После дешифрирования пакета приемный узел IPSec проверяет его признаки (ставшие теперь доступными) на предмет совпадения с селектором записи SPD для входящего трафика, чтобы убедиться, что ошибки не произошло и выполняемая обработка пакета соответствует политике защиты, заданной администратором.

Использование баз SPD и SAD для защиты трафика позволяет достаточно гибко сочетать механизм безопасных ассоциаций, который предусматривает установление логического соединения, с дейтаграммным характером трафика протокола IP.

Сети VPN на основе шифрования

Более масштабным средством защиты трафика по сравнению с защищенными каналами являются виртуальные частные сети (VPN). Подобная сеть представляет собой своего рода «сеть в сети», то есть сервис, создающий у пользователей иллюзию существования их частной сети внутри публичной сети. Одним из важнейших свойств такой «частной сети» является защищенность трафика от атак пользователей публичной сети. Сетям VPN доступна не только способность имитации частной сети; они дают пользователю возможность иметь собственное адресное пространство (например, частные 1Р-адреса, такие как адреса сети 10.0.0.0) и обеспечивать качество обслуживания, близкое к качеству выделенного канала.

В соответствии с технологиями обеспечения безопасности данных, сети VPN делятся на два класса:

□сети VPNна основе разграничения трафика подробно обсуждались в разделе «Вирту­ альные частные сети» главы 19;

□сети VPNна основе шифрования работают на основе рассмотренной нами в предыдущем разделе техники защищенных каналов.

чаяниясегтіг

защищенных кйналоа» созванных

^# О И К ;^ Д Й аЛ О ^ .і .....................

То есть в VPN техника защищенных каналов применяется уже в других масштабах, связы­ вая не двух пользователей, а произвольное количество клиентских сетей.

Технологии VPN на основе шифрования включают шифрование, аутентификацию и тун­ нелирование.

□Шифрование гарантирует конфиденциальность корпоративных данных при передаче через открытую сеть.

□Аутентификация отвечает за то, чтобы взаимодействующие системы (пользователи) на обоих концах VPN были уверены в идентичности друг друга.

□Туннелирование предоставляет возможность передавать зашифрованные пакеты по открытой публичной сети.

Для повышения уровня защищенности виртуальных частных сетей технологии VPN на основе шифрования можно применять совместно с технологиями VPN на основе раз­ граничения трафика. Технологии VPN на основе разделения трафика иногда критикуют за недостаточный уровень безопасности, считая, что без шифрования трафика персонал поставщика услуг может получить несанкционированный доступ к данным. Действитель­ но, такая вероятность существует, поэтому клиент услуг VPN на основе разграничения трафика, например MPLS VPN, может самостоятельно повысить защищенность своего трафика, прибегнув, скажем, к шифрованию передаваемых данных.

Сейчас наиболее широко используются сети VPN на основе протоколов IPSec и SSL.

Стандарты IPSec обеспечивают высокую степень гибкости, позволяя выбрать нужный режим защиты (с шифрованием или только с обеспечением аутентичности и целостности данных), а также использовать различные алгоритмы аутентификации и шифрования. Режим инкапсуляции IPSec позволяет изолировать адресные пространства получателя (клиента) и поставщика услуг за счет применения двух ІР-адресов —внешнего и вну­ треннего.

Сети VPN на основе IPsec, как правило, строятся по типу CPVPN, то есть как виртуаль­ ные частные сети, в которых клиент самостоятельно создает туннели IPSec через 1Р-сеть поставщика услуг. Причем от последнего требуется только предоставление стандартного сервиса по объединению сетей, а значит, предприятию доступны как услуги сети постав­ щика, так и услуги Интернета. Конфигурирование сетей VPN на основе IPSec довольно трудоемко, поскольку туннели IPSec двухточечные, то есть при полносвязной топологии их количество пропорционально N х (N - 1), где N — число соединений. Необходимо учесть еще и непростую задачу поддержания инфраструктуры ключей. Протокол IPSec может применяться также для создания виртуальных частных сетей, поддерживаемых провайдером (PPVPN) —туннели в них также строятся на базе устройств клиента (СЕbased), но эти устройства удаленно конфигурируются и администрируются поставщи­ ком услуг.

Пропускная способность каналов и другие параметры QoS этой технологией не поддер­ живаются, но если оператор предоставляет определенные параметры QoS (например, за счет дифференцированного обслуживания), их можно использовать при создании туннеля IPSec.

В самое последнее время выросла популярность VPN на основе протокола SSL. Напом­ ним, что этот протокол работает на уровне представления, непосредственно под уровнем приложений, так что приложения должны явным способом его вызывать, чтобы создать защищенный канал для своего трафика. Наиболее популярным приложением, использую­ щим защищенные каналы SSL, является веб-браузер. В этом случае защищенные каналы SSL задействует протокол HTTP, и в этом режиме работы его часто называют протоколом HT T P S Пользователи Интернета хорошо знают этот режим, так как браузер прибегает к нему во всех случаях, когда необходимо обеспечить конфиденциальность передаваемой информации: при покупках в интернет-магазинах, при интернет-банкинге и т. п.

Служба VPN на основе SSL функционирует на основе веб-портала, развернутого в локаль­ ной сети организации. Пользователи такой защищенной службы VPN получают удаленный

доступ к ресурсам этой локальной сети, обращаясь к веб-порталу посредством обычного браузера через порт 443 (TCP-порт протокола HTTPS). Отсутствие специального кли­ ентского программного обеспечения, требующего настройки, является значительным преимуществом VPN на основе SSL.

Выводы

Информационная система находится в состоянии защищенности, если обеспечены ее конфиденци­ альность, доступность и целостность.

Информационная безопасность обеспечивается техническими средствами — системами шифро­ вания, аутентификации, авторизации, аудита, антивирусной защиты, межсетевыми экранами идр., а также юридическими и морально-этическими нормами, просветительной работой иадминистра­ тивными мерами.

Существуетдва классаалгоритмов шифрования —симметричные (например, DES) иасимметричные (например, AFS). Дайджест —это результатодносторонней функции шифрования. Знаниедайджеста не позволяет и даже не предполагает восстановления исходныхданных. Дайджест используетсядля контроля целостности и аутентичности документа (цифровая подпись).

Аутентификация пользователя —это процедурадоказательства пользователем того, чтоон естьтот, за кого себя выдает. Процедуры аутентификации могут основываться на знании разделяемого се­ крета (многоразовые иодноразовые пароли), владения неким уникальным предметом (физическим ключом, документом, сертификатом), на биохарактеристиках (рисунок радужной оболочки глаза).

Авторизация — это процедура контроля доступа легальных пользователей к ресурсам системы и предоставление каждому из них именно тех прав, которые определены ему администратором.

Антивирусная защита служит для профилактики и диагностики вирусного заражения, а также для восстановления работоспособности пораженных вирусами информационных систем. В ней исполь­ зуются методы, основанные на анализе содержимого файлов (сканирование сигнатур) и поведения программ (протоколирование и предупреждение подозрительныхдействий).

Сетевой экран осуществляет информационную защиту одной части компьютерной сети от другой путем анализа проходящего между нимитрафика. Сетевые экраныделятся на экраны с фильтрацией пакетов на основе ІР-адресов, сетевые экраны сеансового уровня, способные фильтроватьпакеты с учетом контекста, и наиболее интеллектуальные сетевые экраны прикладного уровня.

Прокси-сервер —это особый тип приложения, которое выполняет функции посредника между кли­ ентскими и серверными частями распределенных сетевых приложений, причем предполагается, что клиенты принадлежат внутренней (защищаемой) сети, а серверы — внешней (потенциально опасной)сети.

Технология защищенного канала обеспечивает защиту трафика между двумя точками в открытой транспортной сети, например в Интернете. Защищенный канал подразумевает выполнение трех основных функций:

□ взаимная аутентификация абонентов при установлении соединения;

□шифрование передаваемых по каналу сообщений;

Оподтверждение целостности поступающих по каналу сообщений, например, путем передачи одновременно с сообщением его дайджеста.

К числу наиболее попул^доых протоколов защищенного канала относятся IPsec и SSL. IPSec — это согласованный набор открытых стандартов, ядро которого составляюттри протокола:

□АН гарантирует целостность иаутентичностьданных;

□ESP, кроме того, обеспечивает конфиденциальностьданных;

□IKEрешает задачуавтоматического распределения секретных ключей, необходимыхдля работы протоколов аутентификации.

Более масштабным средством защиты трафика по сравнению с защищенными каналами являются виртуальныемастные сети (VPN). VPN наоснове шифрования включают шифрование, которое гаран­ тирует конфиденциальность корпоративныхданныхпри передаче через открытуюсеть, аутентифика­ цию взаимодействующих систем на обоих концахVPN итуннелирование, позволяющее передавать зашифрованные пакеты по открытой публичной сети.

Вопросы и задания

1.В каких средствах обеспечения безопасности используется шифрование? Варианты ответов:

а) аутентификация и авторизация; б) антивирусные системы; в) защищенный канал;

г) сетевой экран прикладного уровня; д) фильтрующий маршрутизатор; е) цифровая подпись.

2.Какие из антивирусных методов способны обнаружить еще неизвестный вирус? Вари­ анты ответов:

а) сканирование сигнатур; б) метод контроля целостности;

в) отслеживание поведения команд; г) эмуляция тестируемых программ.

3.К числу базовых функций сетевого экрана относятся: а) аудит; б) шифрование трафика;

в) фильтрация трафика; г) антивирусная защита;

д) функция прокси-сервера; е) авторизация;

ж) повышение пропускной способности канала.

4.Существует ли угроза похищения пароля при использовании аппаратного ключа?

5.Справедливо ли утверждение «Поскольку открытый ключ не является секретным, то его не нужно защищать»?

6.Что содержится в электронном сертификате? Варианты ответов: а) секретный ключ владельца данного сертификата; б) данные о владельце сертификата;

в) информация о сертифицирующем центре, выпустившем данный сертификат; г) зашифрованные открытым ключом сертифицирующего центра данные, содержащиеся

всертификате.

7.Правила доступа узлов сети периметра к ресурсам внутренней сети часто бывают более строгими, чем правила, регламентирующие доступ к этим ресурсам внешних

8.Какие из следующих утверждений верны:

а) любое приложение после соответствующего конфигурирования имеет возможность работать через прокси-сервер;

б) для работы через прокси-сервер приложение, изначально не рассчитанное на работу через проки-сервер, требует изменения исходного кода;

в) каждое приложение, построенное в архитектуре клиент-сервер, непременно должно работать через прокси-сервер.

9.Почему в семействе протоколов IPSec функции обеспечения целостности и аутентич­ ности данных дублируются в двух протоколах —АН и ESP?

10.Отметьте в таблице все возможные комбинации режимов работы протокола IPsec.

Транспортный режим

Туннельный режим