Основні технології віртуальних захищених мереж VPN рішення для побудови захищених мереж. Класифікація мереж VPN. (4 години).

Основные понятия и функции сети VPN.

При подключении корпор. ЛС к открытой сети возникают угрозы безопасности двух основных типов:

- несанкционированный доступ к внутренним ресурсам ЛВ

- НСД к корпоративным данным в процессе их передачи по открытому из этого задачи ….. эти задачи реализуются

VPN (виртуальная защищенная сеть) называет объединение локальных сетей и отдельных компьютеров через открытую внешнюю среду передачи информации в единую виртуальную корпоративную сеть, обеспечивая безопасности циркулирующих данных.

VPN формируется путем построения виртуальных защищенных каналов святи. Эти ВЗК называются туннелями VPN.

Туннель VPN – представляет собой соединение, проведенное через открытую сеть, по которому через криптографические защищенные пакеты.

Защита информации в процессе ее передачи по туннелю VPN основана на выполнении следующих функций:

- аутентификация взаимодействующих сторон

- криптографические закрытие (шифров) передаваемых данных

- проверка подлинности и целостности доставляемой информации

Основные устройства которые используют VPN

VPN может представлять собой программный или программно-аппаратный комплекс устанавливаемый на ПК. Его сетевое ПО выполняет шифрование и аутентификацию трафика, которым это устройство обменивается с другим.

VPN-сервер представляет собой программный или программно-аппаратный комплекс выполняющий функцию сервера. Обеспечивает защиту сервера от НСД, а также организует защищенные соединения между отдельными клиентами.

Шлюз безопасности VPN- это сетевое устройство подключаемое к двум сетям, которое выполняет функции шифрование и аутентификации для многочисленных хостов расположенных за ним.

Р: Размещение шлюза VPN выполняется таким образом, что бы через него проходил весь трафик, предназначенный для внутренней корпорации сети.

Сетевое соединение шлюза VPN прозрачно для пользования шлюза, оно представляется им выделенной линией, хотя на самом деле прокладывается через открытую сеть с коммуникацией пакетов. Адрес шлюза VPN указывается как внешний адрес входящего инфрм. пакета, а внутренний адрес пакета является адресом конкретного хоста позади шлюза. Между каждой парой ”отправитель- получатель” устанавливается своеобразный туннель.

Суть туннелирования состоит в том, чтобы анализировать, то есть упаковать пакет в новый ” конверт”.

Р: туннелирование не защищает от НСД компьютера, но фактически защищает новый пакет.

Новый пакет

Новый IP заголовок

АИ заголовок

ESP заголовок

Исходный IP заголовок

Данные

Исходный пакет

Тема: Варианты построения ВЗН

Защищенный ЛВС

шлюз безоп.

 

 

мобильный польз.

 

 

- виртуальный защищенный канал между локальными сетями (канал” ЛВС”- ”ЛВС”)

- ВЗК между узлом и локальной сетью (канал ”Климент -ЛВС”)

Идеальна если конечные точки пунктов совпадают с конечными точками защищаемого потока сообщений.

Достоинства: высокая безопасность

Недостаток: избыточность ресурсных затрат

П: средства обеспечения безопасности VPN

- конфиденциальность (криптографичная аутентификация).

-целостность

- доступность

Для этого должны быть решены следующие задачи:

- взаимная аутентификация

- авторизация и управление доступом

- безопасность параметра сети обнаружение сторонних пакетов

Темы: VPN-решение для построения защищенных сетей.

Классификация сетей VPN. Существует много но наиболее часто используется:

- рабочий уровень модели OSI

-архитектура технического решения VPN

-способ технической реализации VPN

- VPN канального уровня

- VPN сетевого уровня

- VPN сеансового уровня

VPN на канальном уровне (построение туннелей точка-точка)к этому продукту относятся протоколы L2F CISCO, PPTP- Microsoft, L2TP

РРТР основан на протоколе РРР

Недостаток: нельзя одновременно один канал проложить через межсетевую среду

VPN сетевого уровня IP SEC, SKIP (который важен IP SEC)

IP SEC- обязательный компонентом IPv6.

IP SEC фиксирован на IP. Используют паралельно с L2TP и IKE (Internet KEY)

Преимущества: поддержка многих каналов передачи данных VPN. Используемый переход называется „Посередники канала”.

Ретранслирует трафики из защищенной сети 6 бит для каждого пакета в отдельности.

Для стандартизации аутентифицированного похода через МЭ___________ __________________ IEYK утвердил протокол SOCKS 5.

Работа SOCKS сервера

Отличие IP SEC от SOCKS.

IP SEC уровень IP.

Сети VPN уровня 5 допускается независимое управление передачи в каждом направлении. Создание сокета для каждого приложения. Используются совместно с другими приложениями

Конфигурация VPN по архитектуре технического решения

Три вида:

- внутрикорпоративные

- VPN с удаленным доступом

- межкорпоративные VPN

Внутрикорпоративные сети VPN (Internet VPN) предназначены для обеспечения защищенного взаимодействия между подразделениями внутри предприятия.

Виртуальный частные сети VPN с удаленным доступом. Для соединения с удаленными (Home-office) сотрудниками.

Межкорпоративные сетиVPN (Internet VPN)связь между поставщиками, клиентами.

Классификация VPN по способу технической реализации определяется типом используемых устройств

- VPN на основе маршрутизаторов (шифрование)

- VPN на основе МЭ (малых сетей для не больших объемов)

- VPN на основе ПО (использование устройств, по мошне реализации VPN)

- VPN на основе специализированных аппаратных средств (высокая производительность, шифров)

Т: Протоколы защита на канальном и сетевом уровнях

Microsoft PPTP, Cisco L2F, IETF___________ L2TP

Общим свойством является по физ. И канальным уровней и основаны на протоколе РРР

РРТР- разработанный Microsoft.

 

- Заголовок канального уровня., используемого внутри Internet.

- Заголовок IР содержит адрес отправителя и получателя

- заголовок общего метода инкапсуляции для конфигурации GRE

- исходный пакет РРР включающий пакет IP,IPX или NETBEUI

Приним узел сети извлекает из IP кадры РРР, а затем извлекает из кадра РРР исходный пакет IP,IPX и отправляем по сети.

Преимущество: не зависимость от протоколов

Аутентификации:

- парольная РАР (открытом виде)

- MSCHAP рукописания, и защита от повторного использования пакета

Шифрование

Протокол MPPE (Microsoft, Point-to-Point Encryption)

Ключи 40.56 или 128 бит

Изменения ключа после каждого пакета, при чем зависимость разшифрования пакета от предыдущего пакета.

Две схемы подключения:

 

RAS корпорат.

сеть

 

1) Случай RАS провайдера находит в базе учетной защиты пользователя IP адреса программы не пограничный маршрут и устанавливает с ним туннель – по протоколу РРТР.

Далее пользователь устанавливает связь с RAS сертифицирует кор. Сети

Недостаток:

RAS сервер под Windows

2) Схемы

Тоже но пользователь создает путь с RAS кор. Сети.

Протокол L2F создан как альтернатива РРТР. Отличие поддерживая разных сетевых протоколов, а более удобно для провайдеров.

- Гибкость процесса аутентификации

- Прозрачность для конечных систем

- прозрачность для посредников

-полного аутентифицирования

L2F был полностью поглощен протоколом L2ТР.

Недостатки L2ТР:

- нет криптографической защищенности туннеля

- VPN создается только между провайдером и удаленным маршрутом защищенном ЛС

 

Протокол L2ТР есть расширением протокола РРР дополняя к нему возможность (АН) аутентификации.

Достоинства:

-РРТР и L2TP различны

-РРТР используется только в IP сетях

- L2TP повер. IP Sec почти 100% защиту.

Недостатки:

- для реализации протокола L2TP необходима поддержка провайдеров ISIP.

- протокол L2TP ограничивает трафик рамками выбранного туннеля (нет доступа другим частям Internet)

- не предусматривает корпозащиты

- спецорганизация L2TP обеспечивает атаку информации только в IPсетях (с помощью протокола IP Sec)

Лекция 11

IP Sec

IP пакет

IP заголовок S-аур. Р-аур.

Транспорт ТСР_____

Данные

Основные требования:

- целостность (не искажены)

- аутентичность (переданы тем кем надо)

- конфиденциальность (предотвращает не санкционированный доступ)

Схема протоколов IP Sec построен на базе ряда стандартизованных криптографических технологий

- обмен ключами по схеме Диффа -Хешмана (дает возможность избежать атаки man-in-the-middle)

- цифровые сертификаты для подтверждение подлинности откр. ключа

- блочные алгоритмы шифров данных

- алгоритмы аутентификационных сообщений на базе функ-хешидов.

Основными задачами установление и поддержания защиты канала является следующее:

- аутентификация пользователей или компьютеров при инициализации защищенного канала

- обеспечение конечных точек канала секретными ключами, необходимые для работы аутент. и шифр.

Шифрование и аутентификация передаваемых данных между конечными точками зашиты канала. Для решения этихз задач система IP Sec использует следующие компоненты:

- основной протокол IP Sec это комплект реализует ESP и АН. Он обрабатывает заголовки, взаимодействует с базами данными SPD и SAP для определения ПБ применяемой пакету.

- к протоколу управления ключевой информацией IKE.IKE обычно применяется на пользовательском уровне

-БД политик безопасности SPD (_______)

Это один из важнейших компонентов, поскольку он определяет ПБ, применяемую к пакету. SPD используется основным протоколом IP Sec при обработке входящих и исходящих пакетов.

- БД безопасных ассоциаций SAD (____)

БД SAD хранит список безопасных ассоциаций для обработки входящих и исходящих пакетов. База данный SAD заполняется SA вручную или с помощью протокола IPE

Р: БД SAD и SPD существенно влияют на эффективность работы IP Sec.От структуры БД зависит производитель IP Sec. Все протоколы, входящие в IP Sec можно разделить на две группы:

- протоколы непосредственно проводящие обработку передаваемых данных (для обеспечения их защиты)

- протоколы, позволяющие автоматически согласовывать параметры защищенных соединений необходимых для протокола 1 группы.

Архитектура Схемы протоколов IP Sec

 

На верхнем уровне расположены следующие уровни:

- протокол согласования параметров виртуального канала и управления ключами IKF, определяющих способ инициализации защищенного канала, включая согласование используемых алгоритмов криптозащиты, а также процедуру обмена и управления секретными ключами.

- протокол АH (_________ заголовка), обеспечивает аутентификацию источника данных, проверку их целостности и подлинности после приема.

- протокол инкапсулирующий защиты (ESP) обеспечивает криптографическое закрытие, аутентификацию и целостность передаваемых данных

Р: АН и ESP разделили из-за ________________

Для обеспечение целостности и аутентификации данных (протоколы АН и ESP) использует дайджест функции.

Для шифровки (протокол ESP)может применятся любой символ алгоритма.Протокол IKE, АИ и ESP взаимодействует следующим образом:

1) с помощью протокола IKE между двумя точками устанавливается логическое соединение(SA безопасная ассоциация). При установлении этого соединение выполняется аутентификация конечных точек канала а также выбор параметров защиты данных (алг.шифр, ключ и т.д). затем в рамках установленной ассоциации SA начинает работать протокол АИ или ESP с помощью которого и происходит защита передачи данных.

Р: ВSA ключи не пересылаются данные для информации ключа.

Средний уровень арх. IP Sec образует алгоритм _______________ параметров и управление ключами, применяемых в протоколе IKE, а также алгоритм аутентификации шифрования, используемая в протоколах АИ и ESP.

Низкий уровень арх. IP Sec образует так называемый далее интерпретации DOI(______). Домин интерпретации DOI в качестве БО ________сведение об использовании в IP Sec протоколов и алгоритмов их параметры. По существу DOI выполняет роль фундамента в архивах IP Sec. Для того что бы использовать алгоритм соответствующие национальным стандартам в качестве алгоритма аутентификации и шифрования в протоколах Аи и ESP необходимо зарегистрировать их в DOI.

ПТ: Протокол аутентифицирующего заголовка АИ.

Протокол аутентифицирующего заголовка АИ обеспечивает проверку аутентичности и целостности IP пакетов и защиту от повторной передачи.

Протокол АИ позволяет приемной стороне убедится в следующем:

- пакет был отправлен именно той стороной, с которой должно оказаться

- содержимое пакета не подверглось искажениям в процессе передачи его по сети.

- пакет не является дубликатором некоторого пакета полученного ранее. Протокол АИ может быть использованным в двух режимах: туннельном и транспортном.

IP пакет после изменения Аи в транспортном режиме.

Заголовок исходного IP пакетов

Заголовок АИ

Заголовок ТСР(UDP)

анные

 

аутентифицировано

Протокол АИ защищает весь полученный пакет включая заголовок IP и АИ. IP пакет после применения протокола АИ в туннельном режиме.

 

Заголовок внешней IP пакета

Заголовок АИ

Заголовок исходного IP пакета

Заголовок TCP(UDP)

Данные

аутентифицировано

В туннельном режиме в качестве заголовка внешнего IP пакета создается новый заголовок.

Первоначальный(внутренний) IP заголовок содержит целевой адрес пакета, а внешний IP заголовок содержит адрес конца туннеля. Как и в транспортных протокол АИ защищает весь пакет.

Недостатки:

- пакет не защищен от просмотра

- нельзя манипулировать основными полями IP заголовка.

ПТ: протокол инкапсулирующей защиты ESР. Протокол инкапсулирующей защиты ESР (Emapsylating Security Payloads) обеспечивает: конфиденциальность, аутентичность, целостность и защиту от повторов для пакетов длинны

Р: Конфиденциальность данных протоколов ESP обеспечивается всегда, а целостность и аутентификация является для него отрицательным требованиями.

Различают два режима использования протокола ESР:

- транспортный

- туннельный

IP пакет после применения протокола ESР в транспортном режиме

 

Заголовок исход. IP пакета

Заголовок ESP

Заголовок TCP(UDP)

Данные

Трейлер ESP

Данные аутентификации

Зашифровано

Аутентифицировано

 

Трейлер ESР. Заключительная часть ESР- заголовка (заполнитель РАР)

Аутентифицируемые данные.

В транспортном режиме зашифрованные данные транспортируются непосредственно между хостами.

Р: Заголовок ESР помещается после сигнала IP-заголовка, из этого такой пакет можно предвидеть с помощью обычного об. В отличии от протокола АР контроль целостность и аутентификация данных не распространяемые на заголовок из исходного пакета.

Недостаток: адресная информация (IP-адреса отсылают и принимают стороны) видна при пересылке изменение не будет замечена.

IP пакет в туннельном режиме

Заголовок Внешнего IP пакета

Заголовок ESP

Заголовок исходного IP пакета

Заголовок TCP(UDP)

Данные

Трейлер ESP

Данные аутентификации

зашифровано

аутентифицировано

В туннельном режиме основная роль отводится шлюзом безопасности (поскольку обычные клиентские станции могут не поддерживать IP Sec и отправляют в сеть обычный IP трафик - Туннелирование - что позволяет скрыть истинные IP адреса).

Р: 1)Сравнивая протоколы АИ и ESP: главное отличие, что протокол АН обеспечивает аутентификацию всего пакета.

2) ESP- используют симметричные алгоритмы шифров

3) Для ESР определенны такие алгоритмы: это- DES, MP5, SHA-1

4) При совместном использовании АН идет после протокола ESР (аутентификация идет зашифрованная)

5) В туннельном режиме протоколы АН и ESР применяются к разным вложенным пакетам и кроме того допускается вложенность туннелей с различными и/или конечными точками.

ПТ: протокол управления криптоключами IKE

Нет смысла применят АН и ESP если нет системы IKE.

Протоколы IKE решают три задачи:

+ осуществляют аутентификацию взаимодействия сторон, согласовуют алгоритмы шифрования и характеристики ключей, которые будут использоваться в защищенном сеансе обмена ключами.

+ обеспечивает создание, управление ключевой информации соединения, непосредственный обмен ключами.

+ управляет параметрами соединения и защиты от некоторых типов атак

_________- Хеллмана, ISA, KMP/_________

Установление безопасных______________

Установление SA должно начинатся с взаимной аутентификации сторон.

Для выполнения аутентификации сторон IKE применяется 2 способа:

1) основан на использовании разделяемого секрета, цифровая подпись(МОБ) использующая в качестве аргумента заранее распределяет секр.

2) основан на использовании технологий цифровой подписи и цифровых сертификатов.

3) После проведения взаимной аутентификации, согласовуются параметры защищенного канала (АН и ESP)

Р: SA представляет собой однонаправленное логическое соединение в рамках одной ассоциации. SA может работать только один из протоколов защиты данных либо АН, либо ESР но не обе вместе

П: базы данных SAD и SPD

-база: данных безопасных ассоциаций SAD

- база данных политики безопасности

1) SAD содержит параметры (режим работы АН и ESP, секреты ключа, методы шифрования)для каждого соединения

2) SPD - представляет собой упорядоченный набор правил, каждая из которых включает самокупность селекторов и допустимых политик безопасности. Силекторы служат для отбора пакетов, АПБ задают требуемую обработку.

Лекция 12

BSL, IPS, Antivirus.

SSL разработан Netscape Communicator. На сеансовом уровне модели OSI.

Модель SSL является комплекс ассиметричных и симметричных криптосистем.

Взаимная аутентификация выполняется путем обмена цифровых сертификатов (стандарта Х.Б), а также стандарты инфраструктуры секретных ключей PKI с помощью которого и организовывается проверка подлинности ключа.

Конфиденциальные обеспечивает шифрование передаваемых сообщений с использованием секретных сотовых ключей, которые стороны обменялись при установки соединения. Сотовые ключи передаются в зашифрованном виде (с помощью открытых ключей). В качестве алгоритма асимметрии шифр исп. RSA,________, симметрич. шифр RC 4, DES, TRIRU, DES для вычисления хеш-функции MD 5 и SHA-1. В SSL версии 3 набор протоколов расширен.

SSL устанавливает защиту соединения между конечными узлами. Протокол SSL предусматривает следующие этапы взаимодействия клиента и сервера:

- установление SSL-сети

- защищенное взаимодействие

В процессе установления SSL сети решаются следующие задачи:

- аутентификация сторон

- согласование криптографических алгоритмов и алгоритмов сжатия

- форм общего мастер ключа

- генерация на основе сформированного мастер ключа общих секретных ____________ для крипто_____

Процедура установления SSL сети называется процедурой рукопожатия, отраб. перед непосредств. защ. инф. обмена.

При установлении повтор соединения между клиентом-сервером стороны могут по взаимному соглашению формировать новые ­­­­­­­­­__________ ключи на основе __________ секрета (продолжение SSL сети).

Протокол SSL-3 поддерживает 3 режима аутентификации:

- взаимная аутентификация сторон

- односторонняя аутентификация сервера без аутентификации клиента

- полная анонимность

Недостатки:

- для транспорта используется только IP протокол

- защитные свойства SSL/TLSM в полной мере прозрачны для приклад. проток.

- возобновление сети (минимальный обмен данными, использование старого параметра session ID, злоумышл. скомпром. последнюю сессию может скомпр. перед. данные)

- для аутентификации и шифрования используются одинаковые ключи

- SSL программный продукт _________ уязвим, к атак. связаны недовереная программная среда, прогр. __________