Программа установки защищенных сетевых соединений с использованием протокола ISAKMP

В результате сегментации рынка пользователей программы установления защищенных сетевых соединений с помощью протокола ISAKMP был выделен объединенный сегмент рынка, включающий в себя использование программы для создания систем авторизации доступа, систем разграничения доступа и сетей банкоматов. Для этого сегмента характерны повышенные требования к реализации методов аутентификации, системе протоколирования произошедших событий и объему возможных настроек программы.

Производственная и экологическая безопасность

Разработка мероприятий по безопасности работы с монитором ПК.

Вычислительные комплексы на базе персональных ЭВМ являются одним из основных средств труда разработчика на всех этапах создания программы (проектирование, написание, тестирование и отладка).

Рассмотрев факторы обитаемости в данной производственной среде, можно выделить следующие факторы, оказывающие вредное воздействие на организм человека.

Эмиссионные:

Повышенный уровень электромагнитных излучений:

низкочастотного электромагнитного поля (51 ц-400кГц);

низкоэффективного (мягкого) рентгеновского излучения (при напряжении на ЭЛТ 15 кВ и выше);

Повышенный уровень электростатического поля;

Эргономические:

Не эргономичность визуальных параметров дисплея. Не эргономичность конструкции дисплея и клавиатуры;

Не эргономичность рабочего стола и рабочего стула (кресла);

Физические:

Повышенная температура, пониженная влажность воздуха рабочей зоны;

Повышенный уровень шума на рабочем месте;

Недостаточная освещенность рабочих поверхностей;

Повышенная яркость света в плоскости экрана дисплея;

Прямая и отраженная блескость;

Повышенная пульсация освещенности от газоразрядных источников света;

Ионизация воздуха;

Психофизиологические:

нервно-психические перегрузки:

перенапряжение зрительного анализатора;

умственное перенапряжение;

эмоциональные перегрузки;

монотонность труда;

Физические перегрузки:

статические перегрузки костно-мышечного аппарата;

локальные динамические перегрузки мышц кистей рук;

Источником значительной части перечисленных выше вредных воздействий является монитор персональной ЭВМ.

Электромагнитное излучение монитора ЭВМ

Основным источником эргономических проблем, связанных с охраной здоровья людей, использующих в своей работе персональные компьютеры, являются дисплеи (мониторы), особенно дисплеи с электронно-лучевыми трубками. Они представляют собой источники наиболее вредных излучений, неблагоприятно влияющих на здоровье операторов. Электромагнитные излучения рабочей аппаратуры обусловлены некачественным экранированием источников излучения в аппаратуре. Кроме этого, оператор подвергается воздействию излучения от рабочей поверхности электронно-лучевой трубки.

Приложение общих положений теории электродинамических явлений к конструкции конкретных электрических приборов, в частности монитора ЭВМ, позволяет сделать некоторые выводы относительно источников и конфигурации электрических и магнитных полей, излучаемых этими приборами. Известно, что электрическое поле излучается теми частями электрических установок, в которых используются высокие напряжения, а магнитное поле излучается сильными токами.

В компьютере высокие напряжения используются в ускорительной системе электроннолучевой трубки (ЭЛТ) монитора, а сильные токи текут в системе управления электронными лучами трубки и цепях блока питания. Именно эти части монитора ЭВМ и являются основными источниками электромагнитного излучения. Силовые линии электрического поля можно представить начинающимися в области вблизи заднего конца ЭЛТ и оканчивающимися на поверхностях, находящихся вблизи монитора, в том числе и на поверхности тела пользователя ЭВМ, сидящего перед компьютером (см. рис.14).

Рис.14 Распределение электрического поля вблизи персональной электронно-вычислительной машины

Силовые линии магнитного поля образуют замкнутые конфигурации, начинающиеся и заканчивающиеся на магнитных кольцах фокусирующей системы ЭЛТ (см. рис.15). Непосредственно перед экраном монитора плотность магнитного потока достигает величин единиц мкТл, но быстро убывает с расстоянием от монитора.

Рис.15 Распределение магнитного поля монитора персональной электронно-вычислительной машины

Обнаружено, что:

Электромагнитное поле возбуждается на частотах кадровой (60 Гц) и строчной (22 кГц) разверток и их гармоник;

Электрическое поле ВДТ близко к электрическому полю точечного заряда, а магнитное - к полю магнитного диполя, находящихся в геометрическом центре ВДТ. При этом частоту 60 Гц излучает система токов, близкая к горизонтальному диполю, а 22 кГц - к вертикальному;

При удалении от экрана ВДТ поля быстро спадают. Например, электрическое поле спадает в ~ 40 раз при удалении от экрана на расстояние 1,25 м.

Длительное воздействие на организм человека электромагнитных излучений, превышающих допустимые нормы, может привести к некоторым функциональным изменениям в организме или даже повреждениям тканей и органов. Симптомами являются головная боль, нарушение сна, повышенная утомляемость. Функциональные изменения, вызываемые электромагнитными излучениями, способны накапливаться в организме.

При выборе монитора следует обращать внимание на наличие на шильдике (табличка с перечнем заводских параметров изделия) надписи о том, что данная модель прошла тестирование на предмет соответствия ТСО 95 (стандарт Шведской конференции профсоюзов) или MPR II (стандарт Шведского национального комитета по защите от излучений). Желательно также получить сведения о наличии Гигиенического Сертификата либо сертификатов, выданных другими организациями. В то же время, следует иметь в виду, что разброс возможных уровней электромагнитного излучения мониторов одной и той же модели может достигать 50 % .

Пользователям персональных компьютеров, желающим снизить уровень облучения переменными магнитными полями, следует расположить мониторы так, чтобы расстояние до них составляло величину, равную расстоянию вытянутой руки (с вытянутыми пальцами). Поскольку магнитные поля сзади и по бокам большинства мониторов значительно сильнее, чем перед экраном, пользователи должны располагать свои рабочие места на расстоянии не менее 1.22 м от боковых и задних стенок других компьютеров. Также для защиты от электромагнитных излучений рекомендуется использовать специальные защитные экраны. Они изготавливаются из особого стекла и устанавливаются между рабочей поверхностью монитора и оператором. Такая защита обеспечивает задержку от 30 до 90 процентов всех вредных излучений. Такого же результата можно добиться путем удаления источника излучения от оператора. Тем не менее, не рекомендуется проводить за экраном дисплея более 3-х часов в день.

Электроопасность и пожароопасность

Мониторы ПК питаются от сети переменного тока напряжением 220 В с частотой 50 Гц, что являет само по себе серьезную опасность для жизни и здоровья человека.

Действие электрического тока на живую ткань носит разносторонний характер: термическое воздействие, электрическое и биологическое действия. Все это ведет к электрическим травмам и электрическим ударам, что в свою очередь может привести к нарушению и даже к полному прекращению жизнедеятельности организма.

Исход воздействия электрического тока на организм зависит от ряда факторов, в том числе и от электрического сопротивления тела, величины и продолжительности воздействия тока, рода и частоты тока. Пороговый ощутимый ток составляет 0,6...1,5 мА для постоянного тока.

Безопасный ток, который может в течение длительного времени проходить через человека, не вызывая никаких ощущений, составляет приблизительно 50 мкА (для переменного тока с частотой 50 Гц) и 100 мкА (для постоянного тока). При увеличении величины тока до 10...15 мА боль становится едва переносимой, и судороги мышц становятся настолько значительными, что человек не в состоянии их преодолеть. Таким образом, пороговый не отпускающий ток составляет 10...15 мА для частоты 50 Гц и 50...80 мА для постоянного тока. Ток величиной 100 мА (частотой 50 Гц) и 300 мА (постоянный ток) и более вызывают прекращение деятельности сердца через 1-2 с.

Помещение для работы с ЭВМ и с ее внешними устройствами обычно относят к категории помещений с повышенной опасностью, т.к. имеется возможность поражения электрическим током. Чаще всего источниками поражения являются блоки ЭВМ, корпуса устройств и приборов в случае возникновения неисправности (например, при нарушении защитного заземления или изоляции проводов, а также при применении неправильных приемов включения в сеть и выключения из сети вилок электропитания).

Защитой от прикосновения к токоведущим частям электроустановок служит:

изоляция проводников;

использование защитных кожухов;

использование инструментов с изолирующими ручками при ремонте оборудования ЭВМ.

Проведем расчет сопротивления изоляции.

Правила электробезопасности устанавливают нормы сопротивления изоляции и требования к ее диэлектрической прочности. Для электрических машин и аппаратов минимальное значение сопротивления изоляции определяется по формуле:

[ МОм],

где U - напряжение, В;

N - мощность установки, кВт.

Отсюда следует, что при напряжении питания 220 В и мощности монитора 250 Вт сопротивление изоляции должно быть не менее чем:

.

Очень важным организационным мероприятием является также проведение обязательного и периодически повторяемого инструктажа по электро - и пожаробезопасности всех лиц, которые допускаются к работе на ЭВМ. При проведении периодически повторяемых противопожарных инструктажей необходимо обязательно добиваться, чтобы персонал практически умел пользоваться первичными средствами тушения пожара и средствами связи

Для тушения пожара должны применяться ручные огнетушители и переносные установки. Электросети и электроустановки, которые находятся под напряжением, тушить водой нельзя ни в коем случае, т.к. через струю воды может произойти поражение электрическим током. Именно поэтому для тушения пожара, который возник из-за неисправности электроприборов, применяют только пенные огнетушители.

Возможность быстрой ликвидации пожара во многом зависит от своевременного оповещения о пожаре. Обычно на предприятиях электронной промышленности весьма распространенным средством оповещения является телефонная связь.

Требования к освещению при работе с монитором ПК

Сохранность зрения человека, состояние его центральной нервной системы и безопасность на производстве в значительной мере зависят от условий освещения.

Производственное освещение должно удовлетворять следующим требованиям:

1. Освещенность должна соответствовать характеру труда, который определяется объектом различия, фоном, контрастом объекта с фоном.

2. Необходимо обеспечить достаточно равномерное распределение яркости на рабочей поверхности, а также в пределах окружающего пространства. Светлая окраска потолка, стен и производственного оборудования способствует созданию равномерного распределения яркости в поле зрения.

3. На рабочей поверхности должны отсутствовать резкие тени. Особенно вредны движущиеся тени, которые могут привести к травмам. Тени необходимо смягчать, применяя, например, светильники со светорассеивающими молочными стеклами. На окнах необходимо предусматривать солнцезащитные устройства (например, жалюзи).

4. В поле зрения должна отсутствовать блескость. Блескость - повышенная яркость светящихся поверхностей, вызывающая нарушение зрительных функций (ослепленность), т.е. ухудшение видимости объектов. Блескость снижают уменьшением яркости источника света или выбором рациональных углов светильника.

5. Величина освещенности должна быть постоянной во времени. Колебания освещенности, вызванные резким изменением напряжения в сети, приводят к значительному утомлению. Пульсация освещенности связана также с особенностями работы газоразрядной лампы. Снижение коэффициента пульсации с 55 до 5% (при трехфазном включении) приводит к повышению производительности труда на 15%.

6. Следует выбирать оптимальную направленность светового потока. Наибольшая видимость достигается при падении света под углом 60 градусов к его нормали, а наихудшая при нуле градусов.

7. Следует выбирать необходимый состав спектра освещения. Это существенно при работах, где требуется правильная цветопередача.

8. Все элементы осветительных установок должны быть достаточно долговечными, электро - и взрывобезопасными.

Обеспечение этого условия достигается применением зануления или заземления, ограничением напряжения для питания местных или переносных светильников до 42 вольт и ниже.

Анализируя условия работы программиста, получаем следующие требования к производственному освещению:

- наименьшая допустимая освещенность от общего освещения составляет 300 лк;

- при работе за компьютером желательно, чтобы освещенность рабочего места не превышала 2/3 нормальной освещенности помещения;

- экран дисплея не должен быть ориентирован в сторону источников света (окон, настольных ламп и т.п.);

при размещении рабочего места рядом с окном угол между экраном дисплея и плоскостью окна должен составлять не менее 90 градусов (для исключения бликов), прилегающую часть окна желательно зашторить;

- не следует располагать дисплей непосредственно под источником освещения или вплотную с ним;

- стена позади дисплея должна быть освещена примерно так же, как и его экран;

- яркость для блестящих поверхностей более 0.2 кв.м не должна превышать 500 кд/кв.м;

- показатель ослепленности не должен превышать 40 единиц;

- коэффициент пульсаций 10 - 20 %.

Специфика работы за ЭВМ, состоит в том, что работать приходится с так называемым самосветящимся объектом.

Свечение со стороны экрана, а также частая смена заставок на экране при большой продолжительности трудовой деятельности может отрицательно воздействовать на зрение. Такой режим работы утомляет зрительные органы. Поэтому разработчику программного обеспечения следует учитывать этот фактор при проектировании программного обеспечения и его отладке за компьютером.

Выводы

В данной главе рассмотрены вопросы безопасной работы с монитором ПК и даны практические рекомендации по созданию оптимальных условий труда при работе с монитором ПК.

Были рассмотрены природа электромагнитных излучений, их влияние на организм человека и способы защиты от них.

Рассмотрены вопросы электробезопасности и пожаробезопасности при работе с монитором. Проведен расчет требуемого сопротивления изоляции.

Приведены требования к освещению в производственном помещении в целом и при работе с монитором ПК.

Заключение

В представленной работе -- « Программа установки защищенных сетевых соединений с использованием протокола ISAKMP », -- были решены следующие задачи:

Исследована структура протокола ISAKMP и уязвимость его сетевым атакам

Разработана и проанализирована общая структура защиты информации при передаче по сети.

Определено место разрабатываемой программы в этой системе и определены интерфейсы к ней.

Разработана и написана программа, реализующая протокол ISAKM

Произведены необходимые отладка и тестирование программы, методы проведения тестирования были приведены в соответствующем разделе работы.

В процессе исследования была рассмотрена структура протокола ISAKMP, рассмотрены состав и порядок посылки пакетов, и порядок проведения необходимых расчетов. Также рассмотрены основные типы сетевых атак, и то, как протокол противостоит им.

При описании процесса разработки программы были представлена многонитевая структура программы и обоснована необходимость и преимущества использование именно этой структуры. Были подробно объяснены процесс создания нити и передача информации между нитями.

Литература

Единая система программной документации ГОСТ 19.001-77, 19.002-80, 19.003-80, 19.101-77, 19.102-77, 19.505-79.

Зубов Н.Н., Пьянзин А.Я. Методические указания к дипломному проектированию по специальности «Программное обеспечение вычислительной техники и автоматизированных систем» /Под ред. В.Ф. Шаньгина; МИЭТ. М., 1990

“Security Architecture for the Internet Protocol” RFC2401 Ноябрь 1998г.

“Internet Security Association and Key Management Protocol (ISAKMP)” RFC2408 Ноябрь 1998 г.

“The Internet Key Exchange (IKE)” RFC2409 Ноябрь 1998г.

“The Internet IP Security Domain of Interpretation for ISAKMP” RFC2407 Ноябрь 1998г.

Bruce Schneier “Applied Cryptography Second Edition: protocols, algorithms, and source code in C” 1996г.

“Advanced Programming in the UNIX Environment” W. Richard Stevens 1994г.

“UNIX System V Network Programming” Stephen A. Rago 1994г.

“Programming with Threads” Steve Kleiman, Devang Shah, Bart Smaalders 1996г.

Приложение

Назначение программы

Программа предназначена для получения параметров секретного соединения и соответствующей ключевой информации с помощью протокола ISAKMP. Управление программой производится с помощью конфигурационного файла. Все промежуточные и окончательные результаты записываются в файл протокола.

Структура конфигурационного файла

Управление представленной программой осуществляется с помощью конфигурационного файла. В данном разделе будут описано содержимое этого файла - задаваемые поля, их назначение и возможные значения. Конфигурационный файл содержит простые объекты, списки и структуры.

Простые объекты это объекты, принимающие одно значение. Формат записи следующий: <Имя объекта> = < Значение >.

Списки - объекты, содержащие несколько значений. Порядок значений важен. Формат записи следующий:

<Имя объекта> = <Значение 1>,<Значение 2>,….,<Значение N>,END

Структуры это объекты, содержащие другие объекты (простые, списки или те же структуры). Формат записи следующий:

<Имя объекта>

<Описание внутреннего объекта 1>

…..

<Описание внутреннего объекта N>

END_<Имя объекта>

Простые объекты

LOCAL_ADDRESS - содержит IP адрес машины, на которой запущена программа.

LOCAL_PORT - номер рабочего UDP порта.

REMOTE_PORT - номер UDP порта партнера для отсылки пакетов.

DSA_CERTIFICATE - имя файла с локальным DSA сертификатом.

DSA_SECRET - имя файла с секретным ключом локального DSA сертификата.

RSA_CERTIFICATE - имя файла с локальным RSA сертификатом.

RSA_SECRET - имя файла с секретным ключом локального RSA сертификата.

PRESHARED_KEY - содержит заранее распределенный секретный ключ для соответствующего метода аутентификации.

PFS - флаг, определяющий обмен ключевой информацией во второй фазе. Возможные значения ON и OFF. По умолчанию - OFF.

Объекты-списки

AUTHENTICATION_METHOD - задает поддерживаемые методы аутентификации в порядке их приоритета. Допустимые значения - PRESHARED, DSA_SIGN, RSA_SIGN и RSA_ENC. Список задается перечислением значений через пробел, в конце списка должно стоят ключевое слово END.

EXCHANGE_TYPE - задает поддерживаемые режимы для первой фазы. Возможные значения MAIN и AGGRESSIVE.

PRESHARED_KEY - содержит заранее распределенный секретный ключ для соответствующего метода аутентификации.

Объекты-структуры

IDENTIFICATION - задает информацию, идентифицирующую данную программу. Поля структуры:

TYPE - простое поле, содержащие тип идентификационной информации.

DATA - простое поле, содержащие непосредственно данные.

NEW_GROUP - содержит необходимую информацию для проведения режима New Group Mode

NAME - простой объект, содержащий имя объекта для обращения к нему в будущем

DESCRIPTION - простой объект. Содержит номер группы.

PRIME, GENERATOR - простые объекты. Содержат параметры договариваемой группы.

ATTRIBUTE - задает атрибут при описании политики

TYPE - простой объект. Содержит тип атрибута.

SMALL_VAL - простой объект. Содержит значение атрибута если он имеет короткий формат.

BIG_VAL - простой объект. Содержит значение атрибута, если он имеет длинный формат.

TRANSFORM - описывает алгоритм используемый в политике.

TRANSFORMN - простой объект. Содержит номер структуры.

TRANSFORMID - простой объект. Содержит номер алгоритма.

<Перечисление атрибутов> - набор атрибутов (структура ATTRIBUTE), содержащих параметры алгоритма.

PROPOSAL - описывает протокол используемый в политике.

PROPOSAL N - простой объект. Содержит номер структуры.

PROTOCOLID - простой объект. Содержит номер протокола.

<Перечисление алгоритмов> - набор алгоритмов (структура TRANSFORM) соответствующих данному протоколу.

Совсем в стороне стоят два поля POLICY и ISAKMP_POLICY, которые представляют собой описание политик для первой и второй фаз. Структурно они представляют собой набор структур PROPOSAL.

Далее представлен пример описанной конфигурации.

LOCAL_ADDRESS = 212.24.32.12

LOCAL_PORT = 500

REMOTE_PORT = 500

DSA_CERTIFICATE = dsa_cert

DSA_SECRET = dsa_secret

RSA_CERTIFICATE = rsa_cert

RSA_SECRET = rsa_secret

PFS = ON

PRESHARED_KEY = whatcertificatereally

AUTHENTICATION_METHOD=PRESHARED DSA_SIGN RSA_SIGN RSA_ENC END

EXCHANGE_TYPE = MAIN AGGRESSIVE END

IDENTIFICATION

TYPE = 1;

DATA = ^c2bec082

END_IDENTIFICATION

NEW_GROUP

NAME = NG3

DESCRIPTION = 34567

PRIME = ^12345aaaaaaaabbbb12345678

GENERATOR = ^06

END_NEW_GROUP

ISAKMP_POLICY

PROPOSAL

PROPOSALN = 1

PROTOCOLID = PROTO_ISAKMP

TRANSFORM

TRANSFORMN = 1;

TRANSFORMID = KEY_IKE

ATTRIBUTE

TYPE = 1

SMALL_VAL = 1

END_ATTRIBUTE

ATTRIBUTE

TYPE = 2

SMALL_VAL = 1

END_ATTRIBUTE

ATTRIBUTE

TYPE = 3

SMALL_VAL = 1

END_ATTRIBUTE

END_TRANSFORM

END_PROPOSAL

END_ISAKMP_POLICY

POLICY

PROPOSAL

PROPOSALN = 1

PROTOCOLID = PROTO_IPSEC_ESP

TRANSFORM

TRANSFORMN = 1

TRANSFORMID = ESP_DES

ATTRIBUTE

TYPE = 3

SMALL_VAL = 2

END_ATTRIBUTE

ATTRIBUTE

TYPE = 4

SMALL_VAL = 1

END_ATTRIBUTE

END_TRANSFORM

TRANSFORM

TRANSFORMN = 2

TRANSFORMID = ESP_3DES

ATTRIBUTE

TYPE = 3

SMALL_VAL = 2

END_ATTRIBUTE

ATTRIBUTE

TYPE = 4

SMALL_VAL = 1

END_ATTRIBUTE

END_TRANSFORM

END_PROPOSAL

END_POLICY

Структура файла протокола

Файл протокола представляет собой набор записей. Записи протокола могут содержать результаты работы программы, значение каких-либо величин (содержимое пакета, результат внутреннего расчета и т.п.), сообщения о пришедших и отправленных пакетах и т.д. Каждая запись имеет следующую структуру:

<Время записи> < Метка записи > < Данные>

Пример:

17:39:04 54300000 ISAKMP Header : START MAKE PAYLOAD

Метка представляет собой восьмизначное число, и служит для идентификации нити, которая сделала данную запись. Нити выполняющие первую фазу имеют метку с последними четырьмя цифрами равным нулю. Нити второй фазы оставляют первые 4 цифры от нити первой фазы, под защитой которой они работают, и заполняют вторую половину. Заполнение производится случайным образом. Такой способ позволяет определить, к какой фазе относится данная нить и позволяет отслеживать взаимосвязь нитей первой и второй фаз.

Каждая фаза начинается с записи содержащей полное время, новую метку и фразу LOG INIT.

Tue Jun 8 17:39:04 1999 54300000 LOG INIT

При распечатке буфера поле данных имеет следующий формат:

< Имя буфера >[< Длина >]=< Содержимое буфера >

17:39:07 54300000 Packet[48] = 1ad3f779 291ef272 69231690 4021e7b6 08100400 00000000 00000030 00000014 95a27bde 5849afd9 c7ec61dc 3c7b1010

Содержимое буфера представляется в шестнадцатеричном виде, разбитым на группы по 4 байта.

Сообщения об ошибках

В процессе работы программы различают 2 типа ошибок: системные ошибки и ошибки работы протокола ISAKMP. Первый тип ошибок возникает при работе с файлами, pipe, нитями и другими системными механизмами. Информация об этих ошибках выдается непосредственно на монитор.

Ошибки работы протокола ISAKMP записываются самой программой в файл протокола. Ниже приведен пример такого сообщения.

19:54:01 53f5d1aa ERROR: NO PROPOSAL CHOSEN

Текст программы

сеть нить протокол пакет

Аннотация

В данном приложении приведены исходные тексты программы установления защищенных сетевых соединений с помощью протокола ISAKMP. Весь проект содержит около 30 заголовочных файлов и 45 файлов исходного текста. Программа написана на языке ANSI C.

Из-за большого объема всего проекта (около 360 килобайт) в приложении приведена лишь треть проекта. Представленных файлы содержат функции, выполняющие основные типы действий. Это процедуры нитей, выполняющие какой-либо обмен (state.c), выполнение действий для какого-либо состояния (ke.c), считывание входной информации из файла конфигурации (razbor.c), ведение лога (log.c), работа с сетью (listening.c) и т.п. Также представлены 2 заголовочных файла define.h и func.h, содержащие большинство объявлений функций, макросов и констант.

Размещено на Allbest.ru

...