Слайд 1 - Assembla

Часть 5 Технологии сетевой
безопасности
PKI
Электронная цифровая подпись
Протоколы аутентификации
IPSec
Схемы сетевой безопасности на основе firewall
PKI - Public Key Infrastructure
• PKI - набор служб безопасности,
позволяющий использовать и управлять
сертификатами и криптографией с
открытыми ключами, включая, в том
числе, собственно ключи, сертификаты
и политику администрирования
• http://www.networkmagazine.ru/cgibin/text.pl/magazines/2000/9/28
Цифровые сертификаты
• В процессе обсуждения и заключения сделки через
Интернет каждая из сторон должна быть уверена в
том, что вторая сторона представляет собой именно
то, за что она себя выдает. Помогает при этом третья
доверенная сторона, которая называется центром
сертификации (CA - Certificate Authority). Ее функция
состоит в сертификации (подтверждении) реквизитов
противоположной стороны и ее ключевой
информации. При этом сам сертификат называют
цифровым сертификатом (Digital Certificate).
Цели PKI
• Поддержка жизненного цикла цифровых ключей и сертификатов
(то есть их генерация, распределение, отзыв и т.д.),
• Поддержка процесса идентификации пользователей таким
образом, чтобы максимально сократить время допуска в
систему (на каждого пользователя в день).
• Предоставление возможности использования единственного
"токена" безопасности, единообразного для всех пользователей
и приложений, содержащего все необходимые ключевые
компоненты и сертификаты
• Реализация механизма интеграции (основанного на PKI)
существующих приложений и всех компонентов подсистемы
безопасности. ("Токен" безопасности - индивидуальное средство
безопасности, определяющее все права и окружение
пользователя в системе, например, смарт-карты.)
Логическая структура и
компоненты PKI
• PKI
Функции PKI
• Группа управления сертификатами
• Группа управления ключами
• Группу дополнительных функций
(служб)
Базовые модели PKI
•
Электронная цифровая подпись
• подтверждение того, что документ исходит от
конкретного пользователя Системы
(подтверждение авторства документа);
• проверка подлинности и целостности
документа;
• предотвращение несанкционированного
доступа к документу в процессе
информационного обмена;
• идентификацию пользователя, подписавшего
электронный документ
Схема ЭЦП
Протокол аутентификации
Kerberos
•
Kerberos
Initial LogonV 5
Service Request
KDC
KDC
Ticket-Granting
Ticket
1
TGT
2
2
1
Service
Ticket
TGT ST
3
3
TGT
Cached
Locally
Windows 2000–based
Computer
ST
4
Windows 2000–based
Computer
Session
Established
Target Server
Протокол аутентификации по паролю (Password
Authentication Protocol, PAP)
Протокол взаимной аутентификации (Challenge
Handshake Authentication Protocol, CHAP)
• Протокол
аутентификации
по
паролю
(Password Authentication Protocol, PAP) и
протокол
взаимной
аутентификации
(Challenge Handshake Authentication Protocol,
CHAP) — оба являются частью протокола
РРР, протокола канального уровня, который
часто используется для соединений с
глобальной
сетью,
особенно
при
использовании
в
качестве
средства
подключения к Internet модемов или DSL. И
PAP, и CHAP предоставляют протокол для
обмена именем пользователя и паролем.
Процесс обмена паролем и
именем пользователя
• 1. Фред использует PAP, чтобы послать имя
пользователя (Fred) и пароль (bowling).
2. Маршрутизатор посылает запрос серверу
аутентификации, используя сообщения протокола
RADIUS (RFC 2865).
3. Сервер аутентификации проверяет список имен
пользователя и паролей.
4. Сервер аутентификации подтверждает, что Фред
— аутентичен в смысле использования сервера
RADIUS.
5. Маршрутизатор использует PAP, чтобы
подтвердить: Фреду разрешают использовать
Internet.
PAP CHAP
• Для аутентификации могут использоваться и
другие протоколы. Например, TACACS + —
популярный
патентованный
протокол,
который компания Cisco разработала до того,
как
появился
RADIUS.
Он
может
использоваться вместо протокола RADIUS.
Кроме того, между устройством конечного
пользователя и маршрутизатором Internetпровайдера
вместо
PAP
может
использоваться
протокол
CHAP
(
http://protocol.my1.ru/publ/57-1-0-29 )
IPSecurity (RFC1825, 1826 и 1827)
•
http://www.ixbt.com/comm/ipsecure.shtml
Рис. 1 – Архитектура IPSec.
Инкапсуляция
• К IP-данным, готовым к передаче по
виртуальной частной сети, IPSec
добавляет
заголовок
для
идентификации защищенных пакетов.
Перед передачей по Internet эти пакеты
инкапсулируются в другие IP-пакеты.
IPSec поддерживает несколько типов
шифрования, в том числе Data
Encryption Standard (DES) и Message
Digest 5 (MD5).
Заголовок AH
96 бит заголовка AH
Заголовок ESP
Особенности
Аппаратная независимость
IPSec
SSL
Да
Да
Код
Не требуется изменений для
приложений. Может потребовать
доступ к исходному коду стека
TCP/IP.
Требуются изменения в
приложениях. Могут
потребоваться новые DLL или
доступ к исходному коду
приложений.
Защита
IP пакет целиком. Включает
защиту для протоколов высших
уровней.
Только уровень приложений.
Фильтрация пакетов
Основана на
аутентифицированных
заголовках, адресах отправителя
и получателя, и т.п. Простая и
дешёвая. Подходит для роутеров.
Основана на содержимом и
семантике высокого уровня.
Более интеллектуальная и более
сложная.
Производительность
Меньшее число переключений
контекста и перемещения
данных.
Большее число переключений
контекста и перемещения
данных. Большие блоки данных
могут ускорить
криптографические операции и
обеспечить лучшее сжатие.
Платформы
Любые системы, включая
роутеры
В основном, конечные системы
(клиенты/серверы), также
firewalls.
Firewall/VPN
Весь трафик защищён.
Защищён только трафик уровня
приложений. ICMP, RSVP, QoS и
т.п. могут быть незащищены.
Прозрачность
Для пользователей и
приложений.
Только для пользователей.
Текущий статус
Появляющийся стандарт.
Широко используется WWW
браузерами, также используется
некоторыми другими
Межсетевой экран (брандмауэр,
файервол)
• Брандмауэром называется стена, сделанная из негорючих
материалов и препятствующая распространению огня.
• В
сфере
компьютерных
технологий
брандмауэр
представляет собой барьер, защищающий от виртуального
пожара - попыток злоумышленников проникнуть в сеть или
в ПК.
• Различают два вида брандмауэров:
– Брандмауэры, предназначенные для защиты индивидуального
пользователя
называют
персональными
брандмауэрами,
персональными фаерволами или системами персонального
экранирования;
– Брандмауэры, предназначенные для защиты локальной или
корпоративной сети называют корпоративными брандмауэрами,
сетевыми брандмауэрами или межсетевыми экранами.
Назначение МЭ
• Межсетевые экраны предназначены в основном для
защиты локальной сети от атак типа "подмена IP адреса" и,
следовательно, фильтруют, входящий трафик
• Экраны настраивают таким образом, чтобы хакер не смог с
помощью таких утилит как Ping, Traceroute и т.п. отобразить
схему внутренней сети во время ICMP-прослушивания сети
или получить другую информацию. А для этого экраны
получают команды, которые запрещают давать эхо-ответы
на
эхо-запросы
протокола
ICMP
(это
протокол,
способствующий оптимальной доставке IP-пакетов тем, что
оповещает узел отправки об ошибках, перегрузках и тому
подобных ситуациях, а как реагировать на эти сообщения
это уже дело отправителя), который используют в своей
работе вышеупомянутые утилиты.
• На сегодняшний день существуют различные схемы
подключения межсетевых экранов, которые выбираются
исходя из разработанной политики сетевой безопасности
Схема защиты сети 1
•
Схема защиты сети 2
• Единая защита сети
Фильтрация IP-пакетов
• Порты делят на 3 категории: порты 0 - 1023 жёстко закреплены
за стандартными службами и их называют стандартными или
общеизвестными номерами портов (well-known port number),
порты 1024 - 49151 называются зарегистрированными, т.е. мягко
закрепленными и они могут быть свободно использованы
различными процессами, порты 49152 - 65535 называются
динамическими, эфемерными или временными и они также
могут быть использованы различными процессами.