скачать рефераты

скачать рефераты
Рус Укр Eng
 
 
скачать рефераты скачать рефераты

Меню

Диплом: Обеспечение информационной безопасности в сетях IP скачать рефераты

- при использовании ESP без аутентификации и без AH). Далее, порядок

выполнения действий (сначала шифрация, потом аутентификация) гарантирует

быструю отбраковку "плохих" пакетов (более того, согласно последним

исследованиям в мире криптографии, именно такой порядок действий наиболее

безопасен, обратный порядок в некоторых, правда очень частных случаях, может

привести к потенциальным дырам в безопасности; к счастью, ни SSL, ни IKE, ни

другие распространенные протоколы с порядком действий "сначала

аутентифицировать, потом зашифровать", к этим частным случаям не относятся,

и, стало быть, этих дыр не имеют).

Остается атака Denial-Of-Service (отказ в обслуживании). Как известно, это

атака, от которой не существует полной защиты. Тем не менее, быстрая

отбраковка плохих пакетов и отсутствие какой-либо внешней реакции на них

(согласно RFC) позволяют более-менее хорошо справляться с этой атакой. В

принципе, большинству (если не всем) известным сетевым атакам (sniffing,

spoofing, hijacking и т.п.) AH и ESP при правильном их применении успешно

противостоят. С IKE несколько сложнее. Протокол очень сложный, тяжел для

анализа. Кроме того, в силу опечаток (в формуле вычисления HASH_R) при его

написании и не совсем удачных решений (тот же HASH_R и HASH_I) он содержит

несколько потенциальных "дыр" (в частности, в первой фазе не все Payload в

сообщении аутентифицируются), впрочем, они не очень серьезные и ведут,

максимум, к отказу в установлении соединения. От атак типа replay, spoofing,

sniffing, hijacking IKE более-менее успешно защищается. С криптографией

несколько сложнее, - она не вынесена, как в AH и ESP, отдельно, а реализована

в самом протоколе. Тем не менее, при использовании стойких алгоритмов и

примитивов (PRF), проблем быть не должно. В какой-то степени можно

рассматривать как слабость IPsec то, что в качестве единственного

обязательного к реализации криптоалгоритма в нынешних спецификациях

указывается DES (это справедливо и для ESP, и для IKE), 56 бит ключа которого

уже не считаются достаточными. Тем не менее, это чисто формальная слабость -

сами спецификации являются алгоритмо-независимыми, и практически все

известные вендоры давно реализовали 3DES (а некоторые уже и AES).Таким

образом, при правильной реализации, наиболее "опасной" атакой остается отказ

в обслуживании.

Оценка протокола

Протокол IPSec получил неоднозначную оценку со стороны специалистов. С одной

стороны, отмечается, что протокол IPSec является лучшим среди всех других

протоколов защиты передаваемых по сети данных, разработанных ранее (включая

разработанный Microsoft PPTP[31]

). С другой стороны, присутствует чрезмерная сложность и избыточность протокола.

По мнению аналитиков, протокол является слишком сложным, чтобы быть безопасным.

В частности, Niels Ferguson и Bruce Schneier в своей работе "A Cryptographic

Evaluation of IPsec – Криптографическое вычисление IPsec” отмечают, что они

обнаружили серьёзные проблемы безопасности практически во всех главных

компонентах IPsec. Авторы также отмечают, что набор протоколов требует

серьёзной доработки для того, чтобы он обеспечивал хороший уровень

безопасности. Они также приводят описание ряда атак, использующих как слабости

общей схемы обработки данных, так и слабости криптографических алгоритмов.

В этой главе мы рассмотрели некоторые основные моменты, касающиеся протокола

сетевой безопасности IPsec. Не лишним будет отметить, что протокол IPsec

реализован в операционной системе Windows2000 компании Microsoft. В

заключение главы приводится таблица, в которой производится сравнение IPSec и

широко распространённого сейчас SSL.

Особенности

IPSec

SSL

Аппаратная независимость

ДаДа

Код

Не требуется изменений для приложений. Может потребовать доступ к исходному коду стека TCP/IP.Требуются изменения в приложениях. Могут потребоваться новые DLL или доступ к исходному коду приложений.

Защита

IP пакет целиком. Включает защиту для протоколов высших уровней.Только уровень приложений.

Фильтрация пакетов

Основана на аутентифицированных заголовках, адресах отправителя и получателя, и т.п. Простая и дешёвая. Подходит для роутеров.Основана на содержимом и семантике высокого уровня. Более интеллектуальная и более сложная.

Производительность

Меньшее число переключений контекста и перемещения данных.Большее число переключений контекста и перемещения данных. Большие блоки данных могут ускорить криптографические операции и обеспечить лучшее сжатие.

Платформы

Любые системы, включая роутерыВ основном, конечные системы (клиенты/серверы), также firewalls.

Firewall/VPN

Весь трафик защищён.Защищён только трафик уровня приложений. ICMP, RSVP, QoS и т.п. могут быть незащищены.

Прозрачность

Для пользователей и приложений.Только для пользователей.

Текущий статус

Появляющийся стандарт.Широко используется WWW браузерами, также используется некоторыми другими продуктами.

Табл. 2. Классификация типовых удаленных атак на распределенные ВС

7.3 FireWall

Интернет-технологии FireWall (Межсетевые экраны)

Обзор

Когда Вы соединяете Вашу сеть с Internet или с другой сетью, фактор

обеспечения безопасности доступа в Вашу сеть имеет критическое значение.

Наиболее эффективный способ защиты при связи с Internet предполагает

размещение межсетевого экрана FireWall между Вашей локальной сетью и

Internet. Межсетевые экраны реализуют механизмы контроля доступа из внешней

сети к внутренней путем фильтрации всего входящего и исходящего трафика,

пропуская только авторизованные данные.

Существует три основных типа межсетевых экранов - пакетный фильтр (packet

filtering), шлюз на сеансовом уровне (circuit-level gateway) и шлюз на

прикладном уровне (application-level gateway). Очень немногие существующие

межсетевые экраны могут быть однозначно отнесены к одному из названных типов.

Как правило, МСЭ совмещает в себе функции двух или трех типов.

Как уже отмечалось, для того, чтобы эффективно обеспечивать безопасность

сети, firewall обязан отслеживать и управлять всем потоком, проходящим через

него. Для принятия управляющих решений для TCP/IP-сервисов (то есть

передавать, блокировать или отмечать в журнале попытки установления

соединений), firewall должен получать, запоминать, выбирать и обрабатывать

информацию, полученную от всех коммуникационных уровней и от других

приложений.

Недостаточно просто проверять пакеты по отдельности. Информация о состоянии

соединения, полученная из инспекции соединений в прошлом и других приложений

- главный фактор в принятии управляющего решения при попытке установления

нового соединения. Для принятия решения могут учитываться как состояние

соединения (полученное из прошлого потока данных), так и состояние приложения

(полученное из других приложений).

Итак, управляющие решения требуют чтобы firewall имел доступ, возможность

анализа и использования следующих вещей:

  1. Информация о соединениях - информация от всех семи уровней в

    пакете.

  2. История соединений - информация, полученная от

    предыдущих соединений. Например, исходящая команда PORT сессии FTP должна быть

    сохранена для того, чтобы в дальнейшем с его помощью можно было проверить

    входящее соединение FTP data.

  3. Состояния уровня приложения -

    информация о состоянии, полученная из других приложений. Например,

    аутентифицированному до настоящего момента пользователю можно предоставить

    доступ через firewall только для авторизованных видов сервиса.

  4. Манипулирование информацией - вычисление разнообразных выражений,

    основанных на всех вышеперечисленных факторах.

Сравнение

альтернатив

В этом разделе описаны границы, в которых доступные технологии firewall

обеспечивают эти четыре своих основных свойства.

Маршрутизаторы

Маршрутизаторы действуют на сетевом уровне и их очевидным недостатком

является неспособность обеспечивать безопасность даже для наиболее известных

сервисов и протоколов. Маршрутизаторы не являются устройствами обеспечения

безопасности, так как они не имеют основных возможностей firewall:

  1. Информация о соединении - маршрутизаторы имеют доступ лишь к

    ограниченной части заголовка пакетов.

  2. Наследуемая информация о

    соединении и приложении - маршрутизаторы не поддерживают хранение

    информации о истории соединения или приложения.

  3. Действия над

    информацией - маршрутизаторы имеют очень ограниченные возможности по

    действиям над информацией.

К тому же, маршрутизаторы трудно конфигурировать, следить за их состоянием и

управлять. Они не обеспечивают должного уровня журналирования событий и

механизмов оповещения.

Proxy[32]

Proxy являются попыткой реализовать firewall на уровне приложения. Их

основное преимущество - поддержка полной информации о приложениях. Proxy

обеспечивают частичную информацию об истории соединений, полную информацию о

приложении и частичную информацию о текущем соединении. Proxy также имеют

возможность обработки и действий над информацией.

Однако, имеются очевидные трудности в использовании proxy на уровне

приложения в качестве firewall, включая :

  1. Ограничения на соединения - каждый сервис требует наличия своего

    собственного proxy, так что число доступных сервисов и их масштабируемость

    ограничены.

  2. Ограничения технологии – шлюзы прикладного уровня

    не могут обеспечить proxy для UDP, RPC2 и других сервисов общих

    семейств протоколов.

  3. Производительность - реализация на

    уровне приложения имеет значительные потери в производительности.

В добавление, proxy беззащитны к ошибкам в приложениях и ОС, неверной

информации в нижних уровнях протоколов и в случае традиционных proxy очень

редко являются прозрачными.

Исторически proxy уровня приложений удовлетворяли применению общему их

применению и нуждам Internet. Однако, по мере превращения Internet в

постоянно меняющуюся динамичную среду, постоянно предлагающую новые

протоколы, сервисы и приложения, proxy более не способны обработать различные

типы взаимодейстывий в Internet или отвечать новым нуждам бизнеса, высоким

требованиям к пропускной способности и безопасности сетей.

7.4 Check Point FireWall-1 технология проверки с учетом состояния протокола

(Stateful Inspection Technology)

Технология FireWall-1

В отличие от описанных альтернатив, FireWall-1 вводит передовую архитектуру,

названную технологией проверки с учетом состояния протокола, которая

реализует все необходимые возможности firewall на сетевом уровне.

Предлагая проверку с учетом состояния протокола, FireWall-1 модуль инспекции

имеет доступ и анализирует данные, полученные от всех уровней коммуникаций.

Эти данные о "состоянии" и "контексте" запоминаются и обновляются

динамически, обеспечивая виртуальную информацию о сессии для отслеживания

протоколов без установки соединений (таких как RPC и приложений основанных на

UDP). Данные, собранные из состояний соединений и приложений, конфигурации

сети и правил безопасности, используются для генерации соответствующего

действия и либо принятия, либо отвержения, либо шифрации канала связи. Любой

трафик, который намеренно не разрешен правилами безопасности блокируется по

умолчанию и одновременно в реальном времени генерируются сигналы оповещения,

обеспечивая системного администратора полной информацией о состоянии сети.

Табл. 3. Сравнение технологий

Свойство firewall

Маршрутизаторы

Proxy

Проверка с учетом состояния протокола

Информация о канале связи

ЧастичноЧастичноДа

Информация об истории соединений

НетЧастичноДа

Информация о состоянии приложения

НетДаДа

Действия над информацией

ЧастичноДаДа

Итак, FireWall-1 совмещает прозрачность на сетевом уровне, полноту,

надежность и высокую производительность с гибкостью на уровне приложений,

обеспечивая тем самым превосходное решение для обеспечения безопасности,

которое значительно превосходит возможности предыдущих решений.

Политика безопасности

Политика безопасности FireWall-1 выражается в виде базы правил и свойств.

База правил - это упорядоченный набор правил, с помощью которых проверяется

каждое соединение. Если источник соединения, назначение и тип сервиса

соответствуют правилу, с соединением будет выполнено действие, описанное в

правиле (Accept - принять, Encrypt-зашифровать, Reject-отклонить, Drop-

оставить). Если соединение не соответствует ни одному из правил, оно

блокируется, в соответствии с принципом "Что специально не разрешено, всегда

запрещено".

Модуль проверки FireWall-1

Модуль проверки FireWall-1 динамически загружается в ядро операционной

системы, между уровнем Data Link – каналом передачи данных и сетью (уровни 2

и 3). Когда приходит первый пакет нового соединения, модуль проверки

FireWall-1 проверяет базу правил для определения должно ли быть разрешено это

соединение. Как только соединение установлено, FireWall-1 добавляет его во

внутреннюю таблицу соединений. Из соображений эффективности, последующие

пакеты соединения проверяются по таблице соединений, а не по базе правил.

Пакету разрешается быть переданным только, если соединение имеется в таблице

соединений.

В таком соединении как здесь, соединение полностью ведется модулем проверки

FireWall-1 (рис. 9).

Диплом: Обеспечение информационной безопасности в сетях IP

Рис.12 Соединение управляется модулем проверки FireWall-1

Примеры

UDP

Из информации в заголовке TCP/UDP, FireWall-1, используя свои уникальные

Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13