Защита данных

Совместная работа нескольких пользователей по общему кабелю имеет определенные особенности, требующие принятия специальных мер для обеспечения защиты информации.

В разделяемой сети каждый узел имеет возможность, по крайней мере, на физическом уровне, видеть трафик ко всем остальным узлам. Точно так же, как весь трафик в сегменте Ethernet виден протокольному анализатору при использовании сетевой платы с поддержкой режима приема всех пакетов, протокольный анализатор может перехватывать весь трафик в сегменте сети КТВ, если не будут приняты меры защиты. Как показывает практика, по крайней мере, в одном зарегистрированном случае пользователь кабельного модема с сетевым клиентом Windows мог видеть свыше 100 разделяемых дисков в настольных системах своих соседей.

Обеспечению конфиденциальности и защите данных в сетях кабельного телевидения уделяется серьёзное внимание. Фактический стандарт в лице спецификации интерфейса для служб передачи данных по кабельной сети (Data-over-Cable Service Interface Specification, DOCSIS) был предложен отраслевой группой Multimedia Cable Network System (MCNS). Он предусматривает установку средств шифрования DES на каждый модем. При этом данные каждого пользователя передаются по кабелю только в зашифрованном виде с использованием индивидуального ключа шифрования. Это решение, или любая форма шифрования вообще, является, по-видимому, необходимым для защищённой передачи информации по сетям кабельного телевидения. Однако применение дополнительного оборудования увеличивает общую стоимость модемов и административную нагрузку и к тому же повышает требования к техническому персоналу кабельного оператора.

Большинство кабельных модемов имеют встроенные мосты уровня MAC, лишающие абонентов возможности видеть любые кадры, помимо предназначенных непосредственно им. Мосты, однако, не блокируют широковещательные кадры, поэтому беспринципные пользователи имеют возможность осуществлять атаки типа "отказ в обслуживании" на своих соседей.

Еще одно возможное решение предусматривает установку брандмауэра позади кабельного модема, но, опять же, финансовые и административные расходы оказываются весьма высокими.

Данные меры препятствуют перехвату трафика в сегменте сети и обеспечивают надежную защиту передаваемой информации.

 


Назад              Главная страница                 Дальше

Hosted by uCoz