По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
Почитайте предыдущую статью про криптографический обмен ключами.
Предположим, вы хотите отправить большой текстовый файл или даже изображение, и позволить получателям подтвердить, что он исходит именно от вас. Что делать, если рассматриваемые данные очень большие? Или что, если данные нужно сжать для эффективной передачи? Существует естественный конфликт между криптографическими алгоритмами и сжатием. Криптографические алгоритмы пытаются произвести максимально случайный вывод, а алгоритмы сжатия пытаются воспользоваться преимуществом неслучайности данных для сжатия данных до меньшего размера. Или, возможно, вы хотите, чтобы информация была прочитана кем-либо, кто хочет ее прочитать, что означает, что не нужно ее шифровать, но вы хотите, чтобы получатели могли проверить, что вы ее передали.
Криптографические хэши предназначены для решения этих проблем. Возможно, вы уже заметили по крайней мере одно сходство между идеей хеширования и криптографического алгоритма. В частности, хэш предназначен для получения очень большого фрагмента данных и создания представления фиксированной длины, поэтому на выходе для широкого диапазона входных данных очень мало конфликтов. Это очень похоже на концепцию максимально близкого к случайному выходу для любого ввода, необходимого для криптографического алгоритма. Еще одно сходство, о котором стоит упомянуть, заключается в том, что хэш-алгоритмы и криптографические алгоритмы работают лучше с очень редко заполненным входным пространством.
Криптографический хеш просто заменяет обычную хеш-функцию криптографической функцией. В этом случае хэш может быть вычислен и отправлен вместе с данными.
Криптографические хэши могут использоваться либо с системами с симметричными ключами, либо с системами с открытым ключом, но обычно они используются с системами с открытым ключом.
Сокрытие информации о пользователе
Возвращаясь к начальным статьям, еще одна проблема безопасности - это исчерпание данных. В случае отдельных пользователей исчерпание данных можно использовать для отслеживания того, что пользователи делают, пока они находятся в сети (а не только для процессов). Например:
Если вы всегда носите с собой сотовый телефон, можно отслеживать перемещение Media Access Control (MAC), когда он перемещается между точками беспроводного подключения, чтобы отслеживать ваши физические перемещения.
Поскольку большинство потоков данных не симметричны - данные проходят через большие пакеты, а подтверждения передаются через небольшие пакеты, наблюдатель может обнаружить, когда вы выгружаете и скачиваете данные, и, возможно, даже когда вы выполняете небольшие транзакции. В сочетании с целевым сервером эта информация может дать хорошую информацию о вашем поведении как пользователя в конкретной ситуации или с течением времени. Этот и многие другие виды анализа трафика могут выполняться даже для зашифрованного трафика.
Когда вы переходите с веб-сайта на веб-сайт, наблюдатель может отслеживать, сколько времени вы тратите на каждый из них, что вы нажимаете, как вы перешли на следующий сайт, что вы искали, какие сайты вы открываете в любое время и т. д. информация может многое рассказать о вас как о личности, о том, чего вы пытаетесь достичь, и о других личных факторах.
Рандомизация MAC-адресов
Institute of Electrical and Electronic Engineers (IEEE) первоначально разработал адресное пространство MAC-48 для назначения производителями сетевых интерфейсов. Эти адреса затем будут использоваться "как есть" производителями сетевого оборудования, поэтому каждая часть оборудования будет иметь фиксированный, неизменный аппаратный адрес. Этот процесс был разработан задолго до того, как сотовые телефоны появились на горизонте, и до того, как конфиденциальность стала проблемой.
В современном мире это означает, что за одним устройством можно следить независимо от того, где оно подключено к сети. Многие пользователи считают это неприемлемым, особенно потому, что не только провайдер может отслеживать эту информацию, но и любой, кто имеет возможность прослушивать беспроводной сигнал. Один из способов решить эту проблему-позволить устройству регулярно менять свой MAC-адрес, даже, возможно, используя другой MAC-адрес в каждом пакете. Поскольку сторонний пользователь (прослушиватель) вне сети провайдера не может "угадать" следующий MAC-адрес, который будет использоваться любым устройством, он не может отслеживать конкретное устройство. Устройство, использующее рандомизацию MAC-адресов, также будет использовать другой MAC-адрес в каждой сети, к которой оно присоединяется, поэтому оно не будет отслеживаться в нескольких сетях.
Существуют атаки на рандомизацию MAC-адресов, в основном сосредоточенные вокруг аутентификации пользователя для использования сети. Большинство систем аутентификации полагаются на MAC-адрес, поскольку он запрограммирован в устройстве, чтобы идентифицировать устройство и, в свою очередь, пользователя. Как только MAC-адрес больше не является неизменным идентификатором, должно быть какое-то другое решение. Места, где рандомизация MAC-адресов может быть атакована, - это
Время (timing): если устройство собирается изменить свой MAC-адрес, оно должно каким-то образом сообщить другому абоненту беспроводного соединения об этих изменениях, чтобы канал между подключенным устройством и базовой станцией мог оставаться жизнеспособным. Должна быть какая-то согласованная система синхронизации, чтобы изменяющийся MAC-адрес мог продолжать обмен данными при изменении. Если злоумышленник может определить, когда произойдет это изменение, он сможет посмотреть в нужное время и обнаружить новый MAC-адрес, который принимает устройство.
Порядковые номера (Sequence numbers): как и во всех транспортных системах, должен быть какой-то способ определить, все ли пакеты были получены или отброшены. Злоумышленник может отслеживать порядковые номера, используемые для отслеживания доставки и подтверждения пакетов. В сочетании с только что отмеченной атакой по времени это может обеспечить довольно точную идентификацию конкретного устройства при изменении MAC-адреса.
Отпечатки информационных элементов (Information element fingerprints): каждое мобильное устройство имеет набор поддерживаемых функций, таких как установленные браузеры, расширения, приложения и дополнительное оборудование. Поскольку каждый пользователь уникален, набор приложений, которые он использует, также, вероятно, будет довольно уникальным, создавая "отпечаток" возможностей, которые будут сообщаться через информационный элемент в ответ на зонды от базовой станции.
Отпечатки идентификатора набора услуг (SSID): каждое устройство хранит список сетей, к которым оно может подключиться в настоящее время, и (потенциально) сетей, которые оно могло достичь в какой-то момент в прошлом. Этот список, вероятно, будет довольно уникальным и, следовательно, может выступать в качестве идентификатора устройства.
Хотя каждый из этих элементов может обеспечить определенный уровень уникальности на уровне устройства, комбинация этих элементов может быть очень близка к идентификации конкретного устройства достаточно часто, чтобы быть практически полезной при отслеживании любого конкретного пользователя, подключающегося к беспроводной сети.
Это не означает, что рандомизация MAC-адресов бесполезна, это скорее один шаг в сохранении конфиденциальности пользователя при подключении к беспроводной сети.
Луковая маршрутизация
Луковая маршрутизация - это механизм, используемый для маскировки пути, а также шифрования пользовательского трафика, проходящего через сеть. Рисунок 1 используется для демонстрации.
На рисунке 1 хост А хочет безопасно отправить некоторый трафик на K, чтобы ни один другой узел в сети не мог видеть соединение между хостом и сервером, и чтобы ни один злоумышленник не мог видеть открытый текст. Чтобы выполнить это с помощью луковой маршрутизации, A выполняет следующие действия:
Он использует службу для поиска набора узлов, которые могут соединяться между собой, и предоставления пути к серверу K. Предположим, что этот набор узлов включает [B, D, G], хотя на рисунке они показаны как маршрутизаторы, скорее всего, это программные маршрутизаторы, работающие на хостах, а не выделенные сетевые устройства. Хост A сначала найдет открытый ключ B и использует эту информацию для создания сеанса с шифрованием с симметричным ключом B.
Как только этот сеанс установлен, A затем найдет открытый ключ D и использует эту информацию для обмена набором симметричных ключей с D, наконец, построит сеанс с D, используя этот симметричный секретный ключ для шифрования защищенного канала. Важно отметить, что с точки зрения D, это сеанс с B, а не с A. Хост A просто инструктирует B выполнить эти действия от его имени, а не выполнять их напрямую. Это означает, что D не знает, что A является отправителем трафика, он знает только, что трафик исходит от B и передается оттуда по зашифрованному каналу.
Как только этот сеанс будет установлен, A затем проинструктирует D настроить сеанс с G таким же образом, как он проинструктировал B настроить сеанс с D. D теперь знает, что пункт назначения-G, но не знает, куда будет направлен трафик G.
У хоста A теперь есть безопасный путь к K со следующими свойствами:
Трафик между каждой парой узлов на пути шифруется с помощью другого симметричного закрытого ключа. Злоумышленник, который разрывает соединение между одной парой узлов на пути, по-прежнему не может наблюдать трафик, передаваемый между узлами в другом месте на пути.
Выходной узел, которым является G, знает пункт назначения, но не знает источник трафика.
Входной узел, которым является B, знает источник трафика, но не пункт назначения.
В такой сети только А знает полный путь между собой и местом назначения. Промежуточные узлы даже не знают, сколько узлов находится в пути-они знают о предыдущем и следующем узлах. Основная форма атаки на такую систему состоит в том, чтобы захватить как можно больше выходных узлов, чтобы вы могли наблюдать трафик, выходящий из всей сети, и соотносить его обратно в полный поток информации.
Атака "Человек посередине" (Man-in-the-Middle)
Любой вид безопасности должен не только изучать, как вы можете защитить информацию, но также учитывать различные способы, которыми вы можете вызвать сбой защиты данных. Поскольку ни одна система не является идеальной, всегда найдется способ успешно атаковать систему. Если вам известны виды атак, которые могут быть успешно запущены против системы безопасной передачи данных, вы можете попытаться спроектировать сеть и среду таким образом, чтобы предотвратить использование этих атак. Атаки "человек посередине" (MitM) достаточно распространены, и их стоит рассмотреть более подробно. Рисунок 2 демонстрирует это.
Рисунок 2-б аналогичен рисунку 2-а с одним дополнением: между хостом A и сервером C расположен хост B, который хочет начать зашифрованный сеанс. Некоторыми способами, либо подменяя IP-адрес C, либо изменяя записи службы доменных имен (DNS), чтобы имя C преобразовывалось в адрес B, или, возможно, даже изменяя систему маршрутизации, чтобы трафик, который должен быть доставлен в C, вместо этого доставлялся в B, злоумышленник заставил B принять трафик, исходящий из A и предназначенный для C. На рисунке 2-б:
Хост A отправляет полуслучайное число, называемое одноразовым номером, в C. Эту информацию получает B.
Хост B, который злоумышленник использует в качестве MitM, передает этот одноразовый номер на узел C таким образом, что создается впечатление, что пакет действительно исходит от узла A. В этот момент злоумышленник знает одноразовый идентификатор, зашифрованный A. Злоумышленник не знает закрытый ключ A, но имеет доступ ко всему, что A отправляет зашифрованным с помощью закрытого ключа A.
Сервер C также отправляет ответ с зашифрованным одноразовым случайным числом. B получает это и записывает.
Хост B передает одноразовое случайное число, полученное от C, на A. Хост A по-прежнему будет считать, что этот пакет пришел непосредственно от C.
Хост B вычисляет закрытый ключ с помощью A, как если бы это был C.
Хост B вычисляет закрытый ключ с помощью C, как если бы это был A.
Любой трафик, который A отправляет в C, будет получен B, что:
Расшифруйте данные, которые A передал, используя закрытый ключ, вычисленный на шаге 5 на рисунке 2-б.
Зашифруйте данные, которые A передал, используя закрытый ключ, вычисленный на шаге 6 на рисунке 2-б, и передайте их C.
Во время этого процесса злоумышленник на B имеет доступ ко всему потоку в виде открытого текста между A и C. Ни A, ни C не осознают, что они оба построили зашифрованный сеанс с B, а не друг с другом. Такого рода атаки MitM очень сложно предотвратить и обнаружить.
Cisco IOS-XE - операционная система на базе Linux, которую Cisco представила в 2008 коду в продуктах ASR и Catalyst. Является усовершенствованной версией более старой IOS и имеет ряд функциональных изменений.
Cisco IOS-XE добавляет поддержку симметриченой многопроцесорной архитектуры и отдельных пространств памяти. Все функции системы теперь выполняются как отдельные процессы, и это дает много преимуществ. Теперь мы можем использовать многопроцессорность – это означает, что рабочая нагрузка процессов может быть разделена между несколькими процессорами. Когда один процесс выходит из строя, он не положит вам всю систему. Звучит хорошо, не так ли? :) Программное обеспечение IOS-XE больше не является «большим» файлом, в котором есть все – у него есть отдельные подпакеты. Можно обновить отдельный подпакет, а не обновлять все. Однако, помимо своих Linux-подходов, где IOS работает как отдельный процесс, Cisco IOS-XE в основном похожа на традиционную Cisco IOS.
Какие продукты поддерживают IOS-XE?
Enterprise switches:
Catalyst 9500
Catalyst 9400
Catalyst 9300
Catalyst 3850
Catalyst 3650
Aggregation/edge routers:
ASR 1013
ASR 1009-X
ASR 1006-X
ASR 1006
ASR 1004
ASR 1002-HX
ASR 1001-HX
ASR 1002-X
ASR 1001-X
ASR 900
NCS 4200
Branch routers:
4451 ISR
4431 ISR
4351 ISR
4331 ISR
4321 ISR
4221 ISR
1000 ISR
Virtual Routing ISRv:
ISRv
CSR1000v
Converged Broadband Routers:
CBR Series
IOS XE это еще одна операционная система от Cisco?
Нет, Cisco IOS XE представляет собой непрерывную эволюцию программного обеспечения Cisco IOS для поддержки платформ следующего поколения. Сама Cisco IOS XE устанавливается на ASR-1000 с 2008 года, а Cisco IOS XE 3 SG устанавливается на Catalyst 4500-E Series с октября 2010 года. Он обеспечивает улучшенную архитектурную стратегию программного обеспечения, сохраняя при этом все преимущества и привычный интерфейс управления IOS.
Какие преимущества IOS XE над IOS
Существует несколько преимуществ перехода от IOS к IOS XE, которым будут пользоваться конечные пользователи. IOS XE поможет снизить общую стоимость владения многими решениями Cisco, предлагая расширенную интеграцию служб для повышения функциональности в сети. Кроме того, она поддерживает несколько ядер процессора, плоскость управления и разделение плоскости данных, и абстракцию платформы. Cisco IOS XE содержит Cisco IOS Release 15 внутри себя. Программное обеспечение Cisco IOS работает как процесс в Cisco IOS XE в так называемых демонах (daemon) IOS или IOSd.
Нужно ли заново обучаться работе с IOS XE?
Нет, Cisco IOS XE выглядит так же, как и традиционное программное обеспечение Cisco IOS. Изменены только несколько команд, такие как «show processor» и «show memory», которые были расширены для учета многоядерных процессоров, которые теперь поддерживает Cisco IOS XE. В целом, если вы знаете, как управлять программным обеспечением Cisco IOS, то вы знаете, как управлять Cisco IOS XE.
Каковы долгосрочные перспективы Cisco IOS XE?
Большинство платформ следующего поколения будут переноситься на Cisco IOS XE в ближайшие годы.
Могут ли мои текущие коммутаторы и маршрутизаторы быть обновлены до Cisco IOS XE?
Нет. Чтобы упростить переход, Cisco IOS XE будет представлена только после выхода новых поколений аппаратных платформ. Обновление существующей платформы без обслуживания не будет обеспечено. Аналогично, любая платформа, на которой работает Cisco IOS XE, не будет поддерживать работу с Cisco IOS.
Каким образом функции распределяются между IOS и IOS XE?
Так как Cisco IOS XE содержит IOSd в Cisco IOS, все функции, созданные в IOS, также появятся в IOS XE и наоборот. Только новые интегрированные сервисы и функции, созданные за пределами IOSd, не будут использоваться совместно с выпуском Cisco IOS. Однако эти интегрированные сервисы могут быть внедрены на платформе Cisco IOS с использованием дочерних карт Integrated Services, которые будут доступны на основе “платформа – платформа”
Какие сервисы будут представлены в Cisco IOS XE и насколько открытой будет эта платформа для интегрированных сторонних служб и приложений?
Службы, которые традиционно управляются standalone приложениями или серверами, теперь будут интегрированы в среду Cisco IOS XE. На сегодняшний день примеры включают в себя Сisco Unified Border Element (CUBE) и Session Border Controller (SBC), но этот список со временем будет пополняться.
Django – это бесплатный и свободный фреймворк для веб-приложений на языке Python. Фреймворк – это не что иное, как просто набор модулей, облегчающих разработку. Они сгруппированы и позволяют создавать приложения или веб-сайты с чистого листа, а не полностью с нуля.
«Быстрая разработка и понятный и практичный дизайн» - вот ключевые преимущества Django. При установке фреймворка Django на веб-сервере он может помочь разработчикам быстро создавать многофункциональные, безопасные и масштабируемые веб-интерфейсы.
Например, разработчикам не нужно создавать свои окна входа в систему и обработку входных данных. Очень вероятно, что что-то может пойти не так. Фреймворки позаботятся об этом за вас и помогут справиться со всеми сложными ситуациями.
Как связаны Django и Python?
Django – это платформа программирования на языке Python. Это инструмент написания программного кода на Python, который добавляет функциональность и ускоряет процесс. Django включает в себя код на языке Python, который уже написан и готов к использованию в проекте. Django – это «фреймворк», поскольку он содержит полнофункциональный набор классов, библиотек и модулей, которые позволяют разработчикам делать практически все, что им требуется для создания надежных веб-сайтов и приложений.
Python – это основа, а Django построен на этой основе, так как он написан именно на Python. Django – это основа вашего веб-сайта или приложения.
Свойства Django
Быстрая разработка
Целью создания Django было создание такого фреймворка, который бы позволил разработчикам создавать веб-приложения за меньшее количество времени. Этап реализации приложения занимает достаточно много времени, а Django позволяет ускорить его.
Повышенная безопасность
Безопасность Django превышает стандартные свойства безопасности: большой опыт и обширные знания пользователей Django помогают в ее обеспечении. Вы рискуете не заметить уязвимость в своем модуле, если будете создавать все свое веб-приложение с нуля. Вы можете быть уверены в тои, что пакеты Django защитят ваши данные, поскольку они широко используются, имеют открытый исходный код и тщательно проверены веб-разработчиками.
Универсальность
Django – это универсальный фреймворк, который может использоваться для создания самых различных приложений. В настоящее время компании используют Django для создания таких приложений, как системы организации информационного наполнения, социальные сети и платформы для научных вычислений.
Открытый исходный код
Django – это бесплатный фреймворк для веб-приложений с открытым исходным кодом. Он доступен для всех желающих. Исходный код можно загрузить из общедоступного репозитория. За счет использования открытого исходного кода снижается общая стоимость разработки приложения.
Огромная общественная поддержка
Веб-фреймворк Django имеет большую и преданную базу пользователей. Многие высококвалифицированные разработчики Django жертвуют своим временем и опытом для того, чтобы помочь в разработке, улучшении и исправлении программного обеспечения. Вы можете извлечь огромную пользу из применения Django для разработки вашего приложения, используя грамотно разработанные пакеты, доступные для всех, кто работает с Django.
Кто использует Django?
Django широко используется такими веб-сайтами, как:
The Washington Times
The Washington Post использует Django для обработки большого трафика. Django также используется и другими интернет-изданиями.
Mozilla
Это еще одно веб-приложение, перешедшее с PHP на Python, а, следовательно, на Django. Оно является одним из самых популярных веб-браузеров. Теперь он может обрабатывать большие объемы трафика и большое количество запросов API.
Instagram
Django обеспечивает Instagram такими функциональными возможностями, которые позволяют веб-приложению работать бесперебойно, добавлять новые функции и быстро устранять проблемы.
Pinterest
Эта платформа имеет более 250 миллионов активных пользователей ежемесячно, обрабатывает огромные объемы мультимедийных данных и по-прежнему поддерживает «дружественный» интерфейс. Создатели смогли настроить ее по своим требованиям за счет фреймворка с открытым исходным кодом.
Фреймворк Django
Архитектура Django основана на структуре MVT, что означает MODEL, VIEW и TEMPLATE. MVT – это альтернатива MVC, которая в свою очередь состоит из следующих трех компонентов: Model, View и Controller.
Основное различие между MVT и MVC заключается в том, что архитектура Django выполняет задачи, которые выполняет контроллер (Controller) архитектуры MVC. Все задачи, связанные с контроллером, выполняются с помощью шаблонов (Template) Django. Другими словами, содержимое шаблона представляет собой смесь языка шаблонов Django (также известного как DTL - Django Template Language) и HTML (HyperText Markup Language – язык разметки гипертекста).
Model
Model – это компонент веб-приложения, который служит связующим звеном между пользовательским интерфейсом и базой данных. Это объект, который технически реализует логику предметной области приложения.
View
В архитектуре Django этот компонент содержит логику пользовательского интерфейса.
View – это пользовательский интерфейс веб-приложения, включающий такие элементы, как HTML, CSS и другие технологии пользовательского интерфейса. Как правило, этот пользовательский интерфейс создается компонентом Model, который предоставляет наполнение.
Template
Если вам нужно создать динамический веб-сайт для сложных операций или функций, то шаблоны (templates) помогут упростить этот процесс. Проще говоря, динамический веб-сайт отправляет и получает изменяющиеся или динамические данные. Как правило, динамические данные связаны со сценарием, в котором каждому пользователю предоставляются его собственные персонализированные данные. Примером могут послужить различные транзакции в финансового-технологических программах или публикации в социальных сетях, таких как Facebook, Instagram, Twitter и т.д.
Заключение
Django – это отличный выбор в ситуациях, когда речь идет о проектах с большим объемом наполнения (например, медиафайлов), со взаимодействием с пользователем, большим трафиком и сложными функциями или технологиями (например, машинное обучение). В любом случае, его также можно использовать и для небольших проектов, если вы планируете масштабировать свой проект до гораздо больших масштабов. Именно поэтому многие компании используют Django для абсолютно различных целей.