Олифер В.Г., Олифер Н.А. - Компьютерные сети. Принципы, технологии, протоколы (4-ое изд.) - 2010 - обработка, страница 227

Для каждого нового пакета, поступающего в защищенный канал, 1РБес просматривает все записи в базе БР() и сравнивает значение селекторов этих записей с соответствующими полями 1Р-пакета. Если значение полей совпадает с каким-либо селектором, то над пакетом выполняются действия, определенные в поле политики безопасности данной записи.

Политика предусматривает передачу пакета без изменения, отбрасывание или обработку средствами 1РБес. В последнем случае поле политики защиты должно содержать ссылку на запись в базе данных БА(), в которую помещен набор параметров безопасной ассоциации для данного пакета (на рис.

24.38 для исходящего пакета определена ассоциация БАЗ). На основании заданных параметроФбезопасной ассоциации к пакету применяется соответствующие протокол (на рисунке — ЕБР), функции шифрования и секретные ключи. Если к исходящему пакету нужно применить некоторую политику защиты, но указатель записи БР() показывает, что в настоящее время нет активной безопасной ассоциации с требуемой политикой, то 1РБес создает новую ассоциацию с помощью протокола! КЕ, помещая новые записи в базы данных БА1) и БР(). ВЕЕ Протоколы защищенного канала.!Рзес Рис.

24.38. Использование баз данных 8Р0 и ЗА0 Базы данных политики безопасности создаются и администрируются либо пользователем (этот вариант больше подходит для хоста), либо системным администратором (вариант для шлюза), либо автоматически (приложением). Ранее мы выяснили, что установление связи между исходящим 1Р-пакетом и заданной для него безопасной ассоциацией происходит путем селекции. Однако остается другой вопрос как принимающий узел 1РБес определяет способ обработки прибывшего пакета, ведь при шифровании многие ключевые параметры пакета, отраженные в селекторе, оказываются недоступными, а значит, невозможно определить соответствующую запись в базах данных БА() и БРЭ и, следовательно, тип процедуры, которую надо применить к поступившему пакету' ) Именно для решения этой проблемы в заголовках АН и ЕБР предусмотрено поле БР1.

В это поле помещается указатель на ту строку базы данных БА(), в которой записаны параметры соответствующей безопасной ассоциации. Поле БР1 заполняется протоколом АН или ЕБР во время обработки пакета в отправной точке защищенного канала. Когда пакет приходит в конечный узел защищенного канала, из его внешнего заголовка ЕБР или АН (на рисунке — из заголовка ЕБР) извлекается значение Глава 24.

Сетевая безопасность БР1, и дальнейшая обработка пакета выполняется с учетом всех параметров заданной этим указателем ассоциации. ';,Таким образом, для распознавания пакетов, относящихся к равным безопасным ассоциациям, ~ ирппяьэуются: ,"х«на узле-отправнтеле — селектор; 14 наузле-получателе — индекс параметров безопасности(брб. После дешифрирования пакета приемный узел 1РБес проверяет его признаки (ставшие теперь доступными) иа предмет совпадения с селектором записи БР() для входящего графика, чтобы убедиться, что ошибки ие произошло и выполняемая обработка пакета соответствует политике защиты, заданной администратором. Использование баз ЗР1) и БА() для защиты трафика позволяет достаточно гибко сочетать мехаиизм беэопасиых ассоциаций, который предусматривает установление логического соединения, с дейтаграммным характером графика протокола 1Р. Сети ЧРН на основе шифрования Более масштабным средством защиты трафика по сравнению с защищенными каналами являются виртуальные частные сети (ЧРХ).

Подобная сеть представляет собой своего рода «сеть в сетиь, то есть сервис, создающий у пользователей иллюзию существоваиия их частной сети внутри публичной сети. Одним из важнейших свойств такой «частной сети» является защищенность трафика от атак пользователей публичной сети. Сетям ЧРХ доступна ие только способность имитации частной сети; сии дают пользователю возможность иметь собственное адресное пространство (иапример, частные 1Р-адреса, такие как адреса сети 10.0.0.0) и обеспечивать качество обслуживания, близкое к качеству выделенного канала. В соответствии с технологиями обеспечеиия безопасности данных, сети ЧРХ делятся иа два класса: С) сети УРМна основе разграничения трафика подробно обсуждались в разделе «Виртуальиые частные сетиь главы 19; (;3 с«тли $~РУяп основе шифрования работают иа основе рассмотренной нами в предыдущем разделе техники защищенных каналов.

~бйхуаььивв чввуивв авуь ейвбцввв швфрпвпиыв ммавтбьпьспрвдвввивя)мппвэбямвсть 'МЩИЩВЦИЫХКВНавсе, СюаДЫЕЕЕЯ (ВИЯ)ПРбВРЫЕ4се(УГЯПЬП01))ЭУбяыянвй:ПВПЬДЛЯ СбЬЕДИИЕИИЯ. '~Фоидфивиа)яиь,'. То есть в ЧРХ техника защищенных каналов применяется уже в других масштабах, связывая пе двух пользователей, а произвольное количество клиентских сетей. Технологии ЧРХ иа основе шифрования включают шифрование, аутентификацию и туииелироваиие. С) Шифрование гарантирует конфиденциальность корпоративных данных при передаче через открытую сеть. Сети ЧРМ на основе шифрования Ы Аутентификация отвечает за то, чтобы взаимодействующие системы (пользователи) на обоих концах ЧРХ были уверены в идентичности друг друга.

0 Туннелирование предоставляет возможность передавать зашифрованные пакеты по открытой публичной сети. Для повышения уровня защищенности виртуальных частных сетей технологии ЧРХ на основе шифрования можно применять совместно с технологиями ЧРХ на основе разграничения трафика. Технологии ЧРХ на основе разделения трафика иногда критикуют за недостаточный уровень безопасности, считая, что без шифрования трафика персонал поставщика услуг может получить несанкционированный доступ к данным. Действительно, такая вероятность существует, поэтому клиент услуг ЧРХ на основе разграничения трафика, например МРЬВ ЧРХ, может самостоятельно повысить защищенность своего трафика, прибегнув, скажем, к шифрованию передаваемых данных. Сейчас наиболее широко используются сети ЧРХ на основе протоколов 1РВес и ЯоЬ. Стандарты 1РЯес обеспечивают высокую степень гибкости, позволяя выбрать нужный режим защиты (с шифрованием или только с обеспечением аутентичности и целостности данных), а также использовать различные алгоритмы аутентификации и шифрования.

Режим инкапсуляции 1РЯес позволяет изолировать адресные пространства получателя (клиента) и поставщика услуг за счет применения двух 1Р-адресов — внешнего и внутреннего. Сети ЧРХ на основе 1рзес, как правило, строятся по типу СРЧРХ, то есть как виртуальные частные сети, в которых клиент самостоятельно создает туннели 1РБес через 1Р-сеть поставщика услуг. Причем от последнего требуется только предоставление стандартного сервиса по объединению сетей, а значит, предприятию доступны как услуги сети поставщика, так и услуги Интернета. Конфигурирование сетей ЧРХ на основе 1РБес довольно трудоемко, поскольку туннели 1РБес двухточечные, то есть при полносвязной топологии их количество пропорционально Ч и (1Ч вЂ” 1), где 1Ч вЂ” число соединений.

Необходимо учесть еше и непростую задачу поддержания инфраструктуры ключей. Протокол 1РВес может применяться также для создания виртуальных частных сетей, поддерживаемых провайдером (РРЧРХ) — туннели в них также строятся на базе устройств клиента (СЕ- оазео), но эти устройства удаленно конфигурируются и администрируются поставщиком услуг. Пропускная способность каналов и другие параметры ЯоЯ этой технологией не поддерживаются, но если оператор предоставляет определенные параметры ЯоЯ (например, за счет дифференцированного обслуживания), их можно использовать при создании туннеля 1Р Бес.

В самое последнее время выросла популярность ЧРХ на основе протокола БЯЬ. Напомним, что этот протокол работает на уровне представления, непосредственно под уровнем приложений, так что приложения должны явным способом его вызывать, чтобы создать защищенный канал для своего трафика. Наиболее популярным приложением, использующим защищенные каналы ЗБЬ, является веб-браузер. В этом случае защищенные каналы БЯ. задействует протопал НТТР и в этом режиме работы его часто называют протоколом НТТРЯ.

Пользователи Интернета хорошо знают этот режим, так как браузер прибегает к нему во всех случаях, когда необходимо обеспечить конфиденциальность передаваемой информации; при покупках в интернет-магазинах, при интернет-банкинге и т. п. Служба ЧРХ на основе ЯоЬ функционирует на основе веб-портала, развернутого в локальной сети организации.

Пользователи такой защищенной службы ЧРХ получают удаленный Глава 24. Сетевая безопасность доступ к ресурсам этой локальной сети, обращаясь к веб-порталу посредством обычного брауэера через порт 443 (ТСР-порт протокола НТТРБ). Отсутствие специального клиентского программного обеспечения, требующего настройки, является значительным преимуществом Ъ'РХ на основе ЯЯ.. Выводы Информационная система находится в состоянии защищенности, если обеспечены ее конфиденциальность, доступность и целостность.

Информационная бвзопасность обеспечивается техническими средствами — системами шифрования, аутентификации, авторизации, аудита, антивирусной защиты, межсетевыми экранами и др., а такжв юридическими и морально-этическими нормами, просветительной работой и административными мерами. Существует два класса алгоритмов шифрования — симметричные (например, СЕЗ) и асимметричные (например, АРЗ). Дайджест — это рвзультат односторонней функции шифрования. Знание дайджеста не позволяет и даже не предполагает восстановления исходных данных. Дайджест используется для контроля целостности и аутентичности документа (цифровая подпись). Аутентификация пользователя — это процедура доказательства пользователем того, что он есть тот, за кого себя выдает.

Процедуры аутентификации могут основываться на знании разделяемого секрета (многоразовые и одноразовые пароли), владения неким уникальным предметом (физическим ключом, документом, сертификатом), на биохврактеристиках (рисунок радужной оболочки глаза). Авторизация — зто процедура контроля доступа легальных пользователей к ресурсам системы и предоставление каждому иэ них именно тех прав, которые определены ему администратором. Антивирусная защита служит для профилактики и диагностики вирусного заражения, а также для восстановления работоспособности пораженных вирусами информационных систем.

В ней используются методы, основанные на анализе содержимого файлов (сканирование сигнатур) и поведения программ (протоколирование и предупреждение подозрительных действий). Сетевой экран осуществляет информационную защиту одной части компьютерной сети от другой путем анализа проходящего между ними графика. Сетевые экраны делятся на экраны с фильтрацией пакетов на основе )Р-адресов, сетевые экраны сеансового уровня, способные фильтровать пакеты с учетом контекста, и наиболее интеллектуальные сетевые экраны прикладного уровня.