Ім'я файлу: План КСЗІ.docx
Розширення: docx
Розмір: 2281кб.
Дата: 23.10.2022
скачати
Пов'язані файли:
ІМ ПЗ.docx
№8.odt
Податкова система Григорчук.docx
691410 Методи виховання дітей в суч родині.docx
lepto.ru.uk.docx
ЛАБОРАТОРНА РОБОТА 7 (Гумова суміш для виготовлення мячів для го
Курсова робота Оборотні засоби підприємства та ефективність їх в
МАКС.rtf
КП виконання курсової роботи та Завдання Більченко.docx
Імітаційне моделювання міжнародної логістичної системи.docx
Розширення: docx
Розмір: 2281кб.
Дата: 23.10.2022
скачати
Пов'язані файли:
ІМ ПЗ.docx
№8.odt
Податкова система Григорчук.docx
691410 Методи виховання дітей в суч родині.docx
lepto.ru.uk.docx
ЛАБОРАТОРНА РОБОТА 7 (Гумова суміш для виготовлення мячів для го
Курсова робота Оборотні засоби підприємства та ефективність їх в
МАКС.rtf
КП виконання курсової роботи та Завдання Більченко.docx
Імітаційне моделювання міжнародної логістичної системи.docx
Рисунок 2.3 – Обмін повідомленнями між Інтернет-річчю і MQTT брокером
Першим критерієм для фільтра мережного трафіку протоколу MQTT є виявлення 4 послідовно вихідних пакетів від Інтернет- речі, а саме: − пакету, що сигналізує про початок передачі даних (транспортний протокол TCP); − пакету з даними від Інтернет-речі (транспортний протокол TCP); 61 − протокол прикладного рівня MQTT; − пакету сигналізації про закінчення передачі даних (транспортний протокол TCP); − пакету, що підтверджує отримання даних MQTT-брокером (протокол прикладного рівня MQTT). Для фільтрації пакетів по даним критеріям необхідно здійснити порівняння поля Адреса відправника в пакеті, що йде від Інтернет-речі, і поля Адреса одержувача в пакеті, що йде від сервера. Цей критерій допустимо за умови, якщо пакет від сервера отримано не далі, ніж через 7 пакетів після пакета від самої інтернет-речі, і при їх збігу здійснювалося порівняння полів даних. Якщо поля даних виявлялися ідентичні, то включався лічильник, який при досягненні певного значення записував IP-адреса сервера одержувача, IP-адреса інтернет-речі і порт одержувача в ОЗУ для подальшого використання при дублюванні пакетів. Цей критерій підходить для аналізу трафіку за умови використання протоколів мережного рівня IPv4, IPv6, протокол транспортного рівня UDP, TCP і використанні протоколу прикладного рівня MQTT.
Метод захисту трафіку Інтернет-речей на базі використання алгоритмів гібридного шифрування
Дані алгоритми (наприклад, RSA-512 і AES-128) вимагають великих обчислювальних потужностей від Інтернет-речей і не підходять для малопотужних додатків, реалізованих на базі мікроконтролерів, що мають 8-ми або 16-ти бітну розрядність ЦПУ (наприклад, AVR або ARM), також, як і пристрої з малим об'ємом пам'яті. Приклад такого алгоритму складається з наступної послідовності кроків, як показано на рисунку 2.4 [11]:
Рисунок 2.4 – Алгоритм гібридного шифрування для Інтернет-речей
Крок 1. Генерація відкритого і закритого ключів на сервері для організації асиметричного шифрування (наприклад RSA-512). Крок 2. Генерація відкритого і закритого ключів для мікроконтролера і їх запис в пам'ять Інтернет-речі. Крок 3. Проводиться обмін відкритими ключами між сервером і Інтернетріччю. Крок 4. Інтернет-річ генерує за допомогою набору випадкових символів ключ для симетричного шифрування (наприклад, DES). Крок 5. Отриманий ключ симетричного шифрування шифрується за допомогою відкритого ключа та відправляється на сервер. Крок 6. На сервері відбувається дешифрування і запис у ПЗУ симетричного ключа за допомогою закритого ключа. Крок 7. Усі наступні дані, що відправляються з Інтернет-речі, шифруються за допомогою симетричного ключа, наявного на Інтернет-речі і на сервері. 64 Крок 8. В залежності від складності дешифрування симетричного ключа методом повного перебору (bruteforce) через заданий час потрібно повторити Кроки 4-7
3.3 Система забезпечення безпеки Інтернету речей в побутових мережах (брандмауер веб-додатків (WAF) та систему запобігання проникненню – IPS (Intrusion Prevention System)).
Існують два варіанти: брандмауер веб-додатків (WAF) та систему запобігання проникненню – IPS (Intrusion Prevention System). Брандмауер web–додатків – WAF (Web Application Firewall) – це рішення (апаратне чи програмне забезпечення), яке працює як посередник між зовнішніми користувачами та веб–додатками. Це означає, що весь зв'язок HTTP (запит-відповідь) аналізується WAF перед тим, як потрапити до web–програм або користувачів. Для здійснення моніторингу та аналізу трафіку HTTP WAF застосовує набір попередньо визначених правил, які роблять можливим виявлення шкідливих HTTP-запитів, таких як міжсайтові сценарії (XSS), SQL Injection, Dos або DDoS-атаки, маніпулювання файлами cookie, та багато інших[18]. Як тільки WAF виявляє загрозу, він блокує трафік і відхиляє шкідливий вебзапит або відповідь із конфіденційними даними. Якщо немає загроз або атак, весь трафік локальної мережі повинен протікати нормально, таким чином, щоб усі перевірки та захист були прозорими для користувачів. На рисунку 4.2 представлено схема захисту трафіку локальної мережі на основі брандмауера web -додатків WAF.
Рисунок 4.2 – Схема захисту трафіку локальної мережі на основі брандмауера web–додатків WAF
WAF розпізнає законний web-трафік і пропускає його. Це не впливає на повсякденні операції з діловими web–додатками. Система запобігання проникненню (IPS). У випадку із системою запобігання проникненню (IPS) це більш загальний пристрій захисту або 81 програмне забезпечення. Він забезпечує захист від трафіку з різних типів протоколів, таких як DNS, SMTP, TELNET, RDP, SSH та FTP. IPS виявляє зловмисний трафік за допомогою різних методів, наприклад, виявлення на основі: - підписів: IPS використовує виявлення на основі підпису так само, як це робить антивірус. Фірма може розпізнати загрозу та надіслати попередження адміністратору. Щоб цей метод працював коректно, усі підписи повинні мати останнє оновлення. - політики: IPS вимагає, щоб політики безпеки були декларовані дуже конкретно. IPS розпізнає трафік, що не входить до цих правил, і автоматично відхиляє ненормальну поведінку або незвичний трафік. - аномалій: за зразком нормальної поведінки дорожнього руху, цей метод можна використовувати двома способами - автоматичним або ручним. IPS автоматично виконує статистичний аналіз та встановлює стандарт порівняння. Коли трафік рухається занадто далеко від цього стандарту, він надсилає попередження. - іншого способу - вручну встановити нормальну поведінку трафіку, щоб сповіщення надходили, коли трафік знову відходить від цього правила. Недоліком ручного способу є те, що, будучи менш гнучким і динамічним, він може надсилати помилкові попередження. - Pot Detection: працює за допомогою комп’ютера, налаштованого на привернення уваги хакерів без шкоди для безпеки реальних систем. За допомогою цієї приманки атаки можна відстежувати та аналізувати, щоб після виявлення їх можна було використовувати для встановлення нових політик. Пристрій IPS можна використовувати для підвищення безпеки та підтримки брандмауера. Очевидно, що навіть обидва рішення додають додатковий рівень безпеки для локальної мережі, вони працюють на різних типах трафіку. Тож, замість змагань, вони здебільшого доповнюють одне одного. Незважаючи на те, що IPS, схоже, захищає ширший тип трафіку, є дуже конкретний, з яким може працювати лише WAF. Як показано на рисункі 4.3, пристрій IPS блокує весь ненормальний трафік з Інтернету, який не був заблокований першою лінією оборони або брандмауером в локальної мережі.
Рисунок 4.3 – Схема блокування ненормального трафіку з Інтернету
Споживачі мають можливості використовувати обидва рішення, особливо якщо локальні та корпоративні мережі тісно співпрацюють з технологіями Інтернету та IoT [5].
Зараз існує повне пакетне рішення, яке дає найкраще з обох світів. Завдання 83 полягає у виборі правильної апаратної системи WAF для ефективної роботи програмних механізмів безпеки. Найбільш практичним способом захисту корпоративного центру обробки даних від хакерів є впровадження програмноапаратних чи гібридних рішень [14]. Вибираючи брандмауер web–додатків, необхідно враховувати наступні вимоги: прискорення SSL: SSL є критично важливим для WAF, оскільки це метод розвантаження процесора для надширокого шифрування відкритим ключем. Для оптимальної продуктивності реалізацій безпеки локальної мережі необхідно мати апаратний прискорювач.
Таким чином, WAF підходить для безпеки в програмах HTTP і зазвичай використовується для захисту серверів. WAF контролює веб-трафік, такий як HTTP GET, POST, URL, SSL тощо. IPS, навпаки, забезпечує захист для широкого кола мережевих протоколів і може виконувати необроблене декодування протоколів і знаходити ненормальну поведінку, але не знає про сеанси (GET/POST), користувачів або навіть додатки. Інтегровані рішення можуть бути як апаратними, програмними, так і гібридними. Ці варіанти дають найкраще з обох рішень.
Висновки
В першому розділі представлені аналіз перспектив розвитку концепції Internet of Things. Розглянуто технології та стандарти для комутації та конвергенції інфраструктури Інтернету речей. Досліджені варіанти підключення IoT до існуючих мереж. Інтернет речей або, як його ще називають, мережа мереж є мережею різноманітних підключених до Інтернету пристроїв, що реалізують різні моделі взаємодії - «Річ - Річ» (Thing-Thing), «Річ - Користувач» (Thing-User) і «Річ - Web - Об'єкт »(Thing-Web Object). З'єднання «розумних речей» (від англ .: Smart Things) в єдину мережу надає критично важливі якісні зміни для розвитку людської життєдіяльності Наприклад, в сучасних автомобілях працюють відразу кілька мереж: одна управляє роботою двигуна, інша - системами безпеки, третя підтримує зв'язок і т.д. Досліджені моделі комутації споживачів PAN до LAN, WAN та Інтернету. Представлені інфраструктура та безпека IoT–платформ. В офісних і житлових будівлях також встановлюється безліч мереж для управління опаленням, вентиляцією, кондиціюванням, телефонним зв'язком, безпекою, освітленням. У міру розвитку Інтернету речей та багато інших мереж будуть підключатися один до одного і набувати все більш широкі можливості в сфері безпеки, аналітики та управління. В результаті Інтернет речей придбає ще більше можливостей відкрити людству нові, більш широкі перспективи. В другому розділі проведені дослідження основних методів захисту інформації послуг Інтернет-речей в локальних мережах Проведено аналіз безпеки Інтернету речей локальних мереж, яка будується на фундаменті з чотирьох напрямів: – безпека зв'язку; – захист пристроїв; – контроль пристроїв; 99 – контроль взаємодій в мережі. Таким чином, безпека IoT повинна бути комплексною. Всі вектори загроз повинні придушуватися. Іноді такі атаки відбуваються через локальну мережу, які підключені до промислової мережі або до локальної мережі IoT, в інших випадках атака відбувається через Інтернет або через прямий фізичний доступ до пристрою. Однак, найбільш простий вид атак, який може бути реалізований на рівні доступу, є відправка даних від Інтернет-речей в альтернативний хмарний сервіс, який буде далі розглянуто в роботі - «хибна хмара»[28]. Для захисту даних, що надходять від Інтернету-речей до віддаленого хмарного сервера через мережі зв’язку загального доступу пропонується використовувати такі методи захисту на основі алгорітмів: Метод захисту на базі використання алгоритмів гібридного шифрування; Метод захисту на базі створення унікальних патернів мережевого трафіку. В роботі розглянуто такий вид уразливості Інтернет-речей, як перехват і відправка даних в хибні хмари, і запропоновані методи захисту. Найбільш ефективним є метод створення унікальних паттернів при захистї мережевого трафіку Інтернет-речей, відповідний як для малопотужних Інтернет-речей на базі мікроконтролера, так і для більш потужних речей на базі мікропроцесорів, включаючи малопотужні 8-й розрядні мікроконтролери. В третьому розділі представлені методи тестування елементів локальних мереж та особливості вимог нормативного забезпечення. Запропонована методологія тестування та сканування елементів локальної мережі на базі сканеру Nmap, що входить до ОС Kali Linux. Nmap (“Network Mapper”). Проведен детальний аналіз результатів тестування відкритих портів та сканування запущених служб на web-сервері, сценаріїв встановлення типу операційної системи, контролю сервісів та їх версій та різних типів ін’єкцій. Заходи щодо забезпечення безпеки можна умовно розділити за чотирма напрямками - підключення, ідентифікація, шифрування трафіку і безпеки додатків. 100 Збереження цілісності та конфіденційності даних досягається застосуванням шифрування для аутентифікації і збереження цілісності повідомлень. Процедура передбачає підтвердження даних користувача і ліквідності використовуваних сертифікатів, що досить складно реалізувати в глобальних масштабах, тому виробники часто жорстко вбудовують облікові дані в програмно-апаратний комплекс. Ця інформація дозволяє чітко ідентифікувати пристрій, але не годиться для забезпечення цілісності даних. На транспортному рівні питання безпеки передачі даних вирішується в рамках протоколів Transport Layer Security (TLS) і Datagram TLS (DTLS) шляхом створення захищеного тунелю для додатків. Але незважаючи на це, додатки є найбільш вразливою частиною рішення. Їх безконтрольне поширення становить серйозну загрозу. Надання розподіленої платформи для обробки даних різними додатками - одна з особливостей архітектури Інтернету речей, і основні тенденції в удосконаленні протоколу їх безпечного підключення OAuth 2.0 Internet of Things - виявлення розумних речей і їх аутентифікація, використання цифрових ідентифікаторів і централізоване управління доступом до ресурсів. В четвертому розділі представлена методика розрахунку, аналізу та оцінка методів захисту інформації локальних мереж нових поколінь Проведен аналіз системи забезпечення безпеки локальних мереж нових поколінь та схеми захисту трафіку локальної мережі на основі брандмауера web– додатків WAF. Запрпонована та описана схема блокування ненормального трафіку з Інтернету. Приведена діаграма детального порівняння обох варіантів систем захисту інформації WAF та IPS в локальних мережах нових поколінь (НП). Ефективність механізму захисту в значній мірі залежить від реалізації ряду принципів. По–перше, механізми захисту слід проектувати з урахуванням розподілу ресурсів між кордонами і можливістю їх перерозподілу. По–друге, питання захисту слід розглядати комплексно в рамках єдиної системи захисту. Системний підхід забезпечує адекватний багаторівневий та багаторубіжний ЗІ, що розглядається як комплекс організаційно-правових та технічних заходів.
Список використаної літератури
Tripathy B. Іnternet of Things (IoT): TeChnologies, AppliCations, Challenges and Solutions (англ.) / B. Tripathy, J. Anuradha. – Florida: CRC Press, 2017. – 334 с. 2. The 2nd Annual Internet of Things 2010 (англ.) [ЕлектроЕлектронний ресурс]. - Режим доступу: https://eu-ems.Com/summary.asp?event_id=55&page_id=342 3. Интернет вещей в научных исследованиях // електрон. текст. Дані URL: https://cyberleninka.ru/article/v/internet-veschey-v-nauchnyh-issledovaniyah (дата звернення: 01.06.2019) 4. АНАЛИЗ ТРАФИКА УСТРОЙСТВ ИНТЕРНЕТА ВЕЩЕЙ // електрон. текст. дані URL: https://cyberleninka.ru/article/v/analiz-trafika-ustroystv-interneta-veschey (дата звернення: 01.06.2019) 5. История появления технологии LoRa // електрон. текст. дані URL: https://nekta.tech/technology/
2 hfpltk
Информационная безопасность интернета вещей (Internet of Things) //електрон. текст. Дані URL:http://www.tadviser.ru/index.php/Статья:Информационная_безопасность интернет_вещей_(Internet_of_Things) 2. Богуслав А.М. Методи та моделі забезпечення захисту безпроводних сенсорних мереж// електрон. текст. Дані URL: http://er.nau.edu.ua/bitstream/NAU/22464/2/diser_ua_2.0.pdf 3. Орешкина Д. Эталонная архитектура безопасности интернета вещей // Часть 1. електрон. текст. Дані URL: https://www.anti- malware.ru/practice/solutions/iot-thereference-security-architecture-part-1 4. Орешкина Д. Эталонная архитектура безопасности интернета вещей //Часть 2. електрон. текст. Дані URL: https://www.anti-malware.ru/practice/solutions/iot-referencearchitecture-protection-part-2 5. John Blyler 8 Critical IoT Security Technologies // електрон. текст. Дані URL: https://www.electronicdesign.com/industrial-automation/8-critical-iot-security-technologies 6. Security in the internet of things // електрон. текст. дані URL: Sehttps://www.windriver.com/whitepapers/security-in-the-internet-of- things/wr_securityin-the-internet-of-things.pdf
Полякова О.В. Класифікація функціональних складових елементів системи інтелектуального керування середовищем при проектуванні житла // Вісник Київського національного університету технологій та дизайну. Серія: Технічні науки. – 2016. – № 4. – С. 133–141. 21. Про охорону праці № 2694-XII: Закон України від 14 жовтня 1992 року із змінами та доповненнями у редакція від 05.12.2019 – Режим доступу : http://zakon.rada.gov.ua 22. Тесля Е.А..«Умный дом» своими руками. Строим интеллектуальную цифровую систему в своей квартире / Е.А. Тесля – Санкт Петербург, 2008. – 224с. 23. Харке В.Н. «Умный дом. Объединение в сеть бытовой техники и систем коммуникаций в жилищном строительстве» / Харке В.Н. - М.: Техносфера, 2006. - 292с. 24. Хом'як М.І. Інтеграція технології «Інтернет речей» в процес підготовки сучасного рятувальника/ М.І. Хом'як, Н.Є. Бурак // Проблеми та перспективи розвитку системи безпеки життєдіяльності: Зб. наук. праць ХІІ Міжнар. наук.-практ. конф. молодих вчених, курсантів та студентів. – Львів: ЛДУ БЖД, 2017. – Ч.–2., С. 80-81. 25. Чмир П.О. Аналіз сучасних хмарних серверів зберігання даних / П.О. Чмир, Н.Є. Бурак // Проблеми та перспективи розвитку системи безпеки життєдіяльності: Зб. наук. праць ХІІІ Міжнар. наук.-практ. конф. молодих вчених, курсантів та студентів. – Львів: ЛДУ БЖД, 2018. – С. 257-258.
1 2 3