Контрольні запитання
Загрози безпеки Web:
Способи захисту потоку даних у Web
Використання cookie.
Лабораторна робота №3 – Захист ір
Мета роботи. Вивчити архітектуру захисту на рівні комунікаційних протоколів.
Теоретичні відомості
Протокол IPSec забезпечує захист обміну даними в локальних мережах, корпоративних і відкритих глобальних мережах і в Інтернет. Головною особливістю IPSec, яка дозволяє цьому протоколу підтри-мувати найрізноманітніші програмні додатки, є можливість шифрування і/або автентифікації всього потоку даних на рівні протоколу IP. Таким чином, захист може бути забезпечений будь-якому розподіленому додатку, включаючи додатки віддаленої реєстрації, додатки типу клієнт-сервер, електронної пошти, передачі файлів, доступу до ресурсів Web тощо.
Приклади застосування включають:
Захищений доступ до філії організації через Інтернет
Захищений віддалений доступ через Інтернет.
Внутрішньомережева і міжмережева взаємодії з партнерами
Посилення захисту електронних комерційних операцій.
Переваги IPSec
Якщо підтримку IPSec реалізувати в міжмережевому екрані або марш- рутизаторі, це забезпечить надійний захист усього потоку даних, який передається через границю локальної мережі. При цьому потік даних усередині локальної мережі не перевантажується операціями, пов'язаними із захистом.
Засоби IPSec у міжмережевому екрані важко обійти, якщо використання протоколу IP передбачається для всього потоку даних, а міжмережевий екран є єдиною точкою, що зв'язує мережу організації з Інтернет.
Засоби IPSec розміщаються на рівні, нижчому за транспортний (TCP, UDP), а тому непомітні для програмних додатків. Отже, немає необ- хідності змінювати програмне забезпечення в системах користувача або сервера, якщо в міжмережевому екрані або маршрутизаторі реалізується IPSec. Навіть якщо IPSec реалізується в кінцевих системах, на програм- не забезпечення верхнього рівня це не впливає.
Використання IPSec може бути непомітним для кінцевого користувача. Таким чином немає необхідності пояснювати користувачеві механізми захисту, видавати інструкції та наполягати на їх нерозголошенні.
При необхідності IPSec може забезпечити захист індивідуальним кори- стувачам. Це може знадобитися для осіб, що працюють за територією підприємства, або при створенні захищеної віртуальної підмережі усередині організації для роботи з особливо важливими даними.
Документи IPSec
Специфікації IPSec визначаються цілим переліком документів. Най-більш важливими з них є:
RFC 2401 – огляд архітектури захисту;
RFC 2402 – опис розширень автентифікації пакетів IPv4 і IPv6;
RFC 2406 – опис розширень шифрування пакетів IPv4 і IPv6;
RFC 2408 – специфікації засобів керування ключами
Сервіс протоколу IPSec
Протокол IPSec забезпечує сервіс захисту на рівні протоколу IP, дозволяючи системі вибрати необхідні протоколи захисту, визначити алгоритм для відповідного сервісу і задати значення криптографічних ключів, які необхідні для даного сервісу. Для захисту використовується два протоколи: протокол автентифіка-ції, зазначений заголовком автентифікації AH, та комбінований протокол шифрування / автентифікації, визначений форматом пакета для протоколу ESP. У цьому випадку забезпечуються такі види сервісу:
керування доступом;
цілісність без встановлення з'єднань;
автентифікація джерела даних;
заборона відтворених пакетів (форма цілісності послідовностей);
конфіденційність (шифрування);
обмежена конфіденційність транспортного потоку.