Топалов

}

remote anonymous # у випадку з'єднання клієнтів з динамічними ip адресами.

#Для першої фази.

{

exchange_mode main, aggressive; # режим першої фази: у першу

#застосовується основний режим, у інших випадках агресивний. doi ipsec_doi; # застосовувається ipsec описаний у RFC 2407. situation identity_only; # перевірка ідентичності.

#my_identifier address; # адрес локальної сторони з'єднання.

#my_identifier user_fqdn "sakane@kame.net";

#my_identifier asn1dn; # ідентифікатор сервера, що відправляється

#видаленому хосту, буде узятий з поля Subject сертифікату.

#peers_identifier user_fqdn "sakane@kame.net";

#peers_identifier asn1dn; # ідентифікатор видаленої сторони буде узятий з

#поля Subject сертифікату.

#verify_identifier off; # не перевіряти відповідність ідентифікатора

#видаленого хоста та ідентифікатора, що використовується

# в полі ID payload.

#verify_identifier on; # перевіряти відповідність ідентифікатора

#видаленого хоста та ідентифікатора, що використовується в полі ID payload. certificate_type x509 "ipsec - server.crt" "ipsec - server.key"; # файл

#сертифіката сервера "ipsec - server.crt" та ключ "ipsec - server.key". peers_certfile "ipsec - client.crt"; # файл сертифіката клієнта

#"ipsec - client.crt".

passive on; # ніколи не ініціювати сесію з боку сервера. generate_policy on; # генерувати політику безпеки для з'єднання. nonce_size 16; # кількість біт використовувані лише один раз.

lifetime time 60 min; # sec, min, hour # час ―життя‖ з'єднання до переідентифікаціі першої фази.

initial_contact on; # ініціювати контакт.

#support_mip6 on; # застосувати ipv6

proposal_check obey; # obey, strict or claim # запропонований режим

#перевірки proposal {

encryption_algorithm 3des; # використання алгоритму шифрування

#3des. Можливо застосувати des, 3des, blowfish, cast128, aes, camellia. hash_algorithm sha1; # використання хеш-алгоритму шифрування

#sha1. Можливо застосувати md5, sha1, sha256, sha384, sha512. authentication_method rsasig ; # використання методу автентифікації

#шифрування rsa. Можливо застосувати pre_shared_key,

211

#ssapi_krb, hybrid_rsa_server, hybrid_rsa_client, xauth_rsa_server,

#xauth_rsa_client, xauth_psk_server or xauth_psk_client.

dh_group 2 ; # алгоритм Діффи-Хелмена 1 - modp768, 2 - modp1024,

#5 - modp1536, 14 - modp2048, 15 - modp3072, 16 - modp4096, 17 - modp6144,

#18 - modp8192.

}

}

sainfo anonymous # параметри другої фази.

{

pfs_group 1; # описання групи.

lifetime time 30 sec; # час ―життя‖ 20 сек до переідентифікаціі для другої

# фази.

encryption_algorithm 3des, des ; # використання алгоритмів шифрування

# 3des, des.

authentication_algorithm hmac_sha1, hmac_md5; # використання методів

# автентифікації hmac з sha1, hmac з md5

compression_algorithm deflate ; # використання алгоритму компресії без

# втрат deflate.

}

Пояснення:

-шлях до файла psk.txt закоментований, оскільки pre - shared keys не використовується;

-доданий шлях до каталога з сертифікатами usr/local/etc/racoon/cert (створимо його пізніше);

-включений максимальний рівень налагоджувальної інформації, записаної в syslog (log debug4 ), це може знадобитися при налаштуванні;

-вказано, на якій адресі слухати запити ISAKMP (isakmp 192.168.0.120 [500];), якщо цей параметр закоментувати (#), racoon слухатиме на усіх адресах;

-початок секції <<remote anonymous>> - в секції описуються параметри для випадку, коли клієнт підключається з динамічної (невідомої заздалегідь) IP - адреси

-вказано, що в першій фазі встановлення зв'язку повинен використовуватися основний режим (exchange_mode main, aggressive;), може бути також закоментовано, якщо racoon не виступатиме в ролі ініціатора з'єднання;

-<<generate_policy on;>> - автоматично створювати політикові IPSec. Ми вимушені це робити, оскільки умовилися, що у клієнта динамічна IP -адреса, яку ми не знаємо заздалегідь, і відповідно, не можемо заздалегідь встановити потрібну політику.

Важлива примітка до останнього пункту (man racoon.conf):

"Note that inappropriate policy might be installed into the responder's SPD by the initiator. So that other communication might fail if such policies installed due to some policy mismatches between the initiator and the responder".

На жаль, це спостерігається і на практиці (наприклад, якщо впродовж терміну життя політики сталося відключення і повторне підключення Windows -

212

клієнта до провайдера, або якщо на клієнтові був перезапущений сервіс IPSec). Єдиним виходом у такому разі видається завдання меншого часу життю політики. На ще більший жаль, Windows не дозволяє встановити її менш ніж 300 секунд. Це серйозний недолік, але альтернативи в даному випадку (клієнт з динамічною IP - адресою) немає.

Рядки, що залишилися, відносяться до переважних алгоритмів шифрування, автентифікації і перевірки цілісності даних ESP.

Зберігаємо файл, що вийшов, створюємо каталог /usr/local/etc/racoon/cert,

ікопіюємо в нього:

-файл сертифікату сервера (ipsec - server.crt);

-файл із закритим ключем сертифікату (ipsec - server.key);

-файл з сертифікатом клієнта (ipsec - client.crt).

Про всяк випадок, виставляємо права доступу 0400 (chmod 400 ім'я_файла) для цих файлів, і перевіряємо, що їх власником вказана root група wheel (chown root ім'я_файла).

Можна запустити racoon в режимі демона (наприклад, командою racoon - f /etc/racoon/racoon.conf), і перейти до налаштування Windows.

Запустити tcpdump або Wireshark для захоплення пакетів. Встановити з'єднання за протоколом IPSec, пропинговати ip адрес сервера або клієнта. Закрити з'єднання за протоколом IPSec. Зупинити tcpdump або Wireshark. Підкресліть пакети, що відносяться до з’єднання IPSec.

3.Ключові питання

5)Які види VPN на базі IPSec існують ?

6)Як створити кореневий сертифікат ?

7)Що означає параметр lifetime time 30 sec у файлі racoon.conf ?

8)За допомогою яких алгоритмів шифрування створені кореневий сертифікат та сертифікат клієнта ?

9)Які алгоритми автентифікації застосовуються у кореневому сертифікаті та сертифікаті клієнта ?

10)На який період діє створений кореневий сертифікат ?

11)Який порт застосовано для isakmp ?

12)Застосовується ipv6 у данній роботі ?

4. Домашнє завдання

1.Вивчити формування IPSec тунелю. Основні можливості IPSec.

2.Визначити, які основні алгоритми авторизації та шифрування застосовується у IPSec протоколі.

3.З’ясувати, які основні програмні продукти будуть застосовуватися у лабораторній роботі.

4.Відповісти на ключові питання.

213

1. Додаток А

НАВЧАЛЬНА ПРОГРАММА

Безпека інформаційно-комунікаційних систем

Нормативна дисципліна освітньо-професійної програми

підготовки бакалаврів за напрямом вищої освіти 6.170102 Системи технічного захисту інформації

Спеціальність: Інформаційна безпека

І. Передмова

Загальна характеристика дисципліни: кількість кредитів ECTS 3;5

модулів 2; загальна кількість годин 126; у тому числі:

лекції 32 год.; лабораторних занять 28 годин; практичних занять 20 годин; самостійна робота 75 год.; аудиторної роботи 51 години;

семестри 5.1 та 5.2, вид контролю залік.

ІІ. Мета навчання з дисципліни

Формування основ знань щодо механізмів та практичних методів захисту інформації в комп’ютерних та інформаційно-комунікаційних каналах зв’язку. Ознайомлення студентів із сучасними засобами захисту інформації в комп’ютерних та інформаційно-комунікаційних каналах зв’язку, оволодіння методами рішення професійних завдань.

ІІІ. Зміст дисципліни Модуль 1: Апаратні засоби захисту інформації і захист програм та да-

них (кредитів ECTS – 1,8)

Вхідні вимоги до вивчення модуля

215

Структура залікового модуля 1

Модуль 1: Архітектура безпеки. Концепція захисту інформації (1,5 кредити; 54 год.)

216

Зміст змістових модулів (лекційних годин):

1.1. Основні поняття захисту інформаційних технологій (2 год.)

Електронний документ (ЕД). Види інформації в КС. Інформаційні потоки в КС. Поняття ЕД. Типи ЕД. Поняття зловмисника.

1.2.Основні апаратні засоби захисту інформаційно-комунікаційних систем

(2 год.)

Поняття доступу, суб'єкт і об'єкт доступу. Фізичні, організаційнотехнічні, технічні, та програмні засоби захисту.

1.3.Засоби фізичної безпеки та політика безпеки в комп'ютерних системах

(2 год.)

Засоби фізичної безпеки контрольованої території, виробничих приміщень та ресурсів захисту. Оцінка захищеності. Способи захисту конфіденційності, цілісності та доступності в КС.

1.4.Засоби захисту від витоку інформації технічними каналами: заземлення, електроживлення, ПЕВМН Ідентифікація користувачів КС - суб'єктів доступу до даних (2 год.)

Засоби захисту від витоку інформації технічними каналами: заземлення, електроживлення, ПЕВМН тощо.

1.5.Засоби й методи обмеження доступу до файлів (2 год.)

Поняття несанкціонованого доступу (НСД). Класи й види НСД. Завдання ідентифікації користувача. Поняття протоколу ідентифікації. Локальна й вилучена ідентифікація. Ідентифікуюча інформація. Способи зберігання ідентифікуючої інформації. Основні підходи до захисту даних від НСД. Організація доступу до файлів. Фіксація доступу до файлів. Доступ до даних з боку процесу. Особливості захисту даних від зміни. Несанкціоноване копіювання програм як особливий вид НСД.

1.6. Програмно-апаратні засоби шифрування (2 год.)

Апаратні та програмно-апаратні засоби криптозахисту даних. Побудова апаратних компонентів криптозахисту даних. Захист алгоритму шифрування. Необхідні та достатні функції апаратного засобу криптозахисту.

1.7. Захист програм від несанкціонованого копіювання (2 год.)

Несанкціоноване копіювання програм як тип НСД. Загальне поняття захисту від копіювання. Прив'язка програмного забезпечення (ПЗ) до апаратного оточення й фізичних носіїв. Способи створення міток, що не копіюються.

1.8. Захист програм від вивчення (2 год.)

Вивчення й зворотне проектування ПЗ. Завдання захисту від вивчення й способи їхнього рішення. Аспекти проблеми захисту від дослідження.

218

Теми практичних занять модуля 1

219

Вихідні знання та уміння з модуля 1

Модуль 2: Захист в операційних системах та в мережах (кредитів

ECTS – 1,7)

Вхідні вимоги до вивчення модуля

220