Вопрос 1. Сравнение возможностей реализации функций защиты на различных уровнях стека tcp/ip.

Безопасность на сетевом уровне

«+»:

1) защита полностью прозрачна для приложения, т.е. В приложении ни каким образом не учитывается и весь поток данных, выходящий от узла, защищается;

2) пользователю не известно действие механизма защиты, т.е. пользователь не может скомпилировать атрибуты и средства защиты;

3) средства защиты можно реализовать на пограничном маршрутизаторе, следовательно, весь поток данных, выходящих за пределы сети будет защищаться, а внутри сети поток не перегружается лишними операциями, связанными с защитой;

4) с точки зрения нарушителя, подобные СЗ сложно обойти, их необходимо преодолевать.

«-»:

1) данная конфигурация требует предварительного согласования всех параметров между участниками обмена данными;

2) невозможен анонимный доступ к сети, организованный подобным образом.

Безопасность на транспортном уровне

Данные перед отправкой в транспортный канал защищаются.

«+»:

1) механизм защиты встраивается в приложение пользователя, т.е. пользователь моет выбрать механизм защиты;

2) не требуется предварительная настройка механизмов защиты;

3) в рамках одного соединения может быть осуществлено несколько защищенных потоков данных.

«-»:

1) защищаются данные только одного приложения;

2) не скрывается структура сети и структура протоколов ТУ (нарушитель может изучать систему, т.е. информацию о портах и IP).

Безопасность на прикладном уровне

Предполагает, что приложение использует защищенный протокол ПУ.

«+»:

1) пользователь полностью участвует в создании безопасного соединения;

2) невозможно осуществлять незащищенную связь.

«-»:

1) пользователь должен уметь и быть осведомленным в работе и настройке механизма безопасности. Из-за этого возможны ошибки пользователей.

Вопрос 2. Протокол ipSec. Сервисы ipSec. Вопрос 3. Защищенные связи. Режим функционирования ipSec.

VPN - Это защищенная локальная сеть, использующая соединение глобальной или любой другой незащищенной сети.

Т.е. любое незащищенное соединение с помощью объявления сети VPN мы защищаем.

Сеть VPN может реализовываться с помощью двух протоколов безопасности:

1) IPSec;

2) PPTP – протокол тунелирования соединения точка-точка.

Реализуется на СУ локальной сети и может обеспечить следующие виды сервиса:

1) управление доступом;

2) контроль целостности;

3) аутентификация источника данных;

4) отторжение воспроизведенных пакетов;

5) Обеспечение конфиденциальности всего потока данных;

6) ограничение конфиденциальности транспортного потока.

Связь между отправителем и получателем данных является односторонней и для нее требуются индивидуальные параметры согласования защиты. Каждая защищаемая связь характеризуется тремя параметрами:

1) индексирование параметра защиты (идентификация защищенной связи в рамках соединения);

2) IP адрес пункта назначения;

3) идентификатор протокола защиты.

У абонентов VPN необходимо заранее согласовывать таблицу защищенных связей, в которой был бы перечень номеров и параметров защищенных связей вплоть до ключей, т.е. при установлении соединения достаточно узнать номер использованной защищенной связи.

Протокол IPSec поддерживает 2 режима работы:

1) транспортный режим обеспечивает защиту данных верхних уровней относительно IP. При этом заголовок IP остается без изменений;

2) туннельный режим обеспечивает защиты всего пакета IP, включая заголовок. Для того, чтобы передать этот пакет: весь требующий зашиты пакет IP рассматривается как полезный груз внешнего пакета IP, который формируется обычно на пограничном маршрутизаторе локальной сети (т.е. даем новый IP, отличный от защищенного).

Не требует реализации СЗ непосредственно у абонента. Защита реализуется только пограничными маршрутизаторами локальных сетей, при этом скрывается от внешнего наблюдения структура и адресация локальных сетей.

Все функции протокола IPSec выполняются с помощью протокола АН (заголовок аутентификации) и протокола ESP (защищенный полезный груз).