- •7. Корпоративні комп’ютерні мережі
- •7.1. Загальні принципи побудови корпоративних мереж
- •7.2. Мережеві служби
- •7.2.2. Мережеві додатки
- •7.3. Загальні питання безпеки корпоративних комп’ютерних мереж
- •7.4. Загальні питання адміністрування корпоративних мереж
- •7.6. Загальні питання проектування корпоративних комп'ютерних мереж
7.3. Загальні питання безпеки корпоративних комп’ютерних мереж
В захищених комп’ютерних мережах є обов’язковим забезпечення виконання таких вимог:
-
Конфіденційність;
-
Аутентифікація;
-
Цілісність повідомлень;
-
Керування доступом.
Конфіденційність передбачає, що тільки відправник і отримувач пакету здатні зрозуміти зміст повідомлень, які передаються по мережі. Одним з найбільш вживаних способів забезпечення конфіденційності повідомлень є їх шифруванням і дешифруванням з використанням одного або декількох ключів. Розрядність ключа визначає число можливих комбінацій, які можуть бути використані для шифрування одного символа текстової інформації.
В сучасних мережах можуть використовуватися симетричні, відкриті та особисті ключі, моноалфавітні та поліалфавітні шифри, одинарне, подвійне та потрійне шифрування. З середини 90-их років для шифрування і дешифрування несекретних повідомлень почали використовувати стандарт DES. Шифр DES кодує 64-розрядні блоки повідомлення за допомогою 64-розрядного ключа. Шифр 3DES повідомлення кодує тричі з використання трьох різних ключів. З 2001 року в КМ почали використовувати покращений стандарт шифрування AES, який опрацьовує дані 128-розрядними блоками з ключами довжиною 128, 192 і 256 біт.
Аутентифікація - це здатність відправника і отримувача повідомлення підтвердити особистість один одного. В сучасних комп’ютерних мережах підтвердження особистості учасників сеансу зв’язку здійснюється з використанням спеціальних протоколів аутентифікації. Протоколи аутентифікації, які використовуються в КМ передбачають використання імені автора повідомлення, його ІР-адреси, пароля або ПІН-кода, зашифрованого пароля, періодичної зміни пароля і т.д.
Цілісність повідомлень передбачає забезпечення незмінності (випадкової чи навмисної) повідомлення при його пересиланні по мережі. Одним з найбільш надійних і розповсюджених засобів забезпечення цілісності повідомлень є використання цифрового підпису. Цифровий підпис - це спеціальний криптографічний метод опрацювання повідомлення, який відповідає таким вимогам:
-
можливість перевірки;
-
неможливість підробки;
-
неможливість заперечити.
Тобто, цифровий підпис повинен довести, що повідомлення зашифроване дійсно тим, хто його послав, що ніхто інший послати його не міг і що відмовитися від свого підпису він не може.
При використанні цифрового підпису проведення трудомісткого процесу ширування цілого повідомлення не є обов’язковим. Генерування цифрового підпису часто виконують шляхом обчислення дайджесту (характерного блоку обмеженої довжини) повідомлення з допомогою хеш-функцій з його наступним шифруванням за допомогою особистого ключа користувача. При цьому в мережу посилається незашифрований текст повідомлення з його зашифрованим дайджестом.
Керування доступом забезпечує захист мережі від зовнішнього несанкціонованого доступу і доступ до мережевих ресурсів тільки тим користувачам, які мають на це право і здійснюють це відповідним чином.
Безпека інформаційної взаємодії локальних мереж і окремих комп'ютерів через відкриті мережі, наприклад, через мережу Internet, вимагає якісного рішення двох базових задач:
- захисту підключених до публічних каналів зв'язку локальних мереж і окремих комп'ютерів від несанкціонованих дій з боку зовнішнього середовища;
- захисту інформації в процесі передачі відкритими каналами зв'язку.
Рішення першої задачі засноване на використанні міжмережевих екранів (брандмауерів), що підтримують безпеку інформаційної взаємодії шляхом фільтрації двостороннього потоку повідомлень, а також виконання функцій посередництва при обміні інформацією Брандмауер - це апаратно-програмний засіб, призначений для захисту корпоративної мережі від несанкціонованого доступу і контролю виходу з неї в інші мережі, в т.ч. мережі Internet. Для захисту локальних мереж брандмауер розташовують на стику між локальною і відкритою мережею.
Розрізняють наступні типи брандмауерів:
-
Фільтри пакетів;
-
Лінійні шлюзи;
-
Шлюзи додатків;
-
Комбіновані брандмауери.
Фільтрація пакетів здійснюється на основі аналізу заголовка ІР-пакету: адреси отримувача і відправника пакету, номера протоколу (порта) прикладного рівня, списку пріоритетів та привілеїв та ін. Фільтрацію вхідних і вихідних пакетів корпоративної ІР-мережі виконують протоколи мережевого рівня маршрутизатора, або рroxy-сервера.
Лінійні шлюзи призначені для захисту згенерованих внутрішніми користувачами зовнішніх запитів, а також внутрішніх ресурсів мережі від несанкціонованого зовнішнього доступу. Найбільш поширеним прикладом лінійного шлюзу є proxy-сервер, який перехоплює всі запити від хостів, згенеровані ТСР або UDP-протоколом і посилає їх у зовнішню мережу від свого імені. При цьому у зовнішнє середовище не попадають адреси хостів захищеної мережі. Приклад побудови брандмауера на базі прокси-сервера наведений на рис.7.1.
Шлюзи додатків призначені для захисту від несанкціонованого доступу окремих комп’ютерів корпоративної мережі. Це спеціальні програми прикладного рівня, які реєструють всю вхідну та вихідну інформацію комп’ютера та проводять її аналіз за певними критеріями (ознаками). Найбільш відомими шлюзами додатків є антивірусні програми
Комбіновані брандмауери використовують комбіновані методи захисту, наприклад, фільтри пакетів та лінійні шлюзи, або лінійні шлюзи та шлюзи додатків і т.п. Вони забезпечують вищий рівень захисту ІР-мереж, порівняно з брандмауерами, які використовують тільки один метод захисту.
Слід відмітити, що використання брандмауерів не забезпечує 100-відсоткового захисту корпоративних мереж від несанкціонованого доступу і може бути ефективним лише при відносно невисокому фаховому рівні зловмисників.
Захист інформації в процесі передачі відкритими лініями зв'язку оснований на виконанні наступних функцій:
- аутентифікації взаємодіючих сторін;
- криптографічному захисті переданих даних;
- підтвердженні достовірності та цілісності переданої інформації ;
- захисту від повтору, затримки і видалення повідомлень;
- захисту від заперечення фактів відправлення і прийому повідомлень.
Перераховані функції багато в чому пов'язані між собою, а їх реалізація основана на криптографічному захисті переданих даних. Висока ефективність такого захисту забезпечується за рахунок сумісного використання симетричних і асиметричних криптографічних систем.
Задача захисту інформації в процесі її передавання відкритими лініями зв'язку успішно вирішується шляхом створення захищених приватних віртуальних мереж. Захищеною приватною мережею (Virtual Private Network - VPN) називають об'єднання локальних мереж і окремих комп'ютерів через відкрите зовнішнє середовище передачі інформації в єдину віртуальну мережу, що забезпечує безпеку циркулювання даних. Віртуальна мережа формується на основі каналів зв'язку відкритої мережі. Сам термін віртуальна підкреслює, що канали зв'язку такої мережі моделюються за допомогою каналів зв'язку реальної мережі. Відкрита мережа може служити основою для одночасного функціонування багатьох віртуальних мереж, число яких визначається пропускною спроможністю відкритих каналів зв'язку.
Відкрите зовнішнє середовище передачі інформації можна розділити на середовище швидкісної передачі даних, в якості якої може використовуватися мережа Internet, а також повільніші загальнодоступні канали зв'язку, в якості яких найчастіше застосовуються канали телефонної мережі. Найбільш ефективним способом об'єднання локальних мереж і віддалених комп'ютерів є об'єднання на основі мережі Internet. Організація віртуальних мереж на основі Internet має ряд переваг:
- гарантує високу якість інформаційного обміну, оскільки магістральні канали і маршрутизатори Internet мають велику пропускну спроможність і характеризуються надійністю передавання інформації;
- забезпечує масштабовану підтримку віддаленого доступу до ресурсів мережі, дозволяючи мобільним користувачам зв'язуватися по місцевих телефонних лініях з постачальниками послуг Internet і через них входити в свою корпоративну мережу;
- для організації віддаленого доступу користувачів до локальної мережі виключається необхідність в наявності модемних пулів, а трафіком дистанційного доступу можна управляти точно так, як і будь-яким іншим трафіком Internet;
- скорочуються витрати на інформаційний обмін через відкрите зовнішнє середовище;
- використання Internet для об'єднання локальних мереж значно дешевше за оренду каналів зв'язку телефонних та інших глобальних мереж, наприклад, мереж frame relay, не говорячи вже про вартість самостійної побудови комунікацій.
Ефективність використання віртуальних мереж багато в чому визначається ступенем захищеності інформації, циркулюючої по відкритих каналах зв'язку. Безпеку інформаційного обміну необхідно забезпечити як у разі об'єднання локальних мереж, так і у разі доступу до локальних мереж віддалених користувачів.
Захист інформації в процесі її передачі відкритими каналами оснований на побудові захищених віртуальних каналів зв'язку, які називаються криптозахисними тунелями, або тунелями VPN. Кожен такий тунель є логічним з'єднанням, проведеним через відкриту мережу, по якому передаються криптографічно захищені пакети повідомлень віртуальної мережі.
Тунелювання (tunneling), або інкапсуляція (encapsulation) - це спосіб передачі корисної інформації через проміжну мережу (Internet). При інкапсуляції кадр не передається у вигляді, що згенерував вузол-відправник, а забезпечується додатковим заголовком, що містить інформацію про маршрут; це дозволяє інкапсульованим пакетам проходити через проміжну мережу. На кінці тунеля кадри деінкапсулюються і передаються одержувачу.
Для захисту від повторення, видалення і затримання пакетів, що передаються по тунелю VPN, використовуються вбудовані можливості стеку протоколів TCP/IP , а до складу кожного повідомлення підсистемою захисту прикладного рівня входить додаткова інформація.
З метою захисту від відмови отримання повідомлень підсистема захисту прикладного рівня повинна передбачати при прийомі кожного повідомлення передачу відправнику звістки про отримання повідомлення, яке криптографічно підписується одержувачем.
При використання стеку комунікаційних протоколів ТСР/ІР мережеві служби безпеки корпоративної мережі можуть функціонувати на різних рівнях: прикладному, транспортному, мережевому і канальному. Прикладом функціонування служби безпеки на прикладному рівні є система PGP. Ця система є стандартизованою, нараховує декілька версій і забезпечує безпеку електронної пошти. На прикладному і транспортному рівнях можуть функціонувати служби безпеки на основі протоколів SSL i TLS, що забезпечують аутентифікацію клієнта і сервера, проводять процедуру ”рукостискання” учасників сеансу, шифрування і дешифрування повідомлень. При цьому SSL виконує функції посередника між прикладним і транспортним рівнями. На клієнті він отримує дані додатку прикладного рівня (наприклад ННТР- або ІМАР - повідомлення), зашифровує їх і направляє в ТСР-сокет. На сервері протокол SSL зчитує дані з ТСР-сокета, дешифрує їх і направляє додатку.
Набір протоколів мережевого рівня ІРsek досить складний по своїй структурі, різні аспекти його застосування описує десяток документів RFC. Він містить два основних протоколи: АН (Authentication Header – заголовок аутентифікації) і ESP (Encapsulation Security Paloady – безпечна інкапсуляція корисного навантаження). АН забезпечує аутентифікацію відправника пакету і цілісність даних но не забезпечує конфіденційністі повідомлень. ESP забезпечує аутентифікацію джерела, конфіденційність і цілісність даних.
Стандарт ІЕЕЕ 802.16 ("Wi-Max") використовує на канальному рівні протокол WEP, який забезпечує аутентифікацію учасників обміну повідомленнями та конфіденційність даних шляхом їх шифрування із застосуванням симетричного 128-и розрядного ключа.