- •1.2 Составные ядра сети
- •1.3 Архитектура проектируемой сети
- •1.4 Расчет пропускной способности сети
- •6,4 Гбит/с
- •2. Выбор оборудования
- •3 Обеспечение безопасности данных
- •3.1 Протокол radius
- •3.2 Выбор radius-сервера
- •3.3 Процедура аутентификации пользователя
- •3.4 Описание настройки radius- сервера
- •3.5 Ssh
- •4 Выбор механизма защищенного абонентского доступа
- •4.1 Механизмы абонентского доступа к сети
- •4.2 Технология iPoE
- •4.3 Механизмы безопасности iPoE
3.5 Ssh
Протоколом безопасности на транспортном уровне, обеспечивающем безопасную передачу данных между клиентом и сервером, является Secure Shell Protocol (SSH).
SSH предназначен для защиты удаленного доступа и других сетевых услуг в незащищенной сети. Он поддерживает безопасный удаленный вход в сеть, безопасную передачу файлов и безопасную эстафетную передачу сообщений по протоколам TCP\IP. SSH может автоматически шифровать, аутентифицировать и сжимать передаваемые данные. В настоящее время SSH достаточно хорошо защищен от криптоанализа и протокольных атак. Он довольно хорошо работает при отсутствии глобальной системы управления ключами и инфраструктуры сертификатов и при необходимости может поддерживать инфраструктуры сертификатов, которые существуют в настоящий момент. [8]
Протокол SSH состоит из трех основных компонентов:
Протокол транспортного уровня. Обеспечивает аутентификацию сервера, конфиденциальность и целостность данных с отличной защищенностью эстафетной передачи. В качестве опции может поддерживаться компрессия данных;
Протокол аутентификации пользователя позволяет серверу аутентифицировать клиента;
Протокол соединения мультиплексирует зашифрованный туннель, создавая в нем несколько логических каналов.
Все сообщения шифруются с помощью IDEA или одного из нескольких других шифровальных средств (тройного DES, RC4-128, Blowfish). Обмен ключами шифрования происходит с помощью RSA, а данные, использованные при этом обмене, уничтожаются каждый час (ключи нигде не сохраняются). Каждый центральный компьютер имеет ключ RSA, который используется для аутентификации центрального компьютера при использовании специальной технологии аутентификации RSA. Для защиты от подслушивания (спуфинга) сети IP используется шифрование; для защиты от DNS и спуфинга маршрутизации используется аутентификация с помощью общих ключей. Кроме того, ключи RSA используются для аутентификации центральных компьютеров.
В настоящее время повсеместно используется протокол SSH второй версии.
SSH предоставляет три способа аутентификации клиента: по IP адресу клиента, по публичному ключу клиента и стандартный парольный метод. Рассмотрим работу протокола SSH. При запросе клиента сервер сообщает ему, какие методы аутентификации он поддерживает (это определяется в опции PreferredAuthentications sshd.conf) и клиент по очереди пытается проверить их. По умолчанию клиент вначале пытается аутентифицироваться своим адресом, затем публичным ключом и, если ничего не сработало, передаёт пароль, введённый с клавиатуры (при этом пароль шифруется асимметрическим шифрованием). После прохождения аутентификации одним из методов из имеющихся у клиента и сервера пар ключей генерируется ключ симметрического шифрования, который, генерируется на основании своего секретного и удалённого публичного ключей. После чего все последующие данные, передаваемые через SSH, шифруются данным ключом (обычно используется алгоритм AES с длиной ключа 128 бит). В протоколе SSH версии 2 вместе с данными посылаются контрольные суммы формата SHA или MD5, что исключает подмену или иную модификацию передаваемого трафика