logo search
Программа ГЭ_спец_2012 ответы light

Безопасность компьютерных сетей: протоколы сетевой безопасности, программно-аппаратные комплексы защиты сетей.

Первая задача протоколов безопасности – аутентификация удаленного объекта или субъекта (пользователя системы или процесса). Практически все протоколы несут в себе аутентификацию, как одну из функций, но есть ряд протоколов предназначенных специально для аутентификации (PAP, CHAP и их подвиды: RADIUS, TACACS, Kerberos, S/Key). Следующая задача протоколов – обеспечить защиту информации при прохождении по каналам связи, т.е. согласовать ключи шифрования, зашифровать данные в точке отправления, расшифровать в точке получения. Говоря о подобных протоколах, следует понимать область их приложения, относительно модели OSI или TCP/IP. Это важно учитывать при выборе конкретной модели безопасности, так как необходимо знать, какая часть информации остается видимой после криптографической обработки (адрес отправителя и получателя, другая служебная информация). Например, протоколы прикладного уровня оставляют в открытом, нешифрованном виде всю информацию, которая необходима для работы нижних уровней. Протоколы транспортного уровня (SSL, Secure Shell, SOCKS) скрывают картину работы отдельных приложений, но оставляют информацию для сетевого уровня. Многие протоколы сетевого и подсетевого уровня (IPSec, L2F, PPTP, L2TP) могут скрывать: либо данные, пришедшие от протокола верхнего уровня (транспортного), оставляя видимыми адреса отправителя и получателя; либо полностью инкапсулировать все данные сетевого уровня, выставляя новые заголовки и окончания пакетов, такой режим работы часто называют туннелированием и именно он участвует в построении виртуальных частных сетей (VPN). Некоторые протоколы известны задачами, которые они решают. SSL – это де-факто сложившийся стандарт защиты Интернет-соединений. Сервер протокола SOCKS, обеспечивающий защиту данных между отправителем и получателем, выступает как шлюз-посредник приложений. Kerberos популярен как система, позволяющая пользователю аутентифицировать себя лишь однажды, при входе в систему, а далее получать прозрачный доступ (в рамках своих прав) ко всем ресурсам сети. X.509 – протокол цифровых сертификатов, указывающий, каким образом субъекты, использующие в открытой сети механизмы асимметрической криптографии, должны распространять свои открытые ключи через центры сертификации (CA). LDAP – протокол, регулирующий доступ к данным об объектах и субъектах данной зоны управления (домена, службы каталогов).

Существуют различные классы МСЭ. Пакетный фильтр в чистом виде – это устройство, которое фильтрует сетевые пакеты на основе предопределенных данных о сетевых (IP) адресах источника и получателя. Однако в виде независимых программно-аппаратных комплексов МСЭ этого типа уже давно не встречаются в основном по причине недостаточной функциональности. В настоящее время пакетным фильтром можно назвать маршрутизатор с функциями МСЭ этого уровня. При этом, сам маршрутизатор может выполнять более сложные функции – анализ пакетов на транспортном уровне с учетом портов обращений, сокрытие внутренних адресов сети, на границе которой он находится, сокрытие портов обращений, формирование групп доступа по сетевым адресам с более сложным разграничением доступа, расширенные возможности аутентификации (поддержка протоколов RADIUS, TACACS), дифференцирование сетевых интерфейсов и т.п. МСЭ с контролем соединения производят более тонкий анализ проходящего трафика: рассматривают каждый пакет в принадлежности его к конкретному соединению, в том числе с учетом того, кем, когда и как было инициировано соединение и какая активность в рамках данного соединения была перед получением данного пакета. Технология посредника приложения заключается в том, что хосты во внутренней сети и хосты во внешней сети устанавливают соединения между собой не напрямую, а через виртуального «посредника» - отдельный сервис или демон в МСЭ, который общается с клиентом от имени сервера, а с сервером от имени клиента. Т.о. МСЭ выступает как часть соединения и, соответственно, может анализировать все происходящие при соединении события, обнаруживая в том числе и возможные атаки. Общемировым стандартом подобного «универсального» прокси-сервера стал протокол SOCKS. Технология персонального МСЭ заключается в том, что вся функциональность фильтрации соединений выполняется модулем, расположенным непосредственно на персональном компьютере. Для доступа внешних пользователей к ряду хостов (Веб-сервер, FTP-сервер, почтовый сервер) логично создать отдельную подсеть, свободную от элементов внутренней и внешней сети. Данная технология получила название демилитаризованной зоны. Технология трансляции сетевых адресов (NAT) заключается в том, что на МСЭ, который в данном случае играет роль шлюза, при выходе во внешнюю сеть во всех сетевых пакетах производится подмена внутреннего адреса на предопределенный внешний адрес. При этом шлюз ведет таблицу соответствия отправленных пакетов таким образом, что для входящих пакетов из внешней сети производится обратная замена внешнего адреса на внутренний. Различают статический NAT, когда за одним адресом внутренней сети жестко закреплен один внешний адрес, и более часто используемый динамический NAT, когда за множеством внутренних адресов закреплен некоторый, обычно небольшой, диапазон внешних адресов (а, возможно, и всего один IP-адрес).