Технологии целостности и конфиденциальности передаваемых данных

Распространенные туннельные протоколы

Протокол IPSec

IPSec - это наиболее широко признанный, поддерживаемый и стандартизованный из всех протоколов VPN. Для обеспечения совместной работы он подходит лучше остальных. IPSec лежит в основе открытых стандартов, в которых описан целый набор безопасных протоколов, работающих поверх существующего стека IP. Он предоставляет службы аутентификации и шифрования данных на сетевом уровне (уровень 3) модели OSI и может быть реализован на любом устройстве, которое работает по протоколу IP. В отличие от многих других схем шифрования, которые защищают конкретный протокол верхнего уровня, IPSec, работающий на нижнем уровне, может защитить весь IP-трафик. Он применяется также в сочетании с туннельными протоколами на канальном уровне (уровень 2) для шифрования и аутентификации трафика, передаваемого по протоколам, отличным от IP.

Протокол IPSec состоит из трех основных частей:

• заголовка аутентификации (Authentication Header - АН);
• безопасно инкапсулированной полезной нагрузки (Encapsulating Security Payload - ESP);
• схемы обмена ключами через Internet (Internet Key Exchange - IKE).

Заголовок АН добавляется после заголовка IP и обеспечивает аутентификацию на уровне пакета и целостность данных. Иными словами, гарантируется, что пакет не был изменен на пути следования и поступил из ожидаемого источника. ESP обеспечивает конфиденциальность, аутентификацию источника данных, целостность, опциональную защиту от атаки повторного сеанса и до некоторой степени скрытность механизма управления потоком. Наконец, IKE обеспечивает согласование настроек служб безопасности между сторонами-участниками.

Протокол РРТР

Двухточечный туннельный протокол (Point-to-Point Tunneling Protocol - РРТР) - это запатентованная разработка компании Microsoft, он предназначен для организации взаимодействия по типу VPN. РРТР обеспечивает аутентификацию пользователей с помощью таких протоколов, как MS-CHAP, CHAP, SPAP и РАР Этому протоколу недостает гибкости, присущей другим решениям, он не слишком хорошо приспособлен для совместной работы с другими протоколами VPN, зато прост и широко распространен во всем мире.

Протокол определяет следующие типы коммуникаций:

• РРТР-соединение, по которому клиент организует РРР-канал с провайдером;
• Управляющее РРТР-соединение, которое клиент организует с VPN-сервером и по которому согласует характеристики туннеля;
• РРТР-туннель, по которому клиент и сервер обмениваются зашифрованными данными.

Протокол РРТР обычно применяется для создания безопасных каналов связи между многими Windows-машинами в сети Intranet.

Протокол L2TP

Этот протокол, совместно разработанный компаниями Cisco, Microsoft и 3Com, обещает заменить РРТР в качестве основного туннельного протокола. По существу L2TP (Layer Two Tunneling Protocol, протокол туннелирования канального уровня) представляет собой комбинацию РРТР и созданного Cisco протокола Layer Two Forwarding (L2F). Протокол L2TP применяется для туннелирования РРР-трафика поверх IP-сети общего пользования. Для установления соединения по коммутируемой линии в нем используется РРР с аутентификацией по протоколу РАР или CHAP, но, в отличие от РРТР, L2TP определяет собственный туннельный протокол.

Поскольку L2TP работает на канальном уровне (уровень 2), через туннель можно пропускать и не-IP трафик. Вместе с тем L2TP совместим с любым канальным протоколом, например ATM, Frame Relay или 802.11. Сам по себе протокол не содержит средств шифрования, но может быть использован в сочетании с другими протоколами или механизмами шифрования на прикладном уровне.

Системы обнаружения вторжения в беспроводные сети

Системы обнаружения вторжения (Intrusion Detection System - IDS) - это устройства, с помощью которых можно выявлять и своевременно предотвращать вторжения в вычислительные сети. Они делятся на два вида: на базе сети и на базе хоста.

Сетевые системы (Network Intrusion Detection Systems - NIDS) анализируют трафик с целью обнаружения известных атак на основании имеющихся у них наборов правил (экспертные системы). Исключение с точки зрения принципов анализа составляют системы на базе нейросетей и искусственного интеллекта. Подмножеством сетевых систем обнаружения вторжений являются системы для наблюдения только за одним узлом сети (Network Node IDS).

Другой вид систем обнаружения вторжений представляют системы на базе хоста (Host Intrusion Detection Systems - HIDS). Они устанавливаются непосредственно на узлах и осуществляют наблюдение за целостностью файловой системы, системных журналов и т. д.

NIDS делятся в свою очередь на две большие категории: на основе сигнатур и на основе базы знаний. Сигнатурные IDS наиболее распространены и проще реализуются, но их легко обойти и они не способны распознавать новые атаки. В таких системах события, происходящие в сети, сравниваются с признаками известных атак, которые и называются сигнатурами. Если инструмент взлома модифицировать с целью изменения какой-либо части сигнатуры атаки, то скорее всего атака останется незамеченной. Кроме того, базы данных, содержащие сигнатуры, необходимо надежно защищать и часто обновлять. IDS на основе базы знаний следят за сетью, собирают статистику о ее поведении в нормальных условиях, обнаруживают различные особенности и помечают их как подозрительные. Поэтому такие IDS еще называют основанными на поведении или статистическими.

Простейшая архитектура IDS представлена на рис. 10.2.

увеличить изображение
Рис. 10.2. Основные элементы архитектуры систем обнаружения вторжений