Олифер В.Г., Олифер Н.А. - Компьютерные сети. Принципы, технологии, протоколы (4-ое изд.) - 2010 - обработка (953099), страница 224
Текст из файла (страница 224)
Точно так же, как и неожиданную попытку легального внутреннего пользователя скопировать файл с паролями или повысить уровень своих привилегий. Подобные подозрительные действия может обнаружить только система со встроенными агентами во многих точках сети, причем она должна следить не только за графиком, но и за обращениями к критически важным ресурсам операционных систем отдельных компьютеров, а также иметь информацию о перечне подозрительных действий (сигнатур атак) пользователей.
Таковой и является система обнаружения вторжений. Она не дублирует действия межсетевого экрана, а дополняет их, производя, кроме того, автоматический анализ всех журналов событий, имеющихся у сетевых устройств и средств защиты, чтобы попытаться найти следы атаки, если ее не удалось зафиксировать в реальном времени. Протоколы защищенного канала. 1Раес Известно, что задачу защиты данных можно разделить на две подзадачи: защиту данных внутри компьютера и защиту данных в процессе их передачи от одного компьютера в другой.
Для обеспечения безопасности данных при их передаче по публичным сетям используются различные технологии защищенного канала. 1екнология защищенного канале обеспечивает защиту графика между двумя точками в открытой транспортной сети, например в Интернете.
Защищенный канал подразумевает выполнение трех основных функцийс Р взаимная аутентификация абонентов при уотановлении соединения, которая может быть выполнена, например, путем обмена паролями; 0 защита передаааеммктю каналу оообщвний от несанкционированного доступа, например, путем шифрования; 0 подтверждение целостности поступающих по каналу сообщений, например, путем передачи одновременно с сообщением его дайджеста. 888 Глава 24. Сетевая безопасность В зависимости от местарасположения программного обеспечения защищенного канала различащт две схемы его образования: 0 схема с конечными узлами, взаимодействующими через публичную сеть (рис. 24.26, а); О схема с оборудованием поставщика услуг публичной сети, расположенным на границе между частной и публичной сетями (рис. 24.26, б). Рис.
24.26. Два подхода к образованию защищенного квнвлв В первом случае защищенный канал образуется программными средствами, установленными на двух удаленных компьютерах, принадлежащих двум разным локальным сетям одного предприятия и связанных между собой через публичную сеть. Преимушеством этого подхода является полная защищенность канала вдоль всего пути следования, а также возможность использования любых протоколов создания защищенных каналов, лишь бы на конечных точках канала поддерживался один и тот же протокол. Недостатки заключаются в избыточности и децентрализованности решения. Избыточность состоит в том, что вряд лн стоит создавать защищенный канал на всем пути следования данных: уязвимыми для злоумышленников обычно являются сети с коммутацией пакетов, а не каналы телефонной сети или выделенные каналы, через которые локальные сети подключены к территориальной сети.
Поэтому защиту каналов доступа к публичной сети можно считать избыточной. Децентрализация заключается в том, что для каждого компьютера, которому требуется предоставить услуги защищенного канала, необходимо отдельно устанавливать, конфигурировать и администрировать программные средства зашиты данных.
Подключение каждого нового компьютера к защищенному каналу требует выполнять эти трудоемкие операций заново. Во втором случае клиенты и серверы не участвуют в создании защищенного канала — он прокладывается только внутри публичной сети с коммутацией пакетов, например внутри Интернета. Так, канал может быть проложен между сервером удаленного доступа поставщика услуг публичной сети и пограничным маршрутизатором корпоративной сети. Это хорошо масштабируемое решение, управляемое централизовано администраторами ввв Протоколы защищенного канала.!Раас Иерархия технологий защищенного канала Защищенный канал можно построить с помощью системных средств, реализованных на разных уровнях модели ОЯ1 (рис.
24.27). Уровни защищаемых протоколов Протоколы защищенного канала Свойства протоколов защищенного канала Прикладной уровень 8/М!МЕ Уровень представления 88~, Тсй Непрозрачность для приложений, независимость от транслортнои инфраструктуры Сеансоаый уровень Транспортный уровень Сетевой уровень !РЗес Прозрачность для приложении, зависимость от транспортной инфраструктуры Канальный уровень РРТР Физический уровень Рис.
24.27. Протоколы, формирующие защищенный канал на разных уровнях модели 081 Если зашита данных осуществляется средствами верхних уровней (прикладного, представления или сеансового), то такой способ защиты не зависит от технологий транспортировки данных (1Р или 1РХ, Ег)гегпег или АТМ), что можно считать несомненным достоинством. В то же время приложения при этом становятся зависимыми от конкретного протокола защищенного канала, так как в них должны быть встроены явные вызовы функций этого протокола.
Защищенный канал, реализованный на самом высоком (прикладном) уровне, защищает только вполне определенную сетевую службу, например файловую, гипертекстовую или почтовую. Так, протокол 3/М1МЕ защищает исключительно сообщения электронной почты. При таком подходе для каждой службы необходимо разрабатывать собственную защищенную версию протокола. как корпоративной сети, так и сети поставщика услуг. Для компьютеров корпоративной сети канал прозрачен — программное обеспечение этих конечных узлов остается без изменений. Такой гибкий подход позволяет легко образовывать новые каналы защищенного взаимодействия между компьютерами независимо от места их расположения. Реализация этого подхода сложнее — нужен стандартный протокол образования защищенного канала, требуется установка у всех поставщиков услуг программного обеспечения, поддерживающего такой протокол, необходима поддержка протокола производителями пограничного коммуникационного оборудования.
Однако вариант, когда все заботы по поддержанию защищенного канала берет на себя поставщик услуг публичной сети, оставляет сомнения в надежности защиты: во-первых, незащищенными оказываются каналы доступа к публичной сети, во-вторых, потребитель услуг чувствует себя в полной зависимости от надежности поставщика услуг. вво Глава 24. Сетевая безопасность 0опулярный протокол 333' (зесцге Яоскат (луег — слой защищенных сокетоз) работает на уровне представления и создает зюцищенный канал, используя следующие технологии безопасности; (2 взаимная аутентификация приложений на обоих концах защищенного канала выполняется путем обмена сертификатами (стандарт Х.ббй); О для контроля цююстности передаваемых данных используются дайджесты; ьг секретность обеспечивается шифрацией со средствами симметричных ключей сеанса.
Протокол БЯ. разработан компанией Не(эсэре Сощпшпкабопз для защиты данных, передаваемых между веб-сервером и веб-браузером„но он может быть использован и любыми другими приложениями. Работа протокола защищенного канала на уровне представления делает его более универсальным средством, чем протокол безопасности прикладного уровня. Однако для того чтобы приложение смогло воспользоваться протоколом уровня представления, в него по-прежнему приходится вносить исправления, хотя и не столь существенные, как в случае протокола прикладного уровня.
Модификация приложения в данном случае сводится к встраиванию явных обращений к АР1 соответствующего протокола безопасности. Средства защищенного канала становятся прозрачными для приложений в тех случаях, когда безопасность обеспечивается на сетевом и канальном уровнях. Однако здесь мы сталкиваемся с другой проблемой — зависимостью сервиса защищенного канала от протокола нижнего уровня. Например, протокол РРТР не являясь протоколом канального уровня, защищает кадры протокола РРР канального уровня, упаковывая их в 1р-пакеты.
При этом не имеет никакого значения, пакет какого протокола, в свою очередь, упакован в данном РРР-кадре: 1Р 1РХ, БХА или Не(В! 0$. С одной стороны, зто делает сервис РРТР достаточно универсальным, так как клиент сервиса защищенного канала может задействовать любые протоколы в своей сети. С другой стороны, такая схема предъявляет жесткие требования к типу протокола канального уровня, используемому на участке доступа клиента к защищенному каналу — для протокола РРТР таким протоколом может бьгть глолько РРР. Хотя протокол РРР очень распространен в линиях доступа, сегодня конкуренцию ему составляют протоколы О!йаЫ Ет)гегпег и Ратт Е(Ьегпец которые все чаще работают не только в локальных, но и глобалъных сетях.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
