Средства безопасности Windows

11.1. Характеристики безопасности

Аутентификация - процесс надежного определения подлинности поддерживающих связь компьютеров. Она основана на методах криптографии (Алгоритмы криптографии с помощью математических методов комбинируют входной открытый текст и ключ шифрования, в результате чего получаются зашифрованные данные).

Целостность- правильностьданных. Службы поддерживающие целостность, зашищают данные от несанкционированного изменения по пути их следования.

Конфиденциальность - гарантия, что данные будут раскрыты только тем получателем, которому они были предназначены.

Предотвращение повторного использования - гарантия того, что каждая посланная IP-датаграмма отличается от любой другой.

 

11.2. Алгоритмы шифрования

Безопасность IP в Windows использует следующие стандартные криптографические алгоритмы:

ü Методика Diffie-Helman (D-H). Процесс начинают два объекта, обменивающиеся общедоступной информацией. Затем каждый объект объединяет общую информацию другой стороны со своей собственной секретной информацией, чтобы сгенерировать секретное общедоступное сообщение.

ü Ко д аутентификации хешированного сообщения. Из цифровой копии кадра данных вычисляется хешированное значение. Если передаваемое сообщение изменилось по пути следования, то IP-пакет будет отброшен.

ü Стандарт шифрования DES. Генерируется случайное число, которое используется совместно с ключом для шифрования данных.

11.3 Протоколы безопасности

На базе протоколов безопасности реализуются различные службы, обеспечивающие безопасный обмен информацией по сети. Windows использует следующие протоколы безопасности:

ü Протокол ассоциаций безопасности и управления ключами Internet. Прежде чем IP- пакеты будут переданы от одного компьютера к другому, должна быть установлена ассоциация, или сопоставления, безоапсности(SA). SA-это набор ключей для для безопасных протоколов.

ü Oakley. Протокол определения ключей, который использует алгоритм обмена ключами.Он генерирует ключи, необходимые для безопасного обмена информацией.

ü Заголовок аунтефикации IP. Основан на некотором алгоритме вычисления ключевого кэшированного значения для каждого Ipпакета.

ü Протокол инкапсуляции безопасности (ESP). В дополнение к услугам предыдущего протокола обеспечивает конфиденциальность, используя алгоритм DEC-CBC.

IP-заголовок

EPS-заголовок

Прикладные данные

ESP-окончание

Аунтефикационная информация ESP

                                                                                                                                                                                                                                                                                                                                                                Зашифрованные данные                                                                                                                                                                                                                                                                    Подписанные данные

11.4 Архитектура безопасности IP

Механизм безопасности IP в Windows разработан для защиты любого сквозного соединения между двумя компьютерами. При сквозном соединении два осуществляющих связь компьютера поддерживают IP-безопасность на каждом конце соединения. Данные прикладной программы компьютера, начинающего связь, перед пересылкой по сети автоматически шифруются. На компьютере адресата данные также автоматически дешифруются-прежде, чем они будут переданы приложению получателю.

 

 

 

                                                                                                      

 

                                                  Шифрованные пакеты IP

Рисунок Архитектура безопасности IP вWindows.

 

Управление безопасностью IP в Windows допускает создание политики, определяющей тип и уровень безопасности, необходимые во время обмена информации:

ü Политика безопасности. Каждая конфигурацияатрибутов безопасности IP называется политикой безопасности.

ü Политика переговоров. Определяетслужбыбезопасности, используемые во время связи. Можно выбрать услуги, включающие конфиденциальность(ESP) или не обеспечивающие конфиденциальность (АН).

ü IP-фильтры. Определяют различные действия, зависящие от направления передачи IP-пакета, от типа применяемого IP-протокола (например,TCP или UDP) и от того, какие порты используются в соответствии с протоколом.

ü Драйвер безопасности IP(IPS-драйвер). Просматривает все пакеты на соответствие фильтру IP. Если он находит соответствие, то задерживает пакеты в очереди. Агент шифрует IP-пакеты и посылает их компьютеру-адресату.

 

Функционирование драйвера IPS.