Мы поможем в написании ваших работ!



ЗНАЕТЕ ЛИ ВЫ?

Протоколы и схемы аутентификации

Поиск

 

Межсетевые экраны могут использовать встроенные и внешние схемы и протоколы аутентификации. Выбор схемы аутентификации зависит от требования надежности и возможности интеграции с существующим программным обеспечением.

  1. Firewall Password, OS Password.
  2. S\key – программная схема аутентификации, использующая одноразове пароли. Клиент на основе секретного ключа известного и клиенту и серверу для каждого соединения генерирует одноразовый пароль.
  3. Kerberos – стандартный протокол безопасности в интернете использующий трехуровневую архитектуру:

- Клиент, аутентичность которого необходимо доказать

- Сервер, услугами которого хочет воспользоваться клиент

- Сервер проверки подлинности (третья сторона)

  1. Secure ID – технология аутентификации, использующая генерацию одноразовых паролей (ОТР).
  2. CryptoCard – технология, в основе которой заложены принципы двухфакторной аутентификации. В отличии от Secure ID используется более защищенные методы управления и лицензирования токенов.
  3. Tacacs/Radius – данные системы разработаны для централизованного контроля доступа к сети. Серверы Tacacs/Radius выступают в качестве посредников между серверами удаленного доступа и сетевыми сервисами межсетевого экрана, являющимися клиентами.

 

Обнаружение вторжений и аномальной активности

 

Под аномальной активностью понимаются такие сетевые события, которые нельзя классифицировать как атаку, но в тоже время их поведение отличается от нормального. К аномальной активности можно отнести возрастание объема сетевых подключений, трафика, сообщений протокола ISMP. Существует класс программного обеспечения решающих задачу обнаружения вторжений и аномальной активности – IDS.

 

Управление бюджетами пользователей

 

В большой организации может стать проблемой, как для сетевых администраторов, так и для пользователей сети. Доступ к таким корпоративным ресурсам как web-сервер, почтовый сервер и т.д. требуют процедуру аутентификации, а это значит, что для каждого пользователя всех информационных ресурсов должны существовать его учётные записи или бюджеты. Помимо этого проблема усугубляется тем что:

1. Прикладные службы установлены физически на разных хостах

2. Наличие в сети нескольких серверных платформ

3. Разделение обязанностей между администраторами

Бюджет пользователя на межсетевом экране может быть сформирован одним из следующих образов:

4. Создан непосредственно на межсетевом экране

В этом случае администратор межсетевого экрана вводит самостоятельно всю необходимую учётную информацию, в том числе и пароль. Это применяется только в небольшой организации.

5. Импорт бюджетов пользователей

Большинство межсетевых экранов под управление ОС Windows позволяет импортировать и даже синхронизировать бюджеты пользователей с доменов Windows

6. Импорт централизованной базы данных или сервера аутентификации,

Для этого используется технология LDAP

Контроль времени действия правил политики безопасности

 

Политика безопасности может быть значительно усилена за счёт использования временных ограничений правил действия межсетевого экрана.

Преимущества:

7. Позволяет сосредоточить анализ аудита безопасности в строго определённое время

8. Повысить организацию дисциплины рабочего времени

9. Предотвратить несанкционированное использование рабочих станций в целях НСД к сетевым ресурсам в нерабочее время

10. Выполнять в установленное время технологические мероприятия на сервера сети без потери рабочего времени сотрудников

 

Технология VPN

 

Технология VPN выполняет 2 основные функции:

11. Шифрование данных, за счёт чего обеспечивается безопасность сетевых соединений(RC4, DES, Triple DES).

12. Туннелированние протоколов, что обеспечивает прозрачность использования данной технологии(L2TP, PPTP, IPSec).

Продукты VPN могут быть реализованные в виде:

13. самостоятельных программных продуктов

14. аппаратных устройств

15. дополнительных функций маршрутизаторов и коммутаторов

16. дополнительных функций межсетевого экрана

17. дополнительных функций операционной системы.

Под термином VPN понимается организация защищённых информационных потоков между объектами виртуальной сети организованных через сети общего пользования.

Защищенные потоки могут быть созданы между VPN-шлюзами сети, VPN-шлюзом и VPN-клиентом и между клиентами сети.

VPN-шлюз - это сетевое устройство, установленное на границе сети, выполняющее функции образования защищенных VPN-канала, аутентификации и авторизации клиентов VPN-сети.VPN-шлюз располагается аналогично межсетевому экрану, таким образом чтобы через него проходил весь сетевой трафик организации.

VPN-клиент - программное обеспечение иногда с аппаратной частью, устанавливаемое на хостах пользователей и осуществляющее подключение к сети VPN.

Существует 5 вариантов расположения VPN-шлюза относительно межсетевому экрану:

1. Межсетевой экран перед VPN-шлюзом

2. VPN-шлюз перед межсетевым экраном

3. Межсетевой экран с VPN-шлюзом

4/5. Межсетевой экран параллельно VPN-шлюзу

 

Протоколы VPN

 

Уровень OSI   Протокол Примечания
Прикладной   ¾ Никто не работает
Представительский   SSL, SSH Требует поддержки приложением
Сеансовый SOCKS Требует поддержки приложением и использования специального программного обеспечения
Транспортный   ¾  
Сетевой IPsec Система открытых стандартов для решения проблемы создания и поддержания защищённых соединений
канальный PPTP, L2F, L2TP Многопротокольный удаленный доступ к ресурсам корпоративной сети через сети общего пользования.

 

 

Стек протоколов IPSec

 

Схема протоколов IPSec обеспечивает решение следующих задач:

1. При инициализации защищенного канала

2. Шифрование и аутентификацию передаваемых данных между конечным точками защищенного канала.

3. Безопасное снабжение конечных точек секретными ключами.

Решение данных задач реализует три протокола:

¾ AH (Authentification Header) - Заголовок аутентификации, обеспечивающий целостность и аутентификацию данных и опционально предоставляет сервис от ложного воспроизведения.

¾ ESP (Encapsulation Security) - Обеспечивает прежде всего конфиденциальность трафика. работает в двух режимах: в транспортном и в туннельном.

¾ IKE (Internet Key Exchange) - Выполняет функции инициализации защищенного канала и управление ключами шифрование и дешифрования.

 

Протокол РРТР

(Point-to-point tunneling protocol)

 

Основное преимущество РРТР заключается в его многопротокольности, т.е. возможности инкапсулирования различных протоколов IP, IPX и т.д. РРТР инкапсулирует PPP пакеты в IP пакеты с помощью заголовка GRE.

 

Заголовок протокола локального уровня(РРР,EH) Заголовок IP Заголовок GRE Исходящий пакет

 

Протокол РРТР использует протоколы аутентификации MSChap и EAP-TLS. Шифрование пакетов в РРТР реализуется с помощью протокола МРРЕ в котором использован алгоритм RC-4, с длино1 ключа 40 или 128 бит. Инициализация канала PPTP выполняется удаленным пользователем путем установки ТСР соединения(порт: 1723) с сервером RAS, выполняющим функции однонаправленного VPN-шлюза.

 

Прокол L2TP

 

К основным свойствам L2TP относятся:

1. Прозрачность для конечных систем(протокол использует схему, в которой туннель образуется между сервером удаленного доступа провайдера LAC и маршрутизатором корпоративной сети LNS).

2. Аутентификация в рамках возможностей, заложенных в протокол РРР (MSChap, Pap-Chap, Radius, Tacacs).

3. Назначение адреса клиенту выполняется сервером LNS, а не провайдером.

L2TP может работать поверх любого транспортного прокола с коммутацией пакетов. L2TP используется пакеты UDP на порте 17.01.

 

Протокол аутентификации L2F

...

 



Поделиться:


Последнее изменение этой страницы: 2016-12-30; просмотров: 492; Нарушение авторского права страницы; Мы поможем в написании вашей работы!

infopedia.su Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Обратная связь - 3.129.253.21 (0.008 с.)