Основные сетевые протоколы безопасности серверов

 

Сетевой протокол - набор прав или действий (очерёдности действий), позволяющий осуществлять соединение и обмен данными между двумя и более включёнными в сети устройствами. Протокол передачи данных - набор соглашений интерфейса логического уровня, которые определяют обмен данными между различными программами [10].

Протоколами безопасности можно назвать такие протоколы, которые обеспечивают безопасную передачу данных между клиентом и сервером. Данные протоколы располагают на различных уровнях сетевой модели OSI. Протоколы защиты канального уровня: PPTP, L2TP и L2f. Протокол защиты на сетевом уровне IPSec. Протоколы защиты на сеансовом уровне SSL и TLS SOCKS. Протокол защиты прикладного уровня SSH [14].

Сетевые протоколы безопасности используются для защиты компьютерных данных при их передаче по сети. Наиболее полную защиту дают методы, включающие в себя: туннелирование, аутентификацию и шифрование.

Туннелирование обеспечивает передачу данных между двумя точками - окончаниями туннеля - таким образом, что для источника и приемника данных оказывается скрытой вся сетевая инфраструктура, лежащая между ними [3].

Аутентификация - процедура проверки подлинности [4].

Криптография использует алгоритмы для шифрования данных, так чтобы они не были прочитаны не авторизованными пользователями. Криптография работает с набором процедур или протоколов, которые управляют обменом данными между устройствами и сетями.

Общая черта протоколов защиты канального уровня проявляется в реализации организации защищенного многопротокольного удаленного доступа к ресурсам сети через открытую сеть. Для передачи конфиденциальной информации из одной точки в другую сначала используется протокол РРР, L2TP и L2f, а затем уже протоколы шифрования [6, с. 89].

Протокол PPTP определяет реализацию криптозащищенного туннеля на канальном уровне OSI. PPTP - туннельный протокол типа точка-точка, позволяющий компьютеру устанавливать защищённое соединение с сервером за счёт создания специального туннеля в стандартной, незащищённой сети. PPTP инкапсулирует кадры PPP в IP-пакеты для передачи по глобальной IP-сети. PPTP может также использоваться для организации туннеля между двумя локальными сетями. РРТР использует дополнительное TCP-соединение для обслуживания туннеля. Его поддерживают многие межсетевые экраны и VPN [7, с. 202].

Протокол L2TP основан на протоколе L2F, который был создан компанией Cisco Systems, как альтернатива протоколу PPTP. L2F - старая версия L2TP. Протокол L2TP был создан как протокол защищенного туннелирования PPP-трафика через сети с произвольной средой. Позволяет организовывать VPN с заданными приоритетами доступа, однако не содержит в себе средств для защиты данных и механизмов аутентификации [2, с.70,5, с.50].

Протокол L2TP использует схемы, где туннель создается между сервером удаленного доступа провайдера и маршрутизатором локальной сети. Также протокол может открывать несколько туннелей, каждый из которых может использоваться для конкретного приложения [5, с. 51].

Семейство протоколов защиты на сетевом уровне IPSec. IPsec - это набор протоколов, использующихся для обеспечения сервисов приватности и аутентификации на сетевом уровне [5, с. 51].

IPSec гарантирует целостность передаваемых данных, их конфиденциальность, а также проверяет аутентичность отправителя [2, с. 70].

Протоколы IPSec можно разделить на два класса – протоколы защиты передаваемых данных (AH, ESP) и протоколы обмена ключами (IKE) [5, с. 52].

Протоколы IPsec:

- Internet Key Exchange (IKE).

- ISAKMP.

- Протокол Oakley.

- SKEME.

Протоколы защиты, работающие преимущественно на сеансовом уровне: SSL и TLS SOCKS.

SSL - криптографический протокол, который подразумевает более безопасную связь. Он использует асимметричную криптографию для аутентификации ключей обмена, симметричное шифрование для сохранения конфиденциальности, коды аутентификации сообщений для целостности сообщений. Протокол широко использовался для обмена мгновенными сообщениями и передачи голоса через IP (Voice over IP - VoIP) [5, с. 54].

Протокол SSL обеспечивает защищённый обмен данными за счёт двух следующих элементов: аутентификация, шифрование. SSL использует асимметричную криптографию для аутентификации ключей обмена, симметричный шифр для сохранения конфиденциальности, коды аутентификации сообщений для целостности сообщений. Протокол SSL предоставляет «безопасный канал», который имеет три основных свойства:

1. Канал является частным. Шифрование используется для всех сообщений после простого диалога, который служит для определения секретного ключа [8].

2. Канал аутентифицирован. Серверная сторона диалога всегда аутентифицируется, а клиентская делает это опционально. Канал надёжен. Транспортировка сообщений включает в себя проверку целостности [8].

3. Преимуществом SSL является то, что он независим от прикладного протокола. Протоколы приложений (HTTP, FTP, TELNET и т. д.) могут работать поверх протокола SSL совершенно прозрачно, то есть SSL может согласовывать алгоритм шифрования и ключ сессии, а также аутентифицировать сервер до того, как приложение примет или передаст первый байт сообщения [8].

С марта 2011 года, согласно, TLS-клиенты не должны использовать протокол SSL 2.0 при запросе подключения к серверу, и серверы должны отклонять такие запросы [10].

TLS как и его предшественник SSL - это криптографический протокол, обеспечивающие защищённую передачу данных между узлами в сети Интернет. TLS и SSL используют асимметричное шифрование для аутентификации, симметричное шифрование для конфиденциальности и коды аутентичности сообщений для сохранения целостности сообщений [11].

Данный протокол широко используется в приложениях, работающих с сетью Интернет, таких как веб-браузеры, работа с электронной почтой, обмен мгновенными сообщениями и IP-телефония (VoIP). TLS-протокол основан на спецификации протокола SSL версии 3.0.

TLS даёт возможность клиент-серверным приложениям осуществлять связь в сети таким образом, что нельзя производить прослушивание пакетов и осуществить несанкционированный доступ. Так как большинство протоколов связи может быть использовано как с, так и без TLS, при установке соединения необходимо явно указать серверу, хочет ли клиент устанавливать TLS. Это может быть достигнуто либо с помощью использования унифицированного номера порта, по которому соединение всегда устанавливается с использованием TLS, либо с использованием произвольного порта и специальной команды серверу со стороны клиента на переключение соединения на TLS с использованием специальных механизмов протокола. Как только клиент и сервер договорились об использовании TLS, им необходимо установить защищённое соединение. Это делается с помощью процедуры подтверждения связи. Во время этого процесса клиент и сервер принимают соглашение относительно различных параметров, необходимых для установки безопасного соединения [6, c.250].

Одной из областей применения TLS-соединения является соединение узлов в виртуальной частной сети. Кроме TLS, также могут использоваться набор протоколов IPSec и SSH-соединение. Каждый из этих подходов к реализации виртуальной частной сети имеет свои преимущества и недостатки. Исходя из этого, у каждого из выше названных семейств сетевых протоколов имеются достоинства и недостатки [9].

Протокол SOCKS реализует алгоритмы работы клиент/серверных связей на сеансовом уровне через сервер-посредник или прокси-сервер. Изначально этот протокол создавался для перенаправления запросов к серверам от клиентских приложений, и возврата ответа. Такой алгоритм уже разрешает создавать функцию трансляции сетевых IP-адресов NAT. С помощью этого протокола межсетевые экраны и VPN могут реализовывать безопасное соединение между разными сетями. Также с помощью этого протокола, можно управлять этими системами на основе унифицированной стратегии. Относительно спецификации протокола SOCKS разделяют SOCKS-сервер, который ставят на шлюзы сети, и SOCKS-клиент, который ставят на конечные узлы [4, c.256].

SSH - сетевой протокол прикладного уровня, позволяющий производить удалённое управление операционной системой и туннелирование TCP-соединений. Схож по функциональности с протоколом Telnet, но, в отличие от него, шифрует весь трафик, включая и передаваемые пароли. SSH допускает выбор различных алгоритмов шифрования. SSH-клиенты и SSH-серверы доступны для большинства сетевых операционных систем [3, с. 140]

SSH позволяет безопасно передавать в незащищённой среде практически любой другой сетевой протокол, удалённо работать на компьютере через командную оболочку, передавать по шифрованному каналу звуковой поток или видео даже с веб-камеры. Также SSH может использовать сжатие передаваемых данных для последующего их шифрования, что удобно для удалённого запуска клиентов [6, с. 77].

SSH-сервер обычно прослушивает соединения на TCP - порт 22. Спецификация протокола SSH-2 содержится в RFC 4251. Для аутентификации сервера в SSH используется протокол аутентификации сторон на основе алгоритмов электронно-цифровой подписи RSA или DSA, но допускается также аутентификация при помощи пароля (режим обратной совместимости с Telnet) и даже ip-адреса [1, с.243].

Для работы по SSH нужен SSH-сервер и SSH-клиент. Сервер прослушивает соединения от клиентских машин и при установлении связи, производит аутентификацию, после чего начинает обслуживание клиента. SSH-клиент используется для входа на удалённую машину и выполнения команд.

Таблица сравнения сетевых протоколов безопасности расположена в Приложении 1.