tanenbaum_seti_all.pages (525408), страница 235
Текст из файла (страница 235)
А вель иногда лаже объем трафика, псредавасмого одним лицом другому, является ценной информацией. Например, если во время военного кризиса трафик между Пентагоном и Белым домом резко снижается и при этом так же резко растет график между Пентагоном и какой-нибудь военной базой в Колорадо, персхватчик может сделать из этого далеко илущие выводы. Изучение структуры потока по прохолящим пакетам называется анализом трафика. Если используется тунпелирование, такой анализ становится задачей весьма сложной.
Недостаток режима тупнелирования заключается в том, что приходится расширять заголовок 1Р-пакетов, за счет чего заметно возрастает суммарный размер пакетов. В транспортном режиме размер пакетов измсняется незначительно. Первый из новых заголовков называется заголовком идентификации (АН— АцгйепйсаВоп Неас1ег). С сю помощью проверяется целостность ланных и выполняется зашита от взлома путем повторной передачи. Однако он не имеет никакого отношения к секретности (то есть шифрации данных).
Применение АН в транспортном режиме показано на рис. 8.23. В стандарте !Рч4 он располагается 874 Глава 8. Безопасность в сетях между заголовком 1Р (вместе со всеми необязательными полями) и заголовком ТСР. В 1руб это просто еше один дополнительный заголовок. Так он и воспринимается. Формат АН действительно очень близок к формату дополнительного заголовка 1Руб.
К полезной нагрузке иногда добавляют заполнение, чтобы достичь определенной длины, необходимой алгоритму идентификации. Это показано на рисунке. Идентифицируетоя Заголовок 1Р АН Заголовок ТСР Полезная нагрузке+ заполнение Тт 6 Рис. 8.23. Заголовок идентификации 1Рзео в транспортном режиме дпя 1Ртл Рассмотрим заголовок АН. Поле Следующий заголовок хранит предыдущее значение, которое в поле Протокол заголовка 1Р ранее было заменено на 51, чтобы показать, что далее следует заголовок АН. Обычно здесь встречается код для ТСР (6).
Поле Длила полезной нагрузки хранит количество 32-разрядных слов заголовка АН минус 2. Поле Указатель пиралгеп1ров безопасности — это идеитнфнкатор соелинения. Он вставляется отправителем и ссылается на конкретную запись в базе данных у получателя, В атой записи содержится общий ключ и другая информация данного соединения. Если бы этот протокол был придуман 1Т(), а не 1ЕТР, это поле, скорее всего, называлось бы Номером виртуального капала.
Поле Порядковый нолгер применяется для нумерации всех пакетов, посылаемых по защищенной связи. Все пакеты получают уникальные номера, даже если они посылаются повторно. Имеется в виду, что повторно передаваемый пакет имеет номер, отличный от номера оригинального пакета (даже если порядковый номер ТСР тот же самый). Это поле служит лля предотвращения взлома путем повторной передачи.
Порядковые номера никогда не повторяются. Если же окажутся использоваными все 2м номера, для продолжения общения устанавливается новая защищающая связь. Наконец, поле переменной длины Данные идептификации содержит цифровую подпись, вычисляемую относительно полезной нагрузки. При установке защищающей связи стороны договаривак>тся об используемом алгоритме генерации подписей. Чаще всего здесь не применяется шифрование с открытыми ключами, так как все известные алгоритмы этого типа работают слишком медленно, а пакеты необходимо обрабатывать с очень большой скоростью.
Протокол 1рзес основан на шифровании с симметричными ключами, поэтому перед уста- Защита соединений кз76 новкой защищающей связи отправитель и получатель должны договориться о значении общего ключа, применяемого при вычислении подписи. Один из простейших способов заключается в вычислении хэш-функции для пакета и общего ключа. Отдельно общий ключ, конечно, не передается.
Подобная схема называется НМАС (НазЬег( Меззаяе Ацг)теп(1са((оп Сот(е — код идентификации хэшированного сообщения). Вычисление этого кода выполняется гораздо быстрее, чем последовательный запуск БНА-( и КБА. Заголовок АН не позволяет шифровать данные. Его основная польза выявляется, когда важна проверка целостности, но не нужна секретность. Стоит отметить, что при проверке целостности при помощи АН охватываются некоторые поля заголовка 1Р, в частности, те из них, которые не изменяются при прохождении пакета от маршрутизатора к маршрутизатору.
Поле Время жизгги, например, меняется при каждой пересылке через маршрутизатор, поэтому его нельзя охватить при проверке целостности. Однако 1Р-адрес источника охватывается, тем самым предотвращается возможность его подмены взломщиком. Альтернативой заголовку 1Рзес служит заголовок ЕБР (Епсарзп1а(1пй Бесит!гу Рау!оад — инкапсулированная защищенная полезная нагрузка).
Как показано на рис. 8.24, этот заголовок может применяться как в транспортном режиме, так и в режиме туннелирования. Ф ° Заголовок Заголовок Заголовок Полезная нагрузка + Идентификация 1Р ЕЗР ТСР заполнение (НМАС) М вЂ” — — — Зашифровано — — ~ Новый Заголовок Старый Заголовок Полезная нагрузка + Идентификация заголовок 1Р ЕЗР заголовок )Р ТСР заполнение (НМАС) з * Рис. 8.24. ЕЗР е транспортном режиме (в); ЕЗР в режиме туннелирования (б) Заголовок ЕБР состоит из двух 32-разрядных слов: Указателя параметров безопасносгли и Порядкового ггозгера.
Мы их уже встречали в заголовке АН. Третье слово, которое обычно следует за ними, однако технически не является частью заголовка, — это Вектор инициализации (если только не применяется пустой алгоритм шифрования, тогда это поле опускается). ЕБР, как и АН, обеспечивает проверку целостности при помощи НМАС, однако вместо того, чтобы включать хэш в заголовок, его вставляют после поля полезной нагрузки. Это видно на рис. 8.24.
Такое расположение полей дает преимушество при аппаратной реализации метода. Оно заключается в том, что НМАС может подсчитываться во время передачи битов полезной нагрузки по сети и добавляться к ним в конец. Именпо поэтому в Е(Ьегпег и других стандартах локальных сетей циклический контроль избыточности вставляется в концевик, а не в заголовок.
При применении заголовка АН пакет приходится буферизировать и вычислять подпись, только после его можно отправлять. Это потенциаль- 676 Глава 8. Безопасность в сетях но приводит к уменьшению числа пакетов, которые можно передать за единицу времени. Казалось бы, если ЕВР умеет делать все то же самое, что и АН, и даже больше, причем он еще и гораздо эффективнее, тогда зачем мучиться с АН? Причины этого в основном исторические. Изначально заголовок АН обеспечивал только проверку пслостности, а ЕБР— только секретность.
Позднее ЕБР научили использовать для проверки целостности, но разработчики АН не хотели, чтобы оп канул в Лету после всей той работы, которую они проделали. Единственный аргумент в пользу АН заключается в том, что с его помощью можно частично проверять заголовок 1Р, чего пс умеет Е5Р. И все же это аргумент довольно слабый. Еще один сомнительный аргумент состоит в том, что система, поддерживающая АН, но не поддерживающая ЕВР, возможно, будет иметь меньше проблем при получении лицензии иа экспорт, поскольку этот заголовок не имеет отношения к секретности и шифрованик>. Похоже, что АН со временем все-таки исчезнет с горизонта. Брандмауэры Возможность соединять любые компьк>теры друг с друп>м в некоторых случаях является достоинством, а в других, наоборот, недостатком.
Возможность бродить по Интернету доставляет много радости домашним пользователям. Мснсджсрам отдела безопасности корпораций зта возможность кажется кошмаром. Большинство компаний располагает огромными объемами конфиденциальной информации, размещенной на компьютерах, подключенных к сети, — коммерческие тайны, планы развития производства, рыночные стратегии, аналитические отчеты финансового состояния и т. д.
Раскрытие этих сведений псред конкурентами может иметь ужасные последствия. Помимо опасности утечки информации наружу, имеется опасность проникновения вредной информации, такой как вирусы, черви и прочей цифровой заразы, способной взламывать секреты, уничтожать ценные данные, па борьбу с которой уходит масса времени сетевых администраторов. Часто эту инфекцию заносят беззаботныс сотрудники, желающис поиграть в новую модную компьютерную игру. Таким образом, требуются специальные средства, удерживающие «доброкачественную» информацию внутри, а «вредную» — снаружи.
Один из способов состоит в применении !Расс. Этот метод защищает данные при их пересылке. Однако шифрование не спасает от вирусов и хакеров, способных проникнуть в локальную сеть. Помочь защитить сети от нежелательного проникновения снаРужи может установка брандмауэров, к рассмотрению которых мы сейчас обратимся. Брандмауэры представляют собой современную реализацию средневекового принципа обеспечения безопасности. Они напоминают ров, вырытый вокруг замка. Суть конструкции заключается в том, что все входящие н выхопящис нз замка должны проходить по одному подъемному мосту, где полиция ввода-вывода сможет проверить их личность.
Тот же принцип может быть применен и в сетях: Защита соединений 877 у компании может быть несколько локальных сетей, соединснных произволь- ным образом, но весь внешний трафик должен проходить через электронный подъемный мост (брандмауэр), как показано на рис. 8.25. РТР-запрос НТТР-запрос НТТР- брвузер ЕТР- прокси ЕТР- сервер НТТР-ответ РТР-ответ Рис. 8,26. Брандмауэр, состоящий из двух пакетных фильтров и шлюза прикладного уровня Брандмауэр и данной конфигурации состоит из двух компонентов: двух маршрутизаторов, фильтруюших пакеты, и шлюза прнклалного уровня. Существуют также и более простые конструкции, но преимушество такой разработки состоит в том, что каждый пакет, желающий войти или выйти, должен пройти через два фильтра и один шлюз прикладного уровня.
Других путей нет. Читатели, полагающие, что достаточно одного контрольно-пропускного пункта, видимо, давно не летали международными авиалиниями. Каждый пакетный фильтр представляет собой стандартный маршрутизатор с расширенными функциями, позволяющими анализировать входящие и выходящие пакеты. Пакеты, удовлетворяющие определенным критериям, пропускаются сквозь фильтр. Нс сумевшие пройти проверку пакеты удаляются. Показанный на рис. 8.25 пакетный фильтр внутренней локальной сети проверяет выходящие пакеты, а пакетный фильтр внешней локальной сети провсряст входящие пакеты.
Пакеты, преодолевшие первый барьер, проходят к шлюзу прикладного уровня для дальнейшего исследования Размещение двух фильтров в разных локальных сетях позволяет гарантировать, что ни один пакет не попалет из одной сети в другую, не пройдя через шлюз прикладного уровня. Обходного пути вокруг него нет. Пакетные фильтры обычно управляются таблицами, настраиваемыми системным администратором. В этих таблицах перечислены допустимые и блокируемые отправители и получатели, а также правила„описывающие действия над исходящими и входящими пакетами.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
