Топалов
.pdf
МIНIСТЕРСТВО ОСВIТИ I НАУКИ УКРАЇНИ
Одеська національна академія зв’язку ім. О.С. Попова
Кафедра інформаційної безпеки та передачі даних
М.В. Захарченко, В.В. Топалов, М.С. Русляченко
Захист інформації від НСД у каналах зв’язку
Навчальний посібник
Для студентів вищих навчальних закладів, які навчаються за напрямом «Системи технічного захисту інформації»
За редакцією к.т.н., доцента В.Г. Кононовича
Одеса – 2014
ББК 32.88.
УДК 004.056; 681.336; 621.39
Рецензенти:
П.Ю. Баранов – д.т.н., професор, директор Інституту радіоелектроніки та телекомунікацій ОНПУ, завідувач кафедри радіотехнічних систем.
В.М. Кошевий – д.т.н., професор, завідувач кафедри морського радіозв’язку ОДМА.
Кадацький А.Ф., д.т.н., професор кафедри «Безпеки виробничих процесів та електроживлення систем зв’язку», Одеська національна академія зв’язку ім. О.С. Попова
Захарченко М.В. Інформаційна безпека інформаційно-комунікаційних систем. Захист інформації від НСД у каналах зв’язку: навч. посіб. /
М.В. Захарченко, В.В. Топалов, М.С. Русляченко // За ред. чл.-кор. МАЗ
В.Г. Кононовича. – Одеса: ОНАЗ ім. О.С. Попова, 2011. – 228 с.
ISBN 978-966-7598-62-4
Представлені тематичні цикли лабораторного практикуму в галузі знань «Інформаційна безпека». Цикли лабораторного практикуму складені з навчально – методичних рекомендацій та посібників для виконання лабораторних робіт з напрямів підготовки «Системи технічного захисту інформації» та «Безпека інформаційнокомунікаційних систем», об’єднані завданням створення комплексних систем технічного захисту інформації в організаціях, підприємствах, установах та органах державної влади.
Навчальний посібник буде корисний студентам бакалаврату, магістрату та слухачам курсів підвищення кваліфікації у галузі знань інформаційної безпеки.
Для студентів старших курсів вищих навчальних закладів.
СХВАЛЕНО |
|
|
та рекомендовано до друку |
ЗАТВЕРДЖЕНО |
|
на засіданні кафедра інформаційної без- |
||
методичною радою академії зв’язку. |
||
пеки та передачі даних |
||
Протокол № 8 від 11.05.2014 р. |
||
Протокол № ____ від _____ 2014р. |
||
|
ISBN 978-966-7598-62-4 |
М.В. Захарченко, В. В. Топалов, |
|
М.С. Русляченко, 2014 |
2
ЗМІСТ
Вступ ...........................................................................................................................
Розділ 1. МЕРЕЖНІ ТЕХНОЛОГІЇ ЗАХИСТУ ІНФОРМАЦІЇ.
ЕТАЛОННА МОДЕЛЬ ВЗАЄМОДІЇ ВІДКРИТИХ СИСТЕМ
OSI (OPEN SYSTEM INTERCONNECTION) ........................................
1.1.Основні поняття об’єднаних мереж .......................................................
1.1.1.Еталонна модель взаємодії відкритих систем...............................
1.1.2.Характеристики рівнів еталонної моделі OSI...............................
1.1.3.Модель OSI і обмін даними між комп’ютерними системами.....
1.1.4.Служби рівнів OSI ...........................................................................
1.1.5.Рівні моделі OSI ...............................................................................
1.1.6.Інформаційні формати.....................................................................
1.1.7.Ієрархія мереж за стандартом ISO .................................................
1.1.8.Мережні служби, орієнтовані на з’єднання, і служби, що не вимагають підтвердження з’єднання..................................
1.1.9.Адресація в об’єднаних мережах ...................................................
1.1.10.Основи керування потоком...........................................................
1.1.11.Основи контролю помилок ...........................................................
Розділ 2. ТЕХНОЛОГІЇ ВІРТУАЛЬНОЇ ПРИВАТНОЇ МЕРЕЖІ VPN
(VIRTUAL PRIVATE NETWORK) .........................................................
2.1 Класифікація VPN .....................................................................................
2.2.Типи технологій VPN ..............................................................................
2.3.Протоколи VPN ........................................................................................
2.4.Шифрування, автентифікація, контроль доступу .................................
Розділ 3. ТУНЕЛЬНІ ПРОТОКОЛИ........................................................................
3.1.Протокол з’єднання типу ―точка-точка‖РРР
(Point-to-Point Protocol) ...........................................................................
3.2.Протокол з’єднання типу ―точка-точка‖ поверх Ethernet PPPoE (Point-to-point protocol over Ethernet) .....................................................
3.3.Тунельний протокол типу ―точка-точка‖ РРТР (Point-to-Point Tunneling Protocol)...................................................................................
3.4.Протокол тунелювання другого рівня L2TP (Layer Two
Tunneling Protocol) ..................................................................................
Розділ 4. КОРОТКИЙ ОГЛЯД ОСНОВНИХ КОМАНД ОПЕРАЦІЙНИХ СИСТЕМ LINUX ТА UNIX ....................................................................
4.1.Виконання команд в операційних системах Unix i Linux ....................
4.2.Отримання підказки для виконання команд .........................................
4.3.Складені команди.....................................................................................
4.4.Інформаційні команди .............................................................................
4.5.Команди для роботи з файловою системою..........................................
4.6.Команди управління процесами .............................................................
4.7.Текстовий двохпанельний файловий менеджер
Midnight Commander ...............................................................................
3
4.8. Висновки щодо розділу ...........................................................................
Розділ 5. СТЕК ПРОТОКОЛІВ БЕЗПЕКИ ДАНИХ IPSEC (IP SECURITY) ......
5.1.Створення захищених мереж VPN за допомогою IPSec
5.2.Асоціаціія захисту ....................................................................................
5.3.Режими IPSec ............................................................................................
5.4.Принципи роботи ..........................................................................................................
Розділ 6. ТЕХНОЛОГІЇ, ЯКІ ВИКОРИСТОВУЮТЬСЯ В РАМКАХ IPSEC ....
6.1.Протокол AH.............................................................................................
6.2.Протокол ESP ...........................................................................................
6.3.Стандарт і алгоритм DES, 3DES.............................................................
6.4.Протокол IKE............................................................................................
6.5.Узгодження ключів за схемою Діффі-Хеллмана. Опція PFS ..............
6.6.Коди HMAC ..............................................................................................
6.7.Захист RSA. Підписи RSA......................................................................
6.8.Центри сертифікації .................................................................................
6.9.Перетворення IPSec..................................................................................
6.10.Висновки за розділом.............................................................................
Розділ 7. СТВОРЕННЯ СЕРТИФІКАТІВ НА ОСНОВІ ПРОГРАМИ
OPENSSL (OPEN SECURE SOCKETS LAYER) І КОРОТКИЙ ОГЛЯД ОСНОВНИХ КОМАНД DOS/WINDOWS ..............................
7.1.Створення сертифікатів на основі програми OpenSSL
7.2.Короткий огляд основних команд DOS/Windows ........................................................
Лабораторна робота № 1.
Інкапсуляції в пакетних мережах передачі даних Ethernet. Функціональні можливості
програмного аналізатора пакетів Wireshark ............
Лабораторна робота № 2.
Дослідження з'єднання тунелю за протоколом
РРРoE з боку клієнта на базі операційної
системи Windows .......................................................
Лабораторна робота № 3.
Дослідження з'єднання тунелю за протоколом РРТР з боку клієнта на базі операційної
системи Windows .......................................................
Лабораторна робота № 4.
Дослідження з'єднання тунелю за протоколом L2TP з боку клієнта на базі операційної
системи Windows .......................................................
Лабораторна робота № 5.
Вивчення з’єднання за транспортного режиму IPSec тунелю. Організація підключення за
4
допомогою OpenVPN з боку клієнта на базі операційної системи Windows ............................................
Лабораторна робота № 6.
Налаштування клієнта для з'єднання за протоколом IPSec між ОС Linux на основі сервера доступу racoon і ОС Windows XP/Windows-2000 з використанням сертифікатів X.509 і протоколу обміну ключами ISAKMP
на стороні ОС Windows XP/Windows – 2000 ..........
Лабораторна робота № 7.
Налаштування SSH-тунелю. Огляд можливостей Лабораторна робота № 8. Технологія передачі PPP через Ethernet (PPPoE),
налаштування PPPoE сервера на базі ОС Linux і клієнта на базі ОС Windows XP зі
встановленням з'єднання до сервера ........................
Лабораторна робота № 9.
Вивчення з’єднання PPTP тунелю. Створення PPTP з'єднання віртуальної приватної мережі на базі сервера з операційною системою Linux та клієнтом на базі операційної системи Windows .....
Лабораторна робота № 10.
Вивчення з’єднання LTP тунелю. Налаштування L2TP сервера на базі ОС Linux і клієнта на базі ОС Windows XP зі встановленням з'єднання
до сервера ....................................................................
Лабораторна робота № 11.
Вивчення з’єднання за транспортного режиму IPSec тунелю. Налаштування сервера OpenVPN з операційною системою Linux. Організація з’єднання OpenVPN сервера на базі операційній системі Linux з клієнтом на базі операційній системі Windows ........................................................
Лабораторна робота № 12.
Налаштування взаємодії за протоколом IPSec між ОС Linux на основі сервера доступу racoon
і ОС Windows XP/Windows-2000 з використанням сертифікатів X.509 і протоколу обміну ключами
ISAKMP ......................................................................
ПЕРЕЛІК ВИКОРИСТАНИХ СКОРОЧЕНЬ .........................................................
Тезаурус......................................................................................................................
Додаток А. Навчальна программа ...........................................................................
Додаток Б. Комплект завдань комплексної контрольної роботи .........................
СПИСОК РЕКОМЕНДОВАНОЇ ЛІТЕРАТУРИ ....................................................
5
6
ВСТУП
Необхідність в забезпеченні безпеки мереж на основі протоколу IP (Internet Protocol – міжмережний протокол) постійно зростає. Перші засоби захисту з'явилися практично відразу після того, як уразливість IP-мереж дала про себе знати на практиці. Характерними прикладами розробок в цій області можуть служити PGP (Pretty Good Privacy – дуже хороший захист) для шифрування повідомлень електронної пошти, SSL (Secure Sockets Layer – рівень захищених сокетів) для захисту Web-трафіка, SSH (Secure SHell – програма для віддаленого доступу) для захисту сеансів і процедур.
Загальним недоліком подібних широко поширених рішень є їх «прихильність» до певного типу трафіку, а значить, нездатність задовольнити тим всіляким вимогам до систем мережного захисту, які вимагають великі корпорації або Internetпровайдери. Найрадикальніший спосіб здолати вказане обмеження зводиться до того, аби будувати систему захисту не для окремих класів трафіку. а для мережі в цілому. Стосовно IP-мереж це означає, що системи захисту повинні діяти на мережному рівні моделі OSI (Open Systems Interconnection Basic Reference Model – базова еталонна мо-
дель взаємодії відкритих систем).
Перевага такого вибору полягає в тому, що в IP-мережах саме даний рівень відрізняється найбільшою однорідністю: незалежно від вищенаведених протоколів, фізичного середовища передачі і технології канального рівня транспортування даних по мережі не може бути здійснено в обхід протоколу IP.
Тому реалізація захисту мережі на третьому рівні автоматично гарантує, як мінімум, таку ж ступінь захисту всіх мережних засобів. Архітектура IPSec (скорочення від IP Security) сумісна з протоколом IPv4 (Internet Protocol version 4 – міжмережний протокол 4-ої версії), тому її підтримку досить забезпечити на обох кінцях з'єднання.
Таким чином, якщо використовувати IPsec, то можна захистити передачу даних в мережі для всіх застосувань і для всіх користувачів прозоріше, ніж при використанні будь-яких інших засобів.
В сучасному світі бізнесу за наявності Інтернету, інтрамереж, дочірніх відділень і віддаленого доступу, важлива інформація постійно переміщується через кордони різних мереж. Завдання мережних адміністраторів і інших фахівців інформаційних служб полягає в тому, аби цей трафік не допускав:
модифікацію даних під час їх передачі по каналах зв'язку;
перехоплення, перегляд або копіювання;
доступ до даних з боку неавторизованих користувачів.
Вказані проблеми відомі як забезпечення цілісності даних, конфіденційності і автентифікації. Крім того, необхідний захист від відтворення інформації.
Протокол IPSec підтримує автентифікацію, цілісність даних і їх шифрування на мережному рівні. Для забезпечення безпеки всіх передач за протоколом TCP/IP в протоколі IP Security використані прийняті як галузеві стандарти алгоритми шифрування і комплексний підхід до управління безпекою.
Протокол IPsec домінує в більшості реалізацій віртуальних приватних мереж. В даний час на ринку представлені як програмні реалізації (наприклад, протокол реалізований в операційній системі Windows компанії Microsoft), так і програмно-апаратні реалізації IPsec – це рішення Cisco, Nokia. Не дивлячись на велике число різноманітних рішень, всі вони досить добре сумісні один з одним.
7
Розділ 1
МЕРЕЖНІ ТЕХНОЛОГІЇ ЗАХИСТУ ІНФОРМАЦІЇ. ЕТАЛОННА МОДЕЛЬ ВЗАЄМОДІЇ ВІДКРИТИХ СИСТЕМ OSI (OPEN SYSTEM INTERCONNECTION)
1.1. Основні поняття об'єднаних мереж
Розглянемо деякі фундаментальні принципи й поняття, які використовуються в об'єднаних мережах. Даний розділ присвячений деяким загальним темам, на яких буде базуватися весь подальший виклад, основна увага приділена реалізації моделі взаємодії відкритих систем (Open System Interconnection - OSI) у функціях мережного/міжмережного обміну, а також у принципах схем адресації. Еталонна модель OSI становить собою набір компонентів, з яких будуються об'єднані мережі. Принципове розуміння еталонної моделі OSI дає можливість проаналізувати ті складні складові, з яких складається об'єднана мережа.
Об'єднана мережа (internetwork) становить собою об'єднання окремих мереж, з'єднаних проміжними мережними пристроями, яка функціонує як одна велика мережа. Поняття об'єднаної мережі містить у собі технології, пристрої й процедури, які дозволяють вирішити завдання створення й адміністрування об'єднаної мережі.
Функціональна реалізація об'єднаної мережі є складним завданням. При цьому виникає багато проблем, особливо в плані забезпечення зв'язку, надійності, ефективного керування мережею й гнучкості. Кожне з перерахованих вище завдань є критично важливим при створенні якісної й ефективної об'єднаної мережі.
При з'єднанні різних систем виникає проблема обміну даними між мережами, що використовують принципово різні технології. Наприклад, у різних вузлах для передачі даних можуть використовуватися різні середовища передачі, що працюють із різними швидкостями, або навіть різні типи мереж, між якими потрібно здійснювати обмін даними.
Для того, щоб об'єднана мережа працювала без збоїв, необхідно правильно обрати конфігурацію, настроїти систему безпеки, домогтися максимальної продуктивності й вирішити інші питання. Система безпеки є невід'ємною частиною об'єднаної мережі. Багато хто помилково думають, що система безпеки в мережі необхідна тільки для захисту приватної мережі від зовнішніх нападів. Проте, не менш важливим є захист мережі від внутрішніх атак, особливо з обліком того, що найчастіше система захисту порушується саме зсередини. Тому необхідним також є захист мережі від атаки зовнішніх вузлів.
Оскільки все у світі змінюється, об'єднані мережі повинні мати достатню гнучкість для того, щоб їх можна було змінити відповідно до нових вимог.
8
1.1.1. Еталонна модель взаємодії відкритих систем
Еталонна модель взаємодії відкритих систем (Ореn System Imercomection
– OSI) описує спосіб передачі інформації з мережі від додатка на одному ком- п'ютері до додатка на іншому. OSI є концептуальною моделлю, що має сім рівнів, кожний з яких визначає деякі функції мережі. Ця модель була розроблена Міжнародною організацією по стандартизації (International Organization for Standardization - ISO) в 1984 році й у цей час вважається основною архітектурною моделлю передачі інформації між комп'ютерами. Модель OSI становить завдання передачі інформації від мережі між комп'ютерами у вигляді семи більш легко розв'язуваних окремих завдань. Потім рішення завдання або групи завдань асоціюється з одним із семи рівнів моделі OSI. Ці рівні більш-менш незалежні один від одного, тому завдання, пов'язані з кожним з них, можуть виконуватися окремо. Це дозволяє змінювати засоби їхнього рішення на одному рівні, не викликаючи конфлікту з іншими рівнями. Нижче подана структура моделі OSI/ISO
Таблиця 1.1 – Структура моделі OSI/ISO
Одиниця |
Рівень |
|
Функції |
|
взаємодії |
|
|||
|
|
|
||
|
Прикладний рівень |
Забезпечує послугами прикладні процеси, що лежать за |
||
|
(Application Layer) |
межами масштабу моделі OSI |
||
Дані |
Рівень |
подання |
Здійснює трансляцію між великою кількістю форматів |
|
(Data) |
(Presentation Layer) |
подання інформації |
||
|
Сеансовий |
рівень |
Установлює, управляє й завершує сеанси взаємодії між |
|
|
(Session Layer) |
прикладними завданнями |
||
|
Транспортний рі- |
Забезпечує механізми для установки, підтримки й упо- |
||
Сегменти |
вень |
|
рядкованого завершення дії каналів, систем виявлення й |
|
(Segments) |
(Transport Layer) |
усунення несправностей транспортування й керування |
||
|
|
|
інформаційним потоком |
|
Пакет |
Мережний |
рівень |
Забезпечує можливість з'єднання й вибір маршруту між |
|
(Packet) |
(Network Layer) |
двома кінцевими системами |
||
Фрейм |
Канальний |
рівень |
Забезпечує надійний транзит даних через фізичний ка- |
|
(Frame) |
(Data Link Layer) |
нал |
||
Біт |
Фізичний |
рівень |
Визначає електротехнічні, механічні, процедурні й фун- |
|
(Physical Layer) |
кціональні характеристики встановлення, підтримки й |
|||
(Bit) |
||||
|
|
роз'єднання фізичного каналу між кінцевими системами |
||
|
|
|
||
1.1.2. Характеристики рівнів еталонної моделі OSI
Сім рівнів еталонної моделі OSI можна розділити на дві категорії: верхні й нижні.
Верхні рівні моделі OSI працюють із додатками й, звичайно, реалізуються тільки на рівні програмного забезпечення. Найвищий рівень, рівень додатків, найбільш близький до кінцевого користувача. Процеси, які відбуваються на рівні користувача й додатка, взаємодіють із прикладним програмним забезпеченням, що включає в себе комунікаційні компоненти. "Верхнім рівнем" іноді називають рівень, який перебуває вище того рівня, про який іде мова.
9
Нижні рівні моделі OSI вирішують завдання транспортування даних. Фізичний і канальний рівні реалізуються у вигляді апаратних засобів і програмного забезпечення. Найнижчий рівень фізичний перебуває ближче всього до фізичного мережного середовища (наприклад, до мережних кабелів) і безпосередньо відповідає за розміщення інформації на носії.
Модель OSI визначає принципову схему обміну даними між комп'ютерами, але сама не є способом такого обміну. Обмін даними стає можливим завдяки комунікаційним протоколам. У контексті передачі даних в мережі термін "протокол" становить собою формальну сукупність правил і угод, які регламентують обмін інформацією між комп'ютерами в мережі. Протокол реалізує функції одного або декількох рівнів OSI.
Існує велика кількість протоколів обміну даними. Зокрема, це протоколи локальних і розподілених мереж, мережні протоколи й протоколи маршрутизації. Протоколи локальних мереж працюють на фізичному й канальному рівнях моделі OSI і визначають правила обміну даними в різних середовищах передачі, що застосовуються у локальних мережах. Протоколи розподілених мереж працюють на трьох нижніх рівнях моделі OSI і визначають правила обміну даними в межах глобальних ліній зв'язку. Протоколи маршрутизації працюють на мережному рівні й відповідають за обмін інформацією між маршрутизаторами, для того щоб останні могли обрати найкращий шлях передачі даних мережею. Нарешті, до мережних протоколів відносять різні протоколи високого рівня, що є присутнім у деякому наборі протоколів (часто такі набори називаються стеками). Робота багатьох протоколів ґрунтується на інших протоколах. Наприклад, протоколи маршрутизації для обміну даними між маршрутизаторами часто використовують мережні протоколи. Такий принцип побудови мережі на базі вже існуючих рівнів є основним у моделі OSI.
1.1.3. Модель OSI і обмін даними між комп'ютерними системами
Інформація, яка передається мережею з додатка, розташованого на одному комп'ютері, у додаток на іншому комп'ютері, повинна пройти через кілька рівнів моделі OSI. Наприклад, якщо додатку на комп'ютері А необхідно передати інформацію додатку на комп'ютері В, той додаток на комп'ютері А спочатку передає її на рівень додатків (рівень 7) комп'ютера А. Потім з рівня додатків інформація передається на рівень подання (рівень 6), який перенаправляє її на сеансовий рівень (рівень 5), і так далі, аж до фізичного рівня (рівень 1). На фізичному рівні інформація записується на фізичний мережний носій і пересилається за допомогою нього на комп'ютер В. Фізичний рівень комп'ютера У витягає інформацію з фізичного носія й передає її на канальний рівень (рівень 2), що у свою чергу передає її на мережний рівень (рівень 3), і так далі, поки інформація не досягне рівня додатків (рівень 7) комп'ютера В. На останньому етапі рівень додатків комп'ютера В передає інформацію додатку-одержувачеві, чим і завершується процес обміну даними.
Кожний рівень моделі OSI звичайно взаємодіє із трьома іншими рівнями: тими, що перебувають безпосередньо над і під ним, а також з таким самим рів-
10