Защита сетей
advertisement
ЗАЩИТА СЕТЕЙ
ЗАЩИТА СЕТЕЙ
Предоставление
права на доступ,
аутентификация и регистрация
подключений
Блокировка доступа
Шифрование данных
Цифровые сертификаты
Уровень защищенных сокетов и протокол
S-HTTP
Защита с использованием маршрутизаторов
Списки доступа
Защита сетей с помощью брандмауэров
ПРЕДОСТАВЛЕНИЕ
ПРАВА НА ДОСТУП,
АУТЕНТИФИКАЦИЯ И РЕГИСТРАЦИЯ
ПОДКЛЮЧЕНИЙ
Аутентификация – процесс идентификации
пользователя.
Одним из стандартных методов аутентификации
является использование имени пользователя и
пароля. Идентификатор пользователя и пароль
передаются открытым текстом (т.е. не в
зашифрованном виде).
Процесс аутентификации – сравнения
переданной пары идентификаторов с записями
таблицы, находящейся на сервере – выполняется в
соответствии с протоколом аутентификации по
паролю (Password Authentication Protocol, PAP)
Более усовершенствованная система запрос – ответ
функционирует в соответствии с протоколом
аутентификации по запросу при установлении
связи (Challenge Handshake Authentication
Protocol, CHAP).
Согласно протоколу агент аутентификации
передает пользователю ключ, с помощью которого
тот шифрует свое имя и пароль и пересылает эту
информацию обратно на сервер. В результате
неавторизованному пользователю при выполнении
мониторинга сетевой активности труднее
определить имя другого пользователя и его пароль.
Авторизация – процесс предоставления
пользователю права к средствам системы, во время
которого имя пользователя и пароль записываются
в специальную таблицу системы.
Одной из широко распространенных систем,
обеспечивающих высокий уровень защиты при
аутентификации, является система запрос-ответ с
применением смарт-карт.
Смарт-карта похожа на кредитную карточку с
небольшим дисплеем, позволяющим отображать 6
цифр, которые изменяются каждую минуту. При
приобретении смарт-карты пользователю
сообщают его 4-значный личный
идентификационный код – PIN(Personal
Identification Number).
При попытке входа в систему, в которой
аутентификация производится посредством смарткарты пользователю будет предложено ввести PIN
и шестизначное число, высвечиваемое в данную
минуту на дисплее смарт-карты.
БЛОКИРОВКА ДОСТУПА
В 80-х годах один из распространенных методов
взлома заключался в последовательном использовании
в качестве имени пользователя всех слов,
содержащихся в электронном словаре. Осознав
серьезность этой проблемы, разработчики ПО создали
программу блокировки доступа к системе.
Устанавливаемые администратором сети средства
блокировки позволяют предотвратить дальнейшие
попытки доступа после превышения некоторого
заданного количества(порога) безуспешных попыток.
Обычно такое ПО позволяет установить еще один порог
– время, в течении которого система будет
заблокирована(5,10,15и т.д. минут ).
Также администратор может выбрать вариант
постоянной блокировки – снять которую в последствии
сможет только он сам.
ШИФРОВАНИЕ ДАННЫХ
При передаче информации применяется два метода
шифрования данных
с использованием секретного ключа
с использованием открытого ключа
В первом случае отправитель и получатель выполняют
шифрование и расшифровку сообщения с помощью
одного и того же ключа, во втором – с
применением двух ключей: открытого, который
известен каждому и служит для шифрование
данных, и секретного, известного только
получателю сообщения.
В обеих системах для шифрования и расшифровки
донных применяется операция сложения по
модулю 2.
Шифрование сообщения выполняется следующим
образом: вначале с использованием ключа
формируется псевдослучайный поток данных(PNданные), который затем складывается по модулю 2 с
открытым текстом. Тот же ключ используется
получателем сообщения для его расшифровки.
Шифрование
Код
Открытый текст(данные, подлежащие шифрованию)
10110110
PN-данные, сгенерированные с помощью ключа
01101101
Зашифрованные данные
11011011
Расшифровка
Код
Зашифрованные данные
11011011
PN-данные, сгенерированные с помощью ключа
01101101
Открытый текст(расшифрованные данные)
10110110
УПРОЩЕННАЯ СХЕМА СИММЕТРИЧНОГО
ШИФРОВАНИЯ
УПРОЩЕННАЯ СХЕМА НЕСИММЕТРИЧНОГО
ШИФРОВАНИЯ
Главные проблемы системы шифрования с
использованием секретного ключа(системы
симметричной криптографии) связанны с
администрированием и распределением ключей.
Поскольку обе стороны используют одинаковый
ключ, существует вероятность того, что с
увеличением числа пользователей, ключ
перестанет быть секретным.
Большие проблемы возникают при
администрировании и распределении секретных
ключей, т.к. для каждой группы(отправитель и
получатель) нужен свой секретный ключ.
Системы шифрования с использованием
открытого ключа(система асимметричного PKI
(Public-Key Infrastructure) шифрования) лишены
проблем связанных с распространением ключа
(ключ доступен для всех)
В PKI системах при расшифровке сообщений
выполняются очень сложные математические
вычисления, где задействованы оба ключа, как
открытый, так и секретный(известный только
получателю), что требует наличия на компьютере
получателя достаточно мощного процессора.
В некоторых случаях используют обе системы –
открытый ключ используется для передачи
второй стороне секретного ключа, с помощью
которого затем шифруются передаваемые
данные.
ЦИФРОВЫЕ СЕРТИФИКАТЫ
Цифровой сертификат — выпущенный
удостоверяющим центром электронный или
печатный документ, подтверждающий
принадлежность владельцу открытого ключа или
каких-либо атрибутов. Служба, распространяющая
эти сертификаты, называется инфраструктурой
открытых ключей(Public Key Infrastructure, PKI).
Сертификат открытого ключа
Сертификат
открытого ключа удостоверяет
принадлежность открытого ключа некоторому
субъекту, например, пользователю.
Сертификат открытого ключа содержит имя
субъекта, открытый ключ, имя удостоверяющего
центра, политику использования соответствующего
удостоверяемому открытому ключу закрытого
ключа и другие параметры, заверенные подписью
удостоверяющего центра.
Сертификат
открытого ключа используется для
идентификации субъекта и уточнения операций,
которые субъекту разрешается совершать с
использованием закрытого ключа,
соответствующего открытому ключу,
удостоверяемому данным сертификатом.
Наиболее применяемым стандартом,
определяющим порядок выдачи цифровых
сертификатов, является ITU-T X.509.
Сертификат атрибутов
Структура сертификата атрибутов аналогична
структуре сертификата открытого ключа. Отличие же
заключается в том, что сертификат атрибутов
удостоверяет не открытый ключ субъекта, а какиелибо его атрибуты — принадлежность к какой-либо
группе, роль, полномочия и т.п. Сертификат
атрибутов применяется для авторизации субъекта.
Пусть имеются две стороны информационного обмена — A1,A2 и
третья сторона A3, которой доверяют A1 и A2. Стороне A1
принадлежит пара (K1o, K1s), где K1o — открытый ключ, K1s —
закрытый (секретный) ключ. Стороне A3 принадлежит пара (K3o,
K3s).
A1 регистрируется у A3, указывая данные о себе и свой K1o. A3
выдает стороне A1 сертификат S, устанавливающий соответствие
между A1 и K1o. S содержит K1o, сведения о A1, название
стороны A3, подпись A3 и другую информацию.
A1 посылает стороне A2 свой сертификат S и его копию Ss,
зашифрованную с помощью K1s. A2 извлекает из S ключ K1o и
расшифровывает с помощью него Ss. Совпадение результата
расшифровки с S подтверждает, что K1o действительно
принадлежит A1.
Затем с помощью широко известного K3o расшифровывается
подпись стороны A3. Если в результате получается тот же
сертификат с теми же сведениями о A1 и ключом K1o — значит
A1 действительно прошел регистрацию у A3.
УРОВЕНЬ ЗАЩИЩЕННЫХ СОКЕТОВ И
ПРОТОКОЛ S-HTTP
SSL (англ. Secure Sockets Layer — уровень
защищённых сокетов) — криптографический
протокол, который обеспечивает установление
безопасного соединения между клиентом и сервером.
SSL изначально разработан компанией Netscape
Communications.
Протокол обеспечивает конфиденциальность обмена
данными между клиентом и сервером,
использующими TCP/IP, причем для шифрования
используется асимметричный алгоритм с открытым
ключом. Открытый ключ передается браузером через
SSL-подключение, затем он используется для
получения секретного ключа, с помощью которого
шифруются данные.
ОСНОВНЫЕ ЦЕЛИ ПРОТОКОЛА SSL В ПОРЯДКЕ
ПРИОРИТЕТНОСТИ
Криптографическая безопасность: SSL
устанавливает безопасное соединение между двумя
сторонами.
Совместимость: Программисты, независимо друг от
друга могут создавать приложения использующие SSL,
которые впоследствии будут способны успешно
обмениваться криптографическими параметрами без
всякого знания кода чужих программ.
Расширяемость: SSL стремится обеспечить рабочее
пространство, в котором новые открытые ключи и
трудоемкие методы шифрования могут быть включены
по мере необходимости.
Относительная эффективность: работа протокола
на основе SSL требует больших скоростей от CPU, в
частности для работы с открытыми ключами.
ОБМЕН ДАННЫМИ ПО ПРОТОКОЛУ SSL
Если для подключения к web-странице требуется
SSL-подключение, ее URL начинается с https:, а не
с http:.
Вторым протоколом , определяющим порядок
защищенной передачи данных через Web, является
защищенный HTTP- S-HTTP(Secure HyperText
Transfer Protocol).
Модифицированная версия протокола HTTP,
обеспечивающая средства защиты данных
(шифрование данных при передаче по сети,
цифровая подпись для удостоверения отправителя
информации). Сервер со средствами защиты
позволяет сузить список лиц, обладающих правом
доступа к конфиденциальной информации. Все
большее число коммерческих сайтов пользуется
этими средствами на своих Web-серверах.
ЗАЩИТА С ИСПОЛЬЗОВАНИЕМ
МАРШРУТИЗАТОРОВ
Главная
функция, выполняемая
маршрутизаторами – передача пакетов из одной
сети в другую. Но поскольку одна из этих сетей
может быть частной, а другая, скажем, Интернет,
маршрутизаторы выступают в роли “первой линии
обороны”, защищая данные закрытой сети, т.к.
любой пользователь, имеющий доступ в Интернет,
способен проникнуть в корпоративную сеть.
Для защиты корпоративных сетей применяются
различные методы и различные типы сетевого
оборудования. Одним из таких методов защиты
является обработка списка доступа, выполняемая
на маршрутизаторе.
СПИСКИ ДОСТУПА
Список доступа содержит несколько операторов,
предназначенных для управления потоком пакетов,
которые приходят на порт маршрутизатора.
Большинство производителей маршрутизаторов
поддерживают два вида списка доступа:
стандартный (базисный)
расширенный
При поступлении пакета на порт маршрутизатора,
где задействована функция защиты, использующая
список доступа, проверяется IP-адрес источника.
Если он совпадает с адресом, содержащимся в
операторе списка доступа, и в этом операторе
указано ключевое слово permit, маршрутизатор
пропускает пакет в защищаемую сеть, если указано
ключевое слово deny- пакет отбрасывется.
В маршрутизаторах Cisco стандартный список доступа имеет
следующий формат:
access-list номер_списка {permit|deny} IP-адрес маска_адреса
Предположим что сеть организации подключена к Интернету
в двух географически удаленных точках(т.е. сеть организации
состоит из двух удаленных сетей А и Б). Если сеть А имеет
адрес 205.131.195.0, то для того чтобы сеть Б могла получать
пакеты только от сети А, на ее маршрутизаторе должен быть
следующий список доступа:
access-list 1 permit 205.131.195.0 0.0.0.255
Поскольку в маске адреса первые 24 бита имеют значение 0,
маршрутизатор пропустит в сеть Б только те пакеты, адрес
сети которых будет совпадать с IP-адресом указанным в списке
доступа, т.е. только пакеты сети А. Последний байт маски
имеет значение 255, что соответствует 11111111 в битовом
представлении. Значит маршрутизатор пропустит в сеть Б
пакеты, отправленные любым компьютером сети А.
Если вы хотите пропускать в сеть только пакеты,
отправляемые хостом, IP-адрес которого
205.132.195.12.
Для этого в списке доступа указывается следующий
оператор:
access-list 1 permit 205.131.195.12 0.0.0.0
Вместо 0.0.0.0 можно воспользоваться ключевым словом
host, т.е. предыдущий оператор может быть записан
так:
access-list 1 permit host 205.131.195.12
Так же в маршрутизаторах Cisco возможно применение
ключевого слова any, позволяющего принимать пакеты,
отправленные любым хостом. Оно заменяет и IP-адрес,
и маску и эквивалентно последовательности
0.0.0.0 255.255.255.255
Расширенные списки доступа предоставляют
дополнительные возможности при фильтрации
пакетов. Они обеспечивают фильтрацию на основе
как IP-адреса отправителя, так и IP-адреса
получателя, фильтрацию на основе номера порта
протокола(IP, ICMP, TCP, UDP) и т.д. Общий формат
расширенных списков Ciscoвыглядит так:
access-list номер_списка {permit|deny}
(протокол) адрес_отправителя маска_адреса
[порт отправител] адрес_получателя
маска_адреса[порт
получателя][дополнительные_параметры]
Номер расширенного списка доступа может быть
представлен значениями от 100 до 199 (стандартный
– от 1 до 99).
Предположим что сеть организации имеет IP-адрес
205.121.175.0; в сети расположены web-сервер с адресом
205.121.175.10 и telnet-сервер с адресом 205.121.175.14. Для
того чтобы позволить всем пользователям сети с IP-адресами
205.131.195.0 обращаться к web-серверу, а доступ к telnet
предоставить только администратору этой сети, компьютер
которого имеет IP-адрес 205.131.195.007, необходимо создать
следующий список доступа:
access-list 101 permit 205.131.195.0 0.0.0.255 host
205.121.175.10
access-list 101 permit host 205.131.195.7 host
205.121.175.15
Первый оператор списка доступа позволяет любому хосту сети
205.131.195.0 обращаться к хосту(web-серверу) вашей сети, IPадрес которого 205.121.175.10. Согласно второму оператору ,
для того что бы пакет был пропущен в сеть, IP-адрес его
источника должен быть равным 205.131.195.7, а IP-адрес
пункта назначения 205.121.175.15. Пакеты с любыми другими
адресами источников и пунктов назначения будут отброшены.
ЗАЩИТА СЕТЕЙ С ПОМОЩЬЮ БРАНДМАУЭРОВ
Брандмауэр(межсетевой экран или сетевой
экран(firewall)) — комплексное устройство,
объединяющее в себе множество средств защиты:
систему предотвращения атак IPS(IP Spoofing
(подмена адреса источника)), VPN, шлюзовой
антивирус, систему противодействия шпионскому ПО
(anti-spyware), антиспам (antispam) и URL фильтрацию. Признанные лидеры по производству
мощнейших межсетевых экранов это компании Secure
Computing(серии SnapGear, Sidewinder) и Watchguard
Technologies (серия FireBox).
Основной задачей сетевого экрана является защита
компьютерных сетей или отдельных узлов от
несанкционированного доступа. Также сетевые
экраны часто называют фильтрами, так как их
основная задача — не пропускать (фильтровать)
пакеты, не подходящие под критерии,
определённые в конфигурации.
Брандмауэр обычно устанавливается между
маршрутизатором и защищаемой сетью и представляет
собой компьютер с двумя сетевыми адаптерами. Один
адаптер подключен к концентратору так называемой
демилитаризованной сети(DMZ), другой – к
концентратору защищаемо сети.
Поскольку доступ к DMZ-концентратору имеют только
маршрутизатор и брандмауэр, весь обмен данными с
Интернетом происходит через брандмауэр.
Брандмауэр обычно подключается таким образом, что бы через него
проходил весь трафик “Интернет - защищаемая сеть”.
ВИРТУАЛЬНЫЕ ЧАСТНЫЕ СЕТИ(VPN)
Virtual private network (виртуальная частная сеть), или
также называемая VPN, это сеть которая собирается с
использованием общих элементов для подключения к
узлам, что позволяет пользователям создавать сети для
передачи данных.
Virtual Private Network(VPN) была разработана в 60 – е
годы прошлого века специалистами инженернотехнического отдела нью-йоркской телефонной компании,
которые разработали систему автоматического
установления соединений абонентов АТС – Centrex (Central
Exchange).
В наше время именно виртуальная частная сеть может
обеспечить достаточную надежность передаваемой
информации вместе с великолепной гибкостью и
расширяемостью системы.
ПРИНЦИП РАБОТЫ VPN
На все компьютеры, имеющие выход в Internet (вместо Internet
может быть и любая другая сеть общего пользования),
ставится средство, реализующее VPN. Такое средство обычно
называют VPN-агентом. VPN – агенты обязательно должны
быть установлены на все выходы в глобальную сеть.
VPN-агенты автоматически зашифровывают всю
информацию, передаваемую через них в Internet, а также
контролируют целостность информации.
Как известно, передаваемая в Internet информация
представляет собой множество пакетов протокола IP, на
которые она разбивается перед отправкой и может
многократно переразбиватъся по дороге. VPN-агенты
обрабатывают именно IP- пакет
ТЕХНОЛОГИЯ VPN
создают виртуальные каналы между
защищаемыми локальными сетями или
компьютерами (к таким каналам обычно
применяется термин "тунель", а технология их
создания называется "туннелированием").
Вся информация идет по туннелю только в
зашифрованном виде. VPN-агенты , пропуская
через себя IP-пакеты, часть этих пакетов
отбрасывают. То есть VPN-агент выполняет два
основных действия: создание туннелей и
фильтрация пакетов.
VPN-агенты
ТУННЕЛИРОВАНИЕ И ФИЛЬТРАЦИЯ
НЕДОСТАТКИ VPN
Недостаточная скорость передачи данных. Скорость
передачи данных через локальную сеть уступает скорости
передачи через высокоскоростной Интернет. Но для
доступа к локальному сайту предприятия, пересылки
электронного письма с документом этого вполне
достаточно
Угроза безопасности передаваемых данных. При
организации VPN передаваемая информация попадает во
внешнюю сеть, поэтому об организации безопасности
придется позаботиться заранее.
ПРЕИМУЩЕСТВА VPN
Масштабируемость системы.
Не нужно никаких дополнительных затрат на
коммуникации.
Гибкость системы. Для VPN не важно, откуда
вы осуществляете доступ.
Неограниченность рабочего места. Доступ к
частой сети не имеет никаких географических
ограничений.
ВЫВОДЫ
Безопасность сеть обеспечивается путем предоставления права на
доступ(авторизации), аутентификации и регистрации подключений.
Наиболее высокий уровень аутентификации достигается я посредством
использования смарт-карт, работающих по системе запрос-ответ, менее
высокий – путем указания имени пользователя и пароля.
При использовании средств блокировки после определенного количества
неудачных попыток предотвращаются дальнейшие попытки доступа к
сети.
Система шифрования с применением секретного ключа работает
быстрее, чем система с использованием открытого ключа, однако требует
надежного механизма распределения ключей.
В системе шифрования с применением открытого ключа любой
пользователь может получить этот ключ и зашифровать с его помощью
данные. Для расшифровки данных у получателя должен быть свой
секретный ключ.
С помощью цифровых сертификатов можно убедиться, что пользователь
противоположной стороны является в действительности тем за кого себя
выдает.
SSL представляет собой протокол передачи зашифрованных web-страниц
между сервером и клиентом.
В списках доступа обоих типов используются операторы permit и deny, с
помощью которых можно управлять потоком пакетов, проходящих через
порт маршрутизатора.
Брандмауэры и списки доступа предназначены для защиты от хакеров
данных, которые хранятся в корпоративной сети, подключенной к
Интернету.
СПИСОК ЛИТЕРАТУРЫ
Технологии передачи данных/Г.Хелд – СПб.:
Питер, К.: Издательская группа BHV, 2003.
Компьютерные сети. Принципы, технологии,
протоколы/ Олифер В. Г., Олифер Н. А. –
СПб.: Питер, 2006 г.
Компьютерные сети. / Э.Таненбаум– СПб.:
Питер, 2003 г.
http://www.intuit.ru
http://kriptopro.ru
http://book.itep.ru/6/secur_6.htm
http://www.thisworld.spb.ru/content/?p=122
http://www.intuit.ru/
