Файловый архив студентов. Файловый архив студентов.
1261 вуз, 4605 предмет.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Южный Федеральный Университет
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
Part_4.doc
Скачиваний:
20
Добавлен:
24.11.2019
Размер:
3.12 Mб
Скачать
►Содержание►

5.2.6.Поведінка сумісного захисту

Перший такий пакет ініціює узгодження сумісного захисту між надавачем і приймачем. ISAKMP/Oakley є стандартним протоколом для цього узгодження. Протягом інформаційного обміну ISAKMP/Oakley два комп’ютери погоджують методи автентифікації і захисту даних, здійснюють взаємну автентифікацію і тоді генерують спільний ключ для подальшого шифрування даних. Після того, як сумісний захист встановлено, може відбуватися пересилання даних для кожного комп’ютера із використанням процедури захисту даних для пакетів, які пересилаються до віддаленого комп’ютера. Обробка даних може забезпечити цілісність пересланих даних або також їх шифрування. Ці опції розглядаються нижче.

Заголовок автентифікації (AH)

Цілісність та автентифікація даних для корисного навантаження IP можуть бути забезпечені автентифікаційним заголовком, розташованим між IP-заголовком та транспортним заголовком. Заголовок автентифікації включає автентифікаційні дані і номер послідовності, які разом вживаються для перевірки надавача, гарантуючи, що повідомлення не буде модифіковане при пересиланні і запобігаючи повторним атакам (replay attack). Заголовок автентифікаціх IPSec не забезпечує шифрування даних; може бути висланий відкритий текст повідомлень, але заголовок автентифікації гарантує, що дані походять від визначеного користувача і не змінені при пересиланні.

5.2.7.Заголовок безпечної інкапсуляції (esp)

Для конфіденційності даних і захисту від перехоплення третьою стороною ESP забезпечує механізм для шифрування корисного навантаження IP. ESP також здійснює послуги автентифікації та захисту цілісності даних, тому заголовки ESP є альтернативою до заголовків AH у пакетах IPSec.

Робоча група IETF IPSec визначила стандарт і протокол, який застосовується до захисту інформації в Internet. Він визначає загальну структуру IP-пакету та пов’язання із захистом даних стосовно до VPN-комунікації. Існують два основні елементи IPSec як розширення протоколу IP: заголовок автентифікації (Authentification Header – AH) та інкапсуляція захищеного корисного навантаження (Encapsulated Security Payload – ESP). Вони визначені таким чином:

  • заголовок автентифікації (AH) – вживається для забезпечення цілісності і початкової автентифікації даних без встановлення сполучення для цілої IP-данограми (далі це називають “автентифікацією”);

  • інкапсуляція захищеного корисного навантаження (ESP) – забезпечує автентифікацію та шифрування для IP-данограми за допомогою алгоритму шифрування, визначеного користувачем. При ESP-автентифікації чинний дайджест повідомлення вставляється у кінець пакету (тоді як у AH дайджест міститься всередині автентифікації).

AH забезпечує тільки цілісність даних, а ESP здійснює як шифрування, так і забезпечує цілісність даних. Відмінність між цілісністю даних для AH та ESP полягає в точці зору на спосіб автентифікації даних. AH автентифікує цілий пакет, тоді як ESP не автентифікує зовнішній IP-заголовок. При ESP-автентифікації чинний дайджест повідомлення вставляється у кінець IP-пакету, тоді як у AH дайджест міститься всередині автентифікаційного заголовку, як показано на рис. . Доступ контролюється супутнім протоколом управління ключем – Internet Key Exchange (IKE). IPSec та IKE разом дозволяють авторизованим партнерам захищеним чином обмінюватися приватними IP-пакетами крізь публічну мережу. Вміст пакету зберігається конфіденційним завдяки застосуванню шифрування і захищається від модифікацій за допомогою цифрового підписування. IPSec може бути використаний для захищеного тунелювання пакетів до раутера або “пожежної стінки” через WAN або для захищеного наскрізного транспортування пакетів між робочими станціями і сервером.

Рис. . Структура пакету IPSec.

IPSec забезпечує послуги цілісності повідомлень, що дозволяє отримувачу пакету бути певним щодо ідентичності надавача. Це запобігає атакам на сесію, наприклад, захищає від використання перехоплених пакетів для маскування гакера під легітимного клієнта і заволодіння ним інформацією від сервера організації або від здійснення фіктивних транзакцій з сервером. Цілісність повідомлень також дозволяє отримувачу пакету бути певним, що пакет не був модифікований при пересиланні або не був використаний повторно неуповноваженою особою. Як AH, так і ESP використовують цифрові підписи для забезпечення послуг цілісності повідомлень. Вони беруть частину IP-пакету або цілий IP-пакет, генерують геш повідомлення і шифрують його секретним ключем, відомим тільки надавачу і приймачу. AH підписує цілий IP-пакет включно з IP-адресою, тоді як ESP залишає адресу джерела незахищеною. Алгоритми автентифікаційних кодів гешованих повідомлень, які звичайно використовуються для створення цифрових підписів – це MD5 і SHA-1. Вибір алгоритму, забезпечення секретності ключа для надавача і приймача і вирішення того, чи використовується AH, чи ESP, визначає політику інформаційного захисту організації. Надавач і приймач мусять достимуватися узгодженої політики захисту, щоб комунікація була успішною.

Р ис. Види захисту пакетів у IPSec.

Крім того, IPSec ESP забезпечує конфіденційність даних, гарантуючи надавачу і приймачу пакету, що ніхто інший не може бачити вміст пакету. ESP здійснює це через скремблювання частини або цілого оригінального пакету за допомогою симетричного алгоритму шифрування DES або 3DES. Тільки надавач і приймач зберігають секретний ключ, який вживається для шифрування і дешифрування.Сегмент LAN, який вживається як для extranet-, так і для intranet-трафіку, використовує різні ключі для кожної робочої групи або пари комунікаційних партнерів. Чим більш вразлива інформація і чим довше триває інформаційний обмін, тим більш жорстким повинен бути алгоритм шифрування і ключ, однак більш жорстке шифрування потребує більше часу. Тому організація може вживати 3DES для шифрування фінансових транзакцій і DES для іншої приватної інформації.

Коли пакети пересилаються крізь WAN, то стороння особа могала б довідатися дещо, спостерігаючи адреси джерела та призначення. Наприклад, якщо організація A здійснює обмін великими обсягами інформації з організацією B, то зловмисник міг би використати ці відомості для передбачення ризику продовження сполучення і нелегальної користі від використання внутрішньої інформації. Адреси також можуть виявити деталі внутрішньої топології мережі організації, сприяючи атакам відмов у послугах (Denial of Service – DOS), коли гакер перевантажує сервер організації запитами, які блокують уповноважених користувачів.

Рис. . Порівняння тунельного і транспортного режимів IPSec.

Щоб зберегти приватність адрес, IPSec може використовуватися в тунельному режимі. Цілий приватний IP-пакет (заголовок і користне навантаження) невидимий всередині публічного IP-пакету – “конверта”. Тунельний режим звичайно впроваджують за допомогою шлюзів захисту: пристрої на границі мережі, таких як раутери і “пожежні стінки”, які пересилають пакети до інших систем. Однак всередині LAN загроза анлізу трафіку та атак відмов у послугах мінімальна. Для зменшення службового навантаження процесора і довжини пакетів без впливу на їх захищеність можна використати оригінальний заголовок для пакетів, які пересилаються між станціями. У транспортному режимі ESP робить невидимими тільки навантаження приватних пакетів. Транспортний режим IPSec може бути використаний для ефективного захисту даних при їх пересиланні між клієнтами і сервером, між партнерами у робочих групах і між партнерами в extranet.

Транспортний і тунельний режими можуть вживатися сумісно для забезпечення цілої мережі організації, застосовуючи кожен, коли це потрібно: тунельний режим для захисту у WAN, а транспортний режим – для захисту в LAN.

Стандарт IPSec вимагає, щоб перед появою будь-якого пересилання даних була погоджена асоціація захисту (Security Association – SA) між двома VPN-вузлами (шлюзами або клієнтами). SA містить всю інформацію, необхідну для здійснення різних послуг мережевого захисту, таких як послуги IP-рівня (автентифікація заголовка та інкапсуляція корисного навантаження), послуг транспортного рівня та рівня застосувань і власний захист трафіку узгоджень. Його формати забезпечують сумісну структуру для пересилання ключів та автентифікаційних даних, незалежну від техніки генерування ключів, алгоритму шифрування та механізму автентифікації.

Одна з основних переваг IPSec полягає у тому, що стандартизована структура пакету та асоціація захисту у стандарті IPSec може сприяти третій групі VPN-розв’язань які взаємодіють на рівні пересилання даних. Однак він не забезпечує автоматичного механізму для обміну ключами шифрування та автентифікації, необхідних для встановлення шифрованої сесії, які впроваджує друга головна перевага IPSec – інфраструктура управління ключами або PKI. Робоча група IPSec опрацьовує і пристосовує механізм стандартизованого управління ключами, який створює можливість захищених погоджень, поширення та зберігання ключів шифрування та автентифікації. Стандартизована структура пакету і механізм управління ключами можуть сприяти повній здатності до взаємодії із третьою групою VPN-розв’язань. Інші VPN-технології, запропоновані або впроваджені як альтернатива до стандарту IPSec, взагалі не є справжніми стандартами IP Security. Натомість вони є протоколами інкапсуляції, які “тунелюють” протоколи вищих рівнів і протоколи Канального рівня.

Автоматизація встановлення IPSec із IKE

Як показано вище, встановлення комунікації IPSec вимагає узгодження протоколів, алгоритмів і секретних ключів; ці подробиці повинні бути погоджені захищеним чином між партнерами. Далі, комунікаційні партнери повинні обмінятися мандатами, щоб доступ був контрольований, базуючись на автентифікованій ідентичності. Ці два крока автоматизовані за допомогою IKE:

  • База даних політики захисту визначає тип захисту, необхідний для IP-пакетів, базуючись на інформації, яка міститься в пакеті – адресах джерела і призначення, типі протоколу застосування, який переносить IP-пакет і т.п.

  • Коли пристрій, оснащений IPSec, хоче вислати пакет, то він бере до уваги політику захисту. Якщо цей пристрій не завжди комунікується із призначенням пакету, то він пропонує “асоціацію захисту”, висилаючи IKE-повідомлення до системи призначення (у транспортному режимі) або до шлюзу захисту, відповідального за раутінг трафіку до призначення (тунельний режим).

  • Приймач бере до уваги власну політику захисту, автентифікує ідентичність надавача і перевіряє, чи надавач уповноважений до доступу до призначення. Приймач повертає власний мандат, також IKE-надавач робить те саме. Мандат може бути чимось простим, подібним до числового пароля, відомого як секретний ключ (preshared key). Для середовища, яке потребує більш жорсткої автентифікації, цифрові сертифікати забезпечують верифікацію ідентичності за допомогою довірчої третьої сторони.

  • Після автентифікації IKE-надавач і приймач погоджують засоби забезпечення цілісності повідомлень і конфіденційності даних, щоб запобігти майбутнім IKE-обмінам між ними. Вони вживають цей захищений канал управління для погодження параметрів і спільних секретних ключів, які застосовуються для автентифікації і шифрування IP-пакетів.

  • Оскільки ключі можуть бути зламані, якщо зловмисники мають досить часу для цього, то цей процес встановлення мусить повторюватися через заданий інтервал часу. Час тривання асоціацій захисту IKE і IPSec визначений політикою захисту, яка збалансовує ризик і витрати на встановлення.

Завдяки автоматизації автентифікації кінцевих пунктів, погодження параметрів та обмінів секретними ключами IKE створює можливості для масштабованого впровадження IPSec політики захисту в організації.

PKI та управління ключами в IPSec

Частиною стандарту IETF IPSec є визначення схеми автоматичного управління ключами, яка включає концепцію інфраструктури публічного ключа (Public Key Infrastructure – PKI), яка є відкритою спільнотоюсертифікованих органів, які в більшості випадків вживають ієрархічну модель для побудови довірчих асоціацій, що не існували досі. PKI важлива при встановленні VPN між корпоративною мережею організації та її бізнес-партнером, оскільки вона вимагає захищеного обміну ключами із третьою частиною CA, яка є довірчою для обидвох VPN-вузлів. Обов’язковою для схеми автоматизованого управління ключами, визначеної IETF IPSec для IPv6 є ISAKMP/Oakley (Internet Security Association and Key Management) разом із опційним SKIP (Simple Key management for IP). На відміну від VPN-розв’язань, які не забезпечують жодної форми автоматичного управління ключами, VPN-розв’язання, які підтримують це, використовуючи одну із конкурентних технік розгортання VPN, дозволяють адміністратору захисту просто створювати, поширювати і анулювати ключі шифрування у VPN, використовуючи систему PKI.

5.2.7.1.1.1.1.Впровадження захищених локальних мереж

Організації можуть впровадити IP-захист до своїх локальних мереж, застосовуючи ступеневу трифазову стратегію, яка поєднує просте започаткування із досвідом, отриманим протягом певного часу.

Значний виграш можна отримати, просто впроваджуючи захищену комунікацію з ресурсами LAN, які характерні найвищим ризиком щодо неуповноваженого доступу, без впливу на інші сфери діяльності організації. Одна загальна політика, яка забезпечує шифрування за вибором, може бути впроваджена без досвіду захисту, поточного обслуговування або синхронізованого обміну. Цей простий, неруйнівний перший крок може бути здійснений з мінімальними ризиком та інвестиціями. Коли організація стане більш ознайомленою з IPSec, то вона може поступово підвищувати рівень захисту для ресурсів з найвищим ризиком. Можуть бути використати політики на замовлення для створення захищених робочих груп, наприклад, вимагаючи шифрування для всього трафіку, яким обмінюються з фінансовими підрозділами, і зпобігаючи зовнішньому доступу до фінансових серверів. Коли кількість замовників зросте, організація отримає більший досвід і розвине відповідну інфраструктуру. Можливо, що організація вирішить здійснити більш серйозні заходи захисту, впровадивши жорстку автентифікацію з використанням інфрастуктури публічних ключів, проте вона не мусить досягати цієї фази, щоб отримати вигоди від впровадження захисту в LAN.

Нижче на рівні загальних понять описані три фази стратегії, яка може бути впроваджена у багатьох різних організаціях, від малих до великих транснаціональних корпорацій. Пдробиці впровадження відмінні для кожної організації, залежно від розміру мережі та різних факторів їх діяльності. Загальна стратегія може бути використана для опрацювання свого власного плану впровадження захищених LAN.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности