60. Схемы взаимодействия с провайдером при реализации vpn с провайдером
1) Пользовательская схема: предприятие самостоятельно защищает свои данные, размещая VPN клиента и шлюза у себя в организации.
Достоинства: полный контроль надо безопасностью, безопасность обеспечения от одной конкретной точки до другой.
Недостатки: высокая стоимость, связанная с покупкой оборудования VPN, низкая масштаб-ть для каждого нового офиса необходимо новое оборудование и его настройка, также как и для удаленных клиентов.
2) Провайдерская: организуется с помощью средств провайдера. Провайдеры устанавливают в своей сети некоторое количество VPN подшлюзов, образующих защищенные каналы для тех, кто заплатил.
Это хорошо масштаб. и эконом. решение. Для ПК корпоративной сети защищенный канал прозрачный. Не нужно дополнительно устанавливать ПО. Легко подключить новые офисы и клиенты.
Недостаток: полное доверие провайдеру, что небезопасно.
3) Смешанная схема: VPN устройство располагается как в сети провайдера, так и в корпоративной сети. Организуется когда предприятие пользуется услугами одного провайдера, но ряд офисов пользуется услугами другого провайдера.
61. Семейство протоколов ipSec. Схемы применения. Применение основных протоколов семейства.
Это семейство протоколов при участии IP-протокола:
-АН-заголовок аутентификации;
-ESP-протокол шифрования;
-IКE-обмена ключами.
Первые два протокола могут защищать данные в 2х режимах:
-транспортном;
-туннельном.
В первом случае передача IP-пакета через сеть выполняется с помощью исходного заголовка IP-пакета. В туннельном режиме в исходящей пакет помещается новый IP пакет и передача осуществляется на основе заголовка нового IPпакета. Выбор режима зависит от роли, которую играет в сети узел, завершающий защищенный канал. Узел может быть хостом или шлюзом
Имеется 3 схемы применения IPSec:
Host-host
Защищенный канал устанавливается между конечными узлами сети, которые должны поддерживать IPSec. Используется транспортный режим, но может использоваться и туннельный. Конечные узлы должны поддерживать протокол IPSec. Достоинства канала устанавливаются между конечными точками
Шлюз-шлюз
Защищенный канал устанавливается между двумя промежуточными узлами, т.н. шлюзами безопасности, которые поддерживают IPSec и используют туннельный режим. От конечных узлов не требуется поддержка IPSec, но трафик внутри подсети не шифруется.
Хост-шлюз
Используется при удаленном доступе. Защищенный канал организуется между удаленным хостом, на котором работает IPSec и шлюзом безопасности предприятия. Удаленный хост может использовать как транспортный, так и туннельный режимы. . Шлюз отправляет пакеты хост только в туннельном режиме Схему можно усложнить, создав еще один защ. канал между удаленным ПК и каким-то хостом корпоративной сети. При этом защищается трафик и работа в сети.
62. Протокол аутентификации ah
Протокол аутентификации позволяет убедиться, что:
- пакет отправлен той стороной, с которой установлено соединение.
- содержание пакета не изменилось при передаче.
- пакет не является дубликатом ранее посланного пакета.
Структура заголовка АН:
- 1 байт поле содержит подтип протокола верхнего уровня, сообщение которого размещено в поле данных пакета IP
-2 - длина заголовка в 32-байтных словах -2 слова
-3 – не используется
- SPI-индекс параметра безопасности - это значение, которое в совокупности с адресом назначения однозначно определяет ассоциацию безопасности (Security Association ≈ SA) для данной датаграммы в виде 32-битного номера;
- SN- Последовательный номер – это монотонно возрастающий от 0 ( при установлении SA) номер пакета
- 4 - Поле "Данные аутентификации" – содержат значение контроля целостности (Integrity check value ≈ ICV), рассчитанное по всем данным, которые не изменяются в пути следования пакета или предсказуемы на момент достижения им получателя.
Место расположения данного заголовка зависит от режима (туннельного или транспортного).
В транспортном режиме
-
Заголовок исходного пакета
заголовок АН
пакет верхнего уровня
В туннельном режиме протокол защищает все поля исходного пакета, неизменяемые поля нового заголовка внешнего пакета.
-
Заголовок внешнего IP-пакета
Заголовок исходного пакета
заголовок АН
пакет верхнего уровня
В новом заголовке шлюз указывает в качестве адреса источника IP-адрес своего интерфейса с общедоступной сетью. В качестве адреса назначения внешнего пакета указывается IP-адрес внешнего приним-го шлюза. Передача по инету осуществляется на основе заголовка внешнего пакета.
63. протокол ESP- протокол инкапсулирующей защиты содержимого
Решает 2 задачи:
- обеспечивает аутентификацию и целостность данных
-защищает от несанкционированного просмотра путем шифрования передаваемых данных.
Для поля данных размещается заголовок ESP, состоящий из SPI (данные) и SN (заполнитель)За полем данных следует так называемый трейлер или хвост, в который входит (заполнитель)(длина заполнителя)(указатель протокола верх. ур-ня)(поле аутентификации)
Заполнитель имеет длину до 255 байт и используется для следующей цели - выравнивание шифрованных данных двукратного размера блока шифрования; для выравнивания поля данных; для сокрытия действительного размера пакетов. Заголовок ip-пакет не шифруется. Не шифруются поля SPI-SN, которые позволяют отнести пакет к определенному безопасному соединению и защититься от повтора пакетов.
В отличие от АН контроль целостности и аутентификация данных не распространяются на заголовок исходного пакета, поэтому имеет смысл использовать оба протокола.
В транспортном режиме структура пакета имеет следующий вид:
В туннельном режиме заголовок исходного IP-пакета помещается после заголовка ESP и полностью попадает в защищенные поля. Заголовок внешнего пакета не защищается.
Аутентификация в ESP. Если в ESP включены и шифрование, и аутентификация, то аутентифицируется зашифрованный пакет. Для входящих пакетов действия выполняются в обратном порядке, т. е. сначала производится аутентификация.Это позволяет не тратить ресурсы на расшифровку поддельных пакетов, что в какой-то степени защищает от атак на доступность.