Security (Лекции по информационной безопасности), страница 8

Конфигурационная информация на сервере RADIUS определяет, какие средстваследует установить на машине NAS. На рисунке 21 показана процедура аутентификации и авторизацииRADIUS.êËÒÛÌÓÍ 21. èӈ‰Û‡ ‡ÛÚÂÌÚËÙË͇ˆËË Ë ‡‚ÚÓËÁ‡ˆËË RADIUSУчетные функции протокола RADIUS могут использоваться независимо от функций аутентификации иавторизации.

Учетные функции RADIUS позволяют в начале и в конце каждой сессии отправлять данныео количестве ресурсов (то есть времени, пакетов, байтов и т. д.), использованных в ходе этой сессии. Провайдер услуг Интернет (ISP) может использовать программные средства контроля доступа и учетаRADIUS для удовлетворения специальных требований безопасности и биллинга.Транзакции между клиентом и сервером RADIUS аутентифицируются с помощью общего «секрета», который никогда не передается по сетевым каналам. Кроме того, обмен любыми пользовательскими паролями между клиентом и сервером RADIUS идет только в зашифрованном виде, что исключает подслушивание чужих паролей и последующее злоупотребление ими.Самую свежую информацию и подробные технические детали можно получить в рабочей группеRADIUS IETF по адресу: http://www.ietf.org/html.charters/radius-charter.html.íÂıÌÓÎÓ„ËË ˆÂÎÓÒÚÌÓÒÚË Ë ÍÓÌÙˉÂ̈ˇθÌÓÒÚËВ этом разделе описаны технологии, которые используются для поддержки целостности и конфиденциальности данных.

Протоколами безопасности на транспортном уровне являются SSL и Secure ShellProtocol (SSH), которые обеспечивают безопасную передачу данных между клиентом и сервером. Обапротокола разработаны рабочей группой IETF по безопасности транспортного уровня (Transport LayerSecurity — TLS). Безопасный протокол передачи гипертекста (S-HTTP) предоставляет надежный механизм web-транзакций, однако в настоящее время наиболее популярным средством является SSL. Средство SOCKS является рамочной структурой, позволяющей приложениям клиент/сервер в доменах TCP иUDP удобно и безопасно пользоваться услугами сетевого межсетевого экрана.

Протокол безопасности IP(IPSec) представляет собой набор стандартов поддержки целостности и конфиденциальности данных насетевом уровне (в сетях IP). X.509 — это стандарт безопасности и аутентификации, который поддерживает структуры безопасности электронного информационного транспорта. Он определяет структуруданных цифрового сертификата и решает вопросы обращения общих ключей. X.509 является важнейшим компонентом инфраструктуры общих ключей (PKI).SSLSSL — это открытый протокол, разработанный компанией Netscape. SSL определяет механизм поддержки безопасности данных на уровне между протоколами приложений (такими как Hypertext TransferProtocol [HTTP], Telnet, Network News Transfer Protocol [NNTP] или File Transfer Protocol [FTP]) и протоколом TCP/IP.

Он поддерживает шифрование данных, аутентификацию серверов, целостность сообщений и (в качестве опции) аутентификацию клиентов в канале TCP/IP. SSL был представлен рабочей группе по безопасности консорциума W3 (W3C) для утверждения в качестве стандартного средства безопасности Web-браузеров и серверов в сети Интернет.Основная цель протокола SSL состоит в том, чтобы обеспечить защищенность и надежность связи между двумя подключенными друг к другу приложениями. Этот протокол состоит из двух уровней.

Нижнийуровень, который располагается поверх надежного транспортного протокола (например, TCP), называется SSL Record Protocol. SSL Record Protocol используется для встраивания различных протоколов высокого уровня. Один из таких встроенных протоколов, SSL Handshake Protocol, позволяет серверу и клиенту аутентифицировать друг друга и согласовывать алгоритм шифрования и криптографические ключи,прежде чем протокол приложения произведет обмен первыми битами данных. Одно из преимуществ SSLсостоит в том, что он независим от протоколов приложений. Протокол высокого уровня может совершенно прозрачно располагаться поверх протокола SSL.

Протокол SSL поддерживает безопасность связи,придавая ей следующие свойства:●Защищенность связи. После первоначального квитирования связи применяются средства шифрования и определяется секретный ключ. Для шифрования данных используются средства симметричнойкриптографии (например, DES, RC4 и т. д.).●Участник сеанса связи может быть аутентифицирован и с помощью общих ключей, то есть средствами асимметричной криптографии (например, RSA, DSS и т.д.).●Надежность связи. Транспортные средства проводят проверку целостности сообщений с помощьюзашифрованного кода целостности (MAC). Для вычисления кодов МАС используются безопасныехэш-функции (например, безопасный хэш-алгоритм [SHA], MD5 и т.

д.).Протокол SSL состоит из нескольких уровней. На каждом уровне сообщения имеют ряд полей для указания длины, описания и содержания. SSL воспринимает данные, предназначенные для передачи, делит ихна управляемые блоки, проводит компрессию данных (если это необходимо), использует код MAC, производит шифрование и передает результат. Принятые данные расшифровываются, проверяются, декомпрессируются и реассемблируются, а затем передаются клиентам более высокого уровня.Протокол SSL принят только в рамках HTTP. Другие протоколы доказали свою способность работать сSSL, но используют ее не часто.SSHПротокол Secure Shell (SSH) предназначен для защиты удаленного доступа и других сетевых услуг в незащищенной сети.

Он поддерживает безопасный удаленный вход в сеть, безопасную передачу файлов ибезопасную эстафетную передачу сообщений по протоколам TCP/IP и X11. SSH может автоматическишифровать, аутентифицировать и сжимать передаваемые данные. В настоящее время SSH достаточнохорошо защищен от криптоанализа и протокольных атак. Он довольно хорошо работает при отсутствииглобальной системы управления ключами и инфраструктуры сертификатов и при необходимости можетподдерживать инфраструктуры сертификатов, которые существуют в настоящий момент (например,DNSSEC, простую инфраструктуру общих ключей [SPKI], X.509).17Протокол SSH состоит из трех основных компонентов:●Протокол транспортного уровня.

Обеспечивает аутентификацию сервера, конфиденциальность и целостность данных с отличной защищенностью эстафетной передачи. В качестве опции может поддерживаться компрессия данных.●Протокол аутентификации пользователя позволяет серверу аутентифицировать клиента.●Протокол соединения мультиплексирует зашифрованный туннель, создавая в нем несколько логических каналов.Все сообщения шифруются с помощью IDEA или одного из нескольких других шифровальных средств(тройного DES с тремя ключами, DES, RC4-128, Blowfish).

Обмен ключами шифрования происходит с помощью RSA, а данные, использованные при этом обмене, уничтожаются каждый час (ключи нигде не сохраняются). Каждый центральный компьютер имеет ключ RSA, который используется для аутентификации центрального компьютера при использовании специальной технологии аутентификации RSA. Длязащиты от подслушивания (спуфинга) сети IP используется шифрование; для защиты от DNS и спуфинга маршрутизации используется аутентификация с помощью общих ключей. Кроме того, ключи RSA используются для аутентификации центральных компьютеров.Недостатком протоколов безопасности, действующих на уровне сессий, является их зависимость от инструкций протокола транспортного уровня.

В случае SSL это означает, что атака на TCP может быстропрервать сессию SSL и потребовать формирования новой сессии, в то время как TCP будет считать, чтовсе идет нормально.Самую свежую информацию и более подробные технические детали о протоколе SSH можно получить врабочей группе IEFT Secure Shell (secsh) по адресу: http://www.ietf.org/html.charters/secsh-charter.html.18Преимущества средств безопасности транспортного уровня (например, SSL или SSH) включают:●возможность действий на сквозной основе (end-to-end) с существующими стеками TCP/IP, существующими интерфейсами прикладного программирования (API) (WinSock, Berkeley Standard Distribution[BSD] и т. д.);●повышенная эффективность по сравнению с медленными каналами, поддержка технологии VanJacobson для компрессии заголовков, поддержка различных средств контроля за переполнением сети, просматривающих заголовки TCP/IP;●отсутствие каких-либо проблем с фрагментацией, определением максимального объема блоков, передаваемых по данному маршруту (MTU) и т.

д.;●сочетание компрессии с шифрованием. На этом уровне такое сочетание оказывается гораздо болееэффективным, чем на уровне пакетов.S-HTTPS-HTTP представляет собой безопасный протокол связи, ориентированный на сообщения и разработанный для использования в сочетании с HTTP. Он предназначен для совместной работы с моделью сообщений HTTP и легкой интеграции с приложениями HTTP.