Похожие презентации:
Основы реализации VPN и IpSec
1. Лекция по дисциплине «Программно-аппаратная защита информации»
на тему: «Основы реализации VPN и IpSec»2.
Вопросы:Задачи решаемые VPN и IPsec
Туннелирование в VPN
Классификация VPN
Уровни защищенности каналов
Протокол SKIP
Протокол IPsec
3.
Задачи решаемые VPN и IPsecЗащищенные компьютерные сети на сегодняшний
день применяют технологию защиты информации,
включающую в себя как элементы межсетевого
экранирования, так и механизмы криптографической
защиты сетевого трафика.
Такая технология получила название VPN —
Virtual Private Network (виртуальная частная сеть).
4.
VPN — это технология, объединяющая доверенные сети, узлы и пользователей через открытыесети, к которым нет доверия.
5.
VPN призвана решать следующие задачи:обеспечивать защиту (конфиденциальность, целостность,
доступность) передаваемой по сетям информации. Данная
задача решается применением криптографического метода
защиты передаваемой информации;
выполнять защиту внутренних сегментов сети от НСД
извне. Решение задачи возможно благодаря встроенным в
VPN-системы функциям межсетевого экранирования, а
также криптографическим механизмам, запрещающим
незашифрованный сетевой трафик;
обеспечивать идентификацию и аутентификацию
пользователей. Данная задача возникает вследствие того,
что, как сказано в определении VPN, в сети должны
взаимодействовать лишь доверенные узлы, доверие к
которым возможно после прохождения процедур
идентификации и аутентификации.
6.
Отдельно стоящей задачей, решаемой VPN,является экономия финансовых ресурсов организации,
когда для обеспечения защищенной связи с
филиалами применяются не защищенные выделенные
каналы связи, а Интернет.
7.
Требования, которые предъявляются к программноаппаратным комплексам, реализующим VPN:масштабируемость, т. е. возможность со временем
подключать новые локальные сети без изменения
структуры имеющейся VPN;
интегрируемость, т. е. возможность внедрения VPNсистемы в имеющуюся технологию обмена информацией;
легальность и стойкость используемых крипоалгоритмов, т.
е. система должна иметь соответствующий сертификат,;
пропускная способность сети, т. е. система не должна
существен-но увеличивать объем передаваемого трафика, а
также уменьшать скорость его передачи;
унифицируемость, т. е. возможность устанавливать
защищенные соединения;
общая совокупная стоимость.
8. Туннелирование в VPN
Задача, решаемая VPN, — скрыть передаваемыйтрафик.
При этом необходимо скрыть как передаваемые
данные, так и адреса реальных отправителя и
получателя пакетов.
При отправке пакетов применяется туннелирование, т. е. в пакетах, которые идут в открытой сети, в
качестве адресов фигурируют только адреса «черных
ящиков».
9.
10. Классификация VPN по архитектуре технического решения
По архитектуре технического решения принятовыделять три основных вида виртуальных частных
сетей:
внутрикорпоративные VPN (Intranet VPN);
VPN с удаленным доступом (Remote Access VPN);
межкорпоративные VPN (Extranet VPN).
11.
Внутрикорпоративные сети VPNпредназначены для обеспечения защищенного
взаимодействия между подразделениями внутри
предприятия или между группой предприятий,
объединенных корпоративными сетями связи,
включая выделенные линии.
VPN с удаленным доступом предназначены для
обеспечения защищенного удаленного доступа к
корпоративным информационным ресурсам
мобильным и/или удаленным (home-office)
сотрудникам компании.
Межкорпоративные сети VPN предназначены
для обеспечения защищенного обмена информацией с
пользователями, Extranet VPN обеспечивает прямой
доступ из сети одной компании к сети другой
компании.
12.
Классификация VPN по способу техническойреализации.
Различают VPN на основе:
маршрутизаторов;
межсетевых экранов;
программных решений;
специализированных аппаратных средств со
встроенными шифропроцессорами.
13.
VPN на основе маршрутизаторов. Пример оборудованиядля VPN на маршрутизаторах –устройства компании Cisco
Systems.
VPN на основе межсетевых экранов. Fire Wall компании
Check Point Software Technologies. Недостатками этого метода
являются высокая стоимость решения в пере-счете на одно
рабочее место и зависимость производитель-ности от
аппаратного обеспечения, на котором работает МЭ.
VPN на основе программного обеспечения.
Достоинством программных продуктов является гибкость и
удобство в применении, а также относительно невысокая
стоимость.
VPN на основе специализированных аппаратных
средств. Главное преимущество таких VPN — высокая
производительность, поскольку быстродействие обусловлено тем, что шифрование в них осуществляется специализированными микросхемами. Специализирован-ные VPNустройства обеспечивают высокий уровень безопасности,
однако они дороги.
14. Уровни защищенных каналов
Данные какого уровня модели OSI подлежатшифрованию в процессе организации VPN?
Рассмотрим упрощенную модель OSI, реализованную в стеке протоколов TCP/IP. Эта модель
предполагает наличие четырех уровней: прикладного,
транспортного,
сетевого,
канального.
15.
На прикладном уровне можно скрыть данные,например, электронного письма или получаемой webстраницы. Однако факт передачи письма, т. е. диалог
по протоколу SMTP скрыть невозможно.
На транспортном уровне может быть вместе с
данными скрыт и тип передаваемой информации,
однако IP-адреса получателя и приемника остаются
открытыми.
На сетевом уровне уже появляется возможность
скрыть и IP-адреса. Эта же возможность имеется и на
канальном уровне.
16.
Чем ниже уровень, тем легче сделать систему,функционирование которой будет незаметно для
приложений высокого уровня, и тем большую часть
передаваемой информации можно скрыть.
Для каждого уровня модели разработаны свои протоколы
17.
Протокол SKIPПротокол SKIP (Simple Key management for Internet
Protocol – простое управление ключами для IP-протокола)
разработан компанией Sun Microsystems в 1994 году.
Основными его свойствами являются: аппаратная
независимость, прозрачность для приложений и
независимость от системы шифрования.
ГОСТ 28147-89. Широко известная реализация —
линейка программных продуктов «Застава» российской
компании «ЭЛВИС+».
18.
Протокол SKIP содержит механизмы защиты отследующих видов атак:
Атаки из сети на сервисы ОС и на прикладные
программы, подключение неавторизованных узлов к
сети. Механизм: в защищаемую сеть или компьютер
пропускаются пакеты только от владельца
разделяемого секрета.
Прослушивание трафика. Механизм: передаваемые
пакеты могут быть прочитаны только владельцем
разделяемого секрета.
Повторение пакетов. Механизм: в аутентифицирующую часть заголовка SKIP-пакета перед
вычислением криптосуммы пакета подставляется, в
частности, текущее время.
19.
Подмена/маскарад. Механизм: все пакеты и их адреснаяинформация аутентифицируются и защищаются от подделки
криптосуммой по пакету, разделяемому секрету и текущему
времени.
Перехват сессий. Механизм: в сеть может войти только
владелец разделяемого секрета.
Атака Man-in-the-middle. Механизм: подписанные ЦС
сертификаты.
Анализ топологии сети. Механизм: топология сети полностью
скрывается туннелированием всех исходящих из сети пакетов.
Криптоанализ. Механизм: большая длина пакетных ключей
(до 256 бит); частая смена пакетных ключей – через каждые 510 IP- пакетов; отсутствие данных для криптоанализа
разделяемого секрета — он не используется непосредственно
для криптообработки.
Атака: отказ в обслуживании. Механизм: нейтрализуется для
всех DoS атак, ведущихся на уровне выше чем IP. В сеть
пропускаются пакеты только от владельца разделяемого
секрета.
20.
Защита от ряда атак протоколом не реализуется:осуществляется защита лишь части трафика, например
направленного в удаленный филиал. Остальной
трафик (например, к web-серверам) проходит через
VPN-устройство без обработки;
нет защиты от действий пользователей, имеющих
санкционированный доступ в корпоративную сеть.
21. Протокол IPSec
Протокол IPSec позволяет осуществлять двеважнейшие функции сетевой защиты — осуществлять
криптографическую защиту трафика и выполнять
фильтрацию входящих/исходящих пакетов.
Протокол реализован в ОС Windows 2000/XP.
Протокол обеспечивает аутентификацию участников
сетевого обмена (протокол IKE — Internet Key
Exchange), защиту целостности (заголовок
аутентификации AH — Authentication Header) и
шифрование (ESP — Encapsulating Security Payload)
22.
Аутентифицирующий заголовок (AH) выполняет защиту отатак, связанных с несанкционированным изменением
содержимого пакета. Для этого особым образом применяется
алгоритм MD5: вычисляется хэш-функция от объединения самого
пакета и некоторого предварительно согласованного ключа, затем
от объединения полученного результата и преобразованного
ключа.
Заголовок ESP служит для обеспечения конфиденциальности данных, предполагает возможность использования любого
симметричного алгоритма шифрования.
Протокол обмена ключами IKE отвечает за первоначальный
этап установки соединения, способ инициализации защищенного
канала, процедуры обмена секретными ключами, выбор метода
шифрования. Предполагает три различных способа
аутентификации: технологию «вызов-ответ» с использованием
хэш-функции с общим секретным ключом, применение
сертификатов открытых ключей и использование протокола
Керберос.