МИСЗКИ книга (1085503), страница 33
Текст из файла (страница 33)
леду тов, -адреса, п ет помнить, что зта возмояном> покинет в таком виде локальную сеп, то зто даст некоторые дополнительные сведения о топо ) аботающих приложениях (по пор логии сети (по адресам), о ра 196 там) и т. д. Протоколы транспортного уровня (ЯЯ, Яеспге ЯЬе11, ЯОСКЯ) скрывают картину работы отдельных приложений, но оставляют информацию для сетевого уровня. Многие протоколы сетевого нлн подсетевого уровня (1РЯес, 1.2Р, РРТР, 1.2ТР) могут скрывать: — либо только данные, пришедшие от протокола верхнего уровня (транспортного), оставляя видимыми адреса отправителя и получателя и некоторую другую информацию; — либо полностью скрывать все данные сетевого уровня, выставляя новые заголовки и окончания пакетов; такой режим работы часто еще называют туннелированием и именно он участвует в построении виртуальных частных сетей (англ, чЬтоа! рйчаге пег>когес — чрев).
Некоторые протоколы известны не только своей функциональной нагрузкой, но и задачами, которые они решаюг. Скажем, ЯЯЬ вЂ” зто де-факто сложившийся стандарт защиты интернет-соеднненнй, в том числе прн использовании систем оплаты по пластиковым картам. Сервер протокола ЯОСКЯ, обеспечивающий защиту данных между отправителем и получателем, выступает как шлюз посредник-приложений (англ. арр1(сагюп1ече1 ргоху). КегЬегоз популярен как система, позволяющая пользователю аугентифицировать себя (например, вводить пароль) лишь однажды, прн входе в систему, а далее получать прозрачный доступ (в рамках своих прав) ко всем ресурсам сети— механизм получил специальное название ЯЯΠ— з!пя1е з!ял-ол — «один вход>>. Существуют дополнительные протоколы, ориентированные на выполнение специальных задач, такие как Х.509 — протокол цифровых сертификатов, указывающий, каким образом субъекты, использующие в открытой сети механизмы асимметричной криптографии, должны распространять свои открытые ключи через центры сертификации (СА — сегббсабоп апгЬог11у).
Ь1)АР (Ь!яЬгчге!яЬг Ойесгогу Ассезз Ргогосо!) — протокол, регулирующий доступ к данным об объектах и субъектах данной зоны управления (домена, службы каталога и т. п.). 197 Контрольная последовательность в Два б<ввяа проток<»<а Контрольный байт 198 Рассмотрим несколько протоколов сетевой безопасности. Ро(нг-1о-Ро1п1 РгоЬсо!. Протокол РРР не относится к протоколам безопасности, а служит для обеспечения аутентификации в сетях, основанных на телефонных линиях с помощью специальных протоколов, для которых отведены специальные байты в кадре РРР. Структура кадра РРР. Раяямоп$ Апгпеп((саПоп Рго1осо1.
Данный протокол — наиболее простой из протоколов подтверждения удаленным субъектом своего идентификатора для объекта, предоставляющего ресурсы для использования. Аутентификация происходит за две итерации. Прн использовании РАР (Развя<от<1 Ашлепг(са6оп Ргоюсо1) в поле протокола («Два байта протокола») кадра РРР указывается соответствующее РАР- значение ОхС023, поле данных преобразуется в четыре дополнительных поля.
Структура поля «Данные» кадра РРР Код ИдентификатоР Лавка Йавиые При этом поле «Код» указывает на следующие возможные типы РАР-пакета. Код = 1: Аутентификационный запрос. Код = 2: Подтверждение аутентификации. Код = 3: Отказ в аутентификации. Поле <Идентификатор» обеспечивает соответствие пары запрос/ответ (должен меюпъся при каждом новом аутентификационном запросе). Поле «Длина» указывает совокупную длину всех четырех полей.
Поле «Данные» содержит данные пакета. Для аутентификационного запроса будет иметь следующий внд: Структура поля «Данные» РАР пакета-запроса Длина идентификатора Идевтификагор Длина ж<роля Пароль Пакет аутентификационного запроса будет посылаться субъектом, желающим получить доступ неоднократно до наступления одного из следующих событий: — получение подтверждения илн отказа; — истечение счетчика попыток. При получении запроса объектом производится распозна ванне полученных результатов (сравнение с имеющимися у объекта значениями).
По результатам распознавания субъекту высылаетсл пакет с полем Данные следующего формата: Структура поля «Данные» РАР пакета-ответа Прн этом в поле «Код» указывается 2 или 3 (в зависимости от того, подтверждена аутентификация или отвергнута), в поле «Идентификатор» — идентификатор соответствующего запроса.
В полях ответа указывается: <Длина сообщения» — размер следующего поля, «Сообщение» вЂ” возлагается на конкретную реализацию, оно обязано не влиять на работу протокола и рекомендовано формировать его удобным для прочтения. Дополнительно указано, что, поскольку пакет с подтверждением аутентификации может быть утерян, реализация должна предусматривать возможность обработки повторного запроса на аутентификацию. Таким образом, схема работы протокола следующая: 1.
Устанавливается РРР соединение. 2. Субьект посылает аутентификационный запрос с указанием своего идентификатора и пароля. 3. Объект проверяет полученные данные анные и подтверждает аутентнф фикацию или отказывает в ней. Сле ет обратить особое внимание, что весь обмен данледует есылка ля) происходят в открытом ными (в том числе и пересылка наро инто фнческих средств. Ри в. П и этом виде, без применения криптограф частоту и вре и время отправки пакетов контролирует сам Система Одноразовых паролей ЯКеу.
гово или в главе 11, система одноразовых паролей предназначена для защиты от попыток п ая и льная фраза пересылается по сети В системе Б/Кеу каждая наро ется что деи после этого больше не используется, только однажды и после — --. '". стнос слово, котот асй бессмыслеьзъю?м. а с лает перехват хшрол в ф исе прогр фе" граммы, вообще нирый пользователь вводит иитерч когда не пересылается по сети.
-с в ном подходе. Использовани е одноразового пароля происходит в три — По стовительная. Сбор данных для ввода, ое именение хэш— Генерационная. Многократно пр -б " одноразовый парояь выводится в — Вывод. б4-бнтовын виде, уд ном для об для восприятия полъзователем, и в должны быть сконфигуПервоначально клиент сервер использования единого секр ета, т.е. он долж рированы для ента (желательно, в пам ента ( о, в памяти полъзоватечисло и число цикл пр - . Зна ов именения хэш-функции. сервер высылает клиенту в запрос в ответ на запрос а о есть, что одноразовые пароли ис ли испольПри этом необходимо учесть, ли ис аций еньшается на 1 с каждым слупостоянным, а число итераций уменьшаетс чаем использовании пароля. Клиент складывает полУченное число со своим секРетом и применяет к имеющемуся значению хэш-функцию столько раз, сколько указано в числе циклов.
Полученный 64-битный результат и будет представлять собой одноразовый пароль. Поскольку его ввод требует участия пользователя, данный пароль представляется в виде б блоков по 11 бит и заменяется на б коротких английских илн русских слов (от 1 до 4 букв) из фиксированного словаря в 2048 слов. Эти слова пользователь и вводит в качестве парольной фразы, Сервер хранит у себя последний успешный пароль серии, т. е.
пароль, с которым клиент последний раз получал доступ к серверу. Учитывая, что число итераций уменьшается на 1 с каждым использованием пароля, то серверу необходимо всего лишь однократно применить к полученному от клиента паролю хэшфункцию и сравнить полученное значение с хранящимся у него последним успешным паролем, если онн совпадают — аутентификация прошла удачно. Если используемая хзш-функция необратима, злоумышленник, даже перехватив текущий одноразовый пароль, не сможет предугадать следующий пароль серии с меньшим количеством циклов. По истечении количества циклов клиенту и серверу необходимо обновить случайное число, начальное число циклов и, возможно, секрет.
Протокол КегЬегоз. Р окол предназначен для а е иф объектом (и наоборот) например сервера клиентом в случае когда среда передачи данных открыта, а объект изначально ничего не знает о субъекте н не имеет с ним общего секрета, но оба (и субъект, и объект) предварительно идентифицированы третьей стороной — доверенным сервером и имеют с ним общие секреты (никогда не передаваемые по сети). Требование наличия такого секрета и определяет схему защиты протокола — симметричными криптографическими алгоритмами (1)ЕЯ).
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
