Компьютерная безопасность. Криптографические методы защиты - Петров А.А.
ISBN 5-89818-064-8
Скачать (прямая ссылка):
• необходимости использования механизмов удаленного поиска в сети Internet;
• отсутствии в базовой версии стека протоколов TCP/IP механизмов, обеспечивающих конфиденциальность и целостность передаваемых сообщений. На сегодняшний день инструментарий, обеспечивающий шифрование и подписание передаваемых сообщений или всего трафика, является всего лишь дополнением к существующим технологиям обеспечения электронной связи, но их применение требут введения некоторых ограничений на работу пользователей или на работу информационной системы, куда встраиваются данные механизмы.
268 Компьютерная безопасность и практическое применение криптографии
Атаки подобного рода, очевидно, возможны только на сетевом и транспортном уровнях Internet, но, как улсе упоминалось, каждый вышележащий протокол будет наращивать потенциал нарушителя для проведения виртуальных нападений.
Реализация средств, обеспечивающих информационную безопасность, должна обязательно учитывать тот факт, что информационно-вычислительные системы, построенные с использованием TCP/IP, изначально уязвимы для удаленных атак. Например, Internet Information Server (фирмы Microsoft) использует для разграничения доступа идентификацию пользователей на основе IP-адреса, но в силу того, что IP-адрес может быть изменен, этот тип разграничения доступа к информационным ресурсам обладает уязвимостью, выражающейся в возможности несанкционированного получения сведений из базы данных.
Поэтому защита основной версии стека протоколов TCP/IP является важнейшей задачей при реализации защиты межсетевого взаимодействия, причем реализация защиты протоколов верхних уровней должна учитывать уязвимость базовой модели.
С учетом недостатков в безопасности IPv4, а также необходимости модификации базовой версии IP-протокола в рамках обеспечения транспортной компоненты информационных систем подготовлена новая версия IP-протокола - IPv6.
Протокол IP v.6 и рекомендации IPSec
Расширение инфраструктуры сети Internet приводит к устареванию протоколов стека TCP/IP. Современный уровень развития межсетевого взаимодействия выдвигает новые требования к базовым протоколам, заключающиеся в обеспечении передачи информации в режиме реального времени, возможности контроля загрузки каналов передачи данных, наличии механизмов защиты информации. Базовые протоколы семейства TCP/IP не удовлетворяют ни одному из этих требований. Следовательно, близок момент, когда четырехмиллиардная емкость адресного пространства TCP/IP будет практически полностью исчерпана.
Для решения указанных проблем с июля 1992 года тематическая группа по технологии Internet (IETF) приступила к разработке основных требований к протоколам семейства TCP/IP нового поколения, названным IP Next Generation (IPng). В январе 1995 года данный проект был опубликован под общим заголовком «Рекомендации для протокола IP нового поколения». В этом документе были представлены основные требования к IPng, как-то: форматы заголовков пакетов, подходы к организации адресного
Защита информации при межсетевом взаимодействии
269
пространства и маршрутизации, а также принципы построения средств обеспечения безопасности в современных IP-сетях.
IPv6 должен обеспечивать следующие характеристики, отсутствующие у IPv4:
• расширенное адресное пространство. IPv6 использует 128-битные адреса вместо 32-битных. В результате адресное пространство увеличивается в 296 раза, что будет достаточно даже в случае неэффективного распределения сетевых адресов;
• улучшенные возможности маршрутизации. В связи с увеличением межсетевого трафика, связанного с обработкой больших объемов мультимедийной информации и использованием сети Internet в различных сферах деятельности, весьма существенной является необходимость обеспечения высоких скоростей маршрутизации. Без применения эффективных алгоритмов обработки пакетов данных невозможно повысить скорость работы маршрутизаторов до уровня, сравнимого со скоростью передачи информации по каналам связи;
• управление доставкой информации. IPv6 позволяет отмечать соответствие конкретного пакета определенным условиям его передачи, заданным отправителем. В результате достигается регулирование скорости передачи конкретных потоков данных, что позволяет обеспечивать эффективную поддержку специальных протоколов (например, в режиме реального времени и др.). За счет назначения приоритетов передачи данных по определенным протоколам появляется возможность гарантировать первоочередность обработки наиболее критической информации и предоставления важным данным всей полосы пропускания канала связи;
• средства обеспечения безопасности. IPv6 предоставляет возможности защиты от атак, связанных с подменой исходных адресов пакетов, и от несанкционированного доступа к полям данных пакетов. Эти воз-молшости достигаются за счет применения алгоритмов аутентификации и шифрования. При создании средств обеспечения безопасности в рамках IPv6 учитывалось, что изменение базовых протоколов семейства TCP/IP вызвало бы полную перестройку сети Internet, таким образом, спецификация IPSec является дополнением по отношению к протоколам IPv4 и IPv6. Гарантии целостности и конфиденциальности данных в спецификации IPSec обеспечиваются за счет использования механизмов аутентификации и шифрования соответственно. Последние, в свою очередь, основаны на предварительном согласовании
