Защита и туниелирование цанных
Функции VPN по защите данных. При подключении корпоративной локальной сети к любой публичной сети возникает два типа угроз:
1.Несанкционированный доступ к внутренним ресурсам корпоративной локальной сети, полученный злоумышленником в результате логического входа в эту сеть.
2.Несанкционированный доступ к корпоративным данным в процессе их передачи по публичной сети.
Для того чтобы виртуальная частная сеть по уровню безопасности приблизилась к истинной частной сети, в которой эти угрозы практически отсутствуют, VPN должна включать средства для отражения угроз как первого, так и второго типов. Отсюда следует, что к средствам VPN может быть отнесен самый широкий круг устройств безопасности: многофункциональные брандмауэры, маршрутизаторы со встроенными возможностями фильтрации пакетов, proxy-серверы, аппаратные и программные шифраторы передаваемого трафика.
Определение защищенного канала. Для обозначения важнейшей части технологии VPN, направленной на обеспечение безопасности передачи данных по открытой транспортной сети, используется специальный термин-защищенный канал (secure channel). В соответствии с общепринятым определением, безопасность данных означает их конфиденциальность, целостность и доступность.
•Конфиденциальность-гарантия того, что в процессе передачи данных по защищенным каналам VPN эти данные не могут быть просмотрены никем, кроме легальных отправителя и получателя.
•Целостность-гарантия сохранности передаваемыми данными правильных значений во время прохождения по защищенному каналу VPN. Никому не разрешено каким-либо образом изменять, модифицировать, разрушать или создавать новые данные.
•Доступность-гарантия того, что средства, выполняющие функции VPN, постоянно доступны легальным пользователям. Доступность средств VPN - это комплексный показатель, зависящий от нескольких факторов: надежности реализации, качества обслуживания, а также степени защищенности самого средства от внешних атак.
Для создания защищенного канала средства VPN используют процедуры шифрования, аутентификации и авторизации. Так, например, конфиденциальность обеспечивается с помощью различных алгоритмов и методов симметричного и асимметричного шифрования, а также путем взаимной аутентификации абонентов на основе многоразовых и одноразовых паролей, цифровых сертификатов, смарт-карт и т. п. Аутентификация разрешает устанавливать VPN-соединения только между легальными пользователями и предотвращает доступ к средствам VPN нежелательных лиц. Авторизация подразумевает предоставление абонентам, уже доказавшим свою легальность (аутентичность), разных видов обслуживания, например, разных способов шифрования их трафика. Процедуры аутентификации и авторизации часто реализуются одними и теми же средствами и протоколами.
Целостность передаваемых данных обычно достигается с помошью различных вариантов технологии электронной подписи, основанных на симметричных и асимметричных методах шифрования и односторонних функциях.
Таким образом, для обеспечения безопасности передаваемых данных технология защищенного канала должна поддерживать три основные функции:
•взаимную аутентификацию абонентов при установлении соединения;
•защиту передаваемых по каналу сообщений от несанкционированного доступа;
•подтверждение целостности поступающих по каналу сообщений. Шифрование. В современных алгоритмах шифрования предусматривается наличие параметра - секретного ключа. В криптографии принято правило Кирхгофа: стойкость шифра должна определяться только секретностью ключа. Так, все стандартные алгоритмы шифрования (например, DES, PGP) широко известны, их детальное описание содержится в легко доступных документах, но от этого их эффективность не снижается. Аутентификация. Аутентификация - предотвращает доступ к сети нежелательных лиц и разрешает вход для легальных пользователей. Идентификация заключается в сообщении пользователем системе своего идентификатора, а аутентификация - это процедура доказательства пользователем того, что он именно тот, за кого себя выдает, в частности, доказательство того, что именно ему принадлежит введенный им идентификатор.
В процедуре аутентификации участвует дне стороны: одна сторона доказывает свою аутентичность, предъявляя некоторые доказательства, а другая сторона - аутентификатор - проверяет эти доказательства и принимает решение. В качестве доказательства аутентичности используются разные приемы:
•аутентифицируемый может продемонстрировать знание некоего общего для обеих сторон секрета: слова (пароля) или факта (дату и место события, прозвище человека и т. п.);
•аутентифицируемый может продемонстрировать, что он владеет неким уникальным предметом (физическим ключом), в качестве которого может выступать, например, электронная магнитная карта;
•аутентифицируемый может доказать свою идентичность собственными биохарактеристиками, которые были занесены в базу данных аутентификатора.
Сетевые службы аутентификации строятся на основе всех этих приемов, но чаще всего применяются пароли. Для снижения уровня угрозы раскрытия паролей администраторы сети, как правило, используют встроенные программные средства ддя формирования политики назначения и использования паролей: задание максимального и минимального срока действия пароля, хранение списка использованных паролей, управление поведением системы после нескольких неудачных попыток логического входа и т.п. Перехват паролей по сети можно предупредить путем их шифрования перед передачей в сеть. Аутентификация данных означает доказательство целостности этих данных, а также того, что они поступили от конкретного человека, который объявил об этом. В данном случае используется механизм электронной подписи.
Авторизация. Средства авторизации контролируют доступ легальных пользователей к ресурсам системы, предоставляя каждому из них именно те права, которые были определены администратором. Кроме предоставления прав доступа пользователей к каталогам, файлам и принтерам, система авторизации может контролировать возможность выполнения пользователями различных системных функций, таких как локальный доступ к серверу, установка системного времени, создание резервных копий данных, выключение сервера и т. п. Применительно к VPN система авторизации может регулировать доступ пользователя к тем или иным средствам шифрования пакетов или даже в целом к определенным VPN -устройствам.
Процедуры авторизации реализуются программными средствами, которые могут быть встроены в операционную систему или в приложение, а также поставляться в виде отдельных программных продуктов. При этом программные системы авторизации строятся на базе двух схем:
• централизованная схема авторизации, базирующаяся на сервере; •децентрализованная схема, базирующаяся на рабочих станциях.
В первой схеме сервер управляет процессом предоставления ресурсов пользователю. Главная цель таких систем - реализовать "принцип единого входа". В соответствии с централизованной схемой пользователь один раз логически входит в сеть и получает на все время работы некоторый набор разрешений по доступу к ресурсам сети. Kerberos, с ее сервером безопасности и архитектурой "клиент-сервер", является наиболее известной системой этого типа.
При втором подходе рабочая станция сама является защищенной - средства защиты работают на каждой машине, и сервер не требуется. В корпоративной сети администратору придется отслеживать работу механизмов безопасности, используемых всеми типами приложений - электронной почтой, службой каталогов локальной сети, базами данных хостов и т. п. Когда администратору приходится добавлять или удалять пользователей, часто требуется вручную конфигурировать доступ к каждой программе или системе.
В крупных сетях часто применяется комбинированный подход предоставления пользователю прав доступа к ресурсам сети. Сервер удаленного доступа ограничивает доступ пользователя к подсетям или серверам корпоративной сети, то есть к укрупненным элементам сети. А каждый отдельный сервер сети сам по себе ограничивает доступ пользователя к своим внутренним ресурсам - разделяемым каталогам, принтерам или приложениям. Сервер удаленного доступа предоставляет доступ на основании имеющегося у него списка прав доступа пользователя (ACL - Access Control List). Ресурсы каждого отдельного сервера сети становятся доступны на основании хранящегося у него списка прав доступа - например, ACL файловой системы. Подчеркнем, что системы аутентификации и авторизации совместно выполняют одну задачу, поэтому к ним необходимо предъявлять одинаковый уровень требований. Ненадежность одного звена здесь не может быть компенсирована высоким качеством другого. Если при аутентифугкации используются пароли, то требуются чрезвычайные меры по их защите.
Поскольку никакая система безопасности не гарантирует 100%-ю защиту, то последним рубежом в борьбе с нарушениями оказывается система аудита.
Аудит - фиксация в системном журнале событий, связанных с доступом к защищаемым системным ресурсам. Эта информация, возможно, позволит найти злоумышленника или, по крайней мере, предотвратить повторение подобных атак путем устранения уязвимых мест в системе защиты.
Туннелирование. Протоколы защищенного канала часто используют в своей работе такой механизм, как туннелирование (инкапсуляция). При туннелировании пакет протокола более низкого уровня помещается в поле данных пакета протокола более высокого или такого же уровня. Например, при туннелировании кадр Ethernet может быть размещен в пакете IP, а пакет IPX - в пакете IP, или: пакет IP размещается в пакете IP. Туннелирование широко используется для безопасной передачи данных через публичные сети путем упаковки пакетов во внешнюю оболочку. Туннель создается двумя пограничными устройствами, которые размещаются в точках входа в публичную сеть. Особенностью туннелирования является то, что эта технология позволяет зашифровать исходный пакет целиком, вместе с заголовком, а не только его поле данных. И это очень важно, так как многие поля заголовка содержат информацию, которая может быть использована злоумышленником. Из заголовка он может почерпнуть, например, сведения о внутренней структуре сети: данные о количестве подсетей и узлов и их IP-адресах, что может использоваться для организации атак на корпоративную сеть или для получения данных о деловой активности предприятия, например, о его бизнес-партнерах.
С другой стороны, если заголовок зашифровать, то он не может быть использован по своему прямому назначению - для обеспечения транспортировки пакета по сети. Именно в такой ситуации для защиты пакета прибегают к туннелированию. Исходный пакет зашифровывают полностью, вместе с заголовком, и этот зашифрованный пакет помещают в другой, внешний пакет с открытым заголовком. Для транспортировки данных по "опасной" сети используются открытые поля заголовка внешнего пакета, а при прибытии внешнего пакета в конечную точку защищенного канала из него извлекают внутренний пакет, расшифровывают и используют его заголовок для дальнейшей передачи уже в открытом виде по сети, не требующей защиты.
Туннелирование часто применяется также для согласования разных транспортных технологий. Например, если данные протокола IPX нужно передать через транзитную сеть IP, то маршрутизатор на границе IPX и IP сетей упаковывает исходный IPX пакет в создаваемый заново пакет IP и адресует его маршрутизатору, соединяющему транзитную IP-сеть с сетью IPX. Этот маршрутизатор извлекает пакет IPX из прибывшего IP пакета и отправляет его далее по IPX-сети.
Само по себе туннеллирование не защищает данные от несанкционированного доступа или искажения, а только создает предпосылки для защиты всех полей исходного пакета, включая и поля заголовка. Для того чтобы обеспечить секретность передаваемых данных, исходные пакеты шифруются и/или снабжаются электронной подписью, а затем передаются по транзитной сети с помощью пакетов несущего протокола.
Типы VPN-устройств отличают друг от друга многие характеристики: набор функциональных возможностей, точки размещения VPN-устройств, тип платформы, на которой эти средства работают, применяемые протоколы шифрования и аутентификации. Сегодня существует несколько основных типов VPN-устройств:
•отдельное аппаратное устройство VPN на основе специализированной ОС реального времени, имеющее 2 или более сетевых интерфейса и аппаратную криптографическую поддержку - так называемый "черный ящик VPN";
•отдельное программное решение, которое дополняет стандартную операционную систему функциями VPN;
•расширение брандмауэра за счет дополнительных функций защищенного канала;
•средства VPN, встроенные в маршрутизатор или коммутатор. Существуют также комбинированные пограничные устройства, которые
включают в себя функции маршрутизатора, брандмауэра, средства управления пропускной способностью и функции VPN. Устройства VPN могут играть в виртуальных частных сетях роль шлюза или клиента (рис. 9.2).
Шлюз VPN - это сетевое устройство, подключенное к нескольким сетям, которое выполняет функции шифрования и аутентификации для многочисленных хостов позади него. Размещение шлюза VPN должно быть аналогично размещению брандмауэра, то есть таким, чтобы через него проходил весь трафик, предназначенный для внутренней корпоративной сети. В зависимости от стратегии безопасности предприятия, исходящие пакеты либо шифруются, либо посылаются в открытом виде, либо блокируются шлюзом. Для входящих туннелируемых пакетов внешний адрес является адресом VPN-шлюза, а внутренний адрес - адресом некоторого хоста позади шлюза. Шлюз VPN может быть реализован всеми перечисленными выше способами, то есть в виде отдельного аппаратного устройства, отдельного программного решения, а также в виде брандмауэра или маршрутизатора, дополненных функциями VPN.
Клиент VPN - это программный или программно-аппаратный комплекс, обычно на базе персонального компьютера. Его сетевое транспортное обеспечение модифицировано для выполнения шифрования и аутентификации трафика, которым устройство обменивается с шлюзами VPN или VPN-клиентами. Для создания виртуальной частной сети крупного предприятия нужны как VPN-шлюзы, так и VPN-клиенты. Шлюзы целесообразно использовать для защиты локальных сетей предприятия, а VPN-клиенты - для удаленных и мобильных пользователей, которым требуется устанавливать соединения с корпоративной сетью через Internet.
В глобальной маршрутизации.
41. распределенные СППР в корпоративных сетях.
(СППР) – это диалоговая автоматизированная система, использующая правила принятия решений и соответствующие модели работы с базами данных, а также включая интерактивный компьютерный процесс моделирования. Основу СППР составляет комплекс взаимосвязанных моделей с соответствующей информационной поддержкой исследования, экспертные и интеллектуальные системы, включающие опыт решения задач управления и обеспечивающие участие коллектива экспертов в процессе выработки рациональных решений. Информация хранится в оперативных базах данных СППР.
Вместе с тем существует множество задач, связанных с эксплуатацией сложных распределенных объектов (Электроэнергетические системы, магистральные газопроводы и т.д.) и предусматривающих необходимость оценки состояния такого рода систем в целях обеспечения поддержки принятия решений в части учета износа оборудования, замены частей системы, определения стратегии развития и т.д.
Однако оперативные данные не всегда подходят для целей анализа, так как для принятия стратегических решений нужна агрегированная информация. Выход из положения – создания отдельного хранилища данных (ХД), целью построения которого является интеграция, актуализация и согласование оперативных данных из разнородных (иногда даже расположенных в различных местах) источников для формирования единого непротиворечивого взгляда на объект управления в целом.
Заметим, что практически все существующие на данный момент средства создания СППР в основном справляются с задачами построения СППР на основе хранилища данных. Однако такого рода средства не позволяют создавать единые СППР для распределенных объектов, части которых значительно удалены друг от друга. Решением этой проблемы может стать использование корпоративных сетей для сбора и анализа данных о состоянии введенных в рассмотрение сущностей (объектов, процессов, явлений) и оказывающих влияние на процесс принятия решений.
Наибольший интерес в СППР сетевого типа представляет интеллектуальный анализ данных, так как он позволяет провести наиболее полный и глубокий анализ проблемы, дает возможность принять наиболее обоснованное решение. В качестве интеллектуальной составляющей системы разрабатываемой СППР предлагается использовать разработанный на кафедре «Вычислительных Машин Систем и Сетей» МЭИ(ТУ) теоретический аппарат индуктивного обобщения фактов, положенный в основу программного продукта «Решатель открытых задач».
Сети SDH
Дата добавления: 2016-10-07; просмотров: 1512;