Сетевая безопасность - сетевой уровень
Средства управления безопасностью сетевого уровня часто используются для защиты связи, особенно в общих сетях, таких как Интернет, поскольку они могут обеспечить защиту сразу для многих приложений, не изменяя их.
В предыдущих главах мы обсуждали, что многие протоколы безопасности в реальном времени были разработаны для сетевой безопасности, обеспечивая такие базовые принципы безопасности, как конфиденциальность, аутентификация источника, целостность сообщений и неотказуемость.
Большинство этих протоколов оставались сфокусированными на верхних уровнях стека протоколов OSI, чтобы компенсировать присущее стандартному интернет-протоколу отсутствие безопасности. Несмотря на свою ценность, эти методы нельзя легко обобщить для использования в любом приложении. Например, SSL разработан специально для защиты таких приложений, как HTTP или FTP. Но есть несколько других приложений, которым также нужна безопасная связь.
Эта потребность привела к разработке решения безопасности на уровне IP, чтобы все протоколы более высокого уровня могли использовать его преимущества. В 1992 году Инженерная группа Интернета (IETF) приступила к разработке стандарта «IPsec».
В этой главе мы обсудим, как достигается безопасность на сетевом уровне с использованием этого очень популярного набора протоколов IPsec.
Безопасность на сетевом уровне
Любая схема, разработанная для обеспечения сетевой безопасности, должна быть реализована на каком-то уровне в стеке протоколов, как показано на схеме ниже.
Слой | Протоколы связи | Протоколы безопасности |
---|---|---|
Уровень приложения | HTTP FTP SMTP | PGP. S / MIME, HTTPS |
Транспортный уровень | TCP / UDP | SSL, TLS, SSH |
Сетевой уровень | IP | IPsec |
Популярной структурой, разработанной для обеспечения безопасности на сетевом уровне, является безопасность протокола Интернета (IPsec).
Особенности IPsec
IPsec не предназначен для работы только с TCP в качестве транспортного протокола. Он работает с UDP, а также с любым другим протоколом выше IP, таким как ICMP, OSPF и т. Д.
IPsec защищает весь пакет, представленный на уровне IP, включая заголовки более высокого уровня.
Поскольку заголовки более высокого уровня скрыты, которые несут номер порта, анализ трафика является более трудным.
IPsec работает от одного сетевого объекта к другому сетевому объекту, а не от процесса приложения к процессу приложения. Следовательно, безопасность может быть принята без необходимости внесения изменений в отдельные пользовательские компьютеры / приложения.
Широко используемый для обеспечения безопасной связи между сетевыми объектами, IPsec также может обеспечить безопасность между хостами.
Чаще всего IPsec используется для создания виртуальной частной сети (VPN) либо между двумя местоположениями (шлюз-шлюз), либо между удаленным пользователем и корпоративной сетью (хост-шлюз).
Функции безопасности
Важные функции безопасности, обеспечиваемые IPsec, следующие:
Конфиденциальность
Позволяет связывающимся узлам шифровать сообщения.
Предотвращает подслушивание третьими лицами.
Аутентификация источника и целостность данных.
Обеспечивает уверенность в том, что полученный пакет действительно был передан стороной, указанной в заголовке пакета как источник.
Подтверждает, что пакет не был изменен или иным образом.
Ключевой менеджмент.
Обеспечивает безопасный обмен ключами.
Защита от определенных типов атак на безопасность, таких как атаки воспроизведения.
Виртуальная частная сеть
В идеале любое учреждение должно иметь собственную частную сеть для связи для обеспечения безопасности. Однако создание и обслуживание такой частной сети на географически удаленной территории может оказаться очень дорогостоящим. Это потребует управления сложной инфраструктурой каналов связи, маршрутизаторов, DNS и т. Д.
IPsec предоставляет простой механизм для реализации виртуальной частной сети (VPN) для таких организаций. Технология VPN позволяет передавать внутренний трафик учреждения через общедоступный Интернет путем шифрования трафика перед входом в общедоступный Интернет и логического отделения его от другого трафика. Упрощенная работа VPN показана на следующей диаграмме -
Обзор IPsec
IPsec - это структура / набор протоколов для обеспечения безопасности на уровне IP.
Происхождение
В начале 1990-х годов Интернет использовался немногими учреждениями, в основном в академических целях. Но в последующие десятилетия рост Интернета стал экспоненциальным из-за расширения сети и нескольких организаций, использующих ее для связи и других целей.
В связи с массовым ростом Интернета в сочетании с присущими протоколу TCP / IP слабостями безопасности возникла потребность в технологии, которая может обеспечить сетевую безопасность в Интернете. Отчет под названием «Безопасность в архитектуре Интернета» был выпущен Советом по архитектуре Интернета (IAB) в 1994 году. В нем определены ключевые области для механизмов безопасности.
IAB включил аутентификацию и шифрование в качестве основных функций безопасности в IPv6, IP следующего поколения. К счастью, эти возможности безопасности были определены таким образом, что их можно реализовать как с текущим IPv4, так и с футуристическим IPv6.
Структура безопасности IPsec была определена в нескольких «Запросах на комментарии» (RFC). Некоторые RFC определяют некоторые части протокола, в то время как другие рассматривают решение в целом.
Операции в IPsec
Можно считать, что пакет IPsec выполняет две отдельные операции, выполняемые в унисон, обеспечивая полный набор служб безопасности. Эти две операции - это связь IPsec и обмен ключами в Интернете.
Связь IPsec
Обычно это связано со стандартными функциями IPsec. Он включает инкапсуляцию, шифрование и хеширование дейтаграмм IP, а также обработку всех пакетных процессов.
Он отвечает за управление связью в соответствии с доступными ассоциациями безопасности (SA), установленными между взаимодействующими сторонами.
Он использует протоколы безопасности, такие как заголовок аутентификации (AH) и инкапсулированный SP (ESP).
Связь IPsec не участвует в создании ключей или управлении ими.
Сама операция связи IPsec обычно называется IPsec.
Обмен ключами в Интернете (IKE)
IKE - это протокол автоматического управления ключами, используемый для IPsec.
Технически управление ключами не является существенным для связи IPsec, и ключами можно управлять вручную. Однако ручное управление ключами нежелательно для больших сетей.
IKE отвечает за создание ключей для IPsec и обеспечение аутентификации в процессе создания ключа. Хотя IPsec можно использовать для любых других протоколов управления ключами, по умолчанию используется IKE.
IKE определяет два протокола (Oakley и SKEME), которые будут использоваться с уже определенной структурой управления ключами Internet Security Association Key Management Protocol (ISAKMP).
ISAKMP не является специфическим для IPsec, но обеспечивает основу для создания SA для любого протокола.
В этой главе в основном обсуждается связь IPsec и связанный протокол, используемый для обеспечения безопасности.
Режимы связи IPsec
Связь IPsec имеет два режима работы; транспортный и туннельный режимы. Эти режимы могут использоваться в комбинации или индивидуально в зависимости от желаемого типа связи.
Транспортный режим
IPsec не инкапсулирует пакет, полученный с верхнего уровня.
Исходный заголовок IP сохраняется, и данные пересылаются на основе исходных атрибутов, установленных протоколом верхнего уровня.
На следующей диаграмме показан поток данных в стеке протоколов.
Ограничение транспортного режима заключается в том, что услуги шлюза не могут быть предоставлены. Он зарезервирован для связи точка-точка, как показано на следующем рисунке.
Туннельный режим
Этот режим IPsec предоставляет услуги инкапсуляции наряду с другими услугами безопасности.
В туннельном режиме весь пакет с верхнего уровня инкапсулируется перед применением протокола безопасности. Добавлен новый заголовок IP.
На следующей диаграмме показан поток данных в стеке протоколов.
Туннельный режим обычно связан с действиями шлюза. Инкапсуляция дает возможность отправлять несколько сеансов через один шлюз.
Типичная связь в туннельном режиме показана на следующей диаграмме.
Что касается конечных точек, они имеют прямое соединение транспортного уровня. Дейтаграмма от одной системы, направляемая на шлюз, инкапсулируется, а затем пересылается на удаленный шлюз. Удаленный связанный шлюз деинкапсулирует данные и пересылает их конечной точке назначения во внутренней сети.
Используя IPsec, можно также установить режим туннелирования между шлюзом и отдельной конечной системой.
Протоколы IPsec
IPsec использует протоколы безопасности для предоставления требуемых услуг безопасности. Эти протоколы составляют основу операций IPsec, а все остальное предназначено для поддержки этого протокола в IPsec.
Связи безопасности между взаимодействующими объектами устанавливаются и поддерживаются используемым протоколом безопасности.
IPsec определяет два протокола безопасности: заголовок аутентификации (AH) и инкапсуляция данных безопасности (ESP).
Заголовок аутентификации
Протокол AH обеспечивает целостность данных и аутентификацию источника. Это опционально обеспечивает устойчивость к повторному воспроизведению сообщений. Однако это не обеспечивает никакой формы конфиденциальности.
AH - это протокол, который обеспечивает аутентификацию всего или части содержимого дейтаграммы путем добавления заголовка. Заголовок рассчитывается на основе значений в дейтаграмме. Какие части дейтаграммы используются для вычислений и где разместить заголовок, зависит от режима взаимодействия (туннель или транспорт).
Работа протокола AH на удивление проста. Его можно считать аналогичным алгоритмам, используемым для вычисления контрольных сумм или выполнения проверок CRC для обнаружения ошибок.
Концепция AH такая же, за исключением того, что вместо использования простого алгоритма AH использует специальный алгоритм хеширования и секретный ключ, известный только взаимодействующим сторонам. Между двумя устройствами устанавливается связь безопасности, которая определяет эти данные.
Процесс АГ проходит следующие фазы.
Когда IP-пакет получен из стека протоколов верхнего уровня, IPsec определяет соответствующую ассоциацию безопасности (SA) из доступной информации в пакете; например, IP-адрес (источник и место назначения).
Из SA, как только определено, что протоколом безопасности является AH, вычисляются параметры заголовка AH. Заголовок AH состоит из следующих параметров -
Поле заголовка определяет протокол пакета, следующего за заголовком AH. Индекс параметра последовательности (SPI) получается из SA, существующей между взаимодействующими сторонами.
Порядковый номер рассчитывается и вставляется. Эти числа обеспечивают дополнительную способность AH противостоять атаке повторного воспроизведения.
Данные аутентификации рассчитываются по-разному в зависимости от режима связи.
В транспортном режиме расчет данных аутентификации и сборка окончательного IP-пакета для передачи показаны на следующей диаграмме. В исходном заголовке IP изменяется только номер протокола 51 для указанного приложения AH.
В туннельном режиме описанный выше процесс происходит, как показано на следующей диаграмме.
Протокол безопасности инкапсуляции (ESP)
ESP предоставляет такие услуги безопасности, как конфиденциальность, целостность, аутентификация источника и дополнительная защита от повторного воспроизведения. Набор предоставляемых услуг зависит от опций, выбранных во время установления Security Association (SA).
В ESP алгоритмы, используемые для шифрования и генерации аутентификатора, определяются атрибутами, используемыми для создания SA.
Процесс ESP выглядит следующим образом. Первые два шага аналогичны описанному выше процессу AH.
Как только определено, что ESP задействовано, вычисляются поля пакета ESP. Расположение поля ESP показано на следующей диаграмме.
Процесс шифрования и аутентификации в транспортном режиме изображен на следующей диаграмме.
В случае туннельного режима процесс шифрования и аутентификации показан на следующей диаграмме.
Хотя аутентификация и конфиденциальность являются основными услугами, предоставляемыми ESP, они не являются обязательными. Технически мы можем использовать NULL-шифрование без аутентификации. Однако на практике для эффективного использования ESP необходимо реализовать одно из двух.
Основная концепция - использовать ESP, когда требуется аутентификация и шифрование, и использовать AH, когда нужна расширенная аутентификация без шифрования.
Ассоциации безопасности в IPsec
Ассоциация безопасности (SA) - это основа связи IPsec. Особенности SA -
Перед отправкой данных между отправляющим и принимающим объектами устанавливается виртуальное соединение, называемое «Security Association (SA)».
IPsec предоставляет множество вариантов для выполнения сетевого шифрования и аутентификации. Каждое соединение IPsec может обеспечивать шифрование, целостность, аутентичность или все три службы. Когда служба безопасности определена, два одноранговых объекта IPsec должны точно определить, какие алгоритмы использовать (например, DES или 3DES для шифрования; MD5 или SHA-1 для целостности). После выбора алгоритмов два устройства должны совместно использовать ключи сеанса.
SA - это набор вышеуказанных параметров связи, который обеспечивает связь между двумя или более системами для создания сеанса IPsec.
SA проста по своей природе, поэтому для двунаправленной связи требуются две SA.
SA идентифицируются номером индекса параметров безопасности (SPI), который существует в заголовке протокола безопасности.
И отправляющие, и принимающие объекты хранят информацию о состоянии SA. Это похоже на конечные точки TCP, которые также поддерживают информацию о состоянии. IPsec ориентирован на соединение, как и TCP.
Параметры SA
Любая SA однозначно идентифицируется следующими тремя параметрами:
Индекс параметров безопасности (SPI).
Это 32-битное значение, присвоенное SA. Он используется для различения различных SA, заканчивающихся в одном месте назначения и использующих один и тот же протокол IPsec.
Каждый пакет IPsec содержит заголовок, содержащий поле SPI. SPI предоставляется для сопоставления входящего пакета с SA.
SPI - это случайное число, генерируемое отправителем для идентификации SA для получателя.
Destination IP Address - Это может быть IP-адрес конечного маршрутизатора.
Security Protocol Identifier - Указывает, является ли ассоциация AH или ESP SA.
Пример SA между двумя маршрутизаторами, участвующими в обмене данными IPsec, показан на следующей диаграмме.
Безопасность административных баз данных
В IPsec есть две базы данных, которые управляют обработкой дейтаграммы IPsec. Одна из них - это база данных ассоциации безопасности (SAD), а другая - база данных политики безопасности (SPD). Каждая конечная точка обмена данными, использующая IPsec, должна иметь логически отдельные SAD и SPD.
База данных ассоциации безопасности
При обмене данными IPsec конечная точка хранит состояние SA в базе данных сопоставлений безопасности (SAD). Каждая запись SA в базе данных SAD содержит девять параметров, как показано в следующей таблице:
Sr. No. | Параметры и описание |
---|---|
1 | Sequence Number Counter Для исходящей связи. Это 32-битный порядковый номер, указанный в заголовках AH или ESP. |
2 | Sequence Number Overflow Counter Устанавливает флаг опции для предотвращения дальнейших коммуникаций с использованием конкретной SA |
3 | 32-bit anti-replay window Используется для определения того, является ли входящий пакет AH или ESP воспроизведением. |
4 | Lifetime of the SA Время, пока SA остается активным |
5 | Algorithm - AH Используется в AH и соответствующем ключе |
6 | Algorithm - ESP Auth Используется в аутентифицирующей части заголовка ESP |
7 | Algorithm - ESP Encryption Используется при шифровании ESP и связанной с ним ключевой информации |
8 | IPsec mode of operation Транспортный или туннельный режим |
9 | Path MTU(PMTU) Любая максимальная единица передачи наблюдаемого пути (во избежание фрагментации) |
Все записи SA в SAD индексируются по трем параметрам SA: IP-адрес назначения, идентификатор протокола безопасности и SPI.
База данных политики безопасности
SPD используется для обработки исходящих пакетов. Это помогает решить, какие записи SAD следует использовать. Если записи SAD не существует, SPD используется для создания новых.
Любая запись SPD будет содержать -
Указатель на активную SA находится в SAD.
Поля селектора - поле во входящем пакете с верхнего уровня, используемое для принятия решения о применении IPsec. Селекторы могут включать адрес источника и назначения, номера портов, если это необходимо, идентификаторы приложений, протоколы и т. Д.
Исходящие дейтаграммы IP переходят из записи SPD в конкретную SA, чтобы получить параметры кодирования. Входящая дейтаграмма IPsec попадает в правильную SA напрямую с помощью тройки SPI / DEST IP / Protocol и оттуда извлекает связанную запись SAD.
SPD также может указывать трафик, который должен обходить IPsec. SPD можно рассматривать как фильтр пакетов, в котором решаются действия по активации процессов SA.
Резюме
IPsec - это набор протоколов для защиты сетевых подключений. Это довольно сложный механизм, потому что вместо того, чтобы дать прямое определение конкретного алгоритма шифрования и функции аутентификации, он обеспечивает структуру, которая позволяет реализовать все, что согласовано обеими сторонами связи.
Заголовок аутентификации (AH) и инкапсуляция полезной нагрузки безопасности (ESP) - два основных протокола связи, используемых IPsec. В то время как AH только аутентифицирует, ESP может шифровать и аутентифицировать данные, передаваемые через соединение.
Транспортный режим обеспечивает безопасное соединение между двумя конечными точками без изменения заголовка IP. Туннельный режим инкапсулирует весь IP-пакет полезной нагрузки. Он добавляет новый заголовок IP. Последний используется для формирования традиционной VPN, поскольку обеспечивает виртуальный безопасный туннель через ненадежный Интернет.
Установка соединения IPsec включает в себя всевозможные варианты шифрования. Аутентификация обычно строится на основе криптографического хэша, такого как MD5 или SHA-1. Распространенными алгоритмами шифрования являются DES, 3DES, Blowfish и AES. Возможны и другие алгоритмы.
Обе взаимодействующие конечные точки должны знать секретные значения, используемые при хешировании или шифровании. Ручные ключи требуют ручного ввода секретных значений на обоих концах, предположительно передаваемых каким-то внеполосным механизмом, а IKE (Internet Key Exchange) представляет собой сложный механизм для выполнения этого онлайн.