SSH-туннелирование Механизм работы IPsec IPSec (сокращение от IP Security) — набор протоколов для обеспечения защиты данных, передаваемых по межсетевому протоколу IP


Чтобы посмотреть презентацию с картинками, оформлением и слайдами, скачайте ее файл и откройте в PowerPoint на своем компьютере.
Текстовое содержимое слайдов презентации:

Малков В.А. ФГУП «НПО им. Лавочкина» Защита сетевого трафика в линиях связи НКУ Сеть НКУ, линии связи Потоки информацииПользователи и узлы сети Конфеденциальность Аутентичность ЦелостностьДоступность СоставляющиеОбъект защитыПредмет защиты Безопасная информационная система УГРОЗЫ ВнешниеВнутренние(инсайдеры) УмышленныеНеумышленные Перехват и несанкционированный мониторинг сетевого трафика(компрометация данных)Модификация и подмена пакетов информацииПодмена отправителя (адресата) данных, спуффингВмешательство в работу сетевого оборудованияСоциальная инженерия (утечка данных) Направления защиты Средства защитыинформации ОрганизационныеАдминистративные мерыправила и режим работыразделение пользователейорганизация охраны помещенийПсихологические мерывнимательность и осторожность Физическиеизоляция сегментов сетиизоляция сетевого оборудования и кабельных магистралейэкранирование помещенийустановка замков ТехническиеАппаратные маршрутизаторы, аппаратные файрволы, коммутаторы, криптографическая аппаратураПрограммные межсетевые экраны, антивирусные продукты, системы обнаружения и предотвращения вторжений, системы аунтефикации, прокси-сервера, VPN Классификация средств защиты Инкапсуляция — метод построения модульных сетевых протоколов, при котором логически независимые функции сети абстрагируются от нижележащих механизмов путём включения или инкапсулирования этих механизмов в более высокоуровневые объекты. Туннелирование — метод построения сетей, при котором один сетевой протокол инкапсулируется в другой. От обычных многоуровневых сетевых моделей (OSI или TCP/IP) туннелирование отличается тем, что инкапсулируемый протокол относится к тому же или более низкому уровню, чем используемый в качестве тоннеля. Инкапсуляция и туннелирование Виртуальная частная сеть (VPN) – технология объединения локальных сетей или отдельных машин, подключенных к сети общего пользования, в единую виртуальную сеть, обеспечивающую секретность и целостность передаваемой по ней информации (прозрачно для пользователей). Виртуальная частная сеть Достоинства VPN:низкая стоимость арендуемых каналов и коммуникационного оборудования развитая топология сети (широкий географический охват)высокая надежностьлегкость масштабирования (подключения новых сетей или пользователей)легкость изменения конфигурацииконтроль событий и действий пользователей Технологии защиты:шифрование аутентификация контроль доступа Виртуальная частная сеть Классификация VPN Протоколы и программные решения, реализующие возможности VPN: Спецификация IPsec (IP security) Набор протоколов на базе PPP PPTP (point-to-point tunneling protocol) L2TP (Layer 2 Tunnelling Protocol) PPPoE (PPP over Ethernet) Набор решений на основе SSL OpenVPN SSL VPN via web SSTP SSH-туннелирование Реализации VPN IPSec (сокращение от IP Security) — набор протоколов для обеспечения защиты данных, передаваемых по межсетевому протоколу IP, позволяет осуществлять подтверждение подлинности и/или шифрование IP-пакетов, а также включает в себя механизмы для защищённого обмена ключами в сети Интернет. Механизмы IPsec:ESP (протокол инкапсуляции зашифрованных данных)AH (аутентифицирующий заголовок)IKE (протокол обмена криптографическими ключами) Режимы работы:транспортный (шифруется только информативная часть IP-пакета)туннельный (шифруется весь пакет целиком) Механизм работы IPsec Протокол управления ключами и группами параметров сетевой безопасности ISAKMP создает рамочную структуру для управления ключами в сети Интернет и предоставляет конкретную протокольную поддержку для согласования атрибутов безопасности. Перед началом безопасного обмена данными между двумя компьютерами должно быть установлено соглашение. Согласно этому соглашению, названному сопоставлением контекста безопасности (SA, security association), компьютеры договариваются о способе обмена и защите данных.Ключ - это секретный код или число, необходимое для чтения, изменения или проверки защищенных данных. Ключи в сочетании с алгоритмами (математическими процессами) используются для защиты данных. В IPsec выделены две фазы, или режима, использования ключей. Сначала выполняется основной режим, создающий общий главный ключ, используемый двумя сторонами для обмена ключевой информацией безопасным способом. Быстрый режим использует главный ключ для безопасной установки одного или нескольких ключей сеанса, применяемых для проверки целостности данных и шифрования.AH используется для аутентификации отправителя информации и обеспечения целостности данных - с целью убедиться, что данные не были изменены в процессе связи. AH не шифрует данные и не обеспечивает конфиденциальности, этот протокол лишь "подписывает" целый пакет данных. ESP способен обеспечить конфиденциальность информации, так как непосредственно шифрует данные совместно с проверкой подлинности и целостности. Оба протокола добавляют собственные заголовки и имеют свой ID (AH имеет ID протокола — 51, ESP — 50), по которому можно определить, что последует за заголовком IP. Механизм работы IPsec PPTP (Point-to-Point Tunneling Protocol) — туннельный протокол типа точка-точка, позволяющий компьютеру устанавливать защищённое соединение с сервером за счёт создания специального туннеля в стандартной, незащищённой сети. Инкапсулирует PPP-кадры в IP-датаграммы. Полезные данные инкапсулированных PPP-кадров могут быть шифрованными, сжатыми или и теми, и другими одновременно. Особенности протокола:может применяться только в IP-сетяхтребует одновременного установления двух сетевых сессий (PPP сессия с помощью протокола GRE для передачи данных и соединение на ТСР порту 1723 для инициализации и управления соединением) имеет широкую поддержкушифрование трафика на основе алгоритма MPPE (поддерживается не всеми устройствами) Механизм работы PPTP L2TP (Layer 2 Tunneling Protocol) – протокол туннелирования второго уровня, созданный на базе PPTP и L2F (протокол эстафетной передачи второго уровня от Cisco). Особенности протокола:может применяться не только в IP-сетяхслужебные сообщения для создания туннеля и пересылки по нему данных используют одинаковый формат и протоколы не требует установления дополнительной сессиисодержит контроль последовательности пакетов шифрование трафика на основе алгоритмов IPsec (в транспортном режиме) Механизм работы L2TP L2TP поверх IPSec выполняет шифрование данных и аутентификацию на уровнях компьютера и пользователя. Сообщение L2TP шифруется по стандарту шифрования данных DES или по тройному стандарту DES (3DES), используя ключи шифрования, полученные в процессе согласования по протоколу IKE. L2TP поверх IPSec обеспечивает более высокую степень защиты данных, чем PPTP. Шифрование в протоколе L2TP SSTP (Secure Socket Tunneling Protocol) – протокол безопасного туннелирования сокетов, основан на SSL и позволяет создавать защищенные VPN соединения посредством HTTPS. Является протоколом прикладного уровня, осуществляет двухстороннюю аутентификацию, как сервера, так и клиента.SSTP предназначен для использования при соединении client to site VPN connections. Предоставляет клиентам безопасный доступ к сетям за маршрутизаторами NAT router, брандмауэрами (firewall) и веб прокси (web proxies), не заботясь об обычных проблемах с блокировкой портов.SSTP Client встроен в операционную систему Windows Vista.Являет собой полноценное сетевое решение VPN, а не просто прикладной туннель для одного приложения. Протокол SSTP Как работает соединение SSTP:Клиенту SSTP необходимо подключение к интернет. После того, как это Интернет соединение проверено протоколом, устанавливается TCP соединение с сервером по порту 443. Далее происходит SSL согласование для уже установленного соединения TCP, в соответствии с чем проверяется сертификат сервера. Если сертификат правильный, то соединение устанавливается, в противном случае соединение обрывается. Клиент посылает HTTPS запрос в рамках зашифрованной SSL сессии на сервер. Клиент посылает контрольные пакеты SSTP control packet внутри сессии HTTPS session. Это в свою очередь приводит к установлению состояния SSTP на обеих машинах для контрольных целей, обе стороны инициируют взаимодействие на уровне PPP. Далее происходит PPP согласование SSTP по HTTPS но обоих концах. Теперь клиент должен пройти аутентификацию на сервере. Сессия привязывается к IP интерфейсу на обеих сторонах и IP адрес назначается для маршрутизации трафика. Устанавливается взаимодействие, будь это IP трафик, или какой-либо другой. Механизм работы SSTP SSH (OpenSSH) — протокол и реализующие его программные средства, предназначенные для повышения безопасности при работе Unix-систем в Интернете. SSH — сетевой протокол сеансового уровня, позволяющий производить удалённое управление операционной системой и туннелирование TCP-соединений (например, для передачи файлов). SSH допускает выбор различных алгоритмов шифрования. SSH-клиенты и SSH-серверы доступны для большинства сетевых операционных систем.SSH-туннель — это туннель, создаваемый посредством SSH-соединения и используемый для шифрования туннелированных данных. Особенность состоит в том, что незашифрованный трафик какого-либо протокола шифруется на одном конце SSH-соединения и расшифровывается на другом.Плюс протокола SSH в том, что для реализации не нужно устанавливать и настраивать дополнительный софт. Из минусов, низкая производительность на медленных линиях. Шифрованный туннель создается на основе одного TCP соединения, что весьма удобно, для быстрого поднятия простого VPN, на IP. SSH-туннелирование OpenSSH поддерживает устройства tun/tap, позволяющие создавать шифрованный туннель, что может быть весьма полезно в случае удаленного администрирования (по аналогии с OpenVPN на базе TLS). Процедура настройки: Подключение через SSH с опцией -w. Настройка IP адреса SSH туннеля, делается единожды, на сервере и на клиенте. Добавление маршрутов для обоих сетей. Включение NAT на внутреннем интерфейсе шлюза (по необходимости).В итоге имеет две частные сети, прозрачно соединенные в VPN через SSH. Перенаправление IP и настройки NAT необходимы только если шлюзы не являются шлюзами по умолчанию (в этом случае клиент не будет знать, куда пересылать ответы). Создание SSH-туннеля Возможные угрозы:СканированиеПассивный перехватАктивные атакиIP-spoofingMAC-spoofingARP-spoofing Методы и механизмы защиты:Применение пакета мониторинга arpwatchИспользование статических arp-таблиц на маршрутизаторах Организация VlanPacket-filteringPort securityКорректная настройка межсетевых фильтровИспользование современных коммутаторовОтключение неактивных портовСвоевременное обновление ПО на важных узлах сети Защита внутреннего сегмента НКУ При формировании политики ИБ следует учитыватьнесколько важных принципов:принцип минимального уровня привилегийиспользование комплексного подхода баланс надежности защиты всех уровней максимальная защита при отказепринцип единого контрольно-пропускного пунктапринцип баланса возможного ущерба от реализации угрозы и затрат на ее предотвращение Политика информационной безопасности — совокупность документированных правил, процедур, практических приемов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности. Политика информационной безопасности Пример построения сети НКУ Отсутствие единого стандарта безопасности Законодательные ограничения в области оборота средств криптостойкого шифрования Использование каналов малой пропускной способностиПрограммные и аппаратные ограничения, в том числе наложенные административноПерекрытие адресных пространств Проблемы на пути внедрения безопасных решений: Возможные пути решения:Согласование механизмов защиты и логики построения сетей НКУ в рамках единого ведомственного стандартаИспользование программных решений на базе систем Unix, применение сертифицированных аппаратных шифраторовПрименение универсальных механизмов защитыУсиление кооперации в части межсетевого взаимодействияПрименение NAT, ProxyArp, cогласование адресных пространств на этапе проектирования сетей Возможные проблемы

Приложенные файлы

  • ppt 3230425
    Размер файла: 2 MB Загрузок: 0

Добавить комментарий