Безопасная сеть руководство

Сетевая безопасность – Обзор

В современную эпоху организации в значительной степени полагаются на компьютерные сети для эффективного и продуктивного обмена информацией по всей организации. Организационные компьютерные сети в настоящее время становятся большими и повсеместными. Предполагая, что у каждого сотрудника есть выделенная рабочая станция, в крупной компании будет несколько тысяч рабочих станций и много серверов в сети.

Вполне вероятно, что эти рабочие станции не могут управляться централизованно и не имеют защиты по периметру. Они могут иметь различные операционные системы, аппаратные средства, программное обеспечение и протоколы с разным уровнем кибер-осведомленности среди пользователей. А теперь представьте, что эти тысячи рабочих станций в сети компании напрямую подключены к Интернету. Этот вид незащищенной сети становится целью для атаки, которая содержит ценную информацию и отображает уязвимости.

В этой главе мы расскажем об основных уязвимостях сети и значении сетевой безопасности. В последующих главах мы обсудим методы достижения того же.

Физическая сеть

Сеть определяется как два или более вычислительных устройства, соединенных вместе для эффективного совместного использования ресурсов. Кроме того, соединение двух или более сетей вместе называется межсетевым взаимодействием. Таким образом, Интернет – это просто объединенная сеть – совокупность взаимосвязанных сетей.

Для настройки своей внутренней сети организация имеет различные варианты. Он может использовать проводную сеть или беспроводную сеть для подключения всех рабочих станций. В настоящее время организации в основном используют комбинацию как проводных, так и беспроводных сетей.

Проводные и беспроводные сети

В проводной сети устройства подключаются друг к другу с помощью кабелей. Как правило, проводные сети основаны на протоколе Ethernet, где устройства подключаются с помощью кабелей неэкранированной витой пары (UTP) к различным коммутаторам. Эти коммутаторы дополнительно подключены к сетевому маршрутизатору для доступа в Интернет.

В беспроводной сети устройство подключается к точке доступа посредством радиопередач. Точки доступа дополнительно подключаются через кабели к коммутатору / маршрутизатору для доступа к внешней сети.

Беспроводные сети приобрели популярность благодаря мобильности, предлагаемой ими. Мобильные устройства не должны быть привязаны к кабелю и могут свободно перемещаться в пределах диапазона беспроводной сети. Это обеспечивает эффективный обмен информацией и повышает производительность.

Уязвимости и атаки

Общей уязвимостью, существующей как в проводных, так и в беспроводных сетях, является «несанкционированный доступ» к сети. Злоумышленник может подключить свое устройство к сети через незащищенный порт концентратора / коммутатора. В связи с этим беспроводная сеть считается менее безопасной, чем проводная сеть, поскольку к беспроводной сети можно легко получить доступ без какого-либо физического соединения.

После получения доступа злоумышленник может использовать эту уязвимость для запуска таких атак, как:

• Обнюхивать пакетные данные, чтобы украсть ценную информацию.

• Отказ в обслуживании законным пользователям в сети, заполняя сетевой носитель ложными пакетами.

• Подмена физических идентификаторов (MAC) законных хостов, а затем кража данных или дальнейшее начало атаки «человек посередине».

Обнюхивать пакетные данные, чтобы украсть ценную информацию.

Отказ в обслуживании законным пользователям в сети, заполняя сетевой носитель ложными пакетами.

Подмена физических идентификаторов (MAC) законных хостов, а затем кража данных или дальнейшее начало атаки «человек посередине».

Сетевой протокол

Сетевой протокол – это набор правил, управляющих связью между устройствами, подключенными к сети. Они включают в себя механизмы создания соединений, а также правила форматирования для упаковки данных для отправленных и полученных сообщений.

Было разработано несколько протоколов компьютерных сетей, каждый из которых предназначен для определенных целей. Популярными и широко используемыми протоколами являются TCP / IP со связанными протоколами более высокого и более низкого уровня.

Протокол TCP / IP

Протокол управления передачей (TCP) и Интернет-протокол (IP) – это два разных сетевых протокола, которые в основном используются вместе. Из-за их популярности и широкого применения они встроены во все операционные системы сетевых устройств.

IP соответствует сетевому уровню (уровень 3), тогда как TCP соответствует транспортному уровню (уровень 4) в OSI. TCP / IP применяется к сетевым коммуникациям, где транспорт TCP используется для доставки данных по IP-сетям.

Протоколы TCP / IP обычно используются с другими протоколами, такими как HTTP, FTP, SSH на прикладном уровне и Ethernet на канальном / физическом уровне.

Набор протоколов TCP / IP был создан в 1980 году как решение для межсетевого взаимодействия с минимальным вниманием к аспектам безопасности.

Он был разработан для связи в ограниченной доверенной сети. Тем не менее, через некоторое время этот протокол стал стандартом де-факто для незащищенной интернет-связи.

Некоторые из распространенных уязвимостей безопасности протоколов TCP / IP:

• HTTP – это протокол прикладного уровня в наборе TCP / IP, используемый для передачи файлов, которые составляют веб-страницы с веб-серверов. Эти передачи выполняются в виде простого текста, и злоумышленник может легко прочитать пакеты данных, которыми обмениваются сервер и клиент.

• Еще одна уязвимость HTTP – слабая аутентификация между клиентом и веб-сервером во время инициализации сеанса. Эта уязвимость может привести к атаке перехвата сеанса, когда злоумышленник крадет сеанс HTTP законного пользователя.

• Уязвимость протокола TCP – это трехстороннее рукопожатие для установления соединения. Злоумышленник может запустить атаку типа «отказ в обслуживании» «SYN-flooding», чтобы воспользоваться этой уязвимостью. Он устанавливает много полуоткрытых сессий, не завершив рукопожатие. Это приводит к перегрузке сервера и в конечном итоге к краху.

• Уровень IP подвержен множеству уязвимостей. Посредством изменения заголовка протокола IP злоумышленник может начать атаку с использованием IP-спуфинга.

HTTP – это протокол прикладного уровня в наборе TCP / IP, используемый для передачи файлов, которые составляют веб-страницы с веб-серверов. Эти передачи выполняются в виде простого текста, и злоумышленник может легко прочитать пакеты данных, которыми обмениваются сервер и клиент.

Еще одна уязвимость HTTP – слабая аутентификация между клиентом и веб-сервером во время инициализации сеанса. Эта уязвимость может привести к атаке перехвата сеанса, когда злоумышленник крадет сеанс HTTP законного пользователя.

Уязвимость протокола TCP – это трехстороннее рукопожатие для установления соединения. Злоумышленник может запустить атаку типа «отказ в обслуживании» «SYN-flooding», чтобы воспользоваться этой уязвимостью. Он устанавливает много полуоткрытых сессий, не завершив рукопожатие. Это приводит к перегрузке сервера и в конечном итоге к краху.

Уровень IP подвержен множеству уязвимостей. Посредством изменения заголовка протокола IP злоумышленник может начать атаку с использованием IP-спуфинга.

Помимо вышеупомянутого, существует множество других уязвимостей в семействе протоколов TCP / IP, как в дизайне, так и в его реализации.

Между прочим, при сетевом взаимодействии на основе TCP / IP, если один уровень взломан, другие уровни не узнают о взломе, и вся связь будет взломана. Следовательно, для обеспечения надежной защиты необходимо использовать средства контроля безопасности на каждом уровне.

Протокол DNS

Система доменных имен (DNS) используется для преобразования доменных имен хостов в IP-адреса. Пользователи сети зависят от функциональности DNS в основном во время работы в Интернете путем ввода URL-адреса в веб-браузере.

При атаке на DNS цель злоумышленника состоит в том, чтобы изменить допустимую запись DNS, чтобы она была преобразована в неправильный IP-адрес. Он может направлять весь трафик с этого IP на неправильный компьютер. Злоумышленник может использовать уязвимость протокола DNS или скомпрометировать DNS-сервер для осуществления атаки.

Отравление кэша DNS – это атака, использующая уязвимость, обнаруженную в протоколе DNS. Злоумышленник может отравить кэш, подделав ответ на рекурсивный DNS-запрос, отправленный распознавателем на авторитетный сервер. Как только кэш DNS-распознавателя будет отравлен, хост будет перенаправлен на вредоносный веб-сайт и может скомпрометировать учетные данные при связи с этим сайтом.

Протокол ICMP

Протокол управления доступом в Интернет (ICMP) – это базовый протокол управления сетями сетей TCP / IP. Он используется для отправки сообщений об ошибках и управления сообщениями о состоянии сетевых устройств.

ICMP является неотъемлемой частью реализации IP-сети и, следовательно, присутствует в самой настройке сети. ICMP имеет свои собственные уязвимости и может использоваться для запуска атаки на сеть.

Распространенные атаки, которые могут произойти в сети из-за уязвимостей ICMP:

• ICMP позволяет злоумышленнику проводить разведку сети для определения топологии сети и путей в сеть. Развертка ICMP включает в себя обнаружение всех IP-адресов хоста, которые существуют во всей сети цели.

• Трассировка маршрута – это популярная утилита ICMP, которая используется для сопоставления целевой сети путем описания пути в реальном времени от клиента к удаленному хосту.

• Злоумышленник может запустить атаку типа «отказ в обслуживании», используя уязвимость ICMP. Эта атака включает отправку ping-пакетов IPMP, размер которых превышает 65 535 байт, целевому устройству. Целевой компьютер не может правильно обработать этот пакет и может вызвать сбой операционной системы.

ICMP позволяет злоумышленнику проводить разведку сети для определения топологии сети и путей в сеть. Развертка ICMP включает в себя обнаружение всех IP-адресов хоста, которые существуют во всей сети цели.

Трассировка маршрута – это популярная утилита ICMP, которая используется для сопоставления целевой сети путем описания пути в реальном времени от клиента к удаленному хосту.

Злоумышленник может запустить атаку типа «отказ в обслуживании», используя уязвимость ICMP. Эта атака включает отправку ping-пакетов IPMP, размер которых превышает 65 535 байт, целевому устройству. Целевой компьютер не может правильно обработать этот пакет и может вызвать сбой операционной системы.

Другие протоколы, такие как ARP, DHCP, SMTP и т. Д., Также имеют свои уязвимости, которые могут быть использованы злоумышленником для нарушения безопасности сети. Мы обсудим некоторые из этих уязвимостей в следующих главах.

Наименьшее внимание к аспекту безопасности при разработке и реализации протоколов превратилось в основную причину угроз безопасности сети.

Цели сетевой безопасности

Как обсуждалось в предыдущих разделах, в сети существует большое количество уязвимостей. Таким образом, во время передачи данные очень уязвимы для атак. Злоумышленник может нацелиться на канал связи, получить данные и прочитать то же самое или повторно вставить ложное сообщение для достижения своих гнусных целей.

Безопасность сети касается не только безопасности компьютеров на каждом конце коммуникационной цепочки; однако, это стремится гарантировать, что вся сеть безопасна.

Безопасность сети подразумевает защиту удобства использования, надежности, целостности и безопасности сети и данных. Эффективная сетевая безопасность защищает от множества угроз от проникновения или распространения в сети.

Основной целью сетевой безопасности являются конфиденциальность, целостность и доступность. Эти три столпа сетевой безопасности часто представлены в виде треугольника ЦРУ .

• Конфиденциальность – функция конфиденциальности заключается в защите ценных деловых данных от посторонних лиц. Часть обеспечения безопасности сети гарантирует, что данные доступны только предполагаемым и уполномоченным лицам.

• Целостность – эта цель означает поддержание и обеспечение точности и согласованности данных. Функция целостности заключается в том, чтобы гарантировать, что данные надежны и не изменены посторонними лицами.

• Доступность – функция доступности в Network Security состоит в том, чтобы гарантировать, что данные, сетевые ресурсы / сервисы постоянно доступны для законных пользователей, когда они этого требуют.

Конфиденциальность – функция конфиденциальности заключается в защите ценных деловых данных от посторонних лиц. Часть обеспечения безопасности сети гарантирует, что данные доступны только предполагаемым и уполномоченным лицам.

Целостность – эта цель означает поддержание и обеспечение точности и согласованности данных. Функция целостности заключается в том, чтобы гарантировать, что данные надежны и не изменены посторонними лицами.

Доступность – функция доступности в Network Security состоит в том, чтобы гарантировать, что данные, сетевые ресурсы / сервисы постоянно доступны для законных пользователей, когда они этого требуют.

Достижение безопасности сети

Обеспечение безопасности сети может показаться очень простым. Цели, которые должны быть достигнуты, кажутся простыми. Но на самом деле механизмы, используемые для достижения этих целей, очень сложны, и для их понимания необходимы веские доводы.

Международный союз электросвязи (МСЭ) в своей рекомендации по архитектуре безопасности X.800 определил определенные механизмы для стандартизации методов обеспечения безопасности сети. Некоторые из этих механизмов –

• Зашифрование – этот механизм предоставляет услуги конфиденциальности данных путем преобразования данных в нечитаемые формы для посторонних лиц. Этот механизм использует алгоритм шифрования-дешифрования с секретными ключами.

• Цифровые подписи – этот механизм является электронным эквивалентом обычных подписей в электронных данных. Это обеспечивает достоверность данных.

• Контроль доступа – этот механизм используется для предоставления услуг контроля доступа. Эти механизмы могут использовать идентификацию и аутентификацию объекта для определения и обеспечения прав доступа объекта.

Зашифрование – этот механизм предоставляет услуги конфиденциальности данных путем преобразования данных в нечитаемые формы для посторонних лиц. Этот механизм использует алгоритм шифрования-дешифрования с секретными ключами.

Цифровые подписи – этот механизм является электронным эквивалентом обычных подписей в электронных данных. Это обеспечивает достоверность данных.

Контроль доступа – этот механизм используется для предоставления услуг контроля доступа. Эти механизмы могут использовать идентификацию и аутентификацию объекта для определения и обеспечения прав доступа объекта.

Разработав и идентифицировав различные механизмы безопасности для обеспечения безопасности сети, важно решить, где их применять; как физически (в каком месте), так и логически (на каком уровне архитектуры, такой как TCP / IP).

Механизмы безопасности на сетевых уровнях

Несколько механизмов безопасности были разработаны таким образом, что они могут быть разработаны на определенном уровне модели сетевого уровня OSI.

• Безопасность на уровне приложений – меры безопасности, используемые на этом уровне, зависят от конкретного приложения. Различные типы приложений потребуют отдельных мер безопасности. Чтобы обеспечить безопасность на уровне приложений, приложения должны быть изменены.

  Считается, что разработка криптографически обоснованного протокола приложения очень сложна, а правильная его реализация еще сложнее. Следовательно, механизмы защиты прикладного уровня для защиты сетевых коммуникаций предпочтительны, чтобы быть только основанными на стандартах решениями, которые использовались в течение некоторого времени.

  Примером протокола безопасности прикладного уровня является Secure Multipurpose Internet Mail Extensions (S / MIME), который обычно используется для шифрования сообщений электронной почты. DNSSEC – это еще один протокол на этом уровне, используемый для безопасного обмена сообщениями DNS-запросов.

• Безопасность на транспортном уровне. Меры безопасности на этом уровне могут использоваться для защиты данных в одном сеансе связи между двумя хостами. Наиболее распространенным применением протоколов безопасности транспортного уровня является защита трафика сеансов HTTP и FTP. Безопасность транспортного уровня (TLS) и Secure Socket Layer (SSL) являются наиболее распространенными протоколами, используемыми для этой цели.

• Сетевой уровень – меры безопасности на этом уровне могут применяться ко всем приложениям; таким образом, они не зависят от приложения. Все сетевые коммуникации между двумя хостами или сетями могут быть защищены на этом уровне без изменения какого-либо приложения. В некоторых средах протокол безопасности сетевого уровня, такой как Internet Protocol Security (IPsec), обеспечивает гораздо лучшее решение, чем элементы управления транспортного или прикладного уровня, из-за сложностей при добавлении элементов управления в отдельные приложения. Однако протоколы безопасности на этом уровне обеспечивают меньшую гибкость связи, которая может потребоваться некоторым приложениям.

Безопасность на уровне приложений – меры безопасности, используемые на этом уровне, зависят от конкретного приложения. Различные типы приложений потребуют отдельных мер безопасности. Чтобы обеспечить безопасность на уровне приложений, приложения должны быть изменены.

Считается, что разработка криптографически обоснованного протокола приложения очень сложна, а правильная его реализация еще сложнее. Следовательно, механизмы защиты прикладного уровня для защиты сетевых коммуникаций предпочтительны, чтобы быть только основанными на стандартах решениями, которые использовались в течение некоторого времени.

Примером протокола безопасности прикладного уровня является Secure Multipurpose Internet Mail Extensions (S / MIME), который обычно используется для шифрования сообщений электронной почты. DNSSEC – это еще один протокол на этом уровне, используемый для безопасного обмена сообщениями DNS-запросов.

Безопасность на транспортном уровне. Меры безопасности на этом уровне могут использоваться для защиты данных в одном сеансе связи между двумя хостами. Наиболее распространенным применением протоколов безопасности транспортного уровня является защита трафика сеансов HTTP и FTP. Безопасность транспортного уровня (TLS) и Secure Socket Layer (SSL) являются наиболее распространенными протоколами, используемыми для этой цели.

Сетевой уровень – меры безопасности на этом уровне могут применяться ко всем приложениям; таким образом, они не зависят от приложения. Все сетевые коммуникации между двумя хостами или сетями могут быть защищены на этом уровне без изменения какого-либо приложения. В некоторых средах протокол безопасности сетевого уровня, такой как Internet Protocol Security (IPsec), обеспечивает гораздо лучшее решение, чем элементы управления транспортного или прикладного уровня, из-за сложностей при добавлении элементов управления в отдельные приложения. Однако протоколы безопасности на этом уровне обеспечивают меньшую гибкость связи, которая может потребоваться некоторым приложениям.

Между прочим, механизм безопасности, предназначенный для работы на более высоком уровне, не может обеспечить защиту данных на более низких уровнях, потому что более низкие уровни выполняют функции, о которых более высокие уровни не знают. Следовательно, может быть необходимо развернуть несколько механизмов безопасности для повышения безопасности сети.

В следующих главах руководства мы обсудим механизмы безопасности, используемые на разных уровнях сетевой архитектуры OSI для обеспечения безопасности сети.

Сетевая безопасность – прикладной уровень

Различные бизнес-услуги теперь предлагаются онлайн через клиент-серверные приложения. Самые популярные формы – это веб-приложение и электронная почта. В обоих приложениях клиент связывается с назначенным сервером и получает услуги.

При использовании службы из любого серверного приложения клиент и сервер обмениваются большим количеством информации в базовой интрасети или Интернете. Мы знаем, что эти информационные транзакции уязвимы для различных атак.

Сетевая безопасность влечет за собой защиту данных от атак во время их передачи по сети. Для достижения этой цели было разработано много протоколов безопасности в реальном времени. Такой протокол должен обеспечивать, по крайней мере, следующие основные цели –

• Стороны могут вести переговоры в интерактивном режиме для установления подлинности друг друга.
• Установите секретный сеансовый ключ перед обменом информацией в сети.
• Обмен информацией в зашифрованном виде.

Интересно, что эти протоколы работают на разных уровнях сетевой модели. Например, протокол S / MIME работает на прикладном уровне, протокол SSL разработан для работы на транспортном уровне, а протокол IPsec работает на сетевом уровне.

В этой главе мы обсудим различные процессы обеспечения безопасности для обмена сообщениями по электронной почте и соответствующие протоколы безопасности. Способ защиты DNS рассматривается ниже. В последующих главах будут описаны протоколы для достижения веб-безопасности.

E-mail Security

В наше время электронная почта стала очень широко используемым сетевым приложением. Давайте кратко обсудим инфраструктуру электронной почты, прежде чем узнавать о протоколах безопасности электронной почты.

Инфраструктура электронной почты

Простейшим способом отправки электронной почты будет отправка сообщения непосредственно с компьютера отправителя на компьютер получателя. В этом случае важно, чтобы обе машины работали в сети одновременно. Однако такая настройка нецелесообразна, поскольку пользователи могут время от времени подключать свои машины к сети.

Отсюда и концепция настройки почтовых серверов. В этой настройке почта отправляется на почтовый сервер, который постоянно доступен в сети. Когда аппарат получателя подключается к сети, он читает почту с почтового сервера.

В целом, инфраструктура электронной почты состоит из сети почтовых серверов, также называемых агентами передачи сообщений (MTA) и клиентскими компьютерами, на которых запущена программа электронной почты, состоящая из агента пользователя (UA) и локального MTA.

Как правило, сообщение электронной почты пересылается с его UA, проходит через сетку MTA и, наконец, достигает UA на машине получателя.

Протоколы, используемые для электронной почты, следующие:

• Простой протокол передачи почты (SMTP), используемый для пересылки сообщений электронной почты.

• Почтовый протокол (POP) и протокол доступа к сообщениям в Интернете (IMAP) используются для получения сообщений получателем с сервера.

Простой протокол передачи почты (SMTP), используемый для пересылки сообщений электронной почты.

Почтовый протокол (POP) и протокол доступа к сообщениям в Интернете (IMAP) используются для получения сообщений получателем с сервера.

MIME

Базовый стандарт электронной почты в Интернете был написан в 1982 году и описывает формат сообщений электронной почты, которыми обмениваются в Интернете. Он в основном поддерживает сообщения электронной почты, написанные в виде текста в основном латинице.

К 1992 году возникла необходимость улучшить то же самое. Следовательно, был определен дополнительный стандартный Многоцелевой Интернет-Почта (MIME). Это набор расширений базового стандарта электронной почты Интернета. MIME предоставляет возможность отправлять электронную почту с использованием символов, отличных от символов основного латинского алфавита, таких как кириллический алфавит (используется на русском языке), греческий алфавит или даже идеографические символы китайского языка.

Еще одна потребность, выполняемая MIME, – отправка нетекстового содержимого, например изображений или видеоклипов. Благодаря этим функциям стандарт MIME получил широкое распространение благодаря SMTP для связи по электронной почте.

Служба безопасности электронной почты

Растущее использование связи по электронной почте для важных и важных транзакций требует предоставления определенных основных услуг безопасности, а именно:

• Конфиденциальность – сообщение электронной почты не должно быть прочитано кем-либо, кроме предполагаемого получателя.

• Аутентификация – получатель электронной почты может быть уверен в личности отправителя.

• Целостность – гарантия для получателя, что сообщение электронной почты не было изменено с момента его отправки отправителем.

• Безотказность – получатель электронной почты может доказать третьему лицу, что отправитель действительно отправил сообщение.

• Подтверждение отправки – отправитель электронной почты получает подтверждение того, что сообщение передано в систему доставки почты.

• Подтверждение доставки – отправитель получает подтверждение, что получатель получил сообщение.

Конфиденциальность – сообщение электронной почты не должно быть прочитано кем-либо, кроме предполагаемого получателя.

Аутентификация – получатель электронной почты может быть уверен в личности отправителя.

Целостность – гарантия для получателя, что сообщение электронной почты не было изменено с момента его отправки отправителем.

Безотказность – получатель электронной почты может доказать третьему лицу, что отправитель действительно отправил сообщение.

Подтверждение отправки – отправитель электронной почты получает подтверждение того, что сообщение передано в систему доставки почты.

Подтверждение доставки – отправитель получает подтверждение, что получатель получил сообщение.

Службы безопасности, такие как конфиденциальность, аутентификация, целостность сообщений и отказ от авторства, обычно предоставляются с использованием криптографии с открытым ключом.

Как правило, существует три разных сценария общения по электронной почте. Мы обсудим методы достижения вышеуказанных служб безопасности в этих сценариях.

Индивидуальная электронная почта

В этом случае отправитель отправляет сообщение электронной почты только одному получателю. Обычно в общении участвует не более двух MTA.

Предположим, отправитель хочет отправить конфиденциальное электронное письмо получателю. Обеспечение конфиденциальности в этом случае достигается следующим образом –

• Отправитель и получатель имеют свои закрытые открытые ключи как (S _PVT , S _PUB ) и (R _PVT , R _PUB ) соответственно.

• Отправитель генерирует секретный симметричный ключ K _S для шифрования. Хотя отправитель мог использовать R _PUB для шифрования, симметричный ключ используется для более быстрого шифрования и дешифрования.

• Отправитель шифрует сообщение ключом K _S, а также шифрует K _S открытым ключом получателя R _PUB .

• Отправитель отправляет зашифрованное сообщение и зашифрованный K _S получателю.

• Получатель сначала получает K _S , расшифровывая закодированный K _S, используя свой закрытый ключ R _PVT .

• Затем получатель расшифровывает сообщение с использованием симметричного ключа K _S.

Отправитель и получатель имеют свои закрытые открытые ключи как (S _PVT , S _PUB ) и (R _PVT , R _PUB ) соответственно.

Отправитель генерирует секретный симметричный ключ K _S для шифрования. Хотя отправитель мог использовать R _PUB для шифрования, симметричный ключ используется для более быстрого шифрования и дешифрования.

Отправитель шифрует сообщение ключом K _S, а также шифрует K _S открытым ключом получателя R _PUB .

Отправитель отправляет зашифрованное сообщение и зашифрованный K _S получателю.

Получатель сначала получает K _S , расшифровывая закодированный K _S, используя свой закрытый ключ R _PVT .

Затем получатель расшифровывает сообщение с использованием симметричного ключа K _S.

Если в этом сценарии также необходимы службы обеспечения целостности сообщений, аутентификации и отказа от авторства, к вышеуказанному процессу добавляются следующие шаги.

• Отправитель создает хеш сообщения и подписывает его цифровой подписью своим секретным ключом S _PVT .

• Отправитель отправляет этот подписанный хэш получателю вместе с другими компонентами.

Отправитель создает хеш сообщения и подписывает его цифровой подписью своим секретным ключом S _PVT .

Отправитель отправляет этот подписанный хэш получателю вместе с другими компонентами.

• Получатель использует открытый ключ S _PUB и извлекает хеш, полученный под подписью отправителя.

• Затем получатель хеширует дешифрованное сообщение и сравнивает два значения хеша. Если они совпадают, целостность сообщения считается достигнутой.

• Также получатель уверен, что сообщение отправлено отправителем (аутентификация). И, наконец, отправитель не может отрицать, что он не отправил сообщение (безотказность).

Получатель использует открытый ключ S _PUB и извлекает хеш, полученный под подписью отправителя.

Затем получатель хеширует дешифрованное сообщение и сравнивает два значения хеша. Если они совпадают, целостность сообщения считается достигнутой.

Также получатель уверен, что сообщение отправлено отправителем (аутентификация). И, наконец, отправитель не может отрицать, что он не отправил сообщение (безотказность).

Электронная почта получателей от одного к нескольким

В этом случае отправитель отправляет сообщение электронной почты двум или более получателям. Список управляется программой электронной почты отправителя (UA + локальный MTA). Все получатели получают одно и то же сообщение.

Предположим, отправитель хочет отправить конфиденциальное электронное письмо многим получателям (скажем, R1, R2 и R3). Обеспечение конфиденциальности в этом случае достигается следующим образом –

• Отправитель и все получатели имеют свою собственную пару закрытых-открытых ключей.

• Отправитель генерирует секретный симметричный ключ K _s и шифрует сообщение этим ключом.

• Затем отправитель несколько раз шифрует K _S с помощью открытых ключей R1, R2 и R3, получая R1 _PUB (K _S ), R2 _PUB (K _S ) и R3 _PUB (K _S ).

• Отправитель отправляет зашифрованное сообщение и соответствующий зашифрованный K _S получателю. Например, получатель 1 (R1) получает зашифрованное сообщение и R1 _PUB (K _S ).

• Каждый получатель сначала извлекает ключ K _S , расшифровывая закодированный K _S, используя свой закрытый ключ.

• Затем каждый получатель расшифровывает сообщение с использованием симметричного ключа K _S.

Отправитель и все получатели имеют свою собственную пару закрытых-открытых ключей.

Отправитель генерирует секретный симметричный ключ K _s и шифрует сообщение этим ключом.

Затем отправитель несколько раз шифрует K _S с помощью открытых ключей R1, R2 и R3, получая R1 _PUB (K _S ), R2 _PUB (K _S ) и R3 _PUB (K _S ).

Отправитель отправляет зашифрованное сообщение и соответствующий зашифрованный K _S получателю. Например, получатель 1 (R1) получает зашифрованное сообщение и R1 _PUB (K _S ).

Каждый получатель сначала извлекает ключ K _S , расшифровывая закодированный K _S, используя свой закрытый ключ.

Затем каждый получатель расшифровывает сообщение с использованием симметричного ключа K _S.

Для обеспечения целостности сообщения, аутентификации и отсутствия отказа необходимо выполнить шаги, аналогичные шагам, упомянутым выше в сценарии «один на один» с электронной почтой.

Электронная почта списка рассылки

В этом случае отправитель отправляет сообщение электронной почты двум или более получателям, но список получателей не управляется отправителем локально. Как правило, почтовый сервер (MTA) поддерживает список рассылки.

Отправитель отправляет почту в MTA, управляющий списком рассылки, а затем MTA рассылает почту всем получателям в списке.

В этом случае, когда отправитель хочет отправить конфиденциальное электронное письмо получателям списка рассылки (скажем, R1, R2 и R3); конфиденциальность обеспечивается следующим образом –

• Отправитель и все получатели имеют свою собственную пару закрытых-открытых ключей. Сервер Exploder имеет пару закрытых открытых ключей для каждого поддерживаемого им списка рассылки (List _PUB , List _PVT ).

• Отправитель генерирует секретный симметричный ключ K _s и затем шифрует сообщение этим ключом.

• Затем отправитель шифрует K _S с помощью открытого ключа, связанного со списком, получает список _PUB (K _S ).

• Отправитель отправляет зашифрованное сообщение и список _PUB (K _S ). MTA анализатора расшифровывает Список _PUB (K _S ) с помощью Списка _PVT и получает K _S.

• Взрыватель шифрует K _S с таким количеством открытых ключей, сколько есть членов в списке.

• Эксплорер пересылает полученное зашифрованное сообщение и соответствующие зашифрованные K _S всем получателям в списке. Например, Exploder пересылает зашифрованное сообщение и R1 _PUB (K _S ) получателю 1 и так далее.

Отправитель и все получатели имеют свою собственную пару закрытых-открытых ключей. Сервер Exploder имеет пару закрытых открытых ключей для каждого поддерживаемого им списка рассылки (List _PUB , List _PVT ).

Отправитель генерирует секретный симметричный ключ K _s и затем шифрует сообщение этим ключом.

Затем отправитель шифрует K _S с помощью открытого ключа, связанного со списком, получает список _PUB (K _S ).

Отправитель отправляет зашифрованное сообщение и список _PUB (K _S ). MTA анализатора расшифровывает Список _PUB (K _S ) с помощью Списка _PVT и получает K _S.

Взрыватель шифрует K _S с таким количеством открытых ключей, сколько есть членов в списке.

Эксплорер пересылает полученное зашифрованное сообщение и соответствующие зашифрованные K _S всем получателям в списке. Например, Exploder пересылает зашифрованное сообщение и R1 _PUB (K _S ) получателю 1 и так далее.

Для обеспечения целостности сообщения, аутентификации и отказа от авторства шаги, которые необходимо выполнить, аналогичны приведенным в случае сценария «один на один» с электронной почтой.

Интересно, что программа электронной почты, использующая вышеуказанный метод защиты для защиты электронной почты, как ожидается, будет работать для всех возможных сценариев, рассмотренных выше. Большинство из вышеперечисленных механизмов безопасности для электронной почты обеспечиваются двумя популярными схемами – Pretty Good Privacy (PGP) и S / MIME. Мы обсудим оба в следующих разделах.

PGP

Pretty Good Privacy (PGP) – это схема шифрования электронной почты. Он стал стандартом де-факто для предоставления услуг безопасности для связи по электронной почте.

Как обсуждалось выше, он использует криптографию с открытым ключом, криптографию с симметричным ключом, хэш-функцию и цифровую подпись. Это обеспечивает –

• Конфиденциальность
• Аутентификация отправителя
• Целостность сообщения
• Неотрекаемость

Наряду с этими службами безопасности, он также обеспечивает сжатие данных и поддержку управления ключами. PGP использует существующие криптографические алгоритмы, такие как RSA, IDEA, MD5 и т. Д., А не изобретает новые.

Работа PGP

• Хеш сообщения подсчитывается. (Алгоритм MD5)

• Результирующий 128-битный хэш подписывается с использованием закрытого ключа отправителя (алгоритм RSA).

• Цифровая подпись соединяется с сообщением, а результат сжимается.

• Генерируется 128-битный симметричный ключ K _S, который используется для шифрования сжатого сообщения с помощью IDEA.

• K _S шифруется с использованием открытого ключа получателя с использованием алгоритма RSA, и результат добавляется к зашифрованному сообщению.

Хеш сообщения подсчитывается. (Алгоритм MD5)

Результирующий 128-битный хэш подписывается с использованием закрытого ключа отправителя (алгоритм RSA).

Цифровая подпись соединяется с сообщением, а результат сжимается.

Генерируется 128-битный симметричный ключ K _S, который используется для шифрования сжатого сообщения с помощью IDEA.

K _S шифруется с использованием открытого ключа получателя с использованием алгоритма RSA, и результат добавляется к зашифрованному сообщению.

Формат сообщения PGP показан на следующей диаграмме. Идентификаторы указывают, какой ключ используется для шифрования KS и какой ключ должен использоваться для проверки подписи в хэше.

В схеме PGP сообщение подписывается и шифруется, а затем MIME кодируется перед передачей.

Сертификат PGP

Сертификат ключа PGP обычно устанавливается через цепочку доверия. Например, открытый ключ A подписан B, используя его открытый ключ, а открытый ключ B подписан C, используя его открытый ключ. По мере того как этот процесс продолжается, он создает сеть доверия.

В среде PGP любой пользователь может выступать в качестве удостоверяющего органа. Любой пользователь PGP может сертифицировать открытый ключ другого пользователя PGP. Однако такой сертификат действителен для другого пользователя только в том случае, если пользователь распознает сертификат в качестве доверенного представителя.

Существует несколько проблем с таким методом сертификации. Может быть трудно найти цепочку, ведущую от известного и доверенного открытого ключа к желаемому ключу. Кроме того, может быть несколько цепочек, которые могут привести к различным ключам для желаемого пользователя.

PGP также может использовать инфраструктуру PKI с центром сертификации, а открытые ключи могут быть сертифицированы CA (сертификат X.509).

S / MIME

S / MIME расшифровывается как Надежное Многоцелевое Расширение Почты Интернета. S / MIME – это безопасный стандарт электронной почты. Он основан на более раннем небезопасном стандарте электронной почты, который называется MIME.

Работа S / MIME

Подход S / MIME похож на PGP. Он также использует криптографию с открытым ключом, криптографию с симметричным ключом, хэш-функции и цифровые подписи. Он предоставляет услуги безопасности, аналогичные PGP, для связи по электронной почте.

Наиболее распространенные симметричные шифры, используемые в S / MIME, это RC2 и TripleDES. Обычный метод с открытым ключом – это RSA, а алгоритм хеширования – это SHA-1 или MD5.

S / MIME указывает дополнительный тип MIME, например «application / pkcs7-mime», для конвертации данных после шифрования. Весь объект MIME зашифрован и упакован в объект. S / MIME имеет стандартизированные форматы криптографических сообщений (отличные от PGP). Фактически, MIME дополнен некоторыми ключевыми словами для идентификации зашифрованных и / или подписанных частей в сообщении.

S / MIME использует сертификаты X.509 для распространения открытых ключей. Для поддержки сертификации требуется нисходящая иерархическая инфраструктура открытых ключей.

Возможность трудоустройства S / MIME

В связи с требованием сертификата от центра сертификации для реализации, не все пользователи могут использовать преимущества S / MIME, поскольку некоторые могут пожелать зашифровать сообщение с помощью пары открытого / секретного ключей. Например, без участия или административных накладных расходов на сертификаты.

На практике, хотя большинство почтовых приложений реализуют S / MIME, процесс регистрации сертификатов является сложным. Вместо этого поддержка PGP обычно требует добавления плагина, и этот плагин поставляется со всем, что необходимо для управления ключами. Сеть доверия на самом деле не используется. Люди обмениваются своими открытыми ключами через другую среду. После получения они хранят копии открытых ключей тех, с кем обычно обмениваются электронными письмами.

Уровень реализации в сетевой архитектуре для схем PGP и S / MIME показан на следующем рисунке. Обе эти схемы обеспечивают безопасность на уровне приложений для связи по электронной почте.

В зависимости от среды используется одна из схем – PGP или S / MIME. Безопасная связь по электронной почте в неволевой сети может быть обеспечена путем адаптации к PGP. Для обеспечения безопасности электронной почты через Интернет, где письма часто обмениваются с новыми неизвестными пользователями, S / MIME считается хорошим вариантом.

DNS Безопасность

В первой главе мы упоминали, что злоумышленник может использовать отравление DNS-кэша для атаки на целевого пользователя. Расширения безопасности системы доменных имен (DNSSEC) – это стандарт Интернета, который может предотвратить такие атаки.

Уязвимость стандартного DNS

В стандартной схеме DNS, когда пользователь хочет подключиться к какому-либо доменному имени, его компьютер связывается с DNS-сервером и ищет соответствующий IP-адрес для этого доменного имени. После получения IP-адреса компьютер подключается к этому IP-адресу.

В этой схеме процесс проверки вообще не задействован. Компьютер запрашивает у своего DNS-сервера адрес, связанный с веб-сайтом, DNS-сервер отвечает IP-адресом, и ваш компьютер, несомненно, принимает его как законный ответ и подключается к этому веб-сайту.

Поиск DNS на самом деле происходит в несколько этапов. Например, когда компьютер запрашивает «www.tutorialspoint.com», поиск DNS выполняется в несколько этапов:

• Сначала компьютер запрашивает локальный DNS-сервер (предоставляется провайдером). Если у провайдера есть это имя в кеше, он отвечает иначе, перенаправляет запрос в «каталог корневой зоны», где он может найти «.com.» И ответы корневой зоны.

• Основываясь на ответе, компьютер запрашивает каталог «.com», где он может найти «tutorialspoint.com».

• На основании полученной информации компьютер запрашивает «tutorialspoint.com», где он может найти www. tutorialspoint.com.

Сначала компьютер запрашивает локальный DNS-сервер (предоставляется провайдером). Если у провайдера есть это имя в кеше, он отвечает иначе, перенаправляет запрос в «каталог корневой зоны», где он может найти «.com.» И ответы корневой зоны.

Основываясь на ответе, компьютер запрашивает каталог «.com», где он может найти «tutorialspoint.com».

На основании полученной информации компьютер запрашивает «tutorialspoint.com», где он может найти www. tutorialspoint.com.

Определено DNSSEC

Поиск DNS, когда выполняется с использованием DNSSEC, включает в себя подписание ответов отвечающим объектом. DNSSEC основан на криптографии с открытым ключом.

В стандарте DNSSEC каждая зона DNS имеет пару открытый / закрытый ключ. Вся информация, отправляемая DNS-сервером, подписывается закрытым ключом исходной зоны для обеспечения подлинности. DNS-клиенты должны знать открытые ключи зоны, чтобы проверить подписи. Клиенты могут быть предварительно настроены с открытыми ключами всех доменов верхнего уровня или корневым DNS.

С DNSSEC процесс поиска выглядит следующим образом:

• Когда ваш компьютер отправляет запрос в корневую зону, где он может найти .com, ответ подписывается сервером корневой зоны.

• Компьютер проверяет ключ подписи корневой зоны и подтверждает, что это подлинная корневая зона с достоверной информацией.

• В ответе корневая зона предоставляет информацию о ключе подписи сервера зоны .com и его местонахождении, позволяя компьютеру связываться с каталогом .com и обеспечивая его законность.

• Каталог .com затем предоставляет ключ подписи и информацию для tutorialspoint.com, позволяя ему связаться с google.com и убедиться, что вы подключены к реальному tutorialspoint.com, что подтверждается зонами над ним.

• Отправляемая информация находится в форме набора записей ресурсов (RRSets). Пример RRSet для домена «tutorialspoint.com» на сервере «.com» верхнего уровня показан в следующей таблице.

Когда ваш компьютер отправляет запрос в корневую зону, где он может найти .com, ответ подписывается сервером корневой зоны.

Компьютер проверяет ключ подписи корневой зоны и подтверждает, что это подлинная корневая зона с достоверной информацией.

В ответе корневая зона предоставляет информацию о ключе подписи сервера зоны .com и его местонахождении, позволяя компьютеру связываться с каталогом .com и обеспечивая его законность.

Каталог .com затем предоставляет ключ подписи и информацию для tutorialspoint.com, позволяя ему связаться с google.com и убедиться, что вы подключены к реальному tutorialspoint.com, что подтверждается зонами над ним.

Отправляемая информация находится в форме набора записей ресурсов (RRSets). Пример RRSet для домена «tutorialspoint.com» на сервере «.com» верхнего уровня показан в следующей таблице.

Доменное имя	Время жить	Тип	Значение
tutorialspoint.com	86400	NS	dns.tutorialspoint.com
dns.tutorialspoint.com	86400		36..1.2.3
tutorialspoint.com	86400	KEY	3682793A7B73F731029CE2737D …
tutorialspoint.com	86400	SIG	86947503A8B848F5272E53930C …

• Запись KEY является открытым ключом «tutorialspoint.com».

• Запись SIG – это подписанный хэш-сервер верхнего уровня .com записей полей NS, A и KEY для проверки их подлинности. Его значение – Kcom _pvt (H (NS, A, KEY)).

Запись KEY является открытым ключом «tutorialspoint.com».

Запись SIG – это подписанный хэш-сервер верхнего уровня .com записей полей NS, A и KEY для проверки их подлинности. Его значение – Kcom _pvt (H (NS, A, KEY)).

Таким образом, считается, что, когда DNSSEC полностью развернут, компьютер пользователя может подтвердить, что ответы DNS являются законными и правдивыми, и избежать DNS-атак, запускаемых из-за заражения кэша DNS.

Резюме

Процесс защиты электронной почты обеспечивает сквозную безопасность связи. Он предоставляет услуги безопасности конфиденциальности, аутентификации отправителя, целостности сообщений и отказа от авторства.

Для обеспечения безопасности электронной почты были разработаны две схемы: PGP и S / MIME. Обе эти схемы используют криптографию с секретным ключом и открытым ключом.

Стандартный поиск DNS уязвим для атак, таких как спуфинг DNS / отравление кэша. Защита поиска DNS возможна благодаря использованию DNSSEC, в котором используется криптография с открытым ключом.

В этой главе мы обсудили механизмы, используемые на уровне приложений для обеспечения безопасности сети для сквозного взаимодействия.

Сетевая безопасность – транспортный уровень

Сетевая безопасность влечет за собой защиту данных от атак во время их передачи по сети. Для достижения этой цели было разработано много протоколов безопасности в реальном времени. Существуют популярные стандарты для сетевых протоколов безопасности в реальном времени, такие как S / MIME, SSL / TLS, SSH и IPsec. Как упоминалось ранее, эти протоколы работают на разных уровнях сетевой модели.

В последней главе мы обсудили некоторые популярные протоколы, разработанные для обеспечения безопасности на уровне приложений. В этой главе мы обсудим процесс обеспечения безопасности сети на транспортном уровне и связанных с ним протоколов безопасности.

Для сети на основе протокола TCP / IP физический уровень и канальный уровень данных обычно реализуются в пользовательском терминале и оборудовании сетевой карты. Уровни TCP и IP реализованы в операционной системе. Все, что выше TCP / IP, реализовано как пользовательский процесс.

Необходимость безопасности на транспортном уровне

Давайте обсудим типичную интернет-бизнес-транзакцию.

Боб заходит на сайт Алисы по продаже товаров. В форме на веб-сайте Боб вводит желаемый тип товара и количество, его адрес и данные платежной карты. Боб нажимает «Отправить» и ожидает доставки товара со списанием суммы со своего счета. Все это звучит хорошо, но в отсутствие сетевой безопасности Боб может быть несколько сюрпризов.

• Если в транзакциях не используется конфиденциальность (шифрование), злоумышленник может получить информацию о своей платежной карте. Затем злоумышленник может совершать покупки за счет Боба.

• Если мера целостности данных не используется, злоумышленник может изменить заказ Боба с точки зрения типа или количества товаров.

• Наконец, если аутентификация сервера не используется, сервер может отображать известный логотип Алисы, но сайт может быть вредоносным сайтом, поддерживаемым злоумышленником, маскирующимся под Алису. Получив приказ Боба, он мог забрать деньги Боба и бежать. Или он может совершить кражу личных данных, собирая имя Боба и данные кредитной карты.

Если в транзакциях не используется конфиденциальность (шифрование), злоумышленник может получить информацию о своей платежной карте. Затем злоумышленник может совершать покупки за счет Боба.

Если мера целостности данных не используется, злоумышленник может изменить заказ Боба с точки зрения типа или количества товаров.

Наконец, если аутентификация сервера не используется, сервер может отображать известный логотип Алисы, но сайт может быть вредоносным сайтом, поддерживаемым злоумышленником, маскирующимся под Алису. Получив приказ Боба, он мог забрать деньги Боба и бежать. Или он может совершить кражу личных данных, собирая имя Боба и данные кредитной карты.

Схемы безопасности транспортного уровня могут решить эти проблемы путем улучшения сетевого взаимодействия на основе TCP / IP с помощью конфиденциальности, целостности данных, аутентификации сервера и аутентификации клиента.

Безопасность на этом уровне в основном используется для защиты веб-транзакций на основе HTTP в сети. Однако это может быть использовано любым приложением, работающим через TCP.

Философия TLS Design

Протоколы безопасности транспортного уровня (TLS) работают над уровнем TCP. При разработке этих протоколов используются популярные прикладные программные интерфейсы (API) для TCP, называемые «сокетами» для взаимодействия с уровнем TCP.

Приложения теперь подключены к транспортному уровню безопасности вместо TCP напрямую. Уровень безопасности транспорта предоставляет простой API с сокетами, который похож и аналогичен API-интерфейсу TCP.

На приведенной выше схеме, хотя TLS технически находится между прикладным и транспортным уровнями, с общей точки зрения это транспортный протокол, который действует как уровень TCP, расширенный службами безопасности.

TLS разработан для работы через TCP, надежный протокол уровня 4 (не по протоколу UDP), чтобы значительно упростить проектирование TLS, поскольку ему не нужно беспокоиться о «тайм-ауте» и «повторной передаче потерянных данных». Уровень TCP продолжает делать это как обычно, что удовлетворяет потребности в TLS.

Почему TLS популярен?

Причиной популярности использования безопасности на транспортном уровне является простота. Проектирование и развертывание защиты на этом уровне не требует каких-либо изменений в протоколах TCP / IP, которые реализованы в операционной системе. Только пользовательские процессы и приложения должны быть разработаны / изменены, что является менее сложным.

Secure Socket Layer (SSL)

В этом разделе мы обсудим семейство протоколов, разработанных для TLS. Семейство включает в себя SSL версии 2 и 3 и протокол TLS. SSLv2 теперь заменен SSLv3, поэтому мы сосредоточимся на SSL v3 и TLS.

Краткая история SSL

В 1995 году Netscape разработал SSLv2 и использовал его в Netscape Navigator 1.1. Версия SSL1 никогда не публиковалась и не использовалась. Позже Microsoft усовершенствовала SSLv2 и представила еще один аналогичный протокол, названный Private Communications Technology (PCT).

Netscape существенно улучшил SSLv2 по различным вопросам безопасности и развернул SSLv3 в 1999 году. Впоследствии Целевая группа по инженерным проблемам интернета (IETF) представила аналогичный протокол TLS (Transport Layer Security) в качестве открытого стандарта. Протокол TLS не совместим с SSLv3.

TLS изменил криптографические алгоритмы для расширения ключа и аутентификации. Кроме того, TLS предложила использовать открытую криптографию Диффи-Хеллмана (DH) и стандарт цифровой подписи (DSS) вместо запатентованной криптографии RSA, используемой в SSL. Но в связи с истечением срока действия патента RSA в 2000 году у пользователей не было веских причин для перехода от широко распространенного SSLv3 к TLS.

Существенные особенности SSL

Существенные особенности протокола SSL следующие:

• SSL обеспечивает безопасность сетевого подключения через –

  • Конфиденциальность – информация передается в зашифрованном виде.

  • Аутентификация. Объекты связи идентифицируют друг друга с помощью цифровых сертификатов. Аутентификация на веб-сервере является обязательной, тогда как аутентификация клиента остается необязательной.

  • Надежность – поддерживает проверки целостности сообщений.

• SSL доступен для всех приложений TCP.

• Поддерживается практически всеми веб-браузерами.

• Обеспечивает легкость в ведении бизнеса с новыми онлайн-объектами.

• Разработано в первую очередь для веб-коммерции.

SSL обеспечивает безопасность сетевого подключения через –

Конфиденциальность – информация передается в зашифрованном виде.

Аутентификация. Объекты связи идентифицируют друг друга с помощью цифровых сертификатов. Аутентификация на веб-сервере является обязательной, тогда как аутентификация клиента остается необязательной.

Надежность – поддерживает проверки целостности сообщений.

SSL доступен для всех приложений TCP.

Поддерживается практически всеми веб-браузерами.

Обеспечивает легкость в ведении бизнеса с новыми онлайн-объектами.

Разработано в первую очередь для веб-коммерции.

Архитектура SSL

SSL специфичен для TCP и не работает с UDP. SSL обеспечивает интерфейс прикладного программирования (API) для приложений. C и Java SSL библиотеки / классы легко доступны.

Протокол SSL предназначен для взаимодействия между приложением и транспортным уровнем, как показано на следующем рисунке –

Сам SSL не является протоколом одного уровня, как показано на рисунке; на самом деле он состоит из двух подслоев.

• Нижний подуровень состоит из одного компонента протокола SSL, называемого протоколом записи SSL. Этот компонент предоставляет услуги по обеспечению целостности и конфиденциальности.

• Верхний подуровень состоит из трех компонентов протокола, связанных с SSL, и прикладного протокола. Компонент приложения обеспечивает услугу передачи информации между клиент-серверными взаимодействиями. Технически, он также может работать поверх уровня SSL. Три связанных с протоколом SSL компонента:

  • SSL протокол рукопожатия
  • Изменить протокол шифрования
  • Протокол оповещения.

• Эти три протокола управляют всем обменом сообщениями SSL и обсуждаются позже в этом разделе.

Нижний подуровень состоит из одного компонента протокола SSL, называемого протоколом записи SSL. Этот компонент предоставляет услуги по обеспечению целостности и конфиденциальности.

Верхний подуровень состоит из трех компонентов протокола, связанных с SSL, и прикладного протокола. Компонент приложения обеспечивает услугу передачи информации между клиент-серверными взаимодействиями. Технически, он также может работать поверх уровня SSL. Три связанных с протоколом SSL компонента:

Эти три протокола управляют всем обменом сообщениями SSL и обсуждаются позже в этом разделе.

Функции компонентов протокола SSL

Четыре подкомпонента протокола SSL обрабатывают различные задачи для безопасной связи между клиентским компьютером и сервером.

• Протокол записи

  • Уровень записи форматирует сообщения протокола верхнего уровня.

  • Он фрагментирует данные в управляемые блоки (максимальная длина 16 КБ). Опционально сжимает данные.

  • Шифрует данные.

  • Предоставляет заголовок для каждого сообщения и хэш (код аутентификации сообщения (MAC)) в конце.

  • Передает отформатированные блоки на уровень TCP для передачи.

Протокол записи

Уровень записи форматирует сообщения протокола верхнего уровня.

Он фрагментирует данные в управляемые блоки (максимальная длина 16 КБ). Опционально сжимает данные.

Шифрует данные.

Предоставляет заголовок для каждого сообщения и хэш (код аутентификации сообщения (MAC)) в конце.

Передает отформатированные блоки на уровень TCP для передачи.

• SSL протокол рукопожатия

  • Это самая сложная часть SSL. Он вызывается перед передачей данных приложения. Он создает сеансы SSL между клиентом и сервером.

  • Установление сеанса включает проверку подлинности сервера, согласование ключа и алгоритма, установление ключей и проверку подлинности клиента (необязательно).

  • Сеанс идентифицируется уникальным набором параметров криптографической защиты.

  • Несколько безопасных TCP-соединений между клиентом и сервером могут совместно использовать один и тот же сеанс.

  • Протокол рукопожатия действия через четыре этапа. Они обсуждаются в следующем разделе.

• Протокол ChangeCipherSpec

  • Простейшая часть протокола SSL. Он состоит из одного сообщения, которым обмениваются два взаимодействующих объекта, клиент и сервер.

  • Поскольку каждый объект отправляет сообщение ChangeCipherSpec, он меняет свою сторону соединения в безопасное состояние, как было согласовано.

  • Состояние ожидания параметров шифра копируется в текущее состояние.

  • Обмен этим сообщением указывает на то, что все будущие обмены данными зашифрованы, а целостность защищена.

• Протокол оповещения SSL

  • Этот протокол используется для сообщения об ошибках – таких как непредвиденное сообщение, неверный MAC-адрес записи, сбой согласования параметров безопасности и т. Д.

  • Он также используется для других целей – таких как уведомление о закрытии соединения TCP, уведомление о получении неверного или неизвестного сертификата и т. Д.

SSL протокол рукопожатия

Это самая сложная часть SSL. Он вызывается перед передачей данных приложения. Он создает сеансы SSL между клиентом и сервером.

Установление сеанса включает проверку подлинности сервера, согласование ключа и алгоритма, установление ключей и проверку подлинности клиента (необязательно).

Сеанс идентифицируется уникальным набором параметров криптографической защиты.

Несколько безопасных TCP-соединений между клиентом и сервером могут совместно использовать один и тот же сеанс.

Протокол рукопожатия действия через четыре этапа. Они обсуждаются в следующем разделе.

Протокол ChangeCipherSpec

Простейшая часть протокола SSL. Он состоит из одного сообщения, которым обмениваются два взаимодействующих объекта, клиент и сервер.

Поскольку каждый объект отправляет сообщение ChangeCipherSpec, он меняет свою сторону соединения в безопасное состояние, как было согласовано.

Состояние ожидания параметров шифра копируется в текущее состояние.

Обмен этим сообщением указывает на то, что все будущие обмены данными зашифрованы, а целостность защищена.

Протокол оповещения SSL

Этот протокол используется для сообщения об ошибках – таких как непредвиденное сообщение, неверный MAC-адрес записи, сбой согласования параметров безопасности и т. Д.

Он также используется для других целей – таких как уведомление о закрытии соединения TCP, уведомление о получении неверного или неизвестного сертификата и т. Д.

Установление SSL-сессии

Как обсуждалось выше, существует четыре этапа установления сеанса SSL. Они в основном обрабатываются протоколом SSL Handshake.

Этап 1 – Установление возможностей безопасности.

• Эта фаза состоит из обмена двумя сообщениями – Client_hello и Server_hello .

Эта фаза состоит из обмена двумя сообщениями – Client_hello и Server_hello .

• Client_hello содержит список криптографических алгоритмов, поддерживаемых клиентом, в порядке убывания предпочтений.

• Server_hello содержит выбранную спецификацию шифра (CipherSpec) и новый session_id .

• CipherSpec содержит такие поля, как –

  • Алгоритм шифрования (DES, 3DES, RC2 и RC4)

  • Алгоритм MAC (на основе MD5, SHA-1)

  • Алгоритм с открытым ключом (RSA)

  • Оба сообщения имеют «nonce» для предотвращения повторной атаки.

Client_hello содержит список криптографических алгоритмов, поддерживаемых клиентом, в порядке убывания предпочтений.

Server_hello содержит выбранную спецификацию шифра (CipherSpec) и новый session_id .

CipherSpec содержит такие поля, как –

Алгоритм шифрования (DES, 3DES, RC2 и RC4)

Алгоритм MAC (на основе MD5, SHA-1)

Алгоритм с открытым ключом (RSA)

Оба сообщения имеют «nonce» для предотвращения повторной атаки.

Этап 2 – Проверка подлинности сервера и обмен ключами.

• Сервер отправляет сертификат. Клиентское программное обеспечение поставляется с открытыми ключами различных «доверенных» организаций (CA) для проверки сертификата.

• Сервер отправляет выбранный набор шифров.

• Сервер может запросить сертификат клиента. Обычно это не делается.

• Сервер указывает конец Server_hello .

Сервер отправляет сертификат. Клиентское программное обеспечение поставляется с открытыми ключами различных «доверенных» организаций (CA) для проверки сертификата.

Сервер отправляет выбранный набор шифров.

Сервер может запросить сертификат клиента. Обычно это не делается.

Сервер указывает конец Server_hello .

Этап 3 – аутентификация клиента и обмен ключами.

• Клиент отправляет сертификат, только по запросу сервера.

• Он также отправляет секретный секретный файл (PMS), зашифрованный открытым ключом сервера.

• Клиент также отправляет сообщение Certificate_verify, если сертификат отправляется им, чтобы доказать, что у него есть закрытый ключ, связанный с этим сертификатом. По сути, клиент подписывает хэш предыдущих сообщений.

Клиент отправляет сертификат, только по запросу сервера.

Он также отправляет секретный секретный файл (PMS), зашифрованный открытым ключом сервера.

Клиент также отправляет сообщение Certificate_verify, если сертификат отправляется им, чтобы доказать, что у него есть закрытый ключ, связанный с этим сертификатом. По сути, клиент подписывает хэш предыдущих сообщений.

Этап 4 – Готово.

• Клиент и сервер отправляют друг другу сообщения Change_cipher_spec, чтобы заставить состояние ожидающего шифрования быть скопированным в текущее состояние.

• Отныне все данные зашифрованы и защищены целостности.

• Сообщение «Завершено» с каждого конца подтверждает, что обмен ключами и процессы аутентификации были успешными.

Клиент и сервер отправляют друг другу сообщения Change_cipher_spec, чтобы заставить состояние ожидающего шифрования быть скопированным в текущее состояние.

Отныне все данные зашифрованы и защищены целостности.

Сообщение «Завершено» с каждого конца подтверждает, что обмен ключами и процессы аутентификации были успешными.

Все четыре фазы, описанные выше, происходят в рамках установления TCP-сессии. Установление сеанса SSL начинается после TCP SYN / SYNACK и заканчивается до TCP Fin.

Возобновление отключенного сеанса

• Можно возобновить отключенный сеанс (с помощью сообщения оповещения ), если клиент отправляет на сервер hello_request с зашифрованной информацией session_id .

• Затем сервер определяет, является ли идентификатор_ сеанса действительным. В случае подтверждения он обменивается ChangeCipherSpec и завершенными сообщениями с клиентом и возобновляет безопасную связь.

• Это позволяет избежать пересчета параметров шифра сеанса и экономит вычисления на сервере и на стороне клиента.

Можно возобновить отключенный сеанс (с помощью сообщения оповещения ), если клиент отправляет на сервер hello_request с зашифрованной информацией session_id .

Затем сервер определяет, является ли идентификатор_ сеанса действительным. В случае подтверждения он обменивается ChangeCipherSpec и завершенными сообщениями с клиентом и возобновляет безопасную связь.

Это позволяет избежать пересчета параметров шифра сеанса и экономит вычисления на сервере и на стороне клиента.

Ключи сеанса SSL

Мы видели, что во время Фазы 3 установления сеанса SSL клиент предварительно отправляет секретный секретный ключ на сервер, зашифрованный с использованием открытого ключа сервера. Главный секрет и различные ключи сеанса генерируются следующим образом:

• Главный секрет генерируется (с помощью генератора псевдослучайных чисел) с помощью –

  • Предварительный мастер-секрет.

  • В сообщениях client_hello и server_hello произошел обмен двумя одноразовыми номерами (RA и RB).

• Шесть секретных значений затем выводятся из этого главного секрета как –

  • Секретный ключ, используемый с MAC (для данных, отправляемых сервером)

  • Секретный ключ, используемый с MAC (для данных, отправленных клиентом)

  • Секретный ключ и IV, используемые для шифрования (сервером)

  • Секретный ключ и IV, используемые для шифрования (клиентом)

Главный секрет генерируется (с помощью генератора псевдослучайных чисел) с помощью –

Предварительный мастер-секрет.

В сообщениях client_hello и server_hello произошел обмен двумя одноразовыми номерами (RA и RB).

Шесть секретных значений затем выводятся из этого главного секрета как –

Секретный ключ, используемый с MAC (для данных, отправляемых сервером)

Секретный ключ, используемый с MAC (для данных, отправленных клиентом)

Секретный ключ и IV, используемые для шифрования (сервером)

Секретный ключ и IV, используемые для шифрования (клиентом)

Протокол TLS

Чтобы предоставить открытый интернет-стандарт SSL, IETF выпустила протокол безопасности транспортного уровня (TLS) в январе 1999 года. TLS определен как предлагаемый интернет-стандарт в RFC 5246.

Характерные особенности

• Протокол TLS имеет те же цели, что и SSL.

• Это позволяет клиент-серверным приложениям общаться безопасным образом, проверяя подлинность, предотвращая прослушивание и сопротивляясь модификации сообщений.

• Протокол TLS находится над надежным транспортным уровнем TCP, ориентированным на установление соединения, в стеке сетевых уровней.

• Архитектура протокола TLS аналогична протоколу SSLv3. Он имеет два подпротокола: протокол записи TLS и протокол рукопожатия TLS.

• Хотя протоколы SSLv3 и TLS имеют схожую архитектуру, в архитектуру было внесено несколько изменений, особенно в протокол рукопожатия.

Протокол TLS имеет те же цели, что и SSL.

Это позволяет клиент-серверным приложениям общаться безопасным образом, проверяя подлинность, предотвращая прослушивание и сопротивляясь модификации сообщений.

Протокол TLS находится над надежным транспортным уровнем TCP, ориентированным на установление соединения, в стеке сетевых уровней.

Архитектура протокола TLS аналогична протоколу SSLv3. Он имеет два подпротокола: протокол записи TLS и протокол рукопожатия TLS.

Хотя протоколы SSLv3 и TLS имеют схожую архитектуру, в архитектуру было внесено несколько изменений, особенно в протокол рукопожатия.

Сравнение протоколов TLS и SSL

Существует восемь основных различий между протоколами TLS и SSLv3. Это следующие –

• Версия протокола . Заголовок сегмента протокола TLS содержит номер версии 3.1, чтобы различать номер 3, переносимый заголовком сегмента протокола SSL.

• Аутентификация сообщения – TLS использует код аутентификации сообщения с хэш-ключом (H-MAC). Преимущество заключается в том, что H-MAC работает с любой хэш-функцией, а не только с MD5 или SHA, как это явно указано в протоколе SSL.

• Генерация ключа сеанса. Существует два различия между протоколом TLS и SSL для генерации материала ключа.

  • Методика вычисления предварительных мастер и мастер секретов аналогична. Но в протоколе TLS для вычисления главного секрета используются выходные данные стандарта HMAC и псевдослучайной функции (PRF) вместо специального MAC.

  • Алгоритм вычисления ключей сеанса и значений инициализации (IV) в TLS отличается от протокола SSL.

• Сообщение протокола оповещения –

  • Протокол TLS поддерживает все сообщения, используемые протоколом Alert SSL, за исключением того, что сообщение с предупреждением о сертификате не делается избыточным. Клиент отправляет пустой сертификат, если аутентификация клиента не требуется.

  • Многие дополнительные предупреждающие сообщения включены в протокол TLS для других состояний ошибки, таких как record_overflow, decode_error и т. Д.

• Поддерживаемые наборы шифров – SSL поддерживает наборы шифров RSA, Diffie-Hellman и Fortezza. Протокол TLS поддерживает все масти, кроме Fortezza.

• Типы сертификатов клиента – TLS определяет типы сертификатов, запрашиваемые в сообщении certificate_request . SSLv3 поддерживает все это. Кроме того, SSL поддерживает некоторые другие типы сертификатов, такие как Fortezza.

• CertificateVerify и готовые сообщения –

  • В SSL для сообщения certificate_verify используется сложная процедура сообщения. При использовании TLS проверенная информация содержится в самих сообщениях рукопожатия, что позволяет избежать этой сложной процедуры.

  • Готовое сообщение вычисляется по-разному в TLS и SSLv3.

• Заполнение данных. В протоколе SSL заполнение, добавляемое к пользовательским данным перед шифрованием, является минимальным объемом, необходимым для того, чтобы общий размер данных был кратен длине блока шифра. В TLS заполнение может быть любым, что приводит к размеру данных, кратному длине блока шифра, максимум 255 байтов.

Версия протокола . Заголовок сегмента протокола TLS содержит номер версии 3.1, чтобы различать номер 3, переносимый заголовком сегмента протокола SSL.

Аутентификация сообщения – TLS использует код аутентификации сообщения с хэш-ключом (H-MAC). Преимущество заключается в том, что H-MAC работает с любой хэш-функцией, а не только с MD5 или SHA, как это явно указано в протоколе SSL.

Генерация ключа сеанса. Существует два различия между протоколом TLS и SSL для генерации материала ключа.

Методика вычисления предварительных мастер и мастер секретов аналогична. Но в протоколе TLS для вычисления главного секрета используются выходные данные стандарта HMAC и псевдослучайной функции (PRF) вместо специального MAC.

Алгоритм вычисления ключей сеанса и значений инициализации (IV) в TLS отличается от протокола SSL.

Сообщение протокола оповещения –

Протокол TLS поддерживает все сообщения, используемые протоколом Alert SSL, за исключением того, что сообщение с предупреждением о сертификате не делается избыточным. Клиент отправляет пустой сертификат, если аутентификация клиента не требуется.

Многие дополнительные предупреждающие сообщения включены в протокол TLS для других состояний ошибки, таких как record_overflow, decode_error и т. Д.

Поддерживаемые наборы шифров – SSL поддерживает наборы шифров RSA, Diffie-Hellman и Fortezza. Протокол TLS поддерживает все масти, кроме Fortezza.

Типы сертификатов клиента – TLS определяет типы сертификатов, запрашиваемые в сообщении certificate_request . SSLv3 поддерживает все это. Кроме того, SSL поддерживает некоторые другие типы сертификатов, такие как Fortezza.

CertificateVerify и готовые сообщения –

В SSL для сообщения certificate_verify используется сложная процедура сообщения. При использовании TLS проверенная информация содержится в самих сообщениях рукопожатия, что позволяет избежать этой сложной процедуры.

Готовое сообщение вычисляется по-разному в TLS и SSLv3.

Заполнение данных. В протоколе SSL заполнение, добавляемое к пользовательским данным перед шифрованием, является минимальным объемом, необходимым для того, чтобы общий размер данных был кратен длине блока шифра. В TLS заполнение может быть любым, что приводит к размеру данных, кратному длине блока шифра, максимум 255 байтов.

Вышеуказанные различия между протоколами TLS и SSLv3 приведены в следующей таблице.

Безопасный просмотр – HTTPS

В этом разделе мы обсудим использование протокола SSL / TLS для безопасного просмотра веб-страниц.

HTTPS определен

Протокол HTTP (Hyper Text Transfer Protocol) используется для просмотра веб-страниц. Функция HTTPS похожа на HTTP. Разница лишь в том, что HTTPS обеспечивает «безопасный» просмотр веб-страниц. HTTPS означает HTTP через SSL. Этот протокол используется для обеспечения зашифрованного и аутентифицированного соединения между клиентским веб-браузером и сервером веб-сайта.

Безопасный просмотр через HTTPS обеспечивает шифрование следующего содержимого:

• URL запрошенной веб-страницы.
• Содержимое веб-страницы, предоставляемое сервером клиенту пользователя.
• Содержание форм, заполненных пользователем.
• Печенье установлено в обоих направлениях.

Работа HTTPS

Протокол приложения HTTPS обычно использует один из двух популярных протоколов безопасности транспортного уровня – SSL или TLS. Процесс безопасного просмотра описан в следующих пунктах.

• Вы запрашиваете HTTPS-соединение с веб-страницей, вводя https: //, а затем URL-адрес в адресной строке браузера.

• Веб-браузер инициирует соединение с веб-сервером. Использование https вызывает использование протокола SSL.

• Приложение, в данном случае браузер, использует системный порт 443 вместо порта 80 (используется в случае http).

• Протокол SSL проходит через протокол квитирования для установления безопасного сеанса, как обсуждалось в предыдущих разделах.

• Первоначально веб-сайт отправляет свой цифровой сертификат SSL в ваш браузер. При проверке сертификата SSL-рукопожатие переходит к обмену общими секретами для сеанса.

• Когда сервер использует доверенный цифровой сертификат SSL, пользователи могут видеть значок замка в адресной строке браузера. Когда расширенный сертификат проверки установлен на веб-сайте, адресная строка становится зеленой.

Вы запрашиваете HTTPS-соединение с веб-страницей, вводя https: //, а затем URL-адрес в адресной строке браузера.

Веб-браузер инициирует соединение с веб-сервером. Использование https вызывает использование протокола SSL.

Приложение, в данном случае браузер, использует системный порт 443 вместо порта 80 (используется в случае http).

Протокол SSL проходит через протокол квитирования для установления безопасного сеанса, как обсуждалось в предыдущих разделах.

Первоначально веб-сайт отправляет свой цифровой сертификат SSL в ваш браузер. При проверке сертификата SSL-рукопожатие переходит к обмену общими секретами для сеанса.

Когда сервер использует доверенный цифровой сертификат SSL, пользователи могут видеть значок замка в адресной строке браузера. Когда расширенный сертификат проверки установлен на веб-сайте, адресная строка становится зеленой.

• После установления этот сеанс состоит из множества защищенных соединений между веб-сервером и браузером.

После установления этот сеанс состоит из множества защищенных соединений между веб-сервером и браузером.

Использование HTTPS

• Использование HTTPS обеспечивает конфиденциальность, аутентификацию сервера и целостность сообщений для пользователя. Это обеспечивает безопасное ведение электронной коммерции в Интернете.

• Предотвращает подслушивание данных и запрещает кражу личных данных, которые являются обычными атаками на HTTP.

Использование HTTPS обеспечивает конфиденциальность, аутентификацию сервера и целостность сообщений для пользователя. Это обеспечивает безопасное ведение электронной коммерции в Интернете.

Предотвращает подслушивание данных и запрещает кражу личных данных, которые являются обычными атаками на HTTP.

Современные веб-браузеры и веб-серверы оснащены поддержкой HTTPS. Однако использование HTTPS через HTTP требует большей вычислительной мощности на стороне клиента и сервера для выполнения шифрования и установления SSL-квитирования.

Протокол защищенной оболочки (SSH)

Существенные особенности SSH следующие:

• SSH – это сетевой протокол, который работает поверх уровня TCP / IP. Он предназначен для замены TELNET, который предоставил небезопасные средства удаленного входа в систему.

• SSH обеспечивает безопасное соединение клиент / сервер и может использоваться для таких задач, как передача файлов и электронная почта.

• SSH2 – это распространенный протокол, который обеспечивает улучшенную безопасность сетевого взаимодействия по сравнению с более ранней версией SSH1.

SSH – это сетевой протокол, который работает поверх уровня TCP / IP. Он предназначен для замены TELNET, который предоставил небезопасные средства удаленного входа в систему.

SSH обеспечивает безопасное соединение клиент / сервер и может использоваться для таких задач, как передача файлов и электронная почта.

SSH2 – это распространенный протокол, который обеспечивает улучшенную безопасность сетевого взаимодействия по сравнению с более ранней версией SSH1.

Определен SSH

SSH организован как три подпротокола.

• Протокол транспортного уровня – эта часть протокола SSH обеспечивает конфиденциальность данных, аутентификацию сервера (хоста) и целостность данных. При желании это может также обеспечить сжатие данных.

  • Аутентификация сервера – ключи хоста асимметричны, как открытые / закрытые ключи. Сервер использует открытый ключ для подтверждения своей личности клиенту. Клиент проверяет, что подключенный сервер является «известным» хостом из базы данных, которую он поддерживает. Как только сервер аутентифицирован, генерируются сеансовые ключи.

  • Установление ключа сеанса. После аутентификации сервер и клиент согласовывают использование шифра. Ключи сеанса генерируются как клиентом, так и сервером. Ключи сеанса генерируются до аутентификации пользователя, поэтому имена пользователей и пароли могут быть отправлены в зашифрованном виде. Эти ключи обычно заменяются через регулярные промежутки времени (скажем, каждый час) во время сеанса и уничтожаются сразу после использования.

  • Целостность данных – SSH использует алгоритмы кода аутентификации сообщений (MAC) для проверки целостности данных. Это улучшение по сравнению с 32-битным CRC, используемым SSH1.

• Протокол аутентификации пользователя – эта часть SSH аутентифицирует пользователя на сервере. Сервер проверяет, что доступ предоставляется только предполагаемым пользователям. В настоящее время используются многие методы аутентификации, такие как введенные пароли, Kerberos, аутентификация с открытым ключом и т. Д.

• Протокол соединения – обеспечивает несколько логических каналов через одно базовое соединение SSH.

Протокол транспортного уровня – эта часть протокола SSH обеспечивает конфиденциальность данных, аутентификацию сервера (хоста) и целостность данных. При желании это может также обеспечить сжатие данных.

Аутентификация сервера – ключи хоста асимметричны, как открытые / закрытые ключи. Сервер использует открытый ключ для подтверждения своей личности клиенту. Клиент проверяет, что подключенный сервер является «известным» хостом из базы данных, которую он поддерживает. Как только сервер аутентифицирован, генерируются сеансовые ключи.

Установление ключа сеанса. После аутентификации сервер и клиент согласовывают использование шифра. Ключи сеанса генерируются как клиентом, так и сервером. Ключи сеанса генерируются до аутентификации пользователя, поэтому имена пользователей и пароли могут быть отправлены в зашифрованном виде. Эти ключи обычно заменяются через регулярные промежутки времени (скажем, каждый час) во время сеанса и уничтожаются сразу после использования.

Целостность данных – SSH использует алгоритмы кода аутентификации сообщений (MAC) для проверки целостности данных. Это улучшение по сравнению с 32-битным CRC, используемым SSH1.

Протокол аутентификации пользователя – эта часть SSH аутентифицирует пользователя на сервере. Сервер проверяет, что доступ предоставляется только предполагаемым пользователям. В настоящее время используются многие методы аутентификации, такие как введенные пароли, Kerberos, аутентификация с открытым ключом и т. Д.

Протокол соединения – обеспечивает несколько логических каналов через одно базовое соединение SSH.

Услуги SSH

SSH предоставляет три основных сервиса, которые позволяют предоставлять множество безопасных решений. Эти услуги кратко описаны следующим образом:

• Secure Command-Shell (удаленный вход в систему) – позволяет пользователю редактировать файлы, просматривать содержимое каталогов и получать доступ к приложениям на подключенном устройстве. Системные администраторы могут удаленно запускать / просматривать / останавливать службы и процессы, создавать учетные записи пользователей, изменять разрешения для файлов / каталогов и так далее. Все задачи, выполнимые из командной строки компьютера, теперь можно безопасно выполнять с удаленного компьютера с помощью безопасного удаленного входа в систему.

• Безопасная передача файлов – протокол передачи файлов SSH (SFTP) разработан как расширение для SSH-2 для безопасной передачи файлов. По сути, это отдельный протокол, наложенный на протокол Secure Shell для обработки передачи файлов. SFTP шифрует как имя пользователя / пароль, так и данные файла, которые передаются. Он использует тот же порт, что и сервер Secure Shell, то есть системный порт № 22.

• Переадресация портов (туннелирование) – позволяет защищать данные из незащищенных приложений на основе TCP / IP. После настройки переадресации портов Secure Shell перенаправляет трафик из программы (обычно клиента) и отправляет его через зашифрованный туннель программе на другой стороне (обычно на сервере). Несколько приложений могут передавать данные по одному мультиплексированному безопасному каналу, устраняя необходимость открывать много портов на брандмауэре или маршрутизаторе.

Secure Command-Shell (удаленный вход в систему) – позволяет пользователю редактировать файлы, просматривать содержимое каталогов и получать доступ к приложениям на подключенном устройстве. Системные администраторы могут удаленно запускать / просматривать / останавливать службы и процессы, создавать учетные записи пользователей, изменять разрешения для файлов / каталогов и так далее. Все задачи, выполнимые из командной строки компьютера, теперь можно безопасно выполнять с удаленного компьютера с помощью безопасного удаленного входа в систему.

Безопасная передача файлов – протокол передачи файлов SSH (SFTP) разработан как расширение для SSH-2 для безопасной передачи файлов. По сути, это отдельный протокол, наложенный на протокол Secure Shell для обработки передачи файлов. SFTP шифрует как имя пользователя / пароль, так и данные файла, которые передаются. Он использует тот же порт, что и сервер Secure Shell, то есть системный порт № 22.

Переадресация портов (туннелирование) – позволяет защищать данные из незащищенных приложений на основе TCP / IP. После настройки переадресации портов Secure Shell перенаправляет трафик из программы (обычно клиента) и отправляет его через зашифрованный туннель программе на другой стороне (обычно на сервере). Несколько приложений могут передавать данные по одному мультиплексированному безопасному каналу, устраняя необходимость открывать много портов на брандмауэре или маршрутизаторе.

Преимущества и ограничения

Преимущества и ограничения использования безопасности связи на транспортном уровне следующие:

• Выгоды

  • Безопасность транспортного уровня прозрачна для приложений.

  • Сервер аутентифицирован.

  • Заголовки прикладного уровня скрыты.

  • Он более детализирован, чем механизмы безопасности на уровне 3 (IPsec), поскольку он работает на уровне транспортного соединения.

• Ограничения

  • Применимо только к приложениям на основе TCP (не UDP).

  • Заголовки TCP / IP в открытом виде.

  • Подходит для прямой связи между клиентом и сервером. Не обслуживает защищенные приложения, использующие цепочку серверов (например, электронную почту)

  • SSL не обеспечивает отказ от авторства, поскольку аутентификация клиента не является обязательной.

  • При необходимости, аутентификация клиента должна быть реализована выше SSL.

Выгоды

Безопасность транспортного уровня прозрачна для приложений.

Сервер аутентифицирован.

Заголовки прикладного уровня скрыты.

Он более детализирован, чем механизмы безопасности на уровне 3 (IPsec), поскольку он работает на уровне транспортного соединения.

Ограничения

Применимо только к приложениям на основе TCP (не UDP).

Заголовки TCP / IP в открытом виде.

Подходит для прямой связи между клиентом и сервером. Не обслуживает защищенные приложения, использующие цепочку серверов (например, электронную почту)

SSL не обеспечивает отказ от авторства, поскольку аутентификация клиента не является обязательной.

При необходимости, аутентификация клиента должна быть реализована выше SSL.

Резюме

За последнее десятилетие в Интернете появилось большое количество веб-приложений. Многие порталы электронного управления и электронной коммерции появились в сети. Эти приложения требуют, чтобы сеанс между сервером и клиентом был безопасным, обеспечивая конфиденциальность, аутентификацию и целостность сеансов.

Одним из способов смягчения потенциальной атаки во время сеанса пользователя является использование безопасного протокола связи. Два из таких протоколов связи, Secure Sockets Layer (SSL) и Transport Layer Security (TLS), обсуждаются в этой главе. Оба эти протокола функционируют на транспортном уровне.

Другой протокол транспортного уровня, Secure Shell (SSH), разработанный для замены TELNET, обеспечивает безопасные средства удаленного входа в систему. Он способен предоставлять различные сервисы, такие как Secure Command Shell и SFTP.

Использование безопасности транспортного уровня имеет много преимуществ. Однако протокол безопасности, разработанный на этих уровнях, может использоваться только с TCP. Они не обеспечивают безопасность связи, реализованной с использованием UDP.

Сетевая безопасность – сетевой уровень

Элементы управления сетевым уровнем часто используются для защиты связи, особенно в общих сетях, таких как Интернет, поскольку они могут обеспечить защиту для многих приложений одновременно, не изменяя их.

В предыдущих главах мы обсуждали, что для обеспечения безопасности сети были разработаны многие протоколы безопасности в режиме реального времени, обеспечивающие основные принципы безопасности, такие как конфиденциальность, аутентификация источника, целостность сообщения и отказ от авторства.

Большинство из этих протоколов оставались сфокусированными на более высоких уровнях стека протоколов OSI, чтобы компенсировать внутреннее отсутствие безопасности в стандартном интернет-протоколе. Несмотря на свою ценность, эти методы не могут быть легко обобщены для использования с любым приложением. Например, SSL разработан специально для защиты приложений, таких как HTTP или FTP. Но есть несколько других приложений, которые также нуждаются в безопасной связи.

Эта потребность привела к разработке решения безопасности на уровне IP, чтобы все протоколы более высокого уровня могли использовать его в своих интересах. В 1992 году Инженерная рабочая группа по Интернету (IETF) начала определять стандарт «IPsec».

В этой главе мы обсудим, как достигается безопасность на сетевом уровне с использованием этого очень популярного набора протоколов IPsec.

Безопасность на сетевом уровне

Любая схема, разработанная для обеспечения безопасности сети, должна быть реализована на некотором уровне стека протоколов, как показано на диаграмме ниже –

Слой	Протоколы связи	Протоколы безопасности
Уровень приложений	HTTP FTP SMTP	PGP. S / MIME, HTTPS
Транспортный уровень	TCP / UDP	SSL, TLS, SSH
Сетевой уровень	IP	IPsec

Популярной платформой, разработанной для обеспечения безопасности на сетевом уровне, является Internet Protocol Security (IPsec).

Особенности IPsec

• IPsec не предназначен для работы только с TCP в качестве транспортного протокола. Он работает с UDP, а также с любым другим протоколом выше IP, таким как ICMP, OSPF и т. Д.

• IPsec защищает весь пакет, представленный на уровне IP, включая заголовки более высокого уровня.

• Поскольку скрытые заголовки верхнего уровня, которые содержат номер порта, анализ трафика является более сложным.

• IPsec работает от одного сетевого объекта к другому сетевому объекту, а не от процесса приложения к процессу приложения. Следовательно, безопасность может быть принята, не требуя изменений для отдельных пользовательских компьютеров / приложений.

• Широко используемый для обеспечения безопасной связи между сетевыми объектами, IPsec также может обеспечивать безопасность хост-хост.

• Наиболее распространенное использование IPsec – предоставление виртуальной частной сети (VPN) либо между двумя местоположениями (шлюз-шлюз), либо между удаленным пользователем и сетью предприятия (хост-шлюз).

IPsec не предназначен для работы только с TCP в качестве транспортного протокола. Он работает с UDP, а также с любым другим протоколом выше IP, таким как ICMP, OSPF и т. Д.

IPsec защищает весь пакет, представленный на уровне IP, включая заголовки более высокого уровня.

Поскольку скрытые заголовки верхнего уровня, которые содержат номер порта, анализ трафика является более сложным.

IPsec работает от одного сетевого объекта к другому сетевому объекту, а не от процесса приложения к процессу приложения. Следовательно, безопасность может быть принята, не требуя изменений для отдельных пользовательских компьютеров / приложений.

Широко используемый для обеспечения безопасной связи между сетевыми объектами, IPsec также может обеспечивать безопасность хост-хост.

Наиболее распространенное использование IPsec – предоставление виртуальной частной сети (VPN) либо между двумя местоположениями (шлюз-шлюз), либо между удаленным пользователем и сетью предприятия (хост-шлюз).

Функции безопасности

Важными функциями безопасности, предоставляемыми IPsec, являются:

• конфиденциальность

  • Позволяет узлам связи шифровать сообщения.

  • Предотвращает подслушивание третьими лицами.

• Аутентификация источника и целостность данных.

  • Обеспечивает гарантию того, что принятый пакет был фактически передан стороной, идентифицированной как источник в заголовке пакета.

  • Подтверждает, что пакет не был изменен или иным образом.

• Ключевой менеджмент.

  • Позволяет безопасный обмен ключами.

  • Защита от определенных типов атак безопасности, таких как атаки воспроизведения.

конфиденциальность

Позволяет узлам связи шифровать сообщения.

Предотвращает подслушивание третьими лицами.

Аутентификация источника и целостность данных.

Обеспечивает гарантию того, что принятый пакет был фактически передан стороной, идентифицированной как источник в заголовке пакета.

Подтверждает, что пакет не был изменен или иным образом.

Ключевой менеджмент.

Позволяет безопасный обмен ключами.

Защита от определенных типов атак безопасности, таких как атаки воспроизведения.

Виртуальная частная сеть

В идеале любое учреждение хотело бы иметь собственную частную сеть связи для обеспечения безопасности. Однако создание и поддержка такой частной сети на территориально распределенной территории может быть очень дорогостоящим. Это потребует управления сложной инфраструктурой каналов связи, маршрутизаторов, DNS и т. Д.

IPsec предоставляет простой механизм для реализации Виртуальной частной сети (VPN) для таких учреждений. Технология VPN позволяет отправлять межучрежденческий трафик учреждения через общедоступный Интернет, шифруя трафик перед входом в общедоступный интернет и логически отделяя его от другого трафика. Упрощенная работа VPN показана на следующей диаграмме –

Обзор IPsec

IPsec – это структура / набор протоколов для обеспечения безопасности на уровне IP.

происхождения

В начале 1990-х Интернет использовался немногими учреждениями, в основном для академических целей. Но в последующие десятилетия рост Интернета стал экспоненциальным из-за расширения сети и нескольких организаций, использующих его для связи и других целей.

В связи с массовым ростом Интернета в сочетании с внутренними слабостями безопасности протокола TCP / IP возникла потребность в технологии, которая может обеспечить безопасность сети в Интернете. В 1994 году Советом по архитектуре Интернета (IAB) был выпущен доклад под названием «Безопасность в архитектуре Интернета». В нем были определены ключевые области для механизмов безопасности.

IAB включал аутентификацию и шифрование в качестве основных функций безопасности в IPv6, IP следующего поколения. К счастью, эти возможности безопасности были определены так, что они могут быть реализованы как с текущим IPv4, так и с футуристическим IPv6.

Структура безопасности, IPsec была определена в нескольких «Запросы на комментарии» (RFC). Некоторые RFC определяют некоторые части протокола, в то время как другие рассматривают решение в целом.

Операции внутри IPsec

Можно считать, что пакет IPsec имеет две отдельные операции, выполняемые в унисон, обеспечивая полный набор служб безопасности. Этими двумя операциями являются IPsec Communication и Internet Key Exchange.

• IPsec связь

  • Обычно это связано со стандартной функциональностью IPsec. Он включает в себя инкапсуляцию, шифрование и хеширование IP-дейтаграмм и обработку всех процессов пакетов.

  • Он отвечает за управление связью в соответствии с доступными Ассоциациями безопасности (SA), установленными между связывающимися сторонами.

  • Он использует протоколы безопасности, такие как заголовок аутентификации (AH) и инкапсулированный SP (ESP).

  • Связь IPsec не участвует в создании ключей или управлении ими.

  • Сама операция связи IPsec обычно называется IPsec.

• Обмен ключами в Интернете (IKE)

  • IKE – это протокол автоматического управления ключами, используемый для IPsec.

  • Технически, управление ключами не является существенным для связи IPsec, и ключи могут управляться вручную. Однако ручное управление ключами нежелательно для больших сетей.

  • IKE отвечает за создание ключей для IPsec и обеспечение аутентификации во время процесса установки ключей. Хотя IPsec можно использовать для любых других протоколов управления ключами, IKE используется по умолчанию.

  • IKE определяет два протокола (Oakley и SKEME), которые будут использоваться с уже определенной структурой управления ключами Internet Management Association Key Management Protocol (ISAKMP).

  • ISAKMP не является специфичным для IPsec, но обеспечивает основу для создания SA для любого протокола.

IPsec связь

Обычно это связано со стандартной функциональностью IPsec. Он включает в себя инкапсуляцию, шифрование и хеширование IP-дейтаграмм и обработку всех процессов пакетов.

Он отвечает за управление связью в соответствии с доступными Ассоциациями безопасности (SA), установленными между связывающимися сторонами.

Он использует протоколы безопасности, такие как заголовок аутентификации (AH) и инкапсулированный SP (ESP).

Связь IPsec не участвует в создании ключей или управлении ими.

Сама операция связи IPsec обычно называется IPsec.

Обмен ключами в Интернете (IKE)

IKE – это протокол автоматического управления ключами, используемый для IPsec.

Технически, управление ключами не является существенным для связи IPsec, и ключи могут управляться вручную. Однако ручное управление ключами нежелательно для больших сетей.

IKE отвечает за создание ключей для IPsec и обеспечение аутентификации во время процесса установки ключей. Хотя IPsec можно использовать для любых других протоколов управления ключами, IKE используется по умолчанию.

IKE определяет два протокола (Oakley и SKEME), которые будут использоваться с уже определенной структурой управления ключами Internet Management Association Key Management Protocol (ISAKMP).

ISAKMP не является специфичным для IPsec, но обеспечивает основу для создания SA для любого протокола.

В этой главе в основном обсуждается связь IPsec и связанный с ней протокол, используемый для достижения безопасности.

Режимы связи IPsec

IPsec Communication имеет два режима работы; транспортные и туннельные виды транспорта. Эти режимы могут использоваться в комбинации или индивидуально, в зависимости от желаемого типа связи.

Транспортный режим

• IPsec не инкапсулирует пакет, полученный от верхнего уровня.

• Исходный заголовок IP сохраняется, и данные пересылаются на основе исходных атрибутов, установленных протоколом верхнего уровня.

• Следующая диаграмма показывает поток данных в стеке протоколов.

IPsec не инкапсулирует пакет, полученный от верхнего уровня.

Исходный заголовок IP сохраняется, и данные пересылаются на основе исходных атрибутов, установленных протоколом верхнего уровня.

Следующая диаграмма показывает поток данных в стеке протоколов.

• Ограничением транспортного режима является то, что услуги шлюза не могут быть предоставлены. Он зарезервирован для связи «точка-точка», как показано на следующем рисунке.

Ограничением транспортного режима является то, что услуги шлюза не могут быть предоставлены. Он зарезервирован для связи «точка-точка», как показано на следующем рисунке.

Туннельный режим

• Этот режим IPsec предоставляет услуги инкапсуляции вместе с другими службами безопасности.

• При работе в туннельном режиме весь пакет из верхнего уровня инкапсулируется перед применением протокола безопасности. Добавлен новый IP-заголовок.

• Следующая диаграмма показывает поток данных в стеке протоколов.

Этот режим IPsec предоставляет услуги инкапсуляции вместе с другими службами безопасности.

При работе в туннельном режиме весь пакет из верхнего уровня инкапсулируется перед применением протокола безопасности. Добавлен новый IP-заголовок.

Следующая диаграмма показывает поток данных в стеке протоколов.

• Туннельный режим обычно связан с действиями шлюза. Инкапсуляция обеспечивает возможность отправки нескольких сеансов через один шлюз.

• Типичная связь в туннельном режиме показана на следующей диаграмме.

Туннельный режим обычно связан с действиями шлюза. Инкапсуляция обеспечивает возможность отправки нескольких сеансов через один шлюз.

Типичная связь в туннельном режиме показана на следующей диаграмме.

• Что касается конечных точек, они имеют прямое соединение транспортного уровня. Датаграмма из одной системы, отправляемая на шлюз, инкапсулируется, а затем направляется на удаленный шлюз. Удаленный связанный шлюз деинкапсулирует данные и перенаправляет их в конечную точку назначения во внутренней сети.

• Используя IPsec, можно установить режим туннелирования между шлюзом и отдельной оконечной системой.

Что касается конечных точек, они имеют прямое соединение транспортного уровня. Датаграмма из одной системы, отправляемая на шлюз, инкапсулируется, а затем направляется на удаленный шлюз. Удаленный связанный шлюз деинкапсулирует данные и перенаправляет их в конечную точку назначения во внутренней сети.

Используя IPsec, можно установить режим туннелирования между шлюзом и отдельной оконечной системой.

Протоколы IPsec

IPsec использует протоколы безопасности для предоставления желаемых услуг безопасности. Эти протоколы являются основой операций IPsec, а все остальное предназначено для поддержки этих протоколов в IPsec.

Ассоциации безопасности между связывающимися объектами устанавливаются и поддерживаются используемым протоколом безопасности.

IPsec определяет два протокола безопасности – заголовок аутентификации (AH) и инкапсулированная полезная нагрузка (ESP).

Заголовок аутентификации

Протокол AH обеспечивает услугу целостности данных и аутентификации источника. Опционально обслуживает устойчивость к воспроизведению сообщений. Тем не менее, это не обеспечивает никакой формы конфиденциальности.

AH – это протокол, который обеспечивает аутентификацию всего или части содержимого дейтаграммы путем добавления заголовка. Заголовок рассчитывается на основе значений в дейтаграмме. Какие части дейтаграммы используются для расчета и где разместить заголовок, зависит от режима взаимодействия (туннель или транспорт).

Работа протокола AH удивительно проста. Его можно считать похожим на алгоритмы, используемые для вычисления контрольных сумм или выполнения проверок CRC для обнаружения ошибок.

Концепция AH та же, за исключением того, что вместо простого алгоритма AH использует специальный алгоритм хеширования и секретный ключ, известный только взаимодействующим сторонам. Установлена ​​ассоциация безопасности между двумя устройствами, которая определяет эти особенности.

Процесс АГ проходит следующие фазы.

• Когда IP-пакет получен из верхнего стека протоколов, IPsec определяет ассоциацию безопасности (SA) из доступной информации в пакете; например, IP-адрес (источник и пункт назначения).

• Из SA, как только идентифицируется, что протокол безопасности является AH, вычисляются параметры заголовка AH. Заголовок AH состоит из следующих параметров:

Когда IP-пакет получен из верхнего стека протоколов, IPsec определяет ассоциацию безопасности (SA) из доступной информации в пакете; например, IP-адрес (источник и пункт назначения).

Из SA, как только идентифицируется, что протокол безопасности является AH, вычисляются параметры заголовка AH. Заголовок AH состоит из следующих параметров:

• Поле заголовка указывает протокол пакета, следующего за заголовком AH. Индекс параметра последовательности (SPI) получается из SA, существующего между связывающимися сторонами.

• Порядковый номер рассчитывается и вставляется. Эти числа предоставляют AH дополнительную возможность противостоять атаке воспроизведения.

• Данные аутентификации рассчитываются по-разному в зависимости от режима связи.

• В транспортном режиме вычисление аутентификационных данных и сборка окончательного IP-пакета для передачи изображены на следующей диаграмме. В исходном заголовке IP изменение вносится только в номер протокола от 51 до указанного применения AH.

Поле заголовка указывает протокол пакета, следующего за заголовком AH. Индекс параметра последовательности (SPI) получается из SA, существующего между связывающимися сторонами.

Порядковый номер рассчитывается и вставляется. Эти числа предоставляют AH дополнительную возможность противостоять атаке воспроизведения.

Данные аутентификации рассчитываются по-разному в зависимости от режима связи.

В транспортном режиме вычисление аутентификационных данных и сборка окончательного IP-пакета для передачи изображены на следующей диаграмме. В исходном заголовке IP изменение вносится только в номер протокола от 51 до указанного применения AH.

• В туннельном режиме описанный выше процесс происходит, как показано на следующей диаграмме.

В туннельном режиме описанный выше процесс происходит, как показано на следующей диаграмме.

Протокол безопасности инкапсуляции (ESP)

ESP предоставляет услуги безопасности, такие как конфиденциальность, целостность, аутентификация источника и дополнительное сопротивление воспроизведению. Набор предоставляемых услуг зависит от параметров, выбранных во время создания Ассоциации безопасности (SA).

В ESP алгоритмы, используемые для шифрования и генерации аутентификатора, определяются атрибутами, используемыми для создания SA.

Процесс ESP заключается в следующем. Первые два шага аналогичны процессу АГ, как указано выше.

• Как только определено, что ESP вовлечен, поля пакета ESP вычисляются. Расположение полей ESP изображено на следующей диаграмме.

Как только определено, что ESP вовлечен, поля пакета ESP вычисляются. Расположение полей ESP изображено на следующей диаграмме.

• Процесс шифрования и аутентификации в транспортном режиме изображен на следующей диаграмме.

Процесс шифрования и аутентификации в транспортном режиме изображен на следующей диаграмме.

• В случае туннельного режима процесс шифрования и аутентификации описан на следующей диаграмме.

В случае туннельного режима процесс шифрования и аутентификации описан на следующей диаграмме.

Хотя аутентификация и конфиденциальность являются основными услугами, предоставляемыми ESP, оба являются необязательными. Технически, мы можем использовать NULL-шифрование без аутентификации. Однако на практике один из двух должен быть реализован для эффективного использования ESP.

Основная концепция заключается в использовании ESP, когда требуется аутентификация и шифрование, и использовании AH, когда требуется расширенная аутентификация без шифрования.

Ассоциации безопасности в IPsec

Ассоциация безопасности (SA) является основой связи IPsec. Особенности SA –

• Перед отправкой данных между отправляющим объектом и принимающим объектом устанавливается виртуальное соединение, называемое «Ассоциация безопасности (SA)».

• IPsec предоставляет множество возможностей для выполнения сетевого шифрования и аутентификации. Каждое соединение IPsec может обеспечивать шифрование, целостность, аутентичность или все три службы. Когда служба безопасности определена, два равноправных объекта IPsec должны точно определить, какие алгоритмы использовать (например, DES или 3DES для шифрования; MD5 или SHA-1 для целостности). После выбора алгоритмов оба устройства должны совместно использовать сеансовые ключи.

• SA – это набор вышеупомянутых параметров связи, который обеспечивает взаимосвязь между двумя или более системами для построения сеанса IPsec.

• SA имеет простую природу и, следовательно, для двунаправленной связи требуются два SA.

• SA идентифицируются по номеру индекса параметра безопасности (SPI), который существует в заголовке протокола безопасности.

• Как отправляющий, так и принимающий объекты поддерживают информацию о состоянии SA. Это похоже на конечные точки TCP, которые также поддерживают информацию о состоянии. IPsec ориентирован на соединение, как TCP.

Перед отправкой данных между отправляющим объектом и принимающим объектом устанавливается виртуальное соединение, называемое «Ассоциация безопасности (SA)».

IPsec предоставляет множество возможностей для выполнения сетевого шифрования и аутентификации. Каждое соединение IPsec может обеспечивать шифрование, целостность, аутентичность или все три службы. Когда служба безопасности определена, два равноправных объекта IPsec должны точно определить, какие алгоритмы использовать (например, DES или 3DES для шифрования; MD5 или SHA-1 для целостности). После выбора алгоритмов оба устройства должны совместно использовать сеансовые ключи.

SA – это набор вышеупомянутых параметров связи, который обеспечивает взаимосвязь между двумя или более системами для построения сеанса IPsec.

SA имеет простую природу и, следовательно, для двунаправленной связи требуются два SA.

SA идентифицируются по номеру индекса параметра безопасности (SPI), который существует в заголовке протокола безопасности.

Как отправляющий, так и принимающий объекты поддерживают информацию о состоянии SA. Это похоже на конечные точки TCP, которые также поддерживают информацию о состоянии. IPsec ориентирован на соединение, как TCP.

Параметры SA

Любой SA однозначно идентифицируется следующими тремя параметрами:

• Индекс параметров безопасности (SPI).

  • Это 32-битное значение, назначенное SA. Он используется для различения различных SA, заканчивающихся в одном и том же пункте назначения и использующих один и тот же протокол IPsec.

  • Каждый пакет IPsec содержит заголовок, содержащий поле SPI. SPI предоставляется для сопоставления входящего пакета с SA.

  • SPI – это случайное число, генерируемое отправителем для идентификации SA для получателя.

• IP-адрес назначения – это может быть IP-адрес конечного маршрутизатора.

• Идентификатор протокола безопасности – указывает, является ли ассоциация AH или ESP SA.

Индекс параметров безопасности (SPI).

Это 32-битное значение, назначенное SA. Он используется для различения различных SA, заканчивающихся в одном и том же пункте назначения и использующих один и тот же протокол IPsec.

Каждый пакет IPsec содержит заголовок, содержащий поле SPI. SPI предоставляется для сопоставления входящего пакета с SA.

SPI – это случайное число, генерируемое отправителем для идентификации SA для получателя.

IP-адрес назначения – это может быть IP-адрес конечного маршрутизатора.

Идентификатор протокола безопасности – указывает, является ли ассоциация AH или ESP SA.

Пример SA между двумя маршрутизаторами, участвующими в обмене IPsec, показан на следующей диаграмме.

Безопасность административных баз данных

В IPsec есть две базы данных, которые контролируют обработку дейтаграммы IPsec. Одна – это база данных ассоциации безопасности (SAD), а другая – база данных политики безопасности (SPD). Каждая связывающая конечная точка, использующая IPsec, должна иметь логически раздельные SAD и SPD.

База данных Ассоциации безопасности

В связи IPsec конечная точка содержит состояние SA в базе данных ассоциации безопасности (SAD). Каждая запись SA в базе данных SAD содержит девять параметров, как показано в следующей таблице:

Sr.No.	Параметры и описание
1	Счетчик порядковых номеров Для исходящих сообщений. Это 32-битный порядковый номер, указанный в заголовках AH или ESP.
2	Счетчик переполнения порядкового номера Устанавливает флаг опции, чтобы предотвратить дальнейшую связь с использованием определенного SA
3	32-битное окно анти-воспроизведения Используется для определения того, является ли входящий пакет AH или ESP воспроизведением
4	Время жизни СА Время, пока SA остаются активными
5	Алгоритм – АХ Используется в AH и связанном ключе
6	Алгоритм – ESP Auth Используется в части аутентификации заголовка ESP
7	Алгоритм – Шифрование ESP Используется при шифровании ESP и информации о связанном ключе
8	Режим работы IPsec Транспортный или туннельный режим
9	Path MTU (PMTU) Любая наблюдаемая траектория максимальной единицы передачи (чтобы избежать фрагментации)

Счетчик порядковых номеров

Для исходящих сообщений. Это 32-битный порядковый номер, указанный в заголовках AH или ESP.

Счетчик переполнения порядкового номера

Устанавливает флаг опции, чтобы предотвратить дальнейшую связь с использованием определенного SA

32-битное окно анти-воспроизведения

Используется для определения того, является ли входящий пакет AH или ESP воспроизведением

Время жизни СА

Время, пока SA остаются активными

Алгоритм – АХ

Используется в AH и связанном ключе

Алгоритм – ESP Auth

Используется в части аутентификации заголовка ESP

Алгоритм – Шифрование ESP

Используется при шифровании ESP и информации о связанном ключе

Режим работы IPsec

Транспортный или туннельный режим

Path MTU (PMTU)

Любая наблюдаемая траектория максимальной единицы передачи (чтобы избежать фрагментации)

Все записи SA в SAD индексируются тремя параметрами SA: IP-адрес назначения, идентификатор протокола безопасности и SPI.

База данных политики безопасности

SPD используется для обработки исходящих пакетов. Это помогает решить, какие записи SAD следует использовать. Если запись SAD не существует, SPD используется для создания новых.

Любая запись SPD будет содержать –

• Указатель на активную SA проводится в SAD.

• Поля селектора – поле во входящем пакете с верхнего уровня, используемое для определения применения IPsec. Селекторы могут включать в себя адрес источника и получателя, номера портов, если необходимо, идентификаторы приложений, протоколы и т. Д.

Указатель на активную SA проводится в SAD.

Поля селектора – поле во входящем пакете с верхнего уровня, используемое для определения применения IPsec. Селекторы могут включать в себя адрес источника и получателя, номера портов, если необходимо, идентификаторы приложений, протоколы и т. Д.

Исходящие IP-дейтаграммы идут от записи SPD к конкретному SA, чтобы получить параметры кодирования. Входящая дейтаграмма IPsec попадает в правильный SA напрямую, используя тройку SPI / DEST IP / Protocol, и оттуда извлекает соответствующую запись SAD.

SPD также может указывать трафик, который должен обходить IPsec. SPD можно рассматривать как фильтр пакетов, в котором решаются действия, связанные с активацией процессов SA.

Резюме

IPsec – это набор протоколов для защиты сетевых подключений. Это довольно сложный механизм, потому что вместо простого определения конкретного алгоритма шифрования и функции аутентификации, он обеспечивает структуру, которая позволяет реализовать все, с чем согласны обе стороны.

Заголовок аутентификации (AH) и полезная нагрузка инкапсуляции безопасности (ESP) являются двумя основными протоколами связи, используемыми IPsec. В то время как AH только аутентифицируется, ESP может шифровать и аутентифицировать данные, передаваемые по соединению.

Транспортный режим обеспечивает безопасное соединение между двумя конечными точками без изменения заголовка IP. Туннельный режим инкапсулирует весь IP-пакет полезной нагрузки. Добавляет новый заголовок IP. Последний используется для формирования традиционной VPN, поскольку он обеспечивает виртуальный безопасный туннель через ненадежный Интернет.

Настройка соединения IPsec включает в себя все виды крипто-выбора. Аутентификация обычно строится поверх криптографического хэша, такого как MD5 или SHA-1. Алгоритмы шифрования – это DES, 3DES, Blowfish и AES. Возможны и другие алгоритмы.

Обе взаимодействующие конечные точки должны знать секретные значения, используемые при хешировании или шифровании. Ручные ключи требуют ручного ввода секретных значений на обоих концах, предположительно передаваемых каким-либо внеполосным механизмом, и IKE (Internet Key Exchange) является сложным механизмом для этого в режиме онлайн.

Сетевая безопасность – канальный уровень

Мы видели, что быстрый рост Интернета вызвал серьезную озабоченность по поводу сетевой безопасности. Для обеспечения безопасности на прикладном, транспортном или сетевом уровне сети было разработано несколько методов.

Многие организации внедряют меры безопасности на более высоких уровнях OSI, от уровня приложений до уровня IP. Однако одной областью, обычно оставляемой без присмотра, является укрепление уровня канала передачи данных. Это может открыть сеть для множества атак и компромиссов.

В этой главе мы обсудим проблемы безопасности на канальном уровне и методы их решения. Наше обсуждение будет сосредоточено на сети Ethernet.

Проблемы безопасности на канальном уровне

Канальный уровень в сетях Ethernet очень подвержен нескольким атакам. Наиболее распространенные атаки –

ARP спуфинг

Протокол разрешения адресов (ARP) – это протокол, используемый для сопоставления IP-адреса с физическим машинным адресом, распознаваемым в локальной сети Ethernet. Когда хост-машине необходимо найти физический адрес управления доступом к среде (MAC) для IP-адреса, он передает запрос ARP. Другой хост, которому принадлежит IP-адрес, отправляет ответное сообщение ARP со своим физическим адресом.

Каждый хост-компьютер в сети поддерживает таблицу, которая называется «ARP-кеш». Таблица содержит IP-адрес и связанные MAC-адреса другого хоста в сети.

Поскольку ARP является протоколом без сохранения состояния, каждый раз, когда хост получает ответ ARP от другого хоста, даже если он не отправил запрос ARP, он принимает эту запись ARP и обновляет свой кэш ARP. Процесс изменения ARP-кэша целевого хоста с помощью поддельной записи, известной как отравление ARP или подмена ARP.

Подмена ARP может позволить злоумышленнику выдать себя за легитимного хоста, а затем перехватить кадры данных в сети, изменить или остановить их. Часто атака используется для запуска других атак, таких как «человек посередине», перехват сеанса или отказ в обслуживании.

MAC Flooding

Каждый коммутатор в Ethernet имеет таблицу контентно-адресуемой памяти (CAM), в которой хранятся MAC-адреса, номера портов коммутатора и другая информация. Стол имеет фиксированный размер. При атаке с использованием MAC-адреса злоумышленник заполняет коммутатор MAC-адресами, используя поддельные пакеты ARP, до тех пор, пока таблица CAM не заполнится.

Как только CAM затоплен, коммутатор переходит в режим концентратора и начинает транслировать трафик, который не имеет записи CAM. Злоумышленник, находящийся в одной сети, теперь получает все кадры, предназначенные только для определенного хоста.

Порт Кража

Коммутаторы Ethernet имеют возможность изучать и привязывать MAC-адреса к портам. Когда коммутатор получает трафик от порта с MAC-адресом источника, он связывает номер порта и этот MAC-адрес.

Атака кражи портов использует эту способность коммутаторов. Атакующий заполняет коммутатор поддельными кадрами ARP с MAC-адресом целевого хоста в качестве адреса источника. Коммутатор обманут, полагая, что целевой хост находится на порту, к которому фактически подключен злоумышленник.

Теперь все фреймы данных, предназначенные для целевого хоста, отправляются на порт коммутатора атакующего, а не на целевой хост. Таким образом, злоумышленник теперь получает все кадры, которые фактически были предназначены только для целевого хоста.

Атаки DHCP

Протокол динамической конфигурации хоста (DHCP) не является протоколом связи данных, но решения для атак DHCP также полезны для предотвращения атак уровня 2.

DHCP используется для динамического выделения IP-адресов компьютерам в течение определенного периода времени. Можно атаковать DHCP-серверы, вызывая отказ в обслуживании в сети или выдавая себя за DHCP-сервер. При атаке голоданием DHCP злоумышленник запрашивает все доступные адреса DHCP. Это приводит к отказу в обслуживании законного хоста в сети.

При атаке с использованием спуфинга DHCP злоумышленник может развернуть мошеннический DHCP-сервер для предоставления адресов клиентам. Здесь злоумышленник может предоставить хост-компьютерам шлюз по умолчанию для ружья с ответами DHCP. Фреймы данных от хоста теперь направляются в шлюз шлюза, где злоумышленник может перехватить весь пакет и ответить на реальный шлюз или отбросить их.

Другие атаки

В дополнение к вышеупомянутым популярным атакам существуют и другие атаки, такие как широковещательная передача на уровне 2, отказ в обслуживании (DoS), клонирование MAC-адресов.

В случае широковещательной атаки злоумышленник отправляет поддельные ARP-ответы хостам в сети. Эти ответы ARP устанавливают MAC-адрес шлюза по умолчанию на широковещательный адрес. Это приводит к тому, что весь исходящий трафик получает широковещательную рассылку, что позволяет злоумышленнику прослушивать, сидя в том же Ethernet. Этот тип атаки также влияет на пропускную способность сети.

В DoS-атаках на уровне 2 злоумышленник обновляет кэши ARP узлов в сети с помощью несуществующих MAC-адресов. Предполагается, что MAC-адрес каждой сетевой интерфейсной карты в сети является глобально уникальным. Однако это можно легко изменить, включив клонирование MAC. Атакующий отключает целевой хост с помощью DoS-атаки, а затем использует IP-адреса и MAC-адреса целевого хоста.

Злоумышленник выполняет атаки для запуска атак более высокого уровня, чтобы поставить под угрозу безопасность информации, передаваемой по сети. Он может перехватить все кадры и сможет прочитать данные кадра. Злоумышленник может действовать как посредник и изменять данные или просто отбрасывать кадр, приводящий к DoS. Он может перехватить текущую сессию между целевым хостом и другими машинами и передать неверную информацию.

Защита локальных сетей Ethernet

Мы обсудили некоторые широко известные атаки на канальном уровне в предыдущем разделе. Несколько методов были разработаны, чтобы смягчить эти типы атак. Некоторые из важных методов –

Безопасность порта

Это функция безопасности уровня 2, доступная на интеллектуальных коммутаторах Ethernet. Он включает в себя привязку физического порта коммутатора к определенному MAC-адресу / адресам. Любой может получить доступ к незащищенной сети, просто подключив хост к одному из доступных портов коммутатора. Но безопасность порта может обеспечить доступ уровня 2.

По умолчанию защита порта ограничивает количество входящих MAC-адресов до одного. Однако можно разрешить нескольким авторизованным хостам подключаться к этому порту через конфигурацию. Разрешенные MAC-адреса для интерфейса могут быть статически настроены. Удобной альтернативой является включение «залипания» изучения MAC-адресов, при котором MAC-адреса будут динамически изучаться портом коммутатора до тех пор, пока не будет достигнут максимальный предел для порта.

Для обеспечения безопасности, реакция на изменение указанных MAC-адресов на порту или избыточные адреса на порту может контролироваться многими различными способами. Порт может быть настроен на отключение или блокировку MAC-адресов, которые превышают указанный предел. Рекомендуется отключить порт. Безопасность порта предотвращает атаки MAC-наводнений и клонирования.

DHCP Snooping

Мы видели, что спуфинг DHCP – это атака, при которой злоумышленник прослушивает DHCP-запросы от хоста в сети и отвечает на них ложным DHCP-ответом до того, как санкционированный DHCP-ответ приходит на хост.

Отслеживание DHCP может предотвратить такие атаки. DHCP snooping – это функция переключения. Коммутатор можно настроить, чтобы определить, какие порты коммутатора могут отвечать на запросы DHCP. Порты коммутатора определяются как доверенные или ненадежные порты.

Только порты, которые подключаются к авторизованному серверу DHCP, настроены как «доверенные» и могут отправлять все типы сообщений DHCP. Все остальные порты коммутатора ненадежны и могут отправлять только запросы DHCP. Если на ненадежном порту виден ответ DHCP, порт отключается.

Предотвращение подмены ARP

Метод защиты портов может предотвратить атаки MAC-наводнений и клонирования. Тем не менее, это не предотвращает подмену ARP. Защита порта проверяет адрес источника MAC в заголовке кадра, но кадры ARP содержат дополнительное поле источника MAC в полезной нагрузке данных, и хост использует это поле для заполнения своего кэша ARP. Некоторые методы предотвращения ARP-спуфинга перечислены ниже.

• Статический ARP. Одним из рекомендуемых действий является использование статических записей ARP в таблице ARP хоста. Статические записи ARP являются постоянными записями в кэше ARP. Однако этот метод нецелесообразен. Кроме того, он не позволяет использовать некоторый протокол динамической конфигурации хоста (DHCP), поскольку статический IP-адрес должен использоваться для всех хостов в сети уровня 2.

• Система обнаружения вторжений – метод защиты заключается в использовании системы обнаружения вторжений (IDS), настроенной на обнаружение большого количества трафика ARP. Тем не менее, IDS склонен сообщать о ложных срабатываниях.

• Динамическая проверка ARP. Этот метод предотвращения ARP-спуфинга аналогичен DHCP Snooping. Он использует доверенные и ненадежные порты. Ответы ARP допускаются в интерфейс коммутатора только на доверенных портах. Если ответ ARP приходит на коммутатор на ненадежном порту, содержимое пакета ответа ARP сравнивается с таблицей привязки DHCP для проверки его точности. Если ответ ARP недействителен, ответ ARP отбрасывается и порт отключается.

Статический ARP. Одним из рекомендуемых действий является использование статических записей ARP в таблице ARP хоста. Статические записи ARP являются постоянными записями в кэше ARP. Однако этот метод нецелесообразен. Кроме того, он не позволяет использовать некоторый протокол динамической конфигурации хоста (DHCP), поскольку статический IP-адрес должен использоваться для всех хостов в сети уровня 2.

Система обнаружения вторжений – метод защиты заключается в использовании системы обнаружения вторжений (IDS), настроенной на обнаружение большого количества трафика ARP. Тем не менее, IDS склонен сообщать о ложных срабатываниях.

Динамическая проверка ARP. Этот метод предотвращения ARP-спуфинга аналогичен DHCP Snooping. Он использует доверенные и ненадежные порты. Ответы ARP допускаются в интерфейс коммутатора только на доверенных портах. Если ответ ARP приходит на коммутатор на ненадежном порту, содержимое пакета ответа ARP сравнивается с таблицей привязки DHCP для проверки его точности. Если ответ ARP недействителен, ответ ARP отбрасывается и порт отключается.

Защита протокола связующего дерева

Протокол связующего дерева (STP) – это протокол управления каналом 2 уровня. Основная цель STP – обеспечить отсутствие петель потока данных, когда в сети есть избыточные пути. Как правило, избыточные пути создаются для обеспечения надежности сети. Но они могут образовывать смертельные петли, которые могут привести к DoS-атаке в сети.

Протокол связующего дерева

Чтобы обеспечить желаемую избыточность пути, а также чтобы избежать состояния петли, STP определяет дерево, которое охватывает все коммутаторы в сети. STP переводит определенные избыточные каналы передачи данных в заблокированное состояние и сохраняет другие ссылки в состоянии пересылки.

Если соединение в состоянии пересылки выходит из строя, STP перенастраивает сеть и переопределяет пути данных, активируя соответствующий резервный путь. STP работает на мостах и ​​коммутаторах, развернутых в сети. Все коммутаторы обмениваются информацией для выбора корневого коммутатора и для последующей настройки сети. Блоки данных протокола моста (BPDU) переносят эту информацию. Посредством обмена BPDU все коммутаторы в сети выбирают корневой мост / коммутатор, который становится центральным узлом в сети и контролирует заблокированные и переадресованные каналы.

Атаки на СТП

• Принимая Корневой мост. Это один из наиболее разрушительных типов атак на уровне 2. По умолчанию коммутатор локальной сети принимает любой BPDU, отправленный от соседнего коммутатора, по номинальной стоимости. Между прочим, STP является доверенным, не сохраняющим состояния и не предоставляет никакого механизма аутентификации звука.

• Находясь в режиме корневой атаки, атакующий коммутатор отправляет BPDU каждые 2 секунды с тем же приоритетом, что и у текущего корневого моста, но с немного меньшим численным MAC-адресом, что обеспечивает его победу в процессе выбора корневого моста. Коммутатор-злоумышленник может запустить DoS-атаку, если он не распознает должным образом другие коммутаторы, вызывающие переполнение BPDU, или подвергает коммутаторы чрезмерной обработке BPDUS, заявив, что он одновременно является суперпользователем, и быстро откатился назад.

• DoS с использованием Flood of Configuration BPDU. Атакующий коммутатор не пытается вступить во владение как root. Вместо этого он генерирует большое количество BPDU в секунду, что приводит к очень высокой загрузке ЦП на коммутаторах.

Принимая Корневой мост. Это один из наиболее разрушительных типов атак на уровне 2. По умолчанию коммутатор локальной сети принимает любой BPDU, отправленный от соседнего коммутатора, по номинальной стоимости. Между прочим, STP является доверенным, не сохраняющим состояния и не предоставляет никакого механизма аутентификации звука.

Находясь в режиме корневой атаки, атакующий коммутатор отправляет BPDU каждые 2 секунды с тем же приоритетом, что и у текущего корневого моста, но с немного меньшим численным MAC-адресом, что обеспечивает его победу в процессе выбора корневого моста. Коммутатор-злоумышленник может запустить DoS-атаку, если он не распознает должным образом другие коммутаторы, вызывающие переполнение BPDU, или подвергает коммутаторы чрезмерной обработке BPDUS, заявив, что он одновременно является суперпользователем, и быстро откатился назад.

DoS с использованием Flood of Configuration BPDU. Атакующий коммутатор не пытается вступить во владение как root. Вместо этого он генерирует большое количество BPDU в секунду, что приводит к очень высокой загрузке ЦП на коммутаторах.

Предотвращение атак на STP

К счастью, контрмеры для атаки с использованием корневого захвата просты и понятны. Две функции помогают победить атаку с захватом root.

• Root Guard – Root Guard ограничивает порты коммутатора, из которых может быть согласован корневой мост. Если порт «root-guard-enabled» получает BPDU, которые превосходят те, которые отправляет текущий корневой мост, то этот порт переводится в состояние, несовместимое с корнем, и трафик данных через этот порт не пересылается. Корневая защита лучше всего развернута в отношении портов, которые подключаются к коммутаторам, которые не должны вступать во владение в качестве корневого моста.

• BPDU-Guard – BPDU-Guard используется для защиты сети от проблем, которые могут быть вызваны приемом BPDU на портах доступа. Это порты, которые не должны их получать. Защита BPDU лучше всего развернута к портам, обращенным к пользователю, чтобы предотвратить вставку мошеннического коммутатора злоумышленником.

Root Guard – Root Guard ограничивает порты коммутатора, из которых может быть согласован корневой мост. Если порт «root-guard-enabled» получает BPDU, которые превосходят те, которые отправляет текущий корневой мост, то этот порт переводится в состояние, несовместимое с корнем, и трафик данных через этот порт не пересылается. Корневая защита лучше всего развернута в отношении портов, которые подключаются к коммутаторам, которые не должны вступать во владение в качестве корневого моста.

BPDU-Guard – BPDU-Guard используется для защиты сети от проблем, которые могут быть вызваны приемом BPDU на портах доступа. Это порты, которые не должны их получать. Защита BPDU лучше всего развернута к портам, обращенным к пользователю, чтобы предотвратить вставку мошеннического коммутатора злоумышленником.

Защита виртуальной локальной сети

В локальных сетях виртуальные локальные сети (VLAN) иногда настраиваются в качестве меры безопасности для ограничения числа хостов, восприимчивых к атакам уровня 2. VLAN создают сетевые границы, через которые широковещательный (ARP, DHCP) трафик не может пересекаться.

Виртуальная локальная сеть

Сеть, использующая коммутаторы, поддерживающие возможности VLAN, может быть настроена для определения нескольких VLAN в одной физической инфраструктуре LAN.

Распространенной формой VLAN является VLAN на основе порта. В этой структуре VLAN порты коммутатора сгруппированы в VLAN с помощью программного обеспечения для управления коммутатором. Таким образом, один физический коммутатор может действовать как несколько виртуальных коммутаторов.

Использование VLAN обеспечивает изоляцию трафика. Он разделяет большую сеть широковещательного уровня 2 на более мелкие сети логического уровня 2 и, таким образом, уменьшает объем атак, таких как спуфинг ARP / DHCP. Кадры данных одной VLAN могут перемещаться из / в порты, принадлежащие только одной VLAN. Пересылка кадров между двумя VLAN осуществляется через маршрутизацию.

Сети VLAN обычно охватывают несколько коммутаторов, как показано на схеме выше. Линия между магистральными портами переносит кадры всех VLAN, определенных для нескольких физических коммутаторов. Следовательно, кадры VLAN, пересылаемые между коммутаторами, не могут быть простыми кадрами формата IEEE 802.1 Ethernet. Поскольку эти кадры перемещаются по одному и тому же физическому каналу, им теперь необходимо передавать информацию VLAN ID. Протокол IEEE 802.1Q добавляет / удаляет дополнительные поля заголовка для простых кадров Ethernet, пересылаемых между магистральными портами.

Когда поле, следующее за двумя полями IP-адресов, равно 0x8100 (> 1500), кадр идентифицируется как кадр 802.1Q. Значение 2-байтового идентификатора протокола тэга (TPI) составляет 81-00. Поле TCI состоит из 3-битной информации о приоритете, 1-битного индикатора приемлемого сброса (DEI) и 12-битного VLAN ID. Это 3-битное поле приоритета и поле DEI не относятся к VLAN. Приоритетные биты используются для обеспечения качества обслуживания.

Когда кадр не принадлежит ни одной VLAN, существует идентификатор VLAN по умолчанию, с которым считается, что кадр связан с.

Атака на VLAN и профилактические меры

При атаке со скачкообразной перестройкой VLAN злоумышленник в одной VLAN может получить доступ к трафику в других VLAN, который обычно недоступен. Он будет обходить устройство 3-го уровня (маршрутизатор) при обмене данными из одной VLAN в другую, что отрицательно скажется на цели создания VLAN.

Перескок VLAN может быть выполнен двумя способами; переключить спуфинг и двойную метку.

Переключатель Спуфинг

Это может произойти, когда порт коммутатора, к которому подключен злоумышленник, находится либо в режиме транкинга, либо в режиме автосогласования. Атакующий действует как коммутатор и добавляет к своим исходящим фреймам заголовки инкапсуляции 802.1Q с тегами VLAN для целевых удаленных VLAN. Приемный коммутатор интерпретирует эти кадры как полученные от другого коммутатора 802.1Q и передает кадры в целевую VLAN.

Двумя превентивными мерами против атак спуфинга коммутатора являются перевод граничных портов в режим статического доступа и отключение автосогласования на всех портах.

Двойная метка

В этой атаке злоумышленник, подключенный к собственному порту VLAN коммутатора, добавляет в заголовок кадра два тега VLAN. Первый тег относится к собственной VLAN, а второй – к целевой VLAN. Когда первый коммутатор получает кадры атакующего, он удаляет первый тег, поскольку кадры собственной VLAN пересылаются без тега на магистральный порт.

• Поскольку второй тег никогда не удалялся первым коммутатором, получающий коммутатор идентифицирует оставшийся тег как пункт назначения VLAN и перенаправляет кадры целевому хосту в этой VLAN. Атака двойного тегирования использует концепцию собственной VLAN. Поскольку VLAN 1 является VLAN по умолчанию для портов доступа и собственной VLAN по умолчанию на соединительных линиях, это простая цель.

• Первой мерой предотвращения является удаление всех портов доступа из VLAN 1 по умолчанию, поскольку порт злоумышленника должен совпадать с портом собственной VLAN коммутатора. Вторая мера предотвращения состоит в том, чтобы назначить собственную VLAN на всех магистралях коммутатора некоторой неиспользуемой VLAN, скажем, идентификатору VLAN 999. И, наконец, все коммутаторы должны быть настроены для выполнения явного тегирования собственных кадров VLAN на магистральном порту.

Поскольку второй тег никогда не удалялся первым коммутатором, получающий коммутатор идентифицирует оставшийся тег как пункт назначения VLAN и перенаправляет кадры целевому хосту в этой VLAN. Атака двойного тегирования использует концепцию собственной VLAN. Поскольку VLAN 1 является VLAN по умолчанию для портов доступа и собственной VLAN по умолчанию на соединительных линиях, это простая цель.

Первой мерой предотвращения является удаление всех портов доступа из VLAN 1 по умолчанию, поскольку порт злоумышленника должен совпадать с портом собственной VLAN коммутатора. Вторая мера предотвращения состоит в том, чтобы назначить собственную VLAN на всех магистралях коммутатора некоторой неиспользуемой VLAN, скажем, идентификатору VLAN 999. И, наконец, все коммутаторы должны быть настроены для выполнения явного тегирования собственных кадров VLAN на магистральном порту.

Защита беспроводной локальной сети

Беспроводная локальная сеть – это сеть беспроводных узлов в ограниченной географической зоне, такой как офисное здание или школьный городок. Узлы способны к радиосвязи.

Беспроводная сеть

Беспроводная локальная сеть обычно реализуется как расширение существующей проводной локальной сети для обеспечения доступа к сети с мобильностью устройства. Наиболее широко применяемые технологии беспроводных локальных сетей основаны на стандарте IEEE 802.11 и его поправках.

Два основных компонента беспроводной локальной сети:

• Точки доступа (AP) – это базовые станции для беспроводной сети. Они передают и принимают радиочастоты для связи с беспроводными клиентами.

• Беспроводные клиенты. Это вычислительные устройства, оснащенные беспроводной сетевой картой (WNIC). Ноутбуки, IP-телефоны, КПК являются типичными примерами беспроводных клиентов.

Точки доступа (AP) – это базовые станции для беспроводной сети. Они передают и принимают радиочастоты для связи с беспроводными клиентами.

Беспроводные клиенты. Это вычислительные устройства, оснащенные беспроводной сетевой картой (WNIC). Ноутбуки, IP-телефоны, КПК являются типичными примерами беспроводных клиентов.

Многие организации внедрили беспроводные локальные сети. Эти сети растут феноменально. Таким образом, крайне важно понимать угрозы в беспроводных локальных сетях и изучать общие превентивные меры для обеспечения безопасности сети.

Атаки в беспроводной локальной сети

Типичные атаки, выполняемые в беспроводной локальной сети:

• Подслушивание – злоумышленник пассивно отслеживает данные в беспроводных сетях, включая учетные данные для проверки подлинности.

• Маскарадинг – злоумышленник выдает себя за авторизованного пользователя и получает доступ и привилегии в беспроводных сетях.

• Анализ трафика – злоумышленник отслеживает передачу по беспроводным сетям, чтобы определить шаблоны связи и участников.

• Отказ в обслуживании – злоумышленник предотвращает или ограничивает нормальное использование или управление беспроводной локальной сетью или сетевыми устройствами.

• Модификация / воспроизведение сообщения – злоумышленник изменяет или отвечает на законное сообщение, отправленное через беспроводные сети, удаляя, добавляя, изменяя или переупорядочивая его.

Подслушивание – злоумышленник пассивно отслеживает данные в беспроводных сетях, включая учетные данные для проверки подлинности.

Маскарадинг – злоумышленник выдает себя за авторизованного пользователя и получает доступ и привилегии в беспроводных сетях.

Анализ трафика – злоумышленник отслеживает передачу по беспроводным сетям, чтобы определить шаблоны связи и участников.

Отказ в обслуживании – злоумышленник предотвращает или ограничивает нормальное использование или управление беспроводной локальной сетью или сетевыми устройствами.

Модификация / воспроизведение сообщения – злоумышленник изменяет или отвечает на законное сообщение, отправленное через беспроводные сети, удаляя, добавляя, изменяя или переупорядочивая его.

Меры безопасности в беспроводной сети

Меры безопасности предоставляют средства для отражения атак и управления рисками для сетей. Это управление сетью, эксплуатация и технические меры. Ниже мы опишем технические меры, принятые для обеспечения конфиденциальности, доступности и целостности данных, передаваемых через беспроводные локальные сети.

В беспроводных локальных сетях все точки доступа должны быть настроены для обеспечения безопасности посредством шифрования и аутентификации клиента. Типы схем, используемых в беспроводной локальной сети для обеспечения безопасности, следующие:

Wired Equivalent Privacy (WEP)

Это алгоритм шифрования, встроенный в стандарт 802.11 для защиты беспроводных сетей. WEP-шифрование использует потоковый шифр RC4 (Rivest Cipher 4) с 40-битными / 104-битными ключами и 24-битным вектором инициализации. Он также может обеспечить аутентификацию конечной точки.

Это, однако, самый слабый механизм безопасности шифрования, поскольку в WEP-шифровании был обнаружен ряд недостатков. WEP также не имеет протокола аутентификации. Следовательно, использование WEP не рекомендуется.

Протокол 802.11i

В этом протоколе возможны многочисленные и более сильные формы шифрования. Он был разработан для замены слабой схемы WEP. Это обеспечивает механизм распределения ключей. Он поддерживает один ключ на станцию ​​и не использует один и тот же ключ для всех. Он использует сервер аутентификации отдельно от точки доступа.

IEEE802.11i предписывает использовать протокол с именем Counter mode с CBC-MAC Protocol (CCMP). CCMP обеспечивает конфиденциальность и целостность передаваемых данных, а также подлинность отправителя. Он основан на блочном шифре AES.

Протокол IEEE802.11i имеет четыре фазы работы.

• STA и AP взаимодействуют и обнаруживают возможности взаимной безопасности, такие как поддерживаемые алгоритмы.

• STA и AS взаимно аутентифицируются и совместно генерируют мастер-ключ (MK). AP действует как «проход».

• STA получает парный мастер-ключ (PMK). AS получает тот же PMK и отправляет AP.

• STA, AP используют PMK для получения временного ключа (TK), который должен использоваться для шифрования сообщений и целостности данных.

STA и AP взаимодействуют и обнаруживают возможности взаимной безопасности, такие как поддерживаемые алгоритмы.

STA и AS взаимно аутентифицируются и совместно генерируют мастер-ключ (MK). AP действует как «проход».

STA получает парный мастер-ключ (PMK). AS получает тот же PMK и отправляет AP.

STA, AP используют PMK для получения временного ключа (TK), который должен использоваться для шифрования сообщений и целостности данных.

Другие Стандарты

• Защищенный доступ Wi-Fi (WPA) – этот протокол реализует большинство стандартов IEEE 802.11i. Он существовал до IEEE 802.11i и использует алгоритм шифрования RC4. Имеет два режима работы. В режиме «Enterprise» WPA использует протокол аутентификации 802.1x для связи с сервером аутентификации, и, следовательно, предварительные мастер-ключи (PMK) являются специфическими для клиентской станции. В «Персональном» режиме он не использует 802.1x, PMK заменяется предварительным общим ключом, который используется для сред беспроводной локальной сети малого офиса (SOHO).

  WPA также включает проверку целостности звукового сообщения, заменяющую циклическую проверку избыточности (CRC), которая использовалась стандартом WEP.

• WPA2 – WPA2 заменил WPA. WPA2 реализует все обязательные элементы схемы IEEE 802.11i. В частности, он включает обязательную поддержку CCMP, режима шифрования на основе AES с высокой степенью безопасности. Таким образом, что касается атак, WPA2 / IEEE802.11i предоставляет адекватные решения для защиты от уязвимостей WEP, атак типа «человек посередине», подделки пакетов подделки и атак воспроизведения. Однако DoS-атака не рассматривается должным образом, и не существует надежных протоколов, позволяющих остановить такие атаки, потому что такие атаки нацелены на физический уровень, например, на вмешательство в полосу частот.

Защищенный доступ Wi-Fi (WPA) – этот протокол реализует большинство стандартов IEEE 802.11i. Он существовал до IEEE 802.11i и использует алгоритм шифрования RC4. Имеет два режима работы. В режиме «Enterprise» WPA использует протокол аутентификации 802.1x для связи с сервером аутентификации, и, следовательно, предварительные мастер-ключи (PMK) являются специфическими для клиентской станции. В «Персональном» режиме он не использует 802.1x, PMK заменяется предварительным общим ключом, который используется для сред беспроводной локальной сети малого офиса (SOHO).

WPA также включает проверку целостности звукового сообщения, заменяющую циклическую проверку избыточности (CRC), которая использовалась стандартом WEP.

WPA2 – WPA2 заменил WPA. WPA2 реализует все обязательные элементы схемы IEEE 802.11i. В частности, он включает обязательную поддержку CCMP, режима шифрования на основе AES с высокой степенью безопасности. Таким образом, что касается атак, WPA2 / IEEE802.11i предоставляет адекватные решения для защиты от уязвимостей WEP, атак типа «человек посередине», подделки пакетов подделки и атак воспроизведения. Однако DoS-атака не рассматривается должным образом, и не существует надежных протоколов, позволяющих остановить такие атаки, потому что такие атаки нацелены на физический уровень, например, на вмешательство в полосу частот.

Резюме

В этой главе мы рассмотрели методы атак и смягчения последствий, предполагающие использование коммутируемой сети Ethernet с IP. Если ваша сеть не использует Ethernet в качестве протокола уровня 2, некоторые из этих атак могут быть неприменимы, но есть вероятность, что такая сеть уязвима для различных типов атак.

Безопасность так же сильна, как и самое слабое звено. Когда дело доходит до сетей, уровень 2 может быть очень слабым звеном. Меры безопасности уровня 2, упомянутые в этой главе, имеют большое значение для защиты сети от многих типов атак.

Сетевая безопасность – контроль доступа

Управление доступом к сети – это метод повышения безопасности частной организационной сети путем ограничения доступности сетевых ресурсов для конечных устройств, которые соответствуют политике безопасности организации. Типичная схема управления доступом к сети состоит из двух основных компонентов, таких как ограниченный доступ и сетевая защита границ.

Ограниченный доступ к сетевым устройствам достигается посредством проверки подлинности пользователя и контроля авторизации, который отвечает за идентификацию и проверку подлинности разных пользователей в сетевой системе. Авторизация – это процесс предоставления или отказа в определенных разрешениях доступа к защищенному ресурсу.

Сетевая защита границ контролирует логическое подключение в и из сетей. Например, несколько брандмауэров могут быть развернуты для предотвращения несанкционированного доступа к сетевым системам. Также для обнаружения атак из Интернета можно использовать технологии обнаружения и предотвращения вторжений.

В этой главе мы обсудим методы идентификации и аутентификации пользователей для доступа к сети, за которыми следуют различные типы брандмауэров и систем обнаружения вторжений.

Защита доступа к сетевым устройствам

Ограничение доступа к устройствам в сети является очень важным шагом для обеспечения безопасности сети. Поскольку сетевые устройства включают в себя как коммуникационное, так и компьютерное оборудование, их компрометация может привести к выходу из строя всей сети и ее ресурсов.

Как это ни парадоксально, многие организации обеспечивают превосходную безопасность для своих серверов и приложений, но оставляют общающимся сетевым устройствам элементарную безопасность.

Важным аспектом безопасности сетевого устройства является контроль доступа и авторизация. Многие протоколы были разработаны для удовлетворения этих двух требований и повышения безопасности сети до более высоких уровней.

Аутентификация пользователя и авторизация

Аутентификация пользователя необходима для контроля доступа к сетевым системам, в частности к устройствам сетевой инфраструктуры. Аутентификация имеет два аспекта: общая аутентификация доступа и функциональная авторизация.

Аутентификация общего доступа – это метод управления тем, имеет ли конкретный пользователь «любой» тип доступа к системе, к которой он пытается подключиться. Обычно этот вид доступа связан с тем, что у пользователя есть «учетная запись» в этой системе. Авторизация имеет дело с «правами» отдельных пользователей. Например, он решает, что может сделать пользователь после аутентификации; пользователь может быть авторизован для настройки устройства или просмотра только данных.

Аутентификация пользователя зависит от факторов, которые включают что-то, что он знает (пароль), что-то, что он имеет (криптографический токен), или что-то, что он (биометрический). Использование более чем одного фактора для идентификации и аутентификации обеспечивает основу для многофакторной аутентификации.

Проверка подлинности на основе пароля

На минимальном уровне все сетевые устройства должны иметь аутентификацию по имени пользователя и паролю. Пароль должен быть нетривиальным (не менее 10 символов, смешанные алфавиты, цифры и символы).

В случае удаленного доступа пользователем должен использоваться метод, обеспечивающий, чтобы имена пользователей и пароли не передавались в открытом виде по сети. Кроме того, пароли также должны быть изменены с определенной частотой.

Методы централизованной аутентификации

Система аутентификации на основе отдельных устройств обеспечивает базовую меру контроля доступа. Однако централизованный метод аутентификации считается более эффективным и действенным, когда в сети имеется большое количество устройств с большим количеством пользователей, обращающихся к этим устройствам.

Традиционно централизованная аутентификация использовалась для решения проблем, возникающих при удаленном доступе к сети. В системах удаленного доступа (RAS) администрирование пользователей на сетевых устройствах нецелесообразно. Размещение всей пользовательской информации на всех устройствах и последующее ее обновление является административным кошмаром.

Централизованные системы аутентификации, такие как RADIUS и Kerberos, решают эту проблему. Эти централизованные методы позволяют хранить пользовательскую информацию и управлять ею в одном месте. Эти системы обычно могут быть легко интегрированы с другими схемами управления учетными записями пользователей, такими как Microsoft Active Directory или каталоги LDAP. Большинство серверов RADIUS могут связываться с другими сетевыми устройствами по обычному протоколу RADIUS, а затем безопасно получать доступ к информации учетной записи, хранящейся в каталогах.

Например, сервер Microsoft Internet Authentication Server (IAS) соединяет RADIUS и Active Directory для обеспечения централизованной аутентификации для пользователей устройств. Это также гарантирует, что информация учетной записи пользователя объединена с учетными записями домена Microsoft. На приведенной выше схеме показан контроллер домена Windows, работающий как сервер Active Directory и сервер RADIUS для сетевых элементов для аутентификации в домене Active Directory.

Списки контроля доступа

Многие сетевые устройства могут быть настроены со списками доступа. Эти списки определяют имена хостов или IP-адреса, которые авторизованы для доступа к устройству. Например, типичным является ограничение доступа к сетевому оборудованию с IP-адресов, за исключением администратора сети.

Это защитит от любого типа доступа, который может быть неавторизованным. Эти типы списков доступа служат важной последней защитой и могут быть довольно мощными на некоторых устройствах с разными правилами для разных протоколов доступа.

Сетевая безопасность – брандмауэры

Почти каждая средняя и крупная организация имеет свое присутствие в Интернете и к ней подключена организационная сеть. Разделение сети на границе между внешним Интернетом и внутренней сетью имеет важное значение для безопасности сети. Иногда внутреннюю сеть (интранет) называют стороной, которой доверяют, а внешним Интернетом – стороной, которой нельзя доверять.

Типы брандмауэра

Брандмауэр – это сетевое устройство, которое изолирует внутреннюю сеть организации от более крупной внешней сети / Интернета. Это может быть аппаратное, программное обеспечение или комбинированная система, которая предотвращает несанкционированный доступ во внутреннюю сеть или из нее.

Все пакеты данных, входящие или выходящие из внутренней сети, проходят через межсетевой экран, который проверяет каждый пакет и блокирует те, которые не соответствуют указанным критериям безопасности.

Развертывание брандмауэра на границе сети похоже на агрегацию безопасности в одной точке. Это аналогично запиранию квартиры на входе и не обязательно на каждой двери.

Брандмауэр считается важным элементом для обеспечения безопасности сети по следующим причинам:

• Внутренняя сеть и хосты вряд ли будут должным образом защищены.

• Интернет – это опасное место для преступников, пользователей конкурирующих компаний, недовольных бывших сотрудников, шпионов из недружественных стран, вандалов и т. Д.

• Чтобы злоумышленник не запустил атаки типа «отказ в обслуживании» на сетевой ресурс.

• Предотвратить незаконное изменение / доступ к внутренним данным со стороны злоумышленника.

Внутренняя сеть и хосты вряд ли будут должным образом защищены.

Интернет – это опасное место для преступников, пользователей конкурирующих компаний, недовольных бывших сотрудников, шпионов из недружественных стран, вандалов и т. Д.

Чтобы злоумышленник не запустил атаки типа «отказ в обслуживании» на сетевой ресурс.

Предотвратить незаконное изменение / доступ к внутренним данным со стороны злоумышленника.

Брандмауэр подразделяется на три основных типа –

• Пакетный фильтр (без сохранения состояния и с сохранением состояния)
• Шлюз уровня приложения
• Контур уровня шлюза

Эти три категории, однако, не являются взаимоисключающими. Современные межсетевые экраны обладают сочетанием способностей, которые могут поместить их в более чем одну из трех категорий.

Брандмауэр фильтрации без сохранения состояния и состояния

В этом типе развертывания брандмауэра внутренняя сеть подключается к внешней сети / Интернету через брандмауэр маршрутизатора. Брандмауэр проверяет и фильтрует данные пакет за пакетом.

Межсетевые экраны с фильтрацией пакетов разрешают или блокируют пакеты в основном на основе таких критериев, как IP-адреса источника и / или назначения, номера портов протокола, источника и / или назначения и различные другие параметры в заголовке IP.

Решение может быть основано на факторах, отличных от полей заголовка IP, таких как тип сообщения ICMP, биты SYN TCP и ACK и т. Д.

Правило фильтрации пакетов состоит из двух частей:

• Критерии выбора – это используется как условие и образец соответствия для принятия решения.

• Поле действия – эта часть определяет действие, которое необходимо предпринять, если IP-пакет соответствует критериям выбора. Действие может быть либо заблокировать (запретить), либо разрешить (разрешить) пакет через межсетевой экран.

Критерии выбора – это используется как условие и образец соответствия для принятия решения.

Поле действия – эта часть определяет действие, которое необходимо предпринять, если IP-пакет соответствует критериям выбора. Действие может быть либо заблокировать (запретить), либо разрешить (разрешить) пакет через межсетевой экран.

Фильтрация пакетов обычно выполняется путем настройки списков контроля доступа (ACL) на маршрутизаторах или коммутаторах. ACL – это таблица правил фильтрации пакетов.

Когда трафик входит или выходит из интерфейса, межсетевой экран применяет списки ACL сверху вниз для каждого входящего пакета, находит критерии соответствия и разрешает или запрещает отдельные пакеты.

Межсетевой экран без сохранения состояния – это своего рода жесткий инструмент. Он просматривает пакет и разрешает его, если он соответствует критериям, даже если он не является частью какого-либо установленного постоянного сеанса связи.

Следовательно, такие брандмауэры заменяются брандмауэрами с сохранением состояния в современных сетях. Этот тип брандмауэров предлагает более углубленный метод проверки по сравнению с единственными методами проверки пакетов, основанными на ACL, для брандмауэров без сохранения состояния.

Брандмауэр с отслеживанием состояния контролирует процесс установки и разрыва соединения для проверки соединений на уровне TCP / IP. Это позволяет им отслеживать состояние соединений и определять, какие узлы имеют открытые авторизованные соединения в любой данный момент времени.

Они ссылаются на базу правил только при запросе нового соединения. Пакеты, принадлежащие существующим соединениям, сравниваются с таблицей состояний открытых соединений брандмауэра, и принимается решение о разрешении или блокировке. Этот процесс экономит время и обеспечивает дополнительную безопасность. Ни один пакет не может проникнуть через межсетевой экран, если он не принадлежит уже установленному соединению. Он может тайм-аут неактивных соединений в брандмауэре, после чего он больше не допускает пакеты для этого соединения.

Шлюзы приложений

Шлюз уровня приложения действует как узел ретрансляции для трафика уровня приложения. Они перехватывают входящие и исходящие пакеты, запускают прокси-серверы, которые копируют и пересылают информацию через шлюз, и функционируют как прокси-сервер , предотвращая любое прямое соединение между доверенным сервером или клиентом и ненадежным хостом.

Прокси зависят от приложения. Они могут фильтровать пакеты на прикладном уровне модели OSI.

Специфичные для приложения Прокси

Прокси-сервер для конкретного приложения принимает пакеты, сгенерированные только указанным приложением, для которого они предназначены для копирования, пересылки и фильтрации. Например, только прокси-сервер Telnet может копировать, пересылать и фильтровать трафик Telnet.

Если сеть полагается только на шлюз уровня приложения, входящие и исходящие пакеты не могут получить доступ к службам, для которых не настроены прокси-серверы. Например, если шлюз использует прокси-серверы FTP и Telnet, через межсетевой экран могут проходить только пакеты, сгенерированные этими службами. Все остальные сервисы заблокированы.

Фильтрация на уровне приложений

Прокси-шлюз уровня приложения анализирует и фильтрует отдельные пакеты, а не просто копирует их и отправляет их вслепую через шлюз. Специфичные для приложения прокси-серверы проверяют каждый пакет, проходящий через шлюз, проверяя содержимое пакета на уровне приложений. Эти прокси могут фильтровать определенные виды команд или информации в протоколах приложения.

Шлюзы приложений могут ограничивать выполнение определенных действий. Например, шлюз можно настроить так, чтобы пользователи не могли выполнять команду «FTP put». Это может предотвратить изменение информации, хранящейся на сервере, злоумышленником.

прозрачный

Хотя шлюзы уровня приложений могут быть прозрачными, многие реализации требуют аутентификации пользователей, прежде чем пользователи смогут получить доступ к ненадежной сети, процесс, который снижает истинную прозрачность. Аутентификация может отличаться, если пользователь из внутренней сети или из Интернета. Для внутренней сети можно разрешить простой список IP-адресов для подключения к внешним приложениям. Но со стороны Интернета должна быть внедрена строгая аутентификация.

Шлюз приложения фактически передает сегменты TCP между двумя соединениями TCP в двух направлениях (Клиент ↔ Прокси ↔ Сервер).

Для исходящих пакетов шлюз может заменить исходный IP-адрес своим собственным IP-адресом. Процесс называется преобразованием сетевых адресов (NAT). Это гарантирует, что внутренние IP-адреса не будут открыты для Интернета.

Контур уровня шлюза

Шлюз на уровне канала является промежуточным решением между фильтром пакетов и шлюзом приложения. Он работает на транспортном уровне и, следовательно, может выступать в качестве прокси для любого приложения.

Подобно шлюзу приложений, шлюз на уровне канала также не разрешает сквозное соединение TCP через шлюз. Он устанавливает два TCP-соединения и ретранслирует TCP-сегменты из одной сети в другую. Но он не проверяет данные приложения, такие как шлюз приложения. Следовательно, иногда это называется «прокси трубы».

НОСКИ

SOCKS (RFC 1928) относится к шлюзу на уровне цепи. Это механизм сетевого прокси, который позволяет узлам на одной стороне сервера SOCKS получать полный доступ к узлам на другой стороне, не требуя прямой доступности IP. Клиент подключается к серверу SOCKS на брандмауэре. Затем клиент вводит согласование для используемого метода аутентификации и аутентифицируется с помощью выбранного метода.

Клиент отправляет запрос ретрансляции соединения на сервер SOCKS, содержащий требуемый IP-адрес назначения и транспортный порт. Сервер принимает запрос после проверки того, что клиент соответствует основным критериям фильтрации. Затем от имени клиента шлюз открывает соединение с запрошенным ненадежным хостом и затем внимательно следит за установлением соединения TCP, которое следует.

Сервер SOCKS информирует клиента и в случае успеха начинает передавать данные между двумя соединениями. Шлюзы канального уровня используются, когда организация доверяет внутренним пользователям и не хочет проверять содержимое или данные приложения, отправленные в Интернете.

Развертывание брандмауэра с помощью DMZ

Брандмауэр – это механизм, используемый для управления сетевым трафиком «внутрь» и «вне» внутренней сети организации. В большинстве случаев эти системы имеют два сетевых интерфейса: один для внешней сети, такой как Интернет, а другой для внутренней стороны.

Процесс межсетевого экрана может жестко контролировать то, что разрешено проходить с одной стороны на другую. Организация, которая желает предоставить внешний доступ к своему веб-серверу, может ограничить весь трафик, поступающий в брандмауэр, ожидать для порта 80 (стандартный порт http). Весь другой трафик, такой как почтовый трафик, FTP, SNMP и т. Д., Не разрешен через брандмауэр во внутреннюю сеть. Пример простого брандмауэра показан на следующей диаграмме.

В приведенном выше простом развертывании, хотя все другие внешние обращения заблокированы, злоумышленник может связаться не только с веб-сервером, но и с любым другим узлом внутренней сети, который оставил порт 80 открытым случайно или иным образом.

Следовательно, проблема, с которой сталкивается большинство организаций, заключается в том, как обеспечить законный доступ к общедоступным службам, таким как веб, FTP и электронная почта, при сохранении строгой безопасности внутренней сети. Типичный подход заключается в развертывании межсетевых экранов для обеспечения демилитаризованной зоны (DMZ) в сети.

В этой настройке (показанной на следующей диаграмме) развернуты два межсетевых экрана; один между внешней сетью и DMZ, а другой между DMZ и внутренней сетью. Все публичные серверы размещены в DMZ.

С этой настройкой можно иметь правила брандмауэра, которые разрешают публичный доступ к публичным серверам, но внутренний брандмауэр может ограничивать все входящие соединения. При наличии DMZ общедоступные серверы обеспечиваются адекватной защитой, а не размещаются непосредственно во внешней сети.

Система обнаружения / предотвращения вторжений

Межсетевые экраны с фильтрацией пакетов работают на основе правил, включающих только заголовки TCP / UDP / IP. Они не пытаются установить корреляционные проверки между различными сеансами.

Система обнаружения / предотвращения вторжений (IDS / IPS) проводит глубокую проверку пакетов (DPI), просматривая содержимое пакетов. Например, проверка символьных строк в пакете по базе данных известных вирусов, атакующих строк.

Шлюзы приложений проверяют содержимое пакета, но только для конкретных приложений. Они не ищут подозрительных данных в пакете. IDS / IPS ищет подозрительные данные, содержащиеся в пакетах, и пытается проверить корреляцию между несколькими пакетами для выявления любых атак, таких как сканирование портов, сопоставление сети, отказ в обслуживании и т. Д.

Разница между IDS и IPS

IDS и IPS схожи в обнаружении аномалий в сети. IDS – это инструмент «видимости», тогда как IPS считается инструментом «контроля».

Системы обнаружения вторжений располагаются в стороне от сети, отслеживая трафик во многих различных точках и обеспечивая видимость состояния безопасности сети. В случае сообщения IDS об аномалии корректирующие действия инициируются администратором сети или другим устройством в сети.

Система предотвращения вторжений подобна брандмауэру и находится в линии между двумя сетями и контролирует проходящий через них трафик. Он применяет указанную политику обнаружения аномалий в сетевом трафике. Обычно он отбрасывает все пакеты и блокирует весь сетевой трафик при обнаружении аномалии до тех пор, пока администратор не устранит аномалию.

Типы IDS

Существует два основных типа IDS.

• IDS на основе подписи

  • Нужна база данных известных атак с их подписями.

  • Подпись определяется типами и порядком пакетов, характеризующих конкретную атаку.

  • Ограничением этого типа IDS является то, что могут быть обнаружены только известные атаки. Эта IDS также может вызвать ложную тревогу. Ложная тревога может возникнуть, когда обычный поток пакетов совпадает с сигнатурой атаки.

  • Хорошо известным примером IDS с открытым исходным кодом является «Snort» IDS.

• IDS на основе аномалий

  • Этот тип IDS создает схему трафика нормальной работы сети.

  • В режиме IDS он смотрит на шаблоны трафика, которые являются статистически необычными. Например, необычная загрузка ICMP, экспоненциальный рост при сканировании портов и т. Д.

  • Обнаружение любой необычной схемы движения генерирует сигнал тревоги.

  • Основная проблема, с которой сталкиваются при развертывании IDS этого типа, заключается в трудности различения нормального и необычного трафика.

IDS на основе подписи

Нужна база данных известных атак с их подписями.

Подпись определяется типами и порядком пакетов, характеризующих конкретную атаку.

Ограничением этого типа IDS является то, что могут быть обнаружены только известные атаки. Эта IDS также может вызвать ложную тревогу. Ложная тревога может возникнуть, когда обычный поток пакетов совпадает с сигнатурой атаки.

Хорошо известным примером IDS с открытым исходным кодом является «Snort» IDS.

IDS на основе аномалий

Этот тип IDS создает схему трафика нормальной работы сети.

В режиме IDS он смотрит на шаблоны трафика, которые являются статистически необычными. Например, необычная загрузка ICMP, экспоненциальный рост при сканировании портов и т. Д.

Обнаружение любой необычной схемы движения генерирует сигнал тревоги.

Основная проблема, с которой сталкиваются при развертывании IDS этого типа, заключается в трудности различения нормального и необычного трафика.

Резюме

В этой главе мы обсудили различные механизмы, используемые для контроля доступа к сети. Подход к безопасности сети с помощью контроля доступа технически отличается от реализации мер безопасности на разных уровнях сети, которые обсуждались в предыдущих главах этого руководства. Однако, хотя подходы к реализации различны, они дополняют друг друга.

Управление доступом к сети состоит из двух основных компонентов: аутентификация пользователя и защита границ сети. RADIUS – это популярный механизм для обеспечения центральной аутентификации в сети.

Брандмауэр обеспечивает защиту границ сети, отделяя внутреннюю сеть от общедоступного Интернета. Брандмауэр может функционировать на разных уровнях сетевого протокола. IDS / IPS позволяет отслеживать аномалии в сетевом трафике, обнаруживать атаки и предпринимать превентивные действия против них.

Сетевая безопасность – критическая необходимость

Информация и эффективная коммуникация являются двумя наиболее важными стратегическими вопросами для успеха любого бизнеса. С появлением электронных средств связи и хранения все больше и больше предприятий перешли на использование сетей передачи данных для связи, хранения информации и получения ресурсов. Существуют различные типы и уровни сетевых инфраструктур, которые используются для ведения бизнеса.

Можно утверждать, что в современном мире ничто не оказывало большего влияния на бизнес, чем сетевые компьютеры. Но сетевое взаимодействие влечет за собой угрозы безопасности, которые, если их смягчить, позволяют перевесить преимущества сетевого взаимодействия.

Роль сети в бизнесе

В настоящее время компьютерные сети рассматриваются как ресурс практически всеми предприятиями. Этот ресурс позволяет им собирать, анализировать, систематизировать и распространять информацию, необходимую для их прибыльности. Большинство предприятий установили сети, чтобы оставаться конкурентоспособными.

Наиболее очевидная роль компьютерных сетей состоит в том, что организации могут хранить практически любую информацию в центральном месте и извлекать ее в нужном месте через сеть.

Преимущества сетей

Компьютерные сети позволяют людям легко обмениваться информацией и идеями, чтобы они могли работать более эффективно и продуктивно. Сети улучшают такие действия, как покупка, продажа и обслуживание клиентов. Сеть делает традиционные бизнес-процессы более эффективными, более управляемыми и менее дорогими.

Основные преимущества, которые бизнес извлекает из компьютерных сетей:

• Совместное использование ресурсов. Компания может сократить количество денег, затрачиваемых на оборудование, путем совместного использования компонентов и периферийных устройств, подключенных к сети.

• Оптимизированные бизнес-процессы. Компьютерные сети позволяют предприятиям оптимизировать свои внутренние бизнес-процессы.

• Сотрудничество между отделами – когда два или более отделов бизнеса соединяют выбранные части своих сетей, они могут оптимизировать бизнес-процессы, которые обычно занимают чрезмерное количество времени и усилий и часто создают трудности для достижения более высокой производительности.

• Улучшенные отношения с клиентами. Сети предоставляют клиентам множество преимуществ, таких как удобство ведения бизнеса, быстрое реагирование на услуги и т. Д.

Совместное использование ресурсов. Компания может сократить количество денег, затрачиваемых на оборудование, путем совместного использования компонентов и периферийных устройств, подключенных к сети.

Оптимизированные бизнес-процессы. Компьютерные сети позволяют предприятиям оптимизировать свои внутренние бизнес-процессы.

Сотрудничество между отделами – когда два или более отделов бизнеса соединяют выбранные части своих сетей, они могут оптимизировать бизнес-процессы, которые обычно занимают чрезмерное количество времени и усилий и часто создают трудности для достижения более высокой производительности.

Улучшенные отношения с клиентами. Сети предоставляют клиентам множество преимуществ, таких как удобство ведения бизнеса, быстрое реагирование на услуги и т. Д.

Есть много других специфических бизнес-преимуществ, которые можно получить от работы в сети. Такие преимущества сделали необходимым для всех типов предприятий использование компьютерных сетей.

Необходимость сетевой безопасности

Угрозы в проводных или беспроводных сетях значительно возросли в связи с развитием современных технологий с ростом емкости компьютерных сетей. Огромное использование Интернета в современном мире для различных бизнес-транзакций создает проблемы кражи информации и других атак на интеллектуальные активы бизнеса.

В нынешнюю эпоху большинство предприятий ведется через сетевые приложения, и, следовательно, все сети подвергаются риску атак. Наиболее распространенными угрозами безопасности для бизнес-сетей являются перехват и кража данных, а также кража личных данных.

Сетевая безопасность является специализированной областью, которая занимается предотвращением таких угроз и обеспечивает защиту удобства использования, надежности, целостности и безопасности компьютерной сетевой инфраструктуры бизнеса.

Защита активов бизнеса – это основная задача сетевой безопасности. Активы означают информацию, которая хранится в компьютерных сетях. Информация так же важна и ценна, как и любые другие материальные активы компании. Безопасность сети связана с целостностью, защитой и безопасным доступом к конфиденциальной информации.

Соответствие нормативным требованиям. Меры сетевой безопасности помогают предприятиям соблюдать государственные и отраслевые нормативы, касающиеся информационной безопасности.

Безопасная совместная работа – сетевая безопасность способствует совместной работе сотрудников и облегчает общение с клиентами и поставщиками, предлагая им безопасный доступ к сети. Это повышает уверенность клиентов и потребителей в том, что их конфиденциальная информация защищена.

Снижение риска – принятие мер по обеспечению безопасности сети снижает влияние нарушений безопасности, в том числе судебных исков, которые могут обанкротить малый бизнес.

Получение конкурентного преимущества – Разработка эффективной системы безопасности для сетей дает конкурентное преимущество организации. В сфере финансовых услуг в Интернете и электронной коммерции безопасность сети приобретает первостепенное значение.

В наши дни в обычной квартире содержится множество технологических чудес, большинство из которых находится в домашней сети и через маршрутизатор подключены в интернет. При этом интернет полон хакерами, шпионами, вредоносными приложениями и другими угрозами. Все они стараются заполучить доступ к вашим устройствам и сети. Вам это совершенно ни к чему.

По этой причине нужно прямо сейчас принять меры по обеспечению безопасности домашней сети.

В данной статье предлагается план по организации надёжной защиты домашней сети. Потребуется проделать кое-какую работу, но спустя несколько часов вы получите значительно более безопасную сеть. Этого должно хватить для защиты.

Обычно злоумышленники ищут незащищённые сети вместо того, чтобы тратить время на взлом защищённых.

Задача будет разделена на несколько частей. Обеспечение защиты сети требует нескольких изменений, одни из которых производятся на маршрутизаторе, другие на устройствах, а третьи у человека в голове. Все изменения можно разбить на следующие категории:

1. Работа с маршрутизатором.
2. Работа с устройствами подключёнными к сети.
3. Изменение подходов к использованию интернета и устройств.
4. Дополнительные аппаратные меры безопасности.

Работы предстоит проделать немало. Рекомендуется просмотреть представленный список по порядку и выполнить все описанные шаги, прежде чем браться за следующие. Таким образом вы будете работать систематично, в результате чего защита будет установлена быстрее и надёжнее.

Может потребоваться больше одного подхода. Не спешите сделать всё за один раз, чтобы не упустить ничего важного.

1. Работа с маршрутизатором

Маршрутизатор находится в центре домашней сети. К нему подключаются все устройства и через него они выходят в интернет. Чаще всего в домашней сети только один маршрутизатор, к которому осуществляют беспроводное подключение другие устройства.

Поскольку маршрутизатор находится в центре, на него нужно обратить внимание в первую очередь. Прочитайте документацию от него, чтобы понять, как зайти в панель управления маршрутизатором.

Войдя в панель управления, вы получаете возможность поменять множество настроек, усилив защиту домашней сети от атак из интернета.

Вносить изменения рекомендуется в следующем порядке.

Поменяйте пароль Wi-Fi и SSID

При покупке маршрутизатора в магазине он обычно поставляется с заранее заданным паролем от сети Wi-Fi и SSID (идентификатором набора услуг). Если злоумышленник знает, какая у вас модель маршрутизатора, всего за пару минут он сможет найти в интернете эти предустановленные значения.

Если у вас маршрутизатор от вашего провайдера, специалисты могли задать пароль и SSID, поменяв предустановленные значения. В таком случае эти данные записаны у провайдера и посторонние могут узнать их. Вы должны сами задать пароль Wi-Fi и SSID, чтобы их знали только вы.

Существуют руководства по созданию сложных паролей. Также можно посмотреть документацию от маршрутизатора. Или же можно найти эту документацию в интернете и выполнить описанные там указания, чтобы поменять пароль и SSID.

Можно задать любой пароль и SSID, но рекомендуется сделать SSID “скучным”, а пароль длинным.

Скучный SSID означает, что он не привлекает к себе внимания и не содержит персональной информации. Не следует давать SSID такое название, которое запомнится хакеру при сканировании всех сетей Wi-Fi поблизости от вас. Если же в названии SSID содержится личная информация, вроде имени или года рождения, это не только привлечёт внимание, но и может поспособствовать взлому.

Если пароль будет длинным, хакеру или соседу потребуется намного больше времени, чтобы угадать его. Необходимо как минимум 12 символов и чтобы это не было обычное слово или цитата.

Безопасность длинных паролей выше, но зато их трудно запомнить. Впрочем, запоминать их и необязательно.

Используйте менеджер паролей

Применять менеджер паролей намного лучше, чем пробовать запомнить множество длинных сложных паролей самостоятельно. Существует немало подобных менеджеров, от бесплатных до довольно дорогих.

Читайте наш обзор лучших менеджеров паролей.

Установите шифрование WPA2

Необходимо найти способ запретить посторонним подключаться к вашей сети. Маршрутизаторы Wi-Fi умеют шифровать передаваемые данные, но шифрование по умолчанию не всегда включено или применяется не самый надёжный алгоритм. Убедитесь, что в вашем маршрутизаторе установлен вариант шифрования WPA2 (Wireless Protected Access 2).

Есть разные версии WPA2. Избегайте аббревиатуры TKIP, выбирайте вариант с аббревиатурой AES.

Отключите WiFi Protected Setup (WPS)

WPS (WiFi Protected Setup) представляет собой систему для упрощения подключения нового устройства к сетям Wi-Fi. К сожалению, данный механизм уязвим для взлома. Программа Reaver-WPS использует недостатки этой технологии для взлома сильного шифрования WPA2, которое вы настроили на своём маршрутизаторе.

Единственным выходом является отключение WPS. Если этого не сделать, названное выше приложение может взломать защиту за несколько часов.

Отключите Universal Plug and Play (UPnP)

Universal Plug and Play (UPnP) представляет собой стандарт, дающий устройству возможность открывать порт в интернет для установки связи с устройствами за пределами вашей локальной сети. Считается, что если программа на вашем устройстве запрашивает подробное подключение, она делает это по серьёзной причине.

Естественно, в реальности это не всегда так. Если хакер установит на ваше устройство вредоносную программу, она сможет использовать UPnP для связи с внешним миром и выполнения различных неприятных для вас действий.

Если хакеры на ваших устройствах вам не нужны, отключите UPnP.

Отключите удалённое управление

Удалённое управление даёт доступ к административному интерфейсу маршрутизатора с тех устройств, которые напрямую не подключены к вашей сети. Вот только если вы можете из интернета получить доступ к интерфейсу маршрутизатора, то смогут и хакеры из любой точки земного шара.

Конечно, бывает удобно поменять настройки маршрутизатора, когда вы находитесь вдали от дома. Впрочем, ещё удобнее быть спокойным относительно того, что злоумышленники не проберутся в вашу сеть. Выключите опцию удалённого управления.

Измените пароль администратора маршрутизатора

Пока вы вносите изменения, можно заодно поменять пароль администратора для входа в интерфейс маршрутизатора. Вы уже изменили пароль на доступ к сети Wi-Fi, но это не то же самое, что пароль по умолчанию, который используется для входа в маршрутизатор и внесения описанных выше изменений в настройках.

Этот пароль не имеет большого значения, поскольку для его ввода у человека уже должен быть доступ в вашу сеть, а вы отключили удалённое управление. Однако, он меняется за пару секунд и у вас уже установлен менеджер паролей, поэтому сохранить его будет нетрудно.

Активируйте брандмауэр на маршрутизаторе

Брандмауэр представляет собой систему, которая контролирует передачу данных между вашими устройствами и интернетом. Среди прочего брандмауэр может заблокировать трафик от вредоносных сайтов. Также он может запретить вредоносным программам, которые пробрались в вашу сеть, отправлять собранные в ней данные. Это могут быть персональные сведения или данные кредитных карт. Вы точно не захотите, чтобы они попали к злоумышленникам.

На большинстве маршрутизаторов есть встроенный брандмауэр, но может потребоваться включить его. В настройках маршрутизатора найдите опцию со словами Firewall, SPI Firewall и тому подобными и убедитесь, что она включена.

Проверьте наличие обновлений прошивки

Как и обычным устройствам, маршрутизаторам периодически требуются обновления. Они содержат исправления ошибок, закрывают уязвимости и защищают от хакерских атак. По этой причине важно, чтобы на вашем маршрутизаторе всегда была установлена последняя из доступных версий прошивки.

Некоторые маршрутизаторы автоматически обновляют свою прошивку без вмешательства пользователя. Другие нужно обновлять вручную.

Обновить прошивку вручную можно оказаться непросто, но необходимо. Большинство обладателей маршрутизаторов не имеют опыта их обновления и хакеры пользуются этим для проникновения в домашнюю сеть. Найдите в интернете, как выполнять обновление прошивки вашего маршрутизатора, и сделайте это.

Заставляйте гостей пользоваться гостевой сетью

В современном подключенном к интернету мире люди привыкли постоянно оставаться на связи. Если к вам домой пришли гости, наверняка они захотят получить доступ к вашему Wi-Fi.

Проблема в том, что нельзя давать пароль от сети Wi-Fi всем без разбора. Стоит только дать пароль одному человеку, и вы не можете быть уверены в том, что его не узнают другие.

Также вы не можете быть уверенным, что люди не будут злоупотреблять доступом к вашей сети, когда окажутся поблизости. Или они могут поделиться этими данными со всем интернетом, если хакер получит доступ к их устройствам.

Если вы не хотите беспокоиться обо всём этом, у вас есть два варианта действий. Во-первых, просто не давать гостям доступ к вашему Wi-Fi, что вряд ли повысит вашу популярность среди людей. Другой вариант заключается в использовании гостевой сети.

Гостевая сеть даёт подключающимся доступ к интернету, но не к остальной части локальной сети. Таким образом, гости смогут выходить в интернет без того, чтобы подвергать вашу домашнюю сеть опасности. Настроить гостевую сеть очень легко. Если ваш маршрутизатор поддерживает такую возможность, воспользуйтесь ей.

2. Работа с устройствами

Когда вы закончили настраивать маршрутизатор, пора позаботиться о защите устройств. В зависимости от количества подключенных к маршрутизатору устройств это может занимать довольно продолжительное время.

Каждое выходящее в интернет устройство требует индивидуальных настроек. Поскольку у всех разные модели компьютеров, ноутбуков, смартфонов и планшетов, мы будем давать описание в общих чертах.

Проверьте наличие обновлений программного обеспечения и прошивки

Как и в случае с маршрутизатором, нужно обновлять все подключённые к нему устройства. Это компьютеры, планшеты, смартфоны. Проверяйте наличие на них новых версий операционной системы.

Для других устройств с административным интерфейсом проверяйте документацию, чтобы понять, можно ли устанавливать на них обновления.

Также хотелось бы верить, что производители всех устройств дали им возможность обновляться автоматически.

Установка последней версии программного обеспечения является главным способом защиты устройств от атак из интернета. В первую очередь это важно для мобильных устройств. Смартфоны постоянно находятся при вас и подключаются к разным сетям, тогда как компьютеры располагаются только у вас дома и используют только одно относительно безопасное подключение.

Если мобильное устройство станет жертвой какого-нибудь изощрённого вируса, он может проникнуть через защиту маршрутизатора прямо в домашнюю сеть. В идеальном случае вы будете применять этот и все следующие шаги ко всем подключённым к интернету устройствам, но в первую очередь необходимо заняться мобильными устройствами.

Поменяйте предустановленные логины и пароли на устройствах

На некоторых устройствах могут быть предустановленные логины и пароли. В таком случае их нужно поменять на собственные. Эти логины и пароли могут быть известны многим людям, что значительно снижает защиту устройств.

Поменяйте любые заранее заданные логины и пароли. Установите длинные сложные пароли и сохраняйте их в менеджере паролей, чтобы не потерять.

Меняйте созданные вами логины и пароли

Также нужно обратить внимание на устройства, где вы задали логины и пароли сами. Их тоже нужно периодически менять. Это повысит защиту сети, уменьшая вероятность того, что кто-то посторонний подберёт правильную комбинацию.

Установите антивирус

На устройствах с такой возможностью поставьте антивирусную программу. Они есть для компьютеров, смартфонов, планшетов, ноутбуков.

Активируйте брандмауэр

Если вы активировали брандмауэр в маршрутизаторе, не помешает использовать брандмауэр и на устройствах.

Включение брандмауэра на каждом устройстве обеспечивает дополнительную защиту. В первую очередь это важно для мобильных устройств, которые часто работают за пределами домашней защищённой сети. Во внешнем мире брандмауэр помогает защититься от вредоносных сайтов.

Вернувшись обратно в домашнюю сеть, брандмауэр защищает устройство от заражённых устройств внутри сети. Он уменьшает вероятность того, что при заражении одного сетевого устройства вирус распространится на другие.

Используйте на ваших устройствах гостевую сеть

Мы уже настроили гостевую сеть для доступа в интернет без угрозы для основной сети. Желательно подключать все смарт-устройства к этой гостевой сети.

У вас может быть немало подобных устройств и мало информации о том, насколько хорошо они защищены. Чтобы не рисковать, можно подключать их к гостевой сети и при наличии проблем основная сеть останется нетронутой.

Удалите ненужные предустановленные приложения

Большинство компьютеров, смартфонов и планшетов продаются с установленными приложениями, которые чаще всего не нужны. Они расходуют системные ресурсы, занимают место на диске, замедляют работу, могут нарушать конфиденциальность и ослаблять защиту.

Эти мусорные приложения могут содержать в себе антивирусы, программы для совершения покупок, панели инструменты поисковых движков, рекламу, шпионов, другие ненужные вещи.

Необходимо всё это как можно скорее удалить, даже если в работе устройств нет проблем. Сказать это может быть легче, чем сделать, поскольку многие такие программы сложно или вовсе невозможно удалить.

Выполняйте резервное копирование важных данных

Это нельзя назвать методом защиты сети. Скорее это подстраховка на тот случай, если в сеть всё же проникнут.

При любой возможности выполняйте резервное копирование всех устройств с важной информацией. Лучшим вариантом является резервное копирование в облако или же можно воспользоваться внешним диском или сетевым хранилищем.

Какие бы варианты резервного копирования не были вам доступны, их суть в том, чтобы восстановить информацию, если с сетью и устройствами возникнут проблемы.

3. Изменение подходов к использованию интернета и устройств

Описанные выше изменения в аппаратных и программных компонентах важны, но также важен подход к безопасности домашней сети.

Большинство людей настраивают сеть и не обращают на неё внимания, пока не начнутся проблемы. Это неправильный подход к обеспечению защиты домашних сетей. Ниже описано, что необходимо помнить.

Сеть требует регулярного обслуживания

Для обеспечения безопасности домашней сети необходимо периодически проводить базовое обслуживание.

В первую очередь нужно обновлять прошивку маршрутизатора. Поскольку маршрутизатор находится в центре сети, ему следует уделять основное внимание. Если маршрутизатор не поддерживает автоматическую установку прошивки, создайте расписание для проверки наличия обновлений вручную. Например, можно делать это ежемесячно.

Следующим шагом в обслуживании является проверка наличия обновлений на подключённых к сети устройствах. Необходимо обновить всё, что не обновляется автоматически. Проверять наличие обновлений на устройствах можно по тому же расписанию, что и на маршрутизаторе.

Избегайте сомнительных приложений и сайтов, а также устройств неизвестных производителей

Хотя вы уже сделали немало для повышения защиты сети, идеальная безопасность недостижима. Можно уменьшить вероятность проблем, если избегать ненужного риска.

Установка приложений с неизвестных вам сайтов может привести к проникновению шпионов и других опасных программ. Посещение сайтов для взрослых или магазинов в даркнете повышает риск атак на вашу домашнюю сеть.

Использование устройств неизвестных производителей в сети несёт двойную угрозу. Защита самих устройств может быть не слишком сильной, возможно наличие уязвимостей. Кроме того, на устройствах целенаправленно могут быть установлены вредоносные программы для кражи данных и открытия сети для атак.

Используйте устройства известных производителей и проверенные сайты и программное обеспечение. Это снизит риск проблем в сети.

4. Дополнительные аппаратные меры безопасности

Приведённые выше подсказки сделают вашу домашнюю сеть значительно более защищённой, чем у большинства других людей. Если и этого вам мало, можно предпринять ещё кое-что.

Отключайте Wi-Fi, когда не пользуетесь им

Если вы покидаете дом надолго, можно отключить Wi-Fi. В таком случае никто не сможет попытаться взломать его. Исключением являются случаи, когда дома остаются устройства с беспроводным подключением, вроде камер видеонаблюдения.

Уменьшите площадь покрытия Wi-Fi

Можно не отключать Wi-Fi полностью, но всё равно постараться сделать его менее доступным для злоумышленников. Сигнал Wi-Fi проходит через стены дома, но радиус действия у него небольшой. Чем этот радиус меньше, тем меньше расстояние, с которого посторонние могут обнаружить вашу сеть.

Что именно необходимо сделать для уменьшения площади покрытия Wi-Fi:

• Разместите маршрутизатор в центре дома. Сигналы испускаются во всех направлениях. Если поставить маршрутизатор около окна, половина сигнала будет идти на улицу. Если разместить его по центру квартиры, покрытие внутри будет наиболее качественным и снаружи будет минимум сигнала.
• Переключитесь на полосу частот 5 ГГц. Многие современные маршрутизаторы поддерживают полосы 2,4 ГГц и 5 ГГц. Последний вариант хуже проходит сквозь стены. Таким образом, за пределы дома будет выходить минимум сигнала. Кроме того, на этой полосе частот выше скорость передачи данных.
• Уменьшите мощность сигнала маршрутизатора. Если у вас небольшая квартира или мощный маршрутизатор, мощность можно уменьшить. В результате покрытие за пределами дома будет минимальным. Главное, чтобы ваши устройства могли подключаться к сети.

Отключите Wi-Fi целиком

Отключение сети Wi-Fi не позволит взломать её. Удобно вам это или нет, зависит от того, какие устройства подключены к сети и когда вам нужны эти устройства. Использование кабелей Ethernet и переходников подходит не всем, но защита с ними выше, чем при использовании Wi-Fi.

Даже если вы не можете обойтись совсем без Wi-Fi, можно физически разделить сеть на две. Одна часть будет беспроводной, а другая проводной.

В этой статье не будет описываться, как именно разделять сеть. Скажем лишь, что маршрутизатор можно использовать для разделения сети на две подсети. В одной подсети будет свой маршрутизатор Wi-Fi, в другой проводной маршрутизатор. Устройства с задачами вроде онлайн-банкинга можно подключать к проводной сети, а не такие важные к Wi-Fi.

Контролируйте доступ через MAC-адрес

У каждого устройства с выходом в интернете есть уникальный MAC-адрес. Маршрутизаторы обычно подключаются к любому устройству, которое знает его логин и пароль. Однако, маршрутизаторы можно настроить и так, чтобы они подключали только устройства с определёнными MAC-адресами.

Ради этой настройки нужно проделать некоторую работу и она не сделает сеть полностью защищённой. У хакеров имеются инструменты для трансляции поддельных MAC-адресов. И всё же, можно будет держать подальше от вашей сети слишком любопытных соседей и прочих ненужных людей.

Установите на маршрутизатор VPN

Использование VPN является отличным способом защиты устройства. Сервис VPN скрывает ваше местоположение и зашифровывает подключение, чтобы посторонние не могли видеть ваши действия в интернете. VPN служит защитой для отдельных устройств, но если использовать его для защиты целой сети, могут возникнуть некоторые проблемы. Ряд современных беспроводных устройств не умеют работать с VPN. Кроме того, большинство сервисов VPN поддерживают лишь несколько подключений одновременно. Среди них есть исключения вроде Surfshark.

Решением проблемы станет VPN-маршрутизатор. Если можно поставить приложение VPN на маршрутизатор, он будет защищать всю сеть целиком.

Поменяйте серверы DNS

Когда представители вашего провайдера устанавливают подключение, они могут настраивать маршрутизатор на использование собственной службы доменных имён (DNS). DNS преобразует состоящие из слов адреса веб-сайтов в IP-адрес из цифр.

Провайдеры хотят, чтобы вы работали с их сервисами DNS, чтобы записывать посещаемые вами адреса. Это помогает им в деле планирования и маркетинга. В США провайдеры могут продавать данные своих пользователей о посещении сайтов кому угодно.

Решить эту проблему можно двумя способами. В первую очередь сменить DNS и выбрать вариант с защитой конфиденциальности, вроде OpenDNS или CloudFlare.

Лучшим решением является использование VPN-маршрутизатора, о чём сказано в предыдущем пункте. Лучшие провайдеры VPN вроде ExpressVPN или NordVPN обеспечивают собственные серверы DNS с шифрованием. Это даёт защиту от слежки со стороны провайдера и любых других посторонних.

Заключение

В данной статье рассматривается базовый план защиты домашней сети. Работа разделена на части и в каждой из них описаны определённые шаги для усиления безопасности сети.

Хотя всегда есть к чему стремиться и усиление защиты сети может считаться непрерывным процессом, при выполнении описанного плана у вас может быть самая безопасная сеть в округе. Она не станет неуязвимой, но риск взлома значительно уменьшится. Если хакеры всё же решат напасть на неё, у вас будет возможность затруднить им задачу.

Как взять сетевую инфраструктуру под свой контроль. Глава третья. Сетевая безопасность. Часть первая

Эта статья является третьей в цикле статей «Как взять сетевую инфраструктуру под свой контроль». Содержание всех статей цикла и ссылки можно найти здесь.

Нет смысла говорить о полном устранении security рисков. Мы в принципе не можем снизить их до нуля. Также нужно понимать, что при стремлении сделать сеть более и более безопасной наши решения становятся все более и более дорогими. Необходимо найти разумный для вашей сети компромисс между ценой, сложностью и безопасностью.

Конечно, дизайн безопасности органично встроен в общую архитектуру и используемые security решения влияют на масштабируемость, надежность, управляемость, … сетевой инфраструктуры, что также должно учитываться.

Но, напомню, что сейчас мы не говорим о создании сети. В соответствии с нашими начальными условиями у нас уже выбран дизайн, выбрано оборудование, и создана инфраструктура, и на этом этапе мы, по возможности, должны «жить» и находить решения в контексте выбранного ранее подхода.

Наша задача сейчас – выявить риски, связанные с защищенностью на уровне сети и снизить их до разумной величины.

Аудит сетевой безопасности

Если в вашей организации внедрены процессы ISO 27k, то аудит безопасности и изменения сети должны быть органично вписаны в общие процессы в рамках этого подхода. Но эти стандарты все же не о конкретных решениях, не о конфигурации, не о дизайне… Нет однозначных советов, нет стандартов детально диктующих какой должна быть ваша сеть, в этом сложность и красота этой задачи.

Я бы выделил несколько возможных аудитов безопасности сети:

• аудит конфигурации оборудования (hardening)
• аудит security дизайна
• аудит доступов
• аудит процессов

Аудит конфигурации оборудования (hardening)

Кажется, что в большинстве случаев это лучшая стартовая точка для аудита и улучшения безопасности вашей сети. ИМХО, это хорошая демонстраций закона Парето (20 % усилий дают 80 % результата, а остальные 80 % усилий — лишь 20 % результата).

Суть в том, что обычно у нас есть рекомендации от вендоров относительно «best practices» по безопасности при конфигурировании оборудования. Это называется “hardening”.

Также часто можно встретить опросник (или составить самим), на основе этих рекомендаций, который поможет вам определить, насколько конфигурация вашего оборудования соответствует этим «best practices» и в соответствии с результатом произвести изменения в вашей сети. Это позволит вам довольно легко, фактически без затрат, существенно снизить security риски.

Несколько примеров для некоторых операционных систем Cisco.

Cisco IOS Configuration Hardening
Cisco IOS-XR Configuration Hardening
Cisco NX-OS Configuration Hardening
Cisco Baseline Security Check List

На основе этих документов может быть создан список требований к конфигурации для каждого типа оборудования. Например, для Cisco N7K VDC эти требования могут выглядеть так.

Таким образом, могут быть созданы конфигурационные файлы для разных типов активного оборудования вашей сетевой инфраструктуры. Далее, вручную или с применением автоматизации, вы можете «залить» эти конфигурационные файлы. Как автоматизировать этот процесс будет подробно рассмотрено в другой серии статей, посвященных оркестрации и автоматизации.

Аудит security дизайна

Обычно в сети предприятия (enterprise network) в том или ином виде присутствуют следующие сегменты:

• DC (Public services DMZ and Intranet data center)
• Internet access
• Remote access VPN
• WAN edge
• Branch
• Campus (Office)
• Core

Названия взяты из Cisco SAFE модели, но не обязательно, конечно, привязываться именно к этим названиям и к этой модели. Все-таки хочется говорить о сути и не увязать в формальностях.

Для каждого из этих сегментов требования к уровню безопасности, риски и, соответственно, решения будут отличаться.

Рассмотрим каждый из них по отдельности на предмет проблем, с которыми вы можете столкнуться с точки зрения security дизайна. Конечно, опять повторюсь, что ни в коей мере данная статья не претендует на полноту, достичь которую в этой действительно глубокой и многогранной теме непросто (если вообще возможно), но отражает мой личный опыт.

Не существует идеального решения (во всяком случае сейчас). Это всегда компромисс. Но важно, чтобы решение применить тот или иной подход было сделано осознанно, с пониманием как его плюсов, так и минусов.

Data Center

Наиболее критичный с точки зрения безопасности сегмент.
И, как обычно, здесь также нет универсального решения. Все сильно зависит от требований к сети.

Нужен или нет фаервол?

Казалось бы, ответ очевиден, но все не совсем так уж однозначно, как может показаться. И на ваш выбор может повлиять не только цена.

Пример 1. Задержки.

Если между какими-то сегментами сети низкая задержка является существенным требованием, что, например, справедливо в случае биржи, то между этими сегментами мы не сможем использовать фаерволы. Сложно найти исследования по задержкам в фаерволах, но лишь немногие модели коммутаторов могут предоставить задержки меньше или порядка 1 mksec, поэтому, думаю, что если для вас существенны микросекунды, то фаерволы — это не для вас.

Пример 2. Производительность.

Пропускная способность топовых L3 коммутаторов обычно на порядок выше чем пропускная способность самых производительных фаеролов. Поэтому в случае высокоинтенсивного трафика, вам также скорее всего придется пустить этот трафик в обход фаерволов.

Пример 3. Надежность.

Фаерволы, особенно современные NGFW (Next-Generation FW) – сложные устройства. Они значительно сложнее чем L3/L2 коммутаторы. Они предоставляют большое количество сервисов и возможностей конфигурирования, поэтому неудивительно, что их надежность значительно ниже. Если непрерывность сервиса является критичной для сети, то, возможно, вам придется выбирать, что приведет к лучшей availability — защищенность с помощью фаервола или простота сети, построенной на коммутаторах (или различного рода фабриках) с использованием обычных ACL.

В случае вышеперечисленных примеров вам скорее всего (как обычно) придется находить компромисс. Посмотрите в сторону следующих решений:

• если вы решили не использовать фаерволы внутри дата-центра, то вам нужно продумать как максимально ограничить доступы по периметру. Например, вы можете открыть только необходимые порты из Интернета (для клиентского трафика) и административные доступы в дата-центр только с джамп хостов. На джамп хостах производить всю необходимую проверку (аутентификацию/авторизацию, антивирус, логирование, …)
• вы можете использовать логическое разбиение сети дата-центра на сегменты, наподобие схемы, описанной в PSEFABRIC пример p002. При этом маршрутизация должна быть настроена таким образом, чтобы трафик, чувствительный к задержкам или высокоинтенсивный трафик ходил «внутри» одного сегмента (в случае p002, VRF-а) и не шел бы через фаервол. Трафик же между разными сегментами будет по-прежнему идти через фаервол. Также можно использовать route leaking между VRF-ами, чтобы избежать перенаправление трафика через фаервол
• также можно использовать фаервол в transparent mode и только для тех VLAN-ов где эти факторы (задержка/производительность) не существенны. Но нужно внимательно изучить ограничения, связанные с использованием этой моды, для каждого вендора
• вы можете подумать о применении service chain архитектуры. Это позволит направлять через фаервол только необходимый трафик. Теоретически выглядит красиво, но я никогда не видел этого решения в продакшене. Мы тестировали service chain для Cisco ACI/Juniper SRX/F5 LTM около 3-х лет назад, но на тот момент это решение показалось нам «сырым»

Уровень защиты

Теперь нужно ответить на вопрос, какие инструменты вы хотите применить для фильтрации трафика. Вот некоторые из возможностей, которые обычно присутствуют в NGFW (например, тут):

• stateful firewalling (по умолчанию)
• application firewalling
• threat prevention (antivirus, anti-spyware, and vulnerability)
• URL filtering
• data filtering (content filtering)
• file blocking (file types blocking)
• dos protection

И тоже не все однозначно. Казалось бы, чем выше уровень защиты, тем лучше. Но вам также нужно учесть, что

• чем больше вышеперечисленных функций фаервола вы используете, тем естественно это будет дороже (лицензии, дополнительные модули)
• использование некоторых алгоритмов может существенно снизить пропускную способность фаервола, а также увеличить задержки, см. например тут
• как и любое сложное решение, использование сложных методов защиты может снизить надежность вашего решения, например, при использовании application firewalling я сталкивался с блокировкой некоторых вполне стандартно работающих приложений (dns, smb)

Вам, как обычно, нужно найти оптимальное для вашей сети решение.

Невозможно однозначно ответить на вопрос какие функции защиты могут потребоваться. Во-первых, потому, что это конечно же зависит от тех данных, которые вы передаете или храните и пытаетесь защитить. Во-вторых, в действительности, часто выбор средств защиты — это вопрос веры и доверия вендору. Вы не знаете алгоритмы, не знаете насколько они эффективны и не можете полноценно протестировать их.

Поэтому в критических сегментах, хорошим решением может быть использование предложений от разных компаний. Например, вы можете включить антивирус на фаерволе, но также использовать антивирусную защиту (другого производителя) локально на хостах.

Сегментирование

Речь идет о логической сегментации сети дата-центра. Например, разбиение на VLAN-ы и подсети – это тоже логическая сегментация, но мы не будем ее рассматривать в силу ее очевидности. Интересна сегментация с учетом таких сущностей как FW security зоны, VRF (и их аналогов применительно к различным вендорам), логических устройств (PA VSYS, Cisco N7K VDC, Cisco ACI Tenant, …), …

Пример такой логической сегментации и востребованного на данный момент дизайна дата-центра приведена в p002 проекта PSEFABRIC.

Определив логические части вашей сети, далее вы можете описать, как движется трафик между разными сегментами, на каких устройствах будет производиться фильтрация и какими средствами.

Если в вашей сети отсутствует ясное логическое разбиение и не формализованы правила применения security политик для разных потоков данных (flow), то это значит, что при открытии того или иного доступа вы вынуждены решать эту задачу, и с большой вероятностью каждый раз вы будете решать ее по-разному.

Часто сегментация основана только на FW security зонах. Тогда вам нужно ответить на следующие вопросы:

• какие security зоны вам нужны
• какой уровень защиты вы хотите применить к каждой из этих зон
• будет ли разрешен по умолчанию intra-zone трафик
• если нет, то какие политики фильтрации трафика будут применяться внутри каждой из зон
• какие политики фильтрации трафика будут применяться для каждой пары зон (source/destination)

TCAM

Часто встречается проблема недостаточного TCAM (Ternary Content Addressable Memory), как для маршрутизации, так и для доступов. ИМХО, это один из самых важных вопросов при выборе оборудования, поэтому нужно отнестись к этому вопросу с надлежащей степенью аккуратности.

Пример 1. Forwarding Table TCAM.

Давайте рассмотрим Palo Alto 7k фаервол.
Видим, что IPv4 forwarding table size* = 32K
При этом это количество роутов общее для всех VSYS-ов.

Предположим, что в соответствии с вашим дизайном вы решили использовать 4 VSYS-а.
Каждый из этих VSYS-ов по BGP подключен к двум PE MPLS облака, которое вы используете в качестве BB. Таким образом, 4 VSYS-а обмениваются всеми специфическими роутами друг с другом и имеют forwarding table с приблизительно одинаковыми наборами маршрутов (но разными NH). Т.к. каждый VSYS имеет по 2 BGP сессии (с одинаковыми настройками), то каждый маршрут, полученный через MPLS имеет 2 NH и, соответственно, 2 FIB записи в Forwarding Table. Если предположить, что это единственный фаервол в дата-центре и он должен знать про все маршруты, то это будет значить, что общее количество маршрутов в нашем дата-центре не может быть более чем 32K/(4 * 2) = 4K.

Теперь, если предположить, что у нас 2 дата-центра (с одинаковым дизайном), и мы хотим использовать VLAN-ы, “растянутые» между дата-центрами (например, для vMotion), то, чтобы решить проблему маршрутизации, мы должны использовать хостовые роуты. Но это значит, что на 2 дата-центра у нас будет не больше чем 4096 возможных хостов и, конечно, этого может быть недостаточно.

Пример 2. ACL TCAM.

Если вы планируете фильтровать трафик на L3 коммутаторах (или других решениях, использующих L3 коммутаторы, например, Cisco ACI), то при выборе оборудования вы должны обратить внимание на ACL TCAM.

Предположим вы хотите контролировать доступы на SVI интрефейсах Cisco Catalyst 4500. Тогда, как видно из этой статьи, для контроля исходящего (так же как и входящего) трафика на интерфейсах вы можете использовать лишь 4096 строчек TCAM. Что при использовании TCAM3 даст вам около 4000 тысяч ACE (строк ACL).

В случае, если вы столкнулись с проблемой недостаточного TCAM, то, в первую очередь, конечно, нужно рассмотреть возможность оптимизации. Так, в случае проблемы с размером Forwarding Table, нужно рассмотреть возможность агрегирования маршрутов. В случае проблемы с размером TCAM для доступов — аудит доступов, удаление устаревших и пересекающихся записей, а также, возможно, пересмотр процедуры открытия доступов (будет подробно рассмотрено в главе, посвященной аудиту доступов).

High Availability

Вопрос в том, использовать ли HA для фаерволов или поставить «параллельно» две независимые коробки и в случае падения одной из них маршрутизировать трафик через вторую?

Казалось бы, ответ очевиден – использовать HA. Причина, почему этот вопрос все же возникает заключается в том, что, к сожалению, теоретические и рекламные 99 и несколько девяток после запятой процентов доступности на практике оказываются далеко не такими радужными. HA — логически достаточно сложная штука, и на разном оборудовании, и с разными вендорами (исключений не было) мы отлавливали проблемы и баги и остановку сервиса.

В случае использования HA вы получите возможность выключать отдельные ноды, переключаться между ними без остановки сервиса, что важно, например, при апгрейдах, но при этом имеете далеко не нулевую вероятностью того, что у вас сломаются обе ноды одновременно, а также то, что очередной апгрейд пройдет не так гладко, как обещает вендор (эту проблему можно избежать, если у вас есть возможность протестировать апгрейд на лабораторном оборудовании).

Если вы не используете HA, то с точки зрения двойной поломки ваши риски значительно ниже (т.к. вы имеете 2 независимых фаервола), но т.к. сессии не синхронизированы, то каждый раз, когда будет происходить переключение между этими фаерволами вы будет терять трафик. Можно, конечно, использовать stateless firewalling, но тогда смысл использования фаервола во-многом теряется.

Поэтому, если в результате аудита вы обнаружили одиноко стоящие фаерволы, и вы задумываетесь об увеличении надежности вашей сети, то HA, конечно, является одним из рекомендованных решений, но вы должны учесть и минусы, связанные с этим подходом и, возможно, именно для вашей сети более подходящим будет другое решение.

Удобство в управлении (managability)

В принципе HA — это в том числе и об управляемости. Вместо конфигурирования 2-х коробок по отдельности и решения проблемы синхронизации конфигураций, вы управляете ими во многом так, как будто у вас одно устройство.

Но, возможно, у вас много дата-центров и много фаерволов, тогда этот вопрос встает на новом уровне. И вопрос не только о конфигурировании, но также о

• бэкапе конфигураций
• апдейтах
• апгрейдах
• мониторинге
• логировании

И все это могут решить централизованные системы менеджмента.

Так, например, если вы используете Palo Alto фаерволы, то Panorama является таким решением.

Продолжение следует.

Безопасность компьютерных сетей обеспечивается за счет политики и практик, принятых для предотвращения и мониторинга несанкционированного доступа, неправильного использования, модификации или отключения сети и доступных для нее ресурсов. Она включает в себя авторизацию доступа к данным, которая контролируется сетевым администратором. Пользователи выбирают или назначают идентификатор и пароль или другую аутентификационную информацию, которая позволяет им получать доступ к данным и программам в пределах своих полномочий.

Сетевая безопасность охватывает множество компьютерных сетей, как государственных, так и частных, которые используются в повседневной работе, проводя транзакции и коммуникации между предприятиями, государственными учреждениями и частными лицами. Сети могут быть частными (например, внутри компании) и иными (которые могут быть открыты для доступа общественности).

Безопасность компьютерных сетей связана с организациями, предприятиями и другими типами учреждений. Это защищает сеть, а также выполняет защитные и надзорные операции. Наиболее распространенным и простым способом защиты сетевого ресурса является присвоение ему уникального имени и соответствующего пароля.

Управление безопасностью

Управление безопасностью для сетей может быть различным для разных ситуаций. Домашний или малый офис может требовать только базовой безопасности, в то время как крупным предприятиям может потребоваться обслуживание с высоким уровнем надежности и расширенное программное и аппаратное обеспечение для предотвращения взлома и рассылки нежелательных атак.

Типы атак и уязвимостей сети

Уязвимость является слабостью в дизайне, реализации, работе или внутреннем контроле. Большинство обнаруженных уязвимостей задокументированы в базе данных Common Vulnerabilitiesand Exposures (CVE).

Сети могут подвергаться атакам из различных источников. Они могут быть двух категорий: «Пассивные», когда сетевой нарушитель перехватывает данные, проходящие через сеть, и «Активные», при которых злоумышленник инициирует команды для нарушения нормальной работы сети или для проведения мониторинга с целью получить доступ к данным.

Чтобы защитить компьютерную систему, важно разобраться в типах атак, которые могут быть осуществлены против нее. Эти угрозы могут быть разделены на следующие категории.

«Задняя дверь»

Бэкдор в компьютерной системе, криптосистеме или алгоритме — это любой секретный метод обхода обычных средств проверки подлинности или безопасности. Они могут существовать по ряду причин, в том числе по причине оригинального дизайна или из-за плохой конфигурации. Они могут быть добавлены разработчиком с целью разрешить какой-либо законный доступ, или же злоумышленником по иным причинам. Независимо от мотивов их существования они создают уязвимость.

Атаки типа «отказ в обслуживании»

Атаки на отказ в обслуживании (DoS) предназначены для того, чтобы сделать компьютер или сетевой ресурс недоступным для его предполагаемых пользователей. Организаторы такой атаки могут закрыть доступ к сети отдельным жертвам, например, путем преднамеренного ввода неправильного пароля много раз подряд, чтобы вызвать блокировку учетной записи, или же перегружать возможности машины или сети и блокировать всех пользователей одновременно. В то время как сетевая атака с одного IP-адреса может быть заблокирована добавлением нового правила брандмауэра, возможны многие формы атак с распределенным отказом в обслуживании (DDoS), где сигналы исходят от большого количества адресов. В таком случае защита намного сложнее. Такие атаки могут происходить из компьютеров, управляемых ботами, но возможен целый ряд других методов, включая атаки отражения и усиления, где целые системы непроизвольно осуществляют передачу такого сигнала.

Атаки прямого доступа

Несанкционированный пользователь, получающий физический доступ к компьютеру, скорее всего, может напрямую копировать данные из него. Такие злоумышленники также могут поставить под угрозу безопасность путем внесения изменений в операционную систему, установки программных червей, клавиатурных шпионов, скрытых устройств для прослушивания или использования беспроводных мышей. Даже если система защищена стандартными мерами безопасности, их можно обойти, загрузив другую ОС или инструмент с компакт-диска или другого загрузочного носителя. Шифрование диска предназначено для предотвращения именно таких атак.

Концепция сетевой безопасности: основные пункты

Информационная безопасность в компьютерных сетях начинается с аутентификации, связанной с введением имени пользователя и пароля. Такая ее разновидность является однофакторной. С двухфакторной аутентификацией дополнительно используется и дополнительный параметр (токен безопасности или «ключ», карточка ATM или мобильный телефон), с трехфакторной применяется и уникальный пользовательский элемент (отпечаток пальца или сканирование сетчатки).

После аутентификации брандмауэр применяет политику доступа. Эта служба безопасности компьютерной сети эффективна для предотвращения несанкционированного доступа, но этот компонент может не проверить потенциально опасный контент, такой как компьютерные черви или трояны, передаваемые по сети. Антивирусное программное обеспечение или система предотвращения вторжений (IPS) помогают обнаруживать и блокировать действие таких вредоносных программ.

Система обнаружения вторжений, основанная на сканировании данных, может также отслеживать сеть для последующего анализа на высоком уровне. Новые системы, объединяющие неограниченное машинное обучение с полным анализом сетевого трафика, могут обнаруживать активных сетевых злоумышленников в виде вредоносных инсайдеров или целевых внешних вредителей, которые взломали пользовательский компьютер или учетную запись.

Кроме того, связь между двумя хостами может быть зашифрована для обеспечения большей конфиденциальности.

Защита компьютера

В обеспечении безопасности компьютерной сети применяются контрмеры — действия, устройства, процедура или техника, которые уменьшают угрозу, уязвимость или атаку, устраняя или предотвращая ее, минимизируя причиненный вред или обнаруживая и сообщая о его наличии.

Безопасное кодирование

Это одна из основных мер безопасности компьютерных сетей. В разработке программного обеспечения безопасное кодирование направлено на предотвращение случайного внедрения уязвимостей. Также возможно создать ПО, разработанное с нуля для обеспечения безопасности. Такие системы «безопасны по дизайну». Помимо этого, формальная проверка направлена ​​на то, чтобы доказать правильность алгоритмов, лежащих в основе системы. Это особенно важно для криптографических протоколов.

Данная мера означает, что программное обеспечение разрабатывается с нуля для обеспечения безопасности информации в компьютерных сетях. В этом случае она считается основной особенностью.

Некоторые из методов этого подхода включают:

1. Принцип наименьших привилегий, при котором каждая часть системы имеет только определенные полномочия, необходимые для ее функционирования. Таким образом, даже если злоумышленник получает доступ к этой части, он получит ограниченные полномочия относительно всей системы.
2. Кодовые обзоры и модульные тесты – это подходы к обеспечению большей безопасности модулей, когда формальные доказательства корректности невозможны.
3. Глубокая защита, где дизайн таков, что необходимо нарушить несколько подсистем, чтобы нарушить целостность системы и информацию, которую она хранит. Это более глубокая техника безопасности компьютерных сетей.

Архитектура безопасности

Организация Open Security Architecture определяет архитектуру IT-безопасности как «артефакты дизайна, которые описывают расположение элементов управления безопасностью (контрмеры безопасности) и их взаимосвязь с общей архитектурой информационных технологий». Эти элементы управления служат для поддержания таких атрибутов качества системы, как конфиденциальность, целостность, доступность, ответственность и гарантии.

Другие специалисты определяют ее как единый дизайн безопасности компьютерных сетей и безопасности информационных систем, который учитывает потребности и потенциальные риски, связанные с определенным сценарием или средой, а также определяет, когда и где применять определенные средства.

Ключевыми ее атрибутами являются:

• отношения разных компонентов и того, как они зависят друг от друга.
• определение мер контроля на основе оценки рисков, передовой практики, финансов и правовых вопросов.
• стандартизации средств контроля.

Обеспечение безопасности компьютерной сети

Состояние «безопасности» компьютера — это концептуальный идеал, достигаемый при использовании трех процессов: предотвращения угрозы, ее обнаружения и ответа на нее. Эти процессы основаны на различных политиках и системных компонентах, которые включают следующее:

1. Элементы управления доступом к учетной записи пользователя и криптографию, которые могут защищать системные файлы и данные.
2. Брандмауэры, которые на сегодняшний день являются наиболее распространенными системами профилактики с точки зрения безопасности компьютерных сетей. Это связано с тем, что они способны (в том случае, если их правильно настроить) защищать доступ к внутренним сетевым службам и блокировать определенные виды атак посредством фильтрации пакетов. Брандмауэры могут быть как аппаратными, так и программными.
3. Системы обнаружения вторжений (IDS), которые предназначены для обнаружения сетевых атак в процессе их осуществления, а также для оказания помощи после атаки, в то время как контрольные журналы и каталоги выполняют аналогичную функцию для отдельных систем.

«Ответ» обязательно определяется оцененными требованиями безопасности отдельной системы и может охватывать диапазон от простого обновления защиты до уведомления соответствующих инстанций, контратаки и т. п. В некоторых особых случаях лучше всего уничтожить взломанную или поврежденную систему, так как может случиться, что не все уязвимые ресурсы будут обнаружены.

Что такое брандмауэр?

Сегодня система безопасности компьютерной сети включает в себя в основном «профилактические» меры, такие как брандмауэры или процедуру выхода.

Брандмауэр можно определить как способ фильтрации сетевых данных между хостом или сетью и другой сетью, такой как Интернет. Он может быть реализован как программное обеспечение, запущенное на машине и подключающееся к сетевому стеку (или, в случае UNIX-подобных систем, встроенное в ядро ​​ОС), чтобы обеспечить фильтрацию и блокировку в реальном времени. Другая реализация — это так называемый «физический брандмауэр», который состоит из отдельной фильтрации сетевого трафика. Такие средства распространены среди компьютеров, которые постоянно подключены к Интернету, и активно применяются для обеспечения информационной безопасности компьютерных сетей.

Некоторые организации обращаются к крупным платформам данных (таким как Apache Hadoop) для обеспечения доступности данных и машинного обучения для обнаружения передовых постоянных угроз.

Однако относительно немногие организации поддерживают компьютерные системы с эффективными системами обнаружения, и они имеют еще меньше механизмов организованного реагирования. Это создает проблемы обеспечения технологической безопасности компьютерной сети. Основным препятствием для эффективного искоренения киберпреступности можно назвать чрезмерную зависимость от брандмауэров и других автоматизированных систем обнаружения. Тем не менее это основополагающий сбор данных с использованием устройств захвата пакетов, которые останавливают атаки.

Управление уязвимостями

Управление уязвимостями — это цикл выявления, устранения или смягчения уязвимостей, особенно в программном обеспечении и прошивке. Этот процесс является неотъемлемой частью обеспечения безопасности компьютерных систем и сетей.

Уязвимости можно обнаружить с помощью сканера, который анализирует компьютерную систему в поисках известных «слабых мест», таких как открытые порты, небезопасная конфигурация программного обеспечения и беззащитность перед вредоносным ПО.

Помимо сканирования уязвимостей, многие организации заключают контракты с аутсорсингами безопасности для проведения регулярных тестов на проникновение в свои системы. В некоторых секторах это контрактное требование.

Снижение уязвимостей

Несмотря на то, что формальная проверка правильности компьютерных систем возможна, она еще не распространена. Официально проверенные ОС включают в себя seL4 и SYSGO PikeOS, но они составляют очень небольшой процент рынка.

Современные компьютерные сети, обеспечивающие безопасность информации в сети, активно используют двухфакторную аутентификацию и криптографические коды. Это существенно снижает риски по следующим причинам.

Взлом криптографии сегодня практически невозможен. Для ее осуществления требуется определенный некриптографический ввод (незаконно полученный ключ, открытый текст или другая дополнительная криптоаналитическая информация).

Двухфакторная аутентификация — это метод смягчения несанкционированного доступа к системе или конфиденциальной информации. Для входа в защищенную систему требуется два элемента:

• «то, что вы знаете» — пароль или PIN-код;
• «то, что у вас есть» — карта, ключ, мобильный телефон или другое оборудование.

Это повышает безопасность компьютерных сетей, так как несанкционированный пользователь нуждается в обоих элементах одновременно для получения доступа. Чем жестче вы будете соблюдать меры безопасности, тем меньше взломов может произойти.

Можно снизить шансы злоумышленников, постоянно обновляя системы с исправлениями функций безопасности и обновлениями, использованием специальных сканеров. Эффект потери и повреждения данных может быть уменьшен путем тщательного создания резервных копий и хранения.

Механизмы защиты оборудования

Аппаратное обеспечение тоже может быть источником угрозы. Например, взлом может быть осуществлен с использованием уязвимостей микрочипов, злонамеренно введенных во время производственного процесса. Аппаратная или вспомогательная безопасность работы в компьютерных сетях также предлагает определенные методы защиты.

Использование устройств и методов, таких как ключи доступа, доверенные модули платформы, системы обнаружения вторжений, блокировки дисков, отключение USB-портов и доступ с поддержкой мобильной связи, могут считаться более безопасными из-за необходимости физического доступа к сохраненным данным. Каждый из них более подробно описан ниже.

Ключи

USB-ключи обычно используются в процессе лицензирования ПО для разблокировки программных возможностей, но они также могут рассматриваться как способ предотвращения несанкционированного доступа к компьютеру или другому устройству. Ключ создает безопасный зашифрованный туннель между ним и программным приложением. Принцип заключается в том, что используемая схема шифрования (например, AdvancedEncryptionStandard (AES)), обеспечивает более высокую степень информационной безопасности в компьютерных сетях, поскольку сложнее взломать и реплицировать ключ, чем просто скопировать собственное ПО на другую машину и использовать его.

Еще одно применение таких ключей – использование их для доступа к веб-контенту, например, облачному программному обеспечению или виртуальным частным сетям (VPN). Кроме того, USB-ключ может быть сконфигурирован для блокировки или разблокировки компьютера.

Защищенные устройства

Защищенные устройства доверенных платформ (TPM) интегрируют криптографические возможности на устройства доступа, используя микропроцессоры или так называемые компьютеры на кристалле. TPM, используемые в сочетании с программным обеспечением на стороне сервера, предлагают оригинальный способ обнаружения и аутентификации аппаратных устройств, а также предотвращение несанкционированного доступа к сети и данным.

Обнаружение вторжений в компьютер осуществляется посредством кнопочного выключателя, который срабатывает при открытии корпуса машины. Прошивка или BIOS запрограммированы на оповещение пользователя, когда устройство будет включено в следующий раз.

Блокировка

Безопасность компьютерных сетей и безопасность информационных систем может быть достигнута и путем блокировки дисков. Это, по сути, программные инструменты для шифрования жестких дисков, делающие их недоступными для несанкционированных пользователей. Некоторые специализированные инструменты разработаны специально для шифрования внешних дисков.

Отключение USB-портов — это еще один распространенный параметр безопасности для предотвращения несанкционированного и злонамеренного доступа к защищенному компьютером. Зараженные USB-ключи, подключенные к сети с устройства внутри брандмауэра, рассматриваются как наиболее распространенная угроза для компьютерной сети.

Мобильные устройства с поддержкой сотовой связи становятся все более популярными из-за повсеместного использования сотовых телефонов. Такие встроенные возможности, как Bluetooth, новейшая низкочастотная связь (LE), ближняя полевая связь (NFC) привели к поиску средств, направленных на устранение уязвимостей. Сегодня активно используется как биометрическая проверка (считывание отпечатка большого пальца), так и программное обеспечение для чтения QR-кода, предназначенное для мобильных устройств. Все это предлагает новые, безопасные способы подключения мобильных телефонов к системам контроля доступа. Это обеспечивает компьютерную безопасность, а также может использоваться для контроля доступа к защищенным данным.

Возможности и списки контроля доступа

Особенности информационной безопасности в компьютерных сетях основаны на разделении привилегий и степени доступа. Широко распространены две такие модели — это списки управления доступом (ACL) и безопасность на основе возможностей.

Использование ACL для ограничения работы программ оказалось во многих ситуациях небезопасным. Например, хост-компьютер можно обмануть, косвенно разрешив доступ к ограниченному файлу. Было также показано, что обещание ACL предоставить доступ к объекту только одному пользователю никогда не может быть гарантировано на практике. Таким образом, и сегодня существуют практические недостатки во всех системах на основе ACL, но разработчики активно пытаются их исправить.

Безопасность на основе возможностей в основном применяется в исследовательских операционных системах, в то время как коммерческие ОС по-прежнему используют списки ACL. Однако возможности могут быть реализованы только на уровне языка, что приводит к специфическому стилю программирования, который по существу является уточнением стандартного объектно-ориентированного дизайна.

Переполнение буфера

Переполнение буфера происходит в том случае, когда программа или процесс пытается записать в буфер больше данных, чем он может вместить. Ошибка заключается в том, что данные копируются из одного участка памяти в другой без предварительной проверки того, достаточно ли для них места там, куда их копируют. Злоумышленники пользуются этим, чтобы выполнить нужный им код. Так они могут, например, изменять данные, расположенные следом за буфером, либо вызывать аварийное завершение или зависание программы, ведущее к отказу обслуживания.

Эксплуатация уязвимостей протокола

Эксплуатация уязвимостей протокола для перехвата соединения или ложного направления легитимных сетевых соединений.

Повышение привилегий доступа

Злоумышленник, являясь непривилегированным пользователем, находит способ получить привилегированный доступ, что позволяет ему «взломать» или даже уничтожить систему. Несанкционированный доступ злоумышленника на компьютер опасен не только возможностью прочтения и/или модификации обрабатываемых электронных документов, но и возможностью внедрения вредоносных программ.

Как повысить уровень безопасности локальной вычислительной сети?

Для повышения уровня безопасности локальной вычислительной сети необходимо обеспечить соответствующий уровень безопасности всех ее компонентов и их взаимодействия внутри сети, а также подключения к сети Интернет.

Для безопасного подключения к сети Интернет необходимо обязательно использовать межсетевой экран, или брандмауэр. Эта программа позволяет осуществлять фильтрацию входящего и исходящего сетевого трафика на компьютере пользователя. Операционные системы семейства Windows, начиная с Windows XP, содержат встроенный межсетевой экран, включенный по умолчанию. Отключать его настоятельно не рекомендуется.

В случае, когда внутри локальной вычислительной сети расположены общедоступные серверы, требующие доступ в Интернет, необходимо выделить их в демилитаризованную зону.

Серверы, отвечающие на запросы из внешней сети и находящиеся в демилитаризованной зоне, ограничены в доступе к внутренним серверам. Это нужно для того, чтобы даже в случае взлома этих серверов внутренние серверы не пострадали. Безопасность демилитаризованной зоны обеспечивается межсетевым экраном.

Другой важной составляющей безопасной работы в Интернете является система предотвращения вторжений, предназначенная для выявления, предотвращения или блокирования фактов неавторизованного доступа в компьютерную систему либо несанкционированного управления ими.

Безопасность сетевого оборудования

Повысить уровень безопасности сетевого оборудования можно посредством выполнения следующих действий:

Подключение сетевых устройств к источнику бесперебойного питания.

Безопасность оконечного оборудования

Оконечное оборудование включает в себя серверы, настольные компьютеры, ноутбуки, принтеры, IP-телефоны. Это то оборудование, которым пользуются непосредственно рядовые пользователи. Некоторые оконечные устройства, например ноутбуки, могут находиться за пределами контролируемой зоны организации. При обеспечении их безопасности об этом нельзя забывать, т.к. они могут быть потеряны или украдены.

Основными угрозами безопасности оконечного оборудования являются вредоносные программы, в том числе вирусы, черви, троянцы, шпионские программы, а также спам и опасность стать частью ботнета.

Повысить безопасность оконечных устройств поможет выполнение следующих рекомендаций:

Используйте сложные пароли и регулярно меняйте их

Более подробная информация — в статье «Рекомендации по обеспечению базового уровня защиты персонального компьютера».

Для контроля состояния защищенности, как всей сети, так и отдельных ее компонентов рекомендуется использовать системы контроля защищенности –сетевые сканеры безопасности.

Сканер безопасности – это программно-аппаратное устройство для удаленной или локальной диагностики различных элементов сети на предмет выявления в них различных уязвимостей.

Сканеры сетевой безопасности – это рабочий инструмент администратора информационной безопасности либо аудитора автоматизированной системы. Сканеры исследуют сеть и ищут в ней уязвимости, анализируют полученные результаты и на их основе создают различного рода отчеты. Они могут обнаруживать только известные уязвимости, описание которых есть в их базе данных. Чаще всего сканеры безопасности ищут уязвимости в веб-приложениях, СУБД, операционной системе и сетевых приложениях.

Сетевые сканеры безопасности могут предусматривать возможности проведения тестирования на проникновение (Pentest), системных проверок (Audit) и контроля соответствия стандартам (Compliance).

Режим тестирования на проникновения позволяет получить оценку состояния защищенности сети со стороны нарушителя. В режиме тестирования могут выявляться следующие уязвимости:

• бэкдоры (backdoor) – программы скрытого удаленного администрирования, с помощью которых злоумышленники получают несанкционированный доступ к устройству;
• слабые пароли;
• восприимчивость к проникновению из незащищенных систем;
• неправильная настройка межсетевых экранов, веб-серверов и баз данных.

Аудит позволяет выявить уязвимости установленного программного обеспечения и оценить уровень безопасности сети «изнутри».

Контроль соответствия стандартам позволяет осуществлять проверку системы по контрольным спискам безопасности, а также на соответствие требованиям различных стандартов, например, стандарту безопасности данных о держателях платежных карт PCI DCC.