Архитектура Аудит Военная наука Иностранные языки Медицина Металлургия Метрология
Образование Политология Производство Психология Стандартизация Технологии


Технологии целостности и конфиденциальности.



Протоколами безопасности на транспортном уровне являются SSL, SSH. Эти протоколы обеспечивают безопасную передачу данных между клиентом и сервером. Существует безопасный протокол передачи гипертекста (S-HTTP) предоставляет надежный механизм web-транзакций. SOCKS является рамочной структурой, позволяющей приложениям клиент/сервер в доменах TCP и UDP удобно и безопасно пользоваться услугами сетевого межсетевого экрана. Протокол безопасности IP (IPSec) представляет собой набор стандартов поддержки целостности и конфиденциальности данных на сетевом уровне (в сетях IP). X.509 – это стандарт безопасности и аутентификации, который поддерживает структуры безопасности электронного информационного транспорта.


SSL

SSL (англ. Secure Sockets Layer — протокол защищённых сокетов) — криптографический протокол, обеспечивающий безопасную передачу данных по сети Интернет. При его использовании создаётся защищённое соединение между клиентом и сервером

SSL определяет механизм поддержки безопасности данных на уровне между протоколами приложений (такими как Hypertext Transfer Protocol [HTTP], Telnet, Network News Transfer Protocol [NNTP] или File Transfer Protocol [FTP]) и протоколом TCP/IP. Он поддерживает шифрование данных, аутентификацию серверов, целостность сообщений и (в качестве опции) аутентификацию клиентов в канале TCP/IP.

Основная цель протокола SSL состоит в том, чтобы обеспечить защищенность и надежность связи между двумя подключенными друг к другу приложениями. Этот протокол состоит из двух уровней. Нижний уровень, который располагается поверх надежного транспортного протокола (например, TCP), называется SSL Record Protocol. SSL Record Protocol используется для встраивания различных протоколов высокого уровня. Один из таких встроенных протоколов, SSL Handshake Protocol, позволяет серверу и клиенту аутентифицировать друг друга и согласовывать алгоритм шифрования и криптографические ключи, прежде чем протокол приложения произведет обмен первыми битами данных. Одно из преимуществ SSL состоит в том, что он независим от протоколов приложений. Протокол высокого уровня может совершенно прозрачно располагаться поверх протокола SSL. Протокол SSL поддерживает безопасность связи, придавая ей следующие свойства:

· Защищенность связи. После первоначального квитирования связи применяются средства шифрования и определяется секретный ключ. Для шифрования данных используются средства симметричной криптографии (например, DES, RC4 и т.д.).

· Участник сеанса связи может быть аутентифицирован и с помощью общих ключей, то есть средствами асимметричной криптографии (например, RSA, DSS и т.д.).

· Надежность связи. Транспортные средства проводят проверку целостности сообщений с помощью зашифрованного кода целостности (MAC). Для вычисления кодов MAC используются безопасные хэш-функции


SSH

Протокол Secure Shell (SSH) предназначен для защиты удаленного доступа и других сетевых услуг в незащищенной сети. Он поддерживает безопасный удаленный вход в сеть, безопасную передачу файлов и безопасную эстафетную передачу сообщений по протоколам TCP/IP и XII.

SSH может автоматически шифровать, аутентифицировать и сжимать передаваемые данные.

Протокол SSH состоит из трех основных компонентов:

· Протокол транспортного уровня. Обеспечивает аутентификацию сервера, конфиденциальность и целостность данных с отличной защищенностью эстафетной передачи. В качестве опции может поддерживаться компрессия данных.

· Протокол аутентификации пользователя позволяет серверу аутентифицировать клиента.

· Протокол соединения мультиплексирует зашифрованный туннель, создавая в нем несколько логических каналов.

Все сообщения шифруются с помощью IDEA или одного из нескольких других шифровальных средств.

Обмен ключами шифрования происходит с помощью RSA.

Данные, использованные при этом обмене, уничтожаются каждый час.

Недостатком протоколов безопасности, действующих на уровне сессий, является их зависимость от инструкций протокола транспортного уровня. В случае SSL это означает, что атака на TCP может быстро прервать сессию SSL.

 

Преимущества протоколов:

1. возможность действий на сквозной основе с существующими стеками TCP/IP, а также существующими интерфейсами прикладного программирования (API).

2. повышенная эффективность по сравнению с медленными каналами.

3. каких-либо проблем с фрагментацией, определением максимального объема блоков, передаваемых по данному маршруту.

4. сочетание компрессии с шифрованием. На этом уровне такое сочетание оказывается гораздо более эффективным, чем на уровне пакетов.


 

S-HTTP

S-HTTP представляет собой безопасный протокол связи, ориентированный на сообщения и разработанный для использования в сочетании с HTTP. Он предназначен для совместной работы с моделью сообщений HTTP и легкой интеграции с приложениями HTTP. Этот протокол предоставляет клиенту и серверу одинаковые возможности

Клиенты и серверы S-HTTP допускают использование нескольких стандартных форматов криптографических сообщений. Клиенты, поддерживающие S-HTTP, могут устанавливать связь с серверами S-HTTP и наоборот, эти серверы могут связываться с клиентами S-HTTP, хотя в процессе подобных транзакций функции безопасности S-HTTP использоваться скорее всего не будут. Протокол S-HTTP поддерживает безопасные сквозные транзакции, что выгодно отличает его от базовых механизмов аутентификации HTTP, которые требуют, чтобы клиент попытался получить доступ и получил отказ, и лишь затем включают механизм безопасности.

S-HTTP поддерживает высокий уровень гибкости криптографических алгоритмов, режимов и параметров. Для того чтобы клиенты и серверы смогли выбрать единый режим транзакции (так, например, им нужно решить, будет ли запрос только шифроваться или только подписываться или и шифроваться, и подписываться одновременно; такое же решение нужно принять и для ответов), используется механизм согласования опций, криптографических алгоритмов.


66. SOCKS

SOCKS сокращение от «SOCKetS» (сокеты, гнёзда) разработан для того, чтобы дать возможность приложениям клиент/сервер в доменах TCP и UDP удобно и безопасно пользоваться услугами межсетевого экрана. Он дает пользователям возможность преодолевать межсетевой экран организации и получать доступ к ресурсам, расположенным в сети Интернет. SOCKS является “посредником уровня приложений”: он взаимодействует с общими сетевыми средствами (например, Telnet и браузер Netscape) и с помощью центрального сервера (прокси-сервера) от имени вашего компьютера устанавливает связь с другими центральными компьютерами.

SOCKS V.5 создает основу для аутентифицированного перехода межсетевого экрана одноадресным пользовательским графиком TCP и UDP. Однако ввиду того, что поддержка UDP в текущей версии SOCKS V.5 имеет проблемы с масштабируемостью и другие недостатки, расширения определяются двояко: как базовые расширения UDP и как многоадресные расширения UDP.

Функционирование SOCKS заключается в замене стандартных сетевых системных вызовов в приложении их специальными версиями. Эти новые системные вызовы устанавливают связь с прокси-сервером SOCKS (который конфигурируется самим пользователем в приложении или системным файлом конфигурации), подключаясь к хорошо известному порту (обычно это порт 1080/ТСР). После установления связи с сервером SOCKS приложение отправляет серверу имя машины и номер порта, к которому хочет подключиться пользователь. Сервер SOCKS реально устанавливает связь с удаленным центральным компьютером, а затем прозрачно передает данные между приложением и удаленной машиной. При этом пользователь даже не подозревает, что в канале связи присутствует сервер SOCKS.

 

 


IPSEC

Безопасный протокол IP (IPSec) представляет собой набор стандартов, используемых для защиты данных и для аутентификации на уровне IP. Текущие стандарты IPSec включают независимые от алгоритмов базовые спецификации, которые являются стандартными RFC.

IPSec - стек протоколов сетевого уровня, предназначенный для обеспечения защиты конфиденциальных данных, передаваемых по межсетевому протоколу IP с помощью шифрования, аутентификации, защищенного обмена ключами.
Применение стека протоколов IPSec позволяет обеспечить проверку целостности передаваемых данных (гарантирует, что данные в процессе передачи не были изменены), их конфиденциальность (шифрование передаваемых данных с целью их защиты от несанкционированного просмотра), защиту от повторений (каждый передаваемый IP-пакет становится уникальным; перехваченный пакет невозможно переслать заново, например, для получения доступа к ресурсам) и подлинность (гарантирует, что пакет отправлен с компьютера, имеющего общий секретный ключ). Вышеописанные операции осуществляются с помощью трех протоколов, входящих в состав стека IPSec:

AH - протокол аутентификации; ESP - протокол шифрования; IKE - протокол обмена ключами.

Существует два режима работы стека IPSec: транспортный режим и туннельный режим.
В транспортном режиме передача IP-пакетов через сеть выполняется с помощью исходного заголовка этого пакета. Транспортный режим использует для шифрования поля данных IP пакета, содержащего протоколы транспортного уровня (TCP, UDP, ICMP), которое содержит информацию прикладных служб. В туннельном режиме I P-пакет шифруется целиком, включая заголовок сетевого уровня. Для того, чтобы IP-пакет можно было передать по сети, его помещают в другой IP-пакет. Этот процесс называется инкапсуляцией. Туннельный режим применяется в случае необходимости скрытия информационного обмена организации с внешним миром. При этом, адресные поля заголовка сетевого уровня пакета, использующего туннельный режим, заполняются межсетевым экраном организации и не содержат информации о конкретном отправителе пакета.


68. Техн. удаленного доступа к виртуальным частным сетям

Виртуальные частные сети с удаленным доступом (Virtual Private Dialup Networks – VPDN) позволяют крупным компаниям расширять свои частные сети, используя линии удаленной связи. Новые технологии снимают проблему высокой стоимости междугородней или международной связи и проблему низкой защищенности общих телефонных линий и каналов интернет, через которые удаленный пользователь получает доступ к корпоративной сети.

Используются 3 протокола: протокол эстафетной передачи на втором уровне (Layer 2 Forwarding – L2F), сквозной туннельный протокол (Point-to-Point Tunneling Protocol – РРТР) и туннельный протокол второго уровня (Layer 2 Tunneling Protocol – L2TP).

L2F

Он обеспечивает туннелирование протоколов канального уровня (то есть фреймов High-Level Data Link Control [HDLC], async HDLC или Serial Line Internet Protocol [SLIP]) с использованием протоколов более высокого уровня, например, IP. С помощью таких туннелей можно разделить местоположение сервера удаленного доступа, к которому подключается пользователь, используя местные коммутируемые линии связи, и точки, где происходит непосредственная обработка протокола удаленного доступа (SLIP, PPP), и пользователь получает доступ в сеть. Эти туннели дают возможность использовать приложения, требующие удаленного доступа с частными адресами IP, IPX и AppleTalk через протокол SLIP/PPP по существующей инфраструктуре интернет.

РРТР

Сквозной туннельный протокол РРТР создан корпорацией Microsoft. Он никак не меняет протокол РРР, но предоставляет для него новое транспортное средство. В рамках этого протокола определяется архитектура клиент/сервер, предназначенная для разделения функций, которые существуют в текущих NAS, и для поддержки виртуальных частных сетей (VPN). Сервер сети РРТР (PNS) должен работать под управлением операционной системы общего назначения, а клиент, который называется концентратором доступа к РРТР (РАС), работает на платформе удаленного доступа. РРТР определяет протокол управления вызовами, который позволяет серверу управлять удаленным коммутируемым доступом через телефонные сети общего пользования (PSTN) или цифровые каналы ISDN или инициализировать исходящие коммутируемые соединения. РРТР использует механизм общей маршрутной инкапсуляции (GRE) для передачи пакетов РРР, обеспечивая при этом контроль потоков и сетевых заторов. Безопасность данных в РРТР может обеспечиваться при помощи протокола IPSec.

L2TP

Как видим, протоколы L2F и РРТР имеют сходную функциональность. Компании Cisco и Microsoft согласились вместе (в рамках IETF) разработать единый стандартный протокол, который получил название туннельного протокола второго уровня – L2TP. Обе компании будут и далее поддерживать свои собственные решения для виртуальных частных сетей (L2F и РРТР), а также путь перехода от этих решений к L2TP. Поэтому сегодня заказчики могут внедрять существующие решения для виртуальных частных сетей и быть абсолютно уверены в том, что их инвестиции не будут потеряны, когда на рынке появится L2TP.


69. Сервис Директории и Служб Имен.

В настоящее время, в компьютерных системах, актуальными становятся вопросы обеспечения надежного механизма для распределения общих ключей. Большая часть этой работы выполняется в области сервиса имени домена и сервиса директорий, с помощью применения протоколов DNSSec и LDAP соответственно.

LDAP

Lightweight Directory Access Protocol (LDAP) – это протокол для обращения к сервису директорий в режиме реального времени. Протокол LDAP особо ориентирован на приложения управления и просмотра, которые обеспечивают интерактивный доступ к директориям в режиме чтение/запись. Протокол LDAP использует непосредственно протокол TCP и может быть использован для обращения как к автономному сервису директории LDAP, так и для обращения к сервису директории, которая заканчивается директорией Х.500.

Общая модель, принятая в LDAP, – это один из клиентов, выполняющий протокольные операции с серверами. В этой модели клиент передает запрос протокола, описывающий серверу операцию, которую необходимо выполнить. Этот сервер становится ответственным за проведение необходимых операций в директории. По завершении операций сервер посылает ответ, содержащий какие-либо результаты или ошибки.

Протокол LDAP оперирует на допущении того, что существуют один или более серверов, которые совместно обеспечивают доступ к информационному дереву директории DIT. Это дерево составлено из входов, которые имеют имена: одно или более атрибутивное значение входа формирует его соответствующее отличительное имя RDN, которое должно быть уникальным среди других таких же входов. Соединение имен RDN в последовательности входов от конкретного входа к непосредственному подуровню корня дерева формирует это отличительное имя, которое является уникальным в дереве. Некоторые серверы могут содержать кэш-память или теневые копии входов, которые могут быть использованы для ответа на поисковый запрос, сравнительные запросы, но будут возвращать ссылки или взаимодействовать с другими серверами, если поступил запрос на операции по модификации.

Протокол LDAP устанавливает следующие операции:

  • Связывающая операция инициирует протокольный сеанс между клиентом и сервером и обеспечивает аутентификацию клиента для сервера. Связывающая операция должна быть первым оперативным запросом, полученным сервером от клиента в протокольном сеансе в версиях 1 и 2, однако данное ограничение было отменено в версии 3.
  • Операция по прекращению связи завершает протокольный сеанс.
  • Поисковая операция позволяет клиенту сделать запрос на выполнение сервером поиска от его имени.
  • Операция по модификации позволяет клиенту сделать запрос на выполнение модификации информационной базы директории сервером от его имени.
  • Операция по дополнению позволяет клиенту сделать запрос на введение дополнительного входа в директории.
  • Операция по удалению позволяет клиенту запросить удаление какого-либо входа из директории.
  • Операция по модификации имени RDN позволяет клиенту изменить последний компонент имени входа в директории.
  • Операция по сравнению позволяет клиенту сравнивать утверждение, обеспечиваемое входом директории.
  • Операция на завершение позволяет клиенту запросить сервер отставить невыполненную операцию.
  • Расширенная операция является новой в версии 3, она введена для обеспечения определения дополнительных операций для тех видов сервиса, которые недоступны где-либо еще в протоколе; например, отмеченные цифровым способом операции и результаты.

DNSSEC

Система имени домена DNS стала важной действующей частью инфраструктуры сети интернет. Но она не имеет сильного механизма защиты для обеспечения целостности данных или аутентификации. Расширения к DSN обеспечивают эти виды сервиса для устройств с функциями защиты или для приложений за счет использования криптографических цифровых подписей. Эти цифровые подписи включены в защищенные зоны в виде ресурсных записей. Во многих случаях защита все еще может быть обеспечена даже через DNS серверы, в которых функции защиты не предусмотрены. Эти расширения также предусматривают хранение аутентифицированных общих ключей в DSN. Такое хранение ключей может поддерживать общий сервис распределения общих ключей так же, как и безопасность DNS. Хранящиеся ключи позволяют устройствам с функциями защиты запомнить аутентифицирующий ключ зон в дополнение к тем зонам, к которым они изначально настроены. Ключи, связанные с именами DNS, могут быть запрошены для поддержки других протоколов. Предусмотрено применение целого ряда алгоритмов и типов ключей. Расширения защиты предусматривают дополнительную аутентификацию транзакций протокола DSN.

 

 


Поделиться:



Популярное:

Последнее изменение этой страницы: 2017-03-03; Просмотров: 1008; Нарушение авторского права страницы


lektsia.com 2007 - 2024 год. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав! (0.024 с.)
Главная | Случайная страница | Обратная связь