close

Вход

Забыли?

вход по аккаунту

код для вставкиСкачать
Программно-аппаратные средства
зашиты информации
Шарлаев Евгений Владимирович
к.т.н., доцент каф ВСИБ АлтГТУ
1
Тема Средства защиты информации при межсетевом
взаимодействии.
Защита информации средствами VPN.
2. Сертифицированные решения VPN.
1.
Литература
2.
3.
4.
5.
6.
7.
8.
1. Зайцев А.П., Голубятников И.В., Мещеряков Р.В., Шелупанов А.А. Программноаппаратные средства обеспечения информационной безопасности: Учебное пособие.
Издание 2-е испр. и доп.– М.:Машиностроение-1, 2006. − 260 с.
Хорев П.Б. Методы и средства защиты информации в компьютерных системах.
Уч.пособие для вузов. – М.:Академия. – 2005,2008.-256с. УМО – 29 экз.
Платонов В.В. Программно-аппаратные средства обеспечения информационной
безопасности вычислительных сетей. Уч.пособие для вузов.- М.:Академия, -2006. –
240с.УМО -15 экз.
Стандарты, требования и рекомендации в области информационной безопасности
Программно-аппаратная защита информации: учеб. Пособие /С.К. Варлатая, М.В.
Шаханова. - Владивосток: Изд-во ДВГТУ, 2007
РД ФСТЭК (Гостехкомиссии) России «Защита от несанкционированного доступа к
информации. Часть 1. Программное обеспечение средств защиты информации.
Классификация по уровню контроля отсутствия не декларированных возможностей»
РД ФСТЭК (Гостехкомиссии) России «Автоматизированные системы. Защита от
несанкционированного доступа к информации. Класификация автоматизированных
систем и требования по защите информации»
РД ФСТЭК (Гостехкомиссии) России «Автоматизированные системы. Защита от
несанкционированного доступа к информации. Класификация автоматизированных
систем и требования по защите информации»
ОРГАНИЗАЦИЯ ВИРТУАЛЬНЫХ ЧАСТНЫХ СЕТЕЙ
Виртуальные частные сети (VPN) - является частной сетью, которая реализуется
путем использования инфраструктуры уже существующих сетей.
В виртуальной частной сети применяются криптографические методы
обеспечения функциональных возможностей и услуг.
Виртуальная частная сеть может быть использована для того,
чтобы:
- реализовать дистанционный доступ к организации от мобильного
абонента или работников, находящихся за пределами системы;
- соединить разные места работы организации, включая избыточные
линии связи для реализации резервной инфраструктуры;
- установить соединения с сетью организации для других партнеров
организации/бизнеса .
ОРГАНИЗАЦИЯ ВИРТУАЛЬНЫХ ЧАСТНЫХ СЕТЕЙ
Задачи, решаемые VPN
Virtual Private Network (виртуальная частная сеть) (VPN)— это технология, объединяющая
доверенные сети, узлы и пользователей через открытые сети, к которым нет доверия,
включающую в себя как элементы межсетевого экранирования, так и механизмы
криптографической защиты сетевого трафика.
VPN призвана решать следующие задачи:
− обеспечивать защиту (конфиденциальность, целостность, подлин-ность) передаваемой по
сетям информации c применением криптографического метода защиты передаваемой
информации;
− выполнять защиту внутренних сегментов сети от НСД извне. Решение задачи возможно
благодаря встроенным в VPN-системы функциям межсетевого экранирования, а также
криптографическим механизмам, запрещающим незашифрованный сетевой трафик;
− обеспечивать идентификацию и аутентификацию пользователей. Данная задача возникает
вследствие того, что, как сказано в определении VPN, в сети должны взаимодействовать лишь
доверенные узлы, доверие к которым возможно после прохождения процедур идентификации и
аутентификации. Отдельно стоящей задачей, решаемой VPN, является экономия финансовых
ресурсов организации, когда для обеспечения защищенной связи с филиалами применяются не
защищенные выделенные каналы связи, а Интернет.
Требования предъявляемые к
средствам реализующим VPN
Требования, которые предъявляются к
комплексам, реализующим VPN следующие:
программно-аппаратным
− масштабируемость, т. е. возможность со временем подключать новые
локальные сети без необходимости изменения структуры имеющейся
VPN;
− интегрируемость, т. е. возможность внедрения VPN-системы в
имеющуюся технологию обмена информацией;
− легальность и стойкость используемых крипоалгоритмов, т. е. система
должна иметь соответствующий сертификат, позволяющий ее
использовать на территории Российской Федерации с целью защиты
информации ограниченного доступа;
− пропускная способность сети, т. е. система не должна существенно
увеличивать объем передаваемого трафика, а также уменьшать скорость
его передачи;
Сеть VPN состоит из четырех ключевых компонентов:

Сервер VPN.

Алгоритмы шифрования.

Система аутентификации.

Протокол VPN.
Компоненты реализуют соответствие требованиям по безопасности, производительности и
способности к взаимодействию. Правильность реализации архитектура VPN, зависит от правильности
определения требований:

Количество времени, в течение которого необходимо обеспечивать защиту информации.

Число одновременных соединений пользователей.

Ожидаемые типы соединений пользователей (сотрудники, работающие из дома или находящиеся
в поездке).

Число соединений с удаленным сервером.

Типы сетей VPN, которым понадобится соединение.

Ожидаемый объем входящего и исходящего трафика на удаленных узлах.

Политика безопасности, определяющая настройки безопасности.
Классификация VPN по типу конфигурации
1. узел-узел (host-to-host);
2. узел-шлюз (host-to-gateway);
3. шлюз-шлюз (gateway-to-gateway).
Для организации канала связи, проходящего через
Интернет, можно использовать VPN любого типа
Основной концепцией VPN является защита шифрованием
канала связи на различных уровнях модели TCP/IP, а
именно:
Туннелирование-это процесс инкапсуляции одного типа пакетов
внутри другого в целях получения некоторого
преимущества при транспортировке.
1- сервер; 2 – концентратор; 3 – рабочая станция; 4 – межсетевой экран.
Рисунок 1 - Пример построения VPN типа шлюз-шлюз
Протоколы VPN канального уровня
1 Протокол PPTP
Протокол PPTP поддерживает шифрование и инкапсуляцию многопротокольного трафика с использованием IPзаголовка для отправки по IP-сети или общедоступной IP-сети, например по Интернету.
 Инкапсуляция
Протокол PPTP инкапсулирует PPP-кадры в IP-датаграммы для передачи по сети. Протокол PPTP использует TCPсоединение для управления туннелем и измененную версию протокола GRE с целью инкапсуляции PPP-кадров для
туннелированных данных. Полезные данные инкапсулированных PPP-кадров могут быть шифрованными, сжатыми или
и теми, и другими одновременно.
 Структура PPTP-пакета, содержащего IP-датаграмму
 Шифрование
PPP-кадр шифруется по алгоритму шифрования MPPE с помощью ключей шифрования, создаваемых в процессе
проверки подлинности по протоколу MS-CHAP версии 2 или EAP-TLS. Для успешного шифрования полезных данных
PPP-кадров клиенты виртуальной частной сети должны использовать протоколы проверки подлинности MS-CHAP
версии 2 или EAP-TLS. Протокол PPTP использует возможности PPP-шифрования, инкапсулируя ранее зашифрованный
PPP-кадр.
Протоколы VPN канального уровня
2 Протокол L2TP
Обеспечивает шифрование многопротокольного трафика и его отправку в любой среде,
поддерживающей доставку датаграмм типа «точка-точка», например в IP-среде или в
асинхронном режиме передачи (ATM).
Протокол L2TP - это комбинация протокола PPTP и переадресации второго уровня (L2F),
технологии корпорации Cisco Systems, Inc. Протокол L2TP объединяет в себе лучшие
возможности PPTP и L2F.
 Инкапсуляция
Инкапсуляция пакетов L2TP/IPsec выполняется на двух уровнях:
 Первый уровень: инкапсуляция L2TP
К PPP-кадру (IP-датаграмме) добавляются заголовки L2TP и UDP.
Рисунок - Структура L2TP-пакета, содержащего IP-датаграмму
Протоколы VPN канального уровня
2 Протокол L2TP
Обеспечивает шифрование многопротокольного трафика и его отправку в любой среде,
поддерживающей доставку датаграмм типа «точка-точка», например в IP-среде или в
асинхронном режиме передачи (ATM).
Протокол L2TP - это комбинация протокола PPTP и переадресации второго уровня (L2F),
технологии корпорации Cisco Systems, Inc. Протокол L2TP объединяет в себе лучшие
возможности PPTP и L2F.
 Инкапсуляция
Инкапсуляция пакетов L2TP/IPsec выполняется на двух уровнях:
 Первый уровень: инкапсуляция L2TP
К PPP-кадру (IP-датаграмме) добавляются заголовки L2TP и UDP.
Рисунок - Структура L2TP-пакета, содержащего IP-датаграмму
Протоколы VPN транспортного уровня
Протокол SSL.
Протокол SSL/TLS (SSL) изначально ориентировался на организацию защищенного
обмена между клиентом и сервером.
Протокол SSL устанавливает защищенные туннели между конечными точками (клиентом
и сервером).
Формирование защищенного обмена проходит в две стадии:
1) установление SSL-сеанса;
2) защищенное взаимодействие.
Процедура установления SSL-сеанса выполняется по прото­колу Handshake Protocol,
входящему в состав SSL.
В ходе защищенного взаимодействия обе стороны при передаче формируют MAC для
каждого сообщения и зашифровывают ис­ходное сообщение МАС-кодом. При приеме
сообщение расшиф­ровывается и осуществляется проверка его целостности.
Особенность: вне США действуют экспортные ограничения на длину
ключей шифрования.
Протоколы VPN транспортного уровня
Протокол SOCKS- разработан для организации функций посредничества
между клиент-серверными приложениями, причем не привязан к протоколу
IP и не зависит от ОС. Наибольшее распространение получили версии 4 и 5
этого протокола, причем SOCKS v5 одобрен IETF (Internet Engineering Task
Force) в качестве стандарта.
Протокол SOCKS v5 реализует возможности:
 клиент может передавать серверу IP-адрес назначения или его DNSимя;
 поддержка наравне с TCP и протокола UDP;
 при аутентификации пользователей сервер может согласовывать с
клиентом способ аутентификации, допуская двустороннюю
аутентификацию;
 возможность использования расширенной схемы адресации по IPv6.
Цифровые сертификаты
 Сертификаты X.509 используются в большинстве приложений
сетевой защиты, включая IPSec, SSL, SET, S/MIME и др.
Форма сертификата X.509
Сертифицированные VPN решения
Компания
Решение
НИП «Фактор-ТС»
ПАК «Сервер безопасности
DioNIS® Security Server»
ЗАО НПП
«Информазащита»
Семейство «Континент»
ООО «Амикон»
Семейство «ФПСУ-IP»
ОАО «Инфотекс»
Семейство «ViPNET»
ЗАО «С-Терра СиЭсПи»
Семейство «CSP VPN»
ОАО «ЭЛВИС ПЛЮС»
Семейство «ЗАСТАВА»
Ссылка
Организация отказоустойчивых VPN с использованием
сертифицированных криптографических алгоритмов.
Решение на базе StoneGate
Организация удаленного VPN доступа на базе «ЗАСТАВЫ»
Решение по защите WLAN на базе «ЗАСТАВЫ»
Объединение локальных сетей в единую сеть VPN с помощью
«Континента»
СПАСИБО ЗА
ВНИМАНИЕ !
Имя докладчика
>30
1/--страниц
Пожаловаться на содержимое документа