Обеспечение информационной безопасности в сетях IP

В этой главе мы рассмотрели некоторые основные моменты, касающиеся протокола сетевой безопасности IPsec. Не лишним будет отметить, что протокол IPsec реализован в операционной системе Windows2000 компании Microsoft. В заключение главы приводится таблица, в которой производится сравнение IPSec и широко распространённого сейчас SSL.

7.3 FireWall

Интернет-технологии FireWall (Межсетевые экраны)

Обзор

Когда Вы соединяете Вашу сеть с Internet или с другой сетью, фактор обеспечения безопасности доступа в Вашу сеть имеет критическое значение. Наиболее эффективный способ защиты при связи с Internet предполагает размещение межсетевого экрана FireWall между Вашей локальной сетью и Internet. Межсетевые экраны реализуют механизмы контроля доступа из внешней сети к внутренней путем фильтрации всего входящего и исходящего трафика, пропуская только авторизованные данные.

Существует три основных типа межсетевых экранов - пакетный фильтр (packet filtering), шлюз на сеансовом уровне (circuit-level gateway) и шлюз на прикладном уровне (application-level gateway). Очень немногие существующие межсетевые экраны могут быть однозначно отнесены к одному из названных типов. Как правило, МСЭ совмещает в себе функции двух или трех типов.

Как уже отмечалось, для того, чтобы эффективно обеспечивать безопасность сети, firewall обязан отслеживать и управлять всем потоком, проходящим через него. Для принятия управляющих решений для TCP/IP-сервисов (то есть передавать, блокировать или отмечать в журнале попытки установления соединений), firewall должен получать, запоминать, выбирать и обрабатывать информацию, полученную от всех коммуникационных уровней и от других приложений.

Недостаточно просто проверять пакеты по отдельности. Информация о состоянии соединения, полученная из инспекции соединений в прошлом и других приложений - главный фактор в принятии управляющего решения при попытке установления нового соединения. Для принятия решения могут учитываться как состояние соединения (полученное из прошлого потока данных), так и состояние приложения (полученное из других приложений).

Итак, управляющие решения требуют чтобы firewall имел доступ, возможность анализа и использования следующих вещей:

Информация о соединениях - информация от всех семи уровней в пакете.

История соединений - информация, полученная от предыдущих соединений. Например, исходящая команда PORT сессии FTP должна быть сохранена для того, чтобы в дальнейшем с его помощью можно было проверить входящее соединение FTP data.

Состояния уровня приложения - информация о состоянии, полученная из других приложений. Например, аутентифицированному до настоящего момента пользователю можно предоставить доступ через firewall только для авторизованных видов сервиса.

Манипулирование информацией - вычисление разнообразных выражений, основанных на всех вышеперечисленных факторах.

Сравнение альтернатив

В этом разделе описаны границы, в которых доступные технологии firewall обеспечивают эти четыре своих основных свойства.

Маршрутизаторы

Маршрутизаторы действуют на сетевом уровне и их очевидным недостатком является неспособность обеспечивать безопасность даже для наиболее известных сервисов и протоколов. Маршрутизаторы не являются устройствами обеспечения безопасности, так как они не имеют основных возможностей firewall:

Информация о соединении - маршрутизаторы имеют доступ лишь к ограниченной части заголовка пакетов.

Наследуемая информация о соединении и приложении - маршрутизаторы не поддерживают хранение информации о истории соединения или приложения.

Действия над информацией - маршрутизаторы имеют очень ограниченные возможности по действиям над информацией.

К тому же, маршрутизаторы трудно конфигурировать, следить за их состоянием и управлять. Они не обеспечивают должного уровня журналирования событий и механизмов оповещения.

Proxy Proxy - модуль доступа (напр., к сети Internet); программа-посредник, агент (механизм, посредством которого одна система представляет другую в ответ на запросы протокола; proxy-системы используются в сетевом управлении, чтобы избавиться от необходимости реализации полного стека протоколов для таких простых устройств, как модемы)

² RPC [Remote Procedure Call] удаленный вызов процедуры ( средство передачи сообщений, которое позволяет распределенному приложению вызывать сервис различных компьютеров в сети; обеспечивает процедурно-ориентированный подход в работе с сетью; применяется в распределенных объектных технологиях, таких как, DCOM, CORBA, Java RMI )

Proxy являются попыткой реализовать firewall на уровне приложения. Их основное преимущество - поддержка полной информации о приложениях. Proxy обеспечивают частичную информацию об истории соединений, полную информацию о приложении и частичную информацию о текущем соединении. Proxy также имеют возможность обработки и действий над информацией.

Однако, имеются очевидные трудности в использовании proxy на уровне приложения в качестве firewall, включая:

Ограничения на соединения - каждый сервис требует наличия своего собственного proxy, так что число доступных сервисов и их масштабируемость ограничены.

Ограничения технологии - шлюзы прикладного уровня не могут обеспечить proxy для UDP, RPC2 и других сервисов общих семейств протоколов.

Производительность - реализация на уровне приложения имеет значительные потери в производительности.

В добавление, proxy беззащитны к ошибкам в приложениях и ОС, неверной информации в нижних уровнях протоколов и в случае традиционных proxy очень редко являются прозрачными.

Исторически proxy уровня приложений удовлетворяли применению общему их применению и нуждам Internet. Однако, по мере превращения Internet в постоянно меняющуюся динамичную среду, постоянно предлагающую новые протоколы, сервисы и приложения, proxy более не способны обработать различные типы взаимодейстывий в Internet или отвечать новым нуждам бизнеса, высоким требованиям к пропускной способности и безопасности сетей.

7.4 Check Point FireWall-1 технология проверки с учетом состояния протокола (Stateful Inspection Technology)

Технология FireWall-1

В отличие от описанных альтернатив, FireWall-1 вводит передовую архитектуру, названную технологией проверки с учетом состояния протокола, которая реализует все необходимые возможности firewall на сетевом уровне.

Предлагая проверку с учетом состояния протокола, FireWall-1 модуль инспекции имеет доступ и анализирует данные, полученные от всех уровней коммуникаций. Эти данные о "состоянии" и "контексте" запоминаются и обновляются динамически, обеспечивая виртуальную информацию о сессии для отслеживания протоколов без установки соединений (таких как RPC и приложений основанных на UDP). Данные, собранные из состояний соединений и приложений, конфигурации сети и правил безопасности, используются для генерации соответствующего действия и либо принятия, либо отвержения, либо шифрации канала связи. Любой трафик, который намеренно не разрешен правилами безопасности блокируется по умолчанию и одновременно в реальном времени генерируются сигналы оповещения, обеспечивая системного администратора полной информацией о состоянии сети.

Итак, FireWall-1 совмещает прозрачность на сетевом уровне, полноту, надежность и высокую производительность с гибкостью на уровне приложений, обеспечивая тем самым превосходное решение для обеспечения безопасности, которое значительно превосходит возможности предыдущих решений.

Политика безопасности

Политика безопасности FireWall-1 выражается в виде базы правил и свойств. База правил - это упорядоченный набор правил, с помощью которых проверяется каждое соединение. Если источник соединения, назначение и тип сервиса соответствуют правилу, с соединением будет выполнено действие, описанное в правиле (Accept - принять, Encrypt-зашифровать, Reject-отклонить, Drop-оставить). Если соединение не соответствует ни одному из правил, оно блокируется, в соответствии с принципом "Что специально не разрешено, всегда запрещено".

Модуль проверки FireWall-1

Модуль проверки FireWall-1 динамически загружается в ядро операционной системы, между уровнем Data Link - каналом передачи данных и сетью (уровни 2 и 3). Когда приходит первый пакет нового соединения, модуль проверки FireWall-1 проверяет базу правил для определения должно ли быть разрешено это соединение. Как только соединение установлено, FireWall-1 добавляет его во внутреннюю таблицу соединений. Из соображений эффективности, последующие пакеты соединения проверяются по таблице соединений, а не по базе правил. Пакету разрешается быть переданным только, если соединение имеется в таблице соединений.

В таком соединении как здесь, соединение полностью ведется модулем проверки FireWall-1 (рис. 9).

Рис.12 Соединение управляется модулем проверки FireWall-1

Примеры

UDP

Из информации в заголовке TCP/UDP, FireWall-1, используя свои уникальные способности, моделирует состояние коммуникационного протокола, на основе чего отслеживает и управляет соединениями UDP.

FTP

Для отслеживания обратного соединения FTP-data, FireWall-1 извлекает информацию из области приложения в пакете. Такая уникальная способность использования информации из всех уровней позволяет FireWall-1 моделировать состояние протокола, на основе чего обратное соединение может быть установлено ("Исходящие соединения FTP").

RPC

FireWall-1 использует все описанные выше возможности, включая информацию о состоянии, полученную из приложения для отслеживания динамического переназначения номеров программ и портов этого сложного протокола ("RPC (Remote Procedure Call)").

Аутентификация на сервере безопасности и безопасность содержания

FireWall-1 позволяет администратору определять политику безопасности для каждого пользователя, где не только источник соединения, назначения и сервис проверяются, но и каждый пользователь должен быть аутентифицирован. Более того, соединения могут быть разрешены или запрещены исходя из их содержания. К примеру, почта для или от определенных адресов может быть запрещена или перенаправлена, доступ может быть запрещен к заданным URL URL [uniform resource locator] унифицированный указатель информационного ресурса (cтандартизованная строка символов, указывающая местонахождение документа в сети Internet), и включена анти-вирусная проверка над передаваемыми файлами.

Аутентификация и проверка содержимого обеспечиваются набором серверов безопасности FireWall-1, работающих на уровне приложения (Рис. 10).

Рис. 13 Соеднение через сервер безопасности FireWall-1

Когда работает сервер безопасности FireWall-1, модуль проверки перенаправляет все пакеты соединения к серверу безопасности, который выполняет требуемую аутентификацию и/или проверку содержимого.

Распределение нагрузки

FireWall-1 позволяет распределить вычислительную нагрузку на любое число серверов. Рис. 11 показывает конфигурацию, в которой сервисы FTP и HTTP обслуживаются несколькими серверами.

Рис. 14 Распределение нагрузки по нескольким серверам

Все HTTP серверы способны дать клиенту одинаковые сервисы (однако не все HTTP серверы позади защищенного моста). Таким же образом, все FTP серверы обеспечивают клиентов одинаковым сервисом.

Системному администратору важно, чтобы загрузка по обслуживанию была распределена между серверами. Клиент не будет подозревать о наличии нескольких разных серверов. С точки зрения клиента, есть только один HTTP и один FTP сервер. Когда запрос на обслуживание достигает FireWall, FireWall-1 определяет какой из серверов будет обслуживать данный запрос, основываясь на алгоритме балансирования загрузки, заданном системным администратором.

Алгоритм распределения нагрузки

Доступны следующие алгоритмы распределения :

По загрузке сервера. FireWall-1 запрашивает серверы чтобы определить, который из них лучше всего способен обслужить новое соединение.

По времени ответа на ping (round trip). FireWall-1 использует ping для определения времени прохождения пакета между FireWall-1 и каждым из серверов и выбирает сервер с наименьшим временем ответа.

По кругу. FireWall-1 просто назначает следующий сервер в списке.

Случайный. FireWall-1 назначает сервер в случайном порядке.

По доменному имени. FireWall-1 назначает "ближайший" сервер, основываясь на доменных именах.

Аутентификация

FireWall-1 обеспечивает при вида аутентификации:

Аутентификация пользователя, которая позволяет администратору давать каждому пользователю свои привилегии доступа. Аутентификация пользователя включает сервер безопасности HTTP FireWall-1, который предоставляет механизм для аутентификации пользователей сервиса HTTP, как входящего так и исходящего.

Аутентификация клиентов дает механизм для аутентификации пользователя любого приложения, стандартного или собственной разработки.

Аутентификация сессий, дающая прозрачную аутентификацию каждой сессии, что может быть интегрировано с любым приложением.

Обратите внимание: аутентификация клиента и сессии обеспечиваются не серверами безопасности, а другими механизмами, описанными в "Аутентификация клиента" и "Аутентификация сессии".

FireWall-1 поддерживает следующие схемы аутентификации для каждого пользователя:

S/Key - Пользователю требуется ввести значения S/Key для данной итерации.

SecurID - Пользователю требуется ввести номер, показанный на SecurID карте Security Dynamics (безопасная динамика).

По паролю - от пользователя требуют ввести его (или ее) пароль OС.

Внутренняя - пользователь должен ввести его (или ее) внутренний пароль FireWall-1 на мосте.

RADIUS - пользователь должен ввести ответ на запрос сервера RADIUS.

AssureNet Pathways - пользователь должен ввести ответ на запрос сервера AssureNet Pathway (обеспечение сетевого пути).

Проверка потока данных

Возможность проверки содержания расширяет набор возможностей по проверке данных до протоколов самого верхнего уровня. Эта возможность позволяет максимально гибко управлять доступом к сетевым ресурсам.

FireWall-1 обеспечивает проверку содержания для HTTP, SMTP и FTP с использованием серверов безопасности FireWall-1. Для каждого соединения, установленного через сервер безопасности FireWall-1, администратор может управлять доступом в соответствии с различными параметрами протокола данного сервиса: URL, именами файлов, командами FTP PUT/GET, типами запросов и так далее.

Наиболее важное применение проверки содержания - анти-вирусная проверка передаваемых файлов. Анти-вирусная поддержка полностью интегрирована с FireWall-1.

Проверка содержания реализуется через тип обьекта FireWall-1 Resource. Определение обьекта Resource задает ряд составляющих, которые могут быть доступны через определенный протокол. Вы можете задавать FireWall-1 Resource на основе протоколов HTTP, FTP и SMTP.

Например, вы можете задать URI ресурс, чьими атрибутами будет список URL и схем HTTP и FTP. Ресурс может быть использован в базе правил точно таким же образом, как и любой другой тип сервиса, и для него также могут быть определены стандартные процедуры записи события в журнал и оповещения администратора системы для обеспечения возможности наблюдения за использованием данного ресурса.

HTTP

Ресурсы URI могут определять схемы (HTTP, FTP, GOPHER и т.д.), методы (GET,PUT, и т.д.), машины (например, "*.com"), пути и запросы. Также может быть задан файл, содержащий список IP адресов и серверов.

SMTP

Протокол SMTP, разработанный для обеспечения наиболее удобного общения между людьми через Internet, и расширенный для поддержки не только e-mail, но и передачи файлов, предоставляет выбор системному администратору, который хочет одновременно поддерживая прозрачность соединений, не позволять нарушителям проникнуть внутрь сети.

FireWall-1 предлагает сервер SMTP, который обеспечивает максимально детальный контроль над соединениями SMTP. Определяя SMTP ресурсы, администратор безопасности имеет возможности:

спрятать в исходящей почте адрес From под стандартным общим адресом, закрыв тем самым внутреннюю архитектуру сети и реальные имена пользователей.

перенаправить почту, посланную на данный адрес To (например для root) на другой почтовый адрес.

уничтожать всю почту от заданного адреса.

обрезать все прикрепленные к письмам файлы.

убирать поля Received из исходящей почты для закрытия внутренней структуры сети.

уничтожать все письма размера более заданного.

FTP

Сервер безопасности FTP обеспечивает аутентификацию и проверку содержимого, основываясь на командах FTP (PUT/GET), ограничениях на имена файлов и анти-вирусной проверке файлов.

Анти-вирус

Анти-вирусная проверка является составной частью такого свойства FireWall-1, как проверка содержимого потоков данных и значительно снижает уязвимость защищенных машин.

Проверка всех передаваемых файлов проводится с использованием встроенного анти-вирусного модуля. Конфигурация этого механизма (какие файлы проверять, что делать с зараженными файлами) полностью интегрирована в политику безопасности (базу правил). Все инструменты управления и проверки FireWall-1 доступны для журналирования и оповещения о случаях нахождения зараженных файлов.

7.5 Недостатки межсетевых экранов

Отсутствие защиты от авторизованных пользователей

Проблема:

Невозможность защиты от пользователей, знающих идентификатор и пароль для доступа в защищаемый сегмент корпоративной сети.

Межсетевой экран может ограничить доступ посторонних лиц к ресурсам, но он не может запретить авторизованному пользователю скопировать ценную информацию или изменить какие-либо параметры финансовых документов, к которым этот пользователь имеет доступ.

Решение:

Для устранения этого недостатка нужны новые подходы и технологии. Например, использование систем обнаружения атак (intrusion detection systems). RealSecure, обнаруживают и блокируют несанкционированную деятельность в сети независимо от того, кто ее реализует - авторизованный пользователь (в т.ч. и администратор) или злоумышленник.

Отсутствие защиты новых сетевых сервисов

Проблема:

Невозможность защиты новых сетевых сервисов. Как правило, МСЭ разграничивают доступ по широко распространенным протоколам, таким как HTTP, Telnet, SMTP, FTP и ряд других. Реализуется это при помощи при помощи механизма "посредников" (proxy), обеспечивающих контроль трафика, передаваемого по этим протоколам или при помощи указанных сервисов. И хотя число таких "посредников" достаточно велико, они существуют не для всех новых протоколов и сервисов.

Решение:

Многие производители межсетевых экранов пытаются решить указанную проблему, но удается это далеко не всем. Некоторые производители создают proxy для новых протоколов и сервисов, но всегда существует временной интервал от нескольких дней до нескольких месяцев между появлением протокола и соответствующего ему proxy. Другие разработчики межсетевых экранов предлагают средства для написания своих proxy

В этом случае необходима высокая квалификация и время для написания эффективного proxy, учитывающего специфику нового сервиса и протокола. Аналогичная возможность существует и у межсетевого экрана CheckPoint Firewall-1, который включает в себя мощный язык INSPECT, позволяющий описывать различные правила фильтрации трафика.

Ограничение функциональности сетевых сервисов

Проблема:

Некоторые корпоративные сети используют топологию, которая трудно "уживается" с межсетевым экраном, или используют некоторые сервисы (например, NFS NFS [Network File System] сетевая файловая система.( набор протоколов на основе транспортного протокола UDP , позволяющий Unix-машинам, PC и ПК Macintosh совместно использовать файлы в локальной сети )) таким образом, что применение МСЭ требует существенной перестройки всей сетевой инфраструктуры.

В такой ситуации относительные затраты на приобретение и настройку межсетевого экрана могут быть сравнимы с ущербом, связанным с отсутствием МСЭ.

Решение:

Решить данную проблему можно только путем правильного проектирования топологии сети на начальном этапе создания корпоративной информационной системы.

Потенциальная опасность обхода межсетевого экрана

Проблема:

Межсетевые экраны не могут защитить ресурсы корпоративной сети в случае неконтролируемого использования в ней модемов. Доступ в сеть через модем по протоколам SLIP(межсетевой протокол для последовательного канала) или PPP(ротокол двухточечного соединения) в обход межсетевого экрана делает сеть практически незащищенной.

Решение:

Для решения этой задачи необходимо строго контролировать все имеющиеся в корпоративной сети модемы и программное обеспечение удаленного доступа. Для этих целей возможно применение как организационных, так и технических мер. Например, использование систем разграничения доступа, в т.ч. и к COM-портам (например, Secret Net) или систем анализа защищенности (например, Internet Scanner и System Scanner).

Потенциально опасные возможности

Проблема:

Новые возможности, которые появились недавно, и которые облегчают жизнь пользователям Internet, разрабатывались практически без учета требований безопасности. Например, WWW, Java, ActiveX ActiveX название группы технологий, разработанных Microsoft, для программирования компонентных объектных приложений на основе модели COM и другие сервисы, ориентированные на работу с данными. Они являются потенциально опасными, так как могут содержать в себе враждебные инструкции, нарушающие установленную политику безопасности.

Решение:

Защита от таких полезных, но потенциально опасных возможностей должна решаться в каждом конкретном случае по-своему. Можно проанализировать необходимость использования новой возможности и совсем отказаться от нее; а можно использовать специализированные защитные средства, например, систему SurfinShield компании Finjan или SafeGate компании Security-7 Software, обеспечивающие безопасность сети от враждебного "мобильного" кода.

Вирусы и атаки

Проблема:

Практически ни один межсетевой экран не имеет встроенных механизмов защиты от вирусов и, в общем случае, от атак. Как правило, эта возможность реализуется путем присоединения к МСЭ дополнительных модулей или программ третьих разработчиков (например, система антивирусной защиты ViruSafe для МСЭ CyberGuard Firewall или система обнаружения атак RealSecure для МСЭ CheckPoint Firewall-1). Использование нестандартных архиваторов или форматов передаваемых данных, а также шифрование трафика, сводит всю антивирусную защиту "на нет". Как можно защититься от вирусов или атак, если они проходят через межсетевой экран в зашифрованном виде и расшифровываются только на оконечных устройствах клиентов?

Решение:

В таком случае лучше перестраховаться и запретить прохождение через межсетевой экран данных в неизвестном формате.

Снижение производительности

Проблема:

Несмотря на то, что подсоединение к сетям общего пользования или выход из корпоративной сети осуществляется по низкоскоростным каналам (как правило, при помощи dialup-доступа на скорости до 56 Кбит или использование выделенных линий до 256 Кбит), встречаются варианты подключения по каналам с пропускной способностью в несколько сотен мегабит и выше (ATM АТМ asynchronous transfer mode асинхронный режим передачи (стандартизованная ITU технология коммутации пакетов фиксированной длины; является асинхронной в том смысле что пакеты от отдельных пользователей передаются апериодически; обеспечивает эффективную передачу различных типов данных (голос, видео, multimedia, трафик ЛВС) на значительные расстояния), T1, E3 и т.п.). В таких случаях межсетевые экраны являются самым узким местом сети, снижая ее пропускную способность. В некоторых случаях приходится анализировать не только заголовок (как это делают пакетные фильтры), но и содержание каждого пакета ("proxy"), а это существенно снижает производительность межсетевого экрана. Для сетей с напряженным трафиком использование межсетевых экранов становится нецелесообразным.

Решение:

В таких случаях на первое место надо ставить обнаружение атак и реагирование на них, а блокировать трафик необходимо только в случае возникновения непосредственной угрозы.

Отсутствие контроля своей конфигурации

Проблема:

Даже если все описанные выше проблемы решены, остается опасность, что межсетевой экран неправильно сконфигурирован.

Решение:

В этом случае помогут средства анализа защищенности. Средства анализа защищенности могут тестировать межсетевой экран как на сетевом уровне (например, подверженность атакам типа "отказ в обслуживании"), так и на уровне операционной системы (например, права доступа к конфигурационным файлам межсетевого экрана). Кроме того, при сканировании возможна реализация атак типа "подбор пароля", позволяющие обнаружить "слабые" пароли или пароли, установленные производителем по умолчанию. К средствам, проводящим такие проверки, можно отнести, например, систему Internet Scanner американской компании Internet Security Systems (ISS).

Ознакомившись с описанными проблемами, многие могут сделать вывод, что межсетевые экраны не могут обеспечить защиту корпоративной сети от несанкционированного вмешательства. Это не так. Межсетевые экраны являются необходимым, но явно недостаточным средством обеспечения информационной безопасности. Они обеспечивают лишь первую линию обороны. Не стоит покупать межсетевой экран только потому, что он признан лучшим по результатам независимых испытаний. При выборе и приобретении межсетевых экранов необходимо тщательно все продумать и проанализировать. В некоторых случаях достаточно установить простейший пакетный фильтр, свободно распространяемый в сети Internet или поставляемый вместе с операционной системой, например squid. В других случаях межсетевой экран необходим, но применять его надо совместно с другими средствами обеспечения

8. Решения на аппаратном уровне

Большинство сетевых бизнес-коммуникаций происходит между сервером и рабочими станциями клиентов, и между рабочими станциями в группе. Здесь же находится самая большая внутренняя угроза безопасности данных. Идентификация, целостность и шифрование данных, реализованные в сетевых адаптерах могли бы гарантировать защиту передаваемых данных в локальных сетях

Традиционно большинство компаний и предприятий строят свои межсетевые экраны и парольную защиту своей сети от несанкционированного доступа извне. Однако исследования показывают, что большинство нарушений защит было произведено внутри самих компаний, а не извне (71% против 25%), и их число продолжает увеличиваться. Вследствие интеллектуального воровства предприятия несут огромные убытки, и помимо внешней защиты появляется необходимость создавать защиту локальных сетей. Для эффективной безопасности передачи данных внутри локальных сетей может быть использован Internet Protocol Security (IPSec), который доступен уже сейчас, как протокол защиты локальных сетей.

IPSec решения

Корпорация Intel предлагает первое семейство сетевых адаптеров с встроенной защитой данных - Intel® PRO/100 S Desktop, Server и Mobile Adapters. Эти адаптеры оптимизированы для аппаратной обработки IPSec в Windows* 2000, и для расширения возможностей Windows NT* 4.0 и Windows 98 используя Intel® Packet Protect software. Реализованная в адаптерах технология переносит операции кодирования/декодирования на контроллер Intel® 82550 адаптера, который имеет интегрированный сопроцессор кодирования. Это решение позволяет освободить центральный процессор сервера или ПК для выполнения других задач и, таким образом не влияет на пропускную способность сетевого соединения.

IPSec обеспечивает превосходную защиту локальной сети, однако процесс кодирования/декодирования требует от ЦП интенсивных вычислений. Если обработка этих процессов производится на сервере, то это требует настолько много вычислительной мощности ЦП, что эффективная пропускная способность сервера может снизиться с 100 Мбит/с до 20 Мбит/с. При этом эффективность работы сервера и ПК пользователя может снижаться, в то время как утилизация ЦП возрастает, потому что процессоры сосредоточены на кодировании, вместо других функций, требуемых пользователям.

Разгрузка ЦП особенно важна для работы сервера, потому что серверы получают зашифрованные пакеты от многих рабочих станций и должны тратить больше времени на обработку, чем рабочая станция. Для этого IPSec адаптер устанавливается на каждый сервер и пользовательские рабочие станции, которые будут частью защищенной локальной сети.

IPSec выполняется на 3 уровне протокольного стека, в результате этого он прозрачен для приложений, в отличии от технологий защиты, которые выполняются на других уровнях. Это означает, что применение протокола IPSec относительно недорого и не требует изменения приложений и повторного обучения пользователей.

Три уровня развертывания защиты

На первом этапе развертывания защиты локальной сети адаптеры Intel® PRO/100 S должны быть устанавлены на ПК пользователей, которым нужна защищенная связь и на серверы, которые используются этими пользователями. После того, как адаптеры установлены согласно правилам IPSec, при установлении связи компьютер предложит использовать протокол IPSec и если оба компьютера допускают использование протокола IPSec, то передаваемые ими данные будут зашифрованы. Если сервер или клиентская рабочая станция не поддерживает протокол IPSec, то последует открытая передача данных. Благодаря этому все передаваемые данные между выбранными клиентами и серверами будут зашифрованы, и информация не может быть перехвачена другими пользователями внутри локальной сети предприятия. Для идентификации пользователя используются предварительно распределенные ключи.

На следующем этапе должны определяться различные уровни кодирования и идентификации для каждого пользователя в зависимости от роли ПК и исходя из трафика проходящего через него. Для усиления защиты локальной сети создаются две рабочие группы. Одна рабочая группа - эксклюзивная, она использует индивидуальную политику защиты, кроме того, эта рабочая группа входит и в общую политику защиты. Это позволяет надежно дифференцировать сообщения между эксклюзивной рабочей группой и основной сетью. При этом выделенная рабочая группа может посылать кодированные сообщения доступные для всех пользователей или только для определенных клиентов внутри самой группы.

Третий этап - авторские полномочия. Как только политика защиты для выделенной рабочей группы построена и хорошо работает, они могут быть сгруппированы вместе, и развертывание IPSec может быть расширенно на других членов группы. Таким образом, модель выделенной рабочей группы может быть расширена на часть или на всю компанию. На определенном этапе этого процесса предприятие может решить, что ему необходима более строгая защита. Хотя предварительно распределенные ключи обеспечивают превосходную идентификацию для начального этапа защиты локальной сети, но это не самый строгий уровень, который возможен. Строгий уровень идентификации можно обеспечить, используя стандарт X.509 дл цифровых удостоверений, которые проверяются авторскими полномочиями. В решениях Intel используется Entrust* - один из наиболее уважаемых видов авторских полномочий. В рассмотренном примере, при выдачи цифровых удостоверений, возможно, уникально идентифицировать каждого пользователя выделенной группы. Это позволяет системному администратору дифференцировать запросы сделанные разными по приоритету пользователями.

Ключи защиты

Процесс аутентификации IPSec требует уникального идентификатора или ключа для каждого привлеченного компьютера. Распределение и обслуживание этих ключей может быть произведено одним из двух способов:

Предварительно распределенные ключи

В этом случае сетевой администратор сам распределяет ключи. Преимущества предварительно распределенных ключей в том, что они просты в конфигурировании и не требуют специального программного обеспечения. Предварительно распределенные ключи подходят для рабочей группы среднего размера, с умеренными потребностями защиты.

Авторские полномочия

В этом случае третье лицо выпускает цифровые удостоверения. Авторские полномочия гарантируют, что пользователь предоставляя уникальный сертификат, будет определен, кто он есть и каковы его полномочия. Наиболее широко применяется промышленный стандарт для определения цифровых удостоверений - Х.509. Обычно, метод авторских полномочий применяется в финансовых учреждениях или других организациях, где необходимо подтверждение своих полномочий.

IPSec в сетевых адаптерах Intel

Сетевая безопасность является одной из основных проблем, связанных с развитием сетей и Internet. В локальных сетях защита данных особенно важна при быстром росте деловой среды, где безопасность - основное беспокойство пользователя. Сетевые адаптеры Intel, использующие IPSec, разгружают ЦП и обеспечивают безопасную соединение клиент - сервер. Применение адаптеров, реализующих IPSec, является экономичным, легко устанавливаемым и масштабируемым решением для защиты данных в локальных сетях. Сетевые адаптеры Intel, реализующие IPSec:

Intel PRO/100 S Desktop Adapter

Intel PRO/100 S Server Adapter

Intel PRO/100+ Dual Port S Server Adapter

Intel PRO/100 SR CardBus II Mobile Adapter

Intel PRO/100 SR LAN+Modem56 CardBus II Mobile Adapter

Intel PRO/100 SR Mobile Adapter (RealPort Type III)

Intel PRO/100 SR LAN+Modem56 Mobile Adapter (RealPort Type III)

9. Заключение

Как уже было отмечено в одной из первых глав, главной целью создания сети Интернет было обеспечение функциональности при выходе из строя одного или нескольких ее узлов, цель совсем состояла в обеспечение безопасности, исходно сеть создавалась как незащищенная открытая система, предназначенная для информационного общения все возрастающего числа пользователей. При этом подключение новых пользователей должно было быть максимально простым, а доступ к информации - наиболее удобным. Все это явно противоречит принципам создания защищенной системы, безопасность которой должна быть описана на всех стадиях ее создания и эксплуатации, а пользователи - наделены четкими полномочиями.

Internet создавался как незащищенная система, не предназначенная для хранения и обработки конфиденциальной информации. Следовательно, протоколы используемые в этой сети также не обеспечивают должного контроля безопасности и целосности информационных ресурсов.

На мой взгляд, в Сети не должна находиться информация, раскрытие которой приведет к серьезным последствиям.. Наоборот, в Сети необходимо размещать информацию, распространение которой желательно ее владельцу. При этом всегда необходимо учитывать тот факт, что в любой момент эта информация может быть перехвачена, искажена или может стать недоступной. Следовательно, речь должна идти не о защищенности Internet, а об обеспечении разумной достаточности информационной безопасности Сети.

Конечно, это не отменяет необходимости ознакомления пользователя с богатым и все время возрастающим арсеналом программных и аппаратных средств обеспечения информационной безопасности сети. Тем не менее стоит отметить, что они не в состоянии превратить сеть в защищенную среду, что означило бы изменение ее природы.

10. Список использованных источников

Атака через INTERNET / Медведовский И.Д., Семьянов П.В., Платонов В.В.; Под ред. проф. Зегжды П.Д. - СПб: Мир и семья-95, 1998. - 296с.: ил.

Защита информации в компьютерных системах и сетях / Романец Ю.В., Тимофеев П.А., Шаньгин В.Ф.; Под ред. В.Ф.Шаньгина. - М.: Радио и связь, 1999. - 328с.

Основы криптографии: Учебное пособие. /Алферов А.П., Зубов А.Ю., Кузьмин А.С. Черемушкин А.В. - М.: Гелиос, 2001.

Прикладная криптография. /Б. Шнайер. - М.: Издательство ТРИУМФ,2002.

Размещено на Allbest.ru