Компьютерная безопасность. Криптографические методы защиты - Петров А.А.
ISBN 5-89818-064-8
Скачать (прямая ссылка):
270 Компьютерная безопасность и практическое применение криптографии
сторонами информационного обмена, так называемого контекста безопасности - применяемых криптографических алгоритмов, алгоритмов управления ключевой информацией и их параметров. Спецификация IPSec предусматривает возможность поддержки сторонами информационного обмена различных протоколов и параметров аутентификации и шифрования пакетов данных, а также схем распределения ключей. При этом результатом согласования контекста безопасности является указатель на определенный элемент внутренней структуры стороны информационного обмена, описывающей возможные наборы параметров безопасности.
Общая идея построения средств безопасности имеет схожий со SKIP-протоколом характер: для обеспечения аутентификации используются АН-заголовки, а для обеспечения конфиденциальности - ESP-заголовки (см. раздел «Протокол SKIP»).
Поскольку спецификации IPSec могут применяться как в IPv4, так и в IPv6, их развитие осуществляется независимо от распространения протоколов IPv6.
3.4.2. Обеспечение защиты информации при построении VPN
Широкое распространение глобальных сетей передачи данных предоставляет возможность объединять территориально разбросанные локальные сети организаций для создания так называемых частных виртуальных сетей (VPN). Глобальные сети в этом случае выступают как транспортный компонент, объединяющий локальные сети в единую информационно-вычислительную систему. Создание VPN велось и до стремительного роста глобальных сетей, однако для их объединения служили выделенные каналы передачи данных, что приводило:
• к высокой стоимости аренды выделенных каналов связи;
• к жесткой привязанности к местоположению. Например, в случае переезда офиса компании с развернутым сегментом локальной сети, связанным выделенным каналом с общей сетью предприятия, возникали дополнительные проблемы с последующим подключением локальной и общей сетей.
Использование коммутируемых каналов глобальных сетей передачи данных позволило добиться гибкости, масштабируемости и универсальности при построении VPN. Кроме того, расширение Internet позволило многим компаниям перевести часть персонала на домашний режим работы. В этом случае сотрудник имеет постоянную связь с фирмой в рамках,
Защита информации при межсетевом взаимодействии
271
например, системы электронного документооборота, при этом проблемы связи его с сетью офиса решаются посредством провайдеров. Все это выглядит так, будто он работает на компьютере, установленном в кабинете. По мнению аналитиков, перевод 30% персонала, работающего в офисе, на домашнюю работу способствует повышению производительности труда всего коллектива в целом. В последнее время все более популярным становится использование портативных компьютеров совместно с сотовыми телефонами, обеспечивающими работу сотрудника не только дома, но и в дороге.
В связи с этим VPN бывают двух видов: объединяющие территориально удаленные сети в одну информационно-вычислительную сеть и позволяющие подключаться удаленным рабочим станциям, расположенным в пространстве глобальных сетей передачи данных, к корпоративной сети предприятия (рис. 3.10).
Широкое распространение VPN, построенных на основе глобальных сетей передачи данных, делает их уязвимыми по отношению к атакам потенциального нарушителя, поскольку такая конфигурация наследуют все уязвимости стека используемых протоколов, о которых было сказано выше. Следует отметить, что при использовании выделенных каналов связи обеспечение безопасности информации сводится к шифрованию и имитозащите трафика, передаваемого по выделенному каналу. Однако наиболее актуально вопросы безопасности стоят для VPN, где в качестве транспортного протокола используется TCP/IP. (Под глобальной сетью передачи данных здесь будем подразумевать Internet.)
Сети такого типа часто используют Internet для передачи конфиденциальных данных, пересылаемых в виде информационных пакетов по
Региональное подразделение
Офис
Удаленные пользователи
Региональное подразделение
Штаб-квартира компании
Рис. 3.10. Схемы построения VPN
272 Компьютерная безопасность и практическое применение криптографии
протоколам IP и/или IPX. Средства обеспечения информационной безопасности трансформируют IP-пакеты, встраивая их внутрь других пакетов (так называемая инкапсуляция), которые затем маршрутизируются через Internet. Таким образом, информационный поток трансформируется в другой информационный поток (так называемое туннелироваиие). При этом шифруются не только поля данных передаваемого IP пакета, но и адресная часть, и служебные поля данных.
Говоря о протоколах, используемых для передачи информации по сетям VPN, следует отметить, что основными в этих случаях являются четыре протокола: Layer 2 Forwarding Protocol (протокол трансляции канального уровня), Layer 2 Tunneling Protocol (протокол туннелирования канального уровня), Point-to-Point Tunneling Protocol (протокол туннелирования между узлами), а также протокол IP Security (IPSec), предложенный комитетом IETF.
