Реферати українською

IPSecurity - Комп'ютерні науки -

IPSecurity - Комп'ютерні науки - Скачать бесплатно

простіше двох попередніх. Пакет, переданий у даному режимі, обов'язково починається з хеша, що містить ключ аутентификации, отриманий в основному режимі для IKE SA, і служить для аутентификации іншої частини пакета. Один цикл у швидкому режимі містить у собі передачу трьох пакетів і багато в чому аналогічний процедурі обміну, реалізованої в агресивному режимі.

Якщо при генерації нових ключів необхідно забезпечити їхню повну незалежність від попередніх, по встановленому «каналі» SA здійснюється додатковий обмін відповідно до алгоритму Диффи — Хеллмана. Однак у тому випадку, коли зазначене вимога не є таким твердим, вже існуючі ключі можна обновити за допомогою додаткового хеширования, обмінявши випадковими числами nonce по захищеному з'єднанню.

Узгодження параметрів SA. Після процедур обміну, описаних вище, встановлення основного «каналу» SA являє собою порівняно просту задачу. Сторона, зацікавлена у встановленні нового SA, направляє своєму партнерові повідомлення-запит швидкого режиму, що повинне містити пропонований індекс SPI і захищений засобами IKE SA. Одержувач відповідає на запит власним індексом SPI. Кожний з індексів, відповідно до IP-адреси одержувача і протоколом захисту, визначає окремий «канал» SA. Іншими словами, одна процедура узгодження завершується формуванням двох каналів, один із яких для даної сторони є вхідної, а іншої — вихідної. Усі параметри цих двох каналів (крім ідентифікаторів SPI) цілком ідентичні.

Така пара «каналів» SA установлюється для кожного протоколу захисту. Тому якщо для цілей аутентификации використовуються два протоколи (AH і ESP), кожному з них будуть відповідати два «канали». Більш того, навіть у рамках одного протоколу між двома фіксованими вузлами можна сформувати безліч «каналів» SA. Усе визначається тим, чи орієнтовані ці «канали» на використання хост-компьютером у цілому, індивідуальними користувачами або призначені для окремих комунікаційних сеансів.

Первинна ідентифікація сторін. В описаних вище процедурах установлення «каналу» IKE SA і наступного узгодження алгоритмів і параметрів захищеного обміну є одне «але»: усі вони оправданны лише в тому випадку, якщо в кожної зі сторін мається повна впевненість у тім, що її партнер — саме той, за кого він себе видає.

При здійсненні первинної ідентифікації не обійтися без залучення третього учасника; в архітектурі IPSec він іменується органом сертифікації (Certification Authority, CA). Цей орган покликаний засвідчити дійсність обох сторін і, мабуть, повинний користуватися їхньою повною довірою. Для підтвердження дійсності служать цифрові сертифікати, що включають три частини: унікальний ідентифікатор, що дозволяє однозначно пізнати учасника майбутнього обміну, відкритий ключ, використовуваний під час ідписання електронних документів, і відкритий ключ CA, що дає можливість підписати, а потім ідентифікувати весь сертифікат.

Залучення органа сертифікації дозволяє запобігти атаки, що зводяться до посередництва при обміні ключами. Сторона, обмін з якої ви намагаєтеся ініціювати, зобов'язана підписати свою відповідь електронним підписом, і цей підпис можна перевірити в CA. Аналогічним образом на наступному етапі перевіряється підпис на сертифікаті — вона повинна збігатися з підписом, поставленої CA.

Може показатися, що спілкування через мережу з органом сертифікації також не гарантує того, що підпис CA у процесі передачі не буде замінена на іншу. Ризик подібної посередницької атаки вдається мінімізувати завдяки поширенню підпису CA. Активна робота з органом сертифікації безлічі компаній означає, що відкритий ключ CA повинний зберігатися в декількох місцях, так що підміна відразу ж виявиться. Крім того, для шифрування підпису CA має сенс використовувати складні алгоритми і дуже довгі рідко обновлювані ключі. Остання обставина дозволяє поширювати ключі на електронних носіях, наприклад з тим же ПО, що примменяется для ідентифікації підпису CA. У специфікаціях IPSec для сертифікатів IKE обраний стандартний формат X.509.

12. ISAKMP/Oakley

Протокол ISAKMP визначає загальну|спільну| структуру протоколів, які використовуються для встановлення SA і для виконання інших функцій управління ключами|джерелами|. ISAKMP підтримує декілька Областей Інтерпретації (DOI), однією з яких є|з'являється,являється| IPSec-DOI. ISAKMP не визначає закінчений протокол, а надає "будівельні блоки" для різних DOI і протоколів обміну ключами|джерелами|.

Протокол Oakley – це протокол визначення ключа|джерела|, що використовує алгоритм заміни ключа|джерела| Діффі-Хеллмана. Протокол Oakley підтримує ідеальну пряму безпеку (Perfect Forward Secrecy – PFS). Наявність PFS означає неможливість розшифровки всього трафіку при компрометації будь-якого ключа|джерела| в системі.

13. IKE

IKE – протокол обміну ключами|джерелами| за умовчанням для ISAKMP, що на даний момент є|з'являється,являється| єдиним. IKE знаходиться|перебуває| на вершині ISAKMP і виконує, власне, встановлення як ISAKMP SA, так і IPSec SA. IKE підтримує набір різних примітивних функцій для використання в протоколах. Серед них можна виділити хэш-функцію і псевдовипадкову функцію (PRF).

Хэш-функція – це функція, стійка до колізій. Під стійкістю до колізій розуміється той факт, що неможливо знайти два різні повідомлення|сполучення| m1 і m2, таких, що H(m1)=H(m2), де H – хэш| функція.

Що стосується псевдовипадковихх| функцій, то в даний час|нині| замість спеціальних PRF використовується хэш| функція в конструкції HMAC (HMAC - механізм аутентифікації повідомлень|сполучень| з використанням хэш| функцій). Для визначення HMAC нам знадобиться криптографічна хэш| функція (позначимо її як H) і секретний ключ|джерело| K. Ми припускаємо|передбачаємо|, що H є|з'являється,являється| хэш| функцією, де дані хэшируются| за допомогою процедури стиснення|стискування|, послідовно вживаної до послідовності блоків даних. Ми позначимо за B довжину таких блоків в байтах, а довжину блоків, одержаних|отриманих| в результаті|унаслідок,внаслідок| хешування| - як L (L<B). Ключ|джерело| K може мати довжину, меншу або рівнішу B. Якщо додаток|застосування| використовує ключі|джерела| більшої довжини, спочатку ми повинні хэшировать| сам ключ|джерело| з використанням H, і лише після|потім| цього використовувати одержаний|отриманий| рядок завдовжки L байт, як ключ|джерело| в HMAC. У обох випадках рекомендована мінімальна довжина для K складає L байт. Визначимо два наступні|слідуючі| різні рядки фіксованої довжини:

ipad = байт 0x36, повторений B раз;
opad = байт 0x5C, повторений B раз.

Для обчислення|підрахунку| HMAC від даних 'text' необхідно виконати наступну|слідуючу| операцію:

H(K XOR opad, H(K XOR ipad, text))

З|із| опису виходить, що IKE використовує для аутентифікації сторін HASH величини. Відзначимо, що під HASH в даному випадку мається на увазі виключно|винятково| назва Payload в ISAKMP, і ця назва не має нічого спільного з|із| своїм вмістом.

14. Атаки на AH, ESP і IKE.

Всі види атак на компоненти IPSec можна розділити на наступні|слідуючі| групи:

атаки, що експлуатують кінцівку|скінченність| ресурсів системи (типовий приклад|зразок| - атака "Відмова в обслуговуванні", Denial-of-service або DOS-атака);

атаки, що використовують особливості і помилки конкретної реалізації IPSec ;

і, нарешті|урешті|, атаки, засновані на слабкостях самих протоколів. AH і ESP.

Чисто криптографічні атаки можна не розглядати|розглядувати| - обидва протоколи визначають поняття "трансформ|", куди приховують всю криптографію. Якщо використовуваний криптоалгоритм стійок|стойок|, а визначений з|із| ним трансформ| не вносить додаткових слабкостів (це не завжди так, тому правильніше розглядати|розглядувати| стійкість всієї системи - Протокол-Трансформ-алгоритм), то з цієї сторони все нормально. Що залишається? Replay Attack - нівелюється за рахунок використання Sequence Number (у одному єдиному випадку це не працює - при використанні ESP без аутентифікації і без AH).

Далі, порядок|лад| виконання дій (спочатку шифрация|, потім аутентифікація) гарантує швидку обробку| "поганих" пакетів (більш того|більше того|, згідно останнім дослідженням в світі криптографії, саме такий порядок|лад| дій найбільш| безпечний, зворотній порядок|лад| в деяких, правда дуже окремих випадках, може привести до потенційних дірок|дір| в безпеці; на щастя, ні SSL, ні IKE, ні інші поширені протоколи з|із| порядком|ладом| дій "спочатку аутентифікують|, потім шифрують", до цих окремих випадків не відносяться, і, отже, цих дірок|дір| не мають).

Залишається Denial-Of-Service атака. Як відомо, це атака, від якої не існує повного|цілковитого| захисту. Проте|тим не менше|, швидка відбір| поганих пакетів і відсутність якої-небудь зовнішньої реакції на них (згідно RFC) дозволяють більш-менш добре справлятися з|із| цією атакою. У принципі|в принципі|, більшості (якщо не всім) відомим мережевим|мережним| атакам (sniffing, spoofing, hijacking і т.п.) AH і ESP при правильному їх застосуванні|вживанні| успішно протистоять. З|із| IKE дещо складніше. Протокол дуже складний, важкий|тяжкий| для аналізу. Крім того, через друкарські помилки (у формулі обчислення|підрахунку| HASH_R) при його написанні і не зовсім вдалих|успішних| рішень|розв'язань,вирішень,розв'язувань| (той же HASH_R і HASH_I) він містить|утримує| декілька потенційних "дірок|діри|" (зокрема, в першій фазі не все Payload в повідомленні|сполученні| аутентифицируются|), втім, вони не дуже серйозні і ведуть, максимум, до відмови у встановленні з'єднання|сполучення,сполуки|.Від атак типу replay, spoofing, sniffing, hijacking IKE більш-менш успішно захищається. З|із| криптографією дещо складніше, - вона не винесена, як в AH і ESP, окремо, а реалізована в самому протоколі. Проте|тим не менше|, при використанні стійких алгоритмів і примітивів (PRF), проблем бути не повинно.

Якоюсь мірою можна розглядати|розглядувати| як слабкість IPsec те, що як єдиний обов'язковий до реалізації криптоалгоритма в нинішніх специфікаціях |вказується| DES (це справедливо і для ESP, і для IKE), 56 біт ключа|джерела| якого вже не вважаються|лічаться| достатніми. Проте|тим не менше|, це чисто формальна слабкість - самі специфікації є|з'являються,являються| не-залежними, і практично всі відомі вендоры| давно реалізували 3DES (а деякі вже і AES) .Таким чином, при правильній реалізації, наиболее| "небезпечною" атакою залишається Denial-Of-Service.

15. Системи захисту інформації

IPSec (Security Architecture for IP, протокол безпеки для IP) — основний протокол для побудови|шикування| віртуальних приватних мереж|сітей| (VPN, Virtual Private Network), які були детально розглянуті|розгледіти| раніше. IPSec забезпечує безпечну передачу даних в IP-мережах|сітях| шляхом створення|створіння| захищених тунелів. З|із| його допомогою розв'язуються|вирішуються| наступні|слідуючі| завдання|задачі|:

аутентифікація користувачів (або комп'ютерів) при створенні|створінні| тунеля;

шифрування і контроль цілісності передаваних даних;

автоматичний розподіл ключів|джерел| в рамках|у рамках| тунелів.

У IPSec передбачене ведення бази даних політики безпеки, яка, по суті, є набір критеріїв для створення|створіння| тунелів і фільтрації IP-пакетів. У цьому протоколі передбачене все необхідне, і для розробки, наприклад, програмного VPN-агента досить лише грамотно реалізувати IPSec і передбачити інтерфейс для його адміністрування.

Основа IPSec — протоколи AH, ESP і IKE. Перший їх їх (Authentication Header, заголовок аутентифікації) призначений для аутентифікації і контролю цілісності; ESP (Encapsulation Security Payload, що інкапсулює захищене вкладення) — для шифрування даних і захисту цілісності; IKE (Internet Key Exchange, обмін ключами|джерелами| в Інтернеті) — для обміну ключами|джерелами|, використовується він на етапі створення|створіння| тунеля.

До речі, оскільки IPSec реалізується на рівні протоколу IP, створеними з|із| його допомогою тунелями можуть користуватися і протоколи вищих рівнів, наприклад TCP або UDP. А основний недолік|нестача| IPSec — здатність|здібність| працювати тільки|лише| в IP-мережах|сітях| — нейтралізується шляхом його застосування|вживання| в комбінації з|із| протоколами L2F (Layer 2 Forwarding, переадресація на рівні 2) і L2TP (Layer 2 Tunneling Protocol, протокол тунелюванняя| на рівні 2), які здійснюють інкапсуляцію пакетів іншої архітектури в IP-пакети.

Зрозуміло, що інформацію захищають зовсім не алгоритми шифрування і електронного цифрового підпису (ЕЦП|), а системи, в яких ці алгоритми реалізовані. Їх можна умовно розділити на

системи автоматичного захисту інформації ;

системи захисту інформації прикладного рівня.

15.1 Системи для уважних і неледачих|лінивих|

Припустимо|передбачимо|, ви регулярно працюєте з|із| важливими|поважними| документами, які небажано зберігати на комп'ютері у відкритому|відчиненому| вигляді|виді| (скажімо, у момент вашої відсутності може підійти хтось|ніхто| і їх прочитати і навіть переписати). В цілях безпеки можна використовувати програму, за допомогою якої ви зашифровуєте файл перед відходом|доглядом| і розшифровуєте при необхідності.

Аналогічна ситуація і з|із| ЕЦП|: припустимо, ви хочете підписати файл і вкласти його в лист. Легко! Даєте команду програмі, вона цей підпис обчислює|обчисляє,вичисляє| і записує|занотовує| у файл, а адресат при отриманні|здобутті| перевіряє її достовірність|справжність|. Природно, можна використовувати шифрування і ЕЦП| в комплексі — все залежить тільки|лише| від вашого бажання|воління|.

Оскільки такі системи передбачають вибір об'єктів, що захищаються, вручну|вручну|, їх інтерфейс повинен надавати можливість|спроможність| «бродити» по файловій системі, щоб знайти потрібні. Оптимальним варіантом є|з'являється,являється| вбудованість| програми безпосередньо в Windows Explorer, як, наприклад, WinZip в контекстне меню (див. малюнок).

Ви вибираєте в звичайному|звичному| і донезмоги знайомому вікні файл, тиснете праву кнопку миші і підписуєте його за допомогою нової команди. Здається|по-моєму|, дуже зручно: все під рукою і не потрібно викликати|спричиняти| якісь зайві програми. А ще краще — вбудовані прямо в офісні додатки|застосування| засоби|кошти| захисту: встановлюєте програму електронного підпису, і в Word з'являється|появляється| додаткова панель з|із| кнопками «Підписати», «Перевірити підпис» і т.д.

Для того, щоб позбавити користувачів від необхідності щоденного шифрування і розшифровки файлів, розробники стали ці операції автоматизувати. Але|та| особисто я віддаю перевагу саме «ручним» системам, головне достоїнство яких — гнучкість: вони виконують тільки|лише| задані вами дії.

15.2 «Прозорі» системи захисту

Проте|однак| використання «ручних» засобів|коштів| влаштовує|владнує,улаштовує| далеко не всіх. Крім того, багато разів повторювані| операції істотно|суттєво| підвищують ризик помилки, і результатом може з'явитися, наприклад, поява важливого|поважного| документа у відкритому|відчиненому| вигляді|виді|. Набагато безпечніше за систему автоматичного («прозорого») шифрування інформації, які ефективно захищають її відповідно до первинних настройок без вашого подальшої|наступної| участі. Для того-то і придуманий|вигаданий| комп'ютер, щоб перекладати на нього рутинну роботу, — лінь як і раніше служить двигуном прогресу. Не вірте тому, хто стверджує, що ПК створили для складних математичних розрахунків, — це тільки|лише| корисний побічний ефект .

Існуючі автоматичні системи захисту можна умовно розділити на ті, які захищають мережевий|мережний| обмін даними, і системи «прозорого» шифрування даних на комп'ютері користувача.

16. Віртуальні приватні мережі VPN|сіті|

Технологія VPN (Virtual Private Network — віртуальна приватна мережа|сіть|) — не єдиний спосіб захисту мереж|сітей| і передаваних ним даних. Але|та| я вважаю|лічу|, що вона достатньо|досить| ефективна, і її повсюдне впровадження — це не тільки|не лише| дань|данина| моді, вельми|дуже| прихильній до VPN в останні пару років.

Суть VPN полягає в наступному|слідуючому|:

На всі комп'ютери, що мають вихід в Інтернет, встановлюється засіб|кошт|, що реалізовує VPN (VPN-агент). Не повинно залишитися жодного незахищеного!

VPN-агенти автоматично шифрують всю витікаючу інформацію (і відповідно розшифровують ту, що всю входить). Вони також стежать за її цілісністю за допомогою ЕЦП| (криптографічна контрольна сума, розрахована з використанням ключа|джерела| шифрування).

Оскільки інформація, циркулююча в Інтернеті, є безліччю пакетів протоколу IP, VPN-агенти працюють саме з|із| ними.

Перед відправкою IP-пакету VPN-агент діє таким чином:

З|із| декількох підтримуваних їм алгоритмів шифрування і ЕЦП| по IP-адресі одержувача вибирає потрібний для захисту даного пакету, а також ключі|джерела|. Якщо ж в його настройках такого одержувача немає, то інформація не відправляється|вирушає|.

Визначає і додає|добавляє| в пакет ЕЦП| відправника |.

Шифрує пакет (цілком, включаючи заголовок).

Проводить інкапсуляцію, тобто формує новий заголовок, де указується|вказується| адреса зовсім не одержувача, а його VPN-агента. Ця корисна додаткова функція дозволяє представити|уявити| обмін між двома мережами|сітями| як обмін всього лише між двома комп'ютерами, на яких встановлені|установлені| VPN-агенти. Всяка|усяка| корисна для темних цілей зловмисника інформація, наприклад внутрішні IP-адреси, йому вже недоступна.

При отриманні|здобутті| IP-пакету виконуються зворотні дії:

Заголовок містить|утримує| відомості про VPN-агента відправника. Якщо такий не входить в список дозволених в настройках, то інформація просто відкидається. Те ж саме відбувається|походить| при прийомі пакету з|із| навмисно або випадково пошкодженим заголовком.

Згідно настройкам вибираються алгоритми шифрування і ЕЦП|, а також необхідні криптографічні ключі|джерела|.

Пакет розшифровується, потім перевіряється його цілісність. Якщо ЕЦП| невірна, то він викидається.

І нарешті|урешті|, пакет в його початковому|вихідному| вигляді|виді| відправляється|вирушає| справжньому|теперішньому,даному| адресату по внутрішній мережі|сіті|.

Всі операції виконуються автоматично. Складною в технології VPN є|з'являється,являється| тільки|лише| настройка VPN-агентів, яка, втім, цілком|сповна| під силу досвідченому|дослідному| користувачу.

VPN-агент може знаходитися|перебувати| безпосередньо на ПК, що захищається, що корисне для мобільних користувачів, що підключаються до Інтернету де потрапило|попало|. В цьому випадку він забезпечить обмін даними тільки|лише| того комп'ютера, на якому встановлений|установлений|.

Можливо поєднання|сполучення| VPN-агента з|із| маршрутизатором (в цьому випадку його називають криптографічним) IP-пакетів. До речі, провідні світові виробники останнім часом випускають маршрутизатори з|із| вбудованою підтримкою VPN, наприклад Express VPN від Intel, який шифрує всі пакети, що проходять|минають,спливають|, по алгоритму Triple DES.

Як видно|показно| з|із| опису, VPN-агенти створюють канали між мережами|сітями|, що захищаються, які звичайно називають «тунелями». І дійсно, вони «прориті» через Інтернет від однієї мережі|сіті| до іншої; циркулююча всередині|усередині| інформація захована від чужих очей.

Крім того, всі пакети «фільтруються» відповідно до настройок. Таким чином, всі дії VPN-агентів можна звести до двох механізмів: створенню|створінню| тунелів і фільтрації пакетів, що проходять|минають,спливають|.Сукупність правил створення|створіння| тунелів, яка називається «політикою безпеки», записується|занотовується| в настройках VPN-агентів. IP-пакети прямують в той або інший тунель або відкидаються після того, як будуть перевірені:

IP-адреса джерела (для витікаючого пакету - адреса конкретного комп'ютера мережі|сіті|, що захищається);

IP-адреса призначення;

протокол вищого рівня, якому належить даний пакет (наприклад, TCP або UDP);

номер порту, з якого або на який відправлена інформація (наприклад, 1080).

16.1 VPN, що використовує протокол IPSec

IPSec (IP Security Protocol (Протокол Безпеки IP)) - це розширений IP протокол. Він пропонує службу кодування. Ця служба забезпечує аутентифікацію, а також доступ і контроль за надійністю. IPSec забезпечує сервіс, схожий з|із| SSL, але|та| працює на рівні мережі|сіті|. Через IPSec ви можете створювати кодовані тунелі (VPN) або кодувати трафік між двома вузлами.

WinRoute має так званий IPSec прохід. Це означає|значить|, що WinRoute не має інструментів для установки з'єднання|сполучення,сполуки| IPSec (тунеля), але|та| він може виявити IPSec протокол і активізувати трафік між локальною мережею|сіттю| і Інтернет.

Примітка|тлумачення|: Функція IPSec проходу гарантує повну|цілковиту| функціональність існуючих IPSec клієнтів і працює після|потім| запуску WinRoute і Інтернет шлюзу. Якщо ви збираєтеся розробляти і упроваджувати|запроваджувати,впроваджувати| нові віртуальні приватні мережі|сіті|, ми рекомендуємо використовувати власне VPN рішення|розв'язання,вирішення,розв'язування| WinRoute .

16.2 Коли VPN безсилий

На жаль, але|та| при практичному застосуванні|вживанні| засоби|кошти| VPN не всемогутні. Серйозна проблема — атаки зсередини (тобто коли зловмисник завівся в одній з мереж|сітей|, що захищаються). За статистикою близько 75% фінансових втрат наноситься|завдається| в результаті|унаслідок,внаслідок| подібних агресій.Відмова в обслуговуванні (DoS- або DDoS-атаки) також є|з'являється,являється| істотною|суттєвою| перешкодою для VPN-агентів.

16.3 Системи для дуже|занадто| зайнятих|позичених,посісти|

Щоб встановити і набудувати|настроїти| систему автоматичного захисту даних на комп'ютері, доведеться|припаде| один раз витратити якийсь час (до речі, звичайно це досить просто — не порівняти з|із| вельми|дуже| складною настройкою VPN-агентів). Зате потім ви і не відмітите|помітите|, що ваші об'єкти шифруються «на льоту» (правда, необхідно один раз — при вході в Windows — пред'явити системі ключі|джерела|).

Це відбувається|походить| таким чином.

зберігання всієї зашифрованої інформації створюється спеціальний файл-контейнер. Системою захисту генерується ключ|джерело|, який користувач повинен зберігати при собі.

Якщо при вході потрібний ключ|джерело| не пред'явлений, то контейнер залишається просто файлом, нічим що не виділяється серед інших.

Якщо ж пред'явлений ключ|джерело| і введений|запроваджений| правильний пароль, контейнер підключається до системи і виглядає як новий логічний диск (припустимо|передбачимо|, диск F), до цього відсутній. Все, що потім з нього прочитується (наприклад, документ, який слід відредагувати), автоматично розшифровується; все, що записується|занотовується|, - автоматично шифрується. Єдина умова - зберігання важливих|поважних| документів саме на диску F. Це є|з'являється,являється| гарантією безпеки.

Такі засоби|кошти| дуже зручні, а для малодосвідчених користувачів (серед них можуть бути і що працюють з|із| важливою|поважною| інформацією, наприклад бухгалтери| або керівники) – це просто ідеальний вихід. Системний адміністратор проведе|виробить,справить| установку, настройку і вручить ключі|джерела| – а далі все легше за легеню. Ці системи нагадують NTFS, яку також слід один раз набудувати|настроїти| для автоматичного розділення|поділу| доступу до файлів. відмінність|відзнака| в тому, що NTFS їх не шифрує.

До речі, контейнерів може бути декілька, причому кожний з них буде захищений власним ключем|джерелом|. Це важливо|поважний| при роботі з|із| інформацією різного рівня секретності або при експлуатації одного комп'ютера декількома користувачами (якщо це ще актуально).

Шифрування відбувається|походить| на випадковому ключі|джерелі| (його називають «дисковим»), який, у свою чергу|своєю чергою|, шифрується на ключі|джерелі|, що пред'являється для відкриття|відчинення| контейнера, і паролі.Використання проміжного ключа|джерела| дозволяє мобільно реагувати на ситуацію. Для того, щоб швидко перешифрувати| весь контейнер у випадку, наприклад, компрометації пароля, достатньо|досить| перешифрувати| тільки|лише| дисковий ключ|джерело|.

У засоби|кошти| «прозорого» шифрування входять різні додаткові утиліти, корисні досвідченим|дослідним| користувачам. Вони здійснюють наступні|слідуючі| функції:

гарантоване очищення вільного простору диска. Адже при видаленні|віддаленні| об'єктів засобами|коштами| Windows зникає тільки|лише| запис про файл, але|та| сама інформація не стирається і доступна для відновлення, що абсолютно|цілком| неприпустимо|недопустимо| з погляду безпеки;

очищення файлу підкачки (swap-файлу). У ньому Windows зберігає різні динамічні дані, в які легко може потрапити|попасти| документ з секретного диска. Грамотному зловмиснику не складе труднощів його звідти витягнути, що також недозволенно;

автоматичну охорону контейнера. Це захищає його від випадкового видалення|віддалення| і відповідно від втрати важливої|поважної| інформації.

екстрене відключення всіх контейнерів. Весь їх вміст стане недоступним, достатньо|досить| тільки|лише| натиснути|натискувати| на спеціальну кнопку (при появі у вашому кабінеті небажаних осіб|облич,лиць|).

Що цікаво — деякі системи дозволяють замаскувати контейнер: його можна абияк|як-небудь| незвично назвати|накликати|, скажімо, erotica.bmp, і при прогляданні такого файлу в графічному редакторі ви дійсно побачите цікаву картинку. Отже, у|в,біля| зловмисника навряд чи виникне підозра|підозріння|, що там міститься|утримується| щось важливе|поважне|.

А останній писк моди — системи з|із| функцією «вхід під примусом». Уявіть, що у|в,біля| вас є надсекретні документи, що зберігаються в контейнері. Сюди ж, але|та| з|із| іншим паролем, ви записуєте|занотовуєте| нібито секретну інформацію, для захисту якої ніби то і призначений цей контейнер. І якщо раптом з'являється|появляється| ваш нерозлучний ворог (упевнений, що від нього ховають багато цікавого) з|із| праскою|утюгом| наизготовку| L, ви просто вводите|запроваджуєте| інший пароль. Всі задоволено.

* * *

В даний час|нині| пропонується велика кількість різноманітних|всіляких| систем захисту інформації. Їх основне призначення — закрити|зачинити| всі можливі шляхи|колії,дороги| для зловмисника. Головне — не забувати про те, що одна залишена лазівка зробить даремним|некорисним| всі засоби|кошти| захисту, які ви встановили.

17. Переваги IPSec

Переваги IPSec можна встановити у області IPSec Прохід на вкладці Установки Безпеки (Security Settings) в розділі Настройки/Продвинутые опції (Configuration / Advanced Options).

Докладніша інформація по IPSec приведена у розділі Конфігурація IPSec WinRoute.

Активування (Enable)

Ця опція активує прохід IPSec.

Необхідно встановити порожній|пустий| тайм-аут для з'єднання|сполучення,сполуки| IPSec (час за умовчанням складає 3600 секунд, що рівно 1 годині). Якщо за цей час не буде передано ніякої|жодної| інформації, і з'єднання|сполучення,сполуку| не буде закрито|зачинено| належним чином|належно|, то WinRoute вважатиме|лічитиме|, що з'єднання|сполучення,сполука| закрите|зачинене|, і при цьому буде доступний прохід до іншого комп'ютера (інша IP адреса).

Активувати проходи тільки|лише| для вузлів (Enable pass-through only for hosts).

Можна обмежити кількість вузлів, що використовують IPSec прохід, визначивши певну область IP адрес (звичайне|звичне| це вузли, на яких працюють IPSec клієнти). Використовуйте кнопку Правка|виправлення| (Edit), щоб редагувати виділені групи IP, або щоб додати|добавити| нову групу.

17.1 Конфігурація WinRoute's IPSec

Взагалі, комунікації через IPSec повинні бути дозволені політикою брандмауера . IPSec протокол використовує два канали трафіку:

IKE (Internet Key Exchange (Інтернет обмін ключами|джерелами|) — обмін кодовими ключами|джерелами| і іншою інформацією).

кодовані дані (використовується IP протокол номер 50)

Відкрийте|відчиніть| розділ Настройки/Політика трафіку (Configuration / Traffic Policy), щоб встановити правила, що визначають комунікацію між клієнтами IPSec (адресна група VPN описана в прикладі|зразку|) і сервером (у прикладі|зразку| описаний сервер ipsec.server.cz).

Примітка|тлумачення|: WinRoute забезпечує роботу встановлених|установлених| сервісів IPSec і IKE.

17.2 IPSec клієнт в локальній мережі|сіті|

Цей розділ керівництва описує настройку WinRoute для тих випадків, коли IPSec клієнт або сервер розташовані|схильні| в локальній мережі|сіті|, і WinRoute забезпечує переклад|переведення,переказ| IP адреси. IPSec клієнт на вузлі WinRoute

В цьому випадку NAT не робить впливу на трафік IPSec (IPSec клієнт повинен використовувати загальну|спільну| IP адресу вузла WinRoute). Необхідно тільки|лише| визначити правила трафіку, що вирішують IPSec комунікацію між брандмауером і сервером IPSec.

Колонка Переклад|переведення,переказ| (Translation) повинна бути порожньою|пустою| - переклад|переведення,переказ| IP не виконується. Установки проходу в даному випадку не важливі|поважні| (вони не можуть застосовуватися).

Один IPSec клієнт в локальній мережі|сіті| (один тунель)

Якщо в кожен момент створюється тільки|лише| один IPSec тунель від локальної мережі|сіті| в Інтернет, то це залежить від типу IPSec клієнта:

Якщо IPSec клієнт і IPSec сервер підтримують функцію NAT Передачі (NAT Traversal) (клієнт і сервер можуть виявити, що IP адреса по дорозі між ними була трансльована), то IPSec повинен бути відключений (інакше може виникнути конфлікт).

NAT Передача підтримується, наприклад, програмним забезпеченням Nortel Networks' VPN (http://www.nortelnetworks.com/).

Якщо IPSec клієнт не підтримує NAT Передачу, необхідно активізувати IPSec прохід в WinRoute.

У обох випадках, комунікації IPSec між клієнтом і IPSec сервером повинні бути дозволені правилами трафіку. У колонці Передачі (Translation) повинен бути вказаний NAT (так само як для комунікацій між локальною мережею|сіттю| і Інтернет).

Декілька IPSec клієнтів в локальній мережі|сіті| (декілька тунелів)

Якщо передбачається|припускається| створювати декілька IPSec тунелів від локальної мережі|сіті| в Інетренет, всіх IPSec клієнтах і відповідних серверах повинні підтримувати NAT Передачу (див. вище). Підтримка IPSec в WinRoute повинна бути відключена, щоб не виникало конфліктів.

Знову, трафік між локальною мережею|сіттю| і відповідними IPSec серверами повинен бути дозволений правилами трафіку.

17.3 IPSec сервер в локальній мережі|сіті|

Сервер IPSec на вузлі локальної мережі|сіті| або на вузлі WinRoute повинен бути картивован| з|із| Інтернет. В цьому випадку трафік між Інтернет клієнтами і вузлом WinRoute повинен бути дозволений правилами трафіку, і повинне бути встановлене|установлене| картивування| до відповідного вузла локальної мережі|сіті|.

Попередження|попереджувати,запобігання|: із загальної|спільної| IP адреси брандмауера може бути картивован| тільки|лише| один IPSec сервер. Щоб картировать декілька IPSec серверів, брандмауер повинен використовувати декілька загальних|спільних| IP адрес.

Приклад|зразок|: ми хочемо встановити, щоб два сервери IPSec були доступні Інтернет — один на вузлі WinRoute, і інший на вузлі з|із| IP адресом| 192.168.100.100. Пов'язаний Інтернет інтерфейс брандмауера використовує адреси 60.80.100.120 і 60.80.100.121.

18. Оцінка протоколу

Протокол IPSec одержав|отримав| неоднозначну оцінку з боку фахівців|спеціалістів|. З одного боку, наголошується, що протокол IPSec є|з'являється,являється| кращим серед всіх інших протоколів захисту передаваних по мережі|сіті| даних, розроблених раніше (включаючи розроблений Microsoft PPTP). На думку іншої сторони, присутня надмірна складність і надмірність протоколу. Так, Niels Ferguson і Bruce Schneier в своїй роботі "A Cryptographic Evaluation of IPsec"відзначають, що вони виявили серйозні проблеми безпеки практично у всіх головних компонентах IPsec. Ці автори також відзначають, що набір протоколів вимагає серйозного доопрацювання|доробки| для того, щоб він забезпечував хороший|добрий| рівень безпеки. У роботі приведений опис ряду|лави,низки| атак, що використовують як слабкості загальної|спільної| схеми обробки даних, так і слабкості криптографічних алгоритмів.

Висновок|укладення,ув'язнення|

У цій курсовій я розглянула|розгледіли| деякі основні моменти, що стосуються протоколу мережевої|мережної| безпеки IPsec. Не зайвим буде відзначити, що протокол IPsec домінує в більшості реалізацій віртуальних приватних мереж|сітей|. В даний час|нині| на ринку представлені|уявлені| як програмні реалізації (наприклад, протокол реалізований в операційній системі Windows2000 компанії Microsoft), так і програмно-апаратні реалізації IPsec - це Nokia. Не дивлячись на|незважаючи на| велике число різних рішень|розв'язань,вирішень,розв'язувань|, всі вони досить добре сумісні один з одним. На закінчення статті приводиться|призводиться,наводиться| таблиця, в якій проводиться|виробляється,справляється| порівняння IPSec і широко поширеного зараз SSL.

Робоча група інтернету (IETF) визначає IPSec як набір специфікацій для встановлення достовірності|справжності|, цілісності і забезпечення конфіденційності засобами|коштами| криптографії для протоколу IP. IPSec призначався і фактично став стандартом для захисту інтернет-комунікацій. Розробки групи IPSec дозволяють організувати захищені тунелі між хостами|, тунелі інкапсульованих даних і віртуальні приватні мережі|сіті| (VPN), забезпечуючи таким чином захист протоколів, розташованих|схильних| вище за рівень IP.

Формати протоколу для заголовка аутентифікації IPSec (Authentication Header, АH) і захищеного інкапсулювання IP (Encapsulating Security Payload, ESP) не залежать від криптографічного алгоритму, хоча деякі набори алгоритмів вказані як обов'язкові на користь забезпечення взаємодії. Так само в структурі IKE IPSec підтримуються багато алгоритмів управління ключами|джерелами| (визначальні ключ|джерело| сесії для захисту трафіку).

Література:

www.infotect.ru/technology vpn

www.yandex.ru

www.osp.ru/pcworld

www.ref.nnov.ru