Защищенные сетевые протоколы
К программным методам защиты в сети Internet могут быть отнесены защищенные криптопротоколы, которые позволяют надежно защищать соединения. В процессе развития Internet были созданы различные защищенные сетевые протоколы, использующие как симметричную криптографию с закрытым ключом, так и асимметричную криптографию с открытым ключом. К основным на сегодняшний день подходам и протоколам, обеспечивающим защиту соединений, относятся SKIP-технология и протокол защиты соединения SSL.
SKIP (Secure Key Internet Protocol) - технологией называется стандарт защиты трафика IP-пакетов, позволяющий на сетевом уровне обеспечить защиту соединения и передаваемых по нему данных.
Возможны два способа реализаций SKIP-защиты трафика IP-пакетов:
шифрование блока данных IP-пакета;
инкапсуляция IP-пакета в SKIP-пакет.
Шифрование блока данных IP-пакета иллюстрируется рис. 37. В этом случае шифруются методом симметричной криптографии только данные IP-пакета, а его заголовок, содержащий помимо прочего адреса отправителя и получателя, остается открытым, и пакет маршрутизируется в соответствии с истинными адресами.
Заголовок | Данные | |
Адр. 1 | Адр. 2 | |
Заголовок | Алго-ритм | Пакетный ключ КP | Данные | Подпись | |
Адр. 1 | Адр. 2 | ||||
Шифруется Шифруется
Kij Kn
Рис. 37. Схема шифрования блока данных IP-пакетов
Закрытый ключ Kij разделяемый парой узлов сети I и J, вычисляется по схеме Диффи-Хеллмана.
Инкапсуляция IP-пакета в SKIP-пакет показана на рис. 38.
Заголовок | Данные | |
Адр. 1 | Адр. 2 | |
Заголовок | Алго-ритм | Пакетный ключ КП |
| Под-пись | |||||||
Адр. 1 | Адр. 2 | ||||||||||
Шифруется Шифруется
Kij Kn
Рис. 38. Схема инкапсуляции IP-пакетов
SKIP-пакет внешне похож на обычный IP-пакет. В поле данных SKIP-пакета полностью размещается в зашифрованном виде исходный IP-пакет. В этом случае в новом заголовке вместо истинных адресов могут быть помещены некоторые другие адреса. Такая структура SKIP-пакета позволяет беспрепятственно направлять его любому хост-компьютеру в сети Internet, при этом межсетевая адресация осуществляется по обычному IP-заголовку в SKIP-пакете. Конечный получатель SKIP-пакета по заранее определенному разработчиками алгоритму расшифровывает криптограмму и формирует обычный TCP- или UDP-пакет, который и передает соответствующему модулю (TCP или UDP) ядра операционной системы.
Универсальный протокол защиты соединения SSL (Secure Socket Layer) функционирует на сеансовом уровне эталонной модели OSI. Протокол SSL, разработанный компанией Netscape, использует криптографию с открытым ключом. Этот протокол является действительно универсальным средством, позволяющим динамически защищать соединение при использовании любого прикладного протокола (FTP, TELNET, SMTP, DNS и т.д.). Протокол SSL поддерживают такие ведущие компании, как IBM, Digital Equipment Corporation, Microsoft Corporation, Motorola, Novell Inc., Sun Microsystems, MasterCard International Inc. и др.
Существует функционально законченный отечественный криптографический комплекс "Шифратор IP потоков", разработанный московским отделением Пензенского научно-исследовательского электротехнического института. Криптографический комплекс "Шифратор IP потоков" представляет собой распределенную систему криптографических шифраторов, средств управления криптографическими шифраторами, средств хранения, распространения и передачи криптографической информации, а также средств оперативного мониторинга и регистрации происходящих событий. Криптографический комплекс "Шифратор IP потоков" предназначен для выполнения следующих функций:
обеспечения конфиденциальности и целостности информации, передаваемой в сетях общего пользования (Internet), построенных на основе протоколов IP;
создания защищенных подсетей передачи конфиденциальной информации;
объединения локальных сетей в единую защищенную сеть;
закрытия доступа к ресурсам локальной сети или отдельным компьютерам из сети общего доступа;
организации единого центра управления защищенной подсетью.
Комплекс обеспечивает:
закрытие передаваемых данных на основе использования функций шифрования в соответствии с отечественным стандартом ГОСТ 28147-89;
контроль целостности передаваемой информации;
аутентификацию абонентов (узлов сети);
защиту доступа к локальной сети и сокрытие IP адресов подсети;
передачу контрольной информации в Центр управления ключевой системой защищенной IP сети;
поддержку протоколов маршрутизации PIP II, OSPF, BGP;
фильтрацию IP, I'CMP и TCP-соединений на этапе маршрутизации и при приеме/передаче в канал связи;
поддержку инкапсуляции IPX в IP (в соответствии с RFC-1234);
поддержку инкапсуляции IP в Х.25 и Frame Relay;
защиту от НСД ресурсов самого шифратора.
Криптографический комплекс "Шифратор IP потоков" имеет модульную структуру и состоит из распределенной сети шифраторов IP потоков и единого центра управления ключевой системой.
Шифратор IP протоколов (ШИП) состоит из:
криптографического модуля, непосредственно встроенного в ядро операционной системы;
модуля поддержки клиентской части ключевой системы;
модуля записи протоколов работы криптографической системы;
модуля проверки целостности системы при загрузке.
ШИП содержит также плату с интерфейсом ISA, используемую для защиты от НСД при загрузке системы и для получения от сертифицированного физического датчика случайных чисел, необходимых для реализации процедуры шифрования.
Центр управления ключевой системой (ЦУКС) состоит из:
• автоматизированного рабочего места управления ключевой системой, работающего в среде X Windows;
• модуля серверной части ключевой системы;
• сервисной программы просмотра протоколов работы криптографического комплекса "Шифратор IP потоков".
Управление ключами выполняется при помощи ЦУКС и заключается в следующем:
• периодическая (плановая) смена парных ключей шифрования зарегистрированных узлов защищенной сети;
• формирование и рассылка по сети справочников соответствия, определяющих возможность абонентов работать друг с другом;
• сбор и хранение в базе данных информации о всех критичных событиях в сети, возникающих как при аутентификации абонентов, так и при передаче между ними зашифрованной информации.
В случае возникновения нештатных ситуаций, создающих угрозу нарушения защиты информации, администратор ЦУКС предпринимает действия, направленные на восстановление целостности системы защиты информации.
Схема организации виртуальной корпоративной сети с применением криптографического комплекса "Шифратор IP потоков" показана на рис. 39.
Рис. 39. Виртуальная корпоративная сеть с применением криптографического комплекса "Шифратор IP потоков"
При организации виртуальной корпоративной сети небольшого размера без жестких требований к времени оповещения абонентов о компрометации какого-либо абонента и без жестких требований к полноте собираемых протоколов об ошибках доступа возможно использование одного ЦУКС. При организации виртуальной корпоративной сети среднего размера или с жесткими требованиями к времени оповещения абонентов о компрометации какого-либо абонента и к полноте собираемых протоколов об ошибках доступа следует использовать несколько ЦУКС. При этом желательно, чтобы ЦУКС имели независимые друг от друга каналы подключения к глобальной сети.
- ЗАЩИТА КОМПЬЮТЕРНЫХ СИСТЕМ
ОТ ВРЕДОНОСНЫХ ПРОГРАММ,