- •Программные методы защиты, применяемые в сети Internet
- •Skip-технология и криптопротоколы ssl, s-http как основное средство защиты соединения и передаваемых данных в сети Internet
- •Сетевой монитор безопасности ip Alert-1
- •Построение защищенных виртуальных сетей Введение в защищенные виртуальные сети Общие сведения
- •Способы создания защищенных виртуальных каналов
- •Обзор протоколов
- •Канальный уровень модели osi
- •Сетевой уровень модели osi
- •Сеансовый уровень модели osi
- •Обзор средств построения защищенных виртуальных сетей Общие сведения
- •Построение защищенных виртуальных сетей на базе маршрутизаторов
- •Создание защищенных туннелей с помощью межсетевых экранов
- •Построение защищенных виртуальных сетей на основе специализированного программного обеспечения
- •Туннелирование на основе специализированных аппаратных средств
Сетевой уровень модели osi
Спецификацией, где описаны стандартные методы для всех компонентов и функций защищенных виртуальных сетей, является протокол InternetProtocolSecurity(IPSec), соответствующий сетевому уровню модели OSI и входящий в состав новой версии протоколаIP— IPv6. ПротоколIPSecиногда еще называют протоколом туннелирования третьего уровня (Layer-3Tunneling).IPSecпредусматривает стандартные методы аутентификации пользователей или компьютеров при инициации туннеля, стандартные способы шифрования конечными точками туннеля, формирования и проверки цифровой подписи, а также стандартные методы обмена и управления криптографическими ключами между конечными точками. Этот гибкий стандарт предлагает несколько способов для выполнения каждой задачи. Выбранные методы для одной задачи обычно не зависят от методов реализации других задач. Для функций аутентификацииIPSecподдерживает цифровые сертификаты популярного стандарта Х.509.
Туннель IPSecмежду двумя локальными сетями может поддерживать множество индивидуальных каналов передачи данных, в результате чего приложения данного типа получают преимущества с точки зрения масштабирования по сравнению с технологией второго уровня. ПротоколIPSecможет использоваться вместе с протоколомL2TP. Совместно эти два протокола обеспечивают наиболее высокий уровень гибкости при защите виртуальных каналов. Дело в том, что спецификацияIPSecориентирована на протоколIPи, таким образом, бесполезна для трафика любых других протоколов сетевого уровня. ПротоколL2TPотличается независимостью от транспортного уровня, что может быть полезно в гетерогенных сетях, состоящих изIP-,IPX- иAppleTalk-сегментов.IPSecстремительно завоевывает популярность и станет, вероятно, доминирующим стандартом по созданию и поддержке защищенных виртуальных сетей.
Для управления криптографическими ключами на сетевом уровне модели OSI наиболее широкое распространение получили такие протоколы, как SKIP(SimpleKeymanagementforInternetProtocols) иISAKMP(InternetSecurityAssociationandKeyManagementProtocol).SKIPпроще в реализации, но он не поддерживает переговоров по поводу алгоритмов шифрования. Если получатель, использующийSKIP, не в состоянии расшифровать пакет, он уже не сможет согласовать метод шифрования с противоположной стороной. ПротоколISAKMPподдерживает такие переговоры и выбран в качестве обязательного протокола для управления ключами вIPSecдля IPv6. Другими словами, протоколISAKMPявляется составной частью протоколаIPSec. В текущей четвертой версии протоколаIP(в протоколе IPv4) может применяться как протоколISAKMP, так и протоколSKIP.
Сеансовый уровень модели osi
Защищенные виртуальные каналы могут быть сформированы и на сеансовом уровне модели OSI. Для этого применяются так называемые "посредники каналов" (circuitproxy). Посредник функционирует над транспортным уровнем, шифрует и ретранслирует трафик из защищенной сети в общедоступную сетьInternetдля каждого сокета в отдельности. При приеме выполняется обратная процедура. СокетIPидентифицируется комбинациейTCP-соединения и конкретного порта или заданным портомUDP.
Для шифрования информации на сеансовом уровне наибольшую популярность получил протокол SSL/TLS(SecureSocketsLayer/TransportLayerSecurity), разработанный компаниейNetscapeCommunications. Этот протокол создает защищенный туннель между конечными точками виртуальной сети, обеспечивая взаимную аутентификацию абонентов, а также конфиденциальность, подлинность и целостность циркулирующих по туннелю данных. Ядром протоколаSSL/TLSявляется технология комплексного использования асимметричных и симметричных криптосистем компанииRSADataSecurity. Для аутентификации взаимодействующих сторон и криптозащиты ключа симметричного шифрования используются цифровые сертификаты открытых ключей пользователей (клиента и сервера), заверенные цифровыми подписями специальных Сертификационных Центров. Поддерживаются цифровые сертификаты, соответствующие общепринятому стандарту Х.509. С целью стандартизации процедуры взаимодействия клиент-серверных приложений TCP/IP через сервер-посредник (брандмауэр) комитетIETFутвердил протокол под названиемSOCKS, и в настоящее время пятая версия данного протокола (SOCKS5) применяется для стандартизованной реализации посредников каналов.SOCKSподдерживает приложения, требующие контроля над направлениями информационных потоков и настройки условий доступа в зависимости от атрибутов пользователя и/или информации. В соответствии сSOCKS5 клиентский компьютер устанавливает аутентифицированный сеанс с сервером, исполняющим роль посредника (proxy). Использование этого посредника является единственным способом связи через брандмауэр. Посредник, в свою очередь, проводит любые операции, запрашиваемые клиентом. Поскольку посреднику известно о трафике на уровне сеанса (сокета), он может осуществлять тщательный контроль, например, блокировать конкретные приложения пользователей, если они не имеют необходимых полномочий.
В отличие от виртуальных сетей, защищенных на сеансовом уровне модели OSI, виртуальные сети, защищенные на канальном или сетевом уровне, обычно просто открывают или закрывают канал для всего трафика по аутентифицированному туннелю. Это может представлять проблему, если локальная сеть на другом конце туннеля является неблагонадежной. Кроме того, созданные туннели канального и сетевого уровня функционируют одинаково в обоих направлениях, а виртуальные сети, защищенные на сеансовом уровне, допускают независимое управление передачей в каждом направлении. Виртуальные сети с посредником канала типа IPSecориентированы на протоколIP. ЕслиIPSec, по существу, разграничивает защищенные виртуальные каналы между разными парами взаимодействующих сторон, то протоколSOCKS5 обеспечивает создание защищенных туннелей для каждого приложения и сеанса в отдельности. Аналогично протоколуIPSecи протоколам туннелирования канального уровня, виртуальные сети сеансового уровня можно использовать с другими типами виртуальных частных сетей, поскольку данные технологии не являются взаимоисключающими. Следует отметить, что имеются протоколы для реализации защищенного взаимодействия и на прикладном уровне модели OSI. Эти протоколы, как правило, являются дополнениями к различным протоколам прикладного уровня. Например, протоколSecureHTTP(SHTTP) является дополнением по функциям защиты к протоколу передачи гипертекстаHTTP, а протоколSecureMIME(S/MIME) — дополнением по защитным функциям к протоколу электронной почтыMIME. Прикладные протоколы защиты информационного взаимодействия не относят к протоколам построения защищенных виртуальных сетей, так как они полностью зависят от используемых сервисов и приложений. Протоколы формирования защищенных виртуальных каналов прозрачны для прикладных протоколов защиты. Соответственно применение приложений, реализующих, например,SHTTPилиS/MIME, наряду с криптографической защитой на более низком уровне, нисколько не уменьшает, а только увеличивает уровень безопасности.