Системы обнаружения вторжений

Система обнаружения вторжений (Intrusion Detection System, IDS) - это средство, которое реализуется на программном или аппаратном уровне и предназначается для того, чтобы предупредить, выявить и запротоколировать некоторые типы сетевых атак.

В отличие от прокси-серверов и сетевых экранов, строящих свою защиту только на анализе сетевого трафика, IDS принимает во внимание различные подозрительные события, которые происходят в системе. Возникают ситуации, когда злоумышленник может проникнуть через сетевой экран, к примеру, когда атака происходит через туннель VPN из взломанной сети или атаку создал пользователь внутренней сети и т.д. Это происходит не из-за плохой конфигурации МЭ, а из-за самого принципа его работы. Экран хоть и располагает памятью и анализирует последовательность событий, но блокирование трафика происходит с заранее предсказуемыми признаками, например, по протоколам или /P-адресам. Поэтому в правилах МЭ нельзя установить факт взлома внешней сети, с которой уже были установлены доверительные отношения, и которая до этого времени работала нормально. Также в правила нельзя занести попытку пользователя внутренней сети повысить свои привилегия или скопировать пароли. Обнаружение таких подозрительных действий возможно только при помощи системы со встроенными агентами в различных точках сети. Этой системе необходимо проверять не только трафик, но и следить за обращениями к важным ресурсам ОС, а еще обладать информацией о перечне подозрительных действий пользователей. Данной системой является IDS. Она дополняет действия МЭ, а еще автоматически анализирует все журналы событий, которые имеются у средств защиты и сетевых устройств, чтобы обнаружить атаки, не зафиксированные в реальном времени.

Протоколы защищенного канала. Ipsec

ала. IPsec

Защиту данных можно разбить на защиту данных в самом компьютере и защиту данных во время передачи от одного ПК в другой. Чтобы обеспечить безопасность во время передачи по открытым сетям, применяются технологии защищенного канала.

Технология защищенного канала предоставляет защиту трафика между двумя узлами в открытой сети, к примеру, в сети Интернет. Защищенный канал выполняет три главных функции:

  • - защиту сообщений, которые передаются по каналу, от НСД, к примеру, при помощи шифрования;
  • - взаимную аутентификацию абонентов во время установки соединения, к примеру, аутентификация через обмен паролями;
  • - подтверждение целостности отправленных сообщений, к примеру, при помощи отправки вместе с сообщением его дайджеста.

Схемы образования защищенного канала, зависящие от места расположения ПО:

  • - схема с конечными узлами, которые взаимодействуют через открытую сеть (рис. 7.5а);
  • - схема со специальным оборудованием поставщика услуг публичной сети, которое расположено на границе между частной и публичной сетями (рис. 7.56).

устройство Защищенный канал УСТРОЙСТВО

Два подхода к формированию защищенного канала

Рис. 7.5. Два подхода к формированию защищенного канала

На первой схеме защищенный канал создается при помощи программ, которые установлены на двух ПК. Эти компьютеры принадлежат двум разным локальным сетям и связаны друг с другом через публичную сеть. Преимущества данного подхода в том, что канал полностью защищен на всем пути следования, и можно использовать любые протоколы создания защищенных каналов, если только на концевых точках канала есть поддержка этого протокола. Недостатками являются избыточность и децентрализованность решения. Избыточность заключается в том, что нет необходимости создавать защищенный канал на протяжении всего пути следования данных: уязвимостью обладают сети с коммутацией пакетов, а не выделенные каналы или каналы телефонной сети, через которые локальные сети подключаются к территориальной сети. Вследствие этого такая защита является избыточной. Децентрализация состоит в том, что на каждый новый компьютер, которому необходим защищенный канал, нужно заново устанавливать, конфигурировать и администрировать программные средства защиты данных.

На второй схеме защищенный канал находится только внутри публичной сети с коммутацией пакетов, к примеру, внутри сети Интернет. Таким образом, канал можно проложить между сервером поставщика услуг открытой сети и маршрутизатором, который находится на границе корпоративной сети. Это хорошо масштабируемое решение с централизованным управлением при участии и администраторов сети поставщика услуг, и администраторов корпоративной сети. Программное обеспечение для концевых узлов (компьютеров корпоративной сети) не изменяется. С помощью данного подхода можно просто создавать новые защищенные каналы между компьютерами, вне зависимости от их месторасположения. Однако реализовать данных подход сложнее - необходимы стандартный протокол образования защищенного канала, установка у поставщиков услуг ПО, которое поддерживает этот протокол, и поддержка протокола пограничным коммуникационным оборудованием. Но надежность защиты данного подхода оставляет сомнения, т.к. без защиты находятся каналы доступа к публичной сети, и защита потребителя полностью зависит от поставщика услуг.

Иерархия технологий защищенного канала. Защищенный канал можно сформировать при помощи системных средств, которые реализованы на различных уровнях модели OSI (табл. 7.1).

Таблица 7.1

Протоколы, формирующие защищенный канал на разных _____________уровнях модели OSI ____________________

Уровни защищаемых протоколов

Протоколы защищенного канала

Свойства протоколов защищенного канала

Прикладной уровень

S/MIME

Непрозрачность для приложений, независимость от транспортной инфраструктуры

Уровень представления

SSL, TLS

Сеансовый уровень

Транспортный уровень

Сетевой уровень

IPSec

Прозрачность для приложений, зависимость от транспортной инфра-стуктуры

Канальный уровень

РРТР

Физический уровень

При защите данных средствами верхних уровней (прикладного, представления или сеансового) нет зависимости от технологий транспортировки данных (IP или IPX, Ethernet или ATM), что является бесспорным достоинством. Однако, с другой стороны, приложения зависят от определенного протокола защищенного канала, потому что у них должны быть в наличии встроенные вызовы функций данного протокола.

Защищенный канал, который реализован на прикладном уровне, обеспечивает защиту только конкретной сетевой службы, к примеру, почтовой, файловой или гипертекстовой. Например, протокол S/MIME обеспечивает защиту только сообщений электронной почты. При данном подходе для каждой службы разрабатывается своя защищенная версия протокола.

Известный протокол SSL (Secure Socket Layer - слой защищенных сокетов) выполняет работу на уровне представления и формирует защищенный канал, применяя следующие технологии безопасности:

  • - чтобы контролировать целостность передаваемых данных, применяются дайджесты;
  • - взаимная аутентификация приложений на двух концах защищенного канала происходит при помощи обмена сертификатами (стандарт Х.509)’,
  • - при помощи шифрования с использованием симметричных ключей сеанса происходит обеспечение секретности.

Разработка протокола SSL была произведена компанией Netscape Communications для защиты данных, которые передаются между сервером и браузером, однако данный протокол используется и другими приложениями. Протокол на уровне представления - более универсальное средство, чем протокол прикладного уровня. Но чтобы приложение могло пользоваться протоколом уровня представления, в него необходимо вносить исправления, однако не такие значительные, как в протокол прикладного уровня. Для модификации приложения необходимо встраивание явных обращений к API конкретного протокола безопасности.

Средства защищенного канала прозрачны для приложений тогда, когда обеспечение безопасности происходит на сетевом и канальном уровнях. Но возникает другая проблема - сервис защищенного канала зависим от протокола нижнего уровня. К примеру, протокол РРТР защищает кадры канального уровня и упаковывает их в /P-пакеты, хотя не является протоколом канального уровня. Во время выполнения этого процесса нет никаких данных о том, пакет какого протокола упакован в этом РРР-кадре: SNA, IP, IPX или NetBIOS. Этот сервис РРТР можно назвать достаточно универсальным, потому что клиент сервиса защищенного канала может задействовать любые протоколы в собственной сети. Протокол РРР сейчас очень популярен, однако уже сейчас с ним конкурируют протоколы Gigabit Ethernet и Fast Ethernet, работающие как в локальных, так и глобальных сетях.

Компромиссным вариантом является протокол IPSec, который работает на сетевом уровне. Во-первых, он прозрачен для приложений, а во-вторых, его работа может проходить во всех сетях, потому что основан на протоколе IP и использует любую технологию канального уровня (PPP, ATM, Ethernet и т.п.).

Распределение функций между протоколами IPSec. IPSec - это сбалансированный набор открытых стандартов, который имеет на данный момент сформированное ядро с возможностью добавления в него новых функций и протоколов.

Ядром IPSec являются три протокола:

  • - заголовок аутентификации АН (Authentication Header) -обеспечивает целостность и аутентичность данных;
  • - инкапсуляция зашифрованных данных ESP (Encapsulating Security Payload) — зашифровывает передаваемые данные и обеспечивает их конфиденциальность, также возможно обеспечение целостности данных аутентификации;
  • - обмен ключами Интернета IKE (Internet Key Exchange) -автоматически предоставляет конечным точкам защищенного канала секретные ключи, которые необходимы для работы протоколов аутентификации и шифрования данных.

Из рис. 7.6 видно, что возможности протоколов АН и ESP немного пересекаются. АН может только обеспечивать целостность и аутентификацию данных, a ESP может как зашифровывать данные, так и выполнять функции протокола АН в немного урезанном виде. В ESP возможна поддержка функций шифрования и аутентификации/целостности в различных комбинациях.

Выполняемые функции

Протокол

Обеспечение целостности

АН

ESP

Обеспечение аутентичности

Обеспечение конфиденциальности (шифрование)

Распределение секретных ключей

IKE

Рис 7.6. Распределение функций между протоколами IPSec

Функции защиты между протоколами АН и ESP разделены из-за того, что во многих странах ограничивают экспорт или импорт средств, которые обеспечивают конфиденциальность данных при помощи шифрования. Использование протоколов возможно как отдельно, так и совместно с другими, поэтому в случаях, когда шифрование из-за ограничений использовать нельзя, возможна работа системы только с протоколом АН. Сторона, которая принимает данные, может только проверить, что данные переданы ожидаемым узлом и в том виде, в котором отправлены изначально. Но защиты от НСД к данным по пути их передачи по сети у протокола АН нет, потому что не происходит шифрования данных. Для зашифрования данных применяется протокол ESP.

Безопасная ассоциация. Протоколы АН и ESP могут выполнить свои функции по защите данных только при установлении протоколом IKE логического соединения между двумя конечными точками (рис. 7.7), которое называется безопасной ассоциацией (SA, Security Association).

Безопасная ассоциация

Рис. 7.7. Безопасная ассоциация

С помощью стандартов IPSec возможно создание как одной безопасной ассоциации для передачи трафика между конечными точками, так и нескольких безопасных ассоциаций. Поэтому всегда можно выбрать необходимый уровень детализации защиты - от общей ассоциации для трафика всех конечных узлов до специально настроенных ассоциаций для защиты каждой программы.

Безопасная ассоциация в протоколе IPSec является однонаправленным (симплексным) логическим соединением, значит, для обеспечения безопасного двустороннего обмена данными нужна установка двух безопасных ассоциаций. Данные ассоциации могут иметь разные характеристики, к примеру, во время передачи данных к серверу будет использоваться аутентификация, а для ответных данных необходимо еще обеспечивать конфиденциальность.

Чтобы меры безопасности не теряли смысл, необходимо установить безопасную ассоциацию при помощи взаимной аутентификации сторон. Параметры, которые выбираются безопасной ассоциацией, определяют, какой протокол, АН или ESP, будет применен для защиты, функции этого протокола (к примеру, выполнение аутентификации и проверка целостности или, помимо этого, обеспечение конфиденциальности). Одними из главных параметров SA являются секретные ключи, которые используется при работе протоколов АН и ESP.

Установление безопасной ассоциации возможно как в автоматическом, так и в ручном режиме. Во время ручного режима администратору необходимо сконфигурировать конечные узлы таким образом, чтобы они имели поддержку согласованных параметров ассоциации, которые также включают секретные ключи. При автоматическом установлении SA протоколы IKE, которые работают на концах канала, делают выбор параметров во время переговорного процесса. Для решения протоколами АН и ESP каждой своей задачи, существует несколько схем аутентификации и шифрования (рис. 7.8). Отсюда следует, что протокол IPSec является очень гибким средством. Выбор дайджест-функ-ции для решения задач целостности и аутентификации совсем не влияет на выбор функции шифрования, которая обеспечивает конфиденциальность данных.

Чтобы обеспечить совместимость IPsec в стандартной версии, существует обязательный «инструментальный» набор, например, для аутентификации всегда возможно применение одной из стандартных дайджест-функций SHA-1 или MD5, а в алгоритмах шифрования точно будет находиться DES. При этом производители продуктов, использующих IPSec, могут включить в протокол другие алгоритмы аутентификации и шифрования. К примеру, многие реализации IPSec имеют поддержку популярного алгоритма шифрования Triple DES и новых алгоритмов: Cast, Idea, CDMF, Blowfish, RC5.

Транспортный и туннельный режимы. Защита данных протоколами АН и ESP возможна в транспортном и туннельном режимах. В транспортном отправка /P-пакета через сеть выполняется при помощи первоначального заголовка данного пакета, а в туннельном режиме - исходный пакет помещается в новый IP-пакет, и данные передаются по сети на основании заголовка получившегося /Р-пакета.

алгоритмов

Рис. 7.8. Согласование параметров в протоколе ESP

Использование этих режимов зависит от требований, которые предъявляются к защите данных, а еще от роли в сети узла, находящегося на конце защищенного канала. Таким образом, узел может являться шлюзом (промежуточным узлом) или хостом (конечным узлом). Отсюда следует, что существует три схемы использования протокола IPSec

  • - хост-хост;
  • - шлюз-шлюз;
  • - хост-шлюз.

В схеме «хост-хост» защищенный канал (безопасная ассоциация) создается между двумя конечными узлами сети. Тогда протокол IPSec будет работать на конечных узлах и защищать данные, которые передаются от хоста 1 к хосту 2. Для данной схемы в основном применяется транспортный режим защиты.

В схеме «шлюз-шлюз» защищенный канал находится между двумя шлюзами безопасности (5G, Security Gateway), на которых происходит работа протокола IPSec (рис. 7.9). Защищенный обмен данными может совершаться между любыми двумя конечными узлами, которые подключены к сетям, расположенным за шлюзами безопасности. Конечные узлы могут не иметь поддержку протокола IPSec, т.к. передача трафика происходит в незащищенном виде через внутренние сети предприятий, которые заслуживают доверие. Отправляемый в общедоступную сеть трафик идет через шлюз безопасности, обеспечивающий защиту трафика при помощи протокола IPSec. Шлюзы могут работать только в туннельном режиме.

На рис. 7.9 показано, что пользователь компьютера с адресом IP1 отправляет пакет по адресу IP2, применяя при этом туннельный режим протокола IPSec. Происходит зашифровка шлюзом SG1 всего пакета и снабжение его новым заголовком IP, в котором адресом отправителя является личный адрес - IP3, а адресом получателя - адрес IP4 шлюза SG2. Данные по составной IP-сети передаются на основании заголовка внешнего пакета, а внутренний пакет становится полем данных для внешнего пакета. На шлюзе SG2 протоколом IPSec расшифровывается пакет и восстанавливается его исходный вид.

Работа защищенного канала по схеме «шлюз-шлюз» в туннельном режиме

Рис. 7.9. Работа защищенного канала по схеме «шлюз-шлюз» в туннельном режиме

Схема «хост-шлюз» часто применяется при удаленном доступе. В этом случае защищенный канал прокладывается между удаленным хостом, на котором работает протокол IPSec, и шлюзом, защищающим трафик для всех хостов, входящих во внутреннюю сеть предприятия. Эту схему можно усложнить, создав параллельно еще один защищенный канал - между удаленным хостом и каким-либо хостом, принадлежащим внутренней сети, защищаемой шлюзом (рис. 7.10). Такое комбинированное использование двух безопасных ассоциаций позволяет надежно защитить трафик и во внутренней сети.

Протокол АН. Протокол АН позволяет приемной стороне убедиться, что:

  • - пакет был отправлен стороной, с которой установлена безопасная ассоциация;
  • - содержимое пакета не было искажено в процессе его передачи по сети;
  • - пакет не является дубликатом уже полученного пакета.

Две первые функции обязательны для протокола АН, а последняя выбирается при установлении ассоциации по желанию. Для выполнения этих функций протокол АН использует специальный заголовок (рис. 7.11).

В поле следующего заголовка (next header) находится код протокола, который находится выше по уровню, а именно код протокола, сообщение которого расположено в поле данных IP-пакета. Таким может быть протокол транспортного уровня (TCP или UDP) или протокол ICMP, но иногда встречается протокол ESP, который применяется вместе с АН.

О 8 16 31

Следующий заголовок

Длина

Резерв

Индекс параметров безопасности (SPI)

Порядковый HOMep(SN)

Данные аутенфикации

Рис. 7.11. Структура заголовка протокола АН

В поле длины полезной нагрузки (payload length) находится длина заголовка АН.

Индекс параметров безопасности (SPI, Security Parameters Index) необходим для связи пакета с определенной для него безопасной ассоциацией.

Поле порядкового номера (SN, Sequence Number) содержит в себе порядковый номер пакета и необходимо для защиты от ложного воспроизведения (когда злоумышленник пробует заново использовать перехваченные защищенные пакеты, которые уже были отправлены реальным отправителем). Отправляющая сторона постоянно будет увеличивать значение данного поля в последующих пакетах, которые передаются в рамках этой ассоциации, поэтому принимающая сторона сможет обнаружить дубликат (если только будет активна функция защиты от ложного воспроизведения). Но все равно протокол АН не восстанавливает утраченные и не упорядочивает приходящие пакеты - он просто отбрасывает пакет, если аналогичный уже получен. Для сокращения необходимой для работы буферной памяти применяется механизм скользящего окна, когда от повтора происходит проверка тех пакетов, чей номер находится в пределах окна. Окно, как правило, бывает размером в 32- или 64-битного пакета.

Поле данных аутентификации (authentication data), в котором находится значение проверки целостности (ICV, Integrity

Check Value), необходимо для аутентификации и контроля целостности пакета. Это значение является дайджестом, который вычисляется при помощи одной из двух односторонних функций шифрования (ОФШ) MD5 или SAH-1, но также возможно использование и других функций, о которых стороны договорились во время установления ассоциации. Во время вычисления дайджеста пакета параметром ОФШ является симметричный секретный ключ, заданный для данной ассоциации вручную или автоматически при помощи протокола IKE. Данное поле имеет переменный размер, потому что длина дайджеста зависит от выбранной ОФШ.

Во время вычисления дайджеста протокол АН пытается охватить наибольшее число полей исходного /P-пакета, но некоторые из них в процессе передачи пакета по сети меняются непредсказуемым образом, поэтому не могут быть включены в аутентифицируемую часть пакета. К примеру, целостность величины поля времени жизни (TTL) в принимающей точке канала оценить невозможно, потому что каждый промежуточный маршрутизатор уменьшает ее на единицу, и данное значение не будет совпадать с изначальным значением.

Место расположения заголовка АН в пакете зависит от того, какой применяется режим конфигурации защищенного канала - транспортный или туннельный. Пакет в транспортном режиме показан на рис. 7.12.

Заголовок исходного ІР-пакета

Заголовок АН

Пакет протокола верхнего уровня

____________Аутентифицируемая информация__________

Рис. 7.12 Структура IP-пакета, обработанного протоколом АН в транспортном режиме

Во время использования туннельного режима, когда шлюз IPSec получает исходящий пакет, который проходит через него транзитом, и формирует для него внешний /P-пакет, протоколом АН защищены все поля начального пакета и неизменяемые поля заголовка внешнего пакета (рис. 7.13).

Заголовок внешнего ІР-пакета

Заголовок АН

Заголовок исходного ІР-пакета

Пакет протокола верхнего уровня

Аутентифицируемая информация

<-----------

--------->

Рис. 7.13. Структура JP-пакета, обработанного протоколом АН в

туннельном режиме

Протокол ESP. Протоколом ESP решается два блока задач. В первом находятся задачи обеспечения аутентификации и целостности данных на основе дайджеста, которые аналогичны задачам протокола АН, во втором - защита отправляемых данных при помощи их шифрования от несанкционированного просмотра.

На рис. 7.14 видно, что заголовок ESP разделяется на две части, которые отделены полем данных. Первая часть - заголовок ESP - состоит из двух полей (SPI и SN), у которых назначение аналогично таким же полям в протоколе АН, и расположена перед полем данных. В самом конце пакета находятся остальные служебные поля протокола ESP, которые называются концевиком ESP. ESP.

Зашифрованная часть ІР-пакета

Заголовок

исходного

IP-пакета

Заголовок EPS (SPLSN)

Пакет

протокола верхнего

уровня

Концевик EPS

Заполнитель, длина заполнителя, след, заголовок

Данные аутенти-фикаци

Аутентифицируемая часть IP-пакета

Рис. 7.14 Структура IP-пакета, обработанного протоколом ESP в транспортном режиме

Два поля концевика - следующего заголовка и данных аутентификации - также аналогичны полям заголовка АН. Поле данных аутентификации отсутствует, если при установлении безопасной ассоциации принято решение не использовать возможностей протокола ESP, касающихся обеспечения целостности. Помимо этих полей концевик содержит два дополнительных ПОЛЯ - заполнителя и длины заполнителя. Заполнитель может понадобиться в трех случаях. Во-первых, для нормальной работы некоторых алгоритмов шифрования необходимо, чтобы шифруемый текст содержал кратное число блоков определенного размера. Во-вторых, формат заголовка ESP требует, чтобы поле данных заканчивалось на границе четырех байтов. И наконец, заполнитель можно использовать, чтобы скрыть действительный размер пакета в целях обеспечения т.н. частичной конфиденциальности трафика. Правда, возможность маскировки ограничивается сравнительно небольшим объемом заполнителя - 255 байт, поскольку большой объем избыточных данных может снизить полезную пропускную способность канала связи.

На рис. 7.15 показано размещение полей заголовка ESP в транспортном режиме. В этом режиме ESP не шифрует заголовок

/P-пакета, иначе маршрутизатор не сможет прочитать поля заголовка и корректно осуществить продвижение пакета между сетями. В число шифруемых полей не попадают также поля SPI и SN, которые должны передаваться в открытом виде для того, чтобы прибывший пакет можно было отнести к определенной ассоциации и предотвратить ложное воспроизведение пакета.

Зашифрованная часть ІР-пакета

Заголовок внешнего ІР-пакета

Заголовок EPS (SPI, SN)

Заголовок исходного ІР-пакета

Пакет протокола верхнего уровня

Концевнк EPS

3 апо л ните ль, длина заполнителя, след, заголовок

Данные аутентификации

Аутентифицируемая часть

- ІР-пакета

Рис. 7.15. Структура ІР-пакета, обработанного протоколом ESP в туннельном режиме

В режиме, который представлен на рис. 7.15, заголовок исходного /P-пакета находится за заголовком ESP и становится защищенным полем, а защита заголовка внешнего /P-пакета протоколом ESP не производится.

Базы данных SAD и SPD. Технология IPSec располагает большим количеством разных методов защиты трафика. Определение способа защиты, применяемого к трафику, основано на применении в каждом узле, который поддерживает IPSec, двух баз данных:

  • - безопасных ассоциаций (SAD - Security Associations Database)',
  • - политики безопасности (SPD - Security Policy Database).

Во время установления безопасной ассоциации сторонам необходимо принять ряд соглашений, которые будут регламентировать процесс передачи потока данных между ними. Соглашения будут фиксироваться как набор параметров. Данными параметрами могут быть тип и режим работы протокола защиты (АН или ESP), секретные ключи, значение текущего номера пакета в ассоциации, методы шифрования и т.д. Эти наборы, которые определяют все активные ассоциации, будут храниться на конечных узлах защищенного канала как базы данных SAD. Каждый из узлов IPSec имеет поддержку двух баз SAD первую - для исходящих, а вторую - для входящих ассоциаций.

База данных политики безопасности определяет, соответствуют ли /P-пакеты правилам обработки, которые были установлены для них. Записи SPD содержат два типа полей - полей селектора пакета и полей политики защиты для пакета с этим значением селектора.

С помощью следующего набора признаков селектора в SPD возможно с большой степенью детализации выделить защищаемый поток:

  • - ZP-адреса источника и приемника представляются или как отдельные адреса (индивидуальные, групповые или широковещательные), или как диапазоны адресов, которые задаются при помощи маски или при помощи нижней и верхней границ;
  • - тип протокола транспортного уровня (TCP, UDP)
  • - имя пользователя в формате DNS или Х.500;
  • - порты источника и приемника (то есть TCP- или UDP-порты);
  • - имя системы (хоста, шлюза безопасности и т.п.) в формате DNS или Х.500.

После поступления нового пакета в защищенный канал IPSec начинает просмотр записей в SPD, а затем происходит сравнение значений селекторов данных записей с необходимыми полями /P-пакета. Если значение этих полей будет совпадать с каким-то селектором, то над пакетом будут выполняться определенные действия, которые описаны в поле политики безопасности этой записи. Политика предусматривает отбрасывание пакета, передачу этого пакета, не изменяя его, обработку пакета ресурсами IPSec.

Для последнего случая в поле политики защиты должна быть ссылка на запись в базе данных SAD, в которой находится набор параметров безопасной ассоциации для этого пакета. На основе этих параметров к пакету применяется необходимый протокол, секретные ключи и функции шифрования.

Если к отправляемому пакету необходимо применить какую-то политику защиты, но указатель SPD сообщает, что на данный момент нет активной безопасной ассоциации с необходимой политикой, то при помощи протокола IKE IPSec создает новую ассоциацию, отправляя новые записи в базы данных SAD и SPD.

Создание и администрирование баз данных SPD может происходить или при помощи пользователя (вариант для хоста), или при помощи администратора системы (вариант для шлюза), или в автоматическом режиме (приложением).

Ранее мы говорили о том, что связь между исходящим IP-пакетом и безопасной ассоциацией, которая задана для него, устанавливается при помощи селекции. Но остается одна проблема: как узлом IPSec определяется способ обработки поступившего пакета, ведь многие основные параметры пакета, которые отражены в селекторе, во время шифрования будут недоступны, и поэтому нельзя будет определить соответствующую запись в базах данных SAD и SPD, а значит, и тип процедуры, которую необходимо применить к прибывшему пакету. Для такого случая в заголовках АН и ESP имеется поле SPI.

Использование баз данных SPD и SAD

Рис. 7.16. Использование баз данных SPD и SAD

В данное поле отправляется указатель на строку базы SAD, в которой находятся параметры необходимой безопасной ассоциации. Заполнение SPI происходит протоколом АН или ESP, когда пакет обрабатывается в отправной точке защищенного канала. Значение SPI извлекается из заголовка АН или ESP, когда пакет находится в конечном узле защищенного канала. Дальше происходит обработка пакета, при этом учитываются все параметры заданной этим указателем ассоциации.

Следовательно, для того чтобы распознать пакеты, которые относятся к разным безопасным ассоциациям, используются:

  • - на узле-отправителе - селектор;
  • - на узле-получателе - индекс параметров безопасности.

После того, как пакет дешифровали, происходит проверка приемным узлом IPSec признаков данного пакета (которые теперь доступны) на предмет совпадения с селектором записи SPD, чтобы удостовериться, что ошибки не было и обработка пакета соответствует политике защиты, которая задана администратором.

При помощи использования баз SPD и SAD для защиты трафика можно гибко сочетать механизм безопасных ассоциаций, предусматривающий установку логического соединения с дейтаграммным типом трафика протокола IP.

контрольные вопросы

  • 1. Какие базовые функций МЭ Вы знаете?
  • 2. Можно ли похитить пароль во время использования аппаратного ключа?
  • 3. Верно ли утверждение: «Так как открытый ключ не является секретным, то защищать его не нужно»?
  • 4. Из чего состоит электронный сертификат?
  • 5. Почему правила доступа узлов сети периметра к ресурсам внутренней сети часто бывают более строгими, чем правила, которые регламентируют доступ к этим ресурсам внешних пользователей?

6. Почему в протоколах IPSec функции обеспечения аутентичности и целостности данных дублируются в двух протоколах - АН и ESP?

 
Посмотреть оригинал
< Пред   СОДЕРЖАНИЕ   ОРИГИНАЛ   След >