- •1.1Общие типы сетевых атак Прослушивание
- •Изменение данных
- •Подмена идентификации (подмена ip-адреса)
- •Атаки на пароли
- •Атаки на службу
- •Атаки «третьего»
- •Атаки с подбором ключа
- •Атаки с использованием средств прослушивания
- •Атаки на уровне приложений
- •3. Использование протокола ipSec (Internet Protocol Security)
- •3.1 Основные сведения о политике безопасности ipSec
- •3.2 Типы протокола ipSec и компоненты ipSec
- •3.3 Работы ipSec
- •4. Виртуальные частные сети и ipSec
- •L2tp и ipSec
- •Туннелирование ipSec
- •4.1 Описание политики ipSec
- •4.2 Общие параметры политики ipSec
- •4.3 Параметры обмена ключами
- •Время жизни ключа
- •4.4 Методы обмена ключами
- •Группы Диффи-Хелмана
- •4.5 Правила
- •Правило отклика по умолчанию
- •5. Советы и рекомендации
- •6. Наблюдение за действиями политики ipSec
3. Использование протокола ipSec (Internet Protocol Security)
IPSec (Internet Protocol Security) — это ключевая линия защиты на случай внутренних (частная сеть) и внешних атак. IPSec использует криптографические службы безопасности для обеспечения целостности, подлинности и конфиденциальности данных, а также защиты от повторений для трафика TCP/IP. Управление IPSec осуществляется посредством политики IPSec, для настройки и назначения которой используется оснастка «Управление политикой безопасности IP». Для выполнения задачи может потребоваться войти в систему с учетной записью «Администратор» или члена группы «Администраторы».
3.1 Основные сведения о политике безопасности ipSec
IPSec решает две задачи:
Защитить содержимое пакетов IP.
Обеспечить защиту от сетевых атак путем фильтрации пакетов и принуждения к использованию доверенных соединений.
Обе цели достигаются за счет использования служб защиты на основе криптографии, протоколов безопасности и динамического управления ключами. Такая основа обеспечивает надежность и гибкость для защиты соединений между компьютерами частной сети, доменами, сайтами, удаленными сайтами, внешними сетями и клиентами удаленного доступа. Она даже позволяет блокировать прием или передачу конкретных типов трафика.
IPSec использует модель безопасности «узел-узел» с установкой доверия и безопасности между исходным и конечным IP-адресами. Сам по себе IP-адрес не имеет учетных данных, а система, представленная этим IP-адресом, имеет учетные данные, которые проверяются с помощью процесса проверки подлинности. О защищаемом трафике должны знать только два компьютера — отправляющий и принимающий. Каждый из компьютеров предпринимает меры безопасности на своей стороне соединения, исходя из предположения о том, что среда, через которую передаются данные, небезопасна. Для компьютеров, которые только маршрутизируют данные от исходной точки в конечную, поддержка IPSec необязательна, кроме случаев, когда между двумя компьютерами выполняется брандмауэрная фильтрация пакетов или преобразование сетевых адресов. Эта модель позволяет успешно развертывать IPSec для следующих сценариев.
Локальная сеть (клиент-сервер, одноранговая сеть).
Глобальная сеть (маршрутизатор-маршрутизатор, шлюз-шлюз).
Удаленный доступ (клиенты с удаленным подключением и доступ к Интернету через частные сети).
Как правило, на обеих сторонах соединения необходима конфигурация IPSec (называемая политикой IPSec) для задания параметров безопасности, позволяющих двум системам согласовать способ защиты трафика между ними.
IPSec обладает рядом возможностей, предотвращающих или значительно снижающих эффективность атак, рассматриваемых в разделе Вопросы безопасности протокола IP.
Анализаторы пакетов (недостаточная конфиденциальность)
Протокол ESP (Encapsulating Security Payload) в IPSec обеспечивает конфиденциальность данных путем шифрования полезных данных в пакетах IP.
Изменение данных
IPSec применяет ключи шифрования, используемые только отправляющим и принимающим компьютерами, для создания криптографической контрольной суммы для каждого пакета IP. Любые изменения данных в пакете изменяют контрольную сумму, что указывает принимающему компьютеру, что пакет был изменен во время передачи.
Атаки с подменой идентификации, атаки на пароли, атаки на уровне приложений и атаки на службу
IPSec позволяет выполнять обмен и проверку идентификации без раскрытия этих сведений для интерпретации атакующим. Обоюдная проверка подлинности используется для установки доверительных отношений между взаимодействующими системами; обмениваться данными друг с другом могут только доверенные системы. После установки подлинности IPSec применяет ключи шифрования, используемые только отправляющим и принимающим компьютерами, для создания криптографической контрольной суммы для каждого пакета IP. Криптографическая контрольная сумма гарантирует, что каждый пакет мог быть отправлен только компьютерами, которым известны соответствующие ключи.
Атаки «третьего»
IPSec использует обоюдную проверку подлинности в сочетании с общими ключами шифрования.
Атаки на службу
Для определения состояния обмена данными (разрешен, защищен или блокирован) IPSec использует методологию фильтрации пакетов IP по диапазонам IP-адресов, протоколам IP или даже конкретным портам TCP и UDP.