1. Internet connection firewall.

С целью обеспечения безопасной работы при работе в открытых сетях (такими, например, как Интернет) непосредственно в составе Windows Server 2003 реализован встроенный брандмауэр подключения к Интернету (Internet Connection Firewall, ICF). Брандмауэр представляет собой службу, осуществляющую фильтрацию пакетов, поступающих через сетевые подключения. Служба пропускает только разрешенные TCP/IP-пакеты и отбрасывает все остальные. Это позволяет оградить компьютер от несанкционированного доступа или различного рода атак из открытых сетей, сохраняя при этом для пользователей возможность работы с требуемой информацией.

Как правило, целесообразно активизировать встроенный брандмауэр для подключения к некоторой открытой сети. Например, его можно активизировать на компьютере, реализующем общий доступ к подключению Интернета (Internet Connection Sharing, ICS). Если корпоративная сеть соединена с открытой сетью через корпоративный брандмауэр, активизация встроенного брандмауэра Windows Server 2003 может оказаться излишней.

Для активизации встроенного брандмауэра необходимо вызвать окно свойств интересующего сетевого подключения. Перейдя на вкладку Advanced (Дополнительно), требуется установить флажок Защитить мой компьютер и сеть, ограничив или предотвратив доступ к этому компьютеру из Интернета. Нажав кнопку Settings (Параметры), администратор может выполнить настройку встроенного брандмауэра. На вкладке Services (Службы) необходимо определить службы локальной сети, доступ к которым будет разрешен для внешних пользователей. По умолчанию администратору предлагается список из 12 служб, описание которых приводится в табл. 12.6. При желании администратор может добавить к списку другие службы, используемые в сети. Чтобы разрешить некоторую службу, необходимо установить флажок перед ее названием. Например, если в локальной сети имеется FTP- или WWW-сервер, доступ к которым необходимо предоставить внешним пользователям, администратор должен установить флажки напротив этих служб. По умолчанию доступ ко всем перечисленным службам запрещен.

FTP Server - Используется для разрешения доступа внешних пользователей к корпоративному FTP-серверу, (протокол FTP позволяет в среде TCP/IP осуществлять обмен файлами)

Incoming Connection VPN (L2TP) - Используется для разрешения входящих подключений, защищенных посредством протокола туннелирования L2TP.

Internet Mail Server (SMTP) - Разрешает доступ к корпоративному почтовому серверу посредством протокола SMTP (протокол SMTP используется как транспортный механизм для обмена сообщениями).

Telnet Server - Разрешает внешним пользователям доступ к службе Telnet, которая используется для удаленного управления системой

Web Server (HTTP) - Разрешает доступ к корпоративному веб-серверу по протоколу HTTP

2. IP Security

IPsec (сокращение от IP Security) — набор протоколов для обеспечения защиты данных, передаваемых по межсетевому протоколу IP, позволяет осуществлять подтверждение подлинности (аутентификацию), проверку целостности и/или шифрование IP-пакетов. IPsec также включает в себя протоколы для защищённого обмена ключами в сети Интернет. В основном, применяется для организации vpn-соединений.

Архитектура IPsec

Построение защищенного канала связи может быть реализовано на разных уровнях модели OSI. Так, например, популярный SSL — протокол работает на уровне представления, а PPTP на канальном уровне:

Уровни OSI	Протокол защищенного канала
Прикладной уровень	S/MIME
Уровень представления	SSL, TLS
Сеансовый уровень
Транспортный уровень
Сетевой уровень	IPsec
Канальный уровень	PPTP
Физический уровень

В вопросе выбора уровня реализации защищенного канала несколько противоречивых аргументов: с одной стороны, за выбор верхних уровней говорит их независимость от вида транспортировки (выбора протокола сетевого и канального уровней), с другой стороны для каждого приложения необходима отдельная настройка и конфигурация. Плюсом в выборе нижних уровней является их универсальность и наглядность для приложений, минусом — зависимость от выбора конкретного протокола (например, PPP или Ethernet). Компромиссом в выборе уровня является IPsec: он располагается на сетевом уровне, используя самый распространенный протокол этого уровня — IP. Это делает IPsec более гибким, так что он может использоваться для защиты любых протоколов, базирующихся на TCP и UDP. В то же время, он прозрачен для большинства приложений.

IPsec является набором стандартов Интернет и своего рода «надстройкой» над IP-протоколом. Его ядро составляют три протокола [4]:

==Authentication Header (АН) обеспечивает целостность виртуального соединения (передаваемых данных), аутентификацию источника информации и дополнительную функцию по предотвращению повторной передачи пакетов

==Encapsulating Security Payload (ESP) может обеспечить конфиденциальность (шифрование) передаваемой информации, ограничение потока конфиденциального трафика. Кроме этого, он может исполнять функции AH: обеспечить целостность виртуального соединения (передаваемых данных), аутентификацию источника информации и дополнительную функцию по предотвращению повторной передачи пакетов. При применении ESP в обязательном порядке должен указываться набор услуг по обеспечению безопасности: каждая из его функций может включаться опционально.

==Internet Security Association and Key Management Protocol (ISAKMP) — протокол, используемый для первичной настройки соединения, взаимной аутентификации конечными узлами друг друга и обмена секретными ключами. Протокол предусматривает использование различных механизмов обмена ключами, включая задание фиксированных ключей, использование таких протоколов, как Internet Key Exchange, Kerberized Internet Negotiation of Keys (RFC 4430) или записей DNS типа IPSECKEY (RFC 4025).

Также одним из ключевых понятий является Security Association (SA). По сути, SA является набором параметров, характеризующим соединение. Например, используемые алгоритм шифрования и хэш-функция, секретные ключи, номер пакета и др.

Туннельный и транспортный режимы

IPsec может функционировать в двух режимах: транспортном и туннельном.

В транспортном режиме шифруются (или подписываются) только данные IP-пакета, исходный заголовок сохраняется. Транспортный режим как правило используется для установления соединения между хостами. Он может также использоваться между шлюзами, для защиты туннелей, организованных каким-нибудь другим способом (см., например, L2TP).

В туннельном режиме шифруется весь исходный IP-пакет: данные, заголовок, маршрутная информация, а затем он вставляется в поле данных нового пакета, то есть происходит инкапсуляция[5]. Туннельный режим может использоваться для подключения удалённых компьютеров к виртуальной частной сети или для организации безопасной передачи данных через открытые каналы связи (например, Интернет) между шлюзами для объединения разных частей виртуальной частной сети.

Режимы IPsec не являются взаимоисключающими. На одном и том же узле некоторые SA могут использовать транспортный режим, а другие — туннельный.

3. Wi-MAX як технологія універсального широкосмугового бездротового доступу.

Wi-MAX – телекомунікаційна технологія, розроблена з метою надання універсального бездротового зв’язку на великих відстанях для широкого спектру пристроїв. (від робочих станцій та портативних комп’ютері до мобільних технологій та комунікаторів). Заснована дана технологія на IEEE 802.16. Назва від форуму, який було створено в 2001р. з метою просування та розвитку даної технології.

Основні функції Wi-Max:

• З’єднання точок Wi-Fi один з одним та іншими сегментами Інтернет.

• Забезпечення бездротового широкосмугового доступу на високих швидкостях та набагато більшим покриттям ніж Wi-Fi.

• Створення точок доступу не прив’язаних до географічного положення.

Різновиди Wi-MAX:

1. Фіксований 802.16d – 2004р, в якому підтримується фіксований доступ з використанням ортогонального частотного мультиплексування. Стаціонарні модеми, для встановлення в середині приміщення та поза ним, із застосуванням діапазонів 3.5 та 5 Ггц.

2. Мобільний 802.16.е – стандарт оптимізований для підтримки мобільних користувачів. Використовує доступні діапазонb 2.3-2.5, 2.5-2.7, 3.4-3.8 Ггц. Один з першиз прикладів реалізації є російська мережа SKARTEL.

Основною відмінністю даних технологій є те, що фіксований Wi-MAX дозволяє обслуговувати лише статичних абонентів. А мобільний орієнтований на користувачів, які пересуваються зі шв. до 120 км/год. В даному випадку, під мобільністю розуміється набір сервісів таких як роумінг, безкоштовне перемикання між станціями.

4. Аутентифікація на основі паролів і сертифікатів ( приклад)

Аутентификация на основе многоразовых паролей

Базовый принцип «единого входа» предполагает достаточность одноразового прохождения пользователем процедуры аутентификации для доступа ко всем сетевым ресурсам. Поэтому в современных операционных системах предусматривается централизованная служба аутентификации, которая выполняется одним из серверов сети и использует для своей работы базу данных, где хранятся учетные записи пользователей сети. В эти учетные данные наряду с другой информацией включены идентификаторы и пароли пользователей.

Процедуру простой аутентификации пользователя в сети можно представить следующим образом. При попытке логического входа в сеть пользователь набирает на клавиатуре компьютера свои идентификатор и пароль. Эти данные поступают для обработки на сервер аутентификации. В базе данных, хранящейся на сервере аутентификации, по идентификатору пользователя находится соответствующая запись; из нее извлекается пароль и сравнивается с тем паролем, который ввел пользователь. Если они совпали, то аутентификация прошла успешно, пользователь получает легальный статус и те права на ресурсы сети, которые определены для его статуса системой авторизации.

В схеме простой аутентификации передача пароля и идентификатора пользователя может производиться следующими способами:

- в незашифрованном виде. Например, согласно протоколу парольной аутентификации РАР (Password Authentication Protocol) пароли передаются по линии связи в открытой незащищенной форме;

- в защищенном виде. Все передаваемые данные (идентификатор и пароль пользователя, случайное число и метки времени) защищены посредством шифрования или однонаправленной функции.

Аутентификация на основе одноразовых паролей

Более надежными являются процедуры аутентификации на основе одноразовых паролей. Суть схемы одноразовых паролей - использование различных паролей при каждом новом запросе на предоставление доступа. Одноразовый динамический пароль действителен только для одного входа в систему, и затем его действие истекает. Даже если кто-то перехватил его, пароль окажется бесполезен. Динамический механизм выбора пароля один из лучших способов защиты от угроз перехвата паролей.

Различают следующие способы реализации принципа одноразовых паролей:

· механизм временных меток на основе системы единого времени;

· общий для пользователя и проверяющего список случайных паролей и надежный механизм их синхронизации;

· общий генератор случайных чисел с одним и тем же начальным значением для пользователя и проверяющего.

В основе аутентификации с одноразовыми паролями лежит процедура типа «запрос-ответ». Генерация одноразовых паролей может осуществляться аппаратным или программным способом. Аппаратные средства аутентификации на основе одноразовых паролей часто реализуются в виде миниатюрных устройств со встроенным микропроцессором. Внешне эти устройства похожи на платежные пластиковые карточки. Такие карты обычно называют ключами. У них могут быть клавиатура и небольшое дисплейное окно. Широко известна аппаратная реализация технологии одноразовых паролей SecuгID компании Secuгity Dynamics. Существуют и программные реализации средств аутентификации на основе одноразовых паролей в виде программных ключей, в частности продукт Softoken компании Enigma Logic. Программные ключи размещаются на гибком магнитном диске в виде обычной программы с программным генератором одноразовых паролей.

При попытке логического входа в систему пользователь сообщает системе свой идентификатор и затем вводит последовательность цифр, которую сообщает ему аппаратный или программный ключ со встроенным генератором одноразовых паролей. Ключ циклически генерирует новый пароль в виде новой последовательности цифр через небольшие постоянные интервалы времени. Сервер аутентификации сравнивает введенную пользователем цифровую последовательность с выработанным собственным значением и в зависимости от результата этого сравнения разрешает или не разрешает пользователю осуществить логический вход в систему. В качестве сервера аутентификации могут быть использованы вы­деленный компьютер или программа, выполняемая на обычном сервере.

Механізми аутентифікації із застосуванням цифрових сертифікатів. Як правило, використовують протокол із запитом і відповіддю. Сервер аутентифікації відправляє користувачу послідовність символів, так званий запит. Як відповідь виступає запит сервера аутентифікації, підписаний за допомогою закритого ключа користувача. Аутентифікація з відкритим ключем використовується як захищений механізм аутентифікації в таких протоколах як SSL, а також може використовуватися як один з методів аутентифікації в рамках протоколів Kerberos і RADIUS.

Аутентификация с применением цифровых сертификатов является альтернативой применению паролей и представляется естественным решением в условиях, когда число пользователей сети (пусть и потенциальных) измеряется миллионами. В таких обстоятельствах процедура предварительной регистрации пользователей, связанная с назначением и хранением их паролей, становится крайне обременительной, опасной, а иногда и просто нереализуемой. При наличии сертификатов сеть, которая дает пользователю доступ к своим ресурсам, не хранит никакой информации о своих пользователях — они ее предоставляют сами в своих запросах в виде сертификатов, удостоверяющих личность пользователей. Сертификаты выдаются специальными уполномоченными организациями — центрами сертификации (Certificate Authority, СА). Поэтому задача хранения секретной информации (закрытых ключей) возлагается на самих пользователей, что делает это решение гораздо более масштабируемым, чем вариант с централизованной базой паролей.