Сетевая безопасность - Краткое руководство
В эту современную эпоху организации в значительной степени полагаются на компьютерные сети для эффективного и продуктивного обмена информацией в масштабах всей организации. Организационные компьютерные сети в настоящее время становятся большими и повсеместными. Если предположить, что у каждого сотрудника есть выделенная рабочая станция, в крупной компании будет несколько тысяч рабочих станций и много серверов в сети.
Вполне вероятно, что этими рабочими станциями нельзя будет управлять централизованно, и у них не будет защиты периметра. У них может быть множество операционных систем, оборудования, программного обеспечения и протоколов с разным уровнем осведомленности пользователей в киберпространстве. А теперь представьте, что эти тысячи рабочих станций в сети компании напрямую подключены к Интернету. Такая незащищенная сеть становится целью атаки, которая содержит ценную информацию и показывает уязвимости.
В этой главе мы описываем основные уязвимости сети и значение сетевой безопасности. В следующих главах мы обсудим методы достижения того же.
Физическая сеть
Сеть определяется как два или более вычислительных устройства, соединенных вместе для эффективного совместного использования ресурсов. Кроме того, соединение двух или более сетей вместе известно какinternetworking. Таким образом, Интернет - это просто объединенная сеть - совокупность взаимосвязанных сетей.
Для настройки внутренней сети у организации есть различные варианты. Он может использовать проводную или беспроводную сеть для подключения всех рабочих станций. В настоящее время организации в основном используют сочетание проводных и беспроводных сетей.
Проводные и беспроводные сети
В проводной сети устройства соединяются друг с другом с помощью кабелей. Обычно проводные сети основаны на протоколе Ethernet, в котором устройства подключаются с помощью кабелей неэкранированной витой пары (UTP) к различным коммутаторам. Эти коммутаторы дополнительно подключаются к сетевому маршрутизатору для доступа в Интернет.
В беспроводной сети устройство подключается к точке доступа посредством радиопередачи. Точки доступа дополнительно подключаются кабелями к коммутатору / маршрутизатору для доступа к внешней сети.
Беспроводные сети приобрели популярность благодаря предлагаемой ими мобильности. Мобильные устройства не должны быть привязаны к кабелю и могут свободно перемещаться в пределах диапазона беспроводной сети. Это обеспечивает эффективный обмен информацией и повышает производительность.
Уязвимости и атаки
Распространенная уязвимость, существующая как в проводных, так и в беспроводных сетях, - это «несанкционированный доступ» к сети. Злоумышленник может подключить свое устройство к сети через незащищенный порт концентратора / коммутатора. В этом отношении беспроводная сеть считается менее безопасной, чем проводная, потому что к беспроводной сети можно легко получить доступ без какого-либо физического соединения.
После доступа злоумышленник может использовать эту уязвимость для запуска таких атак, как:
Обнюхивание пакетных данных для кражи ценной информации.
Отказ в обслуживании законных пользователей в сети путем переполнения сетевого носителя ложными пакетами.
Подмена физических идентификаторов (MAC) законных хостов, а затем кража данных или дальнейший запуск атаки «человек посередине».
Сетевой протокол
Сетевой протокол - это набор правил, регулирующих обмен данными между устройствами, подключенными к сети. Они включают механизмы для установления соединений, а также правила форматирования для упаковки данных для отправленных и полученных сообщений.
Было разработано несколько протоколов компьютерных сетей, каждый из которых предназначен для определенных целей. Популярными и широко используемыми протоколами являются TCP / IP с соответствующими протоколами более высокого и более низкого уровня.
TCP / IP протокол
Transmission Control Protocol (TCP) и Internet Protocol(IP) - это два разных компьютерных сетевых протокола, которые в основном используются вместе. Благодаря своей популярности и широкому распространению они встроены во все операционные системы сетевых устройств.
IP соответствует сетевому уровню (уровень 3), тогда как TCP соответствует транспортному уровню (уровень 4) в OSI. TCP / IP применяется к сетевым коммуникациям, где транспорт TCP используется для доставки данных по IP-сетям.
Протоколы TCP / IP обычно используются с другими протоколами, такими как HTTP, FTP, SSH на прикладном уровне и Ethernet на канальном / физическом уровне.
Набор протоколов TCP / IP был создан в 1980 году как решение для межсетевого взаимодействия, мало заботящееся об аспектах безопасности.
Он был разработан для связи в ограниченной доверенной сети. Однако со временем этот протокол стал де-факто стандартом для незащищенной связи в Интернете.
Некоторые из распространенных уязвимостей безопасности костюмов протокола TCP / IP:
HTTP - это протокол прикладного уровня в пакете TCP / IP, используемый для передачи файлов, составляющих веб-страницы, с веб-серверов. Эти передачи выполняются в виде обычного текста, и злоумышленник может легко прочитать пакеты данных, которыми обмениваются сервер и клиент.
Другая уязвимость HTTP - это слабая аутентификация между клиентом и веб-сервером во время инициализации сеанса. Эта уязвимость может привести к атаке с перехватом сеанса, когда злоумышленник крадет сеанс HTTP законного пользователя.
Уязвимость протокола TCP заключается в трехстороннем рукопожатии для установления соединения. Злоумышленник может запустить атаку отказа в обслуживании «SYN-flooding», чтобы воспользоваться этой уязвимостью. Он устанавливает множество полуоткрытых сессий, не завершая рукопожатие. Это приводит к перегрузке сервера и, в конечном итоге, к сбою.
Уровень IP подвержен множеству уязвимостей. Путем модификации заголовка IP-протокола злоумышленник может запустить атаку с подменой IP-адреса.
Помимо вышеупомянутого, многие другие уязвимости безопасности существуют в семействе протоколов TCP / IP как в конструкции, так и в его реализации.
Между прочим, при сетевой связи на основе TCP / IP, если один уровень взломан, другие уровни не узнают о взломе, и вся связь будет скомпрометирована. Следовательно, необходимо применять меры безопасности на каждом уровне, чтобы гарантировать надежную защиту.
Протокол DNS
Domain Name System(DNS) используется для преобразования имен доменов хоста в IP-адреса. Пользователи сети зависят от функций DNS в основном во время работы в Интернете, набирая URL-адрес в веб-браузере.
При атаке на DNS цель злоумышленника - изменить законную запись DNS, чтобы она была преобразована в неверный IP-адрес. Он может направить весь трафик для этого IP-адреса не на тот компьютер. Злоумышленник может либо использовать уязвимость протокола DNS, либо скомпрометировать DNS-сервер для материализации атаки.
DNS cache poisoningэто атака, использующая уязвимость, обнаруженную в протоколе DNS. Злоумышленник может отравить кэш, подделав ответ на рекурсивный DNS-запрос, отправленный преобразователем на полномочный сервер. После заражения кеша DNS-преобразователя хост будет перенаправлен на вредоносный веб-сайт и может скомпрометировать учетные данные, связавшись с этим сайтом.
Протокол ICMP
Internet Control Management Protocol(ICMP) - это базовый протокол управления сетями TCP / IP. Он используется для отправки сообщений об ошибках и контроля состояния сетевых устройств.
ICMP является неотъемлемой частью реализации IP-сети и, следовательно, присутствует в самой сети. У ICMP есть свои уязвимости, и им можно злоупотреблять для атаки на сеть.
Распространенные атаки, которые могут произойти в сети из-за уязвимостей ICMP:
ICMP позволяет злоумышленнику проводить сетевую разведку, чтобы определить топологию сети и пути в сеть. ICMP-очистка включает обнаружение всех активных IP-адресов хостов во всей целевой сети.
Trace route - популярная утилита ICMP, которая используется для отображения целевой сети путем описания пути в реальном времени от клиента к удаленному хосту.
Злоумышленник может запустить атаку отказа в обслуживании, используя уязвимость ICMP. Эта атака включает отправку ping-пакетов IPMP, размер которых превышает 65 535 байт, на целевое устройство. Целевой компьютер не может правильно обработать этот пакет и может вызвать сбой в работе операционной системы.
Другие протоколы, такие как ARP, DHCP, SMTP и т. Д., Также имеют свои уязвимости, которые могут быть использованы злоумышленником для нарушения безопасности сети. Мы обсудим некоторые из этих уязвимостей в следующих главах.
Наименьшее беспокойство по поводу аспекта безопасности при разработке и реализации протоколов превратилось в основную причину угроз сетевой безопасности.
Цели сетевой безопасности
Как обсуждалось в предыдущих разделах, в сети существует большое количество уязвимостей. Таким образом, во время передачи данные очень уязвимы для атак. Злоумышленник может выбрать канал связи, получить данные и прочитать то же самое или повторно вставить ложное сообщение для достижения своих гнусных целей.
Сетевая безопасность касается не только безопасности компьютеров на каждом конце коммуникационной цепочки; однако его цель - обеспечить безопасность всей сети.
Сетевая безопасность влечет за собой защиту удобства использования, надежности, целостности и безопасности сети и данных. Эффективная сетевая безопасность предотвращает проникновение и распространение различных угроз в сети.
Основная цель сетевой безопасности - это конфиденциальность, целостность и доступность. Эти три столпа сетевой безопасности часто представляют какCIA triangle.
Confidentiality- Функция конфиденциальности заключается в защите ценных бизнес-данных от посторонних лиц. Конфиденциальность - часть сетевой безопасности, гарантирующая, что данные будут доступны только назначенным и уполномоченным лицам.
Integrity- Эта цель означает поддержание и обеспечение точности и согласованности данных. Функция целостности - убедиться, что данные надежны и не изменяются посторонними лицами.
Availability - Функция доступности в сетевой безопасности состоит в том, чтобы гарантировать, что данные, сетевые ресурсы / услуги постоянно доступны для законных пользователей, когда им это необходимо.
Обеспечение сетевой безопасности
Обеспечение сетевой безопасности может показаться очень простым делом. Цели, которые нужно достичь, кажутся простыми. Но на самом деле механизмы, используемые для достижения этих целей, очень сложны, и их понимание требует здравого смысла.
International Telecommunication Union(ITU) в своей рекомендации по архитектуре безопасности X.800 определил определенные механизмы для стандартизации методов достижения сетевой безопасности. Некоторые из этих механизмов -
En-cipherment- Этот механизм предоставляет услуги конфиденциальности данных путем преобразования данных в нечитаемые формы для неавторизованных лиц. Этот механизм использует алгоритм шифрования-дешифрования с секретными ключами.
Digital signatures- Этот механизм является электронным эквивалентом обычных подписей в электронных данных. Это обеспечивает достоверность данных.
Access control- Этот механизм используется для предоставления услуг контроля доступа. Эти механизмы могут использовать идентификацию и аутентификацию объекта для определения и обеспечения прав доступа объекта.
После разработки и определения различных механизмов безопасности для достижения сетевой безопасности важно решить, где их применять; как физически (в каком месте), так и логически (на каком уровне архитектуры, например TCP / IP).
Механизмы безопасности на сетевых уровнях
Несколько механизмов безопасности были разработаны таким образом, чтобы их можно было разработать на конкретном уровне модели сетевого уровня OSI.
Security at Application Layer- Меры безопасности, используемые на этом уровне, зависят от конкретного приложения. Для разных типов приложений требуются отдельные меры безопасности. Чтобы обеспечить безопасность на уровне приложений, необходимо изменить приложения.
Считается, что разработать криптографически надежный протокол приложения очень сложно, а его правильная реализация еще более сложна. Следовательно, механизмы безопасности прикладного уровня для защиты сетевых коммуникаций предпочтительнее быть только основанными на стандартах решениями, которые используются в течение некоторого времени.
Примером протокола безопасности прикладного уровня является Secure Multipurpose Internet Mail Extensions (S / MIME), который обычно используется для шифрования сообщений электронной почты. DNSSEC - еще один протокол этого уровня, используемый для безопасного обмена сообщениями запросов DNS.
Security at Transport Layer- Меры безопасности на этом уровне могут использоваться для защиты данных в одном сеансе связи между двумя хостами. Чаще всего протоколы безопасности транспортного уровня используются для защиты трафика сеансов HTTP и FTP. Transport Layer Security (TLS) и Secure Socket Layer (SSL) являются наиболее распространенными протоколами, используемыми для этой цели.
Network Layer- Меры безопасности на этом уровне могут применяться ко всем приложениям; таким образом, они не зависят от приложения. Все сетевые коммуникации между двумя хостами или сетями могут быть защищены на этом уровне без изменения какого-либо приложения. В некоторых средах протокол безопасности сетевого уровня, такой как Internet Protocol Security (IPsec), обеспечивает гораздо лучшее решение, чем элементы управления транспортного или прикладного уровня, из-за трудностей с добавлением элементов управления в отдельные приложения. Однако протоколы безопасности на этом уровне обеспечивают меньшую гибкость связи, которая может потребоваться некоторым приложениям.
Между прочим, механизм безопасности, предназначенный для работы на более высоком уровне, не может обеспечить защиту данных на более низких уровнях, поскольку более низкие уровни выполняют функции, о которых более высокие уровни не знают. Следовательно, может потребоваться развертывание нескольких механизмов безопасности для повышения безопасности сети.
В следующих главах учебного пособия мы обсудим механизмы безопасности, используемые на разных уровнях сетевой архитектуры OSI для достижения сетевой безопасности.
Различные бизнес-услуги теперь предлагаются онлайн через клиент-серверные приложения. Наиболее популярные формы - это веб-приложение и электронная почта. В обоих приложениях клиент связывается с назначенным сервером и получает услуги.
При использовании службы из любого серверного приложения клиент и сервер обмениваются большим объемом информации в основной интрасети или Интернете. Нам известно, что эти информационные транзакции уязвимы для различных атак.
Сетевая безопасность подразумевает защиту данных от атак во время их передачи по сети. Для достижения этой цели было разработано множество протоколов безопасности в реальном времени. Такой протокол должен обеспечивать по крайней мере следующие основные цели:
- Стороны могут вести переговоры в интерактивном режиме для аутентификации друг друга.
- Установите секретный сеансовый ключ перед обменом информацией по сети.
- Обмен информацией в зашифрованном виде.
Интересно, что эти протоколы работают на разных уровнях сетевой модели. Например, протокол S / MIME работает на прикладном уровне, протокол SSL разработан для работы на транспортном уровне, а протокол IPsec работает на сетевом уровне.
В этой главе мы обсудим различные процессы обеспечения безопасности при обмене сообщениями электронной почты и соответствующие протоколы безопасности. Далее рассматривается метод защиты DNS. В следующих главах будут описаны протоколы обеспечения веб-безопасности.
Безопасность электронной почты
В настоящее время электронная почта стала очень широко используемым сетевым приложением. Давайте кратко обсудим инфраструктуру электронной почты, прежде чем приступить к изучению протоколов безопасности электронной почты.
Инфраструктура электронной почты
Самый простой способ отправить электронное письмо - это отправить сообщение прямо с машины отправителя на машину получателя. В этом случае важно, чтобы обе машины работали в сети одновременно. Однако такая настройка непрактична, поскольку пользователи могут иногда подключать свои машины к сети.
Таким образом, появилась концепция создания серверов электронной почты. В этой настройке почта отправляется на почтовый сервер, который постоянно доступен в сети. Когда аппарат получателя подключается к сети, он читает почту с почтового сервера.
В общем, инфраструктура электронной почты состоит из сети почтовых серверов, также называемых Message Transfer Agents (MTA) и клиентские машины, на которых запущена программа электронной почты, состоящая из User Agent (UA) и локального MTA.
Как правило, сообщение электронной почты пересылается из своего UA, проходит через сеть MTA и, наконец, достигает UA на машине получателя.
Протоколы, используемые для электронной почты, следующие:
Простой протокол передачи почты (SMTP), используемый для пересылки сообщений электронной почты.
Протокол почтового отделения (POP) и протокол доступа к сообщениям в Интернете (IMAP) используются для получения сообщений получателем с сервера.
MIME
Базовый стандарт электронной почты Интернета был написан в 1982 году и описывает формат сообщений электронной почты, которыми обмениваются в Интернете. Он в основном поддерживает сообщения электронной почты, написанные в виде текста на основном латинском алфавите.
К 1992 году возникла потребность улучшить то же самое. Следовательно, было определено дополнительное стандартное многоцелевое расширение почты Интернета (MIME). Это набор расширений к основному стандарту электронной почты в Интернете. MIME предоставляет возможность отправлять электронную почту с использованием символов, отличных от символов основного латинского алфавита, таких как кириллица (используется в русском языке), греческий алфавит или даже идеографические символы китайского языка.
Другая потребность, выполняемая MIME, - это отправка нетекстового содержимого, такого как изображения или видеоклипы. Благодаря этим особенностям стандарт MIME получил широкое распространение с SMTP для связи по электронной почте.
Службы безопасности электронной почты
Растущее использование электронной почты для важных и важных транзакций требует предоставления определенных основных услуг безопасности, таких как:
Confidentiality - Сообщение электронной почты не должно читаться никем, кроме предполагаемого получателя.
Authentication - Получатель электронного письма может быть уверен в личности отправителя.
Integrity - Уверенность получателя в том, что сообщение электронной почты не было изменено с момента его передачи отправителем.
Non-repudiation - Получатель электронной почты может доказать третьей стороне, что отправитель действительно отправил сообщение.
Proof of submission - Отправитель электронной почты получает подтверждение о том, что сообщение передано в систему доставки почты.
Proof of delivery - Отправитель получает подтверждение, что получатель получил сообщение.
Такие услуги безопасности, как конфиденциальность, аутентификация, целостность сообщений и неотказуемость, обычно предоставляются с использованием криптографии с открытым ключом.
Обычно существует три различных сценария общения по электронной почте. Мы обсудим методы достижения вышеуказанных услуг безопасности в этих сценариях.
Индивидуальное электронное письмо
В этом сценарии отправитель отправляет сообщение электронной почты только одному получателю. Обычно в коммуникации участвует не более двух MTA.
Предположим, отправитель хочет отправить получателю конфиденциальное электронное письмо. Обеспечение конфиденциальности в этом случае достигается следующим образом:
Отправитель и получатель имеют свои частно-открытые ключи как (S PVT , S PUB ) и (R PVT , R PUB ) соответственно.
Отправитель генерирует секретный симметричный ключ K S для шифрования. Хотя отправитель мог использовать R PUB для шифрования, симметричный ключ используется для более быстрого шифрования и дешифрования.
Отправитель шифрует сообщение ключом K S, а также шифрует K S открытым ключом получателя R PUB .
Отправитель отправляет зашифрованное сообщение и зашифрованный K S получателю.
Получатель сначала получает K S , расшифровывая закодированный K S, используя свой закрытый ключ R PVT .
Получатель расшифровывает сообщение с помощью симметричного ключа, K S .
Если в этом сценарии также требуются службы целостности сообщения, аутентификации и предотвращения отказа, к описанному выше процессу добавляются следующие шаги.
Отправитель создает хеш сообщения и подписывает его цифровой подписью своим закрытым ключом S PVT .
Отправитель отправляет этот подписанный хэш получателю вместе с другими компонентами.
Получатель использует открытый ключ S PUB и извлекает хэш, полученный под подписью отправителя.
Затем получатель хеширует расшифрованное сообщение и сравнивает два значения хеш-функции. Если они совпадают, считается, что целостность сообщения достигнута.
Также получатель уверен, что сообщение отправлено отправителем (аутентификация). И наконец, отправитель не может отрицать, что он не отправлял сообщение (неотказуемость).
Электронная почта от одного к нескольким получателям
В этом сценарии отправитель отправляет сообщение электронной почты двум или более получателям. Список управляется программой электронной почты отправителя (UA + местный MTA). Все получатели получают одно и то же сообщение.
Предположим, отправитель хочет отправить конфиденциальное электронное письмо множеству получателей (например, R1, R2 и R3). Обеспечение конфиденциальности в этом случае достигается следующим образом:
Отправитель и все получатели имеют свою пару закрытых и открытых ключей.
Отправитель генерирует секретный симметричный ключ K s и шифрует сообщение этим ключом.
Затем отправитель многократно шифрует K S с помощью открытых ключей R1, R2 и R3, получая R1 PUB (K S ), R2 PUB (K S ) и R3 PUB (K S ).
Отправитель отправляет зашифрованное сообщение и соответствующий зашифрованный K S получателю. Например, получатель 1 (R1) получает зашифрованное сообщение и R1 PUB (K S ).
Каждый получатель сначала извлекает ключ K S , расшифровывая закодированный K S, используя свой закрытый ключ.
Каждый получатель расшифровывает сообщение с помощью симметричного ключа, K S .
Для обеспечения целостности сообщения, аутентификации и предотвращения отказа от авторства шаги, которые необходимо выполнить, аналогичны шагам, упомянутым выше в сценарии индивидуальной электронной почты.
Электронная почта для списка рассылки
В этом сценарии отправитель отправляет сообщение электронной почты двум или более получателям, но список получателей не управляется отправителем локально. Обычно почтовый сервер (MTA) поддерживает список рассылки.
Отправитель отправляет письмо MTA, управляющему списком рассылки, а затем MTA рассылает почту всем получателям в списке.
В этом случае, когда отправитель хочет отправить конфиденциальное электронное письмо получателям списка рассылки (скажем, R1, R2 и R3); конфиденциальность обеспечивается следующим образом -
Отправитель и все получатели имеют свою пару закрытых и открытых ключей. Сервер Exploder имеет пару закрытых и открытых ключей для каждого списка рассылки (List PUB , List PVT ), который он поддерживает.
Отправитель генерирует секретный симметричный ключ K s, а затем шифрует сообщение этим ключом.
Затем отправитель шифрует K S открытым ключом, связанным со списком, и получает List PUB (K S ).
Отправитель отправляет зашифрованное сообщение и список PUB (K S ). Взрыватель MTA расшифровывает Список PUB (K S ) с помощью списка PVT и получает K S .
Взрыватель шифрует K S с помощью такого количества открытых ключей, сколько членов находится в списке.
Exploder пересылает полученное зашифрованное сообщение и соответствующий зашифрованный K S всем получателям в списке. Например, Exploder пересылает зашифрованное сообщение и R1 PUB (K S ) получателю 1 и так далее.
Для обеспечения целостности сообщения, аутентификации и предотвращения отказа от авторства шаги, которые необходимо выполнить, аналогичны приведенным в случае сценария индивидуальной электронной почты.
Интересно отметить, что программа электронной почты, использующая вышеуказанный метод защиты для защиты электронной почты, как ожидается, будет работать для всех возможных сценариев, описанных выше. Большинство вышеперечисленных механизмов безопасности для электронной почты обеспечивается двумя популярными схемами: Pretty Good Privacy (PGP) и S / MIME. Мы обсуждаем оба в следующих разделах.
PGP
Pretty Good Privacy(PGP) - это схема шифрования электронной почты. Он стал де-факто стандартом предоставления услуг безопасности для общения по электронной почте.
Как обсуждалось выше, он использует криптографию с открытым ключом, криптографию с симметричным ключом, хэш-функцию и цифровую подпись. Он обеспечивает -
- Privacy
- Аутентификация отправителя
- Целостность сообщения
- Non-repudiation
Наряду с этими службами безопасности он также обеспечивает сжатие данных и поддержку управления ключами. PGP использует существующие криптографические алгоритмы, такие как RSA, IDEA, MD5 и т.д., а не изобретает новые.
Работа PGP
Рассчитывается хеш сообщения. (Алгоритм MD5)
Результирующий 128-битный хэш подписывается с использованием закрытого ключа отправителя (алгоритм RSA).
Цифровая подпись присоединяется к сообщению, и результат сжимается.
128-битный симметричный ключ K S генерируется и используется для шифрования сжатого сообщения с помощью IDEA.
K S зашифровывается с использованием открытого ключа получателя с использованием алгоритма RSA, и результат добавляется к зашифрованному сообщению.
Формат сообщения PGP показан на следующей диаграмме. Идентификаторы указывают, какой ключ используется для шифрования KS и какой ключ должен использоваться для проверки подписи на хэше.
В схеме PGP сообщение подписывается и зашифровывается, а затем перед передачей кодируется MIME.
Сертификат PGP
Сертификат ключа PGP обычно устанавливается через цепочку доверия. Например, открытый ключ A подписан B с использованием его открытого ключа, а открытый ключ B подписан C с использованием его открытого ключа. По мере того, как этот процесс продолжается, он создает сеть доверия.
В среде PGP любой пользователь может выступать в качестве удостоверяющего центра. Любой пользователь PGP может сертифицировать открытый ключ другого пользователя PGP. Однако такой сертификат действителен для другого пользователя только в том случае, если пользователь распознает в сертификаторе доверенного агента.
При использовании такого метода сертификации существует несколько проблем. Может быть сложно найти цепочку, ведущую от известного и надежного открытого ключа к желаемому ключу. Кроме того, может быть несколько цепочек, которые могут привести к различным ключам для желаемого пользователя.
PGP также может использовать инфраструктуру PKI с центром сертификации, а открытые ключи могут быть сертифицированы CA (сертификат X.509).
S / MIME
S / MIME расшифровывается как Secure Multipurpose Internet Mail Extension. S / MIME - это безопасный стандарт электронной почты. Он основан на более раннем стандарте незащищенной электронной почты под названием MIME.
Работа S / MIME
Подход S / MIME похож на PGP. Он также использует криптографию с открытым ключом, криптографию с симметричным ключом, хэш-функции и цифровые подписи. Он предоставляет аналогичные услуги безопасности, как PGP, для общения по электронной почте.
Наиболее распространенными симметричными шифрами, используемыми в S / MIME, являются RC2 и TripleDES. Обычный метод открытого ключа - RSA, а алгоритм хеширования - SHA-1 или MD5.
S / MIME определяет дополнительный тип MIME, такой как «application / pkcs7-mime», для конвертирования данных после шифрования. Вся сущность MIME зашифрована и упакована в объект. S / MIME имеет стандартизованные форматы криптографических сообщений (отличные от PGP). Фактически, MIME расширяется некоторыми ключевыми словами для идентификации зашифрованных и / или подписанных частей сообщения.
S / MIME полагается на сертификаты X.509 для распространения открытых ключей. Для поддержки сертификации требуется иерархическая иерархическая PKI сверху вниз.
Возможность использования S / MIME
Из-за требования сертификата от центра сертификации для реализации не все пользователи могут воспользоваться преимуществами S / MIME, так как некоторые могут захотеть зашифровать сообщение с помощью пары открытого / закрытого ключей. Например, без участия или административных накладных расходов на сертификаты.
На практике, хотя большинство приложений электронной почты реализуют S / MIME, процесс регистрации сертификатов сложен. Вместо этого для поддержки PGP обычно требуется добавить плагин, и этот плагин поставляется со всем, что необходимо для управления ключами. Сеть доверия на самом деле не используется. Люди обмениваются своими открытыми ключами через другой носитель. После получения они хранят копии открытых ключей тех, с кем обычно обмениваются электронными письмами.
Уровень реализации в сетевой архитектуре для схем PGP и S / MIME показан на следующем изображении. Обе эти схемы обеспечивают безопасность на уровне приложений для электронной почты.
Одна из схем, PGP или S / MIME, используется в зависимости от среды. Безопасное общение по электронной почте во внутренней сети может быть обеспечено путем адаптации к PGP. S / MIME считается хорошим вариантом для обеспечения безопасности электронной почты через Интернет, когда почта обменивается с новыми неизвестными пользователями.
Безопасность DNS
В первой главе мы упоминали, что злоумышленник может использовать DNS Cache Poisoning для атаки на целевого пользователя. Domain Name System Security Extensions (DNSSEC) - это Интернет-стандарт, который может предотвращать такие атаки.
Уязвимость стандартного DNS
В стандартной схеме DNS, когда пользователь хочет подключиться к любому доменному имени, его компьютер связывается с DNS-сервером и ищет связанный IP-адрес для этого доменного имени. После получения IP-адреса компьютер подключается к этому IP-адресу.
В этой схеме вообще нет процесса проверки. Компьютер запрашивает у своего DNS-сервера адрес, связанный с веб-сайтом, DNS-сервер отвечает IP-адресом, и ваш компьютер, несомненно, принимает его как законный ответ и подключается к этому сайту.
Поиск DNS фактически происходит в несколько этапов. Например, когда компьютер запрашивает «www.tutorialspoint.com», поиск DNS выполняется в несколько этапов:
Компьютер сначала запрашивает локальный DNS-сервер (предоставляется интернет-провайдером). Если у интернет-провайдера есть это имя в кэше, он отвечает, иначе перенаправляет запрос в «каталог корневой зоны», где он может найти «.com». и ответы корневой зоны.
На основе ответа компьютер затем запрашивает каталог «.com», где он может найти «tutorialspoint.com».
На основе полученной информации компьютер запрашивает «tutorialspoint.com», где он может найти www. tutorialspoint.com.
Определено DNSSEC
Поиск DNS, когда он выполняется с использованием DNSSEC, включает подписание ответов отвечающим объектом. DNSSEC основан на криптографии с открытым ключом.
В стандарте DNSSEC каждая зона DNS имеет пару открытого и закрытого ключей. Вся информация, отправляемая DNS-сервером, подписывается закрытым ключом исходной зоны для обеспечения подлинности. Клиентам DNS необходимо знать открытые ключи зоны для проверки подписей. Клиенты могут быть предварительно настроены с использованием открытых ключей всех доменов верхнего уровня или корневого DNS.
С DNSSEC процесс поиска происходит следующим образом:
Когда ваш компьютер спрашивает корневую зону, где он может найти .com, ответ подписывается сервером корневой зоны.
Компьютер проверяет ключ подписи корневой зоны и подтверждает, что это законная корневая зона с достоверной информацией.
В ответ корневая зона предоставляет информацию о ключе подписи сервера зоны .com и его местонахождении, позволяя компьютеру связываться с каталогом .com и обеспечивая его легитимность.
Каталог .com затем предоставляет ключ подписи и информацию для tutorialspoint.com, позволяя ему связываться с google.com и проверять, что вы подключены к настоящему tutorialspoint.com, что подтверждается зонами над ним.
Отправляемая информация находится в форме набора записей ресурсов (RRSets). Пример RRSet для домена «tutorialspoint.com» на сервере верхнего уровня «.com» показан в следующей таблице.
Доменное имя | Время жить | Тип | Значение |
---|---|---|---|
tutorialspoint.com | 86400 | NS | dns.tutorialspoint.com |
dns.tutorialspoint.com | 86400 | А | 36..1.2.3 |
tutorialspoint.com | 86400 | КЛЮЧ | 3682793A7B73F731029CE2737D ... |
tutorialspoint.com | 86400 | SIG | 86947503A8B848F5272E53930C ... |
Запись KEY - это открытый ключ «tutorialspoint.com».
Запись SIG - это подписанный хэш-код верхнего уровня .com-сервера записей полей NS, A и KEY для проверки их подлинности. Его значение - Kcom pvt (H (NS, A, KEY)).
Таким образом, считается, что когда DNSSEC полностью развернут, компьютер пользователя может подтвердить, что ответы DNS являются законными и правдивыми, и избежать атак DNS, запускаемых посредством отравления кеша DNS.
Резюме
Процесс защиты электронной почты обеспечивает сквозную безопасность связи. Он предоставляет услуги защиты конфиденциальности, аутентификации отправителя, целостности сообщений и предотвращения отказа от авторства.
Для защиты электронной почты были разработаны две схемы: PGP и S / MIME. Обе эти схемы используют криптографию с секретным и открытым ключом.
Стандартный поиск DNS уязвим для атак, таких как подмена DNS / отравление кеша. Обеспечение безопасности поиска в DNS возможно за счет использования DNSSEC, в котором используется криптография с открытым ключом.
В этой главе мы обсудили механизмы, используемые на уровне приложений для обеспечения сетевой безопасности для сквозной связи.
Сетевая безопасность подразумевает защиту данных от атак во время их передачи по сети. Для достижения этой цели было разработано множество протоколов безопасности в реальном времени. Существуют популярные стандарты для протоколов сетевой безопасности в реальном времени, такие как S / MIME, SSL / TLS, SSH и IPsec. Как упоминалось ранее, эти протоколы работают на разных уровнях сетевой модели.
В последней главе мы обсудили некоторые популярные протоколы, которые предназначены для обеспечения безопасности на уровне приложений. В этой главе мы обсудим процесс достижения сетевой безопасности на транспортном уровне и связанные протоколы безопасности.
Для сети на основе протокола TCP / IP физический уровень и уровень передачи данных обычно реализуются в пользовательском терминале и аппаратном обеспечении сетевой карты. Уровни TCP и IP реализованы в операционной системе. Все, что выше TCP / IP, реализовано как пользовательский процесс.
Потребность в безопасности транспортного уровня
Давайте обсудим типичную бизнес-транзакцию в Интернете.
Боб заходит на сайт Алисы для продажи товаров. В форме на веб-сайте Боб вводит тип товара и желаемое количество, свой адрес и данные платежной карты. Боб нажимает «Отправить» и ожидает доставки товара со списанием суммы цены со своего счета. Все это звучит неплохо, но в отсутствие сетевой безопасности Боба могут ждать несколько сюрпризов.
Если в транзакциях не использовалась конфиденциальность (шифрование), злоумышленник мог получить информацию о своей платежной карте. После этого злоумышленник может совершать покупки за счет Боба.
Если меры целостности данных не используются, злоумышленник может изменить заказ Боба с точки зрения типа или количества товаров.
Наконец, если аутентификация сервера не используется, сервер может отображать знаменитый логотип Алисы, но сайт может быть вредоносным сайтом, поддерживаемым злоумышленником, который маскируется под Алису. Получив приказ Боба, он мог забрать деньги Боба и сбежать. Или он мог осуществить кражу личных данных, получив имя Боба и данные кредитной карты.
Схемы безопасности транспортного уровня могут решать эти проблемы, улучшая сетевое взаимодействие на основе TCP / IP с обеспечением конфиденциальности, целостности данных, аутентификации сервера и аутентификации клиента.
Безопасность на этом уровне в основном используется для защиты веб-транзакций на основе HTTP в сети. Однако его может использовать любое приложение, работающее через TCP.
Философия дизайна TLS
Протоколы безопасности транспортного уровня (TLS) работают над уровнем TCP. В конструкции этих протоколов используются популярные интерфейсы прикладных программ (API) для TCP, называемые «сокетами», для взаимодействия с уровнем TCP.
Приложения теперь связаны с транспортным уровнем безопасности, а не напрямую с TCP. Transport Security Layer предоставляет простой API с сокетами, который похож и аналогичен API TCP.
На приведенной выше диаграмме, хотя технически TLS находится между прикладным и транспортным уровнями, с общей точки зрения это транспортный протокол, который действует как уровень TCP, усиленный службами безопасности.
TLS разработан для работы по TCP, надежному протоколу уровня 4 (не по протоколу UDP), чтобы упростить проектирование TLS, поскольку ему не нужно беспокоиться о тайм-ауте и повторной передаче потерянных данных. Уровень TCP продолжает делать это как обычно, что служит потребностям TLS.
Почему TLS популярен?
Причина популярности использования защиты на транспортном уровне - простота. Разработка и развертывание защиты на этом уровне не требует каких-либо изменений в протоколах TCP / IP, которые реализованы в операционной системе. Необходимо разрабатывать / модифицировать только пользовательские процессы и приложения, что менее сложно.
Уровень защищенных сокетов (SSL)
В этом разделе мы обсудим семейство протоколов, разработанных для TLS. Семейство включает SSL версий 2 и 3 и протокол TLS. SSLv2 был заменен на SSLv3, поэтому мы сосредоточимся на SSL v3 и TLS.
Краткая история SSL
В 1995 году Netscape разработала SSLv2 и использовала его в Netscape Navigator 1.1. Версия SSL 1 никогда не публиковалась и не использовалась. Позже Microsoft улучшила SSLv2 и представила другой аналогичный протокол под названием Private Communications Technology (PCT).
Netscape существенно улучшил SSLv2 по различным вопросам безопасности и развернул SSLv3 в 1999 году. Впоследствии Internet Engineering Task Force (IETF) представила аналогичный протокол TLS (Transport Layer Security) в качестве открытого стандарта. Протокол TLS не совместим с SSLv3.
TLS изменил криптографические алгоритмы расширения ключа и аутентификации. Кроме того, TLS предложил использовать открытое шифрование Диффи-Хеллмана (DH) и Стандарт цифровой подписи (DSS) вместо запатентованного шифрования RSA, используемого в SSL. Но из-за истечения срока действия патента RSA в 2000 году у пользователей не было серьезных причин для перехода от широко применяемого SSLv3 к TLS.
Важные особенности SSL
Основные особенности протокола SSL следующие:
SSL обеспечивает безопасность сетевого подключения через:
Confidentiality - Обмен информацией осуществляется в зашифрованном виде.
Authentication- Коммуникационные объекты идентифицируют друг друга с помощью цифровых сертификатов. Проверка подлинности веб-сервера является обязательной, тогда как проверка подлинности клиента остается необязательной.
Reliability - Поддерживает проверки целостности сообщений.
SSL доступен для всех приложений TCP.
Поддерживается практически всеми веб-браузерами.
Обеспечивает простоту ведения бизнеса с новыми онлайн-организациями.
Разработано в первую очередь для электронной коммерции в Интернете.
Архитектура SSL
SSL специфичен для TCP и не работает с UDP. SSL предоставляет приложениям интерфейс прикладного программирования (API). Библиотеки / классы SSL для C и Java легко доступны.
Протокол SSL предназначен для взаимодействия между приложением и транспортным уровнем, как показано на следующем изображении -
Сам по себе SSL не является одноуровневым протоколом, как показано на рисунке; фактически он состоит из двух подслоев.
Нижний подуровень состоит из одного компонента протокола SSL, называемого протоколом записи SSL. Этот компонент предоставляет услуги целостности и конфиденциальности.
Верхний подуровень состоит из трех компонентов протокола, связанных с SSL, и прикладного протокола. Компонент приложения обеспечивает услугу передачи информации между взаимодействиями клиент / сервер. Технически он также может работать поверх уровня SSL. Три компонента протокола, связанных с SSL:
- Протокол установления связи SSL
- Изменить протокол спецификации шифра
- Протокол оповещения.
Эти три протокола управляют всеми обменами сообщениями SSL и обсуждаются далее в этом разделе.
Функции компонентов протокола SSL
Четыре подкомпонента протокола SSL обрабатывают различные задачи для безопасной связи между клиентским компьютером и сервером.
Протокол записи
Уровень записи форматирует сообщения протокола верхнего уровня.
Он фрагментирует данные на управляемые блоки (максимальная длина 16 КБ). При желании он сжимает данные.
Шифрует данные.
Предоставляет заголовок для каждого сообщения и хэш (код проверки подлинности сообщения (MAC)) в конце.
Передает отформатированные блоки на уровень TCP для передачи.
Протокол установления связи SSL
Это самая сложная часть SSL. Он вызывается перед передачей каких-либо данных приложения. Он создает сеансы SSL между клиентом и сервером.
Установление сеанса включает аутентификацию сервера, согласование ключей и алгоритмов, установление ключей и аутентификацию клиента (необязательно).
Сеанс идентифицируется уникальным набором параметров криптографической безопасности.
Несколько защищенных TCP-соединений между клиентом и сервером могут совместно использовать один и тот же сеанс.
Действия протокола рукопожатия через четыре фазы. Они обсуждаются в следующем разделе.
Протокол ChangeCipherSpec
Простейшая часть протокола SSL. Он состоит из одного сообщения, которым обмениваются два взаимодействующих объекта, клиент и сервер.
Когда каждый объект отправляет сообщение ChangeCipherSpec, он меняет свою сторону соединения в безопасное состояние по согласованию.
Состояние ожидания параметров шифра копируется в текущее состояние.
Обмен этим сообщением указывает на то, что все будущие обмены данными зашифрованы и целостность защищена.
Протокол предупреждений SSL
Этот протокол используется для сообщения об ошибках, таких как неожиданное сообщение, неверный MAC-адрес записи, сбой согласования параметров безопасности и т. Д.
Он также используется для других целей, таких как уведомление о закрытии TCP-соединения, уведомление о получении неверного или неизвестного сертификата и т. Д.
Установление SSL-сеанса
Как обсуждалось выше, существует четыре фазы установления сеанса SSL. В основном они обрабатываются протоколом SSL Handshake.
Phase 1 - Установление возможностей безопасности.
Этот этап состоит из обмена двумя сообщениями - Client_hello и Server_hello .
Client_hello содержит список криптографических алгоритмов, поддерживаемых клиентом, в порядке убывания предпочтения.
Server_hello содержит выбранную спецификацию шифра (CipherSpec) и новый session_id .
CipherSpec содержит такие поля, как -
Алгоритм шифрования (DES, 3DES, RC2 и RC4)
MAC-алгоритм (на основе MD5, SHA-1)
Алгоритм открытого ключа (RSA)
Оба сообщения имеют «одноразовый номер» для предотвращения атаки повторного воспроизведения.
Phase 2 - Серверная аутентификация и обмен ключами.
Сервер отправляет сертификат. Клиентское программное обеспечение поставляется с открытыми ключами различных «доверенных» организаций (ЦС) для проверки сертификата.
Сервер отправляет выбранный набор шифров.
Сервер может запросить сертификат клиента. Обычно этого не делают.
Сервер указывает конец Server_hello .
Phase 3 - Аутентификация клиента и обмен ключами.
Клиент отправляет сертификат только по запросу сервера.
Он также отправляет Pre-master Secret (PMS), зашифрованный с помощью открытого ключа сервера.
Клиент также отправляет сообщение Certificate_verify, если сертификат отправлен им, чтобы подтвердить, что у него есть закрытый ключ, связанный с этим сертификатом. По сути, клиент подписывает хеш предыдущих сообщений.
Phase 4 - Готово.
Клиент и сервер отправляют друг другу сообщения Change_cipher_spec, чтобы отложенное состояние шифра было скопировано в текущее состояние.
Отныне все данные зашифрованы и защищены.
Сообщение «Готово» с каждого конца подтверждает, что процессы обмена ключами и аутентификации прошли успешно.
Все четыре фазы, описанные выше, происходят при установлении сеанса TCP. Установление сеанса SSL начинается после TCP SYN / SYNACK и заканчивается до TCP Fin.
Возобновление отключенного сеанса
Можно возобновить отключенный сеанс (с помощью сообщения Alert ), если клиент отправляет серверу hello_request с зашифрованной информацией session_id .
Затем сервер определяет, действителен ли session_id . В случае проверки он обменивается сообщениями ChangeCipherSpec и finished с клиентом, и безопасная связь возобновляется.
Это позволяет избежать перерасчета параметров сеансового шифра и экономит вычисления на сервере и на стороне клиента.
Ключи сеанса SSL
Мы видели, что во время фазы 3 установления сеанса SSL предварительный секрет отправляется клиентом на сервер, зашифрованный с использованием открытого ключа сервера. Главный секрет и различные сеансовые ключи генерируются следующим образом:
Главный секрет генерируется (через генератор псевдослучайных чисел) с использованием -
Предварительный секрет.
Два одноразовых номера (RA и RB) обмениваются в сообщениях client_hello и server_hello.
Шесть секретных значений затем выводятся из этого главного секрета как -
Секретный ключ, используемый с MAC (для данных, отправленных сервером)
Секретный ключ, используемый с MAC (для данных, отправленных клиентом)
Секретный ключ и IV, используемые для шифрования (сервером)
Секретный ключ и IV, используемые для шифрования (клиентом)
Протокол TLS
Чтобы обеспечить открытый Интернет-стандарт SSL, IETF выпустила протокол TLS в январе 1999 года. TLS определен как предлагаемый Интернет-стандарт в RFC 5246.
Характерные особенности
Протокол TLS преследует те же цели, что и SSL.
Он позволяет клиент-серверным приложениям безопасно обмениваться данными путем аутентификации, предотвращения перехвата и сопротивления модификации сообщений.
Протокол TLS находится над надежным транспортным уровнем TCP, ориентированным на соединение, в стеке сетевых уровней.
Архитектура протокола TLS аналогична протоколу SSLv3. Он имеет два дополнительных протокола: протокол записи TLS и протокол установления связи TLS.
Хотя протоколы SSLv3 и TLS имеют схожую архитектуру, несколько изменений были внесены в архитектуру и функционирование, в частности, для протокола установления связи.
Сравнение протоколов TLS и SSL
Существует восемь основных различий между протоколами TLS и SSLv3. Это следующие -
Protocol Version - Заголовок сегмента протокола TLS содержит номер версии 3.1, чтобы различать номер 3, переносимый заголовком сегмента протокола SSL.
Message Authentication- TLS использует хэш-код аутентификации сообщения с ключом (H-MAC). Преимущество заключается в том, что H-MAC работает с любой хэш-функцией, а не только с MD5 или SHA, как явно указано в протоколе SSL.
Session Key Generation - Есть два различия между протоколами TLS и SSL для генерации ключевого материала.
Методика вычисления pre-master и master секретов аналогична. Но в протоколе TLS для вычисления главного секрета используется стандартный вывод HMAC и вывод псевдослучайной функции (PRF) вместо специального MAC.
Алгоритм вычисления сеансовых ключей и значений инициации (IV) отличается в протоколе TLS от протокола SSL.
Сообщение протокола оповещения -
Протокол TLS поддерживает все сообщения, используемые протоколом предупреждений SSL, за исключением того, что сообщение с предупреждением о сертификате не становится избыточным. Клиент отправляет пустой сертификат, если аутентификация клиента не требуется.
В протокол TLS включено множество дополнительных предупреждений для других условий ошибки, таких как record_overflow, decode_error и т. Д.
Supported Cipher Suites- SSL поддерживает наборы шифров RSA, Diffie-Hellman и Fortezza. Протокол TLS поддерживает все костюмы, кроме Fortezza.
Client Certificate Types- TLS определяет типы сертификатов, которые должны быть запрошены в сообщении certificate_request . SSLv3 поддерживает все это. Кроме того, SSL поддерживает некоторые другие типы сертификатов, такие как Fortezza.
CertificateVerify и завершенные сообщения -
В SSL для сообщения certificate_verify используется сложная процедура сообщения. При использовании TLS проверенная информация содержится в самих сообщениях подтверждения, что позволяет избежать этой сложной процедуры.
Готовое сообщение вычисляется по-разному в TLS и SSLv3.
Padding of Data- В протоколе SSL заполнение, добавляемое к пользовательским данным перед шифрованием, представляет собой минимальный объем, необходимый для того, чтобы общий размер данных был кратен длине блока шифра. В TLS заполнение может быть любым, что приводит к размеру данных, кратному длине блока шифра, вплоть до 255 байтов.
Вышеуказанные различия между протоколами TLS и SSLv3 приведены в следующей таблице.
Безопасный просмотр - HTTPS
В этом разделе мы обсудим использование протокола SSL / TLS для безопасного просмотра веб-страниц.
HTTPS определен
Протокол передачи гипертекста (HTTP) используется для просмотра веб-страниц. Функция HTTPS аналогична HTTP. Единственная разница в том, что HTTPS обеспечивает «безопасный» просмотр веб-страниц. HTTPS означает HTTP через SSL. Этот протокол используется для обеспечения зашифрованного и аутентифицированного соединения между клиентским веб-браузером и сервером веб-сайта.
Безопасный просмотр через HTTPS гарантирует, что следующий контент будет зашифрован:
- URL запрошенной веб-страницы.
- Содержимое веб-страницы, предоставляемое сервером клиенту пользователя.
- Содержание форм, заполняемых пользователем.
- Файлы cookie устанавливаются в обоих направлениях.
Работа HTTPS
Протокол приложения HTTPS обычно использует один из двух популярных протоколов безопасности транспортного уровня - SSL или TLS. Процесс безопасного просмотра описан в следующих пунктах.
Вы запрашиваете HTTPS-соединение с веб-страницей, вводя https: //, а затем URL-адрес в адресной строке браузера.
Веб-браузер устанавливает соединение с веб-сервером. Использование https требует использования протокола SSL.
Приложение, в данном случае браузер, использует системный порт 443 вместо порта 80 (используется в случае http).
Протокол SSL проходит через протокол установления связи для установления безопасного сеанса, как обсуждалось в предыдущих разделах.
Сначала веб-сайт отправляет свой цифровой сертификат SSL в ваш браузер. При проверке сертификата выполняется подтверждение SSL для обмена общими секретами для сеанса.
Когда сервер использует доверенный цифровой сертификат SSL, пользователи видят значок замка в адресной строке браузера. Когда сертификат расширенной проверки установлен на веб-сайте, адресная строка становится зеленой.
После установления этот сеанс состоит из множества защищенных соединений между веб-сервером и браузером.
Использование HTTPS
Использование HTTPS обеспечивает конфиденциальность, аутентификацию сервера и целостность сообщений для пользователя. Это обеспечивает безопасное ведение электронной коммерции в Интернете.
Предотвращает перехват данных и отрицает кражу личных данных, которая является распространенной атакой на HTTP.
Современные веб-браузеры и веб-серверы оснащены поддержкой HTTPS. Однако использование HTTPS поверх HTTP требует большей вычислительной мощности на стороне клиента и сервера для выполнения шифрования и установления связи SSL.
Протокол защищенной оболочки (SSH)
Основные особенности SSH следующие:
SSH - это сетевой протокол, который работает поверх уровня TCP / IP. Он разработан для замены TELNET, который обеспечивал небезопасные средства удаленного входа в систему.
SSH обеспечивает безопасную связь клиент / сервер и может использоваться для таких задач, как передача файлов и электронная почта.
SSH2 - это распространенный протокол, который обеспечивает улучшенную безопасность сетевого взаимодействия по сравнению с более ранней версией SSH1.
SSH определен
SSH организован в виде трех подпротоколов.
Transport Layer Protocol- Эта часть протокола SSH обеспечивает конфиденциальность данных, аутентификацию сервера (хоста) и целостность данных. Он также может дополнительно обеспечивать сжатие данных.
Server Authentication- Ключи хоста асимметричны, как открытые / закрытые ключи. Сервер использует открытый ключ, чтобы подтвердить свою личность клиенту. Клиент проверяет, что подключенный сервер является «известным» хостом из базы данных, которую он обслуживает. После аутентификации сервера создаются сеансовые ключи.
Session Key Establishment- После аутентификации сервер и клиент соглашаются использовать шифр. Ключи сеанса генерируются как клиентом, так и сервером. Ключи сеанса генерируются до аутентификации пользователя, поэтому имена пользователей и пароли могут быть отправлены в зашифрованном виде. Эти ключи обычно заменяются через определенные промежутки времени (например, каждый час) во время сеанса и уничтожаются сразу после использования.
Data Integrity- SSH использует алгоритмы кода аутентификации сообщения (MAC) для проверки целостности данных. Это улучшение по сравнению с 32-битным CRC, используемым SSH1.
User Authentication Protocol- Эта часть SSH аутентифицирует пользователя на сервере. Сервер проверяет, предоставляется ли доступ только предполагаемым пользователям. В настоящее время используются многие методы аутентификации, такие как вводимые пароли, Kerberos, аутентификация с открытым ключом и т. Д.
Connection Protocol - Это обеспечивает несколько логических каналов через одно базовое соединение SSH.
Услуги SSH
SSH предоставляет три основных сервиса, которые позволяют предоставлять множество безопасных решений. Эти услуги кратко описаны следующим образом -
Secure Command-Shell (Remote Logon)- Он позволяет пользователю редактировать файлы, просматривать содержимое каталогов и получать доступ к приложениям на подключенном устройстве. Системные администраторы могут удаленно запускать / просматривать / останавливать службы и процессы, создавать учетные записи пользователей, изменять права доступа к файлам / каталогам и т. Д. Все задачи, которые можно выполнить в командной строке машины, теперь можно безопасно выполнять с удаленной машины с помощью безопасного удаленного входа в систему.
Secure File Transfer- Протокол передачи файлов SSH (SFTP) разработан как расширение SSH-2 для безопасной передачи файлов. По сути, это отдельный протокол, расположенный поверх протокола Secure Shell для обработки передачи файлов. SFTP шифрует как имя пользователя / пароль, так и передаваемые данные файла. Он использует тот же порт, что и сервер Secure Shell, то есть системный порт №22.
Port Forwarding (Tunneling)- Это позволяет защитить данные из незащищенных приложений на основе TCP / IP. После настройки переадресации портов Secure Shell перенаправляет трафик из программы (обычно клиента) и отправляет его через зашифрованный туннель в программу на другой стороне (обычно сервер). Несколько приложений могут передавать данные по одному мультиплексированному безопасному каналу, что устраняет необходимость открывать множество портов на межсетевом экране или маршрутизаторе.
Преимущества и ограничения
Преимущества и ограничения использования безопасности связи на транспортном уровне следующие:
Льготы
Безопасность транспортного уровня прозрачна для приложений.
Сервер аутентифицирован.
Заголовки прикладного уровня скрыты.
Он более детализирован, чем механизмы безопасности на уровне 3 (IPsec), поскольку работает на уровне транспортного соединения.
Ограничения
Применимо только к приложениям на основе TCP (не UDP).
Заголовки TCP / IP чистые.
Подходит для прямой связи между клиентом и сервером. Не обслуживает безопасные приложения, использующие цепочку серверов (например, электронную почту)
SSL не обеспечивает отказ от авторства, поскольку аутентификация клиента не является обязательной.
При необходимости аутентификацию клиента необходимо реализовать поверх SSL.
Резюме
За последнее десятилетие в Интернете появилось большое количество веб-приложений. Многие порталы электронного управления и электронной коммерции уже работают. Эти приложения требуют, чтобы сеанс между сервером и клиентом был безопасным, обеспечивая конфиденциальность, аутентификацию и целостность сеансов.
Одним из способов смягчения потенциальной атаки во время сеанса пользователя является использование защищенного протокола связи. В этой главе обсуждаются два таких протокола связи, Secure Sockets Layer (SSL) и Transport Layer Security (TLS). Оба эти протокола работают на транспортном уровне.
Другой протокол транспортного уровня, Secure Shell (SSH), призванный заменить TELNET, обеспечивает безопасные средства удаленного входа в систему. Он может предоставлять различные услуги, такие как Secure Command Shell и SFTP.
Использование безопасности транспортного уровня дает много преимуществ. Однако протокол безопасности, разработанный на этом уровне, может использоваться только с TCP. Они не обеспечивают безопасность связи, реализованной с использованием UDP.
Средства управления безопасностью сетевого уровня часто используются для защиты связи, особенно в общих сетях, таких как Интернет, поскольку они могут обеспечить защиту сразу для многих приложений, не изменяя их.
В предыдущих главах мы обсуждали, что многие протоколы безопасности в реальном времени были разработаны для сетевой безопасности, обеспечивая такие базовые принципы безопасности, как конфиденциальность, аутентификация источника, целостность сообщений и неотказуемость.
Большинство этих протоколов оставались сфокусированными на верхних уровнях стека протоколов OSI, чтобы компенсировать присущее стандартному интернет-протоколу отсутствие безопасности. Несмотря на свою ценность, эти методы не могут быть легко обобщены для использования в любом приложении. Например, SSL разработан специально для защиты таких приложений, как HTTP или FTP. Но есть несколько других приложений, которым также нужна безопасная связь.
Эта потребность привела к разработке решения безопасности на уровне IP, чтобы все протоколы более высокого уровня могли использовать его преимущества. В 1992 году Инженерная группа Интернета (IETF) начала разработку стандарта «IPsec».
В этой главе мы обсудим, как достигается безопасность на сетевом уровне с использованием этого очень популярного набора протоколов IPsec.
Безопасность на сетевом уровне
Любая схема, разработанная для обеспечения сетевой безопасности, должна быть реализована на каком-то уровне в стеке протоколов, как показано на схеме ниже.
Слой | Протоколы связи | Протоколы безопасности |
---|---|---|
Уровень приложения | HTTP FTP SMTP | PGP. S / MIME, HTTPS |
Транспортный уровень | TCP / UDP | SSL, TLS, SSH |
Сетевой уровень | IP | IPsec |
Популярной структурой, разработанной для обеспечения безопасности на сетевом уровне, является безопасность протокола Интернета (IPsec).
Особенности IPsec
IPsec не предназначен для работы только с TCP в качестве транспортного протокола. Он работает с UDP, а также с любым другим протоколом выше IP, таким как ICMP, OSPF и т. Д.
IPsec защищает весь пакет, представленный на уровне IP, включая заголовки более высокого уровня.
Поскольку заголовки более высокого уровня скрыты, которые несут номер порта, анализ трафика является более трудным.
IPsec работает от одного сетевого объекта к другому сетевому объекту, а не от процесса приложения к процессу приложения. Следовательно, безопасность может быть принята без необходимости внесения изменений в отдельные пользовательские компьютеры / приложения.
Широко используемый для обеспечения безопасной связи между сетевыми объектами, IPsec также может обеспечить безопасность между хостами.
Чаще всего IPsec используется для создания виртуальной частной сети (VPN) либо между двумя местоположениями (шлюз-шлюз), либо между удаленным пользователем и корпоративной сетью (хост-шлюз).
Функции безопасности
Важные функции безопасности, обеспечиваемые IPsec, следующие:
Конфиденциальность
Позволяет связывающимся узлам шифровать сообщения.
Предотвращает подслушивание третьими лицами.
Аутентификация источника и целостность данных.
Обеспечивает уверенность в том, что полученный пакет действительно был передан стороной, указанной в заголовке пакета как источник.
Подтверждает, что пакет не был изменен или иным образом.
Ключевой менеджмент.
Обеспечивает безопасный обмен ключами.
Защита от определенных типов атак на безопасность, таких как атаки воспроизведения.
Виртуальная частная сеть
В идеале любое учреждение должно иметь собственную частную сеть для связи для обеспечения безопасности. Однако создание и обслуживание такой частной сети на географически удаленной территории может оказаться очень дорогостоящим. Это потребует управления сложной инфраструктурой каналов связи, маршрутизаторов, DNS и т. Д.
IPsec предоставляет простой механизм для реализации виртуальной частной сети (VPN) для таких организаций. Технология VPN позволяет передавать межофисный трафик учреждения через общедоступный Интернет за счет шифрования трафика перед входом в общедоступный Интернет и логического отделения его от другого трафика. Упрощенная работа VPN показана на следующей диаграмме -
Обзор IPsec
IPsec - это структура / набор протоколов для обеспечения безопасности на уровне IP.
Происхождение
В начале 1990-х годов Интернет использовался немногими учреждениями, в основном в академических целях. Но в последующие десятилетия рост Интернета стал экспоненциальным из-за расширения сети и нескольких организаций, использующих ее для связи и других целей.
В связи с массовым ростом Интернета в сочетании с присущими протоколу TCP / IP слабостями безопасности возникла потребность в технологии, которая может обеспечить сетевую безопасность в Интернете. Отчет под названием «Безопасность в архитектуре Интернета» был выпущен Советом по архитектуре Интернета (IAB) в 1994 году. В нем определены ключевые области для механизмов безопасности.
IAB включил аутентификацию и шифрование в качестве основных функций безопасности в IPv6, IP следующего поколения. К счастью, эти возможности безопасности были определены таким образом, что они могут быть реализованы как с текущим IPv4, так и с футуристическим IPv6.
Структура безопасности IPsec была определена в нескольких «Запросах на комментарии» (RFC). Некоторые RFC определяют некоторые части протокола, в то время как другие рассматривают решение в целом.
Операции в IPsec
Можно считать, что пакет IPsec выполняет две отдельные операции, выполняемые в унисон, обеспечивая полный набор услуг безопасности. Эти две операции - это связь IPsec и обмен ключами в Интернете.
Связь IPsec
Обычно это связано со стандартными функциями IPsec. Он включает инкапсуляцию, шифрование и хеширование дейтаграмм IP, а также обработку всех пакетных процессов.
Он отвечает за управление связью в соответствии с доступными ассоциациями безопасности (SA), установленными между взаимодействующими сторонами.
Он использует протоколы безопасности, такие как заголовок аутентификации (AH) и инкапсулированный SP (ESP).
Связь IPsec не участвует в создании ключей или управлении ими.
Сама операция связи IPsec обычно называется IPsec.
Обмен ключами в Интернете (IKE)
IKE - это протокол автоматического управления ключами, используемый для IPsec.
Технически управление ключами не является существенным для связи IPsec, и ключами можно управлять вручную. Однако ручное управление ключами нежелательно для больших сетей.
IKE отвечает за создание ключей для IPsec и обеспечение аутентификации в процессе создания ключа. Хотя IPsec можно использовать для любых других протоколов управления ключами, по умолчанию используется IKE.
IKE определяет два протокола (Oakley и SKEME), которые будут использоваться с уже определенной структурой управления ключами Internet Security Association Key Management Protocol (ISAKMP).
ISAKMP не является специфическим для IPsec, но обеспечивает основу для создания SA для любого протокола.
В этой главе в основном обсуждается связь IPsec и связанный протокол, используемый для обеспечения безопасности.
Режимы связи IPsec
Связь IPsec имеет два режима работы; транспортный и туннельный режимы. Эти режимы можно использовать в комбинации или по отдельности в зависимости от желаемого типа связи.
Транспортный режим
IPsec не инкапсулирует пакет, полученный с верхнего уровня.
Исходный заголовок IP сохраняется, и данные пересылаются на основе исходных атрибутов, установленных протоколом верхнего уровня.
На следующей диаграмме показан поток данных в стеке протоколов.
Ограничение транспортного режима заключается в том, что услуги шлюза не могут быть предоставлены. Он зарезервирован для связи точка-точка, как показано на следующем рисунке.
Туннельный режим
Этот режим IPsec предоставляет услуги инкапсуляции наряду с другими услугами безопасности.
В туннельном режиме весь пакет с верхнего уровня инкапсулируется перед применением протокола безопасности. Добавлен новый IP-заголовок.
На следующей диаграмме показан поток данных в стеке протоколов.
Туннельный режим обычно связан с действиями шлюза. Инкапсуляция дает возможность отправлять несколько сеансов через один шлюз.
Типичная связь в туннельном режиме показана на следующей диаграмме.
Что касается конечных точек, они имеют прямое соединение транспортного уровня. Дейтаграмма от одной системы, пересылаемая на шлюз, инкапсулируется, а затем пересылается на удаленный шлюз. Удаленный связанный шлюз деинкапсулирует данные и пересылает их конечной точке назначения во внутренней сети.
Используя IPsec, можно также установить режим туннелирования между шлюзом и отдельной конечной системой.
Протоколы IPsec
IPsec использует протоколы безопасности для предоставления требуемых услуг безопасности. Эти протоколы составляют основу операций IPsec, а все остальное предназначено для поддержки этого протокола в IPsec.
Связи безопасности между взаимодействующими объектами устанавливаются и поддерживаются используемым протоколом безопасности.
IPsec определяет два протокола безопасности: заголовок аутентификации (AH) и инкапсуляция данных безопасности (ESP).
Заголовок аутентификации
Протокол AH обеспечивает целостность данных и аутентификацию источника. Это опционально обеспечивает устойчивость к повторному воспроизведению сообщений. Однако это не обеспечивает никакой формы конфиденциальности.
AH - это протокол, который обеспечивает аутентификацию всего или части содержимого дейтаграммы путем добавления заголовка. Заголовок рассчитывается на основе значений в дейтаграмме. Какие части дейтаграммы используются для вычислений и где разместить заголовок, зависит от режима взаимодействия (туннель или транспорт).
Работа протокола AH на удивление проста. Его можно считать аналогичным алгоритмам, используемым для вычисления контрольных сумм или выполнения проверок CRC для обнаружения ошибок.
Концепция AH такая же, за исключением того, что вместо использования простого алгоритма AH использует специальный алгоритм хеширования и секретный ключ, известный только взаимодействующим сторонам. Между двумя устройствами устанавливается связь безопасности, которая определяет эти данные.
Процесс АГ проходит следующие фазы.
Когда IP-пакет получен из стека протоколов верхнего уровня, IPsec определяет соответствующую ассоциацию безопасности (SA) из доступной информации в пакете; например, IP-адрес (источник и место назначения).
Из SA, как только определено, что протоколом безопасности является AH, вычисляются параметры заголовка AH. Заголовок AH состоит из следующих параметров -
Поле заголовка определяет протокол пакета, следующего за заголовком AH. Индекс параметра последовательности (SPI) получается из SA, существующей между взаимодействующими сторонами.
Порядковый номер рассчитывается и вставляется. Эти числа обеспечивают дополнительную способность AH противостоять атаке повторного воспроизведения.
Данные аутентификации рассчитываются по-разному в зависимости от режима связи.
В транспортном режиме расчет данных аутентификации и сборка окончательного IP-пакета для передачи показаны на следующей диаграмме. В исходном заголовке IP изменяется только номер протокола 51 для указанного приложения AH.
В туннельном режиме описанный выше процесс происходит, как показано на следующей диаграмме.
Протокол безопасности инкапсуляции (ESP)
ESP предоставляет такие услуги безопасности, как конфиденциальность, целостность, аутентификация источника и дополнительная защита от повторного воспроизведения. Набор предоставляемых услуг зависит от опций, выбранных во время установления Security Association (SA).
В ESP алгоритмы, используемые для шифрования и генерации аутентификатора, определяются атрибутами, используемыми для создания SA.
Процесс ESP выглядит следующим образом. Первые два шага аналогичны описанному выше процессу AH.
Как только определено, что ESP задействовано, вычисляются поля пакета ESP. Расположение поля ESP показано на следующей диаграмме.
Процесс шифрования и аутентификации в транспортном режиме изображен на следующей диаграмме.
В случае туннельного режима процесс шифрования и аутентификации показан на следующей диаграмме.
Хотя аутентификация и конфиденциальность являются основными услугами, предоставляемыми ESP, они не являются обязательными. Технически мы можем использовать NULL-шифрование без аутентификации. Однако на практике для эффективного использования ESP необходимо реализовать одно из двух.
Основная концепция - использовать ESP, когда требуется аутентификация и шифрование, и использовать AH, когда нужна расширенная аутентификация без шифрования.
Ассоциации безопасности в IPsec
Ассоциация безопасности (SA) - это основа связи IPsec. Особенности SA -
Перед отправкой данных между отправляющим и принимающим объектами устанавливается виртуальное соединение, называемое «Security Association (SA)».
IPsec предоставляет множество вариантов для выполнения сетевого шифрования и аутентификации. Каждое соединение IPsec может обеспечивать шифрование, целостность, аутентичность или все три службы. Когда служба безопасности определена, два одноранговых объекта IPsec должны точно определить, какие алгоритмы использовать (например, DES или 3DES для шифрования; MD5 или SHA-1 для целостности). После выбора алгоритмов два устройства должны совместно использовать ключи сеанса.
SA - это набор вышеуказанных параметров связи, который обеспечивает связь между двумя или более системами для создания сеанса IPsec.
SA проста по своей природе, поэтому для двунаправленной связи требуются две SA.
SA идентифицируются номером индекса параметров безопасности (SPI), который существует в заголовке протокола безопасности.
И отправляющие, и принимающие объекты хранят информацию о состоянии SA. Это похоже на конечные точки TCP, которые также поддерживают информацию о состоянии. IPsec ориентирован на соединение, как и TCP.
Параметры SA
Любая SA однозначно идентифицируется следующими тремя параметрами:
Индекс параметров безопасности (SPI).
Это 32-битное значение, присвоенное SA. Он используется для различения различных SA, заканчивающихся в одном месте назначения и использующих один и тот же протокол IPsec.
Каждый пакет IPsec содержит заголовок, содержащий поле SPI. SPI предоставляется для сопоставления входящего пакета с SA.
SPI - это случайное число, генерируемое отправителем для идентификации SA для получателя.
Destination IP Address - Это может быть IP-адрес конечного маршрутизатора.
Security Protocol Identifier - Указывает, является ли ассоциация AH или ESP SA.
Пример SA между двумя маршрутизаторами, участвующими в обмене данными IPsec, показан на следующей диаграмме.
Безопасность административных баз данных
В IPsec есть две базы данных, которые управляют обработкой дейтаграммы IPsec. Одна из них - это база данных ассоциации безопасности (SAD), а другая - база данных политики безопасности (SPD). Каждая конечная точка обмена данными, использующая IPsec, должна иметь логически отдельные SAD и SPD.
База данных ассоциации безопасности
При обмене данными IPsec конечная точка хранит состояние SA в базе данных сопоставлений безопасности (SAD). Каждая запись SA в базе данных SAD содержит девять параметров, как показано в следующей таблице:
Sr. No. | Параметры и описание |
---|---|
1 | Sequence Number Counter Для исходящей связи. Это 32-битный порядковый номер, указанный в заголовках AH или ESP. |
2 | Sequence Number Overflow Counter Устанавливает флаг опции для предотвращения дальнейших коммуникаций с использованием конкретной SA |
3 | 32-bit anti-replay window Используется для определения того, является ли входящий пакет AH или ESP воспроизведением. |
4 | Lifetime of the SA Время, пока SA остается активным |
5 | Algorithm - AH Используется в AH и соответствующем ключе |
6 | Algorithm - ESP Auth Используется в аутентифицирующей части заголовка ESP |
7 | Algorithm - ESP Encryption Используется при шифровании ESP и связанной с ним ключевой информации |
8 | IPsec mode of operation Транспортный или туннельный режим |
9 | Path MTU(PMTU) Любая максимальная единица передачи наблюдаемого пути (во избежание фрагментации) |
Все записи SA в SAD индексируются по трем параметрам SA: IP-адрес назначения, идентификатор протокола безопасности и SPI.
База данных политики безопасности
SPD используется для обработки исходящих пакетов. Это помогает решить, какие записи SAD следует использовать. Если записи SAD не существует, SPD используется для создания новых.
Любая запись SPD будет содержать -
Указатель на активную SA находится в SAD.
Поля селектора - поле во входящем пакете с верхнего уровня, используемое для принятия решения о применении IPsec. Селекторы могут включать адрес источника и назначения, номера портов, если это необходимо, идентификаторы приложений, протоколы и т. Д.
Исходящие дейтаграммы IP переходят из записи SPD в конкретную SA, чтобы получить параметры кодирования. Входящая дейтаграмма IPsec попадает в правильную SA напрямую с помощью тройки SPI / DEST IP / Protocol и оттуда извлекает связанную запись SAD.
SPD также может указывать трафик, который должен обходить IPsec. SPD можно рассматривать как фильтр пакетов, в котором решаются действия по активации процессов SA.
Резюме
IPsec - это набор протоколов для защиты сетевых подключений. Это довольно сложный механизм, потому что вместо того, чтобы дать прямое определение конкретного алгоритма шифрования и функции аутентификации, он обеспечивает структуру, которая позволяет реализовать все, что согласовано обеими сторонами связи.
Заголовок аутентификации (AH) и инкапсуляция полезной нагрузки безопасности (ESP) - два основных протокола связи, используемых IPsec. В то время как AH только аутентифицирует, ESP может шифровать и аутентифицировать данные, передаваемые через соединение.
Транспортный режим обеспечивает безопасное соединение между двумя конечными точками без изменения заголовка IP. Туннельный режим инкапсулирует весь IP-пакет полезной нагрузки. Он добавляет новый заголовок IP. Последний используется для формирования традиционной VPN, поскольку обеспечивает виртуальный безопасный туннель через ненадежный Интернет.
Установка соединения IPsec включает в себя всевозможные варианты шифрования. Аутентификация обычно строится на основе криптографического хэша, такого как MD5 или SHA-1. Распространенными алгоритмами шифрования являются DES, 3DES, Blowfish и AES. Возможны и другие алгоритмы.
Обе взаимодействующие конечные точки должны знать секретные значения, используемые при хешировании или шифровании. Ручные ключи требуют ручного ввода секретных значений на обоих концах, предположительно передаваемых каким-либо внеполосным механизмом, а IKE (Internet Key Exchange) представляет собой сложный механизм для выполнения этого в интерактивном режиме.
Мы видели, что быстрый рост Интернета вызвал серьезную озабоченность по поводу сетевой безопасности. Было разработано несколько методов для обеспечения безопасности на прикладном, транспортном или сетевом уровне сети.
Многие организации включают меры безопасности на более высоких уровнях OSI, от уровня приложений до уровня IP. Однако одна область, которую обычно оставляют без внимания, - это укрепление уровня канала передачи данных. Это может открыть сеть для различных атак и взломов.
В этой главе мы обсудим проблемы безопасности на уровне звена данных и методы борьбы с ними. Наше обсуждение будет сосредоточено на сети Ethernet.
Проблемы безопасности на канальном уровне
Канальный уровень в сетях Ethernet очень подвержен нескольким атакам. Наиболее частые атаки -
ARP-спуфинг
Протокол разрешения адресов (ARP) - это протокол, используемый для сопоставления IP-адреса с физическим адресом машины, распознаваемым в локальной сети Ethernet. Когда хост-машине нужно найти физический адрес управления доступом к среде (MAC) для IP-адреса, он передает широковещательный запрос ARP. Другой хост, которому принадлежит IP-адрес, отправляет сообщение ответа ARP со своим физическим адресом.
Каждый хост-компьютер в сети поддерживает таблицу, называемую «кеш ARP». В таблице содержится IP-адрес и связанные с ним MAC-адреса другого хоста в сети.
Поскольку ARP - это протокол без сохранения состояния, каждый раз, когда узел получает ответ ARP от другого узла, даже если он не отправил запрос ARP, он принимает эту запись ARP и обновляет свой кэш ARP. Процесс изменения кэша ARP целевого хоста с помощью поддельной записи, известный как отравление ARP или подмена ARP.
Подмена ARP может позволить злоумышленнику маскироваться под законный хост, а затем перехватить кадры данных в сети, изменить или остановить их. Часто атака используется для запуска других атак, таких как «человек посередине», захват сеанса или отказ в обслуживании.
MAC-флуд
Каждый коммутатор в Ethernet имеет таблицу Content-Addressable Memory (CAM), в которой хранятся MAC-адреса, номера портов коммутатора и другая информация. Стол имеет фиксированный размер. При атаке MAC-лавинной рассылки злоумышленник заполняет коммутатор MAC-адресами с помощью поддельных пакетов ARP, пока таблица CAM не будет заполнена.
Как только CAM заполнен, коммутатор переходит в режим концентратора и начинает широковещательную передачу трафика, не имеющего записи CAM. Злоумышленник, находящийся в той же сети, теперь получает все кадры, предназначенные только для определенного хоста.
Кража порта
Коммутаторы Ethernet имеют возможность узнавать и связывать MAC-адреса с портами. Когда коммутатор получает трафик от порта с MAC-адресом источника, он связывает номер порта и этот MAC-адрес.
Атака с перехватом портов использует эту способность коммутаторов. Злоумышленник заполняет коммутатор поддельными кадрами ARP с MAC-адресом целевого хоста в качестве адреса источника. Коммутатор обманывается, полагая, что целевой хост находится на порту, к которому на самом деле подключен злоумышленник.
Теперь все фреймы данных, предназначенные для целевого хоста, отправляются на порт коммутатора злоумышленника, а не на целевой хост. Таким образом, злоумышленник теперь получает все кадры, которые на самом деле были предназначены только для целевого хоста.
DHCP-атаки
Протокол динамической конфигурации хоста (DHCP) не является протоколом передачи данных, но решения для атак DHCP также полезны для предотвращения атак уровня 2.
DHCP используется для динамического выделения IP-адресов компьютерам на определенный период времени. Можно атаковать DHCP-серверы, вызывая отказ в обслуживании в сети или выдавая себя за DHCP-сервер. При атаке на голодание DHCP злоумышленник запрашивает все доступные адреса DHCP. Это приводит к отказу в обслуживании легитимного хоста в сети.
При атаке с подменой DHCP злоумышленник может развернуть мошеннический DHCP-сервер для предоставления адресов клиентам. Здесь злоумышленник может предоставить хост-машинам шлюз по умолчанию Rouge с ответами DHCP. Кадры данных от хоста теперь направляются на шлюз, где злоумышленник может перехватить все пакеты и ответить фактическому шлюзу или сбросить их.
Прочие атаки
Помимо вышеперечисленных популярных атак, существуют и другие атаки, такие как широковещательная передача на уровне 2, отказ в обслуживании (DoS), клонирование MAC.
При широковещательной атаке злоумышленник отправляет ложные ответы ARP на хосты в сети. Эти ответы ARP устанавливают MAC-адрес шлюза по умолчанию на широковещательный адрес. Это заставляет весь исходящий трафик транслироваться, что позволяет злоумышленнику, находящемуся в том же Ethernet, перехватывать его. Этот тип атаки также влияет на пропускную способность сети.
В DoS-атаках на уровне 2 злоумышленник обновляет кэши ARP хостов в сети с несуществующими MAC-адресами. MAC-адрес каждой сетевой карты в сети должен быть глобально уникальным. Однако его можно легко изменить, включив клонирование MAC. Злоумышленник отключает целевой хост с помощью DoS-атаки, а затем использует IP и MAC-адреса целевого хоста.
Злоумышленник выполняет атаки для запуска атак более высокого уровня, чтобы поставить под угрозу безопасность информации, перемещающейся по сети. Он может перехватить все кадры и сможет прочитать данные кадра. Злоумышленник может действовать как посредник и изменять данные или просто отбрасывать фрейм, ведущий к DoS. Он может перехватить текущий сеанс между целевым хостом и другими машинами и вообще передать неверную информацию.
Защита локальных сетей Ethernet
В предыдущем разделе мы обсудили некоторые широко известные атаки на уровне канала передачи данных. Было разработано несколько методов противодействия этим типам атак. Некоторые из важных методов -
Безопасность порта
Это функция безопасности уровня 2, доступная на интеллектуальных коммутаторах Ethernet. Он включает привязку физического порта коммутатора к определенному MAC-адресу / адресам. Любой может получить доступ к незащищенной сети, просто подключив хост к одному из доступных портов коммутатора. Но безопасность порта может обеспечить доступ уровня 2.
По умолчанию безопасность порта ограничивает количество входящих MAC-адресов до одного. Однако с помощью конфигурации можно разрешить более чем одному авторизованному хосту подключаться к этому порту. Допустимые MAC-адреса для каждого интерфейса можно настроить статически. Удобной альтернативой является включение «липкого» изучения MAC-адресов, при котором MAC-адреса будут динамически изучаться портом коммутатора, пока не будет достигнут максимальный предел для порта.
Чтобы обеспечить безопасность, реакцию на изменение указанного MAC-адреса на порту или избыточных адресов на порту можно контролировать разными способами. Порт можно настроить на отключение или блокировку MAC-адресов, превышающих указанный предел. Рекомендуемая передовая практика - закрыть порт. Безопасность порта предотвращает наводнение MAC-адресов и атаки клонирования.
Отслеживание DHCP
Мы видели, что подмена DHCP - это атака, при которой злоумышленник прослушивает запросы DHCP от хоста в сети и отвечает на них поддельным ответом DHCP до того, как авторизованный ответ DHCP поступает на хост.
Отслеживание DHCP может предотвратить такие атаки. Отслеживание DHCP - это функция коммутатора. Коммутатор можно настроить так, чтобы он определял, какие порты коммутатора могут отвечать на запросы DHCP. Порты коммутатора идентифицируются как доверенные или ненадежные.
Только порты, которые подключаются к авторизованному DHCP-серверу, настроены как «доверенные», и им разрешено отправлять все типы DHCP-сообщений. Все остальные порты коммутатора не являются доверенными и могут отправлять только запросы DHCP. Если ответ DHCP отображается на ненадежном порте, порт отключается.
Предотвращение подмены ARP
Метод защиты порта может предотвратить атаки MAC-лавинной рассылки и клонирования. Однако это не предотвращает спуфинг ARP. Безопасность порта проверяет MAC-адрес источника в заголовке кадра, но кадры ARP содержат дополнительное поле источника MAC в полезных данных, и хост использует это поле для заполнения своего кэша ARP. Некоторые методы предотвращения спуфинга ARP перечислены ниже.
Static ARP- Одно из рекомендуемых действий - использовать статические записи ARP в таблице ARP хоста. Статические записи ARP - это постоянные записи в кэше ARP. Однако этот метод непрактичен. Кроме того, он не позволяет использовать какой-либо протокол динамической конфигурации хоста (DHCP), поскольку статический IP-адрес должен использоваться для всех хостов в сети уровня 2.
Intrusion Detection System- Метод защиты заключается в использовании системы обнаружения вторжений (IDS), настроенной для обнаружения большого количества ARP-трафика. Однако IDS склонна сообщать о ложных срабатываниях.
Dynamic ARP Inspection- Этот метод предотвращения спуфинга ARP аналогичен отслеживанию DHCP. Он использует доверенные и ненадежные порты. Ответы ARP разрешены в интерфейс коммутатора только на доверенных портах. Если ответ ARP приходит к коммутатору через ненадежный порт, содержимое пакета ответа ARP сравнивается с таблицей привязки DHCP для проверки его точности. Если ответ ARP недействителен, ответ ARP отбрасывается и порт отключается.
Защита протокола связующего дерева
Протокол связующего дерева (STP) - это протокол управления каналом уровня 2. Основная цель STP - гарантировать отсутствие петель потока данных при наличии в сети избыточных путей. Как правило, резервные пути создаются для обеспечения надежности сети. Но они могут образовывать смертельные петли, которые могут привести к DoS-атаке в сети.
Протокол связующего дерева
Чтобы обеспечить желаемую избыточность пути, а также избежать возникновения петли, STP определяет дерево, которое охватывает все коммутаторы в сети. STP переводит определенные избыточные каналы данных в заблокированное состояние и сохраняет другие ссылки в состоянии пересылки.
Если ссылка в состоянии пересылки выходит из строя, STP реконфигурирует сеть и переопределяет пути данных, активируя соответствующий резервный путь. STP работает на мостах и коммутаторах, развернутых в сети. Все коммутаторы обмениваются информацией для выбора корневого коммутатора и для последующей настройки сети. Эту информацию несут блоки данных протокола моста (BPDU). Посредством обмена BPDU все коммутаторы в сети выбирают корневой мост / коммутатор, который становится координационным центром в сети и контролирует заблокированные и перенаправленные ссылки.
Атаки на STP
Захват корневого моста. Это один из самых разрушительных типов атак на уровне 2. По умолчанию коммутатор локальной сети принимает любой BPDU, отправленный с соседнего коммутатора, по номинальной стоимости. Между прочим, STP является надежным, не имеет состояния и не обеспечивает надежного механизма аутентификации.
Находясь в режиме корневой атаки, атакующий коммутатор отправляет BPDU каждые 2 секунды с тем же приоритетом, что и текущий корневой мост, но с немного меньшим числовым MAC-адресом, что обеспечивает его победу в процессе выбора корневого моста. Коммутатор злоумышленника может запустить DoS-атаку, не распознав должным образом другие коммутаторы, вызывающие лавинную рассылку BPDU, или подвергнув коммутаторы чрезмерной обработке BPDUS, заявив, что они являются корневыми, а затем быстро откатываются.
DoS с использованием Flood of Configuration BPDU. Атакующий коммутатор не пытается взять на себя управление как root. Вместо этого он генерирует большое количество BPDU в секунду, что приводит к очень высокой загрузке ЦП на коммутаторах.
Предотвращение атак на STP
К счастью, противодействие атаке с захватом рут-доступа простое и понятное. Две функции помогают победить атаку корневого захвата.
Root Guard- Root Guard ограничивает порты коммутатора, из которых можно согласовывать корневой мост. Если порт с включенной корневой защитой получает BPDU, превосходящие те, которые отправляет текущий корневой мост, то этот порт переводится в состояние несовместимости с корнем, и трафик данных через этот порт не пересылается. Root Guard лучше всего развертывать на портах, которые подключаются к коммутаторам, которые, как ожидается, не станут корневым мостом.
BPDU-Guard- BPDU guard используется для защиты сети от проблем, которые могут быть вызваны получением BPDU на портах доступа. Это порты, которые не должны получать их. Защита BPDU лучше всего развертывается на портах, обращенных к пользователю, чтобы предотвратить установку злоумышленником мошеннического коммутатора.
Защита виртуальной локальной сети
В локальных сетях виртуальные локальные сети (VLAN) иногда настраиваются в качестве меры безопасности, чтобы ограничить количество хостов, восприимчивых к атакам уровня 2. Сети VLAN создают границы сети, через которые широковещательный (ARP, DHCP) трафик не может пересекать.
Виртуальная локальная сеть
Сеть, в которой используются коммутаторы, поддерживающие возможности VLAN, можно настроить для определения нескольких VLAN в одной физической инфраструктуре LAN.
Распространенной формой VLAN является VLAN на основе портов. В этой структуре VLAN порты коммутатора сгруппированы в VLAN с помощью программного обеспечения для управления коммутатором. Таким образом, один физический коммутатор может действовать как несколько виртуальных коммутаторов.
Использование виртуальных локальных сетей обеспечивает изоляцию трафика. Он разделяет большую широковещательную сеть уровня 2 на более мелкие логические сети уровня 2 и, таким образом, сокращает объем атак, таких как ARP / DHCP Spoofing. Кадры данных одной VLAN могут перемещаться из / в порты, принадлежащие только одной VLAN. Пересылка кадров между двумя VLAN осуществляется через маршрутизацию.
Сети VLAN обычно охватывают несколько коммутаторов, как показано на схеме выше. Канал между магистральными портами передает кадры всех VLAN, определенных на нескольких физических коммутаторах. Следовательно, кадры VLAN, пересылаемые между коммутаторами, не могут быть простыми кадрами в формате IEEE 802.1 Ethernet. Поскольку эти кадры перемещаются по одному и тому же физическому каналу, теперь они должны нести информацию идентификатора VLAN. Протокол IEEE 802.1Q добавляет / удаляет дополнительные поля заголовка для простых кадров Ethernet, пересылаемых между магистральными портами.
Когда поле, следующее за двумя полями IP-адресов, равно 0x8100 (> 1500), кадр идентифицируется как кадр 802.1Q. Значение 2-байтового идентификатора протокола тегов (TPI) - 81-00. Поле TCI состоит из 3-битной информации о приоритете, 1-битного индикатора возможности отбрасывания (DEI) и 12-битного идентификатора VLAN. Это 3-битное поле приоритета и поле DEI не относятся к VLAN. Биты приоритета используются для обеспечения качества обслуживания.
Когда кадр не принадлежит ни одной VLAN, существует идентификатор VLAN по умолчанию, с которым этот кадр считается связанным.
Атака на VLAN и меры предотвращения
При атаке со скачкообразной перестройкой VLAN злоумышленник в одной VLAN может получить доступ к трафику в других VLAN, который обычно недоступен. Он будет обходить устройство уровня 3 (маршрутизатор) при обмене данными из одной VLAN в другую, таким образом нарушая цель создания VLAN.
Переключение VLAN может выполняться двумя способами; переключить спуфинг и двойное тегирование.
Спуфинг переключателя
Это может произойти, когда порт коммутатора, к которому подключен злоумышленник, находится либо в режиме «транкинга», либо в режиме «автосогласования». Злоумышленник действует как коммутатор и добавляет заголовки инкапсуляции 802.1Q с тегами VLAN для целевых удаленных VLAN к своим исходящим кадрам. Принимающий коммутатор интерпретирует эти кадры как полученные от другого коммутатора 802.1Q и пересылает кадры в целевую VLAN.
Двумя превентивными мерами против атак со спуфингом коммутатора являются установка граничных портов в статический режим доступа и отключение автосогласования на всех портах.
Двойная маркировка
В этой атаке злоумышленник, подключенный к собственному порту VLAN коммутатора, добавляет два тега VLAN в заголовок кадра. Первый тег относится к собственной VLAN, а второй - к целевой VLAN. Когда первый коммутатор получает кадры злоумышленника, он удаляет первый тег, поскольку кадры собственной VLAN пересылаются без тега на магистральный порт.
Поскольку второй тег никогда не удалялся первым коммутатором, принимающий коммутатор идентифицирует оставшийся тег как место назначения VLAN и пересылает кадры на целевой хост в этой VLAN. Атака с двойным тегированием использует концепцию собственной VLAN. Поскольку VLAN 1 является VLAN по умолчанию для портов доступа и собственной VLAN по умолчанию на магистралях, это легкая цель.
Первой мерой предотвращения является удаление всех портов доступа из VLAN 1 по умолчанию, поскольку порт злоумышленника должен совпадать с портом собственной VLAN коммутатора. Вторая профилактическая мера заключается в назначении собственной VLAN на всех магистральных линиях коммутатора какой-либо неиспользуемой VLAN, например, с идентификатором VLAN 999. И, наконец, все коммутаторы должны быть настроены для выполнения явной маркировки кадров собственной VLAN на магистральном порту.
Защита беспроводной локальной сети
Беспроводная локальная сеть - это сеть беспроводных узлов в пределах ограниченной географической области, такой как офисное здание или школьный городок. Узлы имеют возможность радиосвязи.
Беспроводная сеть
Беспроводная локальная сеть обычно реализуется как расширение существующей проводной локальной сети для обеспечения доступа к сети с мобильностью устройств. Наиболее широко применяемые технологии беспроводных локальных сетей основаны на стандарте IEEE 802.11 и поправках к нему.
Двумя основными компонентами беспроводной локальной сети являются:
Access Points (APs)- Это базовые станции для беспроводной сети. Они передают и принимают радиочастоты для связи с беспроводными клиентами.
Wireless Clients- Это вычислительные устройства, оснащенные картой беспроводного сетевого интерфейса (WNIC). Ноутбуки, IP-телефоны, КПК - типичные примеры беспроводных клиентов.
Многие организации внедрили беспроводные локальные сети. Эти сети феноменально растут. Таким образом, крайне важно понимать угрозы в беспроводных локальных сетях и изучать общие превентивные меры для обеспечения безопасности сети.
Атаки в беспроводной локальной сети
Типичные атаки на беспроводную локальную сеть:
Eavesdropping - Злоумышленник пассивно отслеживает данные в беспроводных сетях, включая учетные данные для аутентификации.
Masquerading - Злоумышленник выдает себя за авторизованного пользователя и получает доступ и привилегии в беспроводных сетях.
Traffic Analysis - Злоумышленник отслеживает передачи через беспроводные сети, чтобы идентифицировать модели и участников связи.
Denial of Service - Злоумышленник предотвращает или ограничивает нормальное использование или управление беспроводной локальной сетью или сетевыми устройствами.
Message Modification/Replay - Злоумышленник изменяет законное сообщение, отправленное через беспроводные сети, или отвечает на него, удаляя, добавляя, изменяя или переупорядочивая его.
Меры безопасности в беспроводной локальной сети
Меры безопасности предоставляют средства для отражения атак и управления рисками для сетей. Это управление сетью, эксплуатация и технические меры. Ниже мы описываем технические меры, принятые для обеспечения конфиденциальности, доступности и целостности данных, передаваемых через беспроводные локальные сети.
В беспроводных локальных сетях все точки доступа должны быть настроены для обеспечения безопасности с помощью шифрования и аутентификации клиентов. Типы схем, используемых в беспроводной локальной сети для обеспечения безопасности, следующие:
Конфиденциальность, эквивалентная проводной сети (WEP)
Это алгоритм шифрования, встроенный в стандарт 802.11 для защиты беспроводных сетей. Шифрование WEP использует потоковый шифр RC4 (Rivest Cipher 4) с 40-битными / 104-битными ключами и 24-битным вектором инициализации. Он также может обеспечивать аутентификацию конечной точки.
Однако это самый слабый механизм безопасности шифрования, поскольку в шифровании WEP был обнаружен ряд недостатков. WEP также не имеет протокола аутентификации. Следовательно, использование WEP не рекомендуется.
Протокол 802.11i
В этом протоколе возможны многочисленные и более надежные формы шифрования. Он был разработан для замены слабой схемы WEP. Он обеспечивает механизм распределения ключей. Он поддерживает один ключ для каждой станции и не использует один и тот же ключ для всех. Он использует сервер аутентификации отдельно от точки доступа.
IEEE802.11i требует использования протокола с именем Counter mode с протоколом CBC-MAC (CCMP). CCMP обеспечивает конфиденциальность и целостность передаваемых данных и аутентичность отправителя. Он основан на блочном шифре Advanced Encryption Standard (AES).
Протокол IEEE802.11i имеет четыре фазы работы.
STA и AP обмениваются данными и обнаруживают возможности взаимной безопасности, такие как поддерживаемые алгоритмы.
STA и AS взаимно аутентифицируются и вместе генерируют мастер-ключ (MK). AP действует как «проход».
STA получает парный главный ключ (PMK). AS извлекает тот же PMK и отправляет AP.
STA, AP используют PMK для получения временного ключа (TK), который будет использоваться для шифрования сообщений и целостности данных.
Прочие стандарты
Wi-Fi Protected Access(WPA) - этот протокол реализует большую часть стандарта IEEE 802.11i. Он существовал до IEEE 802.11i и использует алгоритм RC4 для шифрования. Имеет два режима работы. В режиме «Enterprise» WPA использует протокол аутентификации 802.1x для связи с сервером аутентификации, и, следовательно, предварительные ключи (PMK) специфичны для клиентской станции. В «Персональном» режиме он не использует 802.1x, PMK заменяется предварительно выданным ключом, который используется в средах беспроводной локальной сети малого офиса для домашнего офиса (SOHO).
WPA также включает проверку целостности звукового сообщения, заменяющую циклическую проверку избыточности (CRC), которая использовалась стандартом WEP.
WPA2- WPA2 заменил WPA. WPA2 реализует все обязательные элементы схемы IEEE 802.11i. В частности, он включает обязательную поддержку CCMP, режима шифрования на основе AES с усиленной безопасностью. Таким образом, что касается атак, WPA2 / IEEE802.11i обеспечивает адекватные решения для защиты от слабых мест WEP, атак типа «человек посередине», подделки пакетов и атак повторного воспроизведения. Однако DoS-атака не рассматривается должным образом, и нет надежных протоколов, чтобы остановить такие атаки, в основном потому, что такие атаки нацелены на физический уровень, например, вмешиваются в полосу частот.
Резюме
В этой главе мы рассмотрели атаки и методы их предотвращения, предполагая, что в коммутируемой сети Ethernet работает IP. Если ваша сеть не использует Ethernet в качестве протокола уровня 2, некоторые из этих атак могут быть неприменимы, но есть вероятность, что такая сеть уязвима для различных типов атак.
Безопасность настолько сильна, насколько надежно самое слабое звено. Когда дело доходит до сети, уровень 2 может быть очень слабым звеном. Упомянутые в этой главе меры безопасности уровня 2 имеют большое значение для защиты сети от многих типов атак.
Управление доступом к сети - это метод повышения безопасности частной сети организации путем ограничения доступности сетевых ресурсов конечными устройствами, которые соответствуют политике безопасности организации. Типичная схема управления доступом к сети состоит из двух основных компонентов, таких как ограниченный доступ и защита границ сети.
Ограниченный доступ к сетевым устройствам достигается посредством аутентификации пользователей и контроля авторизации, который отвечает за идентификацию и аутентификацию различных пользователей в сетевой системе. Авторизация - это процесс предоставления или отказа определенных разрешений на доступ к защищенному ресурсу.
Network Boundary Protectionконтролирует логическое подключение к сети и из нее. Например, можно развернуть несколько брандмауэров для предотвращения несанкционированного доступа к сетевым системам. Также можно использовать технологии обнаружения и предотвращения вторжений для защиты от атак из Интернета.
В этой главе мы обсудим методы идентификации пользователей и аутентификации для доступа к сети, за которыми следуют различные типы межсетевых экранов и систем обнаружения вторжений.
Обеспечение доступа к сетевым устройствам
Ограничение доступа к устройствам в сети - очень важный шаг для защиты сети. Поскольку сетевые устройства включают в себя коммуникационное и вычислительное оборудование, их компрометация может потенциально вывести из строя всю сеть и ее ресурсы.
Как это ни парадоксально, многие организации обеспечивают отличную безопасность своих серверов и приложений, но оставляют сетевые устройства для связи на элементарном уровне.
Важным аспектом безопасности сетевых устройств является контроль доступа и авторизация. Многие протоколы были разработаны для удовлетворения этих двух требований и повышения сетевой безопасности до более высоких уровней.
Аутентификация и авторизация пользователя
Аутентификация пользователя необходима для управления доступом к сетевым системам, в частности к устройствам сетевой инфраструктуры. Аутентификация имеет два аспекта: аутентификация общего доступа и функциональная авторизация.
Аутентификация общего доступа - это метод контроля того, имеет ли конкретный пользователь «какие-либо» права доступа к системе, к которой он пытается подключиться. Обычно такой доступ связан с пользователем, имеющим «учетную запись» в этой системе. Авторизация имеет дело с «правами» отдельных пользователей. Например, он решает, что может делать пользователь после аутентификации; пользователь может иметь право настраивать устройство или только просматривать данные.
Аутентификация пользователя зависит от факторов, включая то, что он знает (пароль), что-то, что у него есть (криптографический токен), или что-то, что он есть (биометрическое). Использование более чем одного фактора для идентификации и аутентификации обеспечивает основу для многофакторной аутентификации.
Аутентификация на основе пароля
Как минимум, все сетевые устройства должны иметь аутентификацию по имени пользователя и паролю. Пароль должен быть нетривиальным (не менее 10 символов, смешанные алфавиты, числа и символы).
В случае удаленного доступа пользователя следует использовать метод, гарантирующий, что имена пользователей и пароли не будут переданы в открытом виде по сети. Кроме того, пароли также следует менять с разумной частотой.
Централизованные методы аутентификации
Система аутентификации на основе отдельных устройств обеспечивает базовую меру контроля доступа. Однако централизованный метод аутентификации считается более эффективным и действенным, когда в сети имеется большое количество устройств с большим количеством пользователей, получающих доступ к этим устройствам.
Традиционно централизованная проверка подлинности использовалась для решения проблем, возникающих при удаленном доступе к сети. В системах удаленного доступа (RAS) администрирование пользователей на сетевых устройствах нецелесообразно. Размещение всей пользовательской информации на всех устройствах и последующее обновление этой информации - административный кошмар.
Централизованные системы аутентификации, такие как RADIUS и Kerberos, решают эту проблему. Эти централизованные методы позволяют хранить информацию о пользователях и управлять ею в одном месте. Эти системы обычно могут быть легко интегрированы с другими схемами управления учетными записями пользователей, такими как Microsoft Active Directory или каталоги LDAP. Большинство серверов RADIUS могут взаимодействовать с другими сетевыми устройствами по обычному протоколу RADIUS, а затем безопасно получать доступ к информации учетной записи, хранящейся в каталогах.
Например, сервер Microsoft Internet Authentication Server (IAS) соединяет RADIUS и Active Directory, обеспечивая централизованную аутентификацию для пользователей устройств. Это также гарантирует, что информация учетной записи пользователя унифицирована с учетными записями домена Microsoft. На приведенной выше диаграмме показан контроллер домена Windows, работающий как сервер Active Directory, так и сервер RADIUS для сетевых элементов для аутентификации в домене Active Directory.
Списки контроля доступа
Многие сетевые устройства можно настроить со списками доступа. Эти списки определяют имена хостов или IP-адреса, которым разрешен доступ к устройству. Например, типичным является ограничение доступа к сетевому оборудованию с IP-адресов, кроме администратора сети.
Тогда это защитит от любого типа доступа, который может быть несанкционированным. Эти типы списков доступа служат важной последней защитой и могут быть довольно мощными на некоторых устройствах с разными правилами для разных протоколов доступа.
Почти каждая средняя и крупная организация представлена в Интернете и имеет подключенную к нему организационную сеть. Разделение сети на границе между внешним Интернетом и внутренней сетью имеет важное значение для безопасности сети. Иногда внутреннюю сеть (интрасеть) называют «доверенной» стороной, а внешний Интернет - «недоверенной» стороной.
Типы межсетевого экрана
Брандмауэр - это сетевое устройство, которое изолирует внутреннюю сеть организации от более крупной внешней сети / Интернета. Это может быть аппаратное обеспечение, программное обеспечение или комбинированная система, предотвращающая несанкционированный доступ к внутренней сети или из нее.
Все пакеты данных, входящие или покидающие внутреннюю сеть, проходят через брандмауэр, который проверяет каждый пакет и блокирует те, которые не соответствуют указанным критериям безопасности.
Развертывание межсетевого экрана на границе сети похоже на объединение безопасности в одной точке. Аналогично запиранию квартиры в подъезде, а не обязательно у каждой двери.
Брандмауэр считается важным элементом для обеспечения сетевой безопасности по следующим причинам:
Внутренняя сеть и узлы вряд ли будут должным образом защищены.
Интернет - опасное место с преступниками, пользователями из конкурирующих компаний, недовольными бывшими сотрудниками, шпионами из недружественных стран, вандалами и т. Д.
Чтобы злоумышленник не запускал атаки типа «отказ в обслуживании» на сетевой ресурс.
Для предотвращения незаконного изменения / доступа к внутренним данным сторонним злоумышленником.
Брандмауэр делится на три основных типа:
- Пакетный фильтр (Stateless и Stateful)
- Шлюз уровня приложения
- Шлюз на уровне схемы
Однако эти три категории не исключают друг друга. Современные брандмауэры обладают сочетанием возможностей, которые могут помещать их более чем в одну из трех категорий.
Межсетевой экран с фильтрацией пакетов и без сохранения состояния
В этом типе развертывания брандмауэра внутренняя сеть подключается к внешней сети / Интернету через брандмауэр маршрутизатора. Межсетевой экран проверяет и фильтрует данные пакет за пакетом.
Packet-filtering firewalls разрешать или блокировать пакеты в основном на основе таких критериев, как IP-адреса источника и / или назначения, протокол, номера портов источника и / или назначения и различные другие параметры в IP-заголовке.
Решение может быть основано на факторах, отличных от полей заголовка IP, таких как тип сообщения ICMP, биты TCP SYN и ACK и т. Д.
Правило пакетного фильтра состоит из двух частей -
Selection criteria - Он используется как условие и сопоставление с образцом для принятия решений.
Action field- Эта часть определяет действия, которые необходимо предпринять, если IP-пакет соответствует критериям выбора. Действие может заключаться в блокировке (отказе) или разрешении (разрешении) пакета через брандмауэр.
Фильтрация пакетов обычно выполняется путем настройки списков управления доступом (ACL) на маршрутизаторах или коммутаторах. ACL - это таблица правил фильтрации пакетов.
Когда трафик входит или выходит из интерфейса, брандмауэр применяет списки управления доступом сверху вниз к каждому входящему пакету, находит критерии соответствия и либо разрешает, либо запрещает отдельные пакеты.
Stateless firewallэто своего рода жесткий инструмент. Он просматривает пакет и разрешает его, если он соответствует критериям, даже если он не является частью установленной текущей связи.
Следовательно, такие межсетевые экраны заменяются на stateful firewallsв современных сетях. Этот тип межсетевых экранов предлагает более глубокий метод проверки по сравнению с единственными методами проверки пакетов на основе ACL межсетевых экранов без сохранения состояния.
Брандмауэр с отслеживанием состояния отслеживает процесс установки и разрыва соединения, чтобы контролировать соединения на уровне TCP / IP. Это позволяет им отслеживать состояние подключений и определять, какие хосты имеют открытые авторизованные подключения в любой момент времени.
Они ссылаются на базу правил только тогда, когда запрашивается новое соединение. Пакеты, принадлежащие существующим соединениям, сравниваются с таблицей состояний открытых соединений межсетевого экрана, и принимается решение разрешить или заблокировать. Этот процесс экономит время и обеспечивает дополнительную безопасность. Никакому пакету не разрешается проникать через брандмауэр, если он не принадлежит уже установленному соединению. Он может отключать неактивные соединения на брандмауэре, после чего больше не принимает пакеты для этого соединения.
Шлюзы приложений
Шлюз уровня приложения действует как узел ретрансляции для трафика уровня приложения. Они перехватывают входящие и исходящие пакеты, запускают прокси, которые копируют и пересылают информацию через шлюз, и функционируют какproxy server, предотвращая любое прямое соединение между доверенным сервером или клиентом и ненадежным хостом.
Прокси-серверы зависят от приложения. Они могут фильтровать пакеты на прикладном уровне модели OSI.
Прокси для конкретных приложений
Прокси-сервер для конкретного приложения принимает пакеты, созданные только указанным приложением, для которого они предназначены для копирования, пересылки и фильтрации. Например, только прокси Telnet может копировать, пересылать и фильтровать трафик Telnet.
Если сеть полагается только на шлюз уровня приложения, входящие и исходящие пакеты не могут получить доступ к службам, для которых не настроены прокси. Например, если на шлюзе работают прокси FTP и Telnet, только пакеты, созданные этими службами, могут проходить через межсетевой экран. Все остальные сервисы заблокированы.
Фильтрация на уровне приложений
Прокси-шлюз уровня приложения проверяет и фильтрует отдельные пакеты, а не просто копирует их и вслепую пересылает через шлюз. Прокси-серверы для конкретных приложений проверяют каждый пакет, проходящий через шлюз, проверяя содержимое пакета на уровне приложений. Эти прокси-серверы могут фильтровать определенные виды команд или информации в протоколах приложений.
Шлюзы приложений могут ограничивать выполнение определенных действий. Например, шлюз можно настроить так, чтобы пользователи не могли выполнять команду FTP put. Это может предотвратить изменение злоумышленником информации, хранящейся на сервере.
Прозрачный
Хотя шлюзы уровня приложений могут быть прозрачными, во многих реализациях требуется проверка подлинности пользователя, прежде чем пользователи смогут получить доступ к ненадежной сети, что снижает истинную прозрачность. Аутентификация может быть разной, если пользователь из внутренней сети или из Интернета. Для внутренней сети простой список IP-адресов может быть разрешен для подключения к внешним приложениям. Но со стороны Интернета должна быть реализована строгая аутентификация.
Шлюз приложений фактически передает сегменты TCP между двумя TCP-соединениями в двух направлениях (клиент ↔ прокси ↔ сервер).
Для исходящих пакетов шлюз может заменить исходный IP-адрес своим собственным IP-адресом. Этот процесс называется преобразованием сетевых адресов (NAT). Это гарантирует, что внутренние IP-адреса не доступны в Интернете.
Шлюз на уровне схемы
Шлюз на уровне схемы - это промежуточное решение между фильтром пакетов и шлюзом приложений. Он работает на транспортном уровне и, следовательно, может действовать как прокси для любого приложения.
Подобно шлюзу приложений, шлюз на уровне канала также не разрешает сквозное TCP-соединение через шлюз. Он устанавливает два TCP-соединения и ретранслирует TCP-сегменты из одной сети в другую. Но он не проверяет данные приложения, такие как шлюз приложений. Следовательно, иногда его называют «Pipe Proxy».
НОСКИ
SOCKS (RFC 1928) относится к шлюзу на уровне схемы. Это сетевой прокси-механизм, который позволяет узлам на одной стороне сервера SOCKS получать полный доступ к узлам на другой стороне, не требуя прямой IP-доступности. Клиент подключается к серверу SOCKS через брандмауэр. Затем клиент вступает в переговоры о том, какой метод аутентификации будет использоваться, и аутентифицируется с помощью выбранного метода.
Клиент отправляет на сервер SOCKS запрос на ретрансляцию соединения, содержащий желаемый IP-адрес назначения и транспортный порт. Сервер принимает запрос после проверки, что клиент соответствует основным критериям фильтрации. Затем от имени клиента шлюз открывает соединение с запрошенным ненадежным хостом, а затем внимательно отслеживает последующее установление связи TCP.
Сервер SOCKS информирует клиента и в случае успеха начинает передачу данных между двумя соединениями. Шлюзы на уровне схемы используются, когда организация доверяет внутренним пользователям и не хочет проверять содержимое или данные приложений, отправляемые через Интернет.
Развертывание межсетевого экрана с DMZ
Брандмауэр - это механизм, используемый для управления сетевым трафиком, входящим и исходящим из внутренней сети организации. В большинстве случаев эти системы имеют два сетевых интерфейса: один для внешней сети, такой как Интернет, а другой - для внутренней.
Процесс межсетевого экрана может жестко контролировать то, что разрешено переходить с одной стороны на другую. Организация, желающая предоставить внешний доступ к своему веб-серверу, может ограничить весь трафик, поступающий на межсетевой экран, за исключением порта 80 (стандартный порт http). Весь другой трафик, такой как почтовый трафик, FTP, SNMP и т. Д., Не допускается через брандмауэр во внутреннюю сеть. Пример простого межсетевого экрана показан на следующей диаграмме.
В приведенном выше простом развертывании, несмотря на то, что все другие виды доступа извне заблокированы, злоумышленник может связаться не только с веб-сервером, но и с любым другим хостом во внутренней сети, который оставил порт 80 открытым случайно или иным образом.
Следовательно, проблема, с которой сталкивается большинство организаций, заключается в том, как разрешить законный доступ к общедоступным службам, таким как Интернет, FTP и электронная почта, при сохранении строгой безопасности внутренней сети. Типичный подход - развертывание межсетевых экранов для создания демилитаризованной зоны (DMZ) в сети.
В этой настройке (показано на следующей диаграмме) развернуты два межсетевых экрана; один между внешней сетью и DMZ, а другой между DMZ и внутренней сетью. Все общедоступные серверы помещаются в DMZ.
При такой настройке можно иметь правила брандмауэра, которые разрешают общий доступ к общедоступным серверам, но внутренний брандмауэр может ограничивать все входящие соединения. Наличие DMZ обеспечивает адекватную защиту общедоступных серверов вместо их размещения непосредственно во внешней сети.
Система обнаружения / предотвращения вторжений
Межсетевые экраны с фильтрацией пакетов работают на основе правил, включающих только заголовки TCP / UDP / IP. Они не пытаются установить проверки корреляции между различными сеансами.
Система обнаружения / предотвращения вторжений (IDS / IPS) выполняет глубокую проверку пакетов (DPI), просматривая содержимое пакета. Например, проверка символьных строк в пакете по базе данных известных вирусов, атакующих строк.
Шлюзы приложений просматривают содержимое пакетов, но только для определенных приложений. Они не ищут в пакете подозрительные данные. IDS / IPS ищет подозрительные данные, содержащиеся в пакетах, и пытается изучить корреляцию между несколькими пакетами, чтобы определить любые атаки, такие как сканирование портов, отображение сети, отказ в обслуживании и т. Д.
Разница между IDS и IPS
IDS и IPS похожи в обнаружении аномалий в сети. IDS - это инструмент «видимости», тогда как IPS рассматривается как инструмент «контроля».
Системы обнаружения вторжений находятся сбоку от сети, отслеживая трафик во многих различных точках и обеспечивая видимость состояния безопасности сети. В случае сообщения IDS об аномалии корректирующие действия инициируются сетевым администратором или другим устройством в сети.
Системы предотвращения вторжений похожи на брандмауэры, они находятся на линии между двумя сетями и контролируют трафик, проходящий через них. Он применяет указанную политику при обнаружении аномалии в сетевом трафике. Как правило, он отбрасывает все пакеты и блокирует весь сетевой трафик при обнаружении аномалии до тех пор, пока администратор не устранит ее.
Типы IDS
Есть два основных типа IDS.
Signature-based IDS
Ему нужна база данных известных атак с их сигнатурами.
Подпись определяется типами и порядком пакетов, характеризующих конкретную атаку.
Ограничение этого типа IDS состоит в том, что могут быть обнаружены только известные атаки. Эта IDS также может вызывать ложную тревогу. Ложная тревога может возникнуть, когда нормальный поток пакетов соответствует сигнатуре атаки.
Хорошо известным примером общедоступной IDS с открытым исходным кодом является IDS Snort.
Anomaly-based IDS
Этот тип IDS создает структуру трафика нормальной работы сети.
В режиме IDS он проверяет статистически необычные шаблоны трафика. Например, необычная нагрузка ICMP, экспоненциальный рост сканирования портов и т. Д.
Обнаружение необычного трафика вызывает тревогу.
Основная проблема, с которой сталкивается этот тип развертывания IDS, - это трудность отличить обычный трафик от необычного.
Резюме
В этой главе мы обсудили различные механизмы, используемые для управления доступом к сети. Подход к сетевой безопасности посредством управления доступом технически отличается от реализации мер безопасности на разных сетевых уровнях, которые обсуждались в предыдущих главах этого руководства. Однако, хотя подходы к реализации различны, они дополняют друг друга.
Управление доступом к сети состоит из двух основных компонентов: аутентификации пользователя и защиты границ сети. RADIUS - популярный механизм для обеспечения централизованной аутентификации в сети.
Брандмауэр обеспечивает защиту границ сети, отделяя внутреннюю сеть от общедоступного Интернета. Брандмауэр может работать на разных уровнях сетевого протокола. IDS / IPS позволяет отслеживать аномалии в сетевом трафике, обнаруживать атаку и принимать превентивные меры против нее.
Информация и эффективное общение - два наиболее важных стратегических вопроса для успеха любого бизнеса. С появлением электронных средств связи и хранения все больше и больше предприятий переходят на использование сетей передачи данных для связи, хранения информации и получения ресурсов. Существуют различные типы и уровни сетевой инфраструктуры, которые используются для ведения бизнеса.
Можно сказать, что в современном мире ничто не оказало большего влияния на бизнес, чем сетевые компьютеры. Но сеть несет с собой угрозы безопасности, которые, если их устранить, позволяют преимуществам сети перевешивать риски.
Роль сети в бизнесе
В настоящее время практически все предприятия рассматривают компьютерные сети как ресурс. Этот ресурс позволяет им собирать, анализировать, систематизировать и распространять информацию, необходимую для их прибыльности. Большинство предприятий установили сети, чтобы оставаться конкурентоспособными.
Наиболее очевидная роль компьютерных сетей состоит в том, что организации могут хранить практически любую информацию в центральном месте и извлекать ее в желаемом месте через сеть.
Преимущества сетей
Компьютерные сети позволяют людям легко обмениваться информацией и идеями, чтобы они могли работать более эффективно и продуктивно. Сети улучшают такие виды деятельности, как покупка, продажа и обслуживание клиентов. Сеть делает традиционные бизнес-процессы более эффективными, управляемыми и менее дорогими.
Основные преимущества, которые бизнес извлекает из компьютерных сетей:
Resource sharing - Компания может сократить количество денег, потраченных на оборудование, за счет совместного использования компонентов и периферийных устройств, подключенных к сети.
Streamlined business processes - Компьютерные сети позволяют предприятиям оптимизировать свои внутренние бизнес-процессы.
Collaboration among departments - Когда два или более бизнес-подразделения соединяют выбранные части своих сетей, они могут оптимизировать бизнес-процессы, которые обычно требуют чрезмерного количества времени и усилий и часто создают трудности для достижения более высокой производительности.
Improved Customer Relations - Сети предоставляют клиентам множество преимуществ, таких как удобство ведения бизнеса, быстрое реагирование на услуги и т. Д.
Есть много других специфических для бизнеса преимуществ, которые дает создание сетей. Такие преимущества сделали необходимым внедрение компьютерных сетей для всех типов предприятий.
Необходимость в сетевой безопасности
Угрозы для проводных или беспроводных сетей значительно возросли из-за развития современных технологий с увеличением емкости компьютерных сетей. Повсеместное использование Интернета в современном мире для различных деловых операций создает проблемы кражи информации и других атак на интеллектуальные активы бизнеса.
В настоящее время большинство предприятий ведется через сетевые приложения, и, следовательно, все сети подвержены риску атак. Наиболее распространенными угрозами безопасности бизнес-сети являются перехват и кража данных, а также кража личных данных.
Сетевая безопасность - это специализированная область, которая занимается предотвращением таких угроз и обеспечением защиты удобства использования, надежности, целостности и безопасности компьютерной сетевой инфраструктуры предприятия.
Важность сетевой безопасности для бизнеса
Protecting Business Assets- Это основная задача сетевой безопасности. Активы означают информацию, которая хранится в компьютерных сетях. Информация так же важна и ценна, как и любые другие материальные активы компании. Сетевая безопасность связана с целостностью, защитой и безопасным доступом к конфиденциальной информации.
Compliance with Regulatory Requirements - Меры сетевой безопасности помогают предприятиям соблюдать государственные и отраслевые нормативные требования в отношении информационной безопасности.
Secure Collaborative Working- Сетевая безопасность поощряет сотрудничество коллег и облегчает общение с клиентами и поставщиками, предлагая им безопасный доступ к сети. Это повышает уверенность клиентов и потребителей в том, что их конфиденциальная информация защищена.
Reduced Risk - Внедрение сетевой безопасности снижает воздействие нарушений безопасности, включая судебные иски, которые могут привести к банкротству малого бизнеса.
Gaining Competitive Advantage- Разработка эффективной системы безопасности для сетей дает организации конкурентное преимущество. На арене финансовых услуг в Интернете и электронной коммерции сетевая безопасность приобретает первостепенное значение.