Лекция 16 - Межсетевое экранирование. Технология виртуальных частных сетей (VPN)
Вопросы: 1 Классификация межсетевых экранов 2 Характеристика межсетевых экранов 3 Сущность и содержание технологии виртуальных частных сетей 4 Понятие "туннеля" при передаче данных в сетях
ВВЕДЕНИЕ.
Цели изучения темы изучить принципы организации межсетевого экранирования как механизма обеспечения безопасности информационных систем; ознакомиться с классификацией межсетевых экранов. ознакомиться с технологией виртуальных частных сетей и механизмом ее реализации.
Требования к знаниям и умениям Студент должен знать: механизм межсетевого экранирования. составляющие технологии виртуальных частных сетей Студент должен уметь: выбирать межсетевые экраны для защиты информационных систем. определять политику безопасности виртуальной частной сети
1. Классификация межсетевых экранов
Одним из эффективных механизмом обеспечения информационной безопасности распределенных вычислительных сетях является экранирование, выполняющее функции разграничения информационных потоков на границе защищаемой сети. Межсетевое экранирование повышает безопасность объектов внутренней сети за счет игнорирования неавторизованных запросов из внешней среды, тем самым, обеспечивая все составляющие информационной безопасности. Кроме функций разграничения доступа, экранирование обеспечивает регистрацию информационных обменов. Функции экранирования выполняет межсетевой экран или брандмауэр (firewall), под которым понимают программную или программно-аппаратную систему, которая выполняет контроль информационных потоков, поступающих в информационную систему и/или выходящих из нее, и обеспечивает защиту информационной системы посредством фильтрации информации. Фильтрация информации состоит в анализе информации по совокупности критериев и принятии решения о ее приеме и/или передаче.
Межсетевые экраны классифицируются по следующим признакам: по месту расположения в сети – на внешние и внутренние, обеспечивающие защиту соответственно от внешней сети или защиту между сегментами сети; по уровню фильтрации, соответствующему эталонной модели OSI/ISO. Внешние межсетевые экраны обычно работают только с протоколом TCP/IP глобальной сети Интернет. Внутренние сетевые экраны могут поддерживать несколько протоколов, например, при использовании сетевой операционной системы Novell Netware, следует принимать во внимание протокол SPX/IPX.
2 Характеристика межсетевых экранов
Работа всех межсетевых экранов основана на использовании информации разных уровней модели OSI. Как правило, чем выше уровень модели OSI, на котором межсетевой экран фильтрует пакеты, тем выше обеспечиваемый им уровень защиты. Межсетевые экраны разделяют на четыре типа: межсетевые экраны с фильтрацией пакетов; шлюзы сеансового уровня; шлюзы прикладного уровня; межсетевые экраны экспертного уровня.
Межсетевые экраны с фильтрацией пакетов представляют собой маршрутизаторы или работающие на сервере программы, сконфигурированные таким образом, чтобы фильтровать входящие и исходящие пакеты. Поэтому такие экраны называют иногда пакетными фильтрами. Фильтрация осуществляется путем анализа IP-адреса источника и приемника, а также портов входящих TCP- и UDP-пакетов и сравнением их со сконфигурированной таблицей правил. Эти межсетевые экраны просты в использовании, дешевы, оказывают минимальное влияние на производительность вычислительной системы. Основным недостатком является их уязвимость при подмене адресов IP. Кроме того, они сложны при конфигурировании: для их установки требуется знание сетевых, транспортных и прикладных протоколов.
Шлюзы сеансового уровня контролируют допустимость сеанса связи. Они следят за подтверждением связи между авторизованным клиентом и внешним хостом (и наоборот), определяя, является ли запрашиваемый сеанс связи допустимым. При фильтрации пакетов шлюз сеансового уровня основывается на информации, содержащейся в заголовках пакетов сеансового уровня протокола TCP, т. е. функционирует на два уровня выше, чем межсетевой экран с фильтрацией пакетов. Кроме того, указанные системы обычно имеют функцию трансляции сетевых адресов, которая скрывает внутренние IP-адреса, тем самым, исключая подмену IP-адреса. Однако в таких межсетевых экранах отсутствует контроль содержимого пакетов, генерируемых различными службами. Для исключения указанного недостатка применяются шлюзы прикладного уровня.
Шлюзы прикладного уровня проверяют содержимое каждого проходящего через шлюз пакета и могут фильтровать отдельные виды команд или информации в протоколах прикладного уровня, которые им поручено обслуживать. Это более совершенный и надежный тип межсетевого экрана, использующий программы-посредники (proxies) прикладного уровня или агенты. Агенты составляются для конкретных служб сети Интернет (HTTP, FTP, Telnet и т. д.) и служат для проверки сетевых пакетов на наличие достоверных данных.
3 Сущность и содержание технологии виртуальных частных сетей
Технология виртуальных частных сетей (VPN - Virtual Private Network) является одним из эффективных механизмов обеспечения информационной безопасности при передаче данных в распределенных вычислительных сетях. Виртуальные частные сети являются комбинацией нескольких самостоятельных сервисов (механизмов) безопасности: шифрования (с использование инфраструктуры криптосистем) на выделенных шлюзах (шлюз обеспечивает обмен данными между вычислительными сетями, функционирующими по разным протоколам); экранирования (с использованием межсетевых экранов); туннелирования.
Сущность технологии VPN заключается в следующем (рис. 22):рис. 22 На все компьютеры, имеющие выход в Интернет (вместо Интернета может быть и любая другая сеть общего пользования), устанавливается VPN-агенты, которые обрабатывают IP-пакеты, передаваемые по вычислительным сетям. Перед отправкой IP-пакета VPN-агент выполняет следующие операции: анализируется IP-адрес получателя пакета, в зависимости от этого адреса выбирается алгоритм защиты данного пакета (VPN-агенты могут, поддерживать одновременно несколько алгоритмов шифрования и контроля целостности). Пакет может и вовсе быть отброшен, если в настройках VPN-агента такой получатель не значится; вычисляется и добавляется в пакет его имитоприставка, обеспечивающая контроль целостности передаваемых данных; пакет шифруется (целиком, включая заголовок IP-пакета, содержащий служебную информацию); формируется новый заголовок пакета, где вместо адреса получателя указывается адрес его VPN-агента (эта процедура называется инкапсуляцией пакета).
При получении IP-пакета выполняются обратные действия: из заголовка пакета извлекается информация о VPN-агенте отправителя пакета, если такой отправитель не входит в число разрешенных, то пакет отбрасывается (то же самое происходит при приеме пакета с намеренно или случайно поврежденным заголовком); согласно настройкам выбираются криптографические алгоритмы и ключи, после чего пакет расшифровывается и проверяется его целостность (пакеты с нарушенной целостностью также отбрасываются); после всех обратных преобразований пакет в его исходном виде отправляется настоящему адресату по локальной сети.
4 Понятие "туннеля" при передаче данных в сетях
Понятие "туннеля" при передаче данных в сетях Для передачи данных VPN-агенты создают виртуальные каналы между защищаемыми локальными сетями или компьютерами (такой канал называется "туннелем", а технология его создания называется "туннелированием"). Вся информация передается по туннелю в зашифрованном виде.
Вопросы для самоконтроля В чем заключается механизм межсетевого экранирования? Дайте определение межсетевого экрана. Принцип функционирования межсетевых экранов с фильтрацией пакетов. На уровне каких протоколов работает шлюз сеансового уровня? В чем особенность межсетевых экранов экспертного уровня? Какие сервисы безопасности включает технология виртуальных частных сетей? Назовите функции VPN-агента. Каким образом технология VPN обеспечивает конфиденциальность данных? Каким образом технология VPN обеспечивает целостность данных? Почему при использовании технологии VPN IP-адреса внутренней сети недоступны внешней сети? Что такое "туннель" и технология его создания? Чем определяется политика безопасности виртуальной частной сети?
Ссылки на дополнительные материалы (печатные и электронные ресурсы) Основные: Грязнов Е., Панасенко С. Безопасность локальных сетей – Электрон. журнал "Мир и безопасность" 2, – Режим доступа к журн.: Карпов Е. А., Котенко И. В., Котухов М. М., Марков А. С., Парр Г. А., Рунеев А. Ю. Законодательно-правовое и организационно-техническое обеспечение информационной безопасности автоматизированных систем и информационно- вычислительных сетей / Под редакцией И. В. Котенко. – СПб.: ВУС, Галатенко В. А. Основы информационной безопасности. – М: Интернет- Университет Информационных Технологий – ИНТУИТ. РУ, Щербаков А. Ю. Введение в теорию и практику компьютерной безопасности. – М.: Издательство Молгачева С. В., Медведовский И. Д., Семьянов П. В., Леонов Д. Г., Лукацкий А. В. Атака из Internet. – М.: Солон-Р, Спортак Марк, Паппас Френк. Компьютерные сети и сетевые технологии. – М.: ТИД "ДС",