Поиск

Полнотекстовый поиск:
Где искать:
везде
только в названии
только в тексте
Выводить:
описание
слова в тексте
только заголовок

Рекомендуем ознакомиться

Коммуникации и связь->Реферат
Понятие паблик рилейшнз, еще недавно малоизвестное и непривычное для бывшей советской политической культуры и ментальности, в последние годы буквально...полностью>>
Коммуникации и связь->Реферат
Модели сетевого планирования и управления (модели СПУ) предназначены для планирования и управления сложными комплексами работ (проектами), направленны...полностью>>
Коммуникации и связь->Реферат
По оценкам специалистов DISCOVERY Research Group, объем российского парфюмерно-косметического рынка в 2006 году достиг $7,8 млрд. По данным Российской...полностью>>
Коммуникации и связь->Реферат
Основные типы проводов с эмалевой изоляцией, применяемые для изготовления обмоток различных электродвигателей и электрических аппаратов, - поливинилац...полностью>>

Главная > Реферат >Коммуникации и связь

Сохрани ссылку в одной из сетей:

Атака воспроизведением ответов сервера.

Противник может создать базу данных с аутентификаторами запросов, идентификаторами и соответствующими им ответами сервера, если будет периодически прослушивать и перехватывать трафик между клиентом и сервером. Увидев запрос с уже встречавшимся ранее аутентификатором, противник замаскирует себя под сервер и повторит наблюдавшийся ранее ответ. Кроме того, можно воспроизвести похожий на легитимный ответ сервера типа Access-Accept и тем самым аутентифицироваться, не представив корректных «верительных грамот».

Атака на общий секретный код.

Стандарт протокола RADIUS допускает использование одного и того же общего секретного кода многими клиентами. Это небезопасно, так как позволяет некорректно реализованным клиентам скомпрометировать сразу много машин. Рекомендуется задавать разные секретные коды для каждого клиента, причем

выбирать слова, отсутствующие в словаре, чтобы их невозможно было предсказать.

3. Обеспечение конфиденциальности

и целостности данных с использованием VPN.

Виртуальная частная сеть VPN — это технология сетевого доступа, позволяющая на основе телекоммуникационной инфраструктуры общего пользования, например, Интернетом, сформировать защищенные каналы обмена информацией между отдельными сетями и/или пользователями. Поскольку беспроводные сети IEEE 802.11 легко доступны для случайного или злонамеренного прослушивания, то именно в них развертывание и обслуживание VPN приобретает особую важность, если необходимо обеспечить высокий уровень защиты информации. Стандарт IEEE 802.11i снизил необходимость развертывания VPN, но она полностью не отпадает в сетях, где безопасность информации играет решающую роль. Кроме того, в реализациях стандарта IEEE 802.11i обнаружилось немало проблем с безопасностью. Можно утверждать, что с течением времени будут разработаны новые атаки против этого стандарта. Да и для обеспечения безопасности особо секретных данных нельзя полагаться на какой-то один механизм или на защиту лишь одного уровня сети. В случае двухточечных каналов проще и экономичнее развернуть VPN, покрывающую две сети, чем реализовывать защиту на базе стандарта IEEE 802.11i, включающую RADIUS-сервер и базу данных о пользователях.

В названии VPN слово «виртуальный» подразумевает мирное сосуществование в одном сегменте сети двух различных сетей, не создающих помех друг другу, будь то сети IP, IPX и DDP в одной локальной сети или трафик IP, IPSec и L2TP в Интернете. Слово «частная» означает признание того факта, что весь обмен данными и вообще наличие какой-то сети понятны лишь концевым точкам канала и никому больше. Это равным образом относится к секретности и аутентичности передаваемых данных.

VPN строится на двух механизмах — туннелировании и шифровании.

Суть туннелирования — исходные передаваемые пакеты вставляются (инкапсулируются) в пакеты транспортной сети, через которую реализуется передача. При этом форматы исходных пакетов не имеют никакого значения, что допускает передачу через, например, IP-сеть любой не-IP информации. Разумеется, возможен и вариант передачи IP-B-IP. В этом случае каждая дейтаграмма «как есть» вставляется в другую дейтаграмму в начале туннеля и передается по сети. В узле-получаетеле (конец туннеля), определяемом заголовком внешней дейтаграммы, происходит выделение (декапсуляция) внутренней дейтаграммы и ее обработка в соответствии с ее заголовком. Дополнительно, инкапсулируемый пакет может шифроваться любым способом, причем не только поле данных, но и служебные заголовки. Возможно использование методов аутентификации (т. е. получатель должен удостовериться в легитимности источника пакета перед его обработкой). Для каждого из этих механизмов существуют свои протоколы, широко используемые в современных сетях. Но для отправителя исходных пакетов и их конечного получателя все эти механизмы скрыты, а среда передачи выглядит абсолютно прозрачной, как будто они находятся в одной локальной сети.

Распространено представление о том, что VPN обязательно должна шифровать все проходящие через нее данные, но в общем случае это не так.

VPN отвечает трем условиям:

  • конфиденциальность,

  • целостность

  • доступность.

Следует отметить, что никакая VPN не является устойчивой к DoS- или DDoS-атакам (Отказ в обслуживании или Распределенный отказ в обслуживании). Также VPN не защищает от несанкционированного доступа на физическом уровне просто в силу своей виртуальной природы и зависимости от нижележащих протоколов.

Основное достоинство связи через VPN — это сокращение расходов на построение каналов связи между удаленными точками. На данный момент альтернативой VPN служат выделенные линии или внедрение сервера удаленного доступа. Выделенные линии обычно организуются для критически важных приложений, которым требуется гарантированная пропускная способность, тогда как передача данных по сетям общего пользования представляется ненадежной, а их доступность в любой момент времени не может быть гарантирована. Создание беспроводного двухточечного канала — это еще одна недорогая альтернатива, но в свете атак, рассмотренных выше, такое решение нельзя считать достаточно безопасным. Традиционные для сетей IEEE 802.Ha/b/g механизмы аутентификации и шифрования сами по себе не в состоянии обеспечить необходимый уровень защиты от опытного взломщика. Но если развертывание протокола IEEE 802.IX и RADIUS-сервера слишком дорого для двухточечных беспроводных мостов, то большинство имеющихся на рынке сетевых устройств могут поддержать VPN, обеспечивающую примерно такой же уровень защиты.

Топология VPN может быть самой разной, но основные — это «сеть-сеть» и «хост-сеть» . Топология «сеть-сеть», очевидно, связывает две удаленные локальные сети (рис. 3.1).

Рис.3.1. VPN между разнесенными сетями.

Топология хост-сеть Топология «хост-сеть» означает, что сначала клиент устанавливает соединение с сетью общего пользования (с Интернетом), а через нее — с VPN-шлюзом нужной его сети (например, сети своей организации) (рис. 3.2). После успешной аутентификации создается туннель поверх сети общего пользования.

Рис.3.2 Топология VPN “хост-сеть”

Топология типа «звезда» — самая распространенная для VPN. Центральный VPN-концентратор организует туннели со всеми удаленными клиентами (рис.3.3). Масштабируемость и общая производительность такой сети ограничена пропускной способностью и вычислительной мощностью VPN-концентратора. Последнее особенно актуально, поскольку сначала нужно расшифровать принятые данные, а затем снова зашифровать перед отправкой. Но в сети «звезда» проще выполнять конфигурирование, обслуживание, контроль доступа и учет. Но при выходе концентратора из строя перестанет работать вся сеть. Звездная топология применима в сетях с каналами «точка-многоточка», но она менее безопасна, чем топология «хост-сеть» поскольку позволяет беспроводным хостам взаимодействовать между собой (через концентратор).

Полносвязная топология предполагает, что каждый узел напрямую соединен туннелем с любым другим узлом сети. При этом образуется «переплетение» соединений (рис. 3.4). Хотя недостатки топологии «звезда» и устраняются, но существенно увеличиваются временные затраты на обслуживание сети и становится трудно добавлять новые узлы. Заметим еще, что оконечные клиенты должны быть достаточно мощными компьютерами, поскольку им приходится поддерживать более одного туннеля.

Рис.3.3 Топология “Звезда”

Рис.3.4 Полносвязная топология.

Распространенные туннельные протоколы и VPN.

Протокол IPsec.

IPSec — наиболее широко признанный и стандартизованный из всех протоколов VPN. IPSec — это набор различных открытых алгоритмов, работающих поверх стека IP. Он предоставляет службы аутентификации и шифрования данных на третьем уровне модели OSI и может быть реализован на любом устройстве, которое работает по протоколу IP. В

отличие от многих других схем шифрования, которые защищают конкретный протокол верхнего уровня, IPSec может защитить весь IP-трафик. Он применяется также в сочетании с туннельными протоколами на уровне 2 для шифрования и аутентификации трафика, передаваемого по протоколам, отличным от IP.

Протокол РРТР.

Двухточечный туннельный протокол (Point-to-Point Tunneling Protocol — РРТР) — это технология компании Microsoft. Он в основном используется для создания безопасных каналов в Интернете для машин под упроавлением ОС Windows. РРТР обеспечивает аутентификацию пользователей с помощью таких протоколов, как MS-CHAP, CHAP, SPAP и РАР. Этот протокол недостаточно гибок и мало приспособлен для совместной работы с другими протоколами VPN, но прост и широко распространен во всем мире. Протокол определяет следующие типы коммуникаций:

  • РРТР-соединение, по которому клиент организует РРР-канал с провайдером;

  • управляющее РРТР-соединение, которое клиент организует с VPN-сервером и по которому согласует характеристики туннеля;

  • РРТР-туннель, по которому клиент и сервер обмениваются зашифрованными данными.

Этот протокол имеет известные уязвимости и использует относительно слабые шифры MD4 и DES.

Протокол GRE

Протокол Generic Routing Encapsulation (GRE) разработан компанией Cisco и применяется для туннелирования трафика между различными частными сетями, включая не-IP трафик, который нельзя пропустить по сети в неизменном виде. Несмотря на то, что протокол не осуществляет шифрования, он позволяет эффективно организовать туннель с низкими накладными расходами. GRE часто применяется в сочетании с протоколами шифрования на сетевом уровне, в результате чего решаются две задачи: инкапсуляция не-IP трафика, реализуемая GRE, и шифрование, выполняемое другим протоколом, например, IPSec.

Протокол L2TP.

Этот протокол (RFC 2661), совместно разработанный компаниями Cisco, Microsoft и 3Com, обещает заменить РРТР в качестве основного туннельного протокола. По существу, L2TP представляет собой комбинацию РРТР и созданного Cisco протокола Layer Two Forwarding (L2F). Протокол L2TP применяется для туннелирования РРР-трафика поверх IP-сети. Для установления соединения по коммутируемой линии в нем используется РРР с аутентификацией по протоколу РАР или CHAP. Но в отличие от РРТР, L2TP определяет свой собственный туннельный протокол. Поскольку L2TP работает на уровне 2, то через туннель можно пропускать и не-IP трафик. L2TP совместим с любым канальным протоколом, например ATM, Frame Relay или IEEE 802.11. Сам по себе протокол не содержит средств шифрования, но может быть использован в сочетании с другими протоколами или механизмами шифрования на прикладном уровне.

Помимо стандартных протоколов VPN существуют и специализированные варианты. Рассмотрим некоторые из них.

Протокол cIPe.

Разработчики утверждают, что cIPe обеспечивает почти такой же уровень безопасности, как IPSec. Протокол работает на уровне IP и позволяет туннелировать протоколы более высоких уровней (например, ICMP, TCP, UDP). Принцип работы напоминает РРР, но cIPe инкапсулирует передаваемые IP-пакеты в UDP-дейтаграммы. При разработке cIPe была поставлена цель создать облегченный протокол, в котором для шифрования данных применяются достаточно стойкие криптографические алгоритмы Blowfish и IDEA, но при этом простой для установки и обслуживания и в то же время несколько более производительный, чем IPSec. В cIPe используется единственный UDP-порт для организации туннеля, трафик без труда проходит через механизм преобразования сетевых адресов NAT (network address translation) и межсетевой экран с запоминанием состояния. Существуют бесплатные реализации cIPe как для UNIX, так и для Windows. К сожалению, были выявлены многочисленные недостатки, допущенные при проектировании cIPe, которые, вероятно, не будут исправлены до выхода следующей версии протокола.

Пакет OpenVPN.

Open VPN — это еще одно открытое решение, по своей функциональности аналогичное cIPe. Пакет легко инсталлируется и конфигурируется. Он работает на большинстве UNIX-подобных систем, в которых есть драйверы виртуальной сети TUN/TAP. OpenVPN имеет модульную структуру. Все криптографические функции реализованы посредством библиотеки OpenSSL, в том числе и самые современные шифры, к примеру, AES с 256-битным ключом. Следовательно, протокол в полной мере поддерживает реализованные в OpenSSL механизм PKI для аутентификации сеансов, протокол TLS для обмена ключами, не зависящий от шифра интерфейс EVP для шифрования данных и коды НМАС для аутентификации данных. Как и в случае cIPe, использование единственного UDP-порта для инкапсуляции туннеля позволяет без труда пропускать трафик через NAT и межсетевые экраны с запоминанием состояния.

Пакет VTun.

VTun — это решение, которое использует драйвер виртуальной сети TUN/TAP для туннелирования IP-трафика. Протокол поддерживает все распространенные протоколы уровня 3, в том числе IPX и AppleTalk, протоколы для работы по последовательным линиям связи РРР и SLIP, а также все программы, работающие с конвейерами UNIX. Встроенный механизм контроля трафика позволяет ограничивать входную и выходную скорость работы туннеля, что отличает это решение от всех остальных. С точки зрения конфиденциальности, VTun не претендует на звание самого безопасного протокола, основные усилия при разработке были направлены на быстродействие, стабильность и удобство эксплуатации. Тем не менее, используется алгоритм шифрования Blowfish с 128-битным ключом для шифрования данных и MD5 для генерирования 128-разрядных сверток. Версии для Windows не существует, применение ограничено UNIX-подобными ОС, которые поддерживают драйвер TUN/TAP.



Загрузить файл

Похожие страницы:

  1. Технологии беспроводных сетей. Канальный уровень протоколов IEEE 802.11

    Практическая работа >> Информатика, программирование
    ... беспроводных сетях семейства IEEE 802.11 b/g На физическом уровне семейства протоколов IEEE 802 ... наряду с полезной информацией содержит информацию служебную (заголовок кадра ... A скрыт от узла D. В подобной сети алгоритм RTS/CTS позволяет справиться с проблемой ...
  2. Сети связи и системы коммутации

    Шпаргалка >> Информатика, программирование
    ... сетью и проводной или беспроводной сетью доступа, передает сигнальную информацию к SoftSwitch, преобразует пользовательскую информацию ... сети определенного стандарта. В пределах одного стандарта ... М(Х): Алгоритм расчета ... защиты данных в ОКС № 7: защита ...
  3. Беспроводные сети (3)

    Реферат >> Коммуникации и связь
    ... сети). Для организации беспроводной сети в замкнутом пространстве применяются передатчики со всенаправленными антеннами. Стандарт IEEE 802 ... прибору? Информацию, передаваемую по беспроводной сети, легко перехватить. Да, сейчас используются алгоритмы, которые ...
  4. Сети следующего поколения. Конспект лекций

    Конспект >> Коммуникации и связь
    ... и услуг. Стандарты глобальной информационной инфраструктуры ... компьютера и инфракрасную (беспроводную) клавиатуру, пользователь ... является высокая степень защиты информации и ее сохранность ... алгоритмов работы сети, повышающих качество доставки информации. ...
  5. Вычислительные системы, сети и телекоммуникации

    Книга >> Информатика, программирование
    ... семейство стандартов IEEE 802.x, которые содержат рекомендации по проектированию сетей и сетевых устройств. Стандарты подкомитета 802.1 носят ... операции по шифрации и дешифрации информации), доставка данных. В беспроводных сетях используются две топологии – « ...

Хочу больше похожих работ...

Generated in 0.0032367706298828