Московский государственный университет путей сообщения
Опубликован: 11.04.2006 | Доступ: свободный | Студентов: 1311 / 300 | Оценка: 4.39 / 4.00 | Длительность: 17:21:00
ISBN: 978-5-9556-0036-1
Специальности: Разработчик аппаратуры
Лекция 11:

Средства обеспечения безопасности

< Лекция 10 || Лекция 11: 1234567

Защита TCP/IP-сетей

Вопросам защиты сетей, основанных на использовании стека протоколов TCP/IP, посвящена обширная литература, например, [4.13, 4.14, 4.15]. Безопасность информационного взаимодействия корпоративных компьютерных сетей и отдельных компьютеров через незащищенные сети, например, через Internet, требует решения задач защиты сетевых компонентов от несанкционированных действий со стороны внешней среды и защиты информации в процессе ее передачи по каналам связи.

Решение первой задачи основано на использовании межсетевых экранов Firewalls, поддерживающих безопасность взаимодействия путем фильтрации двустороннего трафика сообщений, а также выполнения функций посредничества при обмене информацией.

Защита информации в процессе передачи по открытым каналам связи обеспечивается выполнением функций:

  • аутентификации сторон;
  • шифрования передаваемых данных;
  • подтверждения подлинности и целостности доставленной информации;
  • обнаружения и исследования событий, связанных с отрицанием фактов отправления и приема сообщений.

Защита информации в процессе ее передачи по открытым каналам связи основана на построении защищенных каналов связи, называемых криптозащищенными туннелями или туннелями VPN (Virtual Private Network). Для независимости от прикладных протоколов и приложений защищенные VPN формируются на нижних уровнях стека TCP/IP (рис. 4.19). Уровню сетевых интерфейсов соответствуют такие протоколы реализации VPN, как PPTP (Point-to-Point Tunneling Protokol), L2F (Layer-2 Forwading) и L2TP (Layer-2 Tunneling Protocol) как объединение первых двух протоколов. Уровню межсетевого взаимодействия соответствует IPSec (Internet Protocol Security). Для управления криптографическими ключами на этом уровне используются протоколы SKIP (Simple Key Management for Internet Protocols) и ISAKMP.

Протоколы обеспечения безопасности, ассоциированные с уровнями стека TCP/IP

Рис. 4.19. Протоколы обеспечения безопасности, ассоциированные с уровнями стека TCP/IP

Транспортному уровню отвечают протоколы SSL/TLS (Secur Sockets Layer/Transport Layer Security) и SOCKS, стандартизирующий процедуры взаимодействия клиент-серверных приложений TCP/IP через сервер-посредник (Firewall, брандмауэр). Протокол позволяет реализовать функцию трансляции IP-адресов (NAT-Network Address Translation), состоящую в замене для исходящих пакетов внутренних IP-адресов отправителей одним IP-адресом шлюза, что усложняет задачу несанкционированного доступа.

Нужно отметить, что имеются протоколы для реализации защищенного взаимодействия и на прикладном уровне. Эти протоколы, как правило, являются дополнениями к различным протоколам прикладного уровня. Например, протокол Secure MIME (S/MIME) является дополнением по защитным функциям к протоколу электронной почты.

Протокол удаленного доступа PPP (Point-to-Point Protokol) предусматривает, что в процессе установления соединения любая из взаимодействующих систем может потребовать использования одного из двух стандартных протоколов аутентификации - PAP (Password Authentication Protocol) или CHAP (Challenge Handshake Authentication Protocol). Некоторые фирменные протоколы представляют модификации PAP и СНАР. Например, служба RAS операционной системы Windows NT использует вариант протокола СНАР с хэш-функцией алгоритма MD4, называемый MS-CHAP.

К наиболее популярным протоколам централизованного контроля удаленного доступа относятся протоколы Kerberos, RADIUS (Remote Authentication Dial-In User Service) и др.

Названный продукт IBM z/OS Firewall Technologies представляет собой популярное решение в классе брандмауэров. Для управления взаимодействием между intranet и Internet, включая одновременное разрешение авторизованных транзакций, он обеспечивает три ключевых технологии:

  • Сетевые серверы.
  • Фильтрация и трансляция адресов.
  • Виртуальные частные сети.

К группе сетевых серверов относятся:

  • ISAKMP-сервер, обеспечивающий согласование параметров и управление ключами при формировании общего защищенного канала на базе протокола IKE (Internet Key Exchange); стороны, вовлеченные в процесс согласования, могут идентифицировать друг друга и инициировать защищенное соединение, используя цифровой сертификат, асимметричный и симметричный алгоритмы шифрования;
  • Configuration server - сервер конфигурирования выполняет функции конфигурирования графического интерфейса пользователя к брандмауэру со стороны клиентов AIX, Windows NT и др.;
  • SOCKS-сервер для исходящих сессий (от защищенного клиента к незащищенному серверу);
  • FTP proxy-сервер;
  • DNS-сервер предотвращает попытки внешних пользователей опознать адреса защищенных хостов, в то же время обеспечивая разрешение адресов хостов в незащищенной сети.

Следует также отметить, что система RACF обладает средствами защиты TCP/IP-портов и сокетов TCP и UDP, основанными на использовании профилей из класса SERVAUTH [4.16]. Например, доступ к локальным TCP или UDP портам может быть определен в профиле EZB.PORTACCESS.sysname.tcpname.SAFkeyword.

< Лекция 10 || Лекция 11: 1234567