применить команду "no shutdown" на интерфейсе.
R1(config)#interface loopback 0
R1(config-if)#no shutdown
Давайте включим интерфейс.
И теперь он появляется в таблице маршрутизации роутера R2. Итог урока: нельзя объявлять то, чего у тебя нет!
Урок №3
Новый урок! Одна область, опять два роутера... мы хотели бы иметь "full connectivity", но не работает OSPF ... вот вывод таблиц маршрутизации:
Роутер R1 не показывает никаких маршрутов OSPF, R2 показывает ... Необходимо выяснить, что не так:
Быстро взглянем на роутер R2, чтобы убедиться, что он действительно объявляет правильную сеть(и). Да это так и есть.
Вывод роутера R1 более интересен ... видно, что у него настроен distribute-list.
В этом заключается наша проблема. Давайте удалим distribute-list.
R1(config)#router ospf 1
R1(config-router)#no distribute-list 1 in
Эта команда отключит его.
Задача решена! Итог урока: знать о distribute-list, запрещающий объявление и / или установку префиксов в таблице маршрутизации.
Урок №4
Взглянем на более сложные проблемы OSPF. На изображении выше мы имеем роутер R1 и роутер R2, но на этот раз мы имеем конфигурацию OSPF с несколькими областями. Вот конфигурация OSPF этих роутеров:
Видно, что все сети были объявлены. Область 2 не связана напрямую с областью 0, поэтому была создана виртуальная связь.
Роутер R1, однако, не увидел сеть 2.2.2.0/24 от роутера R2, но роутер R2 увидел сеть 1.1.1.0/24. Лучше всего начать с виртуальной линии здесь:
Хм, это выглядит не очень хорошо. Виртуальная связь отключена. Обратите внимание на IP-адреса, которые мы видим здесь, это IP-адреса, настроенные на интерфейсах FastEthernet обоих маршрутизаторов.
Всякий раз, когда мы настраиваем виртуальное соединение, нам нужно настроить идентификатор маршрутизатора OSPF другой стороны, а не IP-адрес другой стороны!
Вот ошибка, так что давайте исправим ее.
R1(config)#router ospf 1
R1(config-router)#no area 12 virtual-link 192.168.12.2
R1(config-router)#area 12 virtual-link 2.2.2.2
R2(config)#router ospf 1
R2(config-router)#no area 12 virtual-link 192.168.12.1
R2(config-router)#area 12 virtual-link 1.1.1.1
Вот так должна выглядеть virtual-link, настроенная между идентификаторами маршрутизаторов OSPF.
Сразу после ввода правильных команд появятся данные сообщения в консоли.
Запись OSPF для сети 2.2.2.0/24 появилась.
Урок №5
Другая проблема. Те же роутеры, но появился "домен внешней маршрутизации". Это может быть другой протокол маршрутизации, такой как RIP или EIGRP, который мы будем распространять в OSPF. R2 перераспределяет сеть 2.2.2.0 / 24 в OSPF, но по какой-то причине она не отображается на R1. Чтобы было интересно, мы не будем просматривать конфигурацию OSPF на роутерах.
Нет сети 2.2.2.0/24 на роутере R1, поэтому давайте изучим роутер R2.
Как мы можем видеть, сеть находится в таблице маршрутизации роутера R2 как directly connected.
Как мы можем видеть роутер R2 был настроен для перераспределения напрямую подключенных сетей. Это должно включать сеть 2.2.2.0/24 на интерфейса loopback0.
Однако в базе данных OSPF пусто? Что может быть причиной этого? Возможно, вы помните правила различных типов областей OSPF. Давайте выясним, что это за область!
Вот и объяснение, это stub area! Stub area не допускают LSA type 5 (внешние маршруты). Мы можем либо превратить эту область в normal area или NSSA. Давайте переведем в NSSA.
R1(config)#router ospf 1
R1(config-router)#no area 12 stub
R1(config-router)#area 12 nssa
R2(config)#router ospf 1
R2(config-router)#no area 12 stub
R2(config-router)#area 12 nssa
Изменим тип области на обоих маршрутизаторах. Область NSSA допускает внешние маршруты с помощью LSA type 7.
Наша сеть 2.2.2.0 / 24 теперь в базе данных OSPF маршрутизатора R2.
Итог урока: Stub area не допускают внешних префиксов (LSA Type 5). Либо измените область на NSSA, либо прекратите перераспределение.
Урок №6
Очередная проблема. Проблема default route OSPF. На рисунке имеются роутер R1 и роутер R2, и сеть 192.168.12.0 /24 объявленная в OSPF. Loopback интерфейсы роутера R2 не объявляется в OSPF, но мы используем default route, чтобы роутер R1 мог добраться до них. Здесь представлены конфигурации OSPF:
Видно, что в выводе роутера R2 присутствует команда default-information originate для объявления default route.
Увы, но мы не видим default route на роутере R1. Будем искать неполадки в настройке. Давайте проверим роутер R2:
В таблице маршрутизации роутера R2 не виден default route. Чтобы OSPF объявлял default route, можно использовать два варианта:
Убедитесь, что у вас есть default route в routing table (невозможно объявлять то, чего нет);
Примените команду default-information originate always. Она объявит default route, даже если он не прописан.
R2(config)#ip route 0.0.0.0 0.0.0.0 null 0
Выше первый метод решения проблемы. Мы создадим default route на роутере R2. Обычно указывается default route на ISP роутере, но сейчас другого роутера нет. Мы укажем default route для интерфейса null0, и он будет внесен в routing table.
Правило работает!
R2(config)#no ip route 0.0.0.0 0.0.0.0 null 0
R2(config)#router ospf 1
R2(config-router)#default-information originate always
Итог урока: что бы объявить default route с помощью OSPF, вам нужно иметь default route в таблице маршрутизации или использовать ключевое слово "always".
Урок №7
Немного сложнее проблема... те же два роутера , все в зоне 0. Вот настройки OSPF:
Ничего особенного, все сети объявлены, и мы используем одну область.
Увы ... таблицы маршрутизации пусты! По крайней мере, никакой отсутствует информация о OSPF ... Настройки network выглядят хорошо, так что это хороший момент вникнуть поглубже в OSPF LSDB. Давайте сначала проверим идентификаторы маршрутизатора OSPF:
Здесь мы видим OSPF router ID. Если вы внимательно посмотрите на информацию выше, вы заметите что-то необычное. State full, но роутер R1 не выбрал DR / BDR, а роутер R2 выбрал роутер R1 в качестве BDR.
Мы можем использовать команду show ip ospf database router для поиска информации от определенного соседа OSPF. Роутер R1 говорит нам, adv router is not-reachable. Это плохо.
Роутер R2 также сообщает нам, что роутер R1 недоступен, и если вы посмотрите внимательно, то увидите, что он видит связь как point-to-point. Мы не видим этого в выводе на роутере R1. Это, вероятно, означает, что роутер R1 и роутер R2 используют другой тип сети OSPF, что приводит к разнице в LSDB. Это не позволит нашим роутерам устанавливать маршруты в таблицу маршрутизации!
Теперь мы кое-что выяснили. Тип сети отличается ... широковещательная передача на роутере R2 и точка-точка на роутере R1. Нам действительно удалось установить соседство OSPF с этим, но возникает разница в LSDB.
Произведем исправления.
R1(config)#interface fa0/0
R1(config-if)#ip ospf network broadcast
Изменение типа сети на роутере R1 сделает свое дело.
Наконец "О" появляется в наших таблицах маршрутизации...проблема решена!
Итог урока: убедитесь, что вы используете правильный тип сети OSPF на обоих роутерах.
Урок №8
Очередная внештатная ситуация. OSPF настроено между роутерами R1 и R2, но не все сети объявлены. Loopback интерфейсы роутера R2 перераспределяются в OSPF. Вот настройки обоих роутеров:
Мы наблюдаем команду redistribute connected на роутере R2, которая должна перераспределить сети на интерфейсах обратной связи в OSPF.
Однако здесь ничего нет ...
Обычно было бы неплохо проверить, есть ли distribute list или нет.
Ключ к решению этой проблемы - эта команда. Если вы наберете redistribute connected OSPF будет распространять только classful networks.
R2(config)#router ospf 1
R2(config-router)#redistribute connected subnets
Нам нужно добавить параметр "subnets", позволяющий заставить его выполнять redistribute subnet основных сетей.
Ну вот, наша маршрутная таблица заполнена.
Итог урока: добавьте параметр " subnets " при использовании перераспределения или перераспределяются только classful networks.