Файловый архив студентов. Файловый архив студентов.
1262 вуза, 4625 предмета.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Набережночелнинский институт социально-педогогических технологий и ресурсов
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
2.3. защита на канальном и сеансовом уровнях.docx
Скачиваний:
18
Добавлен:
25.11.2019
Размер:
148.23 Кб
Скачать
►Содержание►

Протоколы формирования защищенных каналов на сеансовом уровне

При построении защищенных вирту­альных сетей на сеансовом уровне появляется возможность криптографической защиты информационного обмена, включая аутентификацию, a также реализации ряда функций посредниче­ства между взаимодействующими сторонами.

Действительно, сеансовый уровень модели OSI отвечает за установку логических соединений и управление этими соединениями.

Для защиты информационного обмена на сеансовом уровне широкое распространение получил протокол SSL (Secure Sockets Layer).

Протоколы ssl/tls Рис. 6. Криптозащищенные туннели, сформированные на основе протокола ssl

П ротокол SSL применяется в качестве протокола защищен­ного канала, работающего на сеансовом уровне модели OSI. Этот протокол использует криптографические методы защиты инфор­мации для обеспечения безопасности информационного обмена. Протокол SSL выполняет все функции по созданию защищенно­го канала между двумя абонентами сети, включая их взаимную аутентификацию, обеспечение конфиденциальности, целостно­сти и аутентичности передаваемых данных.

Согласно протоколу SSL криптозащищенные туннели созда­ются между конечными точками виртуальной сети. Инициатора­ми каждого защищенного туннеля являются клиент и сервер, функционирующие на компьютерах в конечных точках туннеля (рис. 6).

Протокол SSL предусматривает следующие этапы взаимо­действия клиента и сервера при формировании и поддержке за­щищаемого соединения:

  • установление SSL-сессии;

  • защищенное взаимодействие.

В процессе установления SSL-сессии решаются следующие задачи:

  • аутентификация сторон;

  • согласование криптографических алгоритмов и алгоритмов сжатия, которые будут использоваться при защищенном информационном обмене;

  • формирование общего секретного мастер-ключа;

  • генерация на основе сформированного мастер-ключа общих секретных сеансовых ключей для криптозащиты информа­ционного обмена.

Протокол SSL 3.0 поддерживает три режима аутентификации:

  • взаимную аутентификацию сторон;

  • одностороннюю аутентификацию сервера без аутентифика­ции клиента;

  • полную анонимность.

В январе 1999 г. на сме­ну версии SSL 3.0 пришел протокол TLS (Transport Layer Secu­rity), который базируется на протоколе SSL и в настоящее время является стандартом Интернета. Различия между протоколами SSL 3.0 и TLS 1.0 не слишком существенны.

К недостаткам протоколов SSL и TLS можно отнести то, что для транспортировки своих сообщений они используют только один протокол сетевого уровня — IP, и, следовательно, могут работать только в IP-сетях.

Кроме того, в SSL для аутентификации и шифрования ис­пользуются одинаковые ключи, что при определенных условиях может привести к потенциальной уязвимости.

Протокол socks

Протокол SOCKS организует процедуру взаимодействия клиент-серверных приложений на сеансовом уровне модели OSI через сервер-посредник, или proxy-сервер.

В общем случае программы-посредники, которые традицион­но используются в МЭ, могут выполнять следующие функции:

  • идентификацию и аутентификацию пользователей;

  • криптозащиту передаваемых данных;

  • разграничение доступа к ресурсам внутренней сети;

  • разграничение доступа к ресурсам внешней сети;

  • фильтрацию и преобразование потока сообщений, напри­мер поиск вирусов и прозрачное шифрование информации;

  • трансляцию внутренних сетевых адресов для исходящих потоков сообщений.

Согласно спецификации протокола SOCKS различают SOCKS-сервер, который целесообразно устанавливать на шлюз (МЭ) сети, и SOCKS-клиент, который устанавливают на каждый пользовательский компьютер. SOCKS-сервер обеспечивает взаи­модействие с любым прикладным сервером от имени соответст­вующего этому серверу прикладного клиента. SOCKS-клиент предназначен для перехвата всех запросов к прикладному серве­ру со стороны клиента и передачи их SOCKS-серверу.

SOCKS-сервер может вы­полнять такие функции, как:

  • разграничение доступа к ресурсам внутренней сети;

  • разграничение доступа к ресурсам внешней сети;

  • фильтрация потока сообщений, например, динамический поиск вирусов;

  • регистрация событий и реагирование на задаваемые собы­тия;

  • кэширование данных, запрашиваемых из внешней сети.

Специальные программы, называемые соксификаторами, до­полняют клиентские приложения поддержкой протокола SOCKS. К таким программам относится, например, NEC SocksCap и др. При установке соксификатор внедряется между пользовательски­ми приложениями и стеком коммуникационных протоколов. Да­лее в процессе работы он перехватывает коммуникационные вы­зовы, формируемые приложениями, и перенаправляет их в случае надобности на SOCKS-сервер. При отсутствии нарушений уста­новленных правил безопасности работа SOCKS-клиента совер­шенно прозрачна для клиентских приложений и пользователей.

Т аким образом, для формирования защищенных виртуаль­ных сетей по протоколу SOCKS в точке сопряжения каждой локальной сети с Интернетом на компьютере-шлюзе устанавливается SOCKS-сервер, а на рабочих станциях в локальных сетях и на компьютерах удаленных пользователей устанавливаются SOCKS-клиенты. По существу, SOCKS-сервер можно рассмат­ривать как МЭ, поддерживающий протокол SOCKS (рис. 7).

Рис. 7. Схема взаимодействия по протоколу SOCKS

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности