Перечень лабораторных работ. Лабораторная работа 1 общие сведения об ip

34
Аутентификация предотвращает угрозу свободного доступа к ресурсам и данным. Она не всегда включается в состав авторизации, но, как правило, одно подразумевает другое.
Целостность обеспечивает защиту от подслушивания и манипулирования данными, поддерживая конфиденциальность и достоверность передаваемой информации.
Активная проверка проверяет правильность реализации элементов технологии безопасности и помогает предотвратить атаки типа DoS
Технологии аутентификации
Под аутентификацией понимается определение пользователя или конечного устройства (клиента, сервера, коммутатора, маршрутизатора, межсетевого экрана и т.д.) и его местоположения в сети с последующей авторизацией пользователей и конечных устройств. Наиболее простым способом аутентификации является использование паролей, но для поддержания высокого уровня безопасности пароли приходится часто менять.
Методы использования одноразовых паролей применяются по-прежнему широко. Среди них можно отметить методы аутентификации по протоколу
S/Key или при помощи специальных аппаратных средств (token password authentication). Механизм аутентификации по протоколу Point-to-Point Protocol
(PPP) часто применяется в среде модемного доступа и включает использование протоколов Password Authentication Protocol (PAP), Challenge
Handshake Protocol (CHAP) и Extensible Authentication Protocol (EAP).
Разработка протокола ЕАР все еще продолжается, но уже сейчас он дает возможность более гибкого использования существующих и только появляющихся технологий аутентификации в каналах PPP. TACACS+ и
Remote Access Dial-In User Service (RADIUS) – это протоколы, которые поддерживают масштабируемые решения в области аутентификации.
Протокол Kerberos (Цербер) используется в ограниченных областях для поддержки единой точки входа в сеть.
Система одноразовых паролей S/Key, определенная в RFC 1760, представляет собой систему генерирования одноразовых паролей на основе стандартов MD4 и MD5. Она предназначена для борьбы «повторными атаками», когда хакер подслушивает канал, выделяет из трафика идентификатор пользователя и его пароль и в дальнейшем использует их для несанкционированного доступа.
Система S/Key основана на технологии клиент-сервер, где клиентом обычно является персональный компьютер, а сервером – сервер аутентификации. Вначале и клиента, и сервер нужно настроить на единую парольную фразу и счет итерации. Клиент начинает обмен S/Key, отправляя серверу пакет инициализации, а сервер в ответ отправляет порядковый номер и случайное число, так называемое «зерно» (seed). После этого клиент генерирует одноразовый пароль.
После создания одноразового пароля его нужно проверить. Для этого клиент передает одноразовый пароль на сервер, где он и проверяется. Для

35 проверки аутентификации система однократно пропускает полученный одноразовый пароль через защищенную хэш-функцию. Если результат этой операции совпадает с предыдущим паролем, хранящимся в файле, результат аутентификации считается положительным, а новый пароль сохраняется для дальнейшего использования.
Аутентификация с помощью аппаратных средств работает по одной из двух альтернативных схем:

по схеме запрос-ответ;

по схеме аутентификации с синхронизацией по времени.
В схеме запрос-ответ пользователь подключается к серверу аутентификации, который, в свою очередь, предлагает ввести персональный идентификационный номер (PIN) или пользовательский идентификатор (user
ID). Пользователь передает PIN или user ID на сервер, который затем делает
«запрос» (передает случайное число, которое появляется на экране пользователя). Пользователь вводит это число в специальное аппаратное устройство, похожее на кредитную карточку, где число запроса шифруется с помощью пользовательского шифровального ключа. Результат шифрования отображается на экране. Пользователь отправляет этот результат на сервер аутентификации. В то время как пользователь подсчитывает этот результат, сервер аутентификации рассчитывает этот же результат самостоятельно, используя для этого базу данных, где хранятся все пользовательские ключи.
Получив ответ от пользователя, сервер сравнивает его с результатом собственных вычислений. Если оба результата совпадают – пользователь получает доступ к сети. Если результаты оказываются разными, доступ к сети не предоставляется.
При использовании схемы с синхронизацией по времени на аппаратном устройстве пользователя и на сервере работает секретный алгоритм, который через определенные синхронизированные промежутки времени генерирует идентичные пароли и заменяет старые пароли на новые. Пользователь подключается к серверу аутентификации, который запрашивает у пользователя код доступа. После этого пользователь вводит свой PIN в аппаратное карточное устройство, и в результате на экран выводится некоторая величина, которая представляет собой одноразовый пароль. Этот пароль и отправляется на сервер. Сервер сравнивает его с паролем, который был вычислен на самом сервере. Если пароли совпадают, пользователь получает доступ к сети.
Особенности системы безопасности в IP-телефонии
В системе IP-телефонии должны обеспечиваться два уровня безопасности: системный и вызывной.
Для обеспечения системной безопасности используются следующие функции.

Предотвращение неавторизованного доступа к сети путем применения разделяемого кодового слова. Кодовое слово одновременно вычисляется по стандартным алгоритмам на инициирующей и оконечной

36 системах, и полученные результаты сравниваются. При установлении соединения каждая система IP-телефонии первоначально идентифицирует другую систему, в случае отрицательного результата связь прерывается и вносится соответствующая запись в журнал.

Списки доступа, в которые вносятся все известные шлюзы IP- телефонии.

Запись отказов в доступе.

Функции безопасности интерфейса доступа, включая:

проверку идентификатора и пароля пользователя с ограничением доступа по чтению/записи; проверку прав доступа к специальному WEB- серверу для администрирования.

Функции обеспечения безопасности вызова включают:

проверку идентификатора и пароля пользователя (необязательно); статус пользователя; профиль абонента.
При установлении связи шлюза с другим шлюзом своей зоны производится необязательная проверка идентификатора и пароля пользователя. Пользователь в любое время может быть лишен права доступа.
Профили абонентов создаются для каждого пользователя, в них содержится информация о службах/приложениях, доступных данному абоненту. Возможные варианты:

голос ТфОП – ТфОП;

факс ТфОП – ТфОП;

компьютер – ТфОП;

службы, определенные пользователем (при помощи API).
Профиль абонента используется для проверки права доступа абонента к запрошенным службам.
Обеспечение безопасности в системах на базе стандарта Н.323
Для систем IP-телефонии, построенных на базе Рекомендации ITU-T
H.323, вопросы безопасности рассматриваются в Рекомендации Н.235 (рис.
4.1). Эта рекомендация описывает ряд технических требований, включая вопросы безопасности: аутентификация пользователей и шифрование данных.
Предложенная схема обеспечения безопасности применима и к простым двухточечным и к многоточечным конференциям для любых терминалов, которые используют протокол управления Н.245. Если для IP-телефонии стандарта Н.323 используются сети с пакетной коммутацией, не обеспечивающие гарантированного качества обслуживания QoS, то по тем же самым техническим причинам не обеспечивается и безопасное обслуживание.
Для обеспечения гарантированной связи в реальном масштабе времени по опасным сетям необходимо рассматривать две главных области обеспечения безопасности - аутентификация и секретность.

37
Рис. 4.1. Область действия Рекомендации Н.235 в серии Рекомендаций
Н.323
В соответствии с Рекомендацией Н.235 в системе должны быть реализованы четыре основные функции безопасности:

аутентификация;

целостность данных;

секретность;

проверка отсутствия долгов.
Аутентификация пользователя обеспечивается управлением доступа в конечной точке сети и выполняется gatekeeper, являющимся администратором зоны Н.323. Аутентификация основывается на использовании общих ключей с цифровым сертификатом. Для авторизации сертификатов они включают, например, идентификаторы провайдера услуг. Рекомендация Н.235 не определяет содержание цифровых сертификатов, используемых соответствующим протоколом аутентификации, а также их генерацию, администрирование и распределение.
Целостность данных и секретность обеспечивается криптозащитой.
Проверка отсутствия долгов гарантируется тем, что конечная точка может отказать в обслуживании вызова. Для обеспечения безопасности согласно рекомендации Н.235 могут использоваться существующие стандарты: IP- безопасность (IP Security – IPSec) и безопасность транспортного уровня
(Transport Layer Security – TLS).
Для обеспечения безопасной связи в системе на базе Рекомендации
Н.323 используются механизмы защиты информации канала управления вызовами Q.931, информации канала управления для мультимедиа коммуникаций Н.245, информации каналов передачи мультимедиа. Канал

38 управления вызовом (Н.225.0) и канал сигнализации (Н.245) должны оба работать в защищенном или незащищенном режимах, начинающимся с первой станции. Для канала управления вызовом защита сделана априорно (для систем в соответствии с Рекомендацией Н.323 безопасность транспортного уровня обеспечивается соответствующим протоколом TSAP [порт 1300], который должен использоваться для Q.931 сообщений). Для канала сигнализации режим «защита» определяется информацией, переданной с помощью протокола начальной установки и подключения терминалов стандарта Н.323.
В целом следует отметить, что все основные механизмы аутентификации, определенные в Рекомендации Н.235, идентичны или получены из алгоритмов, разработанных Международной организации по стандартизации ISO, или основаны на протоколах IETF.
Обеспечение безопасности IP-телефонии на базе VPN
Одним из механизмов обеспечения безопасности IP-телефонии может быть использование виртуальных частных сетей (Virtual Private Network,
VPN).
Сети VPN создаются, как правило, для решения двух задач. Во-первых, они служат для организации взаимодействия индивидуальных пользователей с удаленной сетью через Интернет, а во-вторых, – для связи двух сетей. В первом случае, они используются в качестве альтернативы удаленному доступу. Вместо того, чтобы устанавливать соединение с корпоративной средой по междугородной или международной связи, пользователи локально подключаются к Интернет и связываются с сетью компании. Во втором - они часто применяются для организации так называемых виртуальных выделенных линий.
Виртуальная частная сеть (VPN) создается между инициатором туннеля и терминатором туннеля. Обычная маршрутизируемая сеть IP (она не обязательно включает в себя общедоступную сеть Интернет) определяет маршрут между инициатором и терминатором. Инициатор туннеля инкапсулирует пакеты в новый пакет, содержащий наряду с исходными данными новый заголовок с информацией об отправителе и получателе. Хотя все передаваемые по туннелю пакеты являются пакетами IP, в принципе, инкапсулируемые пакеты могут принадлежать к протоколу любого типа, включая пакеты немаршрутизируемых протоколов, например, NetBEUI.
Терминатор туннеля выполняет процесс, обратный инкапсуляции, удаляя новые заголовки и направляя исходный пакет в локальный стек протоколов или адресату в локальной сети.
Сама по себе инкапсуляция никоим образом не повышает конфиденциальности или целостности туннелируемых данных.
Конфиденциальность обеспечивается с помощью шифрования. Поскольку методов шифрования данных существует множество, очень важно, чтобы инициатор и терминатор туннеля использовали один и тот же метод. Кроме того, для успешного дешифрования данных они должны иметь возможность

39 обмена ключами.
Чтобы туннели создавались только между уполномоченными пользователями, конечные точки требуется идентифицировать. Целостность туннелируемых данных можно обеспечить с помощью некоей формы выборки сообщения или хэш-функции для выявления изменений или удалений.
Для реализации унифицированного способа инкапсуляции трафика третьего уровня (и более высоких уровней) на клиентах и серверах Windows компании Microsoft, Ascend Communications и 3Com разработали туннельный протокол между двумя точками (Pointto-Point Tunneling Protocol, PPTP), представляющий собой расширение протокола РРР. В РРТР не специфицируется конкретный метод шифрования, однако, клиенты удаленного доступа в Windows NT 4.0 и Windows 95 с Dial-Up Networking 1.2 поставляются с версией шифрования DES компании RSA Data Security, получившей название «шифрование двухточечной связи Microsoft» (Microsoft
Point-to-Point Encryption, MPPE).
Компания Cisco Systems разработала протокол пересылки на втором уровне модели OSI (Layer-2 Forwarding, L2F), с помощью которой удаленные клиенты могут связаться по каналам провайдера Internet и быть идентифицированы. При этом ISP не нужно осуществлять конфигурацию адресов и выполнять идентификацию. Протокол L2F стал компонентом операционной системы IOS (Internetwork Operating System) компании Cisco и поддерживается во всех выпускаемых ею устройствах межсетевого взаимодействия и удаленного доступа.
Оба этих тесно связанных друг с другом протокола IETF были объединены, и получившийся в результате протокол, включивший лучшее из
РРТР и L2F, называется протоколом туннелирования второго уровня (Layer-2
Tunneling Protocol, L2TP). Его поддерживают компании Cisco, Microsoft,
3Com, Ascend и многие другие производители. Как и предшествующие протоколы второго уровня, спецификация L2TP не описывает методы идентификации и шифрования.
Спецификацией IETF, где описаны стандартные методы для всех компонентов VPN, является протокол Internet Protocol Security, или IPSec, – иногда его называют туннелированием третьего уровня (Layer-3 Tunneling).
IPSec предусматривает стандартные методы идентификации пользователей или компьютеров при инициации туннеля, стандартные способы использования шифрования конечными точками туннеля, а также стандартные методы обмена и управления ключами шифрования между конечными точками. Этот гибкий стандарт предлагает несколько способов для выполнения каждой задачи. Выбранные методы для одной задачи обычно не зависят от методов реализации других задач. Идентификацию можно выполнять с помощью спецификации IPSec, причем она является обязательным компонентом протокола IPv6.
IPSec может работать совместно с L2TP, в результате эти два протокола обеспечивают более надежную идентификацию, стандартизованное шифрование и целостность данных. Следует отметить, что спецификация

40
IPSec ориентирована на IP и, таким образом, бесполезна для трафика любых других протоколов сетевого уровня. Туннель IPSec между двумя локальными сетями может поддерживать множество индивидуальных каналов передачи данных, в результате чего приложения данного типа получают преимущества с точки зрения масштабирования по сравнению с технологией второго уровня.
Некоторые поставщики VPN используют другой подход под названием
«посредники каналов» (circuit proxy), или VPN пятого уровня. Этот метод функционирует над транспортным уровнем и ретранслирует трафик из защищенной сети в общедоступную сеть Internet для каждого сокста в отдельности. (Сокет IP идентифицируется комбинацией TCP-соединения и конкретного порта или заданным портом UDP. Протокол IP не имеет пятого
(сеансового) уровня, однако ориентированные на сокеты операции часто называют операциями сеансового уровня).
Шифрование информации, передаваемой между инициатором и терминатором туннеля, часто осуществляется с помощью защиты транспортного уровня (Transport Layer Security, TLS), ранее протокола защищенных сокетов (Secure Sockets Layer, SSL). Для стандартизации аутентифицированного прохода через брандмауэры IETF определил протокол под названием SOCKS, и в настоящее время SOCKS 5 применяется для стандартизованной реализации посредников каналов.
В
SOCKS
5 клиентский компьютер устанавливает аутентифицированный сокет (или сеанс) с сервером, выполняющим роль посредника (proxy). Этот посредник - единственный способ связи через брандмауэр. Посредник, в свою очередь, проводит любые операции, запрашиваемые клиентом. Поскольку посреднику известно о трафике на уровне сокета, он может осуществлять тщательный контроль, например, блокировать конкретные приложения пользователей, если они не имеют необходимых полномочий. Для сравнения, виртуальные частные сети уровня
2 и 3 обычно просто открывают или закрывают канал для всего трафика по аутентифицированному туннелю. Это может представлять проблему, если нет гарантии защиты информации на другом конце туннеля.
Следует отметить на наличие взаимосвязи между брандмауэрами и VPN.
Если туннели завершаются на оборудовании провайдера Интернет, то трафик будет передаваться по вашей локальной сети или по линии связи с провайдером Интернет в незащищенном виде. Если конечная точка расположена за брандмауэром, то туннелируемый трафик можно контролировать с помощью средств контроля доступа брандмауэра, но никакой дополнительной защиты при передаче по локальной сети это не даст.
В этом случае конечную точку будет связывать с брандмауэром незащищенный канал.
Расположение конечной точки внутри защищаемой брандмауэром зоны обычно означает открытие прохода через брандмауэр (как правило, через конкретный порт TCP). Некоторые компании предпочитают применять реализуемый брандмауэром контроль доступа ко всему трафику, в том числе и к туннелируемому, особенно если другую сторону туннеля представляет

41 пользователь, стратегия защиты которого неизвестна или не внушает доверия.
Одно из преимуществ применения тесно интегрированных с брандмауэром продуктов туннелирования состоит в том, что можно открывать туннель, применять к нему правила защиты брандмауэра и перенаправлять трафик на конечную точку на конкретном компьютере или в защищаемой брандмауэром подсети.
Как и любая другая вычислительная функция, работа по созданию сетей
VPN проводится с помощью программного обеспечения. Между тем программное обеспечение для VPN может выполняться на самых разных аппаратных платформах. Маршрутизаторы или коммутаторы третьего уровня могут поддерживать функции VNP по умолчанию (или в качестве дополнительной возможности, предлагаемой за отдельную плату). Аппаратно и программно реализуемые брандмауэры нередко предусматривают модули
VPN со средствами управления трафиком или без них. Некоторые пограничные комбинированные устройства включают в себя маршрутизатор, брандмауэр, средства управления пропускной способностью и функции VPN
(а также режим конфигурации). Наконец, ряд чисто программных продуктов выполняется на соответствующих серверах, кэширует страницы Web, реализует функции брандмауэра и VPN.
Механизм VPN немыслим без идентификации. Инфраструктура с открытыми ключами (Public Key Infrastructure, PKI) для электронной идентификации и управления открытыми ключами является в настоящее время основной. Данные PKI целесообразнее всего хранить в глобальном каталоге, обращаться к которому можно по упрощенному протоколу доступа к каталогу (Lightweight Directory Access Protocol, LDAP).
В табл. 4.1 представлены некоторые системы для организации взаимодействия между пользователями VPN в сети Интернет-телефонии.