Олифер В.Г., Олифер Н.А. - Компьютерные сети. Принципы, технологии, протоколы (4-ое изд.) - 2010 - обработка (953099), страница 225
Текст из файла (страница 225)
Работающий на сетевом уровне протокол !Радес является компромиссным вариантом. С одной стороны, он прозрачен лля приложений, с другой — может работать практически во всех сетях, так как основан на широко распространенном протоколе 1Р и использует любую технологию канального уровня (РРР Ет)гегпец АТМ и т. д.). Распределение функций между протоколами ! РЗес Протакол ) Рбес называот в стандартах Интернета системой.
Действительно, (Рбес — зто согласованный набор открытых стандартов, имеоцгий сегодня вполне очерченное юпю, которое в то же время может быль достаточно просто дополнено новыми функциями и протоколами. ~ 95 Ж веб-сайтов в Великобритании, принимающих от клиентов информацию о кредитных н дебетовых карточках, используют для передачи такого рода данных протокол ЯЯ.. вв1 Протоколы защищенного канала.!Рзес Ядро 1РБес составляют три протокола; 0 АН (АцсЬепс(сас1оп Неаг)ег — заголовок аутентификации) — гарантирует целостность и аутентичность данных; 0 ЕБР (Епсарзц!ат! пй Бесцйгу Рау1оад — инкапсуляция зашифрованных данных) — шифрует передаваемые данные, обеспечивая конфиденциальность, может также поддерживать аутентификацию и целостность данных; 0 1КЕ (1псегпег Кеу ЕхсЬапйе — обмен ключами Интернета) — решает вспомогательную задачу автоматического предоставления конечным точкам защищенного канала секретных ключей, необходимых для работы протоколов аутентификации и шифрования данных.
Как видно из краткого описания функций, возможности протоколов АН и ЕБР частично перекрываются (рис. 24.28). В то время как АН отвечает только за обеспечение целостности и аутентификации данных, ЕБР может шифровать данные и, кроме того, выполнять функции протокола АН (хотя, как увидим позднее, аутентификация и целостность обеспечиваются им в несколько урезанном виде). ЕБР может поддерживать функции шифрования и аутентификации/целостности в любых комбинациях, то есть либо всю группу функций, либо только аутентификацию/целостность, либо только шифрование. Рио.
24.26. Распределение функций между протоколами 1Р$ео Разделение функций защиты между протоколами АН и ЕБР вызвано применяемой во многих странах практикой ограничения экспорта и/или импорта средств, обеспечивающих конфиденциальность данных путем шифрования. Каждый из этих протоколов может использоваться как самостоятельно, так и одновременно с другим, так что в тех случаях, когда шифрование из-за действующих ограничений применять нельзя, систему можно поставлять только с протоколом АН. Естественно, подобная защита данных во многих случаях оказывается недостаточной. Принимающая сторона получает лишь возможность проверить, что данные были отправлены именно тем узлом, от которого они ожидаются, и дошли в том виде, в котором были отправлены. Однако от несанкционированного просмотра данных на пути их следования по сети протокол АН защитить не может, так как не шифрует их.
Для шифрования данных необходим протокол ЕБР Безопасная ассоциация Для того чтобы протоколы АН и ЕБР могли выполнять свою работу по защите передаваемых данных, протокол 1КЕ устанавливает между двумя конечными точками логическое соединение (рис. 24.29), которое в стандартах 1РБес носит название безопасной ассоциации (Бесцйсу Аззос1ас1оп, БА).
892 Глава 24. Свтввая овзопасность 1Рввс Рис. 24.29. Безопасная ассоциация Стандарты 1РЗес позволяют конечным точкам защищенного канала использовать как одну безопасную ассоциацию для передачи трафика всех взаимодействующих через этот канал хостов, так и создавать для этой цели произвольное число безопасных ассоциаций, например, по одной на каждое ТСР-соединение. Это дает возможность выбирать нужную степень детализации защиты — от одной общей ассоциации для трафика множества конечных узлов до индивидуально настроенных ассоциаций для защиты каждого приложения. Безопасная ассоциация в протоколе 1РБес представляет собой однонаправленное (симплексное) логическое соединение, поэтому если требуется обеспечить безопасный двусторонний обмен данными, необходимо установить две безопасные ассоциации.
Эти ассоциации в общем случае могут иметь разные характеристики, например, в одну сторону при передаче запросов к базе данных достаточно только аутентификации, а для ответных данных, несущих ценную информацию, дополнительно нужно обеспечить конфиденциальность. Установление безопасной ассоциации начинается с взаимной аутентификации сторон, потому что все меры безопасности теряют смысл, если данные передаются или принимаются не тем лицом или не от того лица. Выбираемые далее параметры ЗА определяют, какой из двух протоколов, АН или ЕБР, будет применяться для защиты данных, какие функции будет выполнять протокол (например, можно выполнять только аутентификацию и проверку целостности или, кроме того, еше и обеспечивать конфиденциальность).
Очень важными параметрами безопасной ассоциации являются также секретные ключи, используемые в работе протоколов АН и ЕЯР. Протокол 1РБес допускает как автоматическое, так и ручное установление безопасной ассоциации. При ручном способе администратор конфигурирует конечные узлы так, чтобы они поддерживали согласованные параметры ассоциации, включая секретные ключи. При автоматической процедуре установления ЯА протоколы 1КЕ, работающие по разные стороны канала, выбирают параметры в ходе переговорного процесса. Для каждой задачи, решаемой протоколами АН и ЕЯР, предлагается несколько схем аутентификации и шифрования (рис.
24.30). Это делает протокол 1РБес очень гибким средством. Заметим, что выбор дайджест-функции для решения задач целостности и аутентификации никак не влияет на выбор функции шифрования, обеспечивающей конфиденциальность данных. Для обеспечения совьтастимости в стандартной версии 1Рзес определен некоторый обязательный «инструментальный» набор, в частности для аутентификации данных всегда может быть использована одна из стандартных дайджест-функций М()5 либо БНА-1, а в число алгоритмов шифрования непременно входит 1)ЕЗ. При этом производители продуктов, в которых используется 1РБес, вольны расширять протокол путем включения других алгоритмов аутентификации и симметричного шифрования, что они с успехом и де- ВВЗ Протоколы защищенного канала.
1Рзес лают. Например, многие реализации 1РБес поддерживают популярный алгоритм шифрования Тг1 р!е ПЕБ, а также сравнительно новые алгоритмы: В1ожйзЬ, Сазц С1) МГ, 1деа, КС5. 1РЕвс А-1 ОЕЕ Фирменные алгоритмы Обязвтельн алюрнтмов Рнс. 24.30. Согласование параметров в протоколе ЕВР Транспортный и туннельный режимы Протоколы АН н ЕЗР могут защищать данные в двух режимах: транспортном н туннельном.
. 6 зрмннгоринмаййж~мр пвра4фчз1Ргдаката чараз сеть выполняется с помощью оригинального " 1айГРЛОМГйатОГО Лазай', ааь ЗУНГМдМНГМ;ршюмаа ИСХОдНЫй ПаКЕт ПОМЕщаЕтСя В НОВЫЙ! Р-паКВт, н лврадвча данных ло сети выполняется на основании заголовка нового 1Р-наката. Применение того или иного режима зависит от требований, предъявляемых к защите данных, а также от роли, которую играет в сети узел, завершающий защищенный канал. Так, узел может быть хостом (конечным узлом) или шлюзом (промежуточным узлом). Соответственно, имеются три схемы применения протокола 1РБегх 'ьз хост-хост; С) шлюз-шлюз; ьз хост-шлюз.
В схеме хост-хост защищенный канал, или, что в данном контексте одно и то же, безопасная ассоциация,,устанавливается между двумя конечными узлами сети (см. рис, 24.29). Тогда протокол 1Р5ес работает на конечных узлах и защищает данные, передаваемые от хоста 1 к хосту 2.
Для схемы хост-хост чаще всего используется транспортный режим защиты. В соответствии со схемой шлюз-шлюз защищенный канал устанавливается между двумя промежуточными узлами, так называемыми шлюзами безопасности (Яесцгйу батек ау, БС), на каждом из которых работает протокол 1РБес (рис. 24.31). Защищенный обмен данными может проискпдить между любыми двумя конечными узлами, подключенными к сетям, которые расположены позади шлюзов безопасности. От конечных узлов поддержка протокола 1РБес не требуется, они передают свой трафик в незащищенном виде через заслуживающие доверие внутренние сети предприятий. Трафик, направляемый в общедоступную сеть, проходит через шлюз безопасности, который и обеспечивает его защиту с помощью протокола 1РБес.
Шлюзам доступен только туннельный режим работы. Глава 24. Сетевая безопа) 862 з)э) 3 / э Зашифрованный Заголовок Новый исходный пакет )Рвес заголовок )Р Рис. 24.31. Работа защищенного канала по схеме шлюз-шлюз в туннельном режиме На рис. 24.31 пользователь компьютера с адресом 1Р1 посылает пакет по адресу 1Р2, используя туннельный режим протокола 1РБес.
Шлюз 561 зашифровывает пакет целиком, вместе с заголовком, и снабжает его новым заголовком 1Р, в котором в качестве адреса отправителя указывает свой адрес — 1РЗ, а в качестве адреса получателя — адрес 1Р4 шлюза БС2. Вся передача данных по составной 1Р-сети выполняется на основании заголовка внешнего пакета, а внутренний пакет становится при этом полем данных для внешнего пакета. На шлюзе 802 и ротокол 1РБес извлекает инкапсулированный пакет и расшифровываетт его, приводя к исходному виду Рис. 2Я.З2. Схема защищенного канала «ост-шлюз Схема хост-шлюз частолрименяется при удаленном доступе.
В этом случае зашишенный канал прокладывается между удаленным хостом, на котором работает протокол )РБес, и шлюзом, защищающим трафик для всех хостов, входящих во внутреннюю сеть преп- приятия. Эту схему можно усложнить, создав параллельно еше один защищенный канал — между удаленным хостом и каким-либо хостом, принадлежащим внутренней сети, защищаемой шлюзом (рис.
24.32). Такое комбинированное использование двух безопасных ассоциаций позволяет надежно защитить трафик и во внутренней сети. 895 Протоколы защищенного канала.!Рзес Протокол АН Протокол АН позволяет приемной стороне убедиться, что: ь3 пакет был отправлен стороной, с которой установлена безопасная ассоциация; (3 содержимое пакета не было искажено в процессе его передачи по сети; 0 пакет не является дубликатом уже полученного пакета. Две первые функции обязательны для протокола АН, а последняя выбирается при установлении ассоциации по желанию.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
