Администрирование_в_информационных_системах_Беленькая_М_Н_

—EAPoL-logoff: пакет запроса об окончании сеанса, передает состояние аутентификации;

—EAPoL-key: пакет, содержащий ключ для кодирования EAP-пакетов.

Агент запрашивает у аутентификатора разрешение доступа к порту. Аутентификатор проверяет права доступа на сервере аутентификации и разрешает доступ при наличии прав у запрашивающего порта. Контролируемый порт может начать работу только после успешного завершения процедуры аутентификации.

При этом к задачам администратора системы относятся:

—задание параметров контроля доступа к портам (разрешить или запретить доступ к порту, выбрать тип контроля порта, задать пул портов и адресов);

—проверка права доступа к портам;

—контроль числа попыток аутентификации, периода рукопожатия (handshaking), периода принудительного «выбрасывания» из системы, если аутентификация не пройдена.

Недостатком стандарта IEEE 802.1x является то, что в нем не предусмотрена работа удаленных пользователей (например, соединение по dial-up).

Как уже отмечалось, часть производителей сетевой аппаратуры вводит контроль доступа по МАС-адресам. В этом случае администратору системы необходимо помнить следующие моменты [21, 22, 37, 39]:

—безопасность порта нельзя применять к магистральным (транковым) связям, потому что они аккумулируют данные от нескольких виртуальных сетей VLAN и МАС адресов;

—функция безопасности порта не может быть активирована на порту получателя или источника SPAN — анализатора коммутируемого порта;

—на безопасном порту нельзя сконфигурировать динамическую или статическую запись САМ (connect addressable memory) [37, 39];

—после включения функции безопасности порта, все статические или динамические записи САМ, связанные с портом, удаляются, а любая постоянная запись САМ рассматривается как безопасный МАС адрес [37, 39];

—коммутаторы не всех производителей поддерживают безопасность порта.

По умолчанию установки коммутатора разрешают доступ со всех МАС-адресов на все порты коммутатора. При включении функции безопасности порта необходимо явно указать МАС-адреса, которым разрешается доступ к портам коммутатора. Портам разрешается использовать статические или динамические назначения МАС-адреса.

При динамическом назначении МАС-адреса и включении функции безопасности порта узел, первым пославший пакет со своим МАС-адресом, задает тем самым безопасный адрес порта. Если на порт коммутатора поступит фрейм от другого узла, соответственно, с другим МАС-адресом, то порт автоматически перейдет в выключенный режим.

При статическом назначении МАС-адреса сетевому администратору необходимо вручную его назначить. Это наиболее безопасный способ создания списка адресов источников. Однако он требует много времени и усилий, особенно в больших сетях.

Внедрение средств управления. При первой установке операционной системы на коммутатор все порты коммутатора назначаются виртуальной сети VLAN1. Обычно эта виртуальная сеть сохраняется как виртуальная сеть управления. В результате, если порты не были перенастроены или были повторно установлены по умолчанию, то любой пользователь, войдя в виртуальную сеть VLAN1, автоматически попадает в виртуальную сеть управления. Для решения этой проблемы целесообразно переместить виртуальную управляющую сеть VLAN1 в другую виртуальную сеть.

Более подробно вопросы о предлагаемых средствах защиты безопасности рассматриваются в технической документации по ОС производителей коммуникационных средств, например в [37, 39 ].

10.5. Обеспечение безопасности при удаленном доступе к сети предприятия

В настоящее время для получения удаленного доступа к сети предприятия наиболее часто используется технология VPN — технология частных виртуальных сетей. Сеть VPN представляет собой логическую сеть, которая функционирует в уже существующей физической инфраструктуре [20, 26]. При

этом каналы выделяются отдельным пользователям, которые могут иметь свою собственную систему IP-адресации, свои схемы маршрутизации и проводить свою политику безопасности. Определение «частная» в терминологии VPN-сетей может рассматриваться также в контексте обеспечения безопасности. В качестве мер безопасности используют туннельные технологи и алгоритмы шифрования.

Все современные VPN-технологии делят на две категории: надежные и безопасные. К надежным VPN-технологиям относят технологии на базе MPLS-коммутации с использованием протоколов BGP или L2VPN [26], к безопасным — технологии IPSec, L2TP или L2TP с применением протоколов IPSec и PPTP. Рассмотрим только безопасные технологии (более подробно см. [20, 26]).

Виртуальная частная сеть VPN создается в открытой сетевой инфраструктуре, например в глобальной сети Интернет,

иобеспечивает:

—поддержку удаленного доступа;

—поддержку нескольких удаленных друг от друга узлов, соединенных между собой выделенными линиями;

—возможность провайдеру VPN разметить на своих серверах различные службы для пользователей VPN-сети (например, Web-страницы);

—поддержку не только соединений внутри VPN-сети, но и связь между разными VPN-сетями, а также выход в сеть Интернет.

10.5.1. Типы виртуальных частных сетей

Виртуальная частная сеть VPN представляет собой множество соединений пользователей, установленных в совместно используемой инфраструктуре, и с теми же политиками безопасности, как и в частной сети. Совместно используемая инфраструктура может включать в себя уже имеющуюся магистраль провайдера службы типа Internet Protocol, Frame Relay, ATM.

На практике используются три типа VPN-сетей: сети удаленного доступа, сети интранет и экстранет.

Cети удаленного доступа. Используя VPN-cеть, удаленные пользователи могут получить доступ к корпоративной сети,

зарегистрировавшись у регионального провайдера службы Интернет. Администратор системы должен учесть, что это значительно эффективнее в финансовом отношении, чем организация удаленного доступа самостоятельно, например, сопровождая модемный пул и арендуя каналы связи. Сеть VPN удаленного доступа при необходимости предоставляет пользователям доступ к корпоративным ресурсам в любое время, в любом месте и любым способом. Для обеспечения безопасного соединения мобильных пользователей и филиалов предприятия, VPN-сети могут использовать аналоговую телефонную линию, цифровую сеть с интеграцией служб ISDN, цифровые абонентские линии хDSL, мобильные IP-телефоны и кабельные технологии.

Сети интранет. С помощью VPN-технологий компании могут использовать глобальную сеть Интернет как магистраль для связи своих географически удаленных отделений. Сети интранет соединяют между собой головной офис компании, удаленные офисы и филиалы через общедоступную инфраструктуру. В этом случае пользователи получают все используемые в частной сети политики, включая обеспечение

Рис.10.2. Логическая топология сети интранет

безопасности, качество обслуживания QoS, управляемость и надежность. Логическая топология такой сети приведена на рис. 10.2.

Сети экстранет. В таких сетях VPN-технологии можно использовать для быстрого соединения по требованию между компанией и ее бизнес-партнером. Эти соединения также организуются через совместно используемую инфраструктуру. И в этом случае пользователи получают все используемые в частной сети политики.

Для контроля качества соединения администратор системы должен использовать соглашение об уровне обслуживания — SLA, которое представляет собой договор между провайдером VPN-сети и его клиентом. Более подробно рассмотрим SLA в главе 11.

В примере на рис.10.3 в магистральной сети провайдера службы образовано две VPN-сети. Узлы A образуют VPN-сеть, показанную пунктиром, узлы В образуют VPN-сеть, показанную сплошными линиями. При этом сети A и B сосуществуют в одной и той же общей магистральной инфраструктуре и функционируют независимо, т. е. не оказывают влияния друг на друга.

Наиболее общим случаем частной виртуальной сети является объединение географически удаленных подсетей, которые соединены между собой через совместно используемую инфраструктуру, находящуюся вне их административного контроля, например через магистральную сеть одного про-

Рис. 10.3. Существование VPN-сетей в магистральной сети провайдера

вайдера. Соединения между устройствами такой виртуальной VPN-сети могут оказаться легко уязвимыми, поэтому уровень конфиденциальности, обеспечиваемый частной виртуальной сетью, в значительной степени зависит от технологии, которая использовалась при ее создании. Например, если данные, передаваемые между всеми подсетями (или всеми узлами VPNсети) надежно шифруются при прохождении по общей сетевой инфраструктуре, то обеспечивается относительно высокий уровень безопасности всей частной виртуальной сети.

Виртуальные частные сети позволяют администратору системы отделить друг от друга различные типы потоков данных. Например, «исследовательские» и «промышленные» данные не знают о существовании друг друга. Виртуальные частные сети настолько независимы, что крупные поломки или неустойчивость в одной виртуальной сети, прозрачны для другой.

Поддержка виртуальной частной сети более чем одним провайдером обеспечивает повышенный уровень надежности, поскольку все провайдеры явным образом поддерживают распределенную среду.

10.5.2. Технология IPSec

Техническая комиссия IETF разработала набор протоколов IPSec для обеспечения безопасности при передаче данных протокола IP на сетевом уровне [47]. Протоколы IPSec описаны в нескольких RFC. В них используются различные технологии шифрования для выполнения ключевых функций обеспечения безопасности против наиболее типичных угроз Интернет. При этом аутентификация гарантирует, что устройство VPNсети осуществляет связь именно с требуемым узлом. Конфиденциальность данных обеспечивается посредством шифрования. Поддержка целостности обеспечивает предотвращение изменения данных в процессе передачи.

Ключевые технологии шифрования протоколов IPSec содержат [9, 26, 47]:

—симметричные алгоритмы шифрования (DES, 3DES, AES);

—хэш-алгоритмы (MD5 и SHA-1) для генерирования кода аутентификации;

—протокол обмена ключами Диффи-Хеллмана (DH) двух VPN-устройств для генерации общего секретного кода по небезопасному каналу;

—инфраструктуру открытого ключа (PKI), состоящую из протоколов и стандартов для применения алгоритмов открытого ключа.

В настоящее время базовой технологией для построения систем безопасности сетевого уровня как для протокола IP версии 4 (IPv4), так и версии 6 (IPv6) является технология IKE/IPsec. Технология IKE/IPsec реализована большинством крупнейших производителей (Cisco Systems, Check Point, IBM, Microsoft) и прошла апробацию/внедрение в большом числе системных проектов.

Технология IKE/IPsec представлена набором открытых международных стандартов (RFC 2401 — 2412, 2451). Стандарты определяют и архитектуру системы безопасности (RFC 2401. Security Architecture for Internet Protocol) и спецификации основных протоколов.

Перечислим основные стандарты IKE/IPSec:

—RFC 2401. Security Architecture for Internet Protocol — архитектура безопасности для протоколов IPv4, IPv6;

—RFC 2402. IP Authentication Header (AH) — заголовок аутентификации, который добавляется к IP-пакету для аутентификации источника и проверки целостности данных; он размещается между заголовком IP-дейтаграммы

изаголовком транспортного уровня;

—RFC 2406. IP Encapsulating Security Payload (ESP) — обеспечивает конфиденциальность (шифрование), целостность и аутентификацию передаваемых пакетов;

—RFC 2408. Internet Security Association and Key Management Protocol (ISAKMP) — обеспечивает для VPN-устройств безопасное согласование параметров, создание, изменение, уничтожение контекстов защищенных соединений

иуправление ключами;

—RFC 2409. The Internet Key Exchange (IKE) — развитие (адаптация) ISAKMP для работы с протоколами IPsec.

Технология IPSec имеет два режима инкапсуляции пакетов — транспортный и туннельный. В транспортном режиме IP-заголовок первоначального IP-пакета используется в качестве IP-заголовка пакета IPSec, а сам IPSec-заголовок встав-

ляется между IP-заголовком и данными (перед заголовком транспортного уровня). В туннельном режиме протокол IPSec инкапсулирует весь первоначальный пакет IP, и к пакету IPSec добавляется новый IP-заголовок. В туннельном режиме обеспечивается повышенный уровень конфиденциальности данных

за счет сокрытия информации об IP-адресе первоначального пакета.

Уже отмечалось, что протокол IPSec имеет возможность выбора из нескольких алгоритмов шифрования. Эти параметры регистрируются в параметрах безопасности протокола ISAKMP (сокращенно SA — Security Association).

Протокол IPSec предусматривает ручное конфигурирование параметров администратором системы совместно с провайдером Интернет-услуг. Поэтому администратору системы следует изучить указанные выше RFC. Протокол IKE обеспечивает автоматизацию процесса генерации, распределения и управления ключами. При поддержке его VPN-устройствами эта часть работы администратора системы осуществляется непосредственно устройствами.

Комиссии IETF были представлены конкурирующие предложения компаниями Microsoft и Cisco Systems по спецификации протокола, который обеспечивал бы безопасность IP-дейтаграмм при прохождении по неконтролируемым и небезопасным (untrusted) сетевым доменам. Предложение Microsoft — это попытка стандартизации туннельного протокола PPTP (Point to Point Tunneling Protocol). Предложение компании Cisco Systems L2F (Layer 2 Forwarding), L2TP (Layer 2 Tunneling Protocol) — это аналогичные протоколы для выполнения тех же функций. Комиссия IETF объединила эти протоколы в открытый стандарт L2TP [26].

После принятия решения о создании VPN-сети администратор системы должен определить соответствующие меры для обеспечения адекватной защиты инфраструктуры. Для этого перед началом реализации необходимо провести аудит безопасности предлагаемых решений, строго определить приложение и цели его применения.

Рассмотрим эти мероприятия.

Аудит безопасности системы проводится администратором системы совместно с сетевыми подразделениями компании, оператором связи или внешними организациями. Цель ау-

дита — убедиться, что после реализации VPN-сети безопасность информационной системы не снизится из-за уязвимости в брандмауэре, приложении удаленного доступа или методе аутентификации, а сеть не станет более открытой для широкой аудитории, чем до реализации VPN. Такая оценка должна включать в себя аудит всех входных соединений в интранет, включая серверы удаленного доступа, соединения на базе маршрутизаторов и соединения с экстранет. В случае экстранет такая оценка также должна включать анализ сетей организаций-партнеров.

Сфера действия сети и требования приложений. После того как выполнен аудит безопасности, администратору системы необходимо определить сферу действия виртуальной частной сети путем идентификации конечных пользователей (партнеры, подрядчики, мобильные пользователи), которые могут получать доступ к VPN-сети и приложениям.

Этот этап включает в себя оценку приложений, которые будут использоваться, и степень чувствительности данных к задержкам, похищению или искажению, которые они будут передавать. Оценка чувствительности приложений позволит выбрать средства безопасности и адекватное шифрование.

Далее необходимо определить и протестировать задержку и потребности в качестве обслуживания QoS всех приложений, которые будут поддерживаться частной виртуальной сетью. Даже приложения, которые можно рассматривать как допускающие временное хранение данных в буфере с последующей отправкой (store and forward) могут оказаться чувствительными к задержке. Эти уровни чувствительности влияют на то, в какой степени приложение является подходящим для частной виртуальной сети, и помогают определить характер соответствующей сети.

Документация. В случае организации экстранет администратор системы совместно с администрацией предприятия должен зафиксировать правила поведения пользователей в специальном документе. При использовании удаленного доступа этот документ должен отражать политику администратора системы по отношению к новой форме доступа пользователей.

Политика безопасности. В случае организации экстранет работа в виртуальной частной сети определяется политикой аутентификации и авторизации.

Авторизация должна основываться на общих принципах, которые определяются работающими в данной сети предприятиями. Эти принципы должны отражать базовые привилегии, включая доступ к сети и доступ к Web-серверу. Принципы должны быть преобразованы в определенный набор данных и распространены по VPN-сети. Политика удаленного доступа в виртуальной частной сети не должна радикально отличаться от традиционной политики удаленного доступа. Например, может быть реализован доступ в Интернет там, где это необходимо.

Ключевым компонентом службы виртуального удаленного доступа является туннелирование [20, 26]. Туннелирование — это способ поглощения (инкапсуляции) пакетов протоколом, который понятен только во входной и выходной точках данной сети. Входная и выходная точки определяются как туннельные интерфейсы. Туннельный интерфейс аналогичен аппаратному интерфейсу, однако конфигурируется программно администратором системы.

Протокол L2TP может быть реализован в двух топологиях: принудительное туннелирование (прозрачное для пользователя, рис. 10.4) и добровольное туннелирование (известное пользователю, рис. 10.5) [26].

Ключевыми компонентами протокола L2TP являются сервер доступа (NAS), концентратор доступа (LAC) и сетевой сервер (LNS).

NAS — это устройство, которое предоставляет удаленный доступ по требованию пользователей. Оно является терминирующей точкой для канала точка—точка пользователя, получающего доступ по линии ТфОП (PSTN).

LAC — это узел, выполняющий функции инициатора установки туннеля к сетевому серверу LNS. Он пересылает пакеты между пользователями и серверами LNS.

Рис. 10.4. Принудительное туннелирование