Учебники

Сетевая безопасность — Краткое руководство

Сетевая безопасность — Обзор

В современную эпоху организации в значительной степени полагаются на компьютерные сети для эффективного и продуктивного обмена информацией по всей организации. Организационные компьютерные сети в настоящее время становятся большими и повсеместными. Предполагая, что у каждого сотрудника есть выделенная рабочая станция, в крупной компании будет несколько тысяч рабочих станций и много серверов в сети.

Вполне вероятно, что эти рабочие станции не могут управляться централизованно и не имеют защиты по периметру. Они могут иметь различные операционные системы, аппаратные средства, программное обеспечение и протоколы с разным уровнем кибер-осведомленности среди пользователей. А теперь представьте, что эти тысячи рабочих станций в сети компании напрямую подключены к Интернету. Этот вид незащищенной сети становится целью для атаки, которая содержит ценную информацию и отображает уязвимости.

В этой главе мы расскажем об основных уязвимостях сети и значении сетевой безопасности. В последующих главах мы обсудим методы достижения того же.

Физическая сеть

Сеть определяется как два или более вычислительных устройства, соединенных вместе для эффективного совместного использования ресурсов. Кроме того, соединение двух или более сетей вместе называется межсетевым взаимодействием. Таким образом, Интернет — это просто объединенная сеть — совокупность взаимосвязанных сетей.

Для настройки своей внутренней сети организация имеет различные варианты. Он может использовать проводную сеть или беспроводную сеть для подключения всех рабочих станций. В настоящее время организации в основном используют комбинацию как проводных, так и беспроводных сетей.

Проводные и беспроводные сети

В проводной сети устройства подключаются друг к другу с помощью кабелей. Как правило, проводные сети основаны на протоколе Ethernet, где устройства подключаются с помощью кабелей неэкранированной витой пары (UTP) к различным коммутаторам. Эти коммутаторы дополнительно подключены к сетевому маршрутизатору для доступа в Интернет.

В беспроводной сети устройство подключается к точке доступа посредством радиопередач. Точки доступа дополнительно подключаются через кабели к коммутатору / маршрутизатору для доступа к внешней сети.

Проводные и беспроводные сети

Беспроводные сети приобрели популярность благодаря мобильности, предлагаемой ими. Мобильные устройства не должны быть привязаны к кабелю и могут свободно перемещаться в пределах диапазона беспроводной сети. Это обеспечивает эффективный обмен информацией и повышает производительность.

Уязвимости и атаки

Общей уязвимостью, существующей как в проводных, так и в беспроводных сетях, является «несанкционированный доступ» к сети. Злоумышленник может подключить свое устройство к сети через незащищенный порт концентратора / коммутатора. В связи с этим беспроводная сеть считается менее безопасной, чем проводная сеть, поскольку к беспроводной сети можно легко получить доступ без какого-либо физического соединения.

После получения доступа злоумышленник может использовать эту уязвимость для запуска таких атак, как:

  • Обнюхивать пакетные данные, чтобы украсть ценную информацию.

  • Отказ в обслуживании законным пользователям в сети, заполняя сетевой носитель ложными пакетами.

  • Подмена физических идентификаторов (MAC) законных хостов, а затем кража данных или дальнейшее начало атаки «человек посередине».

Обнюхивать пакетные данные, чтобы украсть ценную информацию.

Отказ в обслуживании законным пользователям в сети, заполняя сетевой носитель ложными пакетами.

Подмена физических идентификаторов (MAC) законных хостов, а затем кража данных или дальнейшее начало атаки «человек посередине».

Сетевой протокол

Сетевой протокол — это набор правил, управляющих связью между устройствами, подключенными к сети. Они включают в себя механизмы создания соединений, а также правила форматирования для упаковки данных для отправленных и полученных сообщений.

Было разработано несколько протоколов компьютерных сетей, каждый из которых предназначен для определенных целей. Популярными и широко используемыми протоколами являются TCP / IP со связанными протоколами более высокого и более низкого уровня.

Протокол TCP / IP

Протокол управления передачей (TCP) и Интернет-протокол (IP) — это два разных сетевых протокола, которые в основном используются вместе. Из-за их популярности и широкого применения они встроены во все операционные системы сетевых устройств.

IP соответствует сетевому уровню (уровень 3), тогда как TCP соответствует транспортному уровню (уровень 4) в OSI. TCP / IP применяется к сетевым коммуникациям, где транспорт TCP используется для доставки данных по IP-сетям.

Протоколы TCP / IP обычно используются с другими протоколами, такими как HTTP, FTP, SSH на прикладном уровне и Ethernet на канальном / физическом уровне.

Протокол TCP / IP

Набор протоколов TCP / IP был создан в 1980 году как решение для межсетевого взаимодействия с минимальным вниманием к аспектам безопасности.

Он был разработан для связи в ограниченной доверенной сети. Тем не менее, через некоторое время этот протокол стал стандартом де-факто для незащищенной интернет-связи.

Некоторые из распространенных уязвимостей безопасности протоколов TCP / IP:

  • HTTP — это протокол прикладного уровня в наборе TCP / IP, используемый для передачи файлов, которые составляют веб-страницы с веб-серверов. Эти передачи выполняются в виде простого текста, и злоумышленник может легко прочитать пакеты данных, которыми обмениваются сервер и клиент.

  • Еще одна уязвимость HTTP — слабая аутентификация между клиентом и веб-сервером во время инициализации сеанса. Эта уязвимость может привести к атаке перехвата сеанса, когда злоумышленник крадет сеанс HTTP законного пользователя.

  • Уязвимость протокола TCP — это трехстороннее рукопожатие для установления соединения. Злоумышленник может запустить атаку типа «отказ в обслуживании» «SYN-flooding», чтобы воспользоваться этой уязвимостью. Он устанавливает много полуоткрытых сессий, не завершив рукопожатие. Это приводит к перегрузке сервера и в конечном итоге к краху.

  • Уровень IP подвержен множеству уязвимостей. Посредством изменения заголовка протокола IP злоумышленник может начать атаку с использованием IP-спуфинга.

HTTP — это протокол прикладного уровня в наборе TCP / IP, используемый для передачи файлов, которые составляют веб-страницы с веб-серверов. Эти передачи выполняются в виде простого текста, и злоумышленник может легко прочитать пакеты данных, которыми обмениваются сервер и клиент.

Еще одна уязвимость HTTP — слабая аутентификация между клиентом и веб-сервером во время инициализации сеанса. Эта уязвимость может привести к атаке перехвата сеанса, когда злоумышленник крадет сеанс HTTP законного пользователя.

Уязвимость протокола TCP — это трехстороннее рукопожатие для установления соединения. Злоумышленник может запустить атаку типа «отказ в обслуживании» «SYN-flooding», чтобы воспользоваться этой уязвимостью. Он устанавливает много полуоткрытых сессий, не завершив рукопожатие. Это приводит к перегрузке сервера и в конечном итоге к краху.

Уровень IP подвержен множеству уязвимостей. Посредством изменения заголовка протокола IP злоумышленник может начать атаку с использованием IP-спуфинга.

Помимо вышеупомянутого, существует множество других уязвимостей в семействе протоколов TCP / IP, как в дизайне, так и в его реализации.

Между прочим, при сетевом взаимодействии на основе TCP / IP, если один уровень взломан, другие уровни не узнают о взломе, и вся связь будет взломана. Следовательно, для обеспечения надежной защиты необходимо использовать средства контроля безопасности на каждом уровне.

Протокол DNS

Система доменных имен (DNS) используется для преобразования доменных имен хостов в IP-адреса. Пользователи сети зависят от функциональности DNS в основном во время работы в Интернете путем ввода URL-адреса в веб-браузере.

При атаке на DNS цель злоумышленника состоит в том, чтобы изменить допустимую запись DNS, чтобы она была преобразована в неправильный IP-адрес. Он может направлять весь трафик с этого IP на неправильный компьютер. Злоумышленник может использовать уязвимость протокола DNS или скомпрометировать DNS-сервер для осуществления атаки.

Отравление кэша DNS — это атака, использующая уязвимость, обнаруженную в протоколе DNS. Злоумышленник может отравить кэш, подделав ответ на рекурсивный DNS-запрос, отправленный распознавателем на авторитетный сервер. Как только кэш DNS-распознавателя будет отравлен, хост будет перенаправлен на вредоносный веб-сайт и может скомпрометировать учетные данные при связи с этим сайтом.

Протокол DNS

Протокол ICMP

Протокол управления доступом в Интернет (ICMP) — это базовый протокол управления сетями сетей TCP / IP. Он используется для отправки сообщений об ошибках и управления сообщениями о состоянии сетевых устройств.

ICMP является неотъемлемой частью реализации IP-сети и, следовательно, присутствует в самой настройке сети. ICMP имеет свои собственные уязвимости и может использоваться для запуска атаки на сеть.

Распространенные атаки, которые могут произойти в сети из-за уязвимостей ICMP:

  • ICMP позволяет злоумышленнику проводить разведку сети для определения топологии сети и путей в сеть. Развертка ICMP включает в себя обнаружение всех IP-адресов хоста, которые существуют во всей сети цели.

  • Трассировка маршрута — это популярная утилита ICMP, которая используется для сопоставления целевой сети путем описания пути в реальном времени от клиента к удаленному хосту.

  • Злоумышленник может запустить атаку типа «отказ в обслуживании», используя уязвимость ICMP. Эта атака включает отправку ping-пакетов IPMP, размер которых превышает 65 535 байт, целевому устройству. Целевой компьютер не может правильно обработать этот пакет и может вызвать сбой операционной системы.

ICMP позволяет злоумышленнику проводить разведку сети для определения топологии сети и путей в сеть. Развертка ICMP включает в себя обнаружение всех IP-адресов хоста, которые существуют во всей сети цели.

Трассировка маршрута — это популярная утилита ICMP, которая используется для сопоставления целевой сети путем описания пути в реальном времени от клиента к удаленному хосту.

Злоумышленник может запустить атаку типа «отказ в обслуживании», используя уязвимость ICMP. Эта атака включает отправку ping-пакетов IPMP, размер которых превышает 65 535 байт, целевому устройству. Целевой компьютер не может правильно обработать этот пакет и может вызвать сбой операционной системы.

Другие протоколы, такие как ARP, DHCP, SMTP и т. Д., Также имеют свои уязвимости, которые могут быть использованы злоумышленником для нарушения безопасности сети. Мы обсудим некоторые из этих уязвимостей в следующих главах.

Наименьшее внимание к аспекту безопасности при разработке и реализации протоколов превратилось в основную причину угроз безопасности сети.

Цели сетевой безопасности

Как обсуждалось в предыдущих разделах, в сети существует большое количество уязвимостей. Таким образом, во время передачи данные очень уязвимы для атак. Злоумышленник может нацелиться на канал связи, получить данные и прочитать то же самое или повторно вставить ложное сообщение для достижения своих гнусных целей.

Безопасность сети касается не только безопасности компьютеров на каждом конце коммуникационной цепочки; однако, это стремится гарантировать, что вся сеть безопасна.

Безопасность сети подразумевает защиту удобства использования, надежности, целостности и безопасности сети и данных. Эффективная сетевая безопасность защищает от множества угроз от проникновения или распространения в сети.

Основной целью сетевой безопасности являются конфиденциальность, целостность и доступность. Эти три столпа сетевой безопасности часто представлены в виде треугольника ЦРУ .

  • Конфиденциальность — функция конфиденциальности заключается в защите ценных деловых данных от посторонних лиц. Часть обеспечения безопасности сети гарантирует, что данные доступны только предполагаемым и уполномоченным лицам.

  • Целостность — эта цель означает поддержание и обеспечение точности и согласованности данных. Функция целостности заключается в том, чтобы гарантировать, что данные надежны и не изменены посторонними лицами.

  • Доступность — функция доступности в Network Security состоит в том, чтобы гарантировать, что данные, сетевые ресурсы / сервисы постоянно доступны для законных пользователей, когда они этого требуют.

Конфиденциальность — функция конфиденциальности заключается в защите ценных деловых данных от посторонних лиц. Часть обеспечения безопасности сети гарантирует, что данные доступны только предполагаемым и уполномоченным лицам.

Целостность — эта цель означает поддержание и обеспечение точности и согласованности данных. Функция целостности заключается в том, чтобы гарантировать, что данные надежны и не изменены посторонними лицами.

Доступность — функция доступности в Network Security состоит в том, чтобы гарантировать, что данные, сетевые ресурсы / сервисы постоянно доступны для законных пользователей, когда они этого требуют.

Достижение безопасности сети

Обеспечение безопасности сети может показаться очень простым. Цели, которые должны быть достигнуты, кажутся простыми. Но на самом деле механизмы, используемые для достижения этих целей, очень сложны, и для их понимания необходимы веские доводы.

Международный союз электросвязи (МСЭ) в своей рекомендации по архитектуре безопасности X.800 определил определенные механизмы для стандартизации методов обеспечения безопасности сети. Некоторые из этих механизмов —

  • Зашифрование — этот механизм предоставляет услуги конфиденциальности данных путем преобразования данных в нечитаемые формы для посторонних лиц. Этот механизм использует алгоритм шифрования-дешифрования с секретными ключами.

  • Цифровые подписи — этот механизм является электронным эквивалентом обычных подписей в электронных данных. Это обеспечивает достоверность данных.

  • Контроль доступа — этот механизм используется для предоставления услуг контроля доступа. Эти механизмы могут использовать идентификацию и аутентификацию объекта для определения и обеспечения прав доступа объекта.

Зашифрование — этот механизм предоставляет услуги конфиденциальности данных путем преобразования данных в нечитаемые формы для посторонних лиц. Этот механизм использует алгоритм шифрования-дешифрования с секретными ключами.

Цифровые подписи — этот механизм является электронным эквивалентом обычных подписей в электронных данных. Это обеспечивает достоверность данных.

Контроль доступа — этот механизм используется для предоставления услуг контроля доступа. Эти механизмы могут использовать идентификацию и аутентификацию объекта для определения и обеспечения прав доступа объекта.

Разработав и идентифицировав различные механизмы безопасности для обеспечения безопасности сети, важно решить, где их применять; как физически (в каком месте), так и логически (на каком уровне архитектуры, такой как TCP / IP).

Механизмы безопасности на сетевых уровнях

Несколько механизмов безопасности были разработаны таким образом, что они могут быть разработаны на определенном уровне модели сетевого уровня OSI.

  • Безопасность на уровне приложений — меры безопасности, используемые на этом уровне, зависят от конкретного приложения. Различные типы приложений потребуют отдельных мер безопасности. Чтобы обеспечить безопасность на уровне приложений, приложения должны быть изменены.

    Считается, что разработка криптографически обоснованного протокола приложения очень сложна, а правильная его реализация еще сложнее. Следовательно, механизмы защиты прикладного уровня для защиты сетевых коммуникаций предпочтительны, чтобы быть только основанными на стандартах решениями, которые использовались в течение некоторого времени.

    Примером протокола безопасности прикладного уровня является Secure Multipurpose Internet Mail Extensions (S / MIME), который обычно используется для шифрования сообщений электронной почты. DNSSEC — это еще один протокол на этом уровне, используемый для безопасного обмена сообщениями DNS-запросов.

  • Безопасность на транспортном уровне. Меры безопасности на этом уровне могут использоваться для защиты данных в одном сеансе связи между двумя хостами. Наиболее распространенным применением протоколов безопасности транспортного уровня является защита трафика сеансов HTTP и FTP. Безопасность транспортного уровня (TLS) и Secure Socket Layer (SSL) являются наиболее распространенными протоколами, используемыми для этой цели.

  • Сетевой уровень — меры безопасности на этом уровне могут применяться ко всем приложениям; таким образом, они не зависят от приложения. Все сетевые коммуникации между двумя хостами или сетями могут быть защищены на этом уровне без изменения какого-либо приложения. В некоторых средах протокол безопасности сетевого уровня, такой как Internet Protocol Security (IPsec), обеспечивает гораздо лучшее решение, чем элементы управления транспортного или прикладного уровня, из-за сложностей при добавлении элементов управления в отдельные приложения. Однако протоколы безопасности на этом уровне обеспечивают меньшую гибкость связи, которая может потребоваться некоторым приложениям.

Безопасность на уровне приложений — меры безопасности, используемые на этом уровне, зависят от конкретного приложения. Различные типы приложений потребуют отдельных мер безопасности. Чтобы обеспечить безопасность на уровне приложений, приложения должны быть изменены.

Считается, что разработка криптографически обоснованного протокола приложения очень сложна, а правильная его реализация еще сложнее. Следовательно, механизмы защиты прикладного уровня для защиты сетевых коммуникаций предпочтительны, чтобы быть только основанными на стандартах решениями, которые использовались в течение некоторого времени.

Примером протокола безопасности прикладного уровня является Secure Multipurpose Internet Mail Extensions (S / MIME), который обычно используется для шифрования сообщений электронной почты. DNSSEC — это еще один протокол на этом уровне, используемый для безопасного обмена сообщениями DNS-запросов.

Безопасность на транспортном уровне. Меры безопасности на этом уровне могут использоваться для защиты данных в одном сеансе связи между двумя хостами. Наиболее распространенным применением протоколов безопасности транспортного уровня является защита трафика сеансов HTTP и FTP. Безопасность транспортного уровня (TLS) и Secure Socket Layer (SSL) являются наиболее распространенными протоколами, используемыми для этой цели.

Сетевой уровень — меры безопасности на этом уровне могут применяться ко всем приложениям; таким образом, они не зависят от приложения. Все сетевые коммуникации между двумя хостами или сетями могут быть защищены на этом уровне без изменения какого-либо приложения. В некоторых средах протокол безопасности сетевого уровня, такой как Internet Protocol Security (IPsec), обеспечивает гораздо лучшее решение, чем элементы управления транспортного или прикладного уровня, из-за сложностей при добавлении элементов управления в отдельные приложения. Однако протоколы безопасности на этом уровне обеспечивают меньшую гибкость связи, которая может потребоваться некоторым приложениям.

Между прочим, механизм безопасности, предназначенный для работы на более высоком уровне, не может обеспечить защиту данных на более низких уровнях, потому что более низкие уровни выполняют функции, о которых более высокие уровни не знают. Следовательно, может быть необходимо развернуть несколько механизмов безопасности для повышения безопасности сети.

В следующих главах руководства мы обсудим механизмы безопасности, используемые на разных уровнях сетевой архитектуры OSI для обеспечения безопасности сети.

Сетевая безопасность — прикладной уровень

Различные бизнес-услуги теперь предлагаются онлайн через клиент-серверные приложения. Самые популярные формы — это веб-приложение и электронная почта. В обоих приложениях клиент связывается с назначенным сервером и получает услуги.

При использовании службы из любого серверного приложения клиент и сервер обмениваются большим количеством информации в базовой интрасети или Интернете. Мы знаем, что эти информационные транзакции уязвимы для различных атак.

Сетевая безопасность влечет за собой защиту данных от атак во время их передачи по сети. Для достижения этой цели было разработано много протоколов безопасности в реальном времени. Такой протокол должен обеспечивать, по крайней мере, следующие основные цели —

  • Стороны могут вести переговоры в интерактивном режиме для установления подлинности друг друга.
  • Установите секретный сеансовый ключ перед обменом информацией в сети.
  • Обмен информацией в зашифрованном виде.

Интересно, что эти протоколы работают на разных уровнях сетевой модели. Например, протокол S / MIME работает на прикладном уровне, протокол SSL разработан для работы на транспортном уровне, а протокол IPsec работает на сетевом уровне.

Уровень приложений

В этой главе мы обсудим различные процессы обеспечения безопасности для обмена сообщениями по электронной почте и соответствующие протоколы безопасности. Способ защиты DNS рассматривается ниже. В последующих главах будут описаны протоколы для достижения веб-безопасности.

E-mail Security

В наше время электронная почта стала очень широко используемым сетевым приложением. Давайте кратко обсудим инфраструктуру электронной почты, прежде чем узнавать о протоколах безопасности электронной почты.

Инфраструктура электронной почты

Простейшим способом отправки электронной почты будет отправка сообщения непосредственно с компьютера отправителя на компьютер получателя. В этом случае важно, чтобы обе машины работали в сети одновременно. Однако такая настройка нецелесообразна, поскольку пользователи могут время от времени подключать свои машины к сети.

Отсюда и концепция настройки почтовых серверов. В этой настройке почта отправляется на почтовый сервер, который постоянно доступен в сети. Когда аппарат получателя подключается к сети, он читает почту с почтового сервера.

В целом, инфраструктура электронной почты состоит из сети почтовых серверов, также называемых агентами передачи сообщений (MTA) и клиентскими компьютерами, на которых запущена программа электронной почты, состоящая из агента пользователя (UA) и локального MTA.

Как правило, сообщение электронной почты пересылается с его UA, проходит через сетку MTA и, наконец, достигает UA на машине получателя.

Инфраструктура электронной почты

Протоколы, используемые для электронной почты, следующие:

  • Простой протокол передачи почты (SMTP), используемый для пересылки сообщений электронной почты.

  • Почтовый протокол (POP) и протокол доступа к сообщениям в Интернете (IMAP) используются для получения сообщений получателем с сервера.

Простой протокол передачи почты (SMTP), используемый для пересылки сообщений электронной почты.

Почтовый протокол (POP) и протокол доступа к сообщениям в Интернете (IMAP) используются для получения сообщений получателем с сервера.

MIME

Базовый стандарт электронной почты в Интернете был написан в 1982 году и описывает формат сообщений электронной почты, которыми обмениваются в Интернете. Он в основном поддерживает сообщения электронной почты, написанные в виде текста в основном латинице.

К 1992 году возникла необходимость улучшить то же самое. Следовательно, был определен дополнительный стандартный Многоцелевой Интернет-Почта (MIME). Это набор расширений базового стандарта электронной почты Интернета. MIME предоставляет возможность отправлять электронную почту с использованием символов, отличных от символов основного латинского алфавита, таких как кириллический алфавит (используется на русском языке), греческий алфавит или даже идеографические символы китайского языка.

Еще одна потребность, выполняемая MIME, — отправка нетекстового содержимого, например изображений или видеоклипов. Благодаря этим функциям стандарт MIME получил широкое распространение благодаря SMTP для связи по электронной почте.

Служба безопасности электронной почты

Растущее использование связи по электронной почте для важных и важных транзакций требует предоставления определенных основных услуг безопасности, а именно:

  • Конфиденциальность — сообщение электронной почты не должно быть прочитано кем-либо, кроме предполагаемого получателя.

  • Аутентификация — получатель электронной почты может быть уверен в личности отправителя.

  • Целостность — гарантия для получателя, что сообщение электронной почты не было изменено с момента его отправки отправителем.

  • Безотказность — получатель электронной почты может доказать третьему лицу, что отправитель действительно отправил сообщение.

  • Подтверждение отправки — отправитель электронной почты получает подтверждение того, что сообщение передано в систему доставки почты.

  • Подтверждение доставки — отправитель получает подтверждение, что получатель получил сообщение.

Конфиденциальность — сообщение электронной почты не должно быть прочитано кем-либо, кроме предполагаемого получателя.

Аутентификация — получатель электронной почты может быть уверен в личности отправителя.

Целостность — гарантия для получателя, что сообщение электронной почты не было изменено с момента его отправки отправителем.

Безотказность — получатель электронной почты может доказать третьему лицу, что отправитель действительно отправил сообщение.

Подтверждение отправки — отправитель электронной почты получает подтверждение того, что сообщение передано в систему доставки почты.

Подтверждение доставки — отправитель получает подтверждение, что получатель получил сообщение.

Службы безопасности, такие как конфиденциальность, аутентификация, целостность сообщений и отказ от авторства, обычно предоставляются с использованием криптографии с открытым ключом.

Как правило, существует три разных сценария общения по электронной почте. Мы обсудим методы достижения вышеуказанных служб безопасности в этих сценариях.

Индивидуальная электронная почта

В этом случае отправитель отправляет сообщение электронной почты только одному получателю. Обычно в общении участвует не более двух MTA.

Индивидуальная электронная почта

Предположим, отправитель хочет отправить конфиденциальное электронное письмо получателю. Обеспечение конфиденциальности в этом случае достигается следующим образом —

  • Отправитель и получатель имеют свои закрытые открытые ключи как (S PVT , S PUB ) и (R PVT , R PUB ) соответственно.

  • Отправитель генерирует секретный симметричный ключ K S для шифрования. Хотя отправитель мог использовать R PUB для шифрования, симметричный ключ используется для более быстрого шифрования и дешифрования.

  • Отправитель шифрует сообщение ключом K S, а также шифрует K S открытым ключом получателя R PUB .

  • Отправитель отправляет зашифрованное сообщение и зашифрованный K S получателю.

  • Получатель сначала получает K S , расшифровывая закодированный K S, используя свой закрытый ключ R PVT .

  • Затем получатель расшифровывает сообщение с использованием симметричного ключа K S.

Отправитель и получатель имеют свои закрытые открытые ключи как (S PVT , S PUB ) и (R PVT , R PUB ) соответственно.

Отправитель генерирует секретный симметричный ключ K S для шифрования. Хотя отправитель мог использовать R PUB для шифрования, симметричный ключ используется для более быстрого шифрования и дешифрования.

Отправитель шифрует сообщение ключом K S, а также шифрует K S открытым ключом получателя R PUB .

Отправитель отправляет зашифрованное сообщение и зашифрованный K S получателю.

Получатель сначала получает K S , расшифровывая закодированный K S, используя свой закрытый ключ R PVT .

Затем получатель расшифровывает сообщение с использованием симметричного ключа K S.

Конфиденциальная электронная почта

Если в этом сценарии также необходимы службы обеспечения целостности сообщений, аутентификации и отказа от авторства, к вышеуказанному процессу добавляются следующие шаги.

  • Отправитель создает хеш сообщения и подписывает его цифровой подписью своим секретным ключом S PVT .

  • Отправитель отправляет этот подписанный хэш получателю вместе с другими компонентами.

Отправитель создает хеш сообщения и подписывает его цифровой подписью своим секретным ключом S PVT .

Отправитель отправляет этот подписанный хэш получателю вместе с другими компонентами.

Аутентификация и целостность сообщений

  • Получатель использует открытый ключ S PUB и извлекает хеш, полученный под подписью отправителя.

  • Затем получатель хеширует дешифрованное сообщение и сравнивает два значения хеша. Если они совпадают, целостность сообщения считается достигнутой.

  • Также получатель уверен, что сообщение отправлено отправителем (аутентификация). И, наконец, отправитель не может отрицать, что он не отправил сообщение (безотказность).

Получатель использует открытый ключ S PUB и извлекает хеш, полученный под подписью отправителя.

Затем получатель хеширует дешифрованное сообщение и сравнивает два значения хеша. Если они совпадают, целостность сообщения считается достигнутой.

Также получатель уверен, что сообщение отправлено отправителем (аутентификация). И, наконец, отправитель не может отрицать, что он не отправил сообщение (безотказность).

Электронная почта получателей от одного к нескольким

В этом случае отправитель отправляет сообщение электронной почты двум или более получателям. Список управляется программой электронной почты отправителя (UA + локальный MTA). Все получатели получают одно и то же сообщение.

Электронная почта получателей от одного к нескольким

Предположим, отправитель хочет отправить конфиденциальное электронное письмо многим получателям (скажем, R1, R2 и R3). Обеспечение конфиденциальности в этом случае достигается следующим образом —

  • Отправитель и все получатели имеют свою собственную пару закрытых-открытых ключей.

  • Отправитель генерирует секретный симметричный ключ K s и шифрует сообщение этим ключом.

  • Затем отправитель несколько раз шифрует K S с помощью открытых ключей R1, R2 и R3, получая R1 PUB (K S ), R2 PUB (K S ) и R3 PUB (K S ).

  • Отправитель отправляет зашифрованное сообщение и соответствующий зашифрованный K S получателю. Например, получатель 1 (R1) получает зашифрованное сообщение и R1 PUB (K S ).

  • Каждый получатель сначала извлекает ключ K S , расшифровывая закодированный K S, используя свой закрытый ключ.

  • Затем каждый получатель расшифровывает сообщение с использованием симметричного ключа K S.

Отправитель и все получатели имеют свою собственную пару закрытых-открытых ключей.

Отправитель генерирует секретный симметричный ключ K s и шифрует сообщение этим ключом.

Затем отправитель несколько раз шифрует K S с помощью открытых ключей R1, R2 и R3, получая R1 PUB (K S ), R2 PUB (K S ) и R3 PUB (K S ).

Отправитель отправляет зашифрованное сообщение и соответствующий зашифрованный K S получателю. Например, получатель 1 (R1) получает зашифрованное сообщение и R1 PUB (K S ).

Каждый получатель сначала извлекает ключ K S , расшифровывая закодированный K S, используя свой закрытый ключ.

Затем каждый получатель расшифровывает сообщение с использованием симметричного ключа K S.

Для обеспечения целостности сообщения, аутентификации и отсутствия отказа необходимо выполнить шаги, аналогичные шагам, упомянутым выше в сценарии «один на один» с электронной почтой.

Электронная почта списка рассылки

В этом случае отправитель отправляет сообщение электронной почты двум или более получателям, но список получателей не управляется отправителем локально. Как правило, почтовый сервер (MTA) поддерживает список рассылки.

Отправитель отправляет почту в MTA, управляющий списком рассылки, а затем MTA рассылает почту всем получателям в списке.

Электронная почта списка рассылки

В этом случае, когда отправитель хочет отправить конфиденциальное электронное письмо получателям списка рассылки (скажем, R1, R2 и R3); конфиденциальность обеспечивается следующим образом —

  • Отправитель и все получатели имеют свою собственную пару закрытых-открытых ключей. Сервер Exploder имеет пару закрытых открытых ключей для каждого поддерживаемого им списка рассылки (List PUB , List PVT ).

  • Отправитель генерирует секретный симметричный ключ K s и затем шифрует сообщение этим ключом.

  • Затем отправитель шифрует K S с помощью открытого ключа, связанного со списком, получает список PUB (K S ).

  • Отправитель отправляет зашифрованное сообщение и список PUB (K S ). MTA анализатора расшифровывает Список PUB (K S ) с помощью Списка PVT и получает K S.

  • Взрыватель шифрует K S с таким количеством открытых ключей, сколько есть членов в списке.

  • Эксплорер пересылает полученное зашифрованное сообщение и соответствующие зашифрованные K S всем получателям в списке. Например, Exploder пересылает зашифрованное сообщение и R1 PUB (K S ) получателю 1 и так далее.

Отправитель и все получатели имеют свою собственную пару закрытых-открытых ключей. Сервер Exploder имеет пару закрытых открытых ключей для каждого поддерживаемого им списка рассылки (List PUB , List PVT ).

Отправитель генерирует секретный симметричный ключ K s и затем шифрует сообщение этим ключом.

Затем отправитель шифрует K S с помощью открытого ключа, связанного со списком, получает список PUB (K S ).

Отправитель отправляет зашифрованное сообщение и список PUB (K S ). MTA анализатора расшифровывает Список PUB (K S ) с помощью Списка PVT и получает K S.

Взрыватель шифрует K S с таким количеством открытых ключей, сколько есть членов в списке.

Эксплорер пересылает полученное зашифрованное сообщение и соответствующие зашифрованные K S всем получателям в списке. Например, Exploder пересылает зашифрованное сообщение и R1 PUB (K S ) получателю 1 и так далее.

Зашифрованное сообщение

Для обеспечения целостности сообщения, аутентификации и отказа от авторства шаги, которые необходимо выполнить, аналогичны приведенным в случае сценария «один на один» с электронной почтой.

Интересно, что программа электронной почты, использующая вышеуказанный метод защиты для защиты электронной почты, как ожидается, будет работать для всех возможных сценариев, рассмотренных выше. Большинство из вышеперечисленных механизмов безопасности для электронной почты обеспечиваются двумя популярными схемами — Pretty Good Privacy (PGP) и S / MIME. Мы обсудим оба в следующих разделах.

PGP

Pretty Good Privacy (PGP) — это схема шифрования электронной почты. Он стал стандартом де-факто для предоставления услуг безопасности для связи по электронной почте.

Как обсуждалось выше, он использует криптографию с открытым ключом, криптографию с симметричным ключом, хэш-функцию и цифровую подпись. Это обеспечивает —

  • Конфиденциальность
  • Аутентификация отправителя
  • Целостность сообщения
  • Неотрекаемость

Наряду с этими службами безопасности, он также обеспечивает сжатие данных и поддержку управления ключами. PGP использует существующие криптографические алгоритмы, такие как RSA, IDEA, MD5 и т. Д., А не изобретает новые.

Работа PGP

Работа PGP

  • Хеш сообщения подсчитывается. (Алгоритм MD5)

  • Результирующий 128-битный хэш подписывается с использованием закрытого ключа отправителя (алгоритм RSA).

  • Цифровая подпись соединяется с сообщением, а результат сжимается.

  • Генерируется 128-битный симметричный ключ K S, который используется для шифрования сжатого сообщения с помощью IDEA.

  • K S шифруется с использованием открытого ключа получателя с использованием алгоритма RSA, и результат добавляется к зашифрованному сообщению.

Хеш сообщения подсчитывается. (Алгоритм MD5)

Результирующий 128-битный хэш подписывается с использованием закрытого ключа отправителя (алгоритм RSA).

Цифровая подпись соединяется с сообщением, а результат сжимается.

Генерируется 128-битный симметричный ключ K S, который используется для шифрования сжатого сообщения с помощью IDEA.

K S шифруется с использованием открытого ключа получателя с использованием алгоритма RSA, и результат добавляется к зашифрованному сообщению.

Формат сообщения PGP показан на следующей диаграмме. Идентификаторы указывают, какой ключ используется для шифрования KS и какой ключ должен использоваться для проверки подписи в хэше.

Формат сообщения PGP

В схеме PGP сообщение подписывается и шифруется, а затем MIME кодируется перед передачей.

Сертификат PGP

Сертификат ключа PGP обычно устанавливается через цепочку доверия. Например, открытый ключ A подписан B, используя его открытый ключ, а открытый ключ B подписан C, используя его открытый ключ. По мере того как этот процесс продолжается, он создает сеть доверия.

В среде PGP любой пользователь может выступать в качестве удостоверяющего органа. Любой пользователь PGP может сертифицировать открытый ключ другого пользователя PGP. Однако такой сертификат действителен для другого пользователя только в том случае, если пользователь распознает сертификат в качестве доверенного представителя.

Существует несколько проблем с таким методом сертификации. Может быть трудно найти цепочку, ведущую от известного и доверенного открытого ключа к желаемому ключу. Кроме того, может быть несколько цепочек, которые могут привести к различным ключам для желаемого пользователя.

PGP также может использовать инфраструктуру PKI с центром сертификации, а открытые ключи могут быть сертифицированы CA (сертификат X.509).

S / MIME

S / MIME расшифровывается как Надежное Многоцелевое Расширение Почты Интернета. S / MIME — это безопасный стандарт электронной почты. Он основан на более раннем небезопасном стандарте электронной почты, который называется MIME.

Работа S / MIME

Подход S / MIME похож на PGP. Он также использует криптографию с открытым ключом, криптографию с симметричным ключом, хэш-функции и цифровые подписи. Он предоставляет услуги безопасности, аналогичные PGP, для связи по электронной почте.

Наиболее распространенные симметричные шифры, используемые в S / MIME, это RC2 и TripleDES. Обычный метод с открытым ключом — это RSA, а алгоритм хеширования — это SHA-1 или MD5.

S / MIME указывает дополнительный тип MIME, например «application / pkcs7-mime», для конвертации данных после шифрования. Весь объект MIME зашифрован и упакован в объект. S / MIME имеет стандартизированные форматы криптографических сообщений (отличные от PGP). Фактически, MIME дополнен некоторыми ключевыми словами для идентификации зашифрованных и / или подписанных частей в сообщении.

S / MIME использует сертификаты X.509 для распространения открытых ключей. Для поддержки сертификации требуется нисходящая иерархическая инфраструктура открытых ключей.

Возможность трудоустройства S / MIME

В связи с требованием сертификата от центра сертификации для реализации, не все пользователи могут использовать преимущества S / MIME, поскольку некоторые могут пожелать зашифровать сообщение с помощью пары открытого / секретного ключей. Например, без участия или административных накладных расходов на сертификаты.

На практике, хотя большинство почтовых приложений реализуют S / MIME, процесс регистрации сертификатов является сложным. Вместо этого поддержка PGP обычно требует добавления плагина, и этот плагин поставляется со всем, что необходимо для управления ключами. Сеть доверия на самом деле не используется. Люди обмениваются своими открытыми ключами через другую среду. После получения они хранят копии открытых ключей тех, с кем обычно обмениваются электронными письмами.

Уровень реализации в сетевой архитектуре для схем PGP и S / MIME показан на следующем рисунке. Обе эти схемы обеспечивают безопасность на уровне приложений для связи по электронной почте.

Возможность трудоустройства S / MIME

В зависимости от среды используется одна из схем — PGP или S / MIME. Безопасная связь по электронной почте в неволевой сети может быть обеспечена путем адаптации к PGP. Для обеспечения безопасности электронной почты через Интернет, где письма часто обмениваются с новыми неизвестными пользователями, S / MIME считается хорошим вариантом.

DNS Безопасность

В первой главе мы упоминали, что злоумышленник может использовать отравление DNS-кэша для атаки на целевого пользователя. Расширения безопасности системы доменных имен (DNSSEC) — это стандарт Интернета, который может предотвратить такие атаки.

Уязвимость стандартного DNS

В стандартной схеме DNS, когда пользователь хочет подключиться к какому-либо доменному имени, его компьютер связывается с DNS-сервером и ищет соответствующий IP-адрес для этого доменного имени. После получения IP-адреса компьютер подключается к этому IP-адресу.

В этой схеме процесс проверки вообще не задействован. Компьютер запрашивает у своего DNS-сервера адрес, связанный с веб-сайтом, DNS-сервер отвечает IP-адресом, и ваш компьютер, несомненно, принимает его как законный ответ и подключается к этому веб-сайту.

Поиск DNS на самом деле происходит в несколько этапов. Например, когда компьютер запрашивает «www.tutorialspoint.com», поиск DNS выполняется в несколько этапов:

  • Сначала компьютер запрашивает локальный DNS-сервер (предоставляется провайдером). Если у провайдера есть это имя в кеше, он отвечает иначе, перенаправляет запрос в «каталог корневой зоны», где он может найти «.com.» И ответы корневой зоны.

  • Основываясь на ответе, компьютер запрашивает каталог «.com», где он может найти «tutorialspoint.com».

  • На основании полученной информации компьютер запрашивает «tutorialspoint.com», где он может найти www. tutorialspoint.com.

Сначала компьютер запрашивает локальный DNS-сервер (предоставляется провайдером). Если у провайдера есть это имя в кеше, он отвечает иначе, перенаправляет запрос в «каталог корневой зоны», где он может найти «.com.» И ответы корневой зоны.

Основываясь на ответе, компьютер запрашивает каталог «.com», где он может найти «tutorialspoint.com».

На основании полученной информации компьютер запрашивает «tutorialspoint.com», где он может найти www. tutorialspoint.com.

Стандартная уязвимость DNS

Определено DNSSEC

Поиск DNS, когда выполняется с использованием DNSSEC, включает в себя подписание ответов отвечающим объектом. DNSSEC основан на криптографии с открытым ключом.

В стандарте DNSSEC каждая зона DNS имеет пару открытый / закрытый ключ. Вся информация, отправляемая DNS-сервером, подписывается закрытым ключом исходной зоны для обеспечения подлинности. DNS-клиенты должны знать открытые ключи зоны, чтобы проверить подписи. Клиенты могут быть предварительно настроены с открытыми ключами всех доменов верхнего уровня или корневым DNS.

С DNSSEC процесс поиска выглядит следующим образом:

  • Когда ваш компьютер отправляет запрос в корневую зону, где он может найти .com, ответ подписывается сервером корневой зоны.

  • Компьютер проверяет ключ подписи корневой зоны и подтверждает, что это подлинная корневая зона с достоверной информацией.

  • В ответе корневая зона предоставляет информацию о ключе подписи сервера зоны .com и его местонахождении, позволяя компьютеру связываться с каталогом .com и обеспечивая его законность.

  • Каталог .com затем предоставляет ключ подписи и информацию для tutorialspoint.com, позволяя ему связаться с google.com и убедиться, что вы подключены к реальному tutorialspoint.com, что подтверждается зонами над ним.

  • Отправляемая информация находится в форме набора записей ресурсов (RRSets). Пример RRSet для домена «tutorialspoint.com» на сервере «.com» верхнего уровня показан в следующей таблице.

Когда ваш компьютер отправляет запрос в корневую зону, где он может найти .com, ответ подписывается сервером корневой зоны.

Компьютер проверяет ключ подписи корневой зоны и подтверждает, что это подлинная корневая зона с достоверной информацией.

В ответе корневая зона предоставляет информацию о ключе подписи сервера зоны .com и его местонахождении, позволяя компьютеру связываться с каталогом .com и обеспечивая его законность.

Каталог .com затем предоставляет ключ подписи и информацию для tutorialspoint.com, позволяя ему связаться с google.com и убедиться, что вы подключены к реальному tutorialspoint.com, что подтверждается зонами над ним.

Отправляемая информация находится в форме набора записей ресурсов (RRSets). Пример RRSet для домена «tutorialspoint.com» на сервере «.com» верхнего уровня показан в следующей таблице.

Доменное имя Время жить Тип Значение
tutorialspoint.com 86400 NS dns.tutorialspoint.com
dns.tutorialspoint.com 86400 36..1.2.3
tutorialspoint.com 86400 KEY 3682793A7B73F731029CE2737D …
tutorialspoint.com 86400 SIG 86947503A8B848F5272E53930C …
  • Запись KEY является открытым ключом «tutorialspoint.com».

  • Запись SIG — это подписанный хэш-сервер верхнего уровня .com записей полей NS, A и KEY для проверки их подлинности. Его значение — Kcom pvt (H (NS, A, KEY)).

Запись KEY является открытым ключом «tutorialspoint.com».

Запись SIG — это подписанный хэш-сервер верхнего уровня .com записей полей NS, A и KEY для проверки их подлинности. Его значение — Kcom pvt (H (NS, A, KEY)).

Таким образом, считается, что, когда DNSSEC полностью развернут, компьютер пользователя может подтвердить, что ответы DNS являются законными и правдивыми, и избежать DNS-атак, запускаемых из-за заражения кэша DNS.

Резюме

Процесс защиты электронной почты обеспечивает сквозную безопасность связи. Он предоставляет услуги безопасности конфиденциальности, аутентификации отправителя, целостности сообщений и отказа от авторства.

Для обеспечения безопасности электронной почты были разработаны две схемы: PGP и S / MIME. Обе эти схемы используют криптографию с секретным ключом и открытым ключом.

Стандартный поиск DNS уязвим для атак, таких как спуфинг DNS / отравление кэша. Защита поиска DNS возможна благодаря использованию DNSSEC, в котором используется криптография с открытым ключом.

В этой главе мы обсудили механизмы, используемые на уровне приложений для обеспечения безопасности сети для сквозного взаимодействия.

Сетевая безопасность — транспортный уровень

Сетевая безопасность влечет за собой защиту данных от атак во время их передачи по сети. Для достижения этой цели было разработано много протоколов безопасности в реальном времени. Существуют популярные стандарты для сетевых протоколов безопасности в реальном времени, такие как S / MIME, SSL / TLS, SSH и IPsec. Как упоминалось ранее, эти протоколы работают на разных уровнях сетевой модели.

В последней главе мы обсудили некоторые популярные протоколы, разработанные для обеспечения безопасности на уровне приложений. В этой главе мы обсудим процесс обеспечения безопасности сети на транспортном уровне и связанных с ним протоколов безопасности.

Для сети на основе протокола TCP / IP физический уровень и канальный уровень данных обычно реализуются в пользовательском терминале и оборудовании сетевой карты. Уровни TCP и IP реализованы в операционной системе. Все, что выше TCP / IP, реализовано как пользовательский процесс.

Необходимость безопасности на транспортном уровне

Давайте обсудим типичную интернет-бизнес-транзакцию.

Боб заходит на сайт Алисы по продаже товаров. В форме на веб-сайте Боб вводит желаемый тип товара и количество, его адрес и данные платежной карты. Боб нажимает «Отправить» и ожидает доставки товара со списанием суммы со своего счета. Все это звучит хорошо, но в отсутствие сетевой безопасности Боб может быть несколько сюрпризов.

  • Если в транзакциях не используется конфиденциальность (шифрование), злоумышленник может получить информацию о своей платежной карте. Затем злоумышленник может совершать покупки за счет Боба.

  • Если мера целостности данных не используется, злоумышленник может изменить заказ Боба с точки зрения типа или количества товаров.

  • Наконец, если аутентификация сервера не используется, сервер может отображать известный логотип Алисы, но сайт может быть вредоносным сайтом, поддерживаемым злоумышленником, маскирующимся под Алису. Получив приказ Боба, он мог забрать деньги Боба и бежать. Или он может совершить кражу личных данных, собирая имя Боба и данные кредитной карты.

Если в транзакциях не используется конфиденциальность (шифрование), злоумышленник может получить информацию о своей платежной карте. Затем злоумышленник может совершать покупки за счет Боба.

Если мера целостности данных не используется, злоумышленник может изменить заказ Боба с точки зрения типа или количества товаров.

Наконец, если аутентификация сервера не используется, сервер может отображать известный логотип Алисы, но сайт может быть вредоносным сайтом, поддерживаемым злоумышленником, маскирующимся под Алису. Получив приказ Боба, он мог забрать деньги Боба и бежать. Или он может совершить кражу личных данных, собирая имя Боба и данные кредитной карты.

Схемы безопасности транспортного уровня могут решить эти проблемы путем улучшения сетевого взаимодействия на основе TCP / IP с помощью конфиденциальности, целостности данных, аутентификации сервера и аутентификации клиента.

Безопасность на этом уровне в основном используется для защиты веб-транзакций на основе HTTP в сети. Однако это может быть использовано любым приложением, работающим через TCP.

Философия TLS Design

Протоколы безопасности транспортного уровня (TLS) работают над уровнем TCP. При разработке этих протоколов используются популярные прикладные программные интерфейсы (API) для TCP, называемые «сокетами» для взаимодействия с уровнем TCP.

Приложения теперь подключены к транспортному уровню безопасности вместо TCP напрямую. Уровень безопасности транспорта предоставляет простой API с сокетами, который похож и аналогичен API-интерфейсу TCP.

Философия TLS Design

На приведенной выше схеме, хотя TLS технически находится между прикладным и транспортным уровнями, с общей точки зрения это транспортный протокол, который действует как уровень TCP, расширенный службами безопасности.

TLS разработан для работы через TCP, надежный протокол уровня 4 (не по протоколу UDP), чтобы значительно упростить проектирование TLS, поскольку ему не нужно беспокоиться о «тайм-ауте» и «повторной передаче потерянных данных». Уровень TCP продолжает делать это как обычно, что удовлетворяет потребности в TLS.

Почему TLS популярен?

Причиной популярности использования безопасности на транспортном уровне является простота. Проектирование и развертывание защиты на этом уровне не требует каких-либо изменений в протоколах TCP / IP, которые реализованы в операционной системе. Только пользовательские процессы и приложения должны быть разработаны / изменены, что является менее сложным.

Secure Socket Layer (SSL)

В этом разделе мы обсудим семейство протоколов, разработанных для TLS. Семейство включает в себя SSL версии 2 и 3 и протокол TLS. SSLv2 теперь заменен SSLv3, поэтому мы сосредоточимся на SSL v3 и TLS.

Краткая история SSL

В 1995 году Netscape разработал SSLv2 и использовал его в Netscape Navigator 1.1. Версия SSL1 никогда не публиковалась и не использовалась. Позже Microsoft усовершенствовала SSLv2 и представила еще один аналогичный протокол, названный Private Communications Technology (PCT).

Netscape существенно улучшил SSLv2 по различным вопросам безопасности и развернул SSLv3 в 1999 году. Впоследствии Целевая группа по инженерным проблемам интернета (IETF) представила аналогичный протокол TLS (Transport Layer Security) в качестве открытого стандарта. Протокол TLS не совместим с SSLv3.

TLS изменил криптографические алгоритмы для расширения ключа и аутентификации. Кроме того, TLS предложила использовать открытую криптографию Диффи-Хеллмана (DH) и стандарт цифровой подписи (DSS) вместо запатентованной криптографии RSA, используемой в SSL. Но в связи с истечением срока действия патента RSA в 2000 году у пользователей не было веских причин для перехода от широко распространенного SSLv3 к TLS.

Существенные особенности SSL

Существенные особенности протокола SSL следующие:

  • SSL обеспечивает безопасность сетевого подключения через —

    • Конфиденциальность — информация передается в зашифрованном виде.

    • Аутентификация. Объекты связи идентифицируют друг друга с помощью цифровых сертификатов. Аутентификация на веб-сервере является обязательной, тогда как аутентификация клиента остается необязательной.

    • Надежность — поддерживает проверки целостности сообщений.

  • SSL доступен для всех приложений TCP.

  • Поддерживается практически всеми веб-браузерами.

  • Обеспечивает легкость в ведении бизнеса с новыми онлайн-объектами.

  • Разработано в первую очередь для веб-коммерции.

SSL обеспечивает безопасность сетевого подключения через —

Конфиденциальность — информация передается в зашифрованном виде.

Аутентификация. Объекты связи идентифицируют друг друга с помощью цифровых сертификатов. Аутентификация на веб-сервере является обязательной, тогда как аутентификация клиента остается необязательной.

Надежность — поддерживает проверки целостности сообщений.

SSL доступен для всех приложений TCP.

Поддерживается практически всеми веб-браузерами.

Обеспечивает легкость в ведении бизнеса с новыми онлайн-объектами.

Разработано в первую очередь для веб-коммерции.

Архитектура SSL

SSL специфичен для TCP и не работает с UDP. SSL обеспечивает интерфейс прикладного программирования (API) для приложений. C и Java SSL библиотеки / классы легко доступны.

Протокол SSL предназначен для взаимодействия между приложением и транспортным уровнем, как показано на следующем рисунке —

Архитектура SSL

Сам SSL не является протоколом одного уровня, как показано на рисунке; на самом деле он состоит из двух подслоев.

  • Нижний подуровень состоит из одного компонента протокола SSL, называемого протоколом записи SSL. Этот компонент предоставляет услуги по обеспечению целостности и конфиденциальности.

  • Верхний подуровень состоит из трех компонентов протокола, связанных с SSL, и прикладного протокола. Компонент приложения обеспечивает услугу передачи информации между клиент-серверными взаимодействиями. Технически, он также может работать поверх уровня SSL. Три связанных с протоколом SSL компонента:

    • SSL протокол рукопожатия
    • Изменить протокол шифрования
    • Протокол оповещения.
  • Эти три протокола управляют всем обменом сообщениями SSL и обсуждаются позже в этом разделе.

Нижний подуровень состоит из одного компонента протокола SSL, называемого протоколом записи SSL. Этот компонент предоставляет услуги по обеспечению целостности и конфиденциальности.

Верхний подуровень состоит из трех компонентов протокола, связанных с SSL, и прикладного протокола. Компонент приложения обеспечивает услугу передачи информации между клиент-серверными взаимодействиями. Технически, он также может работать поверх уровня SSL. Три связанных с протоколом SSL компонента:

Эти три протокола управляют всем обменом сообщениями SSL и обсуждаются позже в этом разделе.

Архитектура протокола SSL

Функции компонентов протокола SSL

Четыре подкомпонента протокола SSL обрабатывают различные задачи для безопасной связи между клиентским компьютером и сервером.

  • Протокол записи

    • Уровень записи форматирует сообщения протокола верхнего уровня.

    • Он фрагментирует данные в управляемые блоки (максимальная длина 16 КБ). Опционально сжимает данные.

    • Шифрует данные.

    • Предоставляет заголовок для каждого сообщения и хэш (код аутентификации сообщения (MAC)) в конце.

    • Передает отформатированные блоки на уровень TCP для передачи.

Протокол записи

Уровень записи форматирует сообщения протокола верхнего уровня.

Он фрагментирует данные в управляемые блоки (максимальная длина 16 КБ). Опционально сжимает данные.

Шифрует данные.

Предоставляет заголовок для каждого сообщения и хэш (код аутентификации сообщения (MAC)) в конце.

Передает отформатированные блоки на уровень TCP для передачи.

Функции протокола SSL

  • SSL протокол рукопожатия

    • Это самая сложная часть SSL. Он вызывается перед передачей данных приложения. Он создает сеансы SSL между клиентом и сервером.

    • Установление сеанса включает проверку подлинности сервера, согласование ключа и алгоритма, установление ключей и проверку подлинности клиента (необязательно).

    • Сеанс идентифицируется уникальным набором параметров криптографической защиты.

    • Несколько безопасных TCP-соединений между клиентом и сервером могут совместно использовать один и тот же сеанс.

    • Протокол рукопожатия действия через четыре этапа. Они обсуждаются в следующем разделе.

  • Протокол ChangeCipherSpec

    • Простейшая часть протокола SSL. Он состоит из одного сообщения, которым обмениваются два взаимодействующих объекта, клиент и сервер.

    • Поскольку каждый объект отправляет сообщение ChangeCipherSpec, он меняет свою сторону соединения в безопасное состояние, как было согласовано.

    • Состояние ожидания параметров шифра копируется в текущее состояние.

    • Обмен этим сообщением указывает на то, что все будущие обмены данными зашифрованы, а целостность защищена.

  • Протокол оповещения SSL

    • Этот протокол используется для сообщения об ошибках — таких как непредвиденное сообщение, неверный MAC-адрес записи, сбой согласования параметров безопасности и т. Д.

    • Он также используется для других целей — таких как уведомление о закрытии соединения TCP, уведомление о получении неверного или неизвестного сертификата и т. Д.

SSL протокол рукопожатия

Это самая сложная часть SSL. Он вызывается перед передачей данных приложения. Он создает сеансы SSL между клиентом и сервером.

Установление сеанса включает проверку подлинности сервера, согласование ключа и алгоритма, установление ключей и проверку подлинности клиента (необязательно).

Сеанс идентифицируется уникальным набором параметров криптографической защиты.

Несколько безопасных TCP-соединений между клиентом и сервером могут совместно использовать один и тот же сеанс.

Протокол рукопожатия действия через четыре этапа. Они обсуждаются в следующем разделе.

Протокол ChangeCipherSpec

Простейшая часть протокола SSL. Он состоит из одного сообщения, которым обмениваются два взаимодействующих объекта, клиент и сервер.

Поскольку каждый объект отправляет сообщение ChangeCipherSpec, он меняет свою сторону соединения в безопасное состояние, как было согласовано.

Состояние ожидания параметров шифра копируется в текущее состояние.

Обмен этим сообщением указывает на то, что все будущие обмены данными зашифрованы, а целостность защищена.

Протокол оповещения SSL

Этот протокол используется для сообщения об ошибках — таких как непредвиденное сообщение, неверный MAC-адрес записи, сбой согласования параметров безопасности и т. Д.

Он также используется для других целей — таких как уведомление о закрытии соединения TCP, уведомление о получении неверного или неизвестного сертификата и т. Д.

Установление SSL-сессии

Как обсуждалось выше, существует четыре этапа установления сеанса SSL. Они в основном обрабатываются протоколом SSL Handshake.

Этап 1 — Установление возможностей безопасности.

  • Эта фаза состоит из обмена двумя сообщениями — Client_hello и Server_hello .

Эта фаза состоит из обмена двумя сообщениями — Client_hello и Server_hello .

Стадия установления сеанса SSL1

  • Client_hello содержит список криптографических алгоритмов, поддерживаемых клиентом, в порядке убывания предпочтений.

  • Server_hello содержит выбранную спецификацию шифра (CipherSpec) и новый session_id .

  • CipherSpec содержит такие поля, как —

    • Алгоритм шифрования (DES, 3DES, RC2 и RC4)

    • Алгоритм MAC (на основе MD5, SHA-1)

    • Алгоритм с открытым ключом (RSA)

    • Оба сообщения имеют «nonce» для предотвращения повторной атаки.

Client_hello содержит список криптографических алгоритмов, поддерживаемых клиентом, в порядке убывания предпочтений.

Server_hello содержит выбранную спецификацию шифра (CipherSpec) и новый session_id .

CipherSpec содержит такие поля, как —

Алгоритм шифрования (DES, 3DES, RC2 и RC4)

Алгоритм MAC (на основе MD5, SHA-1)

Алгоритм с открытым ключом (RSA)

Оба сообщения имеют «nonce» для предотвращения повторной атаки.

Этап 2 — Проверка подлинности сервера и обмен ключами.

Фаза установки сеанса SSL2

  • Сервер отправляет сертификат. Клиентское программное обеспечение поставляется с открытыми ключами различных «доверенных» организаций (CA) для проверки сертификата.

  • Сервер отправляет выбранный набор шифров.

  • Сервер может запросить сертификат клиента. Обычно это не делается.

  • Сервер указывает конец Server_hello .

Сервер отправляет сертификат. Клиентское программное обеспечение поставляется с открытыми ключами различных «доверенных» организаций (CA) для проверки сертификата.

Сервер отправляет выбранный набор шифров.

Сервер может запросить сертификат клиента. Обычно это не делается.

Сервер указывает конец Server_hello .

Этап 3 — аутентификация клиента и обмен ключами.

Фаза 3 установления сеанса SSL

  • Клиент отправляет сертификат, только по запросу сервера.

  • Он также отправляет секретный секретный файл (PMS), зашифрованный открытым ключом сервера.

  • Клиент также отправляет сообщение Certificate_verify, если сертификат отправляется им, чтобы доказать, что у него есть закрытый ключ, связанный с этим сертификатом. По сути, клиент подписывает хэш предыдущих сообщений.

Клиент отправляет сертификат, только по запросу сервера.

Он также отправляет секретный секретный файл (PMS), зашифрованный открытым ключом сервера.

Клиент также отправляет сообщение Certificate_verify, если сертификат отправляется им, чтобы доказать, что у него есть закрытый ключ, связанный с этим сертификатом. По сути, клиент подписывает хэш предыдущих сообщений.

Этап 4 — Готово.

Этап установления сеанса SSL4

  • Клиент и сервер отправляют друг другу сообщения Change_cipher_spec, чтобы заставить состояние ожидающего шифрования быть скопированным в текущее состояние.

  • Отныне все данные зашифрованы и защищены целостности.

  • Сообщение «Завершено» с каждого конца подтверждает, что обмен ключами и процессы аутентификации были успешными.

Клиент и сервер отправляют друг другу сообщения Change_cipher_spec, чтобы заставить состояние ожидающего шифрования быть скопированным в текущее состояние.

Отныне все данные зашифрованы и защищены целостности.

Сообщение «Завершено» с каждого конца подтверждает, что обмен ключами и процессы аутентификации были успешными.

Все четыре фазы, описанные выше, происходят в рамках установления TCP-сессии. Установление сеанса SSL начинается после TCP SYN / SYNACK и заканчивается до TCP Fin.

Возобновление отключенного сеанса

  • Можно возобновить отключенный сеанс (с помощью сообщения оповещения ), если клиент отправляет на сервер hello_request с зашифрованной информацией session_id .

  • Затем сервер определяет, является ли идентификатор_ сеанса действительным. В случае подтверждения он обменивается ChangeCipherSpec и завершенными сообщениями с клиентом и возобновляет безопасную связь.

  • Это позволяет избежать пересчета параметров шифра сеанса и экономит вычисления на сервере и на стороне клиента.

Можно возобновить отключенный сеанс (с помощью сообщения оповещения ), если клиент отправляет на сервер hello_request с зашифрованной информацией session_id .

Затем сервер определяет, является ли идентификатор_ сеанса действительным. В случае подтверждения он обменивается ChangeCipherSpec и завершенными сообщениями с клиентом и возобновляет безопасную связь.

Это позволяет избежать пересчета параметров шифра сеанса и экономит вычисления на сервере и на стороне клиента.

Ключи сеанса SSL

Мы видели, что во время Фазы 3 установления сеанса SSL клиент предварительно отправляет секретный секретный ключ на сервер, зашифрованный с использованием открытого ключа сервера. Главный секрет и различные ключи сеанса генерируются следующим образом:

  • Главный секрет генерируется (с помощью генератора псевдослучайных чисел) с помощью —

    • Предварительный мастер-секрет.

    • В сообщениях client_hello и server_hello произошел обмен двумя одноразовыми номерами (RA и RB).

  • Шесть секретных значений затем выводятся из этого главного секрета как —

    • Секретный ключ, используемый с MAC (для данных, отправляемых сервером)

    • Секретный ключ, используемый с MAC (для данных, отправленных клиентом)

    • Секретный ключ и IV, используемые для шифрования (сервером)

    • Секретный ключ и IV, используемые для шифрования (клиентом)

Главный секрет генерируется (с помощью генератора псевдослучайных чисел) с помощью —

Предварительный мастер-секрет.

В сообщениях client_hello и server_hello произошел обмен двумя одноразовыми номерами (RA и RB).

Шесть секретных значений затем выводятся из этого главного секрета как —

Секретный ключ, используемый с MAC (для данных, отправляемых сервером)

Секретный ключ, используемый с MAC (для данных, отправленных клиентом)

Секретный ключ и IV, используемые для шифрования (сервером)

Секретный ключ и IV, используемые для шифрования (клиентом)

Протокол TLS

Чтобы предоставить открытый интернет-стандарт SSL, IETF выпустила протокол безопасности транспортного уровня (TLS) в январе 1999 года. TLS определен как предлагаемый интернет-стандарт в RFC 5246.

Характерные особенности

  • Протокол TLS имеет те же цели, что и SSL.

  • Это позволяет клиент-серверным приложениям общаться безопасным образом, проверяя подлинность, предотвращая прослушивание и сопротивляясь модификации сообщений.

  • Протокол TLS находится над надежным транспортным уровнем TCP, ориентированным на установление соединения, в стеке сетевых уровней.

  • Архитектура протокола TLS аналогична протоколу SSLv3. Он имеет два подпротокола: протокол записи TLS и протокол рукопожатия TLS.

  • Хотя протоколы SSLv3 и TLS имеют схожую архитектуру, в архитектуру было внесено несколько изменений, особенно в протокол рукопожатия.

Протокол TLS имеет те же цели, что и SSL.

Это позволяет клиент-серверным приложениям общаться безопасным образом, проверяя подлинность, предотвращая прослушивание и сопротивляясь модификации сообщений.

Протокол TLS находится над надежным транспортным уровнем TCP, ориентированным на установление соединения, в стеке сетевых уровней.

Архитектура протокола TLS аналогична протоколу SSLv3. Он имеет два подпротокола: протокол записи TLS и протокол рукопожатия TLS.

Хотя протоколы SSLv3 и TLS имеют схожую архитектуру, в архитектуру было внесено несколько изменений, особенно в протокол рукопожатия.

Сравнение протоколов TLS и SSL

Существует восемь основных различий между протоколами TLS и SSLv3. Это следующие —

  • Версия протокола . Заголовок сегмента протокола TLS содержит номер версии 3.1, чтобы различать номер 3, переносимый заголовком сегмента протокола SSL.

  • Аутентификация сообщения — TLS использует код аутентификации сообщения с хэш-ключом (H-MAC). Преимущество заключается в том, что H-MAC работает с любой хэш-функцией, а не только с MD5 или SHA, как это явно указано в протоколе SSL.

  • Генерация ключа сеанса. Существует два различия между протоколом TLS и SSL для генерации материала ключа.

    • Методика вычисления предварительных мастер и мастер секретов аналогична. Но в протоколе TLS для вычисления главного секрета используются выходные данные стандарта HMAC и псевдослучайной функции (PRF) вместо специального MAC.

    • Алгоритм вычисления ключей сеанса и значений инициализации (IV) в TLS отличается от протокола SSL.

  • Сообщение протокола оповещения —

    • Протокол TLS поддерживает все сообщения, используемые протоколом Alert SSL, за исключением того, что сообщение с предупреждением о сертификате не делается избыточным. Клиент отправляет пустой сертификат, если аутентификация клиента не требуется.

    • Многие дополнительные предупреждающие сообщения включены в протокол TLS для других состояний ошибки, таких как record_overflow, decode_error и т. Д.

  • Поддерживаемые наборы шифров — SSL поддерживает наборы шифров RSA, Diffie-Hellman и Fortezza. Протокол TLS поддерживает все масти, кроме Fortezza.

  • Типы сертификатов клиента — TLS определяет типы сертификатов, запрашиваемые в сообщении certificate_request . SSLv3 поддерживает все это. Кроме того, SSL поддерживает некоторые другие типы сертификатов, такие как Fortezza.

  • CertificateVerify и готовые сообщения —

    • В SSL для сообщения certificate_verify используется сложная процедура сообщения. При использовании TLS проверенная информация содержится в самих сообщениях рукопожатия, что позволяет избежать этой сложной процедуры.

    • Готовое сообщение вычисляется по-разному в TLS и SSLv3.

  • Заполнение данных. В протоколе SSL заполнение, добавляемое к пользовательским данным перед шифрованием, является минимальным объемом, необходимым для того, чтобы общий размер данных был кратен длине блока шифра. В TLS заполнение может быть любым, что приводит к размеру данных, кратному длине блока шифра, максимум 255 байтов.

Версия протокола . Заголовок сегмента протокола TLS содержит номер версии 3.1, чтобы различать номер 3, переносимый заголовком сегмента протокола SSL.

Аутентификация сообщения — TLS использует код аутентификации сообщения с хэш-ключом (H-MAC). Преимущество заключается в том, что H-MAC работает с любой хэш-функцией, а не только с MD5 или SHA, как это явно указано в протоколе SSL.

Генерация ключа сеанса. Существует два различия между протоколом TLS и SSL для генерации материала ключа.

Методика вычисления предварительных мастер и мастер секретов аналогична. Но в протоколе TLS для вычисления главного секрета используются выходные данные стандарта HMAC и псевдослучайной функции (PRF) вместо специального MAC.

Алгоритм вычисления ключей сеанса и значений инициализации (IV) в TLS отличается от протокола SSL.

Сообщение протокола оповещения —

Протокол TLS поддерживает все сообщения, используемые протоколом Alert SSL, за исключением того, что сообщение с предупреждением о сертификате не делается избыточным. Клиент отправляет пустой сертификат, если аутентификация клиента не требуется.

Многие дополнительные предупреждающие сообщения включены в протокол TLS для других состояний ошибки, таких как record_overflow, decode_error и т. Д.

Поддерживаемые наборы шифров — SSL поддерживает наборы шифров RSA, Diffie-Hellman и Fortezza. Протокол TLS поддерживает все масти, кроме Fortezza.

Типы сертификатов клиента — TLS определяет типы сертификатов, запрашиваемые в сообщении certificate_request . SSLv3 поддерживает все это. Кроме того, SSL поддерживает некоторые другие типы сертификатов, такие как Fortezza.

CertificateVerify и готовые сообщения —

В SSL для сообщения certificate_verify используется сложная процедура сообщения. При использовании TLS проверенная информация содержится в самих сообщениях рукопожатия, что позволяет избежать этой сложной процедуры.

Готовое сообщение вычисляется по-разному в TLS и SSLv3.

Заполнение данных. В протоколе SSL заполнение, добавляемое к пользовательским данным перед шифрованием, является минимальным объемом, необходимым для того, чтобы общий размер данных был кратен длине блока шифра. В TLS заполнение может быть любым, что приводит к размеру данных, кратному длине блока шифра, максимум 255 байтов.

Вышеуказанные различия между протоколами TLS и SSLv3 приведены в следующей таблице.

TLS против SSLv3

Безопасный просмотр — HTTPS

В этом разделе мы обсудим использование протокола SSL / TLS для безопасного просмотра веб-страниц.

HTTPS определен

Протокол HTTP (Hyper Text Transfer Protocol) используется для просмотра веб-страниц. Функция HTTPS похожа на HTTP. Разница лишь в том, что HTTPS обеспечивает «безопасный» просмотр веб-страниц. HTTPS означает HTTP через SSL. Этот протокол используется для обеспечения зашифрованного и аутентифицированного соединения между клиентским веб-браузером и сервером веб-сайта.

HTTPS определен

Безопасный просмотр через HTTPS обеспечивает шифрование следующего содержимого:

  • URL запрошенной веб-страницы.
  • Содержимое веб-страницы, предоставляемое сервером клиенту пользователя.
  • Содержание форм, заполненных пользователем.
  • Печенье установлено в обоих направлениях.

Работа HTTPS

Протокол приложения HTTPS обычно использует один из двух популярных протоколов безопасности транспортного уровня — SSL или TLS. Процесс безопасного просмотра описан в следующих пунктах.

  • Вы запрашиваете HTTPS-соединение с веб-страницей, вводя https: //, а затем URL-адрес в адресной строке браузера.

  • Веб-браузер инициирует соединение с веб-сервером. Использование https вызывает использование протокола SSL.

  • Приложение, в данном случае браузер, использует системный порт 443 вместо порта 80 (используется в случае http).

  • Протокол SSL проходит через протокол квитирования для установления безопасного сеанса, как обсуждалось в предыдущих разделах.

  • Первоначально веб-сайт отправляет свой цифровой сертификат SSL в ваш браузер. При проверке сертификата SSL-рукопожатие переходит к обмену общими секретами для сеанса.

  • Когда сервер использует доверенный цифровой сертификат SSL, пользователи могут видеть значок замка в адресной строке браузера. Когда расширенный сертификат проверки установлен на веб-сайте, адресная строка становится зеленой.

Вы запрашиваете HTTPS-соединение с веб-страницей, вводя https: //, а затем URL-адрес в адресной строке браузера.

Веб-браузер инициирует соединение с веб-сервером. Использование https вызывает использование протокола SSL.

Приложение, в данном случае браузер, использует системный порт 443 вместо порта 80 (используется в случае http).

Протокол SSL проходит через протокол квитирования для установления безопасного сеанса, как обсуждалось в предыдущих разделах.

Первоначально веб-сайт отправляет свой цифровой сертификат SSL в ваш браузер. При проверке сертификата SSL-рукопожатие переходит к обмену общими секретами для сеанса.

Когда сервер использует доверенный цифровой сертификат SSL, пользователи могут видеть значок замка в адресной строке браузера. Когда расширенный сертификат проверки установлен на веб-сайте, адресная строка становится зеленой.

HTTPS работает

  • После установления этот сеанс состоит из множества защищенных соединений между веб-сервером и браузером.

После установления этот сеанс состоит из множества защищенных соединений между веб-сервером и браузером.

Использование HTTPS

  • Использование HTTPS обеспечивает конфиденциальность, аутентификацию сервера и целостность сообщений для пользователя. Это обеспечивает безопасное ведение электронной коммерции в Интернете.

  • Предотвращает подслушивание данных и запрещает кражу личных данных, которые являются обычными атаками на HTTP.

Использование HTTPS обеспечивает конфиденциальность, аутентификацию сервера и целостность сообщений для пользователя. Это обеспечивает безопасное ведение электронной коммерции в Интернете.

Предотвращает подслушивание данных и запрещает кражу личных данных, которые являются обычными атаками на HTTP.

Современные веб-браузеры и веб-серверы оснащены поддержкой HTTPS. Однако использование HTTPS через HTTP требует большей вычислительной мощности на стороне клиента и сервера для выполнения шифрования и установления SSL-квитирования.

Протокол защищенной оболочки (SSH)

Существенные особенности SSH следующие:

  • SSH — это сетевой протокол, который работает поверх уровня TCP / IP. Он предназначен для замены TELNET, который предоставил небезопасные средства удаленного входа в систему.

  • SSH обеспечивает безопасное соединение клиент / сервер и может использоваться для таких задач, как передача файлов и электронная почта.

  • SSH2 — это распространенный протокол, который обеспечивает улучшенную безопасность сетевого взаимодействия по сравнению с более ранней версией SSH1.

SSH — это сетевой протокол, который работает поверх уровня TCP / IP. Он предназначен для замены TELNET, который предоставил небезопасные средства удаленного входа в систему.

SSH обеспечивает безопасное соединение клиент / сервер и может использоваться для таких задач, как передача файлов и электронная почта.

SSH2 — это распространенный протокол, который обеспечивает улучшенную безопасность сетевого взаимодействия по сравнению с более ранней версией SSH1.

Определен SSH

SSH организован как три подпротокола.

Определен SSH

  • Протокол транспортного уровня — эта часть протокола SSH обеспечивает конфиденциальность данных, аутентификацию сервера (хоста) и целостность данных. При желании это может также обеспечить сжатие данных.

    • Аутентификация сервера — ключи хоста асимметричны, как открытые / закрытые ключи. Сервер использует открытый ключ для подтверждения своей личности клиенту. Клиент проверяет, что подключенный сервер является «известным» хостом из базы данных, которую он поддерживает. Как только сервер аутентифицирован, генерируются сеансовые ключи.

    • Установление ключа сеанса. После аутентификации сервер и клиент согласовывают использование шифра. Ключи сеанса генерируются как клиентом, так и сервером. Ключи сеанса генерируются до аутентификации пользователя, поэтому имена пользователей и пароли могут быть отправлены в зашифрованном виде. Эти ключи обычно заменяются через регулярные промежутки времени (скажем, каждый час) во время сеанса и уничтожаются сразу после использования.

    • Целостность данных — SSH использует алгоритмы кода аутентификации сообщений (MAC) для проверки целостности данных. Это улучшение по сравнению с 32-битным CRC, используемым SSH1.

  • Протокол аутентификации пользователя — эта часть SSH аутентифицирует пользователя на сервере. Сервер проверяет, что доступ предоставляется только предполагаемым пользователям. В настоящее время используются многие методы аутентификации, такие как введенные пароли, Kerberos, аутентификация с открытым ключом и т. Д.

  • Протокол соединения — обеспечивает несколько логических каналов через одно базовое соединение SSH.

Протокол транспортного уровня — эта часть протокола SSH обеспечивает конфиденциальность данных, аутентификацию сервера (хоста) и целостность данных. При желании это может также обеспечить сжатие данных.

Аутентификация сервера — ключи хоста асимметричны, как открытые / закрытые ключи. Сервер использует открытый ключ для подтверждения своей личности клиенту. Клиент проверяет, что подключенный сервер является «известным» хостом из базы данных, которую он поддерживает. Как только сервер аутентифицирован, генерируются сеансовые ключи.

Установление ключа сеанса. После аутентификации сервер и клиент согласовывают использование шифра. Ключи сеанса генерируются как клиентом, так и сервером. Ключи сеанса генерируются до аутентификации пользователя, поэтому имена пользователей и пароли могут быть отправлены в зашифрованном виде. Эти ключи обычно заменяются через регулярные промежутки времени (скажем, каждый час) во время сеанса и уничтожаются сразу после использования.

Целостность данных — SSH использует алгоритмы кода аутентификации сообщений (MAC) для проверки целостности данных. Это улучшение по сравнению с 32-битным CRC, используемым SSH1.

Протокол аутентификации пользователя — эта часть SSH аутентифицирует пользователя на сервере. Сервер проверяет, что доступ предоставляется только предполагаемым пользователям. В настоящее время используются многие методы аутентификации, такие как введенные пароли, Kerberos, аутентификация с открытым ключом и т. Д.

Протокол соединения — обеспечивает несколько логических каналов через одно базовое соединение SSH.

Услуги SSH

SSH предоставляет три основных сервиса, которые позволяют предоставлять множество безопасных решений. Эти услуги кратко описаны следующим образом:

  • Secure Command-Shell (удаленный вход в систему) — позволяет пользователю редактировать файлы, просматривать содержимое каталогов и получать доступ к приложениям на подключенном устройстве. Системные администраторы могут удаленно запускать / просматривать / останавливать службы и процессы, создавать учетные записи пользователей, изменять разрешения для файлов / каталогов и так далее. Все задачи, выполнимые из командной строки компьютера, теперь можно безопасно выполнять с удаленного компьютера с помощью безопасного удаленного входа в систему.

  • Безопасная передача файлов — протокол передачи файлов SSH (SFTP) разработан как расширение для SSH-2 для безопасной передачи файлов. По сути, это отдельный протокол, наложенный на протокол Secure Shell для обработки передачи файлов. SFTP шифрует как имя пользователя / пароль, так и данные файла, которые передаются. Он использует тот же порт, что и сервер Secure Shell, то есть системный порт № 22.

  • Переадресация портов (туннелирование) — позволяет защищать данные из незащищенных приложений на основе TCP / IP. После настройки переадресации портов Secure Shell перенаправляет трафик из программы (обычно клиента) и отправляет его через зашифрованный туннель программе на другой стороне (обычно на сервере). Несколько приложений могут передавать данные по одному мультиплексированному безопасному каналу, устраняя необходимость открывать много портов на брандмауэре или маршрутизаторе.

Secure Command-Shell (удаленный вход в систему) — позволяет пользователю редактировать файлы, просматривать содержимое каталогов и получать доступ к приложениям на подключенном устройстве. Системные администраторы могут удаленно запускать / просматривать / останавливать службы и процессы, создавать учетные записи пользователей, изменять разрешения для файлов / каталогов и так далее. Все задачи, выполнимые из командной строки компьютера, теперь можно безопасно выполнять с удаленного компьютера с помощью безопасного удаленного входа в систему.

Безопасная передача файлов — протокол передачи файлов SSH (SFTP) разработан как расширение для SSH-2 для безопасной передачи файлов. По сути, это отдельный протокол, наложенный на протокол Secure Shell для обработки передачи файлов. SFTP шифрует как имя пользователя / пароль, так и данные файла, которые передаются. Он использует тот же порт, что и сервер Secure Shell, то есть системный порт № 22.

Переадресация портов (туннелирование) — позволяет защищать данные из незащищенных приложений на основе TCP / IP. После настройки переадресации портов Secure Shell перенаправляет трафик из программы (обычно клиента) и отправляет его через зашифрованный туннель программе на другой стороне (обычно на сервере). Несколько приложений могут передавать данные по одному мультиплексированному безопасному каналу, устраняя необходимость открывать много портов на брандмауэре или маршрутизаторе.

Услуги SSH

Преимущества и ограничения

Преимущества и ограничения использования безопасности связи на транспортном уровне следующие:

  • Выгоды

    • Безопасность транспортного уровня прозрачна для приложений.

    • Сервер аутентифицирован.

    • Заголовки прикладного уровня скрыты.

    • Он более детализирован, чем механизмы безопасности на уровне 3 (IPsec), поскольку он работает на уровне транспортного соединения.

  • Ограничения

    • Применимо только к приложениям на основе TCP (не UDP).

    • Заголовки TCP / IP в открытом виде.

    • Подходит для прямой связи между клиентом и сервером. Не обслуживает защищенные приложения, использующие цепочку серверов (например, электронную почту)

    • SSL не обеспечивает отказ от авторства, поскольку аутентификация клиента не является обязательной.

    • При необходимости, аутентификация клиента должна быть реализована выше SSL.

Выгоды

Безопасность транспортного уровня прозрачна для приложений.

Сервер аутентифицирован.

Заголовки прикладного уровня скрыты.

Он более детализирован, чем механизмы безопасности на уровне 3 (IPsec), поскольку он работает на уровне транспортного соединения.

Ограничения

Применимо только к приложениям на основе TCP (не UDP).

Заголовки TCP / IP в открытом виде.

Подходит для прямой связи между клиентом и сервером. Не обслуживает защищенные приложения, использующие цепочку серверов (например, электронную почту)

SSL не обеспечивает отказ от авторства, поскольку аутентификация клиента не является обязательной.

При необходимости, аутентификация клиента должна быть реализована выше SSL.

Резюме

За последнее десятилетие в Интернете появилось большое количество веб-приложений. Многие порталы электронного управления и электронной коммерции появились в сети. Эти приложения требуют, чтобы сеанс между сервером и клиентом был безопасным, обеспечивая конфиденциальность, аутентификацию и целостность сеансов.

Одним из способов смягчения потенциальной атаки во время сеанса пользователя является использование безопасного протокола связи. Два из таких протоколов связи, Secure Sockets Layer (SSL) и Transport Layer Security (TLS), обсуждаются в этой главе. Оба эти протокола функционируют на транспортном уровне.

Другой протокол транспортного уровня, Secure Shell (SSH), разработанный для замены TELNET, обеспечивает безопасные средства удаленного входа в систему. Он способен предоставлять различные сервисы, такие как Secure Command Shell и SFTP.

Использование безопасности транспортного уровня имеет много преимуществ. Однако протокол безопасности, разработанный на этих уровнях, может использоваться только с TCP. Они не обеспечивают безопасность связи, реализованной с использованием UDP.

Сетевая безопасность — сетевой уровень

Элементы управления сетевым уровнем часто используются для защиты связи, особенно в общих сетях, таких как Интернет, поскольку они могут обеспечить защиту для многих приложений одновременно, не изменяя их.

В предыдущих главах мы обсуждали, что для обеспечения безопасности сети были разработаны многие протоколы безопасности в режиме реального времени, обеспечивающие основные принципы безопасности, такие как конфиденциальность, аутентификация источника, целостность сообщения и отказ от авторства.

Большинство из этих протоколов оставались сфокусированными на более высоких уровнях стека протоколов OSI, чтобы компенсировать внутреннее отсутствие безопасности в стандартном интернет-протоколе. Несмотря на свою ценность, эти методы не могут быть легко обобщены для использования с любым приложением. Например, SSL разработан специально для защиты приложений, таких как HTTP или FTP. Но есть несколько других приложений, которые также нуждаются в безопасной связи.

Эта потребность привела к разработке решения безопасности на уровне IP, чтобы все протоколы более высокого уровня могли использовать его в своих интересах. В 1992 году Инженерная рабочая группа по Интернету (IETF) начала определять стандарт «IPsec».

В этой главе мы обсудим, как достигается безопасность на сетевом уровне с использованием этого очень популярного набора протоколов IPsec.

Безопасность на сетевом уровне

Любая схема, разработанная для обеспечения безопасности сети, должна быть реализована на некотором уровне стека протоколов, как показано на диаграмме ниже —

Слой Протоколы связи Протоколы безопасности
Уровень приложений HTTP FTP SMTP PGP. S / MIME, HTTPS
Транспортный уровень TCP / UDP SSL, TLS, SSH
Сетевой уровень IP IPsec

Популярной платформой, разработанной для обеспечения безопасности на сетевом уровне, является Internet Protocol Security (IPsec).

Особенности IPsec

  • IPsec не предназначен для работы только с TCP в качестве транспортного протокола. Он работает с UDP, а также с любым другим протоколом выше IP, таким как ICMP, OSPF и т. Д.

  • IPsec защищает весь пакет, представленный на уровне IP, включая заголовки более высокого уровня.

  • Поскольку скрытые заголовки верхнего уровня, которые содержат номер порта, анализ трафика является более сложным.

  • IPsec работает от одного сетевого объекта к другому сетевому объекту, а не от процесса приложения к процессу приложения. Следовательно, безопасность может быть принята, не требуя изменений для отдельных пользовательских компьютеров / приложений.

  • Широко используемый для обеспечения безопасной связи между сетевыми объектами, IPsec также может обеспечивать безопасность хост-хост.

  • Наиболее распространенное использование IPsec — предоставление виртуальной частной сети (VPN) либо между двумя местоположениями (шлюз-шлюз), либо между удаленным пользователем и сетью предприятия (хост-шлюз).

IPsec не предназначен для работы только с TCP в качестве транспортного протокола. Он работает с UDP, а также с любым другим протоколом выше IP, таким как ICMP, OSPF и т. Д.

IPsec защищает весь пакет, представленный на уровне IP, включая заголовки более высокого уровня.

Поскольку скрытые заголовки верхнего уровня, которые содержат номер порта, анализ трафика является более сложным.

IPsec работает от одного сетевого объекта к другому сетевому объекту, а не от процесса приложения к процессу приложения. Следовательно, безопасность может быть принята, не требуя изменений для отдельных пользовательских компьютеров / приложений.

Широко используемый для обеспечения безопасной связи между сетевыми объектами, IPsec также может обеспечивать безопасность хост-хост.

Наиболее распространенное использование IPsec — предоставление виртуальной частной сети (VPN) либо между двумя местоположениями (шлюз-шлюз), либо между удаленным пользователем и сетью предприятия (хост-шлюз).

Функции безопасности

Важными функциями безопасности, предоставляемыми IPsec, являются:

  • конфиденциальность

    • Позволяет узлам связи шифровать сообщения.

    • Предотвращает подслушивание третьими лицами.

  • Аутентификация источника и целостность данных.

    • Обеспечивает гарантию того, что принятый пакет был фактически передан стороной, идентифицированной как источник в заголовке пакета.

    • Подтверждает, что пакет не был изменен или иным образом.

  • Ключевой менеджмент.

    • Позволяет безопасный обмен ключами.

    • Защита от определенных типов атак безопасности, таких как атаки воспроизведения.

конфиденциальность

Позволяет узлам связи шифровать сообщения.

Предотвращает подслушивание третьими лицами.

Аутентификация источника и целостность данных.

Обеспечивает гарантию того, что принятый пакет был фактически передан стороной, идентифицированной как источник в заголовке пакета.

Подтверждает, что пакет не был изменен или иным образом.

Ключевой менеджмент.

Позволяет безопасный обмен ключами.

Защита от определенных типов атак безопасности, таких как атаки воспроизведения.

Виртуальная частная сеть

В идеале любое учреждение хотело бы иметь собственную частную сеть связи для обеспечения безопасности. Однако создание и поддержка такой частной сети на территориально распределенной территории может быть очень дорогостоящим. Это потребует управления сложной инфраструктурой каналов связи, маршрутизаторов, DNS и т. Д.

IPsec предоставляет простой механизм для реализации Виртуальной частной сети (VPN) для таких учреждений. Технология VPN позволяет отправлять межучрежденческий трафик учреждения через общедоступный Интернет, шифруя трафик перед входом в общедоступный интернет и логически отделяя его от другого трафика. Упрощенная работа VPN показана на следующей диаграмме —

Виртуальная частная сеть

Обзор IPsec

IPsec — это структура / набор протоколов для обеспечения безопасности на уровне IP.

происхождения

В начале 1990-х Интернет использовался немногими учреждениями, в основном для академических целей. Но в последующие десятилетия рост Интернета стал экспоненциальным из-за расширения сети и нескольких организаций, использующих его для связи и других целей.

В связи с массовым ростом Интернета в сочетании с внутренними слабостями безопасности протокола TCP / IP возникла потребность в технологии, которая может обеспечить безопасность сети в Интернете. В 1994 году Советом по архитектуре Интернета (IAB) был выпущен доклад под названием «Безопасность в архитектуре Интернета». В нем были определены ключевые области для механизмов безопасности.

IAB включал аутентификацию и шифрование в качестве основных функций безопасности в IPv6, IP следующего поколения. К счастью, эти возможности безопасности были определены так, что они могут быть реализованы как с текущим IPv4, так и с футуристическим IPv6.

Структура безопасности, IPsec была определена в нескольких «Запросы на комментарии» (RFC). Некоторые RFC определяют некоторые части протокола, в то время как другие рассматривают решение в целом.

Операции внутри IPsec

Можно считать, что пакет IPsec имеет две отдельные операции, выполняемые в унисон, обеспечивая полный набор служб безопасности. Этими двумя операциями являются IPsec Communication и Internet Key Exchange.

  • IPsec связь

    • Обычно это связано со стандартной функциональностью IPsec. Он включает в себя инкапсуляцию, шифрование и хеширование IP-дейтаграмм и обработку всех процессов пакетов.

    • Он отвечает за управление связью в соответствии с доступными Ассоциациями безопасности (SA), установленными между связывающимися сторонами.

    • Он использует протоколы безопасности, такие как заголовок аутентификации (AH) и инкапсулированный SP (ESP).

    • Связь IPsec не участвует в создании ключей или управлении ими.

    • Сама операция связи IPsec обычно называется IPsec.

  • Обмен ключами в Интернете (IKE)

    • IKE — это протокол автоматического управления ключами, используемый для IPsec.

    • Технически, управление ключами не является существенным для связи IPsec, и ключи могут управляться вручную. Однако ручное управление ключами нежелательно для больших сетей.

    • IKE отвечает за создание ключей для IPsec и обеспечение аутентификации во время процесса установки ключей. Хотя IPsec можно использовать для любых других протоколов управления ключами, IKE используется по умолчанию.

    • IKE определяет два протокола (Oakley и SKEME), которые будут использоваться с уже определенной структурой управления ключами Internet Management Association Key Management Protocol (ISAKMP).

    • ISAKMP не является специфичным для IPsec, но обеспечивает основу для создания SA для любого протокола.

IPsec связь

Обычно это связано со стандартной функциональностью IPsec. Он включает в себя инкапсуляцию, шифрование и хеширование IP-дейтаграмм и обработку всех процессов пакетов.

Он отвечает за управление связью в соответствии с доступными Ассоциациями безопасности (SA), установленными между связывающимися сторонами.

Он использует протоколы безопасности, такие как заголовок аутентификации (AH) и инкапсулированный SP (ESP).

Связь IPsec не участвует в создании ключей или управлении ими.

Сама операция связи IPsec обычно называется IPsec.

Обмен ключами в Интернете (IKE)

IKE — это протокол автоматического управления ключами, используемый для IPsec.

Технически, управление ключами не является существенным для связи IPsec, и ключи могут управляться вручную. Однако ручное управление ключами нежелательно для больших сетей.

IKE отвечает за создание ключей для IPsec и обеспечение аутентификации во время процесса установки ключей. Хотя IPsec можно использовать для любых других протоколов управления ключами, IKE используется по умолчанию.

IKE определяет два протокола (Oakley и SKEME), которые будут использоваться с уже определенной структурой управления ключами Internet Management Association Key Management Protocol (ISAKMP).

ISAKMP не является специфичным для IPsec, но обеспечивает основу для создания SA для любого протокола.

В этой главе в основном обсуждается связь IPsec и связанный с ней протокол, используемый для достижения безопасности.

Режимы связи IPsec

IPsec Communication имеет два режима работы; транспортные и туннельные виды транспорта. Эти режимы могут использоваться в комбинации или индивидуально, в зависимости от желаемого типа связи.

Транспортный режим

  • IPsec не инкапсулирует пакет, полученный от верхнего уровня.

  • Исходный заголовок IP сохраняется, и данные пересылаются на основе исходных атрибутов, установленных протоколом верхнего уровня.

  • Следующая диаграмма показывает поток данных в стеке протоколов.

IPsec не инкапсулирует пакет, полученный от верхнего уровня.

Исходный заголовок IP сохраняется, и данные пересылаются на основе исходных атрибутов, установленных протоколом верхнего уровня.

Следующая диаграмма показывает поток данных в стеке протоколов.

Транспортный режим

  • Ограничением транспортного режима является то, что услуги шлюза не могут быть предоставлены. Он зарезервирован для связи «точка-точка», как показано на следующем рисунке.

Ограничением транспортного режима является то, что услуги шлюза не могут быть предоставлены. Он зарезервирован для связи «точка-точка», как показано на следующем рисунке.

Двухточечная связь

Туннельный режим

  • Этот режим IPsec предоставляет услуги инкапсуляции вместе с другими службами безопасности.

  • При работе в туннельном режиме весь пакет из верхнего уровня инкапсулируется перед применением протокола безопасности. Добавлен новый IP-заголовок.

  • Следующая диаграмма показывает поток данных в стеке протоколов.

Этот режим IPsec предоставляет услуги инкапсуляции вместе с другими службами безопасности.

При работе в туннельном режиме весь пакет из верхнего уровня инкапсулируется перед применением протокола безопасности. Добавлен новый IP-заголовок.

Следующая диаграмма показывает поток данных в стеке протоколов.

Туннельный режим

  • Туннельный режим обычно связан с действиями шлюза. Инкапсуляция обеспечивает возможность отправки нескольких сеансов через один шлюз.

  • Типичная связь в туннельном режиме показана на следующей диаграмме.

Туннельный режим обычно связан с действиями шлюза. Инкапсуляция обеспечивает возможность отправки нескольких сеансов через один шлюз.

Типичная связь в туннельном режиме показана на следующей диаграмме.

Типичная связь в туннельном режиме

  • Что касается конечных точек, они имеют прямое соединение транспортного уровня. Датаграмма из одной системы, отправляемая на шлюз, инкапсулируется, а затем направляется на удаленный шлюз. Удаленный связанный шлюз деинкапсулирует данные и перенаправляет их в конечную точку назначения во внутренней сети.

  • Используя IPsec, можно установить режим туннелирования между шлюзом и отдельной оконечной системой.

Что касается конечных точек, они имеют прямое соединение транспортного уровня. Датаграмма из одной системы, отправляемая на шлюз, инкапсулируется, а затем направляется на удаленный шлюз. Удаленный связанный шлюз деинкапсулирует данные и перенаправляет их в конечную точку назначения во внутренней сети.

Используя IPsec, можно установить режим туннелирования между шлюзом и отдельной оконечной системой.

Режим туннелирования с использованием IPsec

Протоколы IPsec

IPsec использует протоколы безопасности для предоставления желаемых услуг безопасности. Эти протоколы являются основой операций IPsec, а все остальное предназначено для поддержки этих протоколов в IPsec.

Ассоциации безопасности между связывающимися объектами устанавливаются и поддерживаются используемым протоколом безопасности.

IPsec определяет два протокола безопасности — заголовок аутентификации (AH) и инкапсулированная полезная нагрузка (ESP).

Заголовок аутентификации

Протокол AH обеспечивает услугу целостности данных и аутентификации источника. Опционально обслуживает устойчивость к воспроизведению сообщений. Тем не менее, это не обеспечивает никакой формы конфиденциальности.

AH — это протокол, который обеспечивает аутентификацию всего или части содержимого дейтаграммы путем добавления заголовка. Заголовок рассчитывается на основе значений в дейтаграмме. Какие части дейтаграммы используются для расчета и где разместить заголовок, зависит от режима взаимодействия (туннель или транспорт).

Работа протокола AH удивительно проста. Его можно считать похожим на алгоритмы, используемые для вычисления контрольных сумм или выполнения проверок CRC для обнаружения ошибок.

Концепция AH та же, за исключением того, что вместо простого алгоритма AH использует специальный алгоритм хеширования и секретный ключ, известный только взаимодействующим сторонам. Установлена ​​ассоциация безопасности между двумя устройствами, которая определяет эти особенности.

Процесс АГ проходит следующие фазы.

  • Когда IP-пакет получен из верхнего стека протоколов, IPsec определяет ассоциацию безопасности (SA) из доступной информации в пакете; например, IP-адрес (источник и пункт назначения).

  • Из SA, как только идентифицируется, что протокол безопасности является AH, вычисляются параметры заголовка AH. Заголовок AH состоит из следующих параметров:

Когда IP-пакет получен из верхнего стека протоколов, IPsec определяет ассоциацию безопасности (SA) из доступной информации в пакете; например, IP-адрес (источник и пункт назначения).

Из SA, как только идентифицируется, что протокол безопасности является AH, вычисляются параметры заголовка AH. Заголовок AH состоит из следующих параметров:

Заголовок аутентификации

  • Поле заголовка указывает протокол пакета, следующего за заголовком AH. Индекс параметра последовательности (SPI) получается из SA, существующего между связывающимися сторонами.

  • Порядковый номер рассчитывается и вставляется. Эти числа предоставляют AH дополнительную возможность противостоять атаке воспроизведения.

  • Данные аутентификации рассчитываются по-разному в зависимости от режима связи.

  • В транспортном режиме вычисление аутентификационных данных и сборка окончательного IP-пакета для передачи изображены на следующей диаграмме. В исходном заголовке IP изменение вносится только в номер протокола от 51 до указанного применения AH.

Поле заголовка указывает протокол пакета, следующего за заголовком AH. Индекс параметра последовательности (SPI) получается из SA, существующего между связывающимися сторонами.

Порядковый номер рассчитывается и вставляется. Эти числа предоставляют AH дополнительную возможность противостоять атаке воспроизведения.

Данные аутентификации рассчитываются по-разному в зависимости от режима связи.

В транспортном режиме вычисление аутентификационных данных и сборка окончательного IP-пакета для передачи изображены на следующей диаграмме. В исходном заголовке IP изменение вносится только в номер протокола от 51 до указанного применения AH.

Ip Packet Transmission1

  • В туннельном режиме описанный выше процесс происходит, как показано на следующей диаграмме.

В туннельном режиме описанный выше процесс происходит, как показано на следующей диаграмме.

Ip Packet Transmission2

Протокол безопасности инкапсуляции (ESP)

ESP предоставляет услуги безопасности, такие как конфиденциальность, целостность, аутентификация источника и дополнительное сопротивление воспроизведению. Набор предоставляемых услуг зависит от параметров, выбранных во время создания Ассоциации безопасности (SA).

В ESP алгоритмы, используемые для шифрования и генерации аутентификатора, определяются атрибутами, используемыми для создания SA.

Процесс ESP заключается в следующем. Первые два шага аналогичны процессу АГ, как указано выше.

  • Как только определено, что ESP вовлечен, поля пакета ESP вычисляются. Расположение полей ESP изображено на следующей диаграмме.

Как только определено, что ESP вовлечен, поля пакета ESP вычисляются. Расположение полей ESP изображено на следующей диаграмме.

Расположение ESP

  • Процесс шифрования и аутентификации в транспортном режиме изображен на следующей диаграмме.

Процесс шифрования и аутентификации в транспортном режиме изображен на следующей диаграмме.

Аутентификация шифрования в транспортном режиме

  • В случае туннельного режима процесс шифрования и аутентификации описан на следующей диаграмме.

В случае туннельного режима процесс шифрования и аутентификации описан на следующей диаграмме.

Аутентификация в режиме туннельного шифрования

Хотя аутентификация и конфиденциальность являются основными услугами, предоставляемыми ESP, оба являются необязательными. Технически, мы можем использовать NULL-шифрование без аутентификации. Однако на практике один из двух должен быть реализован для эффективного использования ESP.

Основная концепция заключается в использовании ESP, когда требуется аутентификация и шифрование, и использовании AH, когда требуется расширенная аутентификация без шифрования.

Ассоциации безопасности в IPsec

Ассоциация безопасности (SA) является основой связи IPsec. Особенности SA —

  • Перед отправкой данных между отправляющим объектом и принимающим объектом устанавливается виртуальное соединение, называемое «Ассоциация безопасности (SA)».

  • IPsec предоставляет множество возможностей для выполнения сетевого шифрования и аутентификации. Каждое соединение IPsec может обеспечивать шифрование, целостность, аутентичность или все три службы. Когда служба безопасности определена, два равноправных объекта IPsec должны точно определить, какие алгоритмы использовать (например, DES или 3DES для шифрования; MD5 или SHA-1 для целостности). После выбора алгоритмов оба устройства должны совместно использовать сеансовые ключи.

  • SA — это набор вышеупомянутых параметров связи, который обеспечивает взаимосвязь между двумя или более системами для построения сеанса IPsec.

  • SA имеет простую природу и, следовательно, для двунаправленной связи требуются два SA.

  • SA идентифицируются по номеру индекса параметра безопасности (SPI), который существует в заголовке протокола безопасности.

  • Как отправляющий, так и принимающий объекты поддерживают информацию о состоянии SA. Это похоже на конечные точки TCP, которые также поддерживают информацию о состоянии. IPsec ориентирован на соединение, как TCP.

Перед отправкой данных между отправляющим объектом и принимающим объектом устанавливается виртуальное соединение, называемое «Ассоциация безопасности (SA)».

IPsec предоставляет множество возможностей для выполнения сетевого шифрования и аутентификации. Каждое соединение IPsec может обеспечивать шифрование, целостность, аутентичность или все три службы. Когда служба безопасности определена, два равноправных объекта IPsec должны точно определить, какие алгоритмы использовать (например, DES или 3DES для шифрования; MD5 или SHA-1 для целостности). После выбора алгоритмов оба устройства должны совместно использовать сеансовые ключи.

SA — это набор вышеупомянутых параметров связи, который обеспечивает взаимосвязь между двумя или более системами для построения сеанса IPsec.

SA имеет простую природу и, следовательно, для двунаправленной связи требуются два SA.

SA идентифицируются по номеру индекса параметра безопасности (SPI), который существует в заголовке протокола безопасности.

Как отправляющий, так и принимающий объекты поддерживают информацию о состоянии SA. Это похоже на конечные точки TCP, которые также поддерживают информацию о состоянии. IPsec ориентирован на соединение, как TCP.

Параметры SA

Любой SA однозначно идентифицируется следующими тремя параметрами:

  • Индекс параметров безопасности (SPI).

    • Это 32-битное значение, назначенное SA. Он используется для различения различных SA, заканчивающихся в одном и том же пункте назначения и использующих один и тот же протокол IPsec.

    • Каждый пакет IPsec содержит заголовок, содержащий поле SPI. SPI предоставляется для сопоставления входящего пакета с SA.

    • SPI — это случайное число, генерируемое отправителем для идентификации SA для получателя.

  • IP-адрес назначения — это может быть IP-адрес конечного маршрутизатора.

  • Идентификатор протокола безопасности — указывает, является ли ассоциация AH или ESP SA.

Индекс параметров безопасности (SPI).

Это 32-битное значение, назначенное SA. Он используется для различения различных SA, заканчивающихся в одном и том же пункте назначения и использующих один и тот же протокол IPsec.

Каждый пакет IPsec содержит заголовок, содержащий поле SPI. SPI предоставляется для сопоставления входящего пакета с SA.

SPI — это случайное число, генерируемое отправителем для идентификации SA для получателя.

IP-адрес назначения — это может быть IP-адрес конечного маршрутизатора.

Идентификатор протокола безопасности — указывает, является ли ассоциация AH или ESP SA.

Пример SA между двумя маршрутизаторами, участвующими в обмене IPsec, показан на следующей диаграмме.

Параметры SA

Безопасность административных баз данных

В IPsec есть две базы данных, которые контролируют обработку дейтаграммы IPsec. Одна — это база данных ассоциации безопасности (SAD), а другая — база данных политики безопасности (SPD). Каждая связывающая конечная точка, использующая IPsec, должна иметь логически раздельные SAD и SPD.

База данных Ассоциации безопасности

В связи IPsec конечная точка содержит состояние SA в базе данных ассоциации безопасности (SAD). Каждая запись SA в базе данных SAD содержит девять параметров, как показано в следующей таблице:

Sr.No. Параметры и описание
1

Счетчик порядковых номеров

Для исходящих сообщений. Это 32-битный порядковый номер, указанный в заголовках AH или ESP.

2

Счетчик переполнения порядкового номера

Устанавливает флаг опции, чтобы предотвратить дальнейшую связь с использованием определенного SA

3

32-битное окно анти-воспроизведения

Используется для определения того, является ли входящий пакет AH или ESP воспроизведением

4

Время жизни СА

Время, пока SA остаются активными

5

Алгоритм — АХ

Используется в AH и связанном ключе

6

Алгоритм — ESP Auth

Используется в части аутентификации заголовка ESP

7

Алгоритм — Шифрование ESP

Используется при шифровании ESP и информации о связанном ключе

8

Режим работы IPsec

Транспортный или туннельный режим

9

Path MTU (PMTU)

Любая наблюдаемая траектория максимальной единицы передачи (чтобы избежать фрагментации)

Счетчик порядковых номеров

Для исходящих сообщений. Это 32-битный порядковый номер, указанный в заголовках AH или ESP.

Счетчик переполнения порядкового номера

Устанавливает флаг опции, чтобы предотвратить дальнейшую связь с использованием определенного SA

32-битное окно анти-воспроизведения

Используется для определения того, является ли входящий пакет AH или ESP воспроизведением

Время жизни СА

Время, пока SA остаются активными

Алгоритм — АХ

Используется в AH и связанном ключе

Алгоритм — ESP Auth

Используется в части аутентификации заголовка ESP

Алгоритм — Шифрование ESP

Используется при шифровании ESP и информации о связанном ключе

Режим работы IPsec

Транспортный или туннельный режим

Path MTU (PMTU)

Любая наблюдаемая траектория максимальной единицы передачи (чтобы избежать фрагментации)

Все записи SA в SAD индексируются тремя параметрами SA: IP-адрес назначения, идентификатор протокола безопасности и SPI.

База данных политики безопасности

SPD используется для обработки исходящих пакетов. Это помогает решить, какие записи SAD следует использовать. Если запись SAD не существует, SPD используется для создания новых.

Любая запись SPD будет содержать —

  • Указатель на активную SA проводится в SAD.

  • Поля селектора — поле во входящем пакете с верхнего уровня, используемое для определения применения IPsec. Селекторы могут включать в себя адрес источника и получателя, номера портов, если необходимо, идентификаторы приложений, протоколы и т. Д.

Указатель на активную SA проводится в SAD.

Поля селектора — поле во входящем пакете с верхнего уровня, используемое для определения применения IPsec. Селекторы могут включать в себя адрес источника и получателя, номера портов, если необходимо, идентификаторы приложений, протоколы и т. Д.

Исходящие IP-дейтаграммы идут от записи SPD к конкретному SA, чтобы получить параметры кодирования. Входящая дейтаграмма IPsec попадает в правильный SA напрямую, используя тройку SPI / DEST IP / Protocol, и оттуда извлекает соответствующую запись SAD.

SPD также может указывать трафик, который должен обходить IPsec. SPD можно рассматривать как фильтр пакетов, в котором решаются действия, связанные с активацией процессов SA.

Резюме

IPsec — это набор протоколов для защиты сетевых подключений. Это довольно сложный механизм, потому что вместо простого определения конкретного алгоритма шифрования и функции аутентификации, он обеспечивает структуру, которая позволяет реализовать все, с чем согласны обе стороны.

Заголовок аутентификации (AH) и полезная нагрузка инкапсуляции безопасности (ESP) являются двумя основными протоколами связи, используемыми IPsec. В то время как AH только аутентифицируется, ESP может шифровать и аутентифицировать данные, передаваемые по соединению.

Транспортный режим обеспечивает безопасное соединение между двумя конечными точками без изменения заголовка IP. Туннельный режим инкапсулирует весь IP-пакет полезной нагрузки. Добавляет новый заголовок IP. Последний используется для формирования традиционной VPN, поскольку он обеспечивает виртуальный безопасный туннель через ненадежный Интернет.

Настройка соединения IPsec включает в себя все виды крипто-выбора. Аутентификация обычно строится поверх криптографического хэша, такого как MD5 или SHA-1. Алгоритмы шифрования — это DES, 3DES, Blowfish и AES. Возможны и другие алгоритмы.

Обе взаимодействующие конечные точки должны знать секретные значения, используемые при хешировании или шифровании. Ручные ключи требуют ручного ввода секретных значений на обоих концах, предположительно передаваемых каким-либо внеполосным механизмом, и IKE (Internet Key Exchange) является сложным механизмом для этого в режиме онлайн.

Сетевая безопасность — канальный уровень

Мы видели, что быстрый рост Интернета вызвал серьезную озабоченность по поводу сетевой безопасности. Для обеспечения безопасности на прикладном, транспортном или сетевом уровне сети было разработано несколько методов.

Многие организации внедряют меры безопасности на более высоких уровнях OSI, от уровня приложений до уровня IP. Однако одной областью, обычно оставляемой без присмотра, является укрепление уровня канала передачи данных. Это может открыть сеть для множества атак и компромиссов.

В этой главе мы обсудим проблемы безопасности на канальном уровне и методы их решения. Наше обсуждение будет сосредоточено на сети Ethernet.

Проблемы безопасности на канальном уровне

Канальный уровень в сетях Ethernet очень подвержен нескольким атакам. Наиболее распространенные атаки —

ARP спуфинг

Протокол разрешения адресов (ARP) — это протокол, используемый для сопоставления IP-адреса с физическим машинным адресом, распознаваемым в локальной сети Ethernet. Когда хост-машине необходимо найти физический адрес управления доступом к среде (MAC) для IP-адреса, он передает запрос ARP. Другой хост, которому принадлежит IP-адрес, отправляет ответное сообщение ARP со своим физическим адресом.

Каждый хост-компьютер в сети поддерживает таблицу, которая называется «ARP-кеш». Таблица содержит IP-адрес и связанные MAC-адреса другого хоста в сети.

Поскольку ARP является протоколом без сохранения состояния, каждый раз, когда хост получает ответ ARP от другого хоста, даже если он не отправил запрос ARP, он принимает эту запись ARP и обновляет свой кэш ARP. Процесс изменения ARP-кэша целевого хоста с помощью поддельной записи, известной как отравление ARP или подмена ARP.

Подмена ARP может позволить злоумышленнику выдать себя за легитимного хоста, а затем перехватить кадры данных в сети, изменить или остановить их. Часто атака используется для запуска других атак, таких как «человек посередине», перехват сеанса или отказ в обслуживании.

ARP спуфинг

MAC Flooding

Каждый коммутатор в Ethernet имеет таблицу контентно-адресуемой памяти (CAM), в которой хранятся MAC-адреса, номера портов коммутатора и другая информация. Стол имеет фиксированный размер. При атаке с использованием MAC-адреса злоумышленник заполняет коммутатор MAC-адресами, используя поддельные пакеты ARP, до тех пор, пока таблица CAM не заполнится.

Как только CAM затоплен, коммутатор переходит в режим концентратора и начинает транслировать трафик, который не имеет записи CAM. Злоумышленник, находящийся в одной сети, теперь получает все кадры, предназначенные только для определенного хоста.

Порт Кража

Коммутаторы Ethernet имеют возможность изучать и привязывать MAC-адреса к портам. Когда коммутатор получает трафик от порта с MAC-адресом источника, он связывает номер порта и этот MAC-адрес.

Атака кражи портов использует эту способность коммутаторов. Атакующий заполняет коммутатор поддельными кадрами ARP с MAC-адресом целевого хоста в качестве адреса источника. Коммутатор обманут, полагая, что целевой хост находится на порту, к которому фактически подключен злоумышленник.

Теперь все фреймы данных, предназначенные для целевого хоста, отправляются на порт коммутатора атакующего, а не на целевой хост. Таким образом, злоумышленник теперь получает все кадры, которые фактически были предназначены только для целевого хоста.

Атаки DHCP

Протокол динамической конфигурации хоста (DHCP) не является протоколом связи данных, но решения для атак DHCP также полезны для предотвращения атак уровня 2.

DHCP используется для динамического выделения IP-адресов компьютерам в течение определенного периода времени. Можно атаковать DHCP-серверы, вызывая отказ в обслуживании в сети или выдавая себя за DHCP-сервер. При атаке голоданием DHCP злоумышленник запрашивает все доступные адреса DHCP. Это приводит к отказу в обслуживании законного хоста в сети.

При атаке с использованием спуфинга DHCP злоумышленник может развернуть мошеннический DHCP-сервер для предоставления адресов клиентам. Здесь злоумышленник может предоставить хост-компьютерам шлюз по умолчанию для ружья с ответами DHCP. Фреймы данных от хоста теперь направляются в шлюз шлюза, где злоумышленник может перехватить весь пакет и ответить на реальный шлюз или отбросить их.

Другие атаки

В дополнение к вышеупомянутым популярным атакам существуют и другие атаки, такие как широковещательная передача на уровне 2, отказ в обслуживании (DoS), клонирование MAC-адресов.

В случае широковещательной атаки злоумышленник отправляет поддельные ARP-ответы хостам в сети. Эти ответы ARP устанавливают MAC-адрес шлюза по умолчанию на широковещательный адрес. Это приводит к тому, что весь исходящий трафик получает широковещательную рассылку, что позволяет злоумышленнику прослушивать, сидя в том же Ethernet. Этот тип атаки также влияет на пропускную способность сети.

В DoS-атаках на уровне 2 злоумышленник обновляет кэши ARP узлов в сети с помощью несуществующих MAC-адресов. Предполагается, что MAC-адрес каждой сетевой интерфейсной карты в сети является глобально уникальным. Однако это можно легко изменить, включив клонирование MAC. Атакующий отключает целевой хост с помощью DoS-атаки, а затем использует IP-адреса и MAC-адреса целевого хоста.

Злоумышленник выполняет атаки для запуска атак более высокого уровня, чтобы поставить под угрозу безопасность информации, передаваемой по сети. Он может перехватить все кадры и сможет прочитать данные кадра. Злоумышленник может действовать как посредник и изменять данные или просто отбрасывать кадр, приводящий к DoS. Он может перехватить текущую сессию между целевым хостом и другими машинами и передать неверную информацию.

Защита локальных сетей Ethernet

Мы обсудили некоторые широко известные атаки на канальном уровне в предыдущем разделе. Несколько методов были разработаны, чтобы смягчить эти типы атак. Некоторые из важных методов —

Безопасность порта

Это функция безопасности уровня 2, доступная на интеллектуальных коммутаторах Ethernet. Он включает в себя привязку физического порта коммутатора к определенному MAC-адресу / адресам. Любой может получить доступ к незащищенной сети, просто подключив хост к одному из доступных портов коммутатора. Но безопасность порта может обеспечить доступ уровня 2.

Безопасность порта

По умолчанию защита порта ограничивает количество входящих MAC-адресов до одного. Однако можно разрешить нескольким авторизованным хостам подключаться к этому порту через конфигурацию. Разрешенные MAC-адреса для интерфейса могут быть статически настроены. Удобной альтернативой является включение «залипания» изучения MAC-адресов, при котором MAC-адреса будут динамически изучаться портом коммутатора до тех пор, пока не будет достигнут максимальный предел для порта.

Для обеспечения безопасности, реакция на изменение указанных MAC-адресов на порту или избыточные адреса на порту может контролироваться многими различными способами. Порт может быть настроен на отключение или блокировку MAC-адресов, которые превышают указанный предел. Рекомендуется отключить порт. Безопасность порта предотвращает атаки MAC-наводнений и клонирования.

DHCP Snooping

Мы видели, что спуфинг DHCP — это атака, при которой злоумышленник прослушивает DHCP-запросы от хоста в сети и отвечает на них ложным DHCP-ответом до того, как санкционированный DHCP-ответ приходит на хост.

Отслеживание DHCP может предотвратить такие атаки. DHCP snooping — это функция переключения. Коммутатор можно настроить, чтобы определить, какие порты коммутатора могут отвечать на запросы DHCP. Порты коммутатора определяются как доверенные или ненадежные порты.

DHCP Snooping

Только порты, которые подключаются к авторизованному серверу DHCP, настроены как «доверенные» и могут отправлять все типы сообщений DHCP. Все остальные порты коммутатора ненадежны и могут отправлять только запросы DHCP. Если на ненадежном порту виден ответ DHCP, порт отключается.

Предотвращение подмены ARP

Метод защиты портов может предотвратить атаки MAC-наводнений и клонирования. Тем не менее, это не предотвращает подмену ARP. Защита порта проверяет адрес источника MAC в заголовке кадра, но кадры ARP содержат дополнительное поле источника MAC в полезной нагрузке данных, и хост использует это поле для заполнения своего кэша ARP. Некоторые методы предотвращения ARP-спуфинга перечислены ниже.

  • Статический ARP. Одним из рекомендуемых действий является использование статических записей ARP в таблице ARP хоста. Статические записи ARP являются постоянными записями в кэше ARP. Однако этот метод нецелесообразен. Кроме того, он не позволяет использовать некоторый протокол динамической конфигурации хоста (DHCP), поскольку статический IP-адрес должен использоваться для всех хостов в сети уровня 2.

  • Система обнаружения вторжений — метод защиты заключается в использовании системы обнаружения вторжений (IDS), настроенной на обнаружение большого количества трафика ARP. Тем не менее, IDS склонен сообщать о ложных срабатываниях.

  • Динамическая проверка ARP. Этот метод предотвращения ARP-спуфинга аналогичен DHCP Snooping. Он использует доверенные и ненадежные порты. Ответы ARP допускаются в интерфейс коммутатора только на доверенных портах. Если ответ ARP приходит на коммутатор на ненадежном порту, содержимое пакета ответа ARP сравнивается с таблицей привязки DHCP для проверки его точности. Если ответ ARP недействителен, ответ ARP отбрасывается и порт отключается.

Статический ARP. Одним из рекомендуемых действий является использование статических записей ARP в таблице ARP хоста. Статические записи ARP являются постоянными записями в кэше ARP. Однако этот метод нецелесообразен. Кроме того, он не позволяет использовать некоторый протокол динамической конфигурации хоста (DHCP), поскольку статический IP-адрес должен использоваться для всех хостов в сети уровня 2.

Система обнаружения вторжений — метод защиты заключается в использовании системы обнаружения вторжений (IDS), настроенной на обнаружение большого количества трафика ARP. Тем не менее, IDS склонен сообщать о ложных срабатываниях.

Динамическая проверка ARP. Этот метод предотвращения ARP-спуфинга аналогичен DHCP Snooping. Он использует доверенные и ненадежные порты. Ответы ARP допускаются в интерфейс коммутатора только на доверенных портах. Если ответ ARP приходит на коммутатор на ненадежном порту, содержимое пакета ответа ARP сравнивается с таблицей привязки DHCP для проверки его точности. Если ответ ARP недействителен, ответ ARP отбрасывается и порт отключается.

Защита протокола связующего дерева

Протокол связующего дерева (STP) — это протокол управления каналом 2 уровня. Основная цель STP — обеспечить отсутствие петель потока данных, когда в сети есть избыточные пути. Как правило, избыточные пути создаются для обеспечения надежности сети. Но они могут образовывать смертельные петли, которые могут привести к DoS-атаке в сети.

Протокол связующего дерева

Чтобы обеспечить желаемую избыточность пути, а также чтобы избежать состояния петли, STP определяет дерево, которое охватывает все коммутаторы в сети. STP переводит определенные избыточные каналы передачи данных в заблокированное состояние и сохраняет другие ссылки в состоянии пересылки.

Если соединение в состоянии пересылки выходит из строя, STP перенастраивает сеть и переопределяет пути данных, активируя соответствующий резервный путь. STP работает на мостах и ​​коммутаторах, развернутых в сети. Все коммутаторы обмениваются информацией для выбора корневого коммутатора и для последующей настройки сети. Блоки данных протокола моста (BPDU) переносят эту информацию. Посредством обмена BPDU все коммутаторы в сети выбирают корневой мост / коммутатор, который становится центральным узлом в сети и контролирует заблокированные и переадресованные каналы.

Атаки на СТП

  • Принимая Корневой мост. Это один из наиболее разрушительных типов атак на уровне 2. По умолчанию коммутатор локальной сети принимает любой BPDU, отправленный от соседнего коммутатора, по номинальной стоимости. Между прочим, STP является доверенным, не сохраняющим состояния и не предоставляет никакого механизма аутентификации звука.

  • Находясь в режиме корневой атаки, атакующий коммутатор отправляет BPDU каждые 2 секунды с тем же приоритетом, что и у текущего корневого моста, но с немного меньшим численным MAC-адресом, что обеспечивает его победу в процессе выбора корневого моста. Коммутатор-злоумышленник может запустить DoS-атаку, если он не распознает должным образом другие коммутаторы, вызывающие переполнение BPDU, или подвергает коммутаторы чрезмерной обработке BPDUS, заявив, что он одновременно является суперпользователем, и быстро откатился назад.

  • DoS с использованием Flood of Configuration BPDU. Атакующий коммутатор не пытается вступить во владение как root. Вместо этого он генерирует большое количество BPDU в секунду, что приводит к очень высокой загрузке ЦП на коммутаторах.

Принимая Корневой мост. Это один из наиболее разрушительных типов атак на уровне 2. По умолчанию коммутатор локальной сети принимает любой BPDU, отправленный от соседнего коммутатора, по номинальной стоимости. Между прочим, STP является доверенным, не сохраняющим состояния и не предоставляет никакого механизма аутентификации звука.

Находясь в режиме корневой атаки, атакующий коммутатор отправляет BPDU каждые 2 секунды с тем же приоритетом, что и у текущего корневого моста, но с немного меньшим численным MAC-адресом, что обеспечивает его победу в процессе выбора корневого моста. Коммутатор-злоумышленник может запустить DoS-атаку, если он не распознает должным образом другие коммутаторы, вызывающие переполнение BPDU, или подвергает коммутаторы чрезмерной обработке BPDUS, заявив, что он одновременно является суперпользователем, и быстро откатился назад.

DoS с использованием Flood of Configuration BPDU. Атакующий коммутатор не пытается вступить во владение как root. Вместо этого он генерирует большое количество BPDU в секунду, что приводит к очень высокой загрузке ЦП на коммутаторах.

Предотвращение атак на STP

К счастью, контрмеры для атаки с использованием корневого захвата просты и понятны. Две функции помогают победить атаку с захватом root.

  • Root Guard — Root Guard ограничивает порты коммутатора, из которых может быть согласован корневой мост. Если порт «root-guard-enabled» получает BPDU, которые превосходят те, которые отправляет текущий корневой мост, то этот порт переводится в состояние, несовместимое с корнем, и трафик данных через этот порт не пересылается. Корневая защита лучше всего развернута в отношении портов, которые подключаются к коммутаторам, которые не должны вступать во владение в качестве корневого моста.

  • BPDU-Guard — BPDU-Guard используется для защиты сети от проблем, которые могут быть вызваны приемом BPDU на портах доступа. Это порты, которые не должны их получать. Защита BPDU лучше всего развернута к портам, обращенным к пользователю, чтобы предотвратить вставку мошеннического коммутатора злоумышленником.

Root Guard — Root Guard ограничивает порты коммутатора, из которых может быть согласован корневой мост. Если порт «root-guard-enabled» получает BPDU, которые превосходят те, которые отправляет текущий корневой мост, то этот порт переводится в состояние, несовместимое с корнем, и трафик данных через этот порт не пересылается. Корневая защита лучше всего развернута в отношении портов, которые подключаются к коммутаторам, которые не должны вступать во владение в качестве корневого моста.

BPDU-Guard — BPDU-Guard используется для защиты сети от проблем, которые могут быть вызваны приемом BPDU на портах доступа. Это порты, которые не должны их получать. Защита BPDU лучше всего развернута к портам, обращенным к пользователю, чтобы предотвратить вставку мошеннического коммутатора злоумышленником.

Защита виртуальной локальной сети

В локальных сетях виртуальные локальные сети (VLAN) иногда настраиваются в качестве меры безопасности для ограничения числа хостов, восприимчивых к атакам уровня 2. VLAN создают сетевые границы, через которые широковещательный (ARP, DHCP) трафик не может пересекаться.

Виртуальная локальная сеть

Сеть, использующая коммутаторы, поддерживающие возможности VLAN, может быть настроена для определения нескольких VLAN в одной физической инфраструктуре LAN.

Виртуальная локальная сеть

Распространенной формой VLAN является VLAN на основе порта. В этой структуре VLAN порты коммутатора сгруппированы в VLAN с помощью программного обеспечения для управления коммутатором. Таким образом, один физический коммутатор может действовать как несколько виртуальных коммутаторов.

Использование VLAN обеспечивает изоляцию трафика. Он разделяет большую сеть широковещательного уровня 2 на более мелкие сети логического уровня 2 и, таким образом, уменьшает объем атак, таких как спуфинг ARP / DHCP. Кадры данных одной VLAN могут перемещаться из / в порты, принадлежащие только одной VLAN. Пересылка кадров между двумя VLAN осуществляется через маршрутизацию.

Сети VLAN обычно охватывают несколько коммутаторов, как показано на схеме выше. Линия между магистральными портами переносит кадры всех VLAN, определенных для нескольких физических коммутаторов. Следовательно, кадры VLAN, пересылаемые между коммутаторами, не могут быть простыми кадрами формата IEEE 802.1 Ethernet. Поскольку эти кадры перемещаются по одному и тому же физическому каналу, им теперь необходимо передавать информацию VLAN ID. Протокол IEEE 802.1Q добавляет / удаляет дополнительные поля заголовка для простых кадров Ethernet, пересылаемых между магистральными портами.

Фреймы Ethernet

Когда поле, следующее за двумя полями IP-адресов, равно 0x8100 (> 1500), кадр идентифицируется как кадр 802.1Q. Значение 2-байтового идентификатора протокола тэга (TPI) составляет 81-00. Поле TCI состоит из 3-битной информации о приоритете, 1-битного индикатора приемлемого сброса (DEI) и 12-битного VLAN ID. Это 3-битное поле приоритета и поле DEI не относятся к VLAN. Приоритетные биты используются для обеспечения качества обслуживания.

Когда кадр не принадлежит ни одной VLAN, существует идентификатор VLAN по умолчанию, с которым считается, что кадр связан с.

Атака на VLAN и профилактические меры

При атаке со скачкообразной перестройкой VLAN злоумышленник в одной VLAN может получить доступ к трафику в других VLAN, который обычно недоступен. Он будет обходить устройство 3-го уровня (маршрутизатор) при обмене данными из одной VLAN в другую, что отрицательно скажется на цели создания VLAN.

Перескок VLAN может быть выполнен двумя способами; переключить спуфинг и двойную метку.

Переключатель Спуфинг

Это может произойти, когда порт коммутатора, к которому подключен злоумышленник, находится либо в режиме транкинга, либо в режиме автосогласования. Атакующий действует как коммутатор и добавляет к своим исходящим фреймам заголовки инкапсуляции 802.1Q с тегами VLAN для целевых удаленных VLAN. Приемный коммутатор интерпретирует эти кадры как полученные от другого коммутатора 802.1Q и передает кадры в целевую VLAN.

Двумя превентивными мерами против атак спуфинга коммутатора являются перевод граничных портов в режим статического доступа и отключение автосогласования на всех портах.

Двойная метка

В этой атаке злоумышленник, подключенный к собственному порту VLAN коммутатора, добавляет в заголовок кадра два тега VLAN. Первый тег относится к собственной VLAN, а второй — к целевой VLAN. Когда первый коммутатор получает кадры атакующего, он удаляет первый тег, поскольку кадры собственной VLAN пересылаются без тега на магистральный порт.

  • Поскольку второй тег никогда не удалялся первым коммутатором, получающий коммутатор идентифицирует оставшийся тег как пункт назначения VLAN и перенаправляет кадры целевому хосту в этой VLAN. Атака двойного тегирования использует концепцию собственной VLAN. Поскольку VLAN 1 является VLAN по умолчанию для портов доступа и собственной VLAN по умолчанию на соединительных линиях, это простая цель.

  • Первой мерой предотвращения является удаление всех портов доступа из VLAN 1 по умолчанию, поскольку порт злоумышленника должен совпадать с портом собственной VLAN коммутатора. Вторая мера предотвращения состоит в том, чтобы назначить собственную VLAN на всех магистралях коммутатора некоторой неиспользуемой VLAN, скажем, идентификатору VLAN 999. И, наконец, все коммутаторы должны быть настроены для выполнения явного тегирования собственных кадров VLAN на магистральном порту.

Поскольку второй тег никогда не удалялся первым коммутатором, получающий коммутатор идентифицирует оставшийся тег как пункт назначения VLAN и перенаправляет кадры целевому хосту в этой VLAN. Атака двойного тегирования использует концепцию собственной VLAN. Поскольку VLAN 1 является VLAN по умолчанию для портов доступа и собственной VLAN по умолчанию на соединительных линиях, это простая цель.

Первой мерой предотвращения является удаление всех портов доступа из VLAN 1 по умолчанию, поскольку порт злоумышленника должен совпадать с портом собственной VLAN коммутатора. Вторая мера предотвращения состоит в том, чтобы назначить собственную VLAN на всех магистралях коммутатора некоторой неиспользуемой VLAN, скажем, идентификатору VLAN 999. И, наконец, все коммутаторы должны быть настроены для выполнения явного тегирования собственных кадров VLAN на магистральном порту.

Защита беспроводной локальной сети

Беспроводная локальная сеть — это сеть беспроводных узлов в ограниченной географической зоне, такой как офисное здание или школьный городок. Узлы способны к радиосвязи.

Беспроводная сеть

Беспроводная локальная сеть обычно реализуется как расширение существующей проводной локальной сети для обеспечения доступа к сети с мобильностью устройства. Наиболее широко применяемые технологии беспроводных локальных сетей основаны на стандарте IEEE 802.11 и его поправках.

Два основных компонента беспроводной локальной сети:

  • Точки доступа (AP) — это базовые станции для беспроводной сети. Они передают и принимают радиочастоты для связи с беспроводными клиентами.

  • Беспроводные клиенты. Это вычислительные устройства, оснащенные беспроводной сетевой картой (WNIC). Ноутбуки, IP-телефоны, КПК являются типичными примерами беспроводных клиентов.

Точки доступа (AP) — это базовые станции для беспроводной сети. Они передают и принимают радиочастоты для связи с беспроводными клиентами.

Беспроводные клиенты. Это вычислительные устройства, оснащенные беспроводной сетевой картой (WNIC). Ноутбуки, IP-телефоны, КПК являются типичными примерами беспроводных клиентов.

Беспроводная сеть

Многие организации внедрили беспроводные локальные сети. Эти сети растут феноменально. Таким образом, крайне важно понимать угрозы в беспроводных локальных сетях и изучать общие превентивные меры для обеспечения безопасности сети.

Атаки в беспроводной локальной сети

Типичные атаки, выполняемые в беспроводной локальной сети:

  • Подслушивание — злоумышленник пассивно отслеживает данные в беспроводных сетях, включая учетные данные для проверки подлинности.

  • Маскарадинг — злоумышленник выдает себя за авторизованного пользователя и получает доступ и привилегии в беспроводных сетях.

  • Анализ трафика — злоумышленник отслеживает передачу по беспроводным сетям, чтобы определить шаблоны связи и участников.

  • Отказ в обслуживании — злоумышленник предотвращает или ограничивает нормальное использование или управление беспроводной локальной сетью или сетевыми устройствами.

  • Модификация / воспроизведение сообщения — злоумышленник изменяет или отвечает на законное сообщение, отправленное через беспроводные сети, удаляя, добавляя, изменяя или переупорядочивая его.

Подслушивание — злоумышленник пассивно отслеживает данные в беспроводных сетях, включая учетные данные для проверки подлинности.

Маскарадинг — злоумышленник выдает себя за авторизованного пользователя и получает доступ и привилегии в беспроводных сетях.

Анализ трафика — злоумышленник отслеживает передачу по беспроводным сетям, чтобы определить шаблоны связи и участников.

Отказ в обслуживании — злоумышленник предотвращает или ограничивает нормальное использование или управление беспроводной локальной сетью или сетевыми устройствами.

Модификация / воспроизведение сообщения — злоумышленник изменяет или отвечает на законное сообщение, отправленное через беспроводные сети, удаляя, добавляя, изменяя или переупорядочивая его.

Меры безопасности в беспроводной сети

Меры безопасности предоставляют средства для отражения атак и управления рисками для сетей. Это управление сетью, эксплуатация и технические меры. Ниже мы опишем технические меры, принятые для обеспечения конфиденциальности, доступности и целостности данных, передаваемых через беспроводные локальные сети.

В беспроводных локальных сетях все точки доступа должны быть настроены для обеспечения безопасности посредством шифрования и аутентификации клиента. Типы схем, используемых в беспроводной локальной сети для обеспечения безопасности, следующие:

Wired Equivalent Privacy (WEP)

Это алгоритм шифрования, встроенный в стандарт 802.11 для защиты беспроводных сетей. WEP-шифрование использует потоковый шифр RC4 (Rivest Cipher 4) с 40-битными / 104-битными ключами и 24-битным вектором инициализации. Он также может обеспечить аутентификацию конечной точки.

Это, однако, самый слабый механизм безопасности шифрования, поскольку в WEP-шифровании был обнаружен ряд недостатков. WEP также не имеет протокола аутентификации. Следовательно, использование WEP не рекомендуется.

Протокол 802.11i

В этом протоколе возможны многочисленные и более сильные формы шифрования. Он был разработан для замены слабой схемы WEP. Это обеспечивает механизм распределения ключей. Он поддерживает один ключ на станцию ​​и не использует один и тот же ключ для всех. Он использует сервер аутентификации отдельно от точки доступа.

IEEE802.11i предписывает использовать протокол с именем Counter mode с CBC-MAC Protocol (CCMP). CCMP обеспечивает конфиденциальность и целостность передаваемых данных, а также подлинность отправителя. Он основан на блочном шифре AES.

Протокол IEEE802.11i имеет четыре фазы работы.

Протокол 802.11i

  • STA и AP взаимодействуют и обнаруживают возможности взаимной безопасности, такие как поддерживаемые алгоритмы.

  • STA и AS взаимно аутентифицируются и совместно генерируют мастер-ключ (MK). AP действует как «проход».

  • STA получает парный мастер-ключ (PMK). AS получает тот же PMK и отправляет AP.

  • STA, AP используют PMK для получения временного ключа (TK), который должен использоваться для шифрования сообщений и целостности данных.

STA и AP взаимодействуют и обнаруживают возможности взаимной безопасности, такие как поддерживаемые алгоритмы.

STA и AS взаимно аутентифицируются и совместно генерируют мастер-ключ (MK). AP действует как «проход».

STA получает парный мастер-ключ (PMK). AS получает тот же PMK и отправляет AP.

STA, AP используют PMK для получения временного ключа (TK), который должен использоваться для шифрования сообщений и целостности данных.

Другие Стандарты

  • Защищенный доступ Wi-Fi (WPA) — этот протокол реализует большинство стандартов IEEE 802.11i. Он существовал до IEEE 802.11i и использует алгоритм шифрования RC4. Имеет два режима работы. В режиме «Enterprise» WPA использует протокол аутентификации 802.1x для связи с сервером аутентификации, и, следовательно, предварительные мастер-ключи (PMK) являются специфическими для клиентской станции. В «Персональном» режиме он не использует 802.1x, PMK заменяется предварительным общим ключом, который используется для сред беспроводной локальной сети малого офиса (SOHO).

    WPA также включает проверку целостности звукового сообщения, заменяющую циклическую проверку избыточности (CRC), которая использовалась стандартом WEP.

  • WPA2 — WPA2 заменил WPA. WPA2 реализует все обязательные элементы схемы IEEE 802.11i. В частности, он включает обязательную поддержку CCMP, режима шифрования на основе AES с высокой степенью безопасности. Таким образом, что касается атак, WPA2 / IEEE802.11i предоставляет адекватные решения для защиты от уязвимостей WEP, атак типа «человек посередине», подделки пакетов подделки и атак воспроизведения. Однако DoS-атака не рассматривается должным образом, и не существует надежных протоколов, позволяющих остановить такие атаки, потому что такие атаки нацелены на физический уровень, например, на вмешательство в полосу частот.

Защищенный доступ Wi-Fi (WPA) — этот протокол реализует большинство стандартов IEEE 802.11i. Он существовал до IEEE 802.11i и использует алгоритм шифрования RC4. Имеет два режима работы. В режиме «Enterprise» WPA использует протокол аутентификации 802.1x для связи с сервером аутентификации, и, следовательно, предварительные мастер-ключи (PMK) являются специфическими для клиентской станции. В «Персональном» режиме он не использует 802.1x, PMK заменяется предварительным общим ключом, который используется для сред беспроводной локальной сети малого офиса (SOHO).

WPA также включает проверку целостности звукового сообщения, заменяющую циклическую проверку избыточности (CRC), которая использовалась стандартом WEP.

WPA2 — WPA2 заменил WPA. WPA2 реализует все обязательные элементы схемы IEEE 802.11i. В частности, он включает обязательную поддержку CCMP, режима шифрования на основе AES с высокой степенью безопасности. Таким образом, что касается атак, WPA2 / IEEE802.11i предоставляет адекватные решения для защиты от уязвимостей WEP, атак типа «человек посередине», подделки пакетов подделки и атак воспроизведения. Однако DoS-атака не рассматривается должным образом, и не существует надежных протоколов, позволяющих остановить такие атаки, потому что такие атаки нацелены на физический уровень, например, на вмешательство в полосу частот.

Резюме

В этой главе мы рассмотрели методы атак и смягчения последствий, предполагающие использование коммутируемой сети Ethernet с IP. Если ваша сеть не использует Ethernet в качестве протокола уровня 2, некоторые из этих атак могут быть неприменимы, но есть вероятность, что такая сеть уязвима для различных типов атак.

Безопасность так же сильна, как и самое слабое звено. Когда дело доходит до сетей, уровень 2 может быть очень слабым звеном. Меры безопасности уровня 2, упомянутые в этой главе, имеют большое значение для защиты сети от многих типов атак.

Сетевая безопасность — контроль доступа

Управление доступом к сети — это метод повышения безопасности частной организационной сети путем ограничения доступности сетевых ресурсов для конечных устройств, которые соответствуют политике безопасности организации. Типичная схема управления доступом к сети состоит из двух основных компонентов, таких как ограниченный доступ и сетевая защита границ.

Ограниченный доступ к сетевым устройствам достигается посредством проверки подлинности пользователя и контроля авторизации, который отвечает за идентификацию и проверку подлинности разных пользователей в сетевой системе. Авторизация — это процесс предоставления или отказа в определенных разрешениях доступа к защищенному ресурсу.

Сетевая защита границ контролирует логическое подключение в и из сетей. Например, несколько брандмауэров могут быть развернуты для предотвращения несанкционированного доступа к сетевым системам. Также для обнаружения атак из Интернета можно использовать технологии обнаружения и предотвращения вторжений.

В этой главе мы обсудим методы идентификации и аутентификации пользователей для доступа к сети, за которыми следуют различные типы брандмауэров и систем обнаружения вторжений.

Защита доступа к сетевым устройствам

Ограничение доступа к устройствам в сети является очень важным шагом для обеспечения безопасности сети. Поскольку сетевые устройства включают в себя как коммуникационное, так и компьютерное оборудование, их компрометация может привести к выходу из строя всей сети и ее ресурсов.

Как это ни парадоксально, многие организации обеспечивают превосходную безопасность для своих серверов и приложений, но оставляют общающимся сетевым устройствам элементарную безопасность.

Важным аспектом безопасности сетевого устройства является контроль доступа и авторизация. Многие протоколы были разработаны для удовлетворения этих двух требований и повышения безопасности сети до более высоких уровней.

Аутентификация пользователя и авторизация

Аутентификация пользователя необходима для контроля доступа к сетевым системам, в частности к устройствам сетевой инфраструктуры. Аутентификация имеет два аспекта: общая аутентификация доступа и функциональная авторизация.

Аутентификация общего доступа — это метод управления тем, имеет ли конкретный пользователь «любой» тип доступа к системе, к которой он пытается подключиться. Обычно этот вид доступа связан с тем, что у пользователя есть «учетная запись» в этой системе. Авторизация имеет дело с «правами» отдельных пользователей. Например, он решает, что может сделать пользователь после аутентификации; пользователь может быть авторизован для настройки устройства или просмотра только данных.

Аутентификация пользователя зависит от факторов, которые включают что-то, что он знает (пароль), что-то, что он имеет (криптографический токен), или что-то, что он (биометрический). Использование более чем одного фактора для идентификации и аутентификации обеспечивает основу для многофакторной аутентификации.

Проверка подлинности на основе пароля

На минимальном уровне все сетевые устройства должны иметь аутентификацию по имени пользователя и паролю. Пароль должен быть нетривиальным (не менее 10 символов, смешанные алфавиты, цифры и символы).

В случае удаленного доступа пользователем должен использоваться метод, обеспечивающий, чтобы имена пользователей и пароли не передавались в открытом виде по сети. Кроме того, пароли также должны быть изменены с определенной частотой.

Методы централизованной аутентификации

Система аутентификации на основе отдельных устройств обеспечивает базовую меру контроля доступа. Однако централизованный метод аутентификации считается более эффективным и действенным, когда в сети имеется большое количество устройств с большим количеством пользователей, обращающихся к этим устройствам.

Традиционно централизованная аутентификация использовалась для решения проблем, возникающих при удаленном доступе к сети. В системах удаленного доступа (RAS) администрирование пользователей на сетевых устройствах нецелесообразно. Размещение всей пользовательской информации на всех устройствах и последующее ее обновление является административным кошмаром.

Централизованные системы аутентификации, такие как RADIUS и Kerberos, решают эту проблему. Эти централизованные методы позволяют хранить пользовательскую информацию и управлять ею в одном месте. Эти системы обычно могут быть легко интегрированы с другими схемами управления учетными записями пользователей, такими как Microsoft Active Directory или каталоги LDAP. Большинство серверов RADIUS могут связываться с другими сетевыми устройствами по обычному протоколу RADIUS, а затем безопасно получать доступ к информации учетной записи, хранящейся в каталогах.

Методы централизованной аутентификации

Например, сервер Microsoft Internet Authentication Server (IAS) соединяет RADIUS и Active Directory для обеспечения централизованной аутентификации для пользователей устройств. Это также гарантирует, что информация учетной записи пользователя объединена с учетными записями домена Microsoft. На приведенной выше схеме показан контроллер домена Windows, работающий как сервер Active Directory и сервер RADIUS для сетевых элементов для аутентификации в домене Active Directory.

Списки контроля доступа

Многие сетевые устройства могут быть настроены со списками доступа. Эти списки определяют имена хостов или IP-адреса, которые авторизованы для доступа к устройству. Например, типичным является ограничение доступа к сетевому оборудованию с IP-адресов, за исключением администратора сети.

Это защитит от любого типа доступа, который может быть неавторизованным. Эти типы списков доступа служат важной последней защитой и могут быть довольно мощными на некоторых устройствах с разными правилами для разных протоколов доступа.

Сетевая безопасность — брандмауэры

Почти каждая средняя и крупная организация имеет свое присутствие в Интернете и к ней подключена организационная сеть. Разделение сети на границе между внешним Интернетом и внутренней сетью имеет важное значение для безопасности сети. Иногда внутреннюю сеть (интранет) называют стороной, которой доверяют, а внешним Интернетом — стороной, которой нельзя доверять.

Типы брандмауэра

Брандмауэр — это сетевое устройство, которое изолирует внутреннюю сеть организации от более крупной внешней сети / Интернета. Это может быть аппаратное, программное обеспечение или комбинированная система, которая предотвращает несанкционированный доступ во внутреннюю сеть или из нее.

Все пакеты данных, входящие или выходящие из внутренней сети, проходят через межсетевой экран, который проверяет каждый пакет и блокирует те, которые не соответствуют указанным критериям безопасности.

Брандмауэр

Развертывание брандмауэра на границе сети похоже на агрегацию безопасности в одной точке. Это аналогично запиранию квартиры на входе и не обязательно на каждой двери.

Брандмауэр считается важным элементом для обеспечения безопасности сети по следующим причинам:

  • Внутренняя сеть и хосты вряд ли будут должным образом защищены.

  • Интернет — это опасное место для преступников, пользователей конкурирующих компаний, недовольных бывших сотрудников, шпионов из недружественных стран, вандалов и т. Д.

  • Чтобы злоумышленник не запустил атаки типа «отказ в обслуживании» на сетевой ресурс.

  • Предотвратить незаконное изменение / доступ к внутренним данным со стороны злоумышленника.

Внутренняя сеть и хосты вряд ли будут должным образом защищены.

Интернет — это опасное место для преступников, пользователей конкурирующих компаний, недовольных бывших сотрудников, шпионов из недружественных стран, вандалов и т. Д.

Чтобы злоумышленник не запустил атаки типа «отказ в обслуживании» на сетевой ресурс.

Предотвратить незаконное изменение / доступ к внутренним данным со стороны злоумышленника.

Брандмауэр подразделяется на три основных типа —

  • Пакетный фильтр (без сохранения состояния и с сохранением состояния)
  • Шлюз уровня приложения
  • Контур уровня шлюза

Эти три категории, однако, не являются взаимоисключающими. Современные межсетевые экраны обладают сочетанием способностей, которые могут поместить их в более чем одну из трех категорий.

Типы брандмауэров

Брандмауэр фильтрации без сохранения состояния и состояния

В этом типе развертывания брандмауэра внутренняя сеть подключается к внешней сети / Интернету через брандмауэр маршрутизатора. Брандмауэр проверяет и фильтрует данные пакет за пакетом.

Межсетевые экраны с фильтрацией пакетов разрешают или блокируют пакеты в основном на основе таких критериев, как IP-адреса источника и / или назначения, номера портов протокола, источника и / или назначения и различные другие параметры в заголовке IP.

Решение может быть основано на факторах, отличных от полей заголовка IP, таких как тип сообщения ICMP, биты SYN TCP и ACK и т. Д.

Правило фильтрации пакетов состоит из двух частей:

  • Критерии выбора — это используется как условие и образец соответствия для принятия решения.

  • Поле действия — эта часть определяет действие, которое необходимо предпринять, если IP-пакет соответствует критериям выбора. Действие может быть либо заблокировать (запретить), либо разрешить (разрешить) пакет через межсетевой экран.

Критерии выбора — это используется как условие и образец соответствия для принятия решения.

Поле действия — эта часть определяет действие, которое необходимо предпринять, если IP-пакет соответствует критериям выбора. Действие может быть либо заблокировать (запретить), либо разрешить (разрешить) пакет через межсетевой экран.

Фильтрация пакетов обычно выполняется путем настройки списков контроля доступа (ACL) на маршрутизаторах или коммутаторах. ACL — это таблица правил фильтрации пакетов.

Когда трафик входит или выходит из интерфейса, межсетевой экран применяет списки ACL сверху вниз для каждого входящего пакета, находит критерии соответствия и разрешает или запрещает отдельные пакеты.

Межсетевой экран без сохранения состояния

Межсетевой экран без сохранения состояния — это своего рода жесткий инструмент. Он просматривает пакет и разрешает его, если он соответствует критериям, даже если он не является частью какого-либо установленного постоянного сеанса связи.

Следовательно, такие брандмауэры заменяются брандмауэрами с сохранением состояния в современных сетях. Этот тип брандмауэров предлагает более углубленный метод проверки по сравнению с единственными методами проверки пакетов, основанными на ACL, для брандмауэров без сохранения состояния.

Брандмауэр с отслеживанием состояния контролирует процесс установки и разрыва соединения для проверки соединений на уровне TCP / IP. Это позволяет им отслеживать состояние соединений и определять, какие узлы имеют открытые авторизованные соединения в любой данный момент времени.

Они ссылаются на базу правил только при запросе нового соединения. Пакеты, принадлежащие существующим соединениям, сравниваются с таблицей состояний открытых соединений брандмауэра, и принимается решение о разрешении или блокировке. Этот процесс экономит время и обеспечивает дополнительную безопасность. Ни один пакет не может проникнуть через межсетевой экран, если он не принадлежит уже установленному соединению. Он может тайм-аут неактивных соединений в брандмауэре, после чего он больше не допускает пакеты для этого соединения.

Шлюзы приложений

Шлюз уровня приложения действует как узел ретрансляции для трафика уровня приложения. Они перехватывают входящие и исходящие пакеты, запускают прокси-серверы, которые копируют и пересылают информацию через шлюз, и функционируют как прокси-сервер , предотвращая любое прямое соединение между доверенным сервером или клиентом и ненадежным хостом.

Прокси зависят от приложения. Они могут фильтровать пакеты на прикладном уровне модели OSI.

Специфичные для приложения Прокси

Специфичные для приложения Прокси

Прокси-сервер для конкретного приложения принимает пакеты, сгенерированные только указанным приложением, для которого они предназначены для копирования, пересылки и фильтрации. Например, только прокси-сервер Telnet может копировать, пересылать и фильтровать трафик Telnet.

Если сеть полагается только на шлюз уровня приложения, входящие и исходящие пакеты не могут получить доступ к службам, для которых не настроены прокси-серверы. Например, если шлюз использует прокси-серверы FTP и Telnet, через межсетевой экран могут проходить только пакеты, сгенерированные этими службами. Все остальные сервисы заблокированы.

Фильтрация на уровне приложений

Прокси-шлюз уровня приложения анализирует и фильтрует отдельные пакеты, а не просто копирует их и отправляет их вслепую через шлюз. Специфичные для приложения прокси-серверы проверяют каждый пакет, проходящий через шлюз, проверяя содержимое пакета на уровне приложений. Эти прокси могут фильтровать определенные виды команд или информации в протоколах приложения.

Шлюзы приложений могут ограничивать выполнение определенных действий. Например, шлюз можно настроить так, чтобы пользователи не могли выполнять команду «FTP put». Это может предотвратить изменение информации, хранящейся на сервере, злоумышленником.

прозрачный

Хотя шлюзы уровня приложений могут быть прозрачными, многие реализации требуют аутентификации пользователей, прежде чем пользователи смогут получить доступ к ненадежной сети, процесс, который снижает истинную прозрачность. Аутентификация может отличаться, если пользователь из внутренней сети или из Интернета. Для внутренней сети можно разрешить простой список IP-адресов для подключения к внешним приложениям. Но со стороны Интернета должна быть внедрена строгая аутентификация.

Шлюз приложения фактически передает сегменты TCP между двумя соединениями TCP в двух направлениях (Клиент ↔ Прокси ↔ Сервер).

Для исходящих пакетов шлюз может заменить исходный IP-адрес своим собственным IP-адресом. Процесс называется преобразованием сетевых адресов (NAT). Это гарантирует, что внутренние IP-адреса не будут открыты для Интернета.

Контур уровня шлюза

Шлюз на уровне канала является промежуточным решением между фильтром пакетов и шлюзом приложения. Он работает на транспортном уровне и, следовательно, может выступать в качестве прокси для любого приложения.

Подобно шлюзу приложений, шлюз на уровне канала также не разрешает сквозное соединение TCP через шлюз. Он устанавливает два TCP-соединения и ретранслирует TCP-сегменты из одной сети в другую. Но он не проверяет данные приложения, такие как шлюз приложения. Следовательно, иногда это называется «прокси трубы».

НОСКИ

SOCKS (RFC 1928) относится к шлюзу на уровне цепи. Это механизм сетевого прокси, который позволяет узлам на одной стороне сервера SOCKS получать полный доступ к узлам на другой стороне, не требуя прямой доступности IP. Клиент подключается к серверу SOCKS на брандмауэре. Затем клиент вводит согласование для используемого метода аутентификации и аутентифицируется с помощью выбранного метода.

Клиент отправляет запрос ретрансляции соединения на сервер SOCKS, содержащий требуемый IP-адрес назначения и транспортный порт. Сервер принимает запрос после проверки того, что клиент соответствует основным критериям фильтрации. Затем от имени клиента шлюз открывает соединение с запрошенным ненадежным хостом и затем внимательно следит за установлением соединения TCP, которое следует.

Сервер SOCKS информирует клиента и в случае успеха начинает передавать данные между двумя соединениями. Шлюзы канального уровня используются, когда организация доверяет внутренним пользователям и не хочет проверять содержимое или данные приложения, отправленные в Интернете.

Развертывание брандмауэра с помощью DMZ

Брандмауэр — это механизм, используемый для управления сетевым трафиком «внутрь» и «вне» внутренней сети организации. В большинстве случаев эти системы имеют два сетевых интерфейса: один для внешней сети, такой как Интернет, а другой для внутренней стороны.

Процесс межсетевого экрана может жестко контролировать то, что разрешено проходить с одной стороны на другую. Организация, которая желает предоставить внешний доступ к своему веб-серверу, может ограничить весь трафик, поступающий в брандмауэр, ожидать для порта 80 (стандартный порт http). Весь другой трафик, такой как почтовый трафик, FTP, SNMP и т. Д., Не разрешен через брандмауэр во внутреннюю сеть. Пример простого брандмауэра показан на следующей диаграмме.

Развертывание брандмауэра с помощью DMZ

В приведенном выше простом развертывании, хотя все другие внешние обращения заблокированы, злоумышленник может связаться не только с веб-сервером, но и с любым другим узлом внутренней сети, который оставил порт 80 открытым случайно или иным образом.

Следовательно, проблема, с которой сталкивается большинство организаций, заключается в том, как обеспечить законный доступ к общедоступным службам, таким как веб, FTP и электронная почта, при сохранении строгой безопасности внутренней сети. Типичный подход заключается в развертывании межсетевых экранов для обеспечения демилитаризованной зоны (DMZ) в сети.

В этой настройке (показанной на следующей диаграмме) развернуты два межсетевых экрана; один между внешней сетью и DMZ, а другой между DMZ и внутренней сетью. Все публичные серверы размещены в DMZ.

С этой настройкой можно иметь правила брандмауэра, которые разрешают публичный доступ к публичным серверам, но внутренний брандмауэр может ограничивать все входящие соединения. При наличии DMZ общедоступные серверы обеспечиваются адекватной защитой, а не размещаются непосредственно во внешней сети.

Развертывание Dual Firewall

Система обнаружения / предотвращения вторжений

Межсетевые экраны с фильтрацией пакетов работают на основе правил, включающих только заголовки TCP / UDP / IP. Они не пытаются установить корреляционные проверки между различными сеансами.

Система обнаружения / предотвращения вторжений (IDS / IPS) проводит глубокую проверку пакетов (DPI), просматривая содержимое пакетов. Например, проверка символьных строк в пакете по базе данных известных вирусов, атакующих строк.

Шлюзы приложений проверяют содержимое пакета, но только для конкретных приложений. Они не ищут подозрительных данных в пакете. IDS / IPS ищет подозрительные данные, содержащиеся в пакетах, и пытается проверить корреляцию между несколькими пакетами для выявления любых атак, таких как сканирование портов, сопоставление сети, отказ в обслуживании и т. Д.

Разница между IDS и IPS

IDS и IPS схожи в обнаружении аномалий в сети. IDS — это инструмент «видимости», тогда как IPS считается инструментом «контроля».

Системы обнаружения вторжений располагаются в стороне от сети, отслеживая трафик во многих различных точках и обеспечивая видимость состояния безопасности сети. В случае сообщения IDS об аномалии корректирующие действия инициируются администратором сети или другим устройством в сети.

Система предотвращения вторжений подобна брандмауэру и находится в линии между двумя сетями и контролирует проходящий через них трафик. Он применяет указанную политику обнаружения аномалий в сетевом трафике. Обычно он отбрасывает все пакеты и блокирует весь сетевой трафик при обнаружении аномалии до тех пор, пока администратор не устранит аномалию.

IDS против IPS

Типы IDS

Существует два основных типа IDS.

  • IDS на основе подписи

    • Нужна база данных известных атак с их подписями.

    • Подпись определяется типами и порядком пакетов, характеризующих конкретную атаку.

    • Ограничением этого типа IDS является то, что могут быть обнаружены только известные атаки. Эта IDS также может вызвать ложную тревогу. Ложная тревога может возникнуть, когда обычный поток пакетов совпадает с сигнатурой атаки.

    • Хорошо известным примером IDS с открытым исходным кодом является «Snort» IDS.

  • IDS на основе аномалий

    • Этот тип IDS создает схему трафика нормальной работы сети.

    • В режиме IDS он смотрит на шаблоны трафика, которые являются статистически необычными. Например, необычная загрузка ICMP, экспоненциальный рост при сканировании портов и т. Д.

    • Обнаружение любой необычной схемы движения генерирует сигнал тревоги.

    • Основная проблема, с которой сталкиваются при развертывании IDS этого типа, заключается в трудности различения нормального и необычного трафика.

IDS на основе подписи

Нужна база данных известных атак с их подписями.

Подпись определяется типами и порядком пакетов, характеризующих конкретную атаку.

Ограничением этого типа IDS является то, что могут быть обнаружены только известные атаки. Эта IDS также может вызвать ложную тревогу. Ложная тревога может возникнуть, когда обычный поток пакетов совпадает с сигнатурой атаки.

Хорошо известным примером IDS с открытым исходным кодом является «Snort» IDS.

IDS на основе аномалий

Этот тип IDS создает схему трафика нормальной работы сети.

В режиме IDS он смотрит на шаблоны трафика, которые являются статистически необычными. Например, необычная загрузка ICMP, экспоненциальный рост при сканировании портов и т. Д.

Обнаружение любой необычной схемы движения генерирует сигнал тревоги.

Основная проблема, с которой сталкиваются при развертывании IDS этого типа, заключается в трудности различения нормального и необычного трафика.

Резюме

В этой главе мы обсудили различные механизмы, используемые для контроля доступа к сети. Подход к безопасности сети с помощью контроля доступа технически отличается от реализации мер безопасности на разных уровнях сети, которые обсуждались в предыдущих главах этого руководства. Однако, хотя подходы к реализации различны, они дополняют друг друга.

Управление доступом к сети состоит из двух основных компонентов: аутентификация пользователя и защита границ сети. RADIUS — это популярный механизм для обеспечения центральной аутентификации в сети.

Брандмауэр обеспечивает защиту границ сети, отделяя внутреннюю сеть от общедоступного Интернета. Брандмауэр может функционировать на разных уровнях сетевого протокола. IDS / IPS позволяет отслеживать аномалии в сетевом трафике, обнаруживать атаки и предпринимать превентивные действия против них.

Сетевая безопасность — критическая необходимость

Информация и эффективная коммуникация являются двумя наиболее важными стратегическими вопросами для успеха любого бизнеса. С появлением электронных средств связи и хранения все больше и больше предприятий перешли на использование сетей передачи данных для связи, хранения информации и получения ресурсов. Существуют различные типы и уровни сетевых инфраструктур, которые используются для ведения бизнеса.

Можно утверждать, что в современном мире ничто не оказывало большего влияния на бизнес, чем сетевые компьютеры. Но сетевое взаимодействие влечет за собой угрозы безопасности, которые, если их смягчить, позволяют перевесить преимущества сетевого взаимодействия.

Роль сети в бизнесе

В настоящее время компьютерные сети рассматриваются как ресурс практически всеми предприятиями. Этот ресурс позволяет им собирать, анализировать, систематизировать и распространять информацию, необходимую для их прибыльности. Большинство предприятий установили сети, чтобы оставаться конкурентоспособными.

Наиболее очевидная роль компьютерных сетей состоит в том, что организации могут хранить практически любую информацию в центральном месте и извлекать ее в нужном месте через сеть.

Преимущества сетей

Компьютерные сети позволяют людям легко обмениваться информацией и идеями, чтобы они могли работать более эффективно и продуктивно. Сети улучшают такие действия, как покупка, продажа и обслуживание клиентов. Сеть делает традиционные бизнес-процессы более эффективными, более управляемыми и менее дорогими.

Основные преимущества, которые бизнес извлекает из компьютерных сетей:

  • Совместное использование ресурсов. Компания может сократить количество денег, затрачиваемых на оборудование, путем совместного использования компонентов и периферийных устройств, подключенных к сети.

  • Оптимизированные бизнес-процессы. Компьютерные сети позволяют предприятиям оптимизировать свои внутренние бизнес-процессы.

  • Сотрудничество между отделами — когда два или более отделов бизнеса соединяют выбранные части своих сетей, они могут оптимизировать бизнес-процессы, которые обычно занимают чрезмерное количество времени и усилий и часто создают трудности для достижения более высокой производительности.

  • Улучшенные отношения с клиентами. Сети предоставляют клиентам множество преимуществ, таких как удобство ведения бизнеса, быстрое реагирование на услуги и т. Д.

Совместное использование ресурсов. Компания может сократить количество денег, затрачиваемых на оборудование, путем совместного использования компонентов и периферийных устройств, подключенных к сети.

Оптимизированные бизнес-процессы. Компьютерные сети позволяют предприятиям оптимизировать свои внутренние бизнес-процессы.

Сотрудничество между отделами — когда два или более отделов бизнеса соединяют выбранные части своих сетей, они могут оптимизировать бизнес-процессы, которые обычно занимают чрезмерное количество времени и усилий и часто создают трудности для достижения более высокой производительности.

Улучшенные отношения с клиентами. Сети предоставляют клиентам множество преимуществ, таких как удобство ведения бизнеса, быстрое реагирование на услуги и т. Д.

Есть много других специфических бизнес-преимуществ, которые можно получить от работы в сети. Такие преимущества сделали необходимым для всех типов предприятий использование компьютерных сетей.

Необходимость сетевой безопасности

Угрозы в проводных или беспроводных сетях значительно возросли в связи с развитием современных технологий с ростом емкости компьютерных сетей. Огромное использование Интернета в современном мире для различных бизнес-транзакций создает проблемы кражи информации и других атак на интеллектуальные активы бизнеса.

В нынешнюю эпоху большинство предприятий ведется через сетевые приложения, и, следовательно, все сети подвергаются риску атак. Наиболее распространенными угрозами безопасности для бизнес-сетей являются перехват и кража данных, а также кража личных данных.

Сетевая безопасность является специализированной областью, которая занимается предотвращением таких угроз и обеспечивает защиту удобства использования, надежности, целостности и безопасности компьютерной сетевой инфраструктуры бизнеса.

Защита активов бизнеса — это основная задача сетевой безопасности. Активы означают информацию, которая хранится в компьютерных сетях. Информация так же важна и ценна, как и любые другие материальные активы компании. Безопасность сети связана с целостностью, защитой и безопасным доступом к конфиденциальной информации.

Соответствие нормативным требованиям. Меры сетевой безопасности помогают предприятиям соблюдать государственные и отраслевые нормативы, касающиеся информационной безопасности.

Безопасная совместная работа — сетевая безопасность способствует совместной работе сотрудников и облегчает общение с клиентами и поставщиками, предлагая им безопасный доступ к сети. Это повышает уверенность клиентов и потребителей в том, что их конфиденциальная информация защищена.

Снижение риска — принятие мер по обеспечению безопасности сети снижает влияние нарушений безопасности, в том числе судебных исков, которые могут обанкротить малый бизнес.

Получение конкурентного преимущества — Разработка эффективной системы безопасности для сетей дает конкурентное преимущество организации. В сфере финансовых услуг в Интернете и электронной коммерции безопасность сети приобретает первостепенное значение.