Смекни!
smekni.com

Безопасность Internet (стр. 7 из 8)

подсеть

Прикладной шлюз


Внешний маршрутизатор защищает от сети internet как экранированную подсеть, так и внутреннюю сеть. Он должен пересылать трафик согласно следующим правилам:

·разрешается трафик от объектов internet к прикладному шлюзу;

·разрешается трафик от прикладного шлюза к internet;

·разрешается трафик электронной почты от internet к серверу электронной почты;

·разрешается трафик электронной почты от сервера электронной почты к internet;

·разрешается трафик FTP, Gopher и т.д. от internet к информационному серверу;

·запрещается остальной трафик.

Внешний маршрутизатор запрещает доступ из internet к системам внутренней сети и блокирует весь трафик к internet, идущий от систем, которые не должны являться инициаторами соединений (в частности, информационный сервер и др.). Этот маршрутизатор может быть использован также для блокирования других уязвимых протоколов, которые не должны передаваться к хост-компьютерам внутренней сети или от них.

Внутренний маршрутизатор защищает внутреннюю сеть как от Internet, так и от экранированной подсети. Внутренний маршрутизатор осуществляет большую часть пакетной фильтрации. Он управляет трафиком к системам внутренней сети и от них в соответствии со следующими правилами:

· разрешается трафик от прикладного шлюза к системам сети;

· разрешается прикладной трафик от систем сети к прикладному шлюзу;

· разрешает трафик электронной почты от сервера электронной почты к системам сети;

· разрешается трафик электронной почты от систем сети к серверу электронной почты;

· разрешается трафик FTP, Gopher и т.д. от систем сети к информационному серверу;

· запрещает остальной трафик;

Чтобы проникнуть во внутреннюю сеть при такой схеме межсетевого экрана, атакующему нужно пройти два фильтрующих маршрутизатора. Даже если атакующий каким-то образом проник в хост-компьютер прикладного шлюза, он должен еще преодолеть внутренний фильтрующий маршрутизатор. Таким образом, ни одна система внутренней сети не достижима непосредственно из Internet, и наоборот. Кроме того, четкое разделение функций меж­ду маршрутизаторами и прикладным шлюзом позволяет достиг­нуть более высокой пропускной способности.

Прикладной шлюз может включать программы усиленной аутентификации.

Межсетевой экран с экранированной подсетью имеет и не­достатки;

·пара фильтрующих маршрутизаторов нуждается в большом внимании для обеспечения необходимого уровня безопасности. поскольку из-за ошибок при их конфигурировании могут возник­нуть провалы в безопасности всей сети;

·существует принципиальная возможность доступа в обход прикладного шлюза.

Применение межсетевых экранов для организации виртуальных корпоративных сетей

Некоторые межсетевые экраны позволяют организовать виртуальные корпоративные сети. Несколько локальных сетей, подключенных к глобальной сети, объединяются в одну виртуальную корпоративную сеть. Передача данных между этими локальными сетями производиться прозрачным образом для пользователей локальных сетей. Конфиденциальность и целостность передаваемой информации должны обеспечиваться при помощи средств шифрования, использование цифровых подписей. При передаче данных может шифроваться не только содержимое пакета, но и некоторые поля заголовка.


Программные методы защиты

К программным методам защиты в сети Internet могут быть отнесены защищенные криптопротоколы, которые позволяют на­дежно защищать соединения. В процессе развития Internet были созданы различные защищенные сетевые протоколы, ис­пользующие как симметричную криптографию с закрытым ключом, так и асимметричную криптографию с открытым ключом. К основ­ным на сегодняшний день подходам и протоколам, обеспечивающим защиту соединений, относятся SKIP-технология и протокол защиты соединения SSL.

SKIP (Secure Key Internet Ргоtосоl) -технологией называется стандарт защиты трафика IP-пакетов, позволяющий на сетевом уровне обеспечить защиту соединения и передаваемых по нему данных.

Возможны два способа реализации SKIP-защиты трафика IP-пакетов:

· шифрование блока данных IP– ракета;

· инкапсуляция IP-пакета в SKIP-пакет.

Шифрование блока данных IP-пакета иллюстрируется . В этом случае шифруются методом симметричной криптогра­фии только данные IP-пакета, а его заголовок, содержащий поми­мо прочего адреса отправителя и получателя, остается открытым, и пакет маршрутизируется в соответствии с истинными адресами. Закрытый ключ K(i,j), разделяемый парой узлов сети i и j, вычисля­ется по схеме Диффи-Хеллмана. SKIP-пакет внешне похож на обычный IP-пакет. В поле данных SKIP-пакета полностью размещается в зашифрованном виде ис­ходный IP-пакет. В этом случае в новом заголовке вместо истин­ных адресов могут быть помещены некоторые другие адреса. Та­кая структура SKIP-пакета позволяет беспрепятственно направ­лять его любому хост-компьютеру в сети Internet, при этом межсетевая адресация осуществляется по обычному IP-заголовку в SKIP – пакете. Конечный получатель SKIP – пакета по заранее определенному разработчиками алгоритму расшифровывает криптограмму и формирует обычный TCP – или UDP –пакет , который и передает соответствующему модулю (TCP или UDP) ядра операционной системы. Универсальный протокол защиты соединения SSL (Secure Socket Layer) функционирует на сеансовом уровне эталонной мо­дели OSI. Протокол SSL, разработанный компанией Netscape, ис­пользует криптографию с открытым ключом. Этот протокол явля­ется действительно универсальным средством, позволяющим ди­намически защищать соединение при использовании любого прикладного протокола (FTP, TELNET, SMTP, DNS и т.д.). Прото­кол SSL поддерживают такие ведущие компании, как IBM, Digital Equipment Corporation, Microsoft Corporation, Motorola, Novell Inc., Sun Microsystems, MasterCard International Inc. и др.

Следует отметить также функционально законченный оте­чественный криптографический комплекс "Шифратор IP потоков". разработанный московским отделением Пензенского научно-исследовательского электротехнического института. Криптографи­ческий комплекс "Шифратор IP потоков" представляет собой рас­пределенную систему криптографических шифраторов, средств управления криптографическими шифраторами, средств хранения, распространения и передачи криптографической информации, а также средств оперативного мониторинга и регистрации происхо­дящих событий. Криптографический комплекс "Шифратор IP пото­ков" предназначен для выполнения следующих функций:

· создания защищенных подсетей передачи конфиденциальной информации;

· объединения локальных сетей в единую защищенную сеть;

· организации единого центра управления защищенной под­сетью.

Комплекс обеспечивает:

· контроль целостности передаваемой информации;

· аутентификацию абонентов (узлов сети);

· передачу контрольной информации в Центр управления ключе­вой системой защищенной IP сети;

· поддержку протоколов маршрутизации PIP II, OSPF, BGP;

· поддержку инкапсуляции IPX в IP (в соответствии с RFC-1234);

· поддержку инкапсуляции IP в Х.25 и Frame Relay;

Криптографический комплекс "Шифратор IP потоков" имеет модульную структуру и состоит из распределенной сети шифрато­ров IP потоков и единого центра управления ключевой системой.

Шифратор IP протоколов (ШИП) состоит из:

· криптографического модуля, непосредственно встроенного в ядро операционной системы

· модуля поддержки клиентской части ключевой системы;

· модуля проверки целостности системы при загрузки.

· модуля записи протоколов работы криптографической системы;

ШИП содержит также плату с интерфейсом ISA, исполь­зуемую для защиты от НСД при загрузке системы и для получения от сертифицированного физического датчика случайных чисел, необходимых для реализации процедуры шифрования.

Центр управления ключевой системой (ЦУКС) состоит из:

· автоматизированного рабочего места управления ключевой системой, работающей в среде X Windows;

· модуля серверной части ключевой системы;

· сервисной программы просмотра протоколов работы криптографического комплекса "Шифратор IP потоков".

Управление ключами выполняется при помощи ЦУКС и за­ключается в следующем:

· Периодическая смена парных ключей шифрования зарегистрированных узлов защищенной сети;

· формирование и рассылка по сети справочников соответствия, определяющих возможность абонентов работать друг с другом;

· сбор и хранение в базе данных информации о всех критичных событиях в сети, возникающих как при аутентификации абонен­тов, так и при передаче между ними зашифрованной инфор­мации.

В случае возникновения нештатных ситуаций, создающих угрозу нарушения защиты информации, администратор ЦУКС предпринимает действия , направленные на восстановление целостности системы защиты информации.


лоло


Схема организации виртуальной корпоративной сети с применением криптографического комплекса “Шифратор IP потоков” показана на рисунке. При организации виртуальной корпоративной сети небольшого размера без жёстких требований к времени оповещения абонентов о компрометации какого-либо абонента и без жёстких требований к полноте собираемых протоколов об ошибках доступа возможно использование одного ЦУКС. При организации виртуальной корпоративной сети среднего размера или с жёсткими требованиями к времени оповещения абонентов компрометации какого-либо абонента и к полноте собираемых протоколов об ошибках доступа следует использовать несколько ЦУКС. При этом желательно, чтобы ЦУКС имели независимые друг от друга каналы подключения к глобальной сети.